9. en el continente francisco josÉ lÓpez romero 2ºsmr aquí encontraras paso a paso como lo...
TRANSCRIPT
9. EN EL CONTINENTE
FRANCISCO JOSÉ LÓPEZ ROMERO 2ºSMR
Aquí encontraras paso a paso como lo hacían y como solucionaba los problemas, e identificaba la solución solo con pensar, es algo difícil de entender pero entendiendo los conceptos vas comprendiéndolo
EN EL CONTINENTE• En algún rincón de Londres• La zambullida• Búsquedas en la red• Identificación de un router
• El segundo día• Examen de la configuración del dispositivo 3COM• El tercer día• Reflexiones sobre la “intuición de los hackers”• El cuarto día• Acceso al sistema de la compañía• Objetivo cumplido
DILUCIDACIÓN
Contramedidas • Soluciones provisionales• El uso de los puertos superiores• Contraseñas• Protección de los portátiles personales• Autentificación• Filtro de servicios innecesarios• Fortalecimiento
LA ÚLTIMA LÍNEA
9.En el continente
ÍNDICE
En algún rincón de LondresHay una sala llena de técnicos que trabajan y algunas veces se gastan bromas. En la sala se encuentra Louis, chico del norte de Inglaterra al que le regalaron un ordenador para aprender un poco de la tecnología. Se concentró en el hacking aunque le causó problemas siguió aprendiendo y al crecer no encontraba tiempo para los deportes ingleses.
Louis y su amigo Brock aceptaron un trabajo de seguridad para una empresa que trasladaba presos de la cárcel a otra o al juzgado. Ellos no sabían cómo empezar por lo que buscaron información de la empresa. Averiguaron que rangos de direcciones IP fueron asignada a la organización desde el sitio Web, el servidor de correo de la empresa y también el registro que gestiona los números de las direcciones IP en Europa (RIPE).
Louis probó la técnica de enviar un correo electrónico a una dirección que no existía para obtener información de utilidad pero al no lograrla pensaron Louis y Brock en crear un DNS propio para la empresa con lo que tendría que indagar en la red interna o alguna vulnerabilidad del DNS. Encontraron que el DNS estaba en el proveedor de acceso de Internet (ISP).
La zambullida
9.En el continente
ÍNDICE
Para ello utilizaron traceroute de Unix, su función es el recuento del número de saltos. Ejecutaron el traceroute hasta el servidor de correo y hasta el cortafuego de la frontera. La herramienta notificó que el servidor de correo estaba un salto detrás de los cortafuegos. Con la pista averiguaron la ubicación del DMZ (Zona delimitada por dos cortafuegos y se encarga de proteger la red interna en caso de que se comprometan los sistemas expuestos a internet).
Los chicos sabían que el servidor de correo tenía el puerto 25 abierto y, ejecutando el traceroute, lograron una idea de la arquitectura de la red. Buscaron puertos comunes abiertos por el cortafuego encontrando solo 3: servidor de correo, web con todos los parches de seguridad instalados aunque parecía que no estaban en uso y el servicio telnet. Al acceder al telnet identificaron que la máquina era de Cisco y su contraseñas suelen ser obvias pero no consiguieron averiguarla. El resultado del día completo fue que solo encontraron un router.
Identificación de un router
Louis y Brock utilizan un sondeo DNS inverso para obtener los nombres de host del rango de direcciones IP de la empresa, empleando un script de PERL sencillo. Pudieron observar los nombres reveladores de los sistemas y su función. También obtuvieron información que los administradores no tendría todo el control de la información sobre la red y consiguieron averiguar que podrían acceder al control.
Búsquedas en la red
9.En el continente
ÍNDICE
9.En el continente
Louis y Brock empezaron el segundo día con sondeos más intensos de los puertos utilizando Nmap realizando el sondeo de los servicios predeterminados (1.600 puertos) sin encontrar resultado. Entonces hicieron un sondeo completo de los puertos, tanto el router como los servidores de correo (65.000 puertos) que se encontró un puerto abierto (4065) aunque era poco habitual. Se conectaron a él a través de telnet (Es un protocolo para controlar remotamente otra máquina situada en cualquier punto de Internet) pidiéndole un nombre e contraseña.
Para poder tener acceso al 3COM, Brock se conectó a través del puerto TCP utilizando el telnet el cual le pidió un usuario y contraseña, suelen ser obvias por lo que tras varios intentos lo consiguió, era en ambos casos “admin”. Consultaron información del dispositivo y vieron que alguien dejo habilitado el acceso tras acceder a él y se le olvido deshacerlo y se iría sin tener en cuenta las consecuencias de dejarlo habilitado.
El segundo día
El dispositivo 3COM estaba detrás del cortafuego y el error del administrador les había abierto el camino. El dispositivo se ubica en el rango de direcciones junto al servidor de correo y fuera de los cortafuegos interno, en la DMZ. Pusieron una captura de registro de la consola en tiempo real por si hubiera alguna actividad cuando ellos no estuvieran.
Examen de la configuración del dispositivo 3COM
ÍNDICE
9.En el continente
Brock encontró al examinar el registro un tipo de VPN que los usuarios utilizaban para conectarse a la red de la compañía desde internet. Intentaron crear su propia interfaz de VPN personal en el dispositivo 3 COM con IP distinta pero no funciono ya que interrumpiría los servicios legítimos. Intentaron ver si el Host estaba activo o vivo mediante el ping a la red entera y encontraron que había otras máquinas en el dominio que no dejaban hacer lo que querían. Indagaron en las direcciones IP y en los historiales de inscripción se detallaban los cambios y tenían información del contacto del personal administrativo y técnico responsable de la red. Utilizando esas direcciones, visitaron de nuevo los historiales de inscripciones del RIPE obteniendo información sobre la compañía que había asignado esas direcciones provenientes de un gran proveedor de telecomunicaciones de ese país. Para acceder a la red y obtener los datos, un guardia llamando desde un módem celular, se conectaba con el ISP, que tendría una conexión VPN con el dispositivo 3COM que es encargado de enviar su usuario y contraseña a otro servidor para su autentificación. Pero no sabían cómo era los números de teléfono de esos dispositivos con marcación telefónica.
El tercer día
La intuición se puede definir como la experiencia, está se obtiene observando las configuraciones de las redes y sistemas del entorno logrando ver su diseño y errores y obteniendo el conocimiento.
Reflexiones sobre la «intuición de los hackers»
ÍNDICE
9.En el continente
Se sentaron y miraron el registro del 3COM para cuando la gente se conectará entrar al sistema del cliente escogiendo algunos puertos como telnet, servidor FTP, servidor Web que no estuviera protegido. Accediendo a través de PC Anywhere gracias a una persona que lo tenia (está permitía asumir el control remoto de un equipo siempre que el otro equipo tuviera en ejecución este programa). Tras un rato de espera, se conectó con el cliente que estaba a su vez conectado al 3COM. Para dejar fuera al usuario del control de su ordenador, Louis abrió sesión y pulso dos botones para que el usuario no pudiera usar el teclado asumiendo ellos el control total de la sesión y apagaron su pantalla para que no viera lo que estaban haciendo pero solo tenía un tiempo limitado. Miraron el archivo de la lista de contraseñas (PWL) que contiene las contraseñas de acceso telefónico y de red. Antes de descargarlo tuvieron que deshabilitar el antivirus e intentaron trasferir el archivo a su equipo pero no funcionó por lo que intentaron craquear el archivo PWL encontrándose una dificultad en la conversión del teclado ya que estaba para un idioma extranjero. La solución la encontraron en internet, activando la tecla “Bloq Num” y mantener “Alt” y escribir el nº del carácter ASCII en el teclado numérico que sería fácil ya que en la pared tenían tablas de ASCII. Lograron craquearla y pasaron el archivo PWL a uno de texto que enviarían a un servidor FTP. Cuando examinaron el archivo encontraron todo lo que necesitaban: credenciales de autentificación, nº de marcación y información de inicio de sesión para conectarse al servicio VPN de la compañía. Mientras iban limpiando para no dejar rastro, Louis encontró un icono que se utilizaban para obtener información de la compañía que necesitaban los conductores.
El cuarto día
ÍNDICE
9.En el continente
Louis y Brock consiguieron el número
de teléfono para su marcación pero era
extranjero. Utilizando un sistema Windows
igual que el que utilizaba el guardia ,
marcaron el acceso a la red de la empresa
introdujeron el nombre de usuario y la
contraseña y se estableció una conexión
VPN que con ella le dio una dirección IP virtual dentro
de la DMZ de la compañía logrando estar
detrás del primer cortafuegos. Pero aún le
quedaba enfrentarse al cortafuego que
Protegía la red interna.
Acceso al sistema de la compañía
Louis y Brock tenían el control total del servidor de aplicaciones y los datos que se almacenaban allí incluyendo el control de todas las operaciones de la empresa. Con esto podrían hacerse ricos o provocar el caos que fue algo raro que nos vieron los técnicos. Lo que esa compañía considera seguridad es de dudosa seguridad pensaban ellos.
Objetivo cumplido
ÍNDICE
9.En el continente
Louis y Brock informaron de algunos cambios en la configuración para cerrar grietas. Los técnicos de la empresa no quieren que nadie les diga lo que tienen que hacer porque piensan que ya lo saben. Y cuando hay una intrusión piensa que ha sido solo suerte. Encontraron el servidor Windows que no tenía parches e ejecutaba el servidor de Información de Internet (IIS) con una versión antigua del software. Ejecutaron la herramienta de detección de vulnerabilidades de Unicode contra el servicio IIS4 y era vulnerable. Estaban bloqueados porque no tenían la posibilidad de cargar archivos pero utilizando la vulnerabilidad de Unicode para ejecutar el comando de la Shell “echo” (Escribe los argumentos que pasen), cargar un script de Página Activa de Servidor (ASP). Cargaron la herramienta de redes netcat que escuchaba los que pasaba en los puertos entrantes. También la herramienta HK que explota una vulnerabilidad de la versión Windows NT para obtener privilegios de administrador del sistema. Con esto querían establecer una conexión saliente desde el servidor Web interno hasta el equipo de la DMZ aunque no funcionó. Por lo que tuvieron que utilizar la llamada técnica de empujar puertos (empujar se refería a sacar el IIS temporal del camino, robar una Shell y permitir que vuelva el IIS a su sitio mientras se mantiene el acceso a la shell). Pero al ver que la cuenta con la que estaba operando estaba limitada ejecutaron la HK y la netcat logrando privilegios absolutos del sistema. Querían obtener una copia del archivo Administrador de las Cuentas de Seguridad (SAM) donde se encontrarían las contraseñas de todas las cuentas del servidor por lo que ejecutaron el comando “rdisk /s” creando un archivo llamado “repair” con ese archivo actualizado (SAM). Craquearon las contraseñas del archivo SAM con las contraseñas del archivo PWL y vieron que había otra cuenta de administrador era del Servidor Web y no tenía privilegios sobre todo el dominio pero con la contraseña podrían comprometer la cuenta de administrador del dominio.
Dilucidación
Unicode es un juego de caracteres de 16 bits utilizando para codificar caracteres de muchos idiomas diferentes con un solo juego de caracteres.
Webroot es el directorio raíz del servidor Web.
ASP, encargada de transferir herramientas de hacking a un directorio de la webroot autorizado para ejecutar scripts en el lado del servidor y se puede direccionar a un archivo en vez de visualizarse en pantalla del usuario.
ÍNDICE
Para solucionar el error permanente del dispositivo 3COM con el puerto serie del router de Cisco deberían elaborar un programa para comprobar la configuración de los dispositivos de una pasarela mediante la inspección física y lógica o utilizando una herramienta de seguridad que vigile constantemente si los puertos abiertos existentes en un host o dispositivo cumplen las normas de seguridad de la empresa.
Contramedidas
Las contraseñas predeterminadas de los dispositivos
deben ser cambiadas antes de entrar en ejecución.
Contraseñas
La compañía de seguridad pensaron que sería extraño utilizar un router Cisco para permitir conexiones remotas a través de un puerto superior pero esto es un grave error ya que se dejan una grieta de seguridad.
El uso de los puertos superiores
Soluciones provisionales
Los sistemas clientes tengan un nivel de seguridad antes el
acceso a la red para ello controles de seguridad están acorde
con las normas de la empresa sino lo está se niega el acceso.
ÍNDICE
Protección de los portátiles personales
9.En el continente
ÍNDICE
Personal informático no fortaleció los sistemas informáticos conectados a la red interna ni mantenía actualizado los parches de seguridad seguramente porque el riesgo era bajo. Si el atacante accede al sistema interno, la puerta estaría abierta y podría extender el acceso ya que los otros sistemas confían en el equipo comprometido. Es importante tener el cortafuego sin él toda la fortaleza es interna, ya que toda fortaleza tiene su debilidad.
.
Fortalecimiento
Los atacaron consiguieron la autentificación del sistema del cliente
sin ser detectado pero para que esto no ocurriera lo ideal es usar
contraseñas dinámicas, tarjetas inteligentes, testigos o certificados
digitales para al acceso al VPN u otros sistemas confidenciales.
Autentificación
El personal informático debería pensar en crear un conjunto de reglas de filtrado para controlar tanto las conexiones entrantes como salientes de hosts y los servicios específicos de redes que no sean de confianza, como Internet, y de redes internas de la
empresa que no sean completamente de confianza (DMZ).
Filtro de servicios innecesarios
9.En el continente
ÍNDICE
• Desarrollar un proceso para la gestión de los parches que garantice que se aplican a tiempo todas las soluciones de seguridad necesarias.
• Para el acceso remoto a información confidencial o a los recursos informáticos utilizar métodos más fiables de autentificación que las contraseñas estáticas.
• Cambiar todas las contraseñas predeterminadas.• Utilizar un modelo de defensa en profundidad para que una sola deficiencia no ponga en
peligro la seguridad y poner a prueba periódicamente este modelo.• Establecer una política de seguridad corporativa para el filtro del tráfico entrante y saliente.• Fortalecer todos los sistemas clientes que accedan a información confidencial o a los recursos
informáticos. • Utilizar dispositivos de detección de intrusiones para identificar el tráfico sospechoso o los
intentos de explotar las vulnerabilidades conocidas. Pueden, además, identificar actividad interna maliciosa o aún atacante que ya haya comprometido el perímetro de seguridad.
• Habilitar funciones de auditoría del sistema operativo y de las aplicaciones cruciales. Además, asegurar que los , registros se conservan en un host seguro que no tenga otros servicios y que el número de cuentas de usuario es mínimo.
La última línea (medidas frente atacantes)