¿Qué pasa en mi red?

En la charla que estuve dando en el curso de perito telemático forense, cuando llegaba a la parte de la respuesta ante incidentes siempre explico, que una de las maneras más rápidas de empezar a poder saber si ha pasado algo es mirar el tráfico de red. Por eso es imprescindible el saber usar herramientas como Wireshark. Este analizador de tráfico nos puede salvar de un problema en múltiples escenarios y los usos que se le pueden dar son infinitos. Esta imagen será familiar para mas de uno, es la ventana con captura de tráfico de Wireshark, podemos encontrar muchas de ellas si buscamos en Google. Vamos ha hacer una prueba mirando una captura de tráfico: En una red es normal que podamos ver diferentes cosas, desde tráfico que provoca la aplicación Dropbox, que busca sincronizar en LOCAL. También podremos ver cosas como DHCPv6 etc.. Una de las cosas que podemos configurar en Wireshark para ver mejor el tráfico es lo siguiente: Habilitamos network name resolution, nos ayudará en las capturas de tráfico. Si queremos mirar algún evento en concreto podemos hacer el follow UDP stream, TCP stream Podemos ver la trama del paquete, y si queremos podemos ver el tráfico de red entre un equipo en concreto,si queremos. Podremos ver tráfico de red, de equipos preguntando por otros equipos. Si queremos filtrar en la captura por tráfico DHCP, por ejemplo. Podemos filtrar por DHCP, pero que pasa si queremos filtrar por una IP en concreto. Los filtros de Wireshark son muy potentes. Pero otra de las cosas que podemos hacer es ver el tráfico y incluso poder ver que aplicaciones tienen los usuarios tienen instaladas. Vemos en la captura que ese usuario está usando Virtualbox....

Leer Más

KodiakDNS, fingerprinting

En una auditoría de seguridad lo mas probable es que antes de llegar ha hacer aquella auditoría interna nos pidan de poder obtener toda aquella información pública que nos sea posible. Una de las aplicaciones que podemos usar y que podemos lanzar contra el dominio es KodiakDNS. Para hacerlo funcionar tendremos que instalar dos componentes distintos. Net:DNS:: usad cpan para instalarlo Whois, que lo podemos bajar de aquí => wget http://search.cpan.org/CPAN/authors/id/B/BS/BSCHMITZ/Net-Whois-IP-1.04.tar.gz Una vez que tengamos los dos componentes ya podremos usar KodiakDNS. Lo bajamos usando git clone git clone https://github.com/lain77z/kodiakDNS.git Lo lanzamos sobre un dominio [email protected]:~/tools/kodiakDNS# perl kodiakDNS.pl policia.com kodiakDNS.pl – DNS Gathering Tool _         _ ((`’-“””-‘`)) )  –   –  ( /   x _ x   \     コディアック`DNS \   ( + )   / ‘-.._^_..-‘ [Domain] policia.com [Resolving DNS NS] policia.com.    86400    IN    NS    sell.internettraffic.com. policia.com.    86400    IN    NS    buy.internettraffic.com. [Resolving DNS MX] [Resolving DNS A] sell.internettraffic.com.    58414    IN    A    176.74.176.170 sell.internettraffic.com.    58414    IN    A    176.74.176.169 buy.internettraffic.com.    26850    IN    A    208.87.35.120 buy.internettraffic.com.    26850    IN    A    208.87.35.121 [Resolving DNS by bruteforcing] accounting.policia.com.    300    IN    A    208.87.35.108 billing.policia.com.    300    IN    A    208.87.35.108 directory.policia.com.    300    IN    A    208.87.35.108 email.policia.com.    300    IN    A    208.87.35.108 example.policia.com.    300    IN    A    208.87.35.108 exchange.policia.com.    300    IN    A    208.87.35.108 ftp.policia.com.    300    IN    A    208.87.35.108 gallery.policia.com.    300    IN    A    208.87.35.108 mail.policia.com.    300    IN    A    208.87.35.108 marketing.policia.com.    300    IN    A    208.87.35.108 public.policia.com.    300    IN    A    208.87.35.108 reserch.policia.com.    300    IN    A    208.87.35.108 smtp.policia.com.    300    IN    A    208.87.35.108 example.policia.com.    300    IN    A    208.87.35.108 www.policia.com.    300    IN    A    208.87.35.108 Como veis realiza varias comprobaciones, pero KodiakDNS no se queda aquí y sigue extrayendo mas información [Resolving Reverse DNS [PTR]] 176.74.176.0-255 4.176.74.176.in-addr.arpa. PTR 10ge.por-5ltp1a-xe3-1.peer1.net 18.176.74.176.in-addr.arpa. PTR ns02.networkeq.net 20.176.74.176.in-addr.arpa. PTR mx01.ltp.uk.networkeq.net 74.176.74.176.in-addr.arpa. PTR dnbsource.com 84.176.74.176.in-addr.arpa. PTR hietatoolbox.biz 85.176.74.176.in-addr.arpa. PTR mail.hieta.biz 88.176.74.176.in-addr.arpa. PTR mail.iguanaconsultancy.co.uk 90.176.74.176.in-addr.arpa. PTR rubble.heppell.net 91.176.74.176.in-addr.arpa. PTR mail.learningspaces.net 92.176.74.176.in-addr.arpa. PTR mail.inter-concept.co.uk 94.176.74.176.in-addr.arpa. PTR mail.yumauk.eu 169.176.74.176.in-addr.arpa. PTR sell.internettraffic.com 170.176.74.176.in-addr.arpa. PTR sell.internettraffic.com 210.176.74.176.in-addr.arpa. PTR gss-exploit-server.com 208.87.35.0-255 1.35.87.208.in-addr.arpa. PTR 208-87-35-1.securehost.com 2.35.87.208.in-addr.arpa. PTR 208-87-35-2.securehost.com 3.35.87.208.in-addr.arpa. PTR 208-87-35-3.securehost.com Como veis hace un recorrido completo, cuando acabe esta parte nos preguntará sobre si resolver los AS: Do you want to resolve AS Numbers [y/n] (y) ? y [Resolving AS Number] 217.116.0.0-255 Y cuando acabe de resolver los AS, preguntará si queremos comprobar los resultados en listas de revocación. Do you want to look for IPs in DNS-based block list information/database [y/n] (y) ? n Como veis, KodiakDNS nos permite tener toda la información relacionada con el DNS. muy útil para tener esta herramienta en nuestro...

Leer Más

DragonJAR TIP 01! – Sniffer Vmware Fusion

Inauguramos una “serie de artículos” en las que os traeremos un pequeño truco para que podáis practicar alguna disciplina en concreto. Estos TIPS podrán ser pequeños scripts o pequeñas funcionalidades que os podemos enseñar. El TIP de hoy se titula Sniffer VmwareFusion VmwareFusion es la aplicación de vmware para MAC. En sistemas windows y GNU/Linux lo tenemos bastante mas fácil para poder capturar tráfico desde fuera de la máquina virtual. Pero en MAC OS X no es tan sencillo, es por eso que podemos crear un script como el siguiente para capturar el tráfico. #Script para analizar el tráfico de vmware fusion echo "Se esta capturando el trafico de $1" sudo /Applications/VMware\ Fusion.app/Contents/Library/vmnet-sniffer -e -w ~/Desktop/vmnet.pcap $1 Con este pequeño script que tendremos que ejecutar desde el terminal, podremos capturar el tráfico de...

Leer Más

Creando una antena para redes WIFI

Uno de los temas mas apasionantes que pueden existir dentro de mi concepto,  es el Hacking Hardware, definitivamente las posibilidades son infinitas y  más aun si lo enfocamos en un tema especifico, que mejor que hacerlo con las redes inalámbricas también conocidas como redes Wi-fi o Redes 802.11, pero que clase de Hardware podríamos hacer?, sería demasiado complejo tratar de construir nuestro propio Router, o un Access Point, pero no es para nada difícil o por lo menos poco complejo, poder construir nuestra propia Antena para estas redes. Hay diferentes tipos de antenas, pero básicamente se  pueden clasificar en “Direccionales” y “Omnidireccionales”,  como sus nombres lo sugieren la diferencia es que su señal puede ser dirigida en una dirección o muchas, esto se logra en base a la forma de la antena que básicamente podrían ser cilíndrica o de forma  semi-plana. Antes de comenzar a construir una antena, debemos tener en cuenta que este proceso puede implicar algunos riesgos,  un error en la construcción podría equivocar la frecuencia que queremos emitir y eso invadiría el espacio radioeléctrico, el cual según la ley esta segmentado para uso público y privado, el espacio público para nuestro País Colombia es a una frecuencia de 2.4 GHz, emitir señales en otra frecuencia podría interferir redes privadas o un riesgo aun mucho mayor que sería causar problemas de salud, debido a que estas frecuencias podrían llegar a tener un nivel de radiación muy alto. Algo de teoría: Como sabemos las señales de ondas radioeléctricas tienen forma senoidal, significa que aumentan y disminuyen su amplitud  de manera cíclica, Cada ciclo de onda se completa en un tiempo al que llamamos Periodo y la cantidad de veces que se repite este ciclo en un segundo es conocida como frecuencia. En este orden de ideas, tenemos  que un ciclo tiene una Longitud de Onda,  un Periodo y una Frecuencia, sabemos también que a mayor numero de veces se repita el ciclo significa que mas corto es el Periodo, es decir que a mas corto periodo tendremos una frecuencia mas grande,  por lo tanto deducimos que frecuencia y periodo son inversamente proporcionales. Frecuencia =  1/Periodo Periodo =  1/Frecuencia Ahora,  por  Ecuación de movimiento uniforme sabemos que: Distancia = velocidad * tiempo Deducimos que la longitud de onda es : Longitud = velocidad * Periodo Como sabemos la velocidad con que se desplazan las señales radioeléctricas es la velocidad de la luz, es decir 300.000 Kilómetros por segundo, por lo tanto Longitud de Onda = Periodo * 300.000.000 m/s Teniendo en cuenta que Frecuencia es inversa a Periodo podríamos deducir que: Longitud de Onda = (1/Frecuencia) * 300.000.000 m/s...

Leer Más

Como realizar un borrado seguro usando BleachBit

BleachBit es una herramienta multiplataforma (tanto Windows como GNU/Linux) que nos permite realizar un borrado seguro evitando dejar algunos rastros. Cabe resaltar que aunque existan este tipo de herramientas, siempre la informática forense estará un paso adelante descubriendo hasta los mas mínimos detalles  de aquellos rastros que son imposibles de borrar. Sin embargo, con este pequeño articulo pretendemos  explicar un poco mas a fondo esta herramienta, la cual es muy útil por que podemos borrar mucha información critica con solo un par de clicks. La instalación es muy sencilla,  pueden descargar el paquete para su sistema operativo (si es GNU/Linux pueden descargar el paquete según su distribución), o si lo prefieren aquellos usuarios de debian y derivados pueden descargar la herramienta desde los repositorios: apt-get install bleachbit Ejecutamos nuestra aplicacion ubicada en aplicaciones-herramientas del sistema-bleachbit y veremos algo como esto: En esta pantalla pueden escoger los datos que desean eliminar,  hay datos de muchas aplicaciones como  amsn, apt, evolution entre otros,  después de haber seleccionado las opciones,  damos click en borrar y esperamos que la herramienta haga su trabajo. En el proceso pueden salir errores, generalmente son problemas de permisos para borrar archivos, para evitar esto pueden entrar a bleachbit con permisos de root. Por otra parte, bleachbit nos ofrece una exploración profunda, de esta forma la aplicacion escaneara todo el disco duro buscando archivos como: Thumbs.db Copias de seguridad archivos basura Hay que tener en cuenta que todos los archivos que borremos podrán ser recuperados, para hacer “irrecuperables” estos archivos debemos activar la casilla de sobre escribir archivos para ocultar su contenido, ubicada en el  menú de preferencias: Ahora si lo que deseamos es triturar o eliminar algunos archivos específicos podemos hacerlo con esta aplicacion, debemos ir a archivo y escoger la opción de triturar archivos,  posteriormente buscamos los archivos a eliminar y eso es todo. Como pueden ver bleachbit es una herramienta  muy completa para borrar  no solamente la basura de tu sistema, sino también aquellos archivos que nadie puede ver. Mas Información: Pagina Oficial de...

Leer Más

Como Recuperar Clave MySQL

Una de las claves o password mas importante para todo administrador de sistemas y servidores, es la clave del usuario root de MYSQL.  Como todos sabemos lo ideal en cuanto a contraseñas es tener una diferente para cada cuenta,  esto nos ayuda  a incrementar un poco el nivel de seguridad, sin embargo, en algunas ocasiones por culpa de la  memoria del ser humano o por otros motivos ajenos a la maquina, nadie se acuerda de la clave maestra  de este importante servicio. A simple vista  puede parecer un problema muy grave, no obstante, es algo que se puede resolver  de forma sencilla siempre y cuando tengamos acceso  al servidor con una cuenta de root, para restablecer la contraseña de mysql podemos hacer lo siguiente: Detenemos el servicio si se esta ejecutando: /etc/init.d/mysql  stop El siguiente paso es reiniciar el servidor MYSQL en modo seguro, con los siguientes parámetros: mysqld_safe --skip-grant-tables --skip-networking Ahora, en otra consola entramos como root al servidor, de esta forma: mysql -u root -p mysql Si todo ha salido bien, debemos tener  el prompt de Mysql, en el cual  procederemos a cambiar el password, en la tabla user de la base  de datos mysql: UPDATE user SET Password=PASSWORD('passwordnuevo') WHERE User='root'; flush privileges; Por ultimo solo basta  terminar el proceso de mysql-safe y reiniciar el servidor como se hace normalmente: pkill mysql -safe /etc/init.d/mysql start Cabe resaltar que  la mejor forma de evitarse este tipo de calamidades, es bueno recordar las contraseñas, en la red existen muchas aplicaciones las cuales nos ayudan a gestionar y administrar todas nuestras contraseñas, recuerda que en la comunidad hemos proporcionado siempre información útil para maneja tus contraseñas fácilmente, herramientas para generar contraseñas seguras, e incluso aplicaciones que si no quieres utilizar una palabra clave, te permiten utilizar tu rostro como contraseña para que nunca pierdas una clave y no te toque recurrir a procedimientos como...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES