eTOCs LST LULL Ca ry Cy hd 1 e eC T bale | . i} a Kali tinu# (B | KARINA ASTUDILLO B. — CEH, CCNA Security, SCSAHACKING ETICO 101 Cémo hackear profesionalmente en 21 dias 0 menos! Comprendiendo la mente del hacker, realizando reconocimientos, escaneos ¥ enumeracién, ejecucién de exploits, cémo escribir un informe profesional y mucho mas! Por: Karina Astudillo B. httov/Avuw.SeenridadinformaticaFacil.comHACKING ETICO 101 Cémo hackear profesionalmente en 21 dias 0 menost Comprendiendo la mente del hacker, realizando reconocimientos, escaneos y enumeracién, ejecucién de exploits, c6mo escribir un informe profesional y mucho més! Karina Astudillo B http://www SegnricadinformaticaFacil com Todos los Derechos Reservades © Karina Astudillo B., 2013 Registro IEPI, certificado No, GYE-004179 Nota: Todos los derechos reservados. Esta publicactén no puede ser reproducida total ni parcialmente, ni registrada 0 transmitida por un sistema de recuperacién de informacidn 0 cualquier oto medio, sea este electrénico, mecdnico, fotoquinico, magnético, electrénico, por fotocopia o cualquier otro, sin permiso por escrito previo de la editorial y el titular de los derechos, excepto en el caso da citas breves incorporadas en articulos criticos o revisiones. Todas las marcas registradas son propiedad de sus respectvos propietarios. Bn lugar de poner un simbolo de marca después de cada ocurrencia de un nombre de marca registrada, usamos nombres en forma editorial inicamente, y al beneficio del propietario de la marca, sin intencién de infraccion de la marca registrada. Cuando estas designaciones aparecen en este libro, se imprimen con mayiisculas iniciales y/o con letra cursiva, La informacién publicada en este libro estd basada en articulos y libros publicados y en la experiencia de su autora, Su tinico propdstto es educar a los lectores en la esecuctén de pruebas de mtrusién o hacking éticos profesionales, No nos responsabilizamos por efectos, resultados o acciones que otras personas obtengan de lo que agutt se ha comentado o de los resultados e informacion que se proveen en este libro o sus enlaces. Se ha realizado un esfuerzo en la preparacion de este libro para garantrzar la exactitud de la informacion presentada, Sin embargo, la informacién contenida en este libro se vende sin garantia, ya sea expresa o implicita. Mi la autora, ni la editorial, sus concesionartos o distribuidores seran responsables de los datos causados o presuntamente causados directa o indirectamente por el uso de la informacion provista en este hbro.Dedicatoria Ami familia y de forma especial amis padres, Laura y Pancho, por su inmenso carifio y apoyo constante. Ami mentor y buen amigo, Guido Caicedo Rossi, por abrirme las puertas al mundo de las redes y la seguridad informatica.Tabla de contenido Prefacio Capitulo | — Introduccién al Hacking Btico Fases del hacking Tipos de hacking Modalidades del hacking Servicios cking adicionales Elaboracion de la propuesta e inicio de la auditoria Recursos titiles Capitulo 2 - Ree: iento o fc i Reconocimiento pasivo Reconocimiento activo Herramientas de reconocimiento E con Google Resolviendo nombres con nslookup Obteniendo informacion de directorios Who-Is Usando herramientas todo-en-uno durante el reconocimiento Laboratorios de reconocimiento Medidas defensivas Recursos utiles Capitulo 3 - Bscaneo Ping sw: S Herramientas de TCP-Ping Estados de puertos Tecnicas de escaneo Escaner de puertos: NAP Analizadores de vulnerabilidades Laboratorios de escaneo Medidas defensivas Recursos utiles Capitulo 4 - Enumeracion Protocolos NetBIOS y CIFS/SMB. Emumeracion de lows con comandos v herramientas de software Herramientas de enmmeracion todo-en-uno Laboratorios de enumeracién Medidas preventivas Recursos utiles Capitulo 5 - Explotacion o hackingMecanismos de hacking Frameworks de explotacién Metasploit Framework Ataques de claves Ataques con software malicioso Ataques de denegacién de servicio (DoS Laboratorios de hacking Medidas defensivas ecursos Litt Capitulo 6 - Escribiendo el informe de auditoria sin sufrir un colapso mental Pasos para facilitar Ja documentacion de una auditoria Recursos utiles Capitulo 7 - Certificaciones internacionales relevantes Certified Ethical Hacker (CEH) rofessi cu ster (OPST. Offensiv e s » Certified Penetration Tester (CPT) Penetration Tester (GPEN 2Qué examen debo tomar? Recursos titiles 1c 101 I Por favor déjenos una revision Acerca de la autora Commmiquese o rina Astudillo Glosario de términos técnicos indice de tablas v figuras Tablas Figura Apéndice A: Consejos para realizar con éxito los laboratorios En donde conseguimos los instaladores de los OS's requeridos? Notas y referenciasPrefacio La seguridad informatica ha ganado popularidad en los tiltimos afios y ha pasado de ser considerada un gasto, a ser vista como una inversién por parte de los directivos de las empresas y organizaciones a nivel mundial En algunos paises esto ha sucedido de forma acelerada, en otros el paso ha sido mas lento; pero en ultima instancia hemos convergido todos en un mundo digital en el que la informacién es el activo intangible mas valioso con el que contamos. Y al ser um activo, debemos protegerlo de posibles pérdidas, robos, mal uso, ete. Fs aqui en donde juega tm papel preponderante un actor antes desconocido: el hacker ético El rol del hacker ético es efectuar - desde el punto de vista de un cracker - un ataque controlado hacia la infraestructura informatica de un cliente, detectando vulnerabilidades potenciales y explotando aquellas que le permitan penetrar las defensas de la red objetivo, pero sin poner en riesgo los servicios y sistemas auditados. Y todo esto con el solo propésito de alertar a la organizacion contratante de los riesgos de seguridad informatica presentes y como remediarlos. Este individuo debe tener la capacidad de saber cuando es mejor no explotar um hueco de seguridad y solamente reportarlo al cliente Vs cudndo es preciso ejecutar un exploit para demostrar la gravedad de la vulnerabilidad. Es una mezcla entre la mente criminal de Hannibal, las acciones de la Madre Teresa y el background profesional de un verdadero nerd! (Pero donde encontramos a estos héroes? La respuesta a esta pregunta se torna cada vez mas dificil si creemos en los estudios realizados por importantes empresas consultoras, que indiean que aiio a afio se ensancha la brecha entre la demanda y la oferta de profesionales certificados en seguridad informatica Y es por este motivo que se vuelve esencial contar con profesionales de tecnologia entusiastas, pero sobre todo con altos valores éticos y morales, que estén dispuestos a aceptar el desatio de convertirse en pentesters. Este libro es para ellos. Asi que si el estimado lector encaja en este perfil, entonces este libro es para usted. No se requieren conocimientos previos de hacking ético, el nivel del libro es introductorio y por ende parte de cero en dicha area; no obstante es imprescindible tener una formacién base en sistemas computaciomales o tecnologias de la informacién. Cuales son los requisitos? © Conocer elmodelo OSI y sus diferentes capas. © Poseer nociones sobre la arquitectura TCP/IP (direccionamiento IP-v4, subnetting, enrutamiento, funcionamiento de protocolos como ARP, DNS, HTTP, SMTP, DHCP, etc.). © Saber usary administrar sistemas Windows y Lanuex. {Como esta dividido el libro? E] libro se desarrolla en 7 capitulos y hemos calculado que el estudiante deberd invertir alrededor de 21 dias para completarlos, con un tiempo de dedicacion minimo de 2 horas diarias Sin embargo, el lector es libre de avanzar a su propio paso y tomarse mayor o menor tiempo. Mi tinica sugerencia es que deben realizarse todos los laboratorios propuestos, inclusive con diferentes sistemas operativos victimas a los referidos por esta servidora. Es en la variacion de escenarios y en la practica continua que se gana experienciaEl Capitulo 1 - Introduccién al Hacking Etico cubre conceptos basicos acerca de esta profesion y describe los diferentes tipos de pruebas de intrusion posibles. En él se incluyen asimismo consejos acerca de cémo conducir la fase inicial de levantamiento de informacion para elaborar una propuesta ajustada a las necesidades de mestro cliente Enel Capitulo 2 - Reconocimiento o Footprinting se vevisan metodologias que ayudaran al hacker ético a descubrir el entorno de la red objetivo y los elementos en ella contenidos, asi como herramientas de software titiles y comandos para ayudarlo durante la ejecucién de la auditoria. Se hace énfasis enel uso de Maltego y téonicas de Google Hacking para conducir con éxito esta fase. Duwante los Capitulos 3 y 4, Escaneo y Enumeracién, respectivamente, se describen técnicas utilizadas por los crackers y hackers ¢ticos para detectar los servicios presentes en los equipos auditados y discernir qué sistemas operativos y versiones de aplicaciones usan muestras victimas. La ejecucién exitosa de estas fases facilitara al pentester la emumeracién de recursos como cuentas de usuarios, grupos, carpetas, claves del registro y demas, a propdsito de detectar huecos de seguridad potenciales que puedan explotarse con posterioridad. Aqui se estudian herramientas de software populares como el scanner de puertos NMAP y los analizadores de vulnerabilidades OpenV-AS y Nexpose, bajo el conocido ambiente Kali Linux (antes Backtrack). En el Capitulo 5 — Explotacién 0 Hacking, se cubren conceptos claves como los frameworks de explotacién y mecanismos de ataques y se realizan laboratorios paso a paso haciendo uso del Metasploit Framework y sus distintas interfaces: msfconsole, Web (MSF Community) y Armitage. Se incluyen ademas talleres detallados para la realizacién de ataques de claves, hombre en el medio, phishing, inyeccion de malware, ataques a redes inalambricas, ete. En los laboratorios se utilizan aplicaciones populares como Ettercap, Wireshark, la suite Aircrack- ng y el Social Engineering Toolkit (SET) Luego en el Capitulo 6 - Escribiendo el informe de auditoria sin sufrir un colapso mental, se sugiere wa sistematica para hacer que esta fase sea lo mas indolora posible para el consultor, mientras se crea un entregable de calidad, claro y conciso para la alta gerencia y que aporta sugerencias de remediacion utiles para la organizacién cliente Posteriormente en el Capitulo 7 - Certificaciones internacionales relevantes, realizamos una revision de las certificaciones generales de seguridad informatica y aquellas especificas de hacking ético que son imprescindibles en el curriculum de um pentester experto Creimos también que a pesar de tratarse de un libro de hacking, el mismo no podia estar completo sin incluir en cada fase de ataque los mecanismos de defensa pertinentes que podrian sugerirse al cliente dentro del informe de auditoria como medidas de remediacion. Finalmente en el Apéndice A - Consejos para realizar con éxito los laboratorios, se indican los requisitos de hardware y software para ejecutar con éxito los talleres y se dan pautas al lector sobre dénde descargar los instaladores de los sistemas operativos requeridos Gracias por adquirir esta obra. Desde ya le deseo muchos éxitos en su nueva carrera como Hacker Etico Profesional.Capitulo 1 — Introduccion al Hacking Etico Cuando hablamos de hacking ético nos referimos a la accion de efectuar pruebas de intrusion controladas sobre sistemas informaticos; es decir que el consultor o pentester, actuara desde el punto de vista de un cracker, para tratar de encontrar vulnerabilidades en los equipos auditados que puedan ser explotadas, brindandole - en algunos casos - acceso al sistema afectado inclusive, pero siempre en tm ambiente supervisado, en el que no se ponga en riesgo la operatividad de los servicios informaticos de la organizacion cliente Es importante enfatizar que aunque es indudable que el pentester debe poseer conocimientos sdlidos sobre tecnologia para poder efectuar un hacking ético, saber de informatica no es suficiente para ejecutar con éxito una auditoria de este tipo. Se requiere ademas seguir una metodologia que nos permita llevar un orden en muestro trabajo para optimizar nuestro tiempo en la fase de explotacion, ademas de aplicar nuestro sentido comin y experiencia YY aunque lamentablemente la experiencia y el sentido comin no se pueden transferir en mm libro, haré mi mejor esfuerzo por trasmitirles la metodologia y las buenas practicas que he adquirido a lo largo de los aiios de ejercer la profesion de auditora de seguridad informatica Fases del hacking ‘Tanto el auditor como el cracker siguen un orden légico de pasos al momento de ejecutar un hacking, a estos pasos agrupados se los denomina fases Existe un consenso generalizado entre las entidades y profesionales de seguridad informatica de que dichas fases son 5 en el siguiente orden: 1> Reconocimiento 2-> Escaneo 3-> Obtener acceso 4-> Mantener acceso 5-> Borrar huelllas Usualmente dichas fases se representan como un ciclo al que se denomina comtinmente circulo del hacking (ver Figura 1) con el énimo de enfatizar que el cracker luego de borrar sus huellas puede p obstante, el auditor de seguridad informatica que ejecuta un servicio de hacking ético presenta una leve variacién en la ejecucion de las fases de esta forma: 1> Reconocimiento 2-> Escaneo 3-> Obtener acceso 4-> Escribir Informe 5-> Presentar Informe De esta manera el lacker ético se detiene en la fase 3 del circulo del hacking para reportar sus hallazgos y realizar recomendaciones de remediacion al clienteCIRCULO DEL HACKING FASES DE UN HACKING ETICO (PASOS QUE SIGUE EL CRACKER) Figura I - Fases del hacking En los capitulos subsiguientes explicaremos en qué consiste cada fase y aplicaremos el uso de herramientas de software y nuestro sentido comin, unido a la experiencia, para ejecutar un hacking ético de principio a fin de forma profesional Tipos de hacking Cuando efectuamos un hacking ético es necesario establecer el alcance del mismo para poder elaborar un cronograma de trabajo ajustado a la realidad y, en base a él, realizar la propuesta econdmica al cliente. Y para determinar el alcance requerimos conocer como minimo tres elementos basicos: el tipo de hacking que vamos a efectuar, la modalidad del mismo y los servicios adicionales que el cliente desea inchuir junto con el servicio contratado. Dependiendo desde donde se ejecutan las pruebas de intrusion, un hacking ético puede ser externo o interno. Hacking ético externo Este tipo de hacking se realiza desde Internet sobre la infraestructura de red publica del cliente; es decir, sobre aquellos equipos de la organizacién que estan expuestos a Internet porque brindan un servicio piiblico. Ejemplo de equipos publicos: enrutador, firewall, servidor web, servidor de correo, servidor de nombres, ete. Hacking ético interno Como su nombre sugiere, este tipo de hacking se ejecuta en la red interna del cliente, desde el punto de vista de un empleado de la empresa, un consultor, o un asociado de negocios que tiene acceso a la red corporativa. Eneste tipo de pruebas de intrusién se suele encontrar mas huecos de seguridad que en su contraparte externa, debido a que muchos administradores de sistemas se preocupan por proteger el perimetro de su red y subestiman al atacante interno. Esto ultimo es un error, puesto que estudios demuestran que la mayoria de ataques exitosos provienen del interior de la empresa. Porcitar un ejemplo, en una encuesta sobre seguridad informatica realizada a un grupo de empresarios enel Reino Unido, cuando se les pregunto quiénes eran los atacantes se obtuvieron estas cifras: externos 25%, internos 75%’. Modalidades del hacking Dependiendo de la informacion que el cliente provea al consultor, el servicio de hacking ético se puede ejecutar en uma de tres modalidades: black-box hacking, gray-box-hacking o white- box-hacking, La modalidad escogida afectara el costo y la dwacién de las pruebas de intrusién, puesto que a menor informacion recibida, mayor el tiempo invertido en investigar por parte del auditor Black box hacking ‘También llamado hacking de caja negra, Esta modalidad se aplica a pruebas de intrusion externas. Se Ilama de este modo porque el cliente solamente le proporciona el nombre de la empresa a auditar al consultor, por lo que éste obra a ciegas, la infraestructura de la organizacion es una caja negra para él. Si bien este tipo de auditoria se considera mas realista, dado que usualmente un agresor externo que elige uma victima X no tiene mas informacién al inicio que el nombre de la organizacién a atacar, también es cierto que requiere una mayor inversion de tiempo y por ende el costo incwrrido es superior también Adicionalmente se debe notar que el hacker ético - a diferencia del cracker - no cuenta con todo el tiempo del mundo para efectuar las pruebas de intrusion, por lo que la fase preliminar de indagacién no puede extenderse mas alla de lo que en términos practicos sea posible para el cliente en razon del costo/tiempo/beneficio. Gray box hacking O hacking de caja gris. Esta modalidad suele utilizarse como sinonimo para referirse a las pruebas de intrusién internas. Empero, algunos auditores también le Iaman gray-box-hacking a una prueba externa en la cual el cliente proporciona informacién limitada sobre los equipos piiblicos a ser auditados. Ejemplo: un listado con datos como la direccion IP y el tipo/fineion del equipo (router, web-server, firewall, etc.). Cuando el término se aplica a pruebas internas, se denomina asi porque el consultor recibe por parte del cliente solamente los accesos que tendria un empleado de la empresa, es decir un punto de red para la estacién de auditoria y datos de configuracién de la red local (direccion P, mascara de subred, gateway y servidor DNS), pero no le revela informacién adicional como por ejemplo: usuario/clave para imirse a un dominio, la existencia de subredes anexas, etc White box hacking Este es el denominado hacking de caja blanca, aunque en ocasiones también se le llama hacking transparente, Esta modalidad se aplica a pruebas de intrusion internas solamente y se Hama de esta forma porque la empresa cliente le da al consultor informacién completa de las redes y los sistemas a auditar Es decir, que ademas de brindarle un punto de red e informacién de configuracién para laestacion de auditoria, como en el hacking de caja gris, el consultor recibe informacién extensa como diagramas de red, listado detallado de equipos a auditar incluyendo nombres, tipos, plataformas, servicios principales, direcciones IP, informacién de subredes remotas, en fin. Debio a que el consultor se evita tener que averiguar esta informacion por si mismo, este tipo de hacking suele tomar menos tiempo para ejecutarse y por ende reduce costos también. Servicios de hacking adicionales Dependiendo de la experiencia del consultor o de la empresa auditora, es posible que se le ofrezca al cliente servicios opcionales que pueden incluirse con el servicio de hacking ético externo 0 interno. Entre los servicios adicionales mas populares tenemos: ingenieria social, wardialing, wardriving, equipo robado y seguridad fisica. Ingenieria social La ingenieria social se refiere a la obtencion de informacion a través de la manipulacion de las personas, es decir que aqui el hacker adquiere datos confidenciales valiéndose del hecho bien conocido de que el eslabén mis débil en la cadena de seguridad de la informacion son las personas De mi experiencia les puedo contar que hubo ocasiones en que me encontraba frustrada en la conduccién de un hacking ético externo, porque el administrador de sistemas en efecto habia tomado las precauciones del caso para proteger el perimetro de sured, y dado mi nivel de estrés y obsesién decidi aplicar técnicas de ingenieria social, consiguiendo el objetivo ficilmente, en muchos casos. Ejemplos de ingenieria social: envio de correos electrénicos falsos con adjuntos maliciosos, Ilamadas al personal del cliente fingiendo ser un técnico del proveedor de Internet, visitas a las instalaciones de 1a empresa pretendiendo ser un cliente para colocar un capturador de teclado (keylogger), etc Wardialing Durante los primeros afios de Internet el acceso a la misma se daba mayoritariamente a través de modems y era comin que las empresas tuvieran un grupo de estos dispositivos (pool de médems) conectados a uma central telefonica (PBX) para responder las Iamadas de quienes requerian acceso a la red local de la empresa. Dichos médems se conectaban a un servidor de acceso remoto (RAS), el cual a través de un ment de ingreso (nombre de usuario y clave) y haciendo wo de protocolos como el histérico SLIP o el PPP, permitian que los usuarios autorizados se conectaran como si estuviesen en la red local y tuvieran acceso a los recursos compartidos de la empresa En aquella época 1a seguridad no era algo en lo que los administradores meditaban mucho, por lo que muchos de esos modems no estaban adecuadamente protegidos, lo que los hizo presa i] de los primeros programas de wardialing. Lo que hacian estos programas era marcar mimeros de teléfono consecutivos, en base al valor inicial proporcionado por el usuario, y registrar aquellos en los cuales respondia un mddem en lugar de una persona; luego el cracker Hamaba manualmente a los mimeros identificados y ejecutaba comandos AT? para ganar acceso al médem o corria programas de fuerza bruta para vencer las claves puestas por el administrador desistemas. Posteriormente estos programas se fueron sofisticando, pudiendo realizar desde una misma aplicacion y de forma automatica el descubrimiento de modems y el ataque de fuerza bruta En la actualidad nuestro modo de conectarnos a Internet ha cambiado, sin embargo, es un hecho a notar que muchos administradores utilicen atin conexiones via médem como respaldo para conectarse remotamente a dar soporte, en el caso de que la red falle. Por lo consiguiente, no deberiamos descartarlo como un punto vulnerable de ingreso a la red del cliente Wardriving El término wardriving se deriva de su antecesor el wardialing, pero aplicado a redes inalambricas. El hacker entabla una guerra inalémbrica desde las inmediaciones de la empresa cliente/victima, usualmente parqueado desde su auto con una laptop y una antena amplificadora de sefial El objetivo es detectar la presencia de redes inalimbricas pertenecientes al cliente identificar vulnerabilidades que permitan el ingreso al hacker. Sobre este tema haremos un par de laboratorios muy interesantes en el capitulo sobre hacking, Equipo robado Aqui el objetivo es comprobar si la organizacién ha tomado las medidas necesarias para pi Debido a lo delicado de 1a operacién se debe recomendar siempre al cliente realizar un respaldo de su informacion previo a la ejecucion de este servicio. Auditoria de seguridad fisica Aunque la seguridad fisica es considerada por muchos expertos como un tema independiente de las auditorias de hacking ético, existen empresas especializadas que pueden integrarla como parte del servicio Este tipo de auditoria entrafia dificultades y riesgos de los que se debe estar consciente para evitar situaciones que pongan en peligro a las personas implicadas. Les indico esto porque una auditoria de seguridad fisica puede conllevar desde algo tan simple como realizar una inspeccion acompafiados de personal del cliente Henando formularios, algo mas complejo como probar si podemos llegar a la sala de juntas y colocar um dispositivo espia haciéndonos pasar por un cliente perdido, hasta algo tan delicado como intentar burlar guardias armados e ingresar por una puerta trasera. En mi caso no me creo Lara Croft, asi que ni loca ofrezco este ultimo servicio. Elaboracion de la propuesta e inicio de la auditoria Finalmente, una vez que hemos obtenido del cliente la informacion requerida ~ tipo de hacking, modalidad y servicios opcionales — estamos listos para elaborar una propuesta que defina claramente: el aleance del servicio, el tiempo que nos tomara ejecutar el hacking ético, el entregable (un informe de hallazgos y recomendaciones), costos y forma de pago. Discutir técnicas de elaboracion de propuestas, dimensionamiento de proyectos y valoracién de costos esta fuera del alcance de este texto, pero les dejo algunos enlaces relacionadosRecursos utiles Libro: Persuasive Business Proposals: Wi Curso: Formulacién y Evaluacion de Proyectos de Tecnologia7.Capitulo 2 - Reconocimiento o footprinting El reconocimiento, como vimos en el capitulo previo, es la primera fase en la ejecucién de un lacking ético o no-ético y consiste en descubrir la mayor cantidad de informacion relevante de la organizacion cliente o victima Debido a que de la magnitud y certidumbre de la informacion recopilada dependera que hagamos un mejor amilisis posterior, es muy importante que le dediquemos nuestro mejor esfuerzo y cabeza a esta fase y que invirtamos todo el tiempo necesario en realizar un buen levantamiento de informacion. “Si tuviera 9 horas para cortar un drbol, le dedicaria 6 horas a afilar mi hacha”, Abraham Lincoln. Ahora bien, dependiendo de si existe © no interaccién con el objetivo, las técmicas de reconocimiento pueden ser activas 0 pasivas Reconocimiento pasivo Decimos que el reconocimiento es pasivo cuando no tenemos una interaccién directa con el cliente o victima. Por ejemplo, entramos a un buscador como Google e indagamos por el nombre de la empresa auditada, entre los resultados conseguimos el nombre de la pagina web del cliente y descubrimos que el nombre del servidor web es www.empresax.com, luego hacemos una brisqueda DNS y obtenemos que la direccién IP de ese servidor es la 200.20.2.2 (direccién ficticia por supuesto) Algunos ejemplos de reconocimiento pasivo: © Buscar en el penddico por anuncios da ofertas de empleo en el departamento de sistemas de la empresa X. Sixesuka que buscan un DBA experto en Oracle, eso nos da una pista sobre qué base de datos utilizan, o si quieren un Webmaster que conozca sobre administracin de Apache ya sabemos qué webserver utilizan, orios en Intemet, Cuando una empresa registra un nombre de dominio, el proveedor de hosting publica © Consuitas de din informacién de contacto en un base de datos piiblica denominada W7ho-Is, por lo que consultindola se puede obtener informacion valiosa como el nombre de la empresa duefia del dominio, direceién y teléfonos de la oficina matriz, correo electrénico del administrador, rangos de direcciones TP asignados, en fin, Es posible pagar para mantener esta informacién privada, pero muchas empresas que adquieren tin nombre de dominio no contratan el servieio de privacidad de informacién. © Biisanedas en redes sociales. Sitios como Facebook, Linkedim, Twitter entre otros, tienen joyas de informacién gratuita para los hackers que pueden ser usadas fiicilmente en un ataque de ingenieria social © Recuperaciin de informacién desde la basira. A este método para nada agradable se lo conoce también como dumpster diving, pero aunque suene repulsive puede resukar muy stil a la hora de adquirir informacién confidencial de una empresa, Ain en esta época de inseguridad son pocas las empresas que usan tritradores e incineradores para destruir informacién confidencial y aunque suene de Ripley, son muchos los empleados que "teciclan" hojas impresas de informes que salieron mal 0 que botan notas post-it con claves a la basura. Reconocimiento activo Eneste tipo de reconocimiento hay una interaccion directa con el objetivo o victima Ejemplos de reconocimiento activo:Barridos de ping para determinar los equipos pablicos actives dentro de un rango de IP's, Conextén aun puerto de un aplicatvo para obtener un banner y tratar de determinar la versidn Uso de ingenierta social para obtener informacién confidencial Hacer un mapeo de red para determinar la existencia de un firewall o router de borde, Herramientas de reconocimiento Existen un sinmimero de aplicativos sofisticados que nos pueden ayudar a la hora de realizar wn reconocimiento. Pero, aunque dichas herramientas nos ahorran tiempo, no significa que no podamos hacer un footprinting si no las tenemos a la mano. En lo personal, a mi me gusta empezar un reconocimiento por 1o mas simple: una linea de comandos y wi navegador. La plataforma de sistema operativo puede ser Windows, Linux 0 Unix, segin su preferencia. Si me preguntan, prefiero usar Kali Linux — antes Backtrack - para mis auditorias; pero en este libro procuraremos usar herramientas tanto de Linux como de Windows indistintamente, para que el lector escoja luego su plataforma de predileccion. Para mayores detalles de los requisitos a nivel de sistema operativo, por favor revisar el "Apéndice A: Consejos para realizar con éxito los laboratorios". Alli se incluye informacién de ayuda sobre instalacién de software de virtualizacién, descarga de maquinas virtuales victima y referencias sobre instaladores de sistema operativo. Hecha esta aclaracién y sin mas preambulos, jpasemos a realizar mestro_ primer reconocimiento! Footprinting con Google Aunque existen atin muchos otros buscadores en Internet, sin duda Google es el mis utilizado gracias a su tecnologia de clasificacién de paginas web (Page Rank), la cual nos permite realizar busquedas de forma rapida y acertada Para muestro ejemplo de reconocimiento con Google iniciaremos con lo mis simple buscando por el nombre de la empresa victima, la cual sera por ahora el proyecto Scanme de Nmap’. Scanme es un sitio mantenido gratuitamente por Fyodor, el creador del escaner de puertos NMAP. Sobre este estamos autorizados a realizar pruebas de reconocimiento y escaneo solamente’, mas adelante para los laboratorios de hacking usaremos maquinas virtuales victimas pr(Srp: google con x Google =| Waser -| Bc anmermap D> & GG scanme nmap Buscar con. Google sconme nmep Web imagenes Vik Mas Herramientas Go ahead and ScanMe! - Nmap ‘Seanme nmap org/~ Traducir esta pagina Hello, and weicome to Scanme Nmap. Org, a service provided by the Nmap Secunity Scanner Project and Insecure. Org, We set up this machine to help folks Usage Examples - Nmap ‘nmap orgbockman examples him! * Traducir esta pagina For testing purposes, you have permission to scan the host scanme nmap o7g. {hs permission only includes scanning via Nmap and not testing exploits or Figura 2 - Google footprinting simple Nota: Un hacker ético jamas realza pruebas de intrusién sobre sistemas, a menos que haya obtenido autorizacion de la organizacion propietaria de los mismos. Ni la autora, ni la editorial se hacen responsables por el mal uso derivado de las técnicas de hacking provistas en este libro Como podemos observar en la Figura 2, la busqueda ha arrojado mas de 11 mil resultados, pero el que nos interesa esta ubicado primero en la lista. Esto no siempre es tan facil, hay empresas que tienen nombres muy comunes o tienen sitios que no estan bien indexados, por lo que, no apareceran entre los primeros resultados. Por ello, para mejorar nuestras biisquedas nos valdremos de los operadores provistos por Google. Revisemos algunos de los mas importantes Operadores de Google: © + (simbolo mas): se utiliza para inchir palabras que por ser muy conmnes no son inciuidas en la bisqueda por Google. Por ejemplo, digamos que queremos buscar la empresa X, dado que el articulo "la" es muy comin, usualnente se excluye de ln biisqueda. Si queremos que sea inchido entonces lo escribimos asi +a empresa X © - Gimbolo menos): es usado para exchir resultados que inchiyan el término al que se antepone el simbolo. Por ejemplo, si estamos buscando entidades bancarias podriamos escribir: bancos seguros -mnebles “3 “si © ~ (virgulilla): al colocar este simbolo antepuesto a una palabra, se inchye en a bitsqueda sinénimos de la misma. Por ejemplo, buscar por fa ~empresa X inchiré también resultados para la organizacién X © OR : esto permite inchir resultados que cumplan con uno 0 ambos criterios de busqueda. Por ejemplo: "Gerente General” OR "Gerente de Sistemas" empresa X © site: (@obles comillas): si queremos buscar un texto de forma literal lo enmarcamos en dobles comillas. Ejemplo: "In empresa smite limitar las biisquedas a un sitio de Internet en particular. Ejemplo: Gerente General sitecempresaX.com «link: lista las paginas que contienen enlaces al sitio indicado. Por ejemplo al buscar fink:empresaX. cone obtendremos paginas que contienen enlaces hacia la empresa X © filetype: o ext: permite hacer biisquedas por tipos de archivos. Ejemplo: rol + pages ext:pdf sitecempresax.com © allintext: obtiene paginas que contienen las pakibras de busqueda dentro del texto o cuerpo de kas mismas. Ejemplo alliutext: la empresa X © inurl: muestra resutados que contienen las palabras de busqueda en ln direceién de Intemet (URL). Ejemplo: ianrt: empresaXPor supuesto existen mas operadores que podemos usar con Google”, pero considero que estos son los imprescindibles. Regresando a nuestro ejemplo de reconocimiento, hemos encontrado entre los algunas paginas relacionadas con la organizacién MAP, pero, la que nos interesa es scanme nmap. org, esto nos lleva a tuestra siguiente herramienta: la resolucién de nombres DNS. resultados Resolviendo nombres con nslookup Ahora que conocemos el sitio principal de nuestro cliente, podemos hacer una consulta DNS para conocer cual es su direccién PP En wn ejemplo real encontraremos posiblemente mas de un sitio del cliente referenciado por Google y por ende no sera um sola IP la que obtengamos De hecho la idea al obtener esta primera direccién es estimar el rango de IP's que necesitar Asumiendo que se tratase de direcciones IP de versién 4, podriamos probar todo el rango de hosts pertenecientes a la subred Esto ultimo es poco practico si se tratan de direcciones de clase A o B, puesto que el barric Para determinar el rango con mayor exactitud es posible valernos de otros medios de informacién como el directorio Who-Is o realizando ingenieria social, temas que revisaremos mas adelante. En este ejemplo haremos una consulta de nombres usando el comando nslookup includo enel CLI” de cualquier version de Windows, Linux o Unix. rT ees) EC ce ete eee Figura 3 - Reso! IS con nslookup en Windows Al revisar los resultados de nuestra consulta, como se muestra en la Ilustracion 3, observamos que este sitio tiene dos direcciones, una IPV6 y otra IPv4. La direccién IPv4 pertenece a una clase A, dado que el primer octeto es 74 (un mimero entre 1 y 128), por lo que, el rango de hosts a analizar en un caso real seria muy grande y podria conllevar mucho tiempo. Nota: Al efectuar waa aucitoria de cualquier tipo es importante ser ordenado y tomar anotaciones de todos nuestros Volviendo al comando nslolnp, atin podemos obtener mas informacion de mestro objetivo Para ello utilizaremos algunas opciones titiles: set type =[NS|MX|ALL] permite establecer el tipo de consulta, NS servicio de nombres, MX servicio de correo (mail exchanger) y ALL para mostrar todoIs [-a|-d] dominio _ permite emmerar las direeciones del dominio especificado (par ello el servidor DNS de dicho dominio debe tener habilitada esta opcién), -a nombres canénicos y aliases, -d todos los registros de la zona DNS. Veamos wn ejemplo para el dominio de nuestro objetivo, en este caso nmap org. Seperate Be ert ete ee ese ees ee eee recre crt hesaes enero ers haneserver = nei Linede-con bases Ponerinae a errs. rerstd nap: Leena a Eee arr Eeaseeeeeeete eit et Linode.con internet address = 207.192-70.18 Crit IHS ieremee i vere Cees Fett ech Taer eee CL eT] pee emcee EM Terry aera eid Servidor’ hoet-200-124-224-195 .telnex.con.ec PD MereeL ee iecL ery eee ot eee eee coe mt ee mentt eee TTC ieeemine to rere et rr ome ae eet eer eC) ee eee eee TEST = Se ee) ora ie eee ae et erat es cee ee Meee eCLeer cr Seems re starts Cee eet eee eres eee Tene ee) sas Pee errr rece ies eererertrrsery nurse : Beenie pees Ppaseree enc on En set] noe Pee ee ETL ett ees Peer ae ertt ett eo ee eae Cebit etme seentgbe es eee eee trae heed cri ar En la Figura 4 podemos observar que al establecer el tipo de consulta como NS, nos devuelve informacion respecto a los servidores de nombres para el dominio en que se encuentranuestro objetivo, mientras que si la consulta es de tipo MX brinda ademas informacion acerca de quiénes son los servidores de correo para dicho dominio. Cuando utilizamos la opcion ALL obtenemos la combinacién de ambas consultas (NS + MX), tal como se presenta en la Figura 5. Estas simples consultas adicionales nos reportan valiosa informacion de la red publica de muestro objetivo, como por ejemplo: 1. Que en realidad el dominio nmap.org esta alojado en un servidor de /iosting extemo provisto por la empresa Zinode y, 2. Que el servicio de correo es provisto por el servidor mai/.tttan.net con IP 64.13.134.2, la cual esté en un segmento de red diferente a a del servidor scanme.nmap.org Obteniendo informacién de directorios Who-Is Continuando con muestro ejercicio de reconocimiento un siguiente paso podria ser obtener informacion haciendo consultas a una base de datos Who-Is. El Who-Is es un protocolo que permite hacer consultas a un repositorio en Internet para recuperar informacion acerca de la propiedad de un nombre de dominio o wna direccion IP. Cuando uma organizacién solicita un nombre para su dominio a su proveedor de Internet (ISP), éste lo registra en la base Who-Is correspondiente. En el caso de los dominios de alto nivel (.com, -org, .net, biz, .mil, etc.) es usualmente el ARIN (American Registry for Internet Numbers) quien guarda esta informacion en su base Who- Is, pero en el caso de los dominios de paises (ve, ec, co, us, ik, etc.) quien guarda la informacion normalmente es el NIC (Network Information Center) del pais respectivo. Veamos algunos ejemplos de consultas que podemos hacer, digamos que queremos obtener informacién de uma empresa muy conocida como Cisco Systems, dado que el dominio es cisco.com entonces podemos acudir al ARIN para muestra consulta Para ello apuntamos nuestro navegador a http://whois.arin.net y en la caja de texto denominada “SEARCH WHOISRWS* ingresamos el nombre de la organizacién, para este ejemplo: Cisco Systems. Ne trata de informa Es importante recalear que podemos efectuar consukas Who-ls sin solicitar autorizacién, debido a que se n que se encuentra en na base de datos piiblica. Figura 0- Consulta a la base Who-Is del ARINEsta accién nos da como resultado informacién valiosa relativa a nuestra consulta (ver Figura 6). Ustedes pueden analizar todos y cada uno de los resultados, pero para este ejemplo nos limitaremos a revisar la tercera opcidn bajo el item de Organizaciones: Cisco Systems (CISCOS). Como se presenta en la Figura 7, hemos obtenido informacion relevante sobre nuestro objetivo como la ubicacién fisica de la empresa, cuando se registré el nombre del dominio por primera vez, cuando fue actuali Systems, haremos click sobre el enlace "Related Networks" (redes relacionadas) y obtendremos una respuesta como la que se muestra en la Figura 8, Figura 7 - informacion detallada de organtzacidn en el Who-Is oreo ron me aH) seman as aovomcanessnn aeransieeeay sence sonnenene ewe cscorsnerseatety aomzae- 2mm Figura 8 - Who-is: rangos de IP's asignados al objetivo Esto nos demuestra la importancia. de mantener esta _—_ informacion privada, porque si bien es cierto que en el momento en que tenemos equipos dentro de la red perim Una recomendacion util es pagarle al NIC respectivo para que mantenga muestrainformacién privada, es decir, que no se publique en la base Who-IS. Este es un servicio que normalmente ofrecen los NIC’s por una suma anual bastante médica Algunos de ustedes me dirdn que no hay informacién que no sea ya conocida piiblicamente sobre nuestro objetivo (Cisco Systems), como para que amerite pagarle al ARIN para que oculte dicha informacion y en este caso puede ser cierto; pero veamos un ejemplo de un NIC regional para explicar mi punto. ‘A contimacién realizaré una consulta Who-IS usando como objetivo a mi alma mater, la Escuela Superior Politécnica del Litoral (ESPOL) en el NIC de mi pais euador. Registro de Dominios nie vec. aesnoer Basmeda, ‘Solo para Tinos logaies ¥ que no utiiieara ioe Gates pars covies wastvos no sollcteades Registrar: NIC.8c Registrar Figura 9- Consulta al Who-ts del NIC-EC En primera instancia la informacién que nos muestra (ver Figura 9) es similar a la expuesta por el ARIN, pero observemos la segunda parte del reporteRegistrar: NIC.EC Registrar Registrante: Nombre: . Organizacion: ESPOL Direccion: Campus Prosperina Km 30.5 Via Pertmetral Guayaquil, Guayas 09-01-5963 Ee Email . _ Telefano: 5934-2269000 Fax: 59342854014 Contacto Administrativo: Nombre: © Organizacion: BSPOL Direccion: Campus Prosperina, Kn.30.5 via Perimetral Guayaquil, Guayas 09-01-5363 EC 9934-22698 Fax: 5934-2054014 Contacto Tecnico: Nombre: Organizacion: ESPOL Direccion: Campus Prosperina, Kn.30.5 via Perimetral Guayaquil, Guayas 09-01-5963 Re Email: Sse . Telefono: 5934-2265: Fax: 5934-2054014 Figura 10 -Nombres, correos y teléfonos obtenidos del NIC.EC En la Figura 10 podemos ver que la consulta nos muestra nombres de contactos reales que trabajan en la institucion, asi como mimeros de teléfonos directos y correos electrénicos de dichos fimcionarios. Esto podria prestarse para realizar un ataque de ingenieria social, por lo que resulta preocupante que esté divulgado en una base de datos publica. Usando herramientas todo-en-uno durante el reconocimiento Bien, hasta ahora logramos algiin progreso en nuestros esfuerzos durante la fase de reconocimiento, pero lo hemos hecho de forma dispersa y progresiva usando varios recursos aislados como Google, el comando nslookup y consultas a directorios Who-Is. Hacerlo de esta manera cumple con nuestro objetivo de aprendizaje, pero no es eficiente desde el punto de vista practico, porque desperdiciamos tiempo valioso que podriamos aprovechar en las siguientes fases de nuestro anilisis. Es por esto que ahora revisaremos herramientas de software que no solo nos ahorran tiempo en el reconocimiento, sino que ademas nos facilitan la escritura del informe, gracias a que cuentan con interfaces graficas amigables que muestran la informacién recolectada de forma ordenada y, en algunos casos, cuentan inclusive con opciones para generar reportes que resultan muy titiles para ser incluidos como anexos de muestra documentacién En breve revisaremos los aplicativos: © Maltego © Traceroute visual© EMail Tracker Fro Maltego Maltego es wma herramienta que permite recabar datos sobre una organizacion de forma sencilla, a través del uso de objetos graficos y memis contextuales que permiten aplicar "transformaciones" a dichos objetos, a través de las cuales se obtiene a su vez mayor informacion. Una transformacién es una operacién que aplicada sobre um objeto genera informacion adicional sobre el mismo, la cual es reflejada en forma grafica enMaltego mediante uma estructura tipo arbol. Esto quizas suena un poco abstracto, conque mejor veamos un ejemplo. Los objetos pueden ser de diferentes tipos: dispositivos, elementos de infraestructura, ubicaciones, pruebas de intrusion, personales y sociales Los dispositivos pueden ser equipos como teléfonos o camaras; los elementos de infraestructura incluyen objetos como nombres de dominio, direcciones IP, entradas DNS y similares. Las ubicaciones se refieren a sitios fisicos como ciudades, oficinas, ete. Los objetos de tipo pruebas de intrusion nos permiten agregar informacion obtenida acerca de tecnologias utilizadas por la organizacion auditada. Los elementos personales se refieren a informacién como nombres de personas, documentos, imagenes, mimeros de teléfono y afines, mientras que los objetos sociales involucran datos obtenidos de redes sociales como Facebook, Twitter, entre otras. Para usar Maltego de forma gratuita en su versién de cddigo abierto, Maliego Communi es necesario registrarse y crear una cuenta en los servidores dePaterva (la empresa que desarrolla Maltego). Esto es necesario puesto que son los servidores de Paterva quienes realizan las transformaciones. Dado que dichos servidores son compartidos por todos los usuarios que usan Maltego de forma gratuita, en ocasiones las transformaciones pueden demorar un poco en ejecutarse; debido a esto Paterva ofrece wna opcidn pagada de Maltego que incluye mejoras en tiempos de respuesta Esta vez usaremos como objetivo a Google, les recuerdo que se trata de informacién publica y por ende no contravenimos ninguna ley x rs ry eee altego en Backtrack/Kalt LinuxUna vez iniciadoMaltego (Figura 11) deberemos completar los pasos para la configuracién inicial siguiendo las instrucciones en pantalla, Esto incluye la creacion de una cuenta para acceso a los servidores y la obtencidn del paquete de transformaciones actualizado (ver Figura 12) La primera vez crearemos un grafico en blanco para jugar con él y probar las tan esperadas transformaciones Empezaremos por expandir el ment "Infrastructure" ubicado a la izquierda y arrastraremos un objeto de tipo "Domain" a un espacio libre en nuestro nuevo grafico, como se denota en la Figura 13 Para cambiar el nombre de dominio por defecto, seleccionamos el objeto con el puntero del mouse y cambiamos el valor en Ja caja de propiedades ubicada en la parte inferior derecha de la interfaz. En este ejemplo cambiaremos paterva.com por google.com (Figura 14), taro)Sind selector cl paste Ch quick |e Tind | set fereee a 2 astanPege snow cropn 4 inractueture —— : w Gonavew google.com) ie cha Figura [4 - Nuestro dominio a analicar es google.com Acto segnido aplicaremos la primera transformacion, esto lo haremos haciendo click derecho con el mouse y ejecutando la opcidn "Run Transform -> DNS from Domain > All in this set" (Figura 15). Esto le indica a Maltego que debe ejecular todas las transformaciones relacionadas con el protocolo DNS para el objeto seleccionado, en este caso: el dominio google.com Como se ilustra en la Figura 16, el resultado es un arbol que contiene distintos hosts que pertenecen al dominio google.com, el cual se muestra como nodo raiz, Las flechas indican que existe um relacion entre la raizy cada nodo hijo. El simbolo de estrella ubicado junto al icono de un host indica que éste provee servicios de webserver.ea ommanan ery ‘it @ ontace ‘nd | sean ois 4 9 ifrantuctre Ts ONS nome atom foe tamer) o.DNS Home Bind cman aS names] To weber (ac oop) in Het Adress Cnn F br + Rt @ Dstee Tind | Saiedlon 382 ART |G 4 9 oevcos bie view | fetny tit ||) 9 itrastrucure a tinder: _om Mate Figura 16 - Resultado obtenido al aplicar las transformaciones DNS Ejecutemos ahora una segunda transformacion. Dependiendo del tipo podremos aplicarla sobre el nodo raiz, en cuyo caso la misma se replicara de forma recursiva a sus nodos hijos, o sobre un objeto en particular Para el ejemplo aplicaremos la transformacién de resolucién de direcciones IP sobre el nodo www.google.com (Run Transform -> Resolve to IP > To IP Address [DNS] ). La ejecucion toma algunos segundos y se obtiene informacién adicional como se muestra en la Figura 17