Professional Documents
Culture Documents
http://networkingtools.blogspot.com/
1
TABLA DE CONTENIDO
Ingeniería Social 3
Phishing 3
Escaneo de Puertos 4
Wardialers 5
Código Malicioso 5
Ataques de Contraseña 13
Control Remoto de Equipos 13
Eavesdropping 14
Desbordamiento de CAM 14
VLAN hopping 14
STP manipulation 15
Man-in-the-middle 15
Defacement 15
IP Spoofing - MAC Address Spoofing 15
Repetición de Transacción 15
Backdoors 15
DHCP Starvation 16
Trashing 16
Denegación de Servicio 16
Denegación de Servicio Distribuida 16
Fraude Informático 16
Software ilegal 16
Acceso a Información Confidencial Impresa 17
Daños Físicos al Equipamiento 17
2
PRINCIPALES AMENAZAS
Ingeniería Social
Phishing
3
Escaneo de Puertos
http://www.pablin.com.ar/computer/info/varios/scanning.htm
4
Wardialers
Se define como todo programa o fragmento del mismo que genera algún tipo
de problema en el sistema en el cual se ejecuta, interfiriendo de esta forma con
el normal funcionamiento del mismo. Existen diferentes tipos de código
malicioso; a continuación mencionamos algunos de ellos:
* Bombas lógicas
5
* Troyanos
¿CÓMO SE UTILIZAN?
EJEMPLOS DE TROYANOS
● Back Oriffice 2000: Sin lugar a duda el troyano que más pánico causó
en los últimos tiempos. Fue el preferido de todos por ser el primero que
salió en Internet con una facilidad de uso impresionante y características
que otros troyanos aun no imaginaban, como la renovada parte gráfica.
En la última versión del programa se puede notar que fue programado
para funciones de administración remota, ya que se nota la
programación estructurada y concisa, sin botones de más, ni funciones
innecesarias para el usuario final, la mejor versión hasta el momento.
6
● SubSeven: Otro troyano que causó un gran impacto, probablemente el
más usado en la actualidad, ya que el programa servidor ocupa menos
aun que el servidor del NetBus o el Back Oriffice. La parte gráfica es
distinta a las demás, la complementan un gran juego de "skins"
(texturas, colores, etc.) y mejor facilidad de uso, además incluye nuevas
funciones como la desconexión de Internet del equipo remoto, el cuelgue
del modem, el cambio de resolución de la pantalla, lista de los
passwords que se encuentran en el cache (las contraseñas que el
usuario escribió recientemente), y los passwords de la conexión
telefónica a redes, es decir la contraseña de internet. Tamaño del
servidor: 327 KB
● Cybersensor: Este troyano esta programado especialmente para
funcionar bajo WindowsNT. No es tan conocido como los anteriores.
Tamaño del servidor: 29.5 KB
● DeepThroat v2: Este programa también es bastante conocido, incluye
muchas funciones muy parecidas al resto de los troyanos, como la de
adquirir las contraseñas en el chache de la PC remota y las típicas
funciones del resto. Tamaño del servidor: 304 KB
● Dolly Trojan: Excelente troyano, lástima que no se ganó el aprecio del
público porque el servidor es muy grande. Evidentemente el
programador no tenía la experiencia necesaria.
● Girlfriend 1.35: Al contrario del Dolly Troyan este programa es muy
pequeño, al igual que su servidor, por lo tanto no incluye tantas
funciones.
● InCommand v1.0: Diferente a todos los demás este programa es de
tamaño medio, pero lamentablemente no pudo adquirir la atención del
usuario porque no tiene suficientes funciones. Tamaño del servidor: 168
KB
● NetSphere: Nuevamente, al igual que el Dolly este troyano posee un
servidor muy grande por lo que se hace pesado el envío por Internet o
por e-mail, lo que lleva a la gente a buscar algo menos pesado para
enviar, recurriendo a otro troyano. Tamaño del servidor: 621 KB
● Master Angel 97: Este troyano es uno de los menos conocidos, pero no
deja de ser muy bueno.
7
* Gusanos
* Cookies
* Keyloggers
http://www.viruslist.com/sp/analysis?pubid=207270921
* Spyware
Ejemplo:
8
● CoolWebSearch, un grupo de programas, se aprovecha de
vulnerabilidades del Internet Explorer. El paquete dirige tráfico a los
anuncios en Web site incluyendo coolwebsearch.com. Exhibe los
anuncios pop-up, reescrituras Search Engine los resultados, y alteran la
computadora infectada archivo de los anfitriones para dirigir DNS
operaciones de búsqueda a estos sitios.[24]
● Optimizador del Internet, también conocido como DyFuCa, vuelve a
dirigir las páginas del error del Internet Explorer a la publicidad. Cuando
los usuarios siguen un acoplamiento quebrado o incorporan un URL
erróneo, ven una página de anuncios. Sin embargo, porque los Web site
contraseña-protegidos (autentificación básica del HTTP) utilizan el
mismo mecanismo que errores del HTTP, el optimizador del Internet
hace imposible para que el usuario tenga acceso a sitios contraseña-
protegidos.[24]
● Zango (antes 180 soluciones) transmite la información detallada a los
publicistas sobre los Web site que los usuarios visitan. También altera
las peticiones del HTTP para afiliado los anuncios se ligaron de un Web
site, de modo que los anuncios hagan unearned el beneficio para la
compañía de 180 soluciones. Abre los anuncios pop-up que cubren
sobre los Web site de compañías competentes.[11]
● HuntBar, aka WinTools o Adware.Websearch, fue instalado por un
ActiveX conducir-por transferencia directa en los Web site del afiliado, o
por los anuncios exhibidos por el otro ejemplo de los programas-uno del
spyware de cómo el spyware puede instalar más spyware. Estos
programas agregan toolbars al IE, siguen comportamiento el hojear del
agregado, vuelven a dirigir referencias del afiliado, y exhiben los
anuncios.[25][26]
● Movieland, también conocido como Moviepass.tv o Popcorn.net, es
un servicio de la transferencia directa de la película que ha sido el tema
de millares de quejas a la Comisión comercial federal (FTC), Washington
Oficina del Procurador General de la República del estado, Oficina de un
negocio mejor, y otros por los consumidores que demandaban eran
rehén sostenido por su repetido ventanas pop-up y demandas para el
pago.[27] El FTC ha archivado a queja contra Movieland.com y once
otros demandados la carga de ellos con tener “enganchó a un esquema
a nivel nacional para utilizar engaño y coerción para extraer pagos de
consumidores. “La queja alega que el software abrió en varias ocasiones
las ventanas pop-up de gran tamaño que no podrían ser cerradas o no
redujeron al mínimo, acompañadas por la música que duró casi un
minuto, exigiendo el pago de por lo menos $29.95 para terminar el ciclo
pop-up; y demandar que los consumidores habían firmado para arriba
para un ensayo libre de tres días pero no canceló su calidad de miembro
antes del período de prueba encima, y fue obligada así para
pagar.[28][29]
9
Cuestiones legales relacionadas con el spyware
Derecho penal
El acceso desautorizado a una computadora es ilegal debajo delito
informático leyes, tales como los E.E.U.U. Fraude de computadora y acto
del abuso, los Reino Unido Acto del uso erróneo de la computadora y leyes
similares en otros países. Desde los dueños de las computadoras
infectadas con demanda del spyware generalmente que nunca autorizaron
la instalación, a a primera vista la lectura sugeriría que la promulgación del
spyware contara como acto criminal. La aplicación de ley ha perseguido a
menudo a los autores del otro malware, particularmente virus. Sin embargo,
se han procesado pocos reveladores del spyware, y muchos funcionan
abiertamente como negocios terminantemente legítimos, aunque algunos
han hecho frente a pleitos.[30][31]
Los productores de Spyware discuten que, contrariamente a las demandas
de los usuarios, los usuarios de hecho den consentimiento a las
instalaciones. Spyware que viene liado con usos del shareware se puede
describir en legalese texto del acuerdo de licencia del usuario final (EULA).
Muchos usuarios habitual no hacen caso de estos contratos pretendidos,
pero las compañías del spyware tales como Claria demandan éstos
demuestran que han consentido los usuarios.
Exploits
Ejemplos
http://xaviaffairs.blogspot.com/2007/10/ejemplo-de-funcionamiento-de-un-
exploit.html
10
Este exploit no es muy largo (ya dijimos que son pequeños trozos de código
escritos para una vulnerabilidad específica) y está escrito en lenguaje PERL.
Por lo tanto para ejecutarlo habrá que tener PERL instalado en nuestras
máquinas. Los sistemas Linux/UNIX vienen con PERL.
h4x0r@tarro:~/Desktop/exploit$ ls -lh
total 4,0K
-rw-r--r-- 1 h4x0r h4x0r 1,5K 2007-09-03 11:53 phpBB2.pl
h4x0r@tarro:~/Desktop/exploit$
y simplemente ejecutarlo. En este caso nos irá pidiendo los datos del sitio web
que queremos atacar. Pondré en rojo esto para diferenciarlo.
phpBB <= 2.0.22 - Links MOD <= v1.2.2 Remote SQL Injection Exploit
=> User ID
=> Number:
=>
1
Exploit in process...
Exploit
in process...
Exploit finished!
MD5-Hash is: 827ccb0eea8a706c4c34a16891f84e7b
11
Y eso sería todo. El exploit fue capaz de conectarse a la base de datos y
recuperar el password cifrado del usuario con ID 1 (admin en este caso). Esta
cadena de 32 caracteres corresponde a un hash en md5. De mucho no nos
sirve tener la clave cifrada, pero podemos recuperarla atacándola con fuerza
bruta (o diccionario) en los siguientes sitios web:
http://md5.xpzone.de/
http://gdataonline.com/seekhash.php
Ponemos el hash y comprobamos la la clave de admin es 12345. Ahora
podemos loguearnos en http://www.sitioweb.com/foros/ usando estos datos.
Malwares
Wireshark Antivirus
12
Ataques de Contraseña
Ejemplo:
Para llevar a cabo el análisis se pueden obtener los datos de dos órdenes
distintos:
Aunque VNC (Virtual Network Computing) sea únicamente conocido por los
administradores de redes como una herramienta de control remoto, nada
impide que se pueda modificar su código (licencia GNU). Según ha conocido
esta Redacción, algunas empresas españolas lo han manipulado para vigilar a
sus empleados, sin que ellos den su aprobación o tengan conocimiento. El
espionaje se basa en observar lo que tiene un empleado en pantalla en un
momento dado, para que el correspondiente departamento de personal evalúe
si el trabajador emplea exclusivamente su jornada de trabajo en temas
laborales.
13
Eavesdropping
* Sniffing
Consiste en capturar paquetes de información que circulan por la red
con la utilización de una herramienta para dicho fin, instalada en un
equipo conectado a la red; o bien mediante un dispositivo especial
conectado al cable. En redes inalámbricas la captura de paquetes es
más simple, pues no requiere de acceso físico al medio.
Desbordamiento de CAM
VLAN hopping
Las VLANs son redes LAN virtuales las cuales se implementan para generar un
control de tráfico entre las mismas, de forma que los equipos conectados a una
VLAN no posean acceso a otras. Este tipo de ataque pretende engañar a un
switch (sobre el cual se implementan VLANs) mediante técnicas de Switch
Spoofing logrando conocer los paquetes de información que circulan entre
VLANs.
14
STP manipulation
Man-in-the-middle
Defacement
Repetición de Transacción
Backdoors
15
DHCP Starvation
Trashing
Denegación de Servicio
Fraude Informático
Software ilegal
16
Acceso a Información Confidencial Impresa
* Acciones intencionadas
* Negligencia de los usuarios (ej.: derrame de líquidos, golpes, etc.)
* Catástrofes naturales (ej.: fallas eléctricas, incendio, inundación.
17