Crónica de un ataque (parte 1)

Bueno, como lo prometido es deuda, realizaremos un ataque a el hijo de la mil p!€/&"/s que se está colgando de nuestra red.

Para este caso, voy a realizar la prueba de concepto, con un modem x sin switch ni firewall, porque la mayoría de las personas, así lo tienen.

Supongamos que el sujeto está colgado de nuestra red

Opción 1: llorar porque tu ancho de banda esta por debajo de 0.20 mb.

Opción 2: seguir leyendo este post y hacerte todo un fucking ninja de los ataques man in the middle.

Ok, para los que habéis escogido la opción 2.

No les voy a decir que cambien el password de su modem, antes de eso vamos a hacer que suplique no haber nacido aquel que no esté pagando por el servicio.

Lo primero que haremos será la estructura del ataque.

El ataque se compone de varias técnicas que al fusionarlas, obtenemos resultados positivos y credenciales xD.

Man in the middle.

Es el nombre del tipo de ataque que haremos; donde nuestra maquina se pondrá en lugar del modem; recibirá y resolverá conexiones y así podremos sniffar las conexiones.

Conociendo el ataque:

Se ejecutará una serie de herramientas y scripts para interceptar información muy valiosa para el o la que esté colgado de nuestra red, las cuales son:

*Ettercap: es un un receptor de conexiones A.K.A. Sniffer, el cual soporta varias direcciones activas y pasivas.

Greasemonkey: es un Plugin para firefox el cual nos permitirá ejecutar el script de dumpeo de la información.

Cookie Injector: es el script que ejecutaremos; no es necesario tener conocimientos de programacion.

*En el siguiente post se harán las respectivas configuraciones, puesto que no solo con ejecutarlo funcionará.

Lista la Cronica de un ataque parte 2

Read More

Introducción a la informatíca Forenese

El computo forense o simplemente forense, es una rama de la informática, la cual tiene por objetivo analizar información en un dispositivo "post mortem" aunque no se limita solo a eso; en el computo forense se hace todo lo que un investigador en la vida real haría, solo que con métodos digitales.

En estos tiempos, la tecnología se ha hecho indispensable para la sociedad; todo está en Internet, pero eso no siempre es bueno, puesto que hay delitos que se cometen directamente en la red y es ahí donde el computo forense hace presencia.

Todo el publico en cuanto abre el navegador, queda expuesto al robo de información, pero las mas vulnerables son las empresas puesto que si la seguridad no está entre sus prioridades, los defaces, las inyecciones de código malicioso, el robo de identidad, robo de secretos industriales, etcétera, pueden hacer que una empresa tenga perdidas económicas criticas.

Pero en muchas ocasiones los criminales pueden estar caminando incluso dentro de los pasillos de la empresa.

Pongamos un ejemplo:

Una empresa tiene que hacer un recorte de presupuesto y tiene que despedir un 15% de la nomina.

<sarcasmo>En el mejor de los casos, no pasa nada y todo mundo está contento con su liquidación</sarcasmo>

Pero en el peor, que por experiencia es el que siempre pasa, alguien que está en descontento con su finiquito, se lleva información de prioridad 1  en su disco duro, para venderla a la competencia.

Pues es ahí donde el computo forense realiza todo un procedimiento para saber quien, como y donde se cometió el delito informático.

El computo forense tiene un proceso para llevar a cabo un análisis; que son: La identificación; la preservación, el análisis y la presentación.

Identificación:
A partir de aquí la cadena de custodia es muy importante, también se tiene que conocer todo lo que hay detrás del ataque, puesto que las pistas están en todas partes, identificar el dispositivo al que se le realizará el análisis.

Preservación:
La preservación es el punto mas importante, puesto que aquí se ponen a prueba el conocimiento del investigador, también esencial porque puesto que si la maquina está prendida y no ha sido manipulada hay mas probabilidades de tener una investigación exitosa.

Con el dispositivo en nuestro poder procedemos a realizar una imagen del disco duro, (en la certificación que hice, dijeron que como mínimo una imagen,  las mejores practicas dictan que puede haber dos copias para hacer comparaciones), con una buena herramienta se pueden sacar las imágenes necesarias; recomiendo dcfldd.

Análisis:
En esta parte el investigador tendrá que poner a prueba todo su conocimiento para verificar, desde los logs del sistema, hasta la recuperación de archivos y correos borrados, pasando por la revisión de navegadores, caches, dispositivos conectados etcétera.

Presentación:
Toda la información obtenida será entregada en un reporte, esta parte es muy importante puesto que si el cliente quiere llevar una acción legal en contra del criminal, el reporte y la información recopilada, se entregará a un representante legal y se le dará asesoría con todos los términos técnicos.

Read More

Quién está conectado a mi red?

Hace un rato que no posteaba nada y el blog estaba muy maltrecho, espero a partir de ahora postear mas seguido y no olvidar tanto al blog.

Regresando al tema, muchas veces nuestra red está lenta y le echamos la culpa a nuestro proveedor de Internet; antes de hacer estas afirmaciones tenemos que eliminar las opciones siguientes.

A) Conocer cual es nuestra velocidad de descarga y hacer un test, speedtest.net es una buena opcion.

-En caso que no esté bajando de forma adecuada:

B)Conectar nuestro equipo con un RJ-45 y volver a testear.

-Sí con esto aun no tienes la descarga contratada, podemos hacerlo a la vieja escuela, con un viejo amigo que se llama NMAP.

Nmap es un explorador de redes, que nos puede servir para la auditoría de la misma, en este caso vamos a hacer una pequeña auditoría para revisar quien esta conectado en nuestro entorno.

Obviamente lo primero sera descargar nmap http://nmap.org/download.html



-Si usan Windows, en la parte de los binarios, recomiendo descargar la ultima versión estable.

-Si usan GNU/Linux, Nmap está en los repositorios es tan fácil como un apt-get install nmap

-En windows se llama zenmap.


Primero realizaré la prueba en Windows y luego en GNU/linux.


Windows:


La interfaz es muy amigable, aunque la prueba de esta ocasión es muy pequeña, Nmap tiene muchas mas opciones, que estaré posteando mas adelante.

La interfaz es muy amigable, aunque la prueba de esta ocasión es muy pequeña, Nmap tiene muchas mas opciones, que estaré posteando mas adelante.

 

Posteriormente, le daremos un comando que es -sn + la dirección IP de tu modem/ + la mascara de subred que tengas esto lo puedes ver de la siguiente forma; Busca en redes, en la administración de adaptadores, revisa las propiedades de tu direccion ipv4 y detecta lo siguiente:

1) Máscara 255.255.255.0 tendrás que usar /24 2) Máscara 255.255.0.0 tendrás que poner /16  3) Máscara 255.0.0.0 tendrás que poner /8 

En mi caso es /24


Queda de la siguiente forma:

 Al dar enter, empieza a escanear y nos arrojará los resultados como se ve en la siguiente imagen.

 

Como pueden ver tengo 3 direcciones IP en mi entorno, la primera es mi modem, la segunda un dispositivo desconocido (en realidad es un access point) y el tercero es la PC donde se esta ejecuta Nmap.

 Ahora vamos a hacerlo desde un ambiente linux, con una distro que en lo particular me gusta mucho: Ubuntu.

Antes que nada vamos a instalar nmap, en una terminal tecleamos; sudo apt-get install nmap.

Los pasos son los mismos, solo que aquí será desde una terminal

Aquí empieza nuestro nmap.

Como ven en este caso me salieron 4 dispositivos, sera que alguien estará robando mi señal wifi?

Bueno, no en realidad, solo es una maquina virtual que he conectado deliberadamente a la red, para empezar con el siguiente articulo, en el cual trataré de simular que alguien entró a mi red y comenzaré un ataque en un ambiente controlado pero con toda la intensión de hacer el mal, puesto que se coló en mi red.

Read More