Herramientas Básicas para obtener información de servidores externos.
El primer paso a la hora de realizar una auditoria de seguridad es conocer el terreno en el que nos vamos a mover. Necesitamos recopilar toda la información posible sobre el sistema que queremos “atacar” para saber cuales son bugs o agujeros de seguridad que pueden afectar a los distintos elementos del sistema. Es interesante conocer cosas como la direccion IP, los servicios (puertos abiertos), el Sistema Oparativo o los programas que estan instalados.
Algunas de las herramientas básicas que nos pueden ayudar en el proceso de recabar información son:
En esta Tarea vamos a utilizar estas herramientas. Veamos como funcionan.
El ping es una herramienta que nos permite comprobar si hay conectividad entre 2 nodos. El primer nodo, al ejecutar el ping envía un paquete de datos al segundo nodo y si hay conectividad entre ambos el segundo nodo debería recibir el paquete y devolverlo. De esta forma si el nodo 1 recibe el paquete de vuelta tenemos la seguridad de que el nodo 2 se encuentra activo y ademas existe conectividad entre los nodos.
En caso de no recibir respuesta esto se podría deber a:
- El nodo 2 esta caído.
- No hay conectividad entre los nodos. La conexion falla en algun punto.
- El administrador del Nodo 2 ha tomado medidas de seguridad/privacidad para que su sistema no responda a Ping.
Vamos a la practica:
El comando ping lo ejecutamos en una Ventana de Comandos (Símbolo del Sitema en W7) y su sintaxis básica es “ping Direccion_IP“. La dirección IP la podemos sustituir por un Nombre de Dominio y en caso de que nuestros servidores DNS lo puedan resolver funcionaría igual que si ponemos una Dirección IP y ademas nos aportaría la Dirección IP que hay tras ese Nombre de Dominio.
Vamos a comenzar haciendo un ping a Google a ver que sacamos…
Ejecutamos el comando “ping http://www.google.com” y como vemos en la imagen obtenemos respuesta a nuestro ping. De esta respuesta obtenemos la siguiente información:
- La dirección IP del servidor en el que se encuentra alojada la web http://www.google.com es la 216.58.210.228. Esta informacion en realidad nos la ha dado nuestro servidor DNS.
- El servidor con IP 216.58.21.228 se encuentra activo (encendido) en este momento (si no, no respondería a ping).
- El servidor con IP 216.58.21.228 esta correctamente conectado a Internet y tenemos acceso a el a través de la red (Si no estuviera conectado a Internet tampoco respondería a ping).
El resumen estadístico nos indica que nuestro Ping ha enviado 4 paquetes y ha recibido de vuelta los 4. Si se hubiera perdido alguno podria indicarnos la presencia de algún corte de red (bien por parte de Google o bien por nuestra conexión).
El tiempo que tarda el ping en ir y volver también nos puede dar alguna pista sobre la calidad de nuestra conectividad con Google, unos tiempos muy altos podrían darnos la pista de que algo está fallando.
Ahora vamos a repetir el ejercicio con la segunda opción que se nos propone en la tarea: www.euskalert.net
En este caso la respuesta que obtenemos no es la misma que en el caso anterior. En primer lugar obtenemos un dato importante: La direccion IP del servidor que aloja la pagina web http://www.euskalert.net es la 192.146.78.12. Sin embargo esta IP no ha respondido a nuestro ping (Tiempo de espera agotado…, paquetes enviados = 4 y recibidos = 0), en un principio podríamos pensar que se trata de un servidor que esta apagado o que no esta conectado a Internet (damos por hecho que nosotros si lo estamos), sin embargo al tratarse de una pagina web podemos hacer una prueba muy sencilla que es la de intentar acceder a la web a través de nuestro navegador:
De esta forma comprobamos que el servidor funciona perfectamente, esta encendido y con conexión a Internet (si no, no veríamos la pagina). Por lo tanto no nos queda mas remedio que pensar que el Administrador del Sistema ha tomado medidas de seguridad/privacidad para que su servidor no responda a ping.
Whois es un protocolo que nos permite hacer consultas en una base de datos en la que figura todo lo relativo al registro de un dominio. Esta información es publica y en ella podemos encontrar datos interesantes para un hacker como las personas de contacto (técnico, administrativo…) a las que podríamos dirigirnos en un momento dado con la intención de ampliar la información sobre el sistema que queremos “atacar” (Ingeniería Inversa).
Se puede trabajar con Whois a través de una ventana de comandos pero también tenemos paginas web que nos permiten hacer la consulta como: http://ping.eu/ns-whois/. Yo he utilizado esta segunda opción para realizar la tarea.
En primer lugar vamos a hacer un Whois del dominio google.com. En este caso nos encontramos que los e-mails de contacto corresponden a cuentas corporativas en las que no se adivina ningún nombre personal, así que parece que lo tenemos difícil para utilizar Ingeniería Social en este caso.
Ahora haremos un Whois del dominio euskalert.net. En este caso también hay cuentas de e-mail corporativas en los contactos técnico y administrativo, sin embargo en el contacto del Registrante tenemos una cuenta denominada amanterola@eps.mondragon.edu. Esta cuenta tiene toda la pinta de tratarse de una cuenta personal cuyo titular podría tener un nombre que comience por “A” y cuyo apellido es “Manterola”. Haciendo una simple búsqueda en Google es muy posible que se trate de ESTA PERSONA e incluso tenemos su teléfono móvil!!!
Por ultimo sobre el Whois, comentar que otro dato que puede ser interesante en un momento dado el de la fecha de expiración del dominio. En el caso de euskalert.net es el 31 de octubre de 2015. Si al administrador del dominio por cualquier motivo se le pasa la fecha de renovación, una persona que esté al acecho en esa fecha podría registrar el domino a su nombre con el consiguiente quebradero de cabeza sus dueños actuales.
Nmap es un programa que envía una serie de paquetes a través de la red y tras analizar los paquetes de respuesta nos puede ofrecer una información muy valiosa para un Hacker, como son los puerto abiertos, el Sistema Operativo o programas que se están ejecutando.
La herramienta Nmap viene implementada en algunos sistemas operativos como en algunas distribuciones Linux, sin embargo en Windows 7 no viene por lo que la he tenido que instalar desde https://nmap.org/download.html.
Para la realización de esta tarea he utilizado la versión de Nmap en entorno gráfico denominada Zenmap.
Haciendo un Nmap (básico, sin atributos) de http://www.euskalert.net el resultado me da que tiene todos los puertos abiertos.
pero no me da mas información sobre sistema operativo etc… así que procedo a hacer una búsqueda en el portal Netcraft, donde encuentro que el servidor de http://www.euskalert.net tiene Sistema Operativo Linux Ubuntu y un servidor web Apache.
Si hacemos lo propio con http://www.google.com el nmap nos dice que están abiertos los puertos 80 (http, web), 443 (https, web secure) y 1720 (h323q931, que se utiliza para video conferencias).
Igualmente consultamos en Netcraft y descubrimos que su sistema operativo es Linux y su servicio web es denominado GFE 2.0 (un sistema exclusivo de Google).
Por ultimo, con todos los datos que hemos encontrado tendriamos que buscar en las bases de datos de Bugs para ver si hay agujeros de seguridad conocidos para los distintos elementos del sistema a “atacar”. Algunas de estas bases de datos podemos encontrarlas en:
Por ejemplo para el Servidor Web Apache 2.4.7 que corre en http://www.euskalert.net encontramos ESTE exploit:
Y con esto doy por finalizada la Tarea 1 de la Unidad 1. Espero que todo este correcto.
hacketicomooc 