martes, 28 de mayo de 2013

No solo de computadores vive el hacker, como ya vimos el factor humano es un factor indispensable para poder realizar una auditoría de seguridad, ya que por lo general los ataques que incluyen la interacción con un usuario son los más efectivos.

Con la siguiente demostración, y la herramienta maltego (que previamente instalamos y configuramos aquí) recolectemos información de correos electrónicos, y a partir de éstos hallazgos buscaremos información personal sobre gustos, lugares frecuentados, perfiles en las redes sociales. Aunque esto pareciera no tener sentido, porque se está auditando una compañía y no una persona, los pondré en situación, muchos usuarios tienen acceso a internet, por ende a sus correos personales o corporativos, si en la fase de recolección de información encontramos por ejemplo, que el gerente general de la compañía es aficionado a un equipo de fútbol, será mucho más cómodo enviarle a su correo un enlace o archivo malicioso donde se prometa noticias o actualizaciones de su equipo favorito, pero que en realidad comprometa la seguridad del equipo, y por ende cumplir nuestro objetivo.

Primero vamos a generar una nueva gráfica:




Seleccionamos "Domain" y lo arrastramos a la zona libre de la izquierda, hecho esto, cambiaremos el valor de "Domain name" a nuestro conejillo de indias de turno "cun.edu.co"




Bien, ahora extraéremos algunos de los correos electrónicos que están asociados al dominio, seguiremos la indicación de la gráfica, primero click derecho sobre la entidad que contiene el dominio, "run transform", luego "Email addresses from Domain" y allí tendremos 3 opciones, las seleccionaremos todas: 








Y obtendremos como resultado algo parecido a esto: 




Bien, ¿Y ahora?, pues comenzaremos a investigar, tomaremos el primer resultado, le daremos click derecho, seleccionamos "Type Actions" y luego "Google me!", como se imaginarán, es para buscarla en google




Iremos a la primera búsqueda que nos arroja google




 y bueno, encontramos cosas bastante interesantes, por ejemplo que este sujeto es el administrador del dominio


Prosigamos investigando




Esta vez no usaremos ninguna acción, sino realizaremos la búsqueda manual en google




Y como verán tendremos un resultado de LinkedIn la popular red social para subir los currículos laborales




Bien, como lo notaron, el sujeto ya no trabaja allí, para reducir el número de falsos positivos, podemos confirmar si la dirección de correo existe o no, gracias a otra de las grandes funcionalidades de maltego, damos click derecho sobre la entidad a confirmar, "Run Transform", "Other transforms" y seleccionamos "Verify email address exists" 




Y obtendremos una confirmación de si la dirección existe o no





Espero hayan disfrutado de la entrada, y no limiten a lo aquí demostrado, sino que continúen explorando las diferentes opciones contenidas dentro de la herramienta. 

¡Hasta la próxima!





Estimados lectores,pensando en la manera de realizar los tutoriales de manera completa y buscando la forma de siempre hacer las entradas de manera corta, decidí crear páginas aparte dentro del blog, donde se encontrará la instalación y configuración de las herramientas que se usarán en las prácticas, y dentro de las entradas ubicaré el vínculo que los llevará a la página con la información referente al aplicativo, su instalación y configuración.

¡Saludos!

jueves, 23 de mayo de 2013

Nunca me cansaré, ni dejaré de expresar en cuanto foro, blog, lista de correo haya, que el paso mas importante para hacer una prueba de penetración (pentest) es el reconocimiento del objetivo, y es que no se puede ir por ahí, a ciegas, lanzando xploits de manera aleatoria, o realizando ataques de fuerza bruta, esto aunque puede funcionar,es muy poco profesional, a demás de alertar antivirus,  firewalls, IDS, IPS, llenar registros de eventos y "poner en guardia" a administradores de red que están siempre alerta.

Las técnicas de reconocimiento están divididas en dos tipos:
  • Reconocimiento pasivo: Consiste en revisar la información pública del objetivo, direcciones, teléfonos, correos electrónicos, licitaciones, empresas prestadoras de servicio, horarios de atención, etc. 
  • Reconocimiento activo: Esta técnica es mucho mas invasiva consiste en consultar registros DNS, realizar escaneos de red, identificación de banners, identificación de la estructura web y posibles vulnerabilidades, busca de comunidades SNMP, consultas Whois, y búsqueda de información por medio de motores de búsqueda.
Aunque pueden faltar muchas más formas de obtener información, por el momento trabajaremos con estas, el tema es bastante largo, así que trataré de agilizar lo que mas pueda para poder entrar de lleno a las prácticas.

¡Un saludo!

jueves, 2 de mayo de 2013

Muchos piensan que un ataque a un sistema solo consiste en ingresar a un par de computadores, robar datos privados, publicarlos por toda la red, luego dejar un mensajito "cool" en la página web del atacado para después hacer divulgación en las redes sociales. Esa ha sido la mala fama que se muchos han hecho al rededor de la seguridad informática, pues bien, nada mas alejado de la realidad está lo antes mencionado, los pasos mas comúnes aunque algunos se pueden ver como "opcionales" dependiendo del sistema a atacar:

  1. Reconocimiento: Esta fase es una de las más importantes, ya que con ella nos podemos hacer un imaginario de la estructura de la red a auditar, así como direcciones IP, direcciones físicas, correos electrónicos, números de teléfono, posibles nombres de usuario y datos que puedan ser interesantes o contengan información que nos permitan acercarnos a la vćtima.
  2. Escaneo: Ya tenemos muy bien identificado al objetivo, ahora necesitamos saber, si tienen algún puerto abierto, alguna versión de software vulnerable, una posible inyección SQL, algún servidor desactualizado o si por lo contrario, la vulnerabilidad está de cara al usuario.
  3. Ganar acceso: Esta es la parte donde se canta victoria, si todo va bien, se habrá completado con éxito estaremos dentro de nuestro sistema objetivo, Se realiza realizando alguna explotación de una vulnerabilidad encontrada, el uso de alguna contraseña por defecto, ataque por fueza bruta, o el método que sea necesario para lograr el objetivo.
  4. Mantener acceso: No solo basta con tener acceso por una vez al objetivo, ni tener memorizado el proceso realizado en el paso 3, ya que en cualquier momento pueden detectar la vulnerabilidad y cerrarla, así que se debe dejar a la mano alguna herramienta que permita de manera silenciosa acceder al objetivo sin ser detectado.
  5. Cubrimiento de huellas: A nadie le gusta ser atrapado en nada ilegal, por eso los atacantes maliciosos son bastante cuidadosos con esto (algunos) y se encargan de borrar toda pista que pueda dar un indicio de su paradero, incluso, se puede llegar a borrar evidencia de como se realizó el ataque.
 Bien, eso es todo por el momento, con esta entrada les estaré dando la antesala a las cosas que vendrán para el blog, espero les emocione tanto como a mí.  Un abrazo y hasta la próxima.

 
Copyright © 2011 Experiencias de un Newbie. Designed by Wpdesigner, blogger templates by Blog and Web