Laboratorios: Hacking - Técnicas y contramedidas - Sniffing I

El término Sniffing (Olfateo) puede ser asignado a la práctica de utilizar un software determinado para capturar las tramas de la red.

Veamos la definición que nos ofrece la Wikipedia:

En informática, un packet sniffer es un programa de captura de las tramas de red. Generalmente se usa para gestionar la red con una finalidad docente, aunque también puede ser utilizado con fines maliciosos.

Es algo común que, por topología de red y necesidad material, el medio de transmisión (cable coaxial, UTP, fibra óptica etc.) sea compartido por varias computadoras y dispositivos de red, lo que hace posible que un ordenador capture las tramas de información no destinadas a él. Para conseguir esto el sniffer pone la tarjeta de red o NIC en un estado conocido como “modo promiscuo” en el cual en la capa de enlace de datos no son descartadas las tramas no destinadas a la MAC address de la tarjeta; de esta manera se puede obtener (sniffar) todo tipo de información de cualquier aparato conectado a la red como contraseñas, e-mail, conversaciones de chat o cualquier otro tipo de información personal (por lo que son muy usados por delincuentes informáticos, aunque también suelen ser usados para realizar comprobaciones y solucionar problemas en la red de modo legal). (Continúa leyendo la definición de wikipedia).

Partiendo desde esta definición, continuemos con las prácticas.

Práctica 41 - Captura de paquetes - Extrayendo datos desde el tráfico de red
Herramienta: Ethereal - Wireshark
Prerequisitos: WinPcap
Contramedidas: Encriptación de datos, Sistemas de detección de sniffers
Descripción: Wireshark (antes Ethereal), es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didáctica para educación. Cuenta con todas las características estándar de un analizador de protocolos. (más información).

La información que puede tener un atacante (en este caso, nosotros como investigadores) haciendo uso de este tipo de ataques es la siguiente:

  • Direcciones IP
  • Nombres de host (Hostnames)
  • Routers y rutas de transmisión
  • Datos (la mayoría de los datos transmitidos en red circulan en texto plano, incluyendo FTP, Telnet, e-mail, etc.)
  • Información de protocolos

Mediante este tipo de ataques, el delincuente informático puede construir ataques más elaborados, en apoyo de los datos obtenidos por esta técnica.
Procedimiento: En windows: Descargar e instalar la herramienta wireshark, como alternativa puede utilizarse el recurso portable publicado hace algunos meses en la Web. (Descargar Wireshark portable).
Desde BackTrack, basta con solo ejecutar la herramienta, pues esta ya viene instalada y lista para ser utilizada (razón principal por la cual escogí esta distribución).

Veamos el proceso llevado a cabo en Windows:

Ingresar a la web del proyecto Wireshark, y descargar la herramienta

Después de descargar ejecutamos el archivo instalador

Ahora procedemos a instalar

Aceptamos los términos de licencia

Accesos directos

Ruta de instalación de la herramienta

Instalación de WinPcap

Finalizada la instalación vamos a dar clic al acceso directo para ejecutar la herramienta. Veamos la interfaz gráfica de Wireshark.

El objetivo primordial de estos laboratorios es mostrar de manera práctica algunas técnicas utilizadas por los delincuentes informáticos, ofreciendo además algunas posibles contramedidas a dichas técnicas, por esto mostraré como la herramienta Wireshark puede ser utilizada para interceptar el flujo de información en las redes. Si bien es cierto que la finalidad de la herramienta es ofrecer soporte a problemas y fallas de comunicaciones en las topologías de red, también puede ser utilizada como se mencionó en un comienzo para hacerse a datos sensibles transmitidos en ella.
(En próximos laboratorios trataremos el uso de muchas de las herramientas tratadas en estas prácticas pero a mayor profundidad, es decir, las estudiaremos a un nivel más detallado y no, de un modo tan meramente práctico).

Desde la pestaña Capture, hacemos clic en el boton Options

Esta ventana nos permitirá seleccionar nuestra tarjeta de red, para mi caso Broadcom NetXtreme Gigabit Ethernet, además activaremos la opción de resolución de nombre de red. Las demás opciones las podemos dejar por defecto, claro está que cada investigador debe profundizar en cada una de ellas.

Dicho esto, comenzaremos con el sniffing de tráfico. Clic en Start

Captura de pantalla de la herramienta Wireshark en ejecución, rápidamente observamos como recoje cada uno de los datos transmitidos en la red. Es una de las mejores herramientas para este propósito.

Para la demostración de efectividad de la técnica utilizaré la transmisión de datos entre un servidor y un cliente FTP, enviaré un archivo de texto plano que tenía en una carpeta de pruebas de estegoanálisis (tema tratado en este post), aclaro que el archivo de texto nada tiene que ver con el tema del sniffing, solo era un texto que estaba utilizando para la detección de técnicas de estenográficas de dicha herramienta.

Después de transmitir el archivo, damos clic en stop, seguido de protocol, para organizar un poco los resultados arrojados, nos desplazamos a los relacionados con el protocolo FTP, clic derecho Follow TCP Stream.
Vemos a continuación todo el proceso capturado, para este caso, el proceso de login entre el cliente y el server FTP

Los datos sniffados (recolectados, “olfateados”) - capturados son los siguientes:
Versión del servidor FTP - Serv-U 2.5 en modo trial de 45 días
Nombre de usuario del server: avatar
Contraseña de usuario del server: avatar
Servidor FTP ejecutandose en “modo pasivo”

Y si fuera poco y explorando aún más podemos encontrar el texto escrito en el archivo transmitido a manera de prueba.

Ventana de configuración y de registro de conexiones del servidor FTP (captura para demostración de la veracidad de los datos capturados)

Práctica llevada a cabo desde la distribución BackTrack. Al igual que desde windows, desde la interfaz de Wireshark, el proceso es el mismo. Veamos

Clic en K, BackTrack, Privilege Escalation, Sniffers, Wireshark

Desde aquí, el proceso de sniffing es idéntico al realizado desde Windows (serie de capturas de pantalla de Wireshark en ejecución desde BackTrack)

Interfaz Wireshark

Configuración de tarjeta de red y resolución de nombres

Wireshark en ejecución

Pantalla de actividad y registros de capturas

Detalle y análisis de datos capturados

A modo de conclusión solo me queda decir que Wireshark es catalogada como la mejor herramienta para el análisis de datos de transmisión de redes. Y que esta es solo una mínima demostración de sus bondades como herramienta hacking y/o de auditoría de redes. De nuevo hago la invitación a los investigadores a que profundicen en los diferentes usos que puede tener la herramienta, para ello pueden hacer uso de la documentación oficial del proyecto.

Próxima sesión
Sniffing II

Go up