Esta Tarea 4 de la Unidad 2 del Curso de Hacking Etico de Mondragon Unibertsitatea que consiste en realizar un pequeño resumen de las tareas 1, 2 y 3 de esta Unidad. Vamos a ello:
Tarea 1: Capturando trafico con Wireshark.
En esta tarea hemos aprendido qué es un Sniffer, se trata de un programa que aprovechando la capacidad de nuestra tarjeta de red para trabajar en modo “promiscuo” va interceptando todos los paquetes que viajando por la red pasan por la tarjeta, incluso aunque estos nos vayan dirigidos a nosotros.
Uno de los Sniffers mas conocidos es el Wireshark y con el hemos realizado una practica consistente en analizar los paquetes capturados durante una sesión de Telnet.
Telnet es un protocolo utilizado para conectarnos remotamente a un servidor y desde el punto de vista de la seguridad es un protocolo muy débil ya que envía la información sin encriptar a través de la red. Esto ha quedado patente, ya que analizando los paquetes capturados por el sniffer no ha sido difícil obtener datos como el usuario y password o los comandos utilizados durante la sesión de Telnet, así como el sistema operativo de la maquina.
Podéis ver la Tarea 1 completa AQUÍ.
Tarea 2: SQL Injection.
Esta tarea me ha resultado de las mas interesantes y en ella hemos trabajado y aprendido varios conceptos. La Tarea consistía en realizar a un ataque mediante la técnica de SQL Injection con el objetivo de conseguir el usuario y password necesarios para hacer login en una web.
Lo primero que hemos tenido que hacer ha sido preparar el servidor a atacar. Hemos utilizado el software Virtual Box para instalar en nuestro propio equipo una maquina virtual que hará de servidor de la web que debemos hackear.
Este servidor aloja una web afectada por un fallo de seguridad, debido a que su programador no ha tenido en cuenta que un usuario malintencionado puede aprovechar el formulario de login para inyectar condigo SQL y provocar un funcionamiento indebido de la Web.
Siguiendo las instrucciones de la Tarea hemos ido realizando diversas consultas a la base de datos de la web, de esta forma hemos ido conociendo datos sobre la estructura de la Base de Datos, sus Tablas y finalmente hemos conseguido los usuarios y contraseñas que buscábamos, eso si, las contraseñas estaban encriptadas con lo que (de momento) no nos servían de mucho.
Por ultimo hemos aprendido a utilizar el programa John the Ripper con el cual hemos podido desencriptar por el método de Fuerza Bruta las passwords obtenidas anteriormente.
Podeís ver la Tarea 2 completa AQUÍ.
Tarea 3: Reflexión sobre la Ética Hacker.
En esta tarea hemos aprovechado el reciente caso del hackeo sufrido por la empresa de Seguridad Informática Hacking Team para reflexionar sobre la Ética Hacker.
He hecho un resumen del caso y he analizado las distintas motivaciones que han podido llevar a cada uno de los actores a actuar de la forma en que lo ha hecho, llegando a la siguiente conclusión:
Como conclusión, podemos decir que las herramientas de hacking en sí no son buenas ni malas, si no que al igual que ocurre con el fuego o la energía atómica, está en las manos del ser humano el hacer buen o mal uso de ellas. Aunque exista una “filosofía hacker” según la cual el objetivo de los ataques de hacking debe ser el estudio y la mejora de los sistemas y nunca el hacer daño por que sí u obtener beneficio personal (dinero, fama…), hay que pensar que la Seguridad Informática es un negocio multimillonario que puede hacer que los fines altruistas queden relegados a un segundo plano. Si lo pensamos bien no es tan raro, no hay mas que pensar en sectores como el de la sanidad (farmacéuticas, etc) o la alimentación.
Podeis ver la Tarea 3 completa AQUÍ.
hacketicomooc 