Virtual HoneyPots con Honeyd.-

Muchos habras escuchado habalr de conceptos como honeypot, honeyclient, honeystuff....; el concepto que se esconde detras de cada uno de estos términos es esencialmente el mismo (haciendo foco en el objetivo final) atraer atacantes a nuestra trampa. Bueno para todo esto ha surgido ya hace tiempo honeyd! Si, a muchos el nombre les suena familiar honeyd es un daemon encargado de la generación de equipos virtuales ( Si! honeyclients) segun afirman es capaz de crear mas de 65536 virtual hosts. Entre sus caracteristicas destaco que es muy sencillo de configurar, mediante un archivo de configuracion podemos definirle que S.O. emulará, rutas, plugins, etc. Y hablando de estos ultimos, plugins, se pueden encontrar gran diversidad y mas que nada rescato otros dos aspectos: 1) Simplicidad para adaptarlos y diseñarlos by our own y 2) la calidad de los ya existentes.
Asi que ya saben de la mano de honeyd los Virtual HoneyPots han nacido!

Más información:

• Página del proyecto honeyd
• Plugins para el proyecto
• Ganadores del concurso de plugins

Leer más...

Resumen CEH: Modulo 2: Footprinting e Ingeniería Social.-

Modulo 2: Footprinting e Ingeniería Social.

¿Qué es Footprinting?

Se define al footprinting como el proceso de creación de un mapa informativo del objetivo. Se ubica dentro del proceso de Information Gathering.

Metodología de Recopilación de Información.

Considera básicamente tres etapas:

• Footprinting
• Scanning
• Enumeration

Enumeración DNS

El sistema de resolucion de nombres definido en los RFC 1034 y 1035 nos brindará gran parte de la información de esta etapa. La enumeración DNS consta en determinar los servidores DNS del objetivo ya que de estos podremos obtener valiosa información. El sistema DNS utiliza tres componentes principales a saber:

Clientes DNS

Servidores DNS

Zonas de Autoridad

DNS Zone Transfer

En sistemas donde existe mas de un servidor DNS con autoridad al realizarse un cambio en la zona del serv. Maestro dichos cambios se deberan reflejar en los servidores secundarios de esa zona. Este proceso se lleva a cabo mediante el mecanismo conocido como “Zone Transfer” o transferencia de zona. Para completar la información (todo esto es adicional al CEH) existen dos tipos de transferencias de zona: completa e incremental. Como bien lo dice su nombre en la “completa” el serv. DNS transfiere toda la base de datos de zona al Server secundario. En la incremental solo se transfiere la parte modificada de dicha zona.

Las transferencias de zona son necesarias y no pueden ser deshabilitadas completamente. Solo deben estra permitidas entre servidores DNS y clientes que requieran de estas.

Si un atacante puede realizar una transferencia de zona tambien podrá realizar ataques de DoS contra esos servers DNS.

WHOIS y ARIN Lookups

WHOIS es una herramienta y un protocolo que identifica información de registración de un dominio. Está definido en el RFC 3912. Con él es posible recolectar información de registro de un determinado dominio lo cual puede ser información valiosa durante el proceso de footprinting.

ARIN (American Registry for Internet Numbers) es una organización de registración regional de sitios web. En su base de datos se puede encontrar gran información acerca de dominios registrados.

Órganos autorizados para asignación de números:

• IANA – Internet Assigned Numbers Authority
• ICANN – Internet Corporation for Assigned Names and Numbers
• NRO – Numer Resource Organisation

Entidades de registro por Region Geografica:

• AFRINIC – African Network Information Centre
• ARIN – American Registry for Intenet Numbers
• LACNIC – Latin America & Caribbean Network Information Centre
• RIPE – Reseaux IP Europeens Network Coordination Centre
• APNIC – Asian Pacific Network Information Centre

Herramientas utilizadas durante el proceso de footprinting:

Dnsstuff

Fixedorbit

Traceroute

Kartoo

Robtex

Samspade

Whois

E-Mail Tracking: Los sistemas de email tracking permiten saber cuando un usuario lee, reenvía, modifica o borra un email.

¿Ingeniería Social?

La ingeniería social es un método no técnico para obtener información acerca de un objetivo basándose en el factor humano como eslabón débil en la cadena a vulnerar. En ella se incluyen los procesos de engañar a usuarios mediante diversos métodos como ser la influencia, persuasión, amenazas, mentiras, etc. Los métodos tienden a explotar la característica de que el ser humano tiene una tendencia natural de confiar y ayudar a otras personas.

Tipos de ataques

Básicamente podemos hacer una distinción entre los ataques Human Based y los Computer Based. El primero hace referencia a la interacción entre personas y el segundo en cambio se refiere al uso de software para lograr el cometido.

Tipos de ataque comunes:

Human Based:

• Impersonalización
• Simular ser un empleado con mayor jerarquia
• La tercera parte de confianza: Suponer la autorización de un tercero
• Fingir pertenecer al Soporte Técnico
• Shoulder Surfing
• Dumpster Diving

Computer Based:

• Sitios Web Falsos (Phishing)
• Archivos adjuntos contaminados

Insiders

Se conoce con este nombre a aquellos individuos que realizan la intrusión y forman parte de la organización (ejecutan el ataque desde “adentro”). Una nota que explica esto en mayor detalle fue publicada en la revista NextIT, en breve la subiré a la web para que todos dispongan de ella.

Tipos de ataques efectuados por los insiders:

• Tailgating
• Piggybacking
• Eavesdropping

Countemeasures ante insiders

• Separación de las tareas
• Rotación de personal / tareas.
• Regla del mínimo privilegio
• Controles de acceso
• Auditorias
• Políticas de seguridad

En el proximo modulo veremos “Escaneo y Enumeración”, ya les voy recomendando el manual de Death Master de escaneo de puertos va a ser muy útil durante todo el curso/vida.

Leer más...

Resumen CEH: Parte 2 - Modulo 1: Introduccion al Hacking Etico, Etica y Legalidad.

Continuamos con el modulo 1 del CEH...

Metodos de ataque ó “Ethical Hacks”

• Remote Network Hack: Simula la intrusión al sistema desde fuera de la red (Internet)
• Remote Dial-Up Network Hack: Simula la intrusión contra el pool de modems de la compañía.
• Local Network Hack: Simula la intrusión desde dentro de la organización.
• Stolen Equipment Hack: Simula la intrusión que se puede llevar a caba tras el robo de un dispositivo con información critica de la organización.
• Physical Entry Attack: Intenta la intrusión fisica de la organización.

Tipos de Evaluaciones de Seguridad

• Blind ó “Black Box”: El ST (Security Tester) no cuenta con ninguna información del objetivo. A su vez existe el “Double Black Box” que implica el desconocimiento de las tareas a realizar por el ST de parte del cliente.
• White Box: El ST tiene pleno conocimiento del objetivo.
• Gray Box: Examina el nivel de acceso desde la red interna.

Categorización de los computers crimes

• Computer Assisted Crime: Crímenes cometidos usando una computadora.
• Computer Specific / Targeted Crime: Crímenes cometidos contra una computadora/red o sistema.

El siguiente modulo será "Footprinting & Social Engineering"... Leer más...