ESPÍAS EN LA RED
MODESTO CORDERÍ NÓVOA
OSCAR MALINGRE PÉREZ
INDICE
Pág.
1. INTRODUCCIÓN...1
2. ¿QUÉ ES UN SNIFFER? ………2
2.1. Funcionamiento de un Sniffer……… 3
2.2 ¿Para qué se usa un sniffer?... 3
2.3. Pero ¿cómo lo logra un programador?... 3
2.4. Módulos de un sniffer………. 4
3. SNIFFERS PARA ATAQUE……….. 5
3.1. Proteger las contraseñas contra los Sniffers………5
3.2. Cuándo una clave puede ser capturada por un sniffer………….5
3.3. ¿Cómo se implantan los sniffers y cómo se capturan las claves? …………. 6
3.4. ¿Por qué robar una clave?...7
4. ATAQUES PRÁCTICOS DE SNIFFER………. 8
4.1 Linsniffer ………..8
4.2 linux_sniffer………..8
4.3 Hunt……… 9
4.4 sniffit………9-10
4.5 Otros sniffers y herramientas de monitorización de redes…11-13
5. SNIFFERS PARA AUDITORÍA………13
6. DEFENSA CONTRA SNIFFERS………..14
6.1 ifconfig………14
6.2 NEPED: Network Promiscuous Ethernet Detector……….15
6.3. Otros métodos para detectar sniffers………15-16
7. PROTECCIÓN AVANZADA CONTRA SNIFFERS……….. 17
8. APLICACIÓN PRÁCTICA :SNIFFERS EN EL FBI :
¿ESTAMOS SIENDO ESPIADOS?...18-19
9. APLICACIÓN PRÁCTICA - PRUEBAS REALES……….20-23
10 .DICCIONARIO ………. 24-26
11. LIBRO DE DIRECCIONES……… 27
1. INTRODUCCIÓN
A menudo, las cosas no son lo que parecen. Para escuchar a los medios de comunicación hablar de ello, el peor destino que puede sufrir un administrador es que su servidor Web sea reventado y que modifiquen su página Web. No es cierto. De hecho, aunque estos ataques pueden parecer dramáticos y suelen generar grandes titulares, no son nada si se los compara con un ataque real. Los intrusos reales no suelen anunciar su presencia ni hacen alarde de lo que consiguen, sino que instalan dispositivos de monitorización ocultos que furtivamente recogen la información de la red.
Dichas herramientas reciben el nombre de analizadores de protocolos, aunque también se las conoce como sniffers. El sniffing de paquetes es la práctica de capturar datos de red que no están destinados a tu máquina, generalmente con el propósito de ver tráfico confidencial/sensible, como sesiones telnet o gente leyendo su correo. Por desgracia no existe una forma de detectar un sniffer de paquetes, puesto que es una actividad pasiva, sin embargo mediante la utilización de switches de red y backbones de fibra óptica (que son muy difíciles de pinchar) se puede minimizar la amenaza.
Los sniffers representan un alto nivel de riesgo, ya que:
• Pueden capturar contraseñas.
• Pueden capturar información confidencial o patentada.
• Pueden utilizarse para hacer mella en la seguridad de los entornos de red u obtener acceso por la fuerza.
De hecho, los ataques de sniffers han provocado acuerdos más serios que cualquier otro tipo de ataque. Para enfatizar este punto, vamos a rememorar rápidamente el pasado. En 1994, un ataque masivo de sniffers obligó a un centro de investigación naval a publicar la siguiente nota:
“En febrero de 1994, una persona no identificada instaló un sniffer de red en varios hosts y en varios elementos de backbones que recopiló más de 100.000 nombres de usuarios y contraseñas válidas a través de Internet y MiInet. Se considera que todos los equipos del sistema que permitan la existencia de registros de FTP, Telnet o remotos corren peligro... Hay que comprobar si todos los hosts de la red que utilicen un sistema operativo derivado de UNIX tienen el controlador de dispositivo específico que permite instalar el sniffer.
(Extracto de la nota del Naval Computer & Telecomunications Area Master Station LANT)”
El ataque a MiInet fue tan serio que el asunto fue llevado ante el Subcomité de Ciencia, Espacio y Tecnología y al Tribunal Supremo de USA.
Ahora veamos un artículo más reciente y cercano a nosotros en Galicia:
“Un «hacker» de Carballo estafa movendo cartos pola Rede.
Axentes da Garda Civil especializados en delictos telemáticos detiveron a un mozo de Carballo como presuntor autor dunha estafa de 48.000 euros(7,9 millones de pesetas) a unha empresa por Internet. O sospeitoso pasou os cartos por bancos de varios países”
( Extracto de La Voz de Galicia, Mayo 2002)
2. ¿QUÉ ES UN SNIFFER?
De igual manera que los circuitos de teléfono, las redes de ordenadores son canales de comunicaciones compartidos. Es simplemente demasiado costoso poner un
switch (hub) para cada par de ordenadores implicados en la comunicación. El compartir significa que las computadoras pueden recibir la información que fue enviada a otras máquinas. Al capturar la información que pasa la red se llama el sniffing.
Normalmente la manera de conectar varios ordenadores es mediante Ethernet. El protocolo de Ethernet trabaja enviando la información del paquete a todos los hosts
en el mismo circuito. La cabecera del paquete contiene la dirección apropiada de la máquina destino. Solamente la máquina con la dirección que va en la cabecera se supone que aceptar el paquete. Una máquina que está aceptando todos los paquetes, sin importar lo que ponga en la cabecera del paquete, se dice para estar en modo promiscuo.
Debido a que en un ambiente normal del establecimiento de una red, la cuenta y la información de la contraseña se pasa a lo largo de Ethernet en texto claro, no es complicado para un atacante una vez que obtengan el root, poner una máquina en modo promiscuo (sniffing). Esto compromete todas las máquinas en la red.
Un sniffer de paquetes es un programa de “pinchado” (wiretap), que se instala en una red y pueden ver todos los paquetes que circulan por ella. Como una línea de teléfono pinchada permite que el FBI escuche las conversaciones de la gente, un programa "sniffer" deja escuchar la comunicación entre ordenadores.
2.1. Funcionamiento de un Sniffer
Un Sniffer funciona cambiando el estado natural de una tarjeta de red a un estado particular. Cuando se envía una información por la red las tarjetas dejan pasar todo el trafico de la red que no les pertenece, es decir, todo tráfico que no tenga como destino el computador en el que está instalada. Sin embargo la tarjeta sabe que esta pasando tráfico por el cable al que está conectada, por lo tanto haciendo unos sutiles cambios en el modo de operación podría verse el trafico que pasa por el cable, a estos cambios se les conoce como modo promiscuo.
2.2 ¿Para qué se usa un sniffer?
Los programas de sniffers han estado ejecutándose por la red durante mucho tiempo en dos formas. Los programas comerciales de sniffers se usan a menudo para ayudar en el mantenimiento de las redes. Mientras que sniffers “underground” son usados por los crackers para introducirse en los ordenadores ajenos.
Algunos usos típicos de estos programas son:
• Captura de passwords y logins que están en texto plano (sin encriptar) desde la red.
• Conversión de datos a un formato comprensible por los humanos
• Análisis de errores para descubrir problemas en la red.
• Análisis de rendimiento para descubrir posibles cuellos de botella en la red.
• Detección de intrusos en la red para hackers/crackers potenciales
La definición, aunque simple, le puede ayudar bastante a entender cómo es que este dispositivo trabaja, sin embargo más adelante daremos una breve mirada al funcionamiento de un Sniffer y además una lista de las herramientas disponibles para realizar esta actividad en la red.
2.3. Pero ¿cómo lo logra un programador?
La respuesta a esta pregunta puede ser bastante larga, pero en resumidas cuentas es posible principalmente por medio de PERL o C. Los archivos que se utilizan para la construcción de este tipo de herramientas son las librerías:
linux/if.h, linux/if_ether.h, linux/ip.h, linux/socket.h, linux/tcp.h, linux/in.h, netinet/in.h, signal.h, stido.h, sys/socket.h, sys/time.h, sys/types.h
Como se puede ver en el listado anterior este sistema usa para la creación del Sniffer las fuentes del sistema operativo. Para obtener más información sobre dichas fuentes puedes dirigirse a http://lxr.linux.no/
Como el programa puede guardar un registro el mismo también e ser consultado o enviado vía cualquier medio a una ubicación específica como otro servidor o alguna maquina fuera de la red interna. Precisamente en este último punto es donde están los riesgos de seguridad porque como ya se menciono el programa usa una librería de socket.h que permite crear su propio cliente de envió de mensajes a la maquina que se desee; por lo tanto es mucho mas que recomendable verificar que maquinas no autorizadas tengan las tarjetas de red en modo promiscuo.
2.4. Módulos de un sniffer
• El hardware
La mayoría de los productos trabajan con las tarjetas de red standard, aunque algunos requieren un hardware especial. Si se usa algún tipo de hardware especial, se puede analizar fallos como errores CRC, problemas de voltaje, programas de cable, etc.
• Driver de captura
Ésta es la parte más importante. Captura el tráfico de la red desde el cable, lo filtra según se desee y luego almacena los datos en el buffer.
• Buffer
• Análisis de Tiempo - Real
El programa pionero fue el “Network General Sniffer”; esta opción hace un análisis al por menor a nivel de bits de los frames mientras van por la red. Esto es capaz de encontrar una medida de la calidad de la red y de posibles fallos mientras a la vez captura la información. Por ejemplo: Network intrusion detection systems hace esto e incluso incorpora detección de posibles hackers.
• Decodificar
Esta opción muestra el contenido del tráfico de la red con un texto descriptivo para que el analista sepa qué está pasando.
• Edición / Transmisión de Paquetes
Algunos programas contienen opciones que te permiten editar tus propios paquetes de red y transmitirlos luego a la red.
3. SNIFFERS PARA ATAQUE
3.1. Proteger las contraseñas contra los Sniffers
Una contraseña es difícil de ser capturada. Los sniffers son programas que permiten a un atacante robar una clave y hacerse pasar por nosotros. Estos tipos de ataques son comunes. Es muy importante, como usuarios de Internet, tener conciencia de cómo sus claves son vulnerables y de como tomar medidas apropiadas para tener una "cuenta" más segura.
Seleccionar una buena clave ayuda mucho, pero también es muy importante saber cuando se es vulnerable a los sniffers y como lidiar con ellos.
Muchas redes locales (LANs) son configuradas compartiendo un mismo segmento de red Ethernet. Prácticamente cualquier ordenador de esta red puede ejecutar un programa sniffer para robar las claves de los usuarios.
Los sniffers actúan monitorizando el flujo de comunicación entre las maquinas de la red para descubrir cuando alguien utiliza los servicios de la red mencionada anteriormente. Cada uno de estos servicios utiliza un protocolo que define como una sesión se establece, como se identifica y autentifica una cuente y de como los servicios son utilizados.
Para tener acceso a uno de estos servicios, primero tiene que efectuar un “Log in”. Es en la secuencia de login (parte de autenticación de los protocolos, que tiene lugar al comienzo de cada sesión) en la que los sniffers están interesados, porque es aquí donde se encuentra su clave. Por lo tanto solo hay que filtrar las cadenas claves para obtener la contraseña.
3.3. ¿Cómo se implantan los sniffers y cómo se capturan las claves?
Para saber cómo funciona un sniffer, necesita saber que cada ordenador de un LAN puede “ver” todos los paquetes de datos que son transmitidos dentro de la red. Así cada ordenador de la red puede ejecutar un programa sniffer para ver todos los paquetes y guardar una copia. Básicamente, los pasos seguidos por los atacantes son los siguientes (ver ilustración):
(1) El atacante penetra en su red, rompiendo una determinada máquina. (2) Instala un programa sniffer.
(3) Este programa monitoriza la red en busca de acceso a servicios de red, las capturas son realizadas y registradas en un Log.
(4) El archivo de logs es recuperado por el atacante.
3.4. ¿Por qué robar una clave?
En todo el mundo de la Seguridad Informática, también hay que tener en cuenta la Psicología de los atacantes potenciales, para construir los sistemas de defensa adecuados a dichos perfiles.
Una de las principales razones por la que los atacantes intentan romper sistemas e instalar sniffers es poder capturar rápidamente el máximo número de cuentas posibles, así cuantas más cuentas posea el atacante más fácil tiene el mantenerse escondido. Porque puede hacerse pasar por otros usuarios “inocentes”.
4. ATAQUES PRÁCTICOS DE SNIFFER
Este apartado del trabajo está dirigido a aquellos usuarios con conocimientos avanzados de C y Linux; con los que se puede comenzar a utilizar sniffers en casos reales. Los distintos sniffers realizan tareas diferentes, que oscilan entre las sencillas (capturar nombres de usuarios y contraseñas) y las extremas (grabar todo el trafico de la interfaz de red). Entre los que se incluyen:
• Linsniffer
• Linuxsniffer.
• Hunt
• Sniffit.
4.1 Linsniffer
Linsniffer es sencillo y directo. Su propósito principal es capturar nombres de usuarios y contraseñas, y esta es una función en la que sobresale
Aplicación creada por Mike Edulla
Necesita: Archivos de cabecera C e IP.
Archivos de configuración: ninguno.
Ubicación: http://agape.trilidun.org/hack/network-sniffers/linsnifferc.
Historial de seguridad: linsniffer no tiene un historial de seguridad importante.
Notas: linsniffer es fácil de utilizar. Sin embargo, éstas son algunas notas sobre la instalación: se necesita todo el complemento de los archivos de cabecera de IP incluyendo aquellos que suelen almacenarse en /usr/include/net y en /usr/include/netinet. Además, asegúrese de que la variable PATH incluye /usr/include.
Para compilar linsniffer, introduzca el siguiente comando: $cc linsniffer.c -o linsniffer
Para ejecutar 1insniíier, escriba el comando 1insniffer en un indicativo: Linsniffer
En este momento, linsniffer crea un archivo vacío llamado tcp.log, donde escribe su salida. .
4.2 linux_sniffer
linux_sniffer ofrece una vista algo más detallada.
Aplicación: linux_sniffer por loq.
Necesita: archivos de cabecera C e IP
Archivos de configuración: ninguno.
importante.
Notas: linux_sniffer es fácil de utilizar. Sin embargo, es necesario todo el complemento de los archivos de cabecera de IR
Para linux_sniffer, introduzca el siguiente comando: $cc linux_sniffer.c -o linuxsniff
4.3 Hunt
hunt es otra opción útil cuando se necesita una salida menos compleja y más fácil de leer, un seguimiento de comandos más sencillo y snooping de sesiones.
Aplicación: hunt de Pavel Krauz.
Necesita: cabeceras de C e IP y Linux 2.0.35+, Glibc 2.0.7 con linuxThreads (o no).
Archivos de configuración: ninguno.
Ubicación:http://www.cri.cz/kra/index.html.
Historial de seguridad: hunt no tiene un historial de seguridad importante.
Notas: el creador de hunt ha proporcionado archivos binados enlazados dinámica y estáticamente a aquellos usuarios que no tengan tiempo
(o ganas) de compilar el paquete.
hunt viene comprimido en formato tar y zip. La versión actual y el nombre del archivo es hunt-1_3bin.tgz. Para empezar, descomprime el archivo comprimido con formato zip de la siguiente forma:
$ gunzip hunt*tgz
El archivo que aparece al descomprimir se llama
hunt-1_3bin.tar. Descomprímelo de la siguiente forma: $tar -xvf hunt-1_3bin.tar
hunt se descomprimirá en el directorio /root/hunt-1.3,
Permite especificar las conexiones determinadas en las que se esté interesado, en lugar de tener que vigilar y registrar todo.
Detecta conexiones ya establecidas, no solamente las iniciadas en SYN o las que se acaban de iniciar.
Cuenta con herramientas de spooying. Ofrece control activo de las sesiones.
Estas características, junto con su sencilla interfaz, hacen de hunt una buena opción para los principiantes en Linux, ya que es una magnifica herramienta para el aprendizaje.
4.4 sniffit
Sniffites para aquellos usuarios que necesiten algo más.
Aplicación: Sniffit de Brecht Claerhout.
Necesita: cabeceras de C y de IR
Archivos de configuración: consulte la siguiente sección.
Ubicación: http://reptile.rug.ac.be/~coder/sniffit/sniffit.html.
Historial de seguridad: Sniffit no tiene un historial de seguridad importante.
sniffit viene comprimido en formato tar y zip (en estos momentos, la versión actual es sniffit_0_3_0_tar.gz). Para descomprimirlo, utiliza este comando: $gunzip sniffit*gz
Tras descomprimirlo, el archivo que aparece es sniffit_0_3_0_tar. Descomprímelo de la siguiente forma:
Star -xvf sniffit_0_3_0_lar
sniffit se descomprimirá en sniffit.0.3.5/. Cambie a dicho directorio (cd sniffit.0.3.5) y ejecute el script configure: $ ./configure
Verá en la pantalla una gran cantidad de mensajes. Ello se debe a que Sniffit está utilizando autoconf para probar si el sistema cumple los requisitos mínimos. Cuando acabe el script configure, introduzca el siguiente comando:$make
Es en este momento cuando Linux crea sniffit. Este proceso puede durar varios minutos dependiendo de la máquina, de la velocidad de su procesador y de la memoria disponible. Finalmente, el proceso acabará y verá este mensaje: Strip sniffit
Funcionamiento y configuración de sniffit
Si sniffit se ejecuta desde la línea de comandos, hay que definir de forma explícita varias opciones, entre las que se incluyen las direcciones de origen y destino, el formato de salida, etc.
-c [archivo de configuración] Se utiliza para especificar un archivo de configuración.
-D [dispositivo] Se utiliza para dirigir la salida a un dispositivo determinado. El creador, Brecht Claerhout, señala que, por ejemplo, es posible capturar la sesión de IRC de otro usuario en su propio terminal.
-d Se utiliza para cambiar sniffit al modo dump. Muestra los paquetes en formato byte en STDOUT.
-1 [longitud] Se utiliza para especificar la longitud. De forma predeterminada, sniffit captura los 300 primeros bytes.
-L [nivel] Se utiliza para establecer el nivel de profundidad del registro.
-P Se utiliza para especificar un lugar determinado para monitorizar.
-s [ip_origen] Se utiliza para especificar la dirección de origen. Sniffit captura aquellos paquetes que provienen de ip de origen.
-t [ip_destino] Se utiliza para especificar la dirección de destino. Sniffit captura aquellos paquetes que van al ip de destino.
-v Muestra la versión actual de sniffit.
-x Se utiliza para ampliar la información que proporciona sniffit en paquetes TCfI con lo que capturará los números de secuencia, etc.
Los archivos de configuración proporcionan mucho control sobre la sesión sniffit (y ayudan a evitar Eneas de comando de 200 caracteres). Los formatos del archivo de configuración constan de cinco posibles campos:
. Campo 1: select y deselect. Aquí se indica a Sniffit que capture los paquetes de los siguientes hosts (select) o no (deselect).
. Campo 2: from, to o both. Aquí se indica a Sniffit que capture los paquetes que provengan o se dirijan al host especificado (o ambas cosas).
. Campo 3: host, port o multiple-hosts. Aquí se especifican un solo host de destino o varios. La opción multiple-hosts admite comodines estándar.
. Campo 4: listado de hostname, portnumber o multiple-hosts. . Campo 5: portnumber.
select from host 172.16.0.1 80 select both port 23
Con él se capturaría todo el tráfico de telnet y de la Web enviado desde ambos hosts.
Nota: Ten en cuenta que los parámetros del archivo de configuración sólo se aplican a lascomunicaciones que utilizan TCP.
sniffit permite monitorizar varios hosts en diferentes puertos y para distintos paquetes. En todas las páginas se nos dice que es una excelente herramienta.
4.5 Otros sniffers y herramientas de monitorización de redes
Una vez que hemos visto cómo funcionan los sniffers y lo que pueden hacer. vamos a ampliar el espectro. Existen muchos otros sniffers, monitores de red y analizadores de protocolos. Algunos realizan las mismas tareas esenciales que los ya mencionados, mientras que otros llevan a cabo tareas adicionales o más especializadas.
ANM Angel Network Monitor no es en sí un analizador de protocolos, sino un monitor de sistemas. ANM monitorizará los tiempos de espera de las conexiones, los mensajes de conexión rechazada, etc. de todos los servicios estándar (FTP, HTTP, SMTP etc.). También monitoriza el uso del disco. La salida está en HTML y tiene código de colores para resaltar las alertas. Este paquete requiere Perl. Para obtener más información, véase la página Web http://www.ism.com.br/~ paganini//angel/.
SNMP y la capacidad para realizar capturas sobre Ethernet, FDDI, PPP y Token Ring estándar, hace que Ethereal sea una buena opción. Sin embargo, sus creadores dejan bien claro que Ethereal es un proyecto en marcha. Tenga en cuenta que es necesario instalar tanto GTK como libpcap. Puede encontrar Ethereal en http://ethereal.zing.org/.
Icmpinfo Examina el tráfico de ICMP y es útil para detectar ataques de bombas en ICMP. Los informes de icmpinfo incluyen la fecha y hora, el tipo de paquete, el IP de origen, IP ofrecido difícil de leer, puerto de origen, puerto de destino, secuencia y tamaño de los paquetes.icmpinfo se puede obtener en:
ftp://ftp.cc.gatech.edu/pub/linux/system/network/admin/icmpinfo-1.11.tar.gz
IPAC IP Accounting Package es un monitor de IP para Linux. IPAC funciona encima de ipfwadm o ipchains, y genera gráficos detallados de tráfico de IP (generando informes de bytes por segundo, por hora, etc.). IPAC puede obtenerse en :
http://comlink.apc.org/~moritz/ipac.html.
Iptraf Es una utilidad que utiliza una consola para ver las estadísticas de la red y que recopila recuentos de bytes y paquetes de las conexiones TCP indicadores de actividad y estadísticas de la interfaz, interrupciones del tráfico de TCP/UDP y recuentos de bytes paquetes de las estaciones de LAN. Además de las interfaces estándar (FDDI/Ethernet), puede monitorizar el tráfico de SLIP PPP y RDSI. Si utiliza Trinux, SUSE o Debían, es muy probable que Iptraf ya esté instalado. En caso contrario, puede obtenerlo en http://cebu.mozcom.com/riker/iptraf/about.html.
Ksniffer También se lo conoce como utilidad para estadísticas de redes KDE y es una herramienta de monitorización de redes que funciona en K Desktop Enviroment. Ksniffer monitoriza todo el tráfico estándar de la red, incluyendo TCP, IP, UDP, ICMP, ARP, RARP y una parte de IPX. Dado que actualmente se está trabajando en el , Ksniffer aun no ofrece posibilidades de registro, pero es muy útil para vigilar la actividad de la red mientras se esta en KDE. Puede encontrar Ksniffer en
http://ksniffer.veracity.nu/.
uso de la red. Utiliza todos los protocolos estándar e incluso algunos que no admiten otras herramientas de monitorización de redes, entre los que se incluyen DNS, X, NFS, NetBioS y AppleTalk. Además, ntop tiene una función digna de mención que convierte los exploradores Web en consolas en las que se pueden ver y controlar las estadísticas de la red. ntop se encuentra en http://wvww-serra.unipi..it/-ntop/.
Tcpdump Imprime las cabeceras de los paquetes de una interfaz de red que coincida con una expresión booleana suministrada por el usuario. tcpdump es útil para diagnosticar los problemas de la red y examinar minuciosamente los ataques a la red. Puede configurarse hasta el más mínimo detalle: se pueden especificar los hosts, los servicios y el tipo de tráfico que se van a monitorizar. Al igual que sniffit, tcpdump permite que la red, el host, el puerto y el protocolo lleven a cabo capturas de paquetes. tcpdump es compatible con ARP, Ethernet, IP, RARP, TCP y UDP. Algunas distribuciones recientes de Linux traen tcpdump instalado. Si no lo tiene, puede conseguirlo en http//sunsite.auc.dk/li-nux/RPM/tcpdump.html.
tráffic-vis Monitoriza el tráfico TCP/IP y convierte esta información en gráficos en ASCII, HTML o Postscript. traffic-vis también permite analizar el tráfico entre hosts para determinar qué hosts han comunicado y el volumen de su intercambio (tenga en cuenta que necesita libpcap. traffic-vis puede obtenerse en
http://www.ilogic.com.au/~dmiller/traffic-vis. html.
Ttysnoop Es una herramienta que permite monitorizar las conexiones serie y telnet. ttysnoop se utiliza para fisgonear en el tty, actual de otro usuario. Linux incluye este paquete. Para obtener más información, consulte la página man correspondiente.
Entorno de un programa sniffer típico
5. SNIFFERS PARA AUDITORÍA
comienzo para controlar el tipo de conexiones que se realizan en el sistema. Teniendo en cuenta que ésta es la forma básica que utilizan la mayoría de herramientas de seguridad, existen dos tipos de estas herramientas de Host y de red, los Sniffer de host se caracterizan por monitorear todo el tráfico que pasa por el computador donde están instalados. Mientras que los de Red se instalan en el punto de acceso de la red y verifican todo el trafico que pasa dentro y hacia fuera de la red.
Como ya dijimos, la salida de un Sniffer se puede redirigir para que lleve un registro del tráfico en un archivo en el disco duro o en cualquier otro medio para posterior análisis. Por ser la base de las herramientas de detección de intrusos (IDS) un conocimiento de estos sistemas le brindara una perspectiva de lo que pueden y no pueden hacer este tipo de herramientas.
Cuando se instale un Sniffer deberá llevar control de la información por medios automáticos ya que por el volumen que estar manejando es humanamente imposible su análisis es recomendable usar una herramienta como una base de datos y un sistema de reportes construido en PERL. Esto en esencia es lo que es un IDS.
Sin embargo si se inicia en el uso de esta herramienta se le hará un tanto complicado el uso de todos estos adicionales para una introducción rápida en el uso de esta herramienta es recomendable comenzar por una herramienta simple y bastante poderosa como es HUNT esta herramienta ofrece una interfaz de texto bastante cómoda e intuitiva que permite seguir lo que esta ejecutándose en un omento dado en el sistema. Esta herramienta en particular permite dos tipos de instalación compilando el código fuente o desde binarios que se ejecutan directamente en la maquina.
6. DEFENSA CONTRA SNIFFERS
Los ataques de sniffers son difíciles de detectar y combatir, ya que son programas pasivos. No generan rastros (registros) y, cuando se utilizan correctamente, no utilizan muchos recursos de disco y de memoria. .
La respuesta es ir directamente al origen. Por consiguiente, la sabiduría convencional indica que para detectar un sniffer, hay que averiguar si alguna de las interfaces de la red se encuentra en modo promiscuo, para lo que pueden utilizarse estas herramientas:
. ifconfig. . ifstatus
6.1 ifconfig
Con ifconfig es posible detectar rápidamente cualquier interfaz del host local que se encuentre en modo promiscuo. lfconfig es una herramienta para configurar los parámetros de las interfaces de las redes. Para ejecutarlo, escriba el comando ifconfg en un indicativo:
ejecutar ifconfig, éste es el informe que aparece:
lo
Link encap:Local Loopback
inet addr:127.0.0,1 Bcast:127.255.255.255 Mask:255.0.0.0
UP BROADCAST LOOPBACK RUNNING MTU:3584 Metric:1 Rx packets:40 errors:0 dropped:0 overruns:0
TX packets:40 errors:0 dropped:0 overruns:0
Link encap:Ethernet Hwaddr 00:E0:29:19:4A:68
inet addr:172.16.0.2 Bcast:172.16.255.255 Mask:255.255.0.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:22 errors:0 dropped:0 overruns:0
TX packets:23 errors:0 dropped:0 overruns:0 Interrupt:3 Base address:0x300
Aquí se ve como ifconfig ha detectado la interfaz Ethernet en modo promiscuo:
“RUNNING PROMISC MULTICAST”
ifconfig es magnífico para un apuro y es una utilidad nativa de Linux
6.2 NEPED: Network Promiscuous Ethernet Detector
Esta es otra herramienta muy útil para detectar sniffers latentes. NEPED puede detectar actividad de sniffers en una subred. Se puede bajar de:
http://metalab.unc.edu/pub/Linux/distributions/trinux/src/netmap/NEPED.c.
NEPED rastrea subredes en busca de interfaces en modo promiscuo. En los kernels de Linux anteriores ala 2.0.36, NEPED descubre estas interfaces explotando un error en la implementación arp de linux (en arp.c, que se encuentra en el motor LXR en http://lxr.Íinux.no/source/net/ipv4/arp.c). NEPED envía una solicitud a arp y provoca una respuesta de la estación de trabajo afectada.
Desgraciadamente, NEPED tiene sus limitaciones. En primer lugar, en los kernels posteriores, se actualizó la implementación arp de Linux, con lo que las estaciones de trabajo afectadas dejarán de responder a las errantes solicitudes de arp. Además, el investigador independiente Seth M. McGann ha señalado que es posible configurar el sistema para ignorar solicitudes de arp y, en este estado, ignorada un rastreo de NEPED. Sin embargo, dejando aparte estos detalles, NEPED sigue siendo una herramienta muy útil.
6.3. Otros métodos para detectar sniffers
En el segmento de la máquina a testear, creamos falsas conexiones TCP contra hosts inexistentes. Un sniffer activo mandará peticiones a la DNS para resolver el nombre del host. Interceptando estas peticiones sabremos si existe o no un sniffer activo en nuestra red.
• ETHERPING TEST:
Se basa en las imperfecciones del Kernel de algunos sistemas (algunos Linux, NetBSD, NT). Mandamos a la máquina a testear un “ping echo” con destino IP correcto y dirección MAC falsa. Si la máquina responde, es que su interfaz está en modo promiscuo y hay un sniffer activo.
• ARP TEST:
También aprovecha vulnerabilidades del Kernel de algunos Sistemas Operativos. Mandamos por la red una petición de “arp” con la IP de la máquina a testear. La petición es correcta pero se envía a una dirección MAC inexistente. Si obtengo respuesta, es que la máquina a testear está en modo promiscuo.
• TEST ICMP Ping de Latencia
Mido el tiempo de respuesta al ping (RTT) de la máquina a testear. Creo numerosas falsas conexiones TCP en el segmento de la máquina. Si la máquina está en modo promiscuo tiene que procesar estas peticiones.
7. PROTECCIÓN AVANZADA CONTRA SNIFFERS
Mientras que puedes configurar tu LAN para hacer que los sniffers tengan mayores dificultades para entrar, estás más bien indefenso a la hora de evitar que cualquiera en Internet vea información importante. La mejor defensa en este caso es encriptar los datos, de esta forma, aunque los intercepten, no podrán entender a priori lo que dicen los paquetes. Algunas técnicas son:
SSL
"Secure Sockets Layer", SSL está disponible ampliamente en bastantes servidores y navegadores Web. Permite navegación Web encriptada, y casi siempre se usa en e-commerce cuando los usuarios introducen datos sobre tarjetas de crédito. Esta página Web muy buena nos habla sobre Apache SSL http://www.modssl.org/
PGP y S/MIME
El E-mail puede ser interceptado de muchas formas. Pasa a través de firewalls, que puede que monitoricen el tráfico. A menudo queda registrado y almacenado por períodos de tiempo largos. Puede quedar mal encaminado y acabar en el buzón de otra persona. La mejor manera de mantener estos e-mails seguros es encriptándolos. Las dos maneras más comunes de hacer esto es con PGP (Pretty Good Privacy) y S/MIME (Secure MIME).
SSH
"Secure Shell", ssh se ha convertido en el standard para entrar en máquinas UNIX desde Internet. Deberíamos reemplazar el inseguro telnet por este servicio. Otros numerosos protocolos pueden usarse empleando ssh por debajo (por ejemplo, copia de ficheros. Este producto fue desarrollado por una compañía Finlandesa,
http://www.ssh.fi/ , pero existen muchas implementaciones freeware disponibles.
Las soluciones de encriptado de datos arriba descritas también proporcionan métodos de autenticación de usuarios. Existen además otras alternativas, como las siguientes.
• SMB/CIFS
• Kerberos v5
• Tarjetas inteligentes (“smart cards”)
• Stanford SRP (Secure Remote Password)
Las sesiones cifradas reducen considerablemente el riesgo. En lugar de preocuparse por los datos que se están atacando, es mejor desordenarlos para que no se puedan reconocer. Las ventajas de este método son obvias: aun cuando un atacante espié datos, no podrá utilizarlos. Sin embargo, este método también tiene desventajas. .
8. APLICACIÓN PRÁCTICA :SNIFFERS
EN EL FBI :
¿ESTAMOS SIENDO ESPIADOS?
Mucha gente no sabe que el mismísimo FBI americano utilizaba, y probablemente siga utilizando, aunque no lo reconozca públicamente, un sniffer llamado “Carnivore”. ¿Es esto legal? En teoría, sí. Para buscar información sobre esta artículo pensamos primero ir a la página web del FBI: www.fbi.gov . Pero la verdad es que allí casi no se hablaba nada de este sniffer. Entonces empezamos a buscar en páginas hacker underground, donde se hablaba más de cómo crackear programas y poner sniffers que de otra cosa. Al final lo encontramos en una página de noticias informáticas llamada Canal Sofware: www.canalsw.com
Carnivore es un software diseñado por el FBI que se instala en los ISPs (Internet Service Provider`s) para interceptar en tiempo real los contenidos de las
comunicaciones individuales. Pero como vimos anteriormente, en realidad, este sistema uno sólo: el Sistema Global UE-FBI para la Vigilancia de las Telecomunicaciones. Lo cierto es que para todos y para la prensa son dos sistemas diferentes. Veamos que se dice de Carnivore en particular o de la parte del sistema UE-FBI que depende del FBI norteamericano.
De acuerdo a un informe especial realizado por Canal Software que aparece en la página cuya dirección mencionamos antes, Carnivore es un sistema de software y hardware que tiene capacidad tecnológica para localizar y perseguir las comunicaciones de un usuario en Internet. De cualquiera. Sin que él o ella tengan conocimiento de ello. Ya sea en sus visitas por páginas de la Web, ya sea en sus participaciones en grupos de discusión, en foros o, sobre todo, ya sea en los mensajes de correo electrónico que envía o recibe. Carnivore, ya rebautizado oficialmente como DCS1000, fue creado para no tener límites de capacidad.
El sistema es, creando un paralelismo básico, como una caja negra (tipo plug and play); un baúl que recoge toda la información deseable. El FBI lo instala en los
Proveedores de Acceso a Internet (ISP), directamente en los servidores que todos los usuarios de Internet en el mundo utilizamos para lograr la conexión a la Web. A través de ellos pasa toda la información que nosotros enviamos a Internet: las visitas a
determinadas páginas, los correos electrónicos, sean del software que sean, nuestras frases en foros de discusión, la plática en chats privados o públicos. Cada palabra que escribimos o ejecutamos, siempre es recogida por el ISP que nos proporciona acceso a la Red. Además de software, el FBI incluye el hardware compuesto por un PC
El FBI, de esta manera, se asegura poseer toda la información que desee. El Carnivore es un sniffer, un rastreador, uno de esos programas que están disponibles en la Red desde hace bastante tiempo y que tienen como misión vigilar y analizar el tráfico que se produce en Internet y que ayudan a los administradores en su tarea, por ejemplo, de evitar aglomeraciones tales como cuellos de botella. Sin embargo, su uso resulta desviado en algunas ocasiones y llegan a ser, los sniffers, espías de las
comunicaciones.
Cierto que existe software de codificación (el cual impide que sean leídos ciertos mensajes) bastante extendidos, pero aún así, Carnivore permite al FBI registrar
direcciones e identificar redes de comunicación. Va más allá. Los supera.
Técnicamente, puede llegar a controlar todo el tráfico que circula por cualquiera de los protocolos utilizados en Internet.
Poco más se sabe de Carnivore, o DCS1000. Y ello no ayuda en la polémica creada. No se sabe cómo funciona, cómo restringe, como no investiga ni almacena la información de otros usuarios que no necesita para su investigación. Por ejemplo, en el medio de la polémica que este sistema ha creado, casi todos los grupos políticos y sociales han pedido que se dé luz pública a su modo completo de actuación y, sobre todo, a su código fuente: para examinar a fondo si viola la intimidad o no. El FBI se ha negado a publicar el código fuente: cualquiera podría utilizarlo para fines no lícitos ni legales, afirma, y permitiría a los criminales estudiar y crear fórmulas para evitar la captura de sus comunicaciones.
9. APLICACIÓN PRÁCTICA – PRUEBAS REALES
Una vez que hemos aprendido los fundamentos teóricos de los sniffers, hemos pensado que era necesario realizar una serie de pruebas reales, para ver el funcionamiento “en directo” de algunos sniffers. Creemos que es muy necesario el realizar dichas pruebas, porque hemos aprendido los conceptos básicos para poder luego ampliar la información sobre sniffers.
Antes de realizar las pruebas, nos hemos bajado de Internet las librerías necesarias para que funcionen dichos programas. Como en Windows sólo era necesaria una librería (WinPcap), hemos optado por realizar las pruebas bajo este sistema operativo, ya que en Linux Red Hat la configuración de dichas librerías era mucho más complicada y nos superaba.
Los programas utilizados fueron el Ethereal para Windows versión 0.9.3. y el Win Analyzer y WinDump (versión basada en el TCPDump, “padre” de todos los sniffers) En las pruebas realizadas en casa, teníamos el Sistema Operativo Windows XP, mientras que en los laboratorios de ordenadores de la Facultad, estaba instalado el Windows NT.
Todos los programas utilizados para estas pruebas, y las librerías necesarias para Windows, hemos decidido incluirlos en un CD que acompaña al trabajo. Las direcciones Web donde nos hemos bajado los programas para las pruebas son las siguientes:
LIBRERÍAS WINPCAP http://winpcap.polito.it/install/
ETHEREAL SNIFFER http://www.ethereal.com/
WIN ANALYZER SNIFFER http://analyzer.polito.it/install/default.htm
ESQUEMA DE LAS PRUEBAS
• Prueba 0 – Captura en el Laboratorio de Libre Acceso
• Prueba 1 – ISP Begin Captura de paquetes enviados por un MODEM al inicio de una conexión a Internet
• Prueba 2 – HTTP E-MAIL Captura del login y password de una cuenta de correo privada de Yahoo
• Prueba 3 – FTP Captura del login y password de una sesión de FTP
Prueba 0 – Captura en el Laboratorio de Libre Acceso
Para realizar esta prueba nos fuimos al Laboratorio de Libre Acceso de la Facultad y nos bajamos de Internet las librerías WinPCap, para poder capturar paquetes, y los programas Win Analyzer y WinDump. Los instalamos y configuramos. Capturamos algunos paquetes que estaban en la Red del Laboratorio, sin especificar ningún ordenador en particular, con lo que teníamos mucha información, que llevaría mucho tiempo analizar.
De ahí nos dimos cuenta de la importancia de filtrar los paquetes que queremos capturar, seleccionado el protocolo a captuar e incluso el ordenador objetivo. Hay que acotar lo máximo posible la captura, para no tener demasiada información no relevante. Todos esos paquetes los fuimos logeando en archivos de texto, que al final destruimos, ya que esto era solo una prueba inicial de manejo de sniffers.
Prueba 1 – ISP Begin
Esta prueba consistia en capturar todos los paquetes que envia un MODEM a la hora de iniciar una conexión a internet. La realizamos desde casa de uno de los componentes del grupo, que tenían un módem a 56 K.
Los paquetes que se capturan son los que se mandan (y se reciben) del ISP. En estos paquetes solo se puede ver en texto plano la dirección que te asigna el ISP y la del nodo a la que te conectas.
La información relativa al nombre de usuario y clave no son reconocibles, por lo que suponemos que se encriptarán de alguna manera.
Prueba 2 – HTTP E-MAIL
La segunda prueba consistia en averiguar los paquetes que se enviaban en el momento de mirar nuestra dirección de correo. Esta prueba también fue realizada desde casa, y con nuestra propia cuenta de correo, porque así ya sabemos nuestro login y password y podemos compararlos con los capturados mediante el sniffer.
El proveedor de servicios de correo elegido fue Yahoo (www.yahoo.es). Los resultados fueron los siguientes:
- A pesar de que no utilizan una conexión segura para el envio de información, los datos de nombre de usuario y clave van encriptados. Por ejemplo, para el nombre de usuario que nosotros le pusimos: “omp_soy” se envia la siguiente información: “B8j3j9p0uf1nl0”.
- El mecanismo de encriptación lo consiguen mediante la implementación de un algoritmo en JavaScript. Un método posible sería que Yahoo encriptase nuestro password junto con la clave pública de Yahoo y mezclase ambos de alguna forma mediante un algoritmo, para luego enviarlo al servidor de Yahoo. No sabemos qué mecanismo utiliza Yahoo exactamente, pero el anterior sería bastante seguro, a nuestro juicio.
mediante HTTPS, con lo que los datos se envían cifrados. Esta opción la recomendamos a todos, porque es una forma de protegerse contra los sniffers.
Prueba 3 - FTP
En esta prueba lo que pretendíamos era ver como se enviaban los datos por medio de una conexión por FTP.
En un principio se ven todos los paquetes necesarios para iniciar la conexión y a la hora de enviar los datos de usuario se mandan sin encriptar. Son reconocibles sin ningun tipo de complicación, tanto el nombre de usuario como la clave.
Otra cosa que aprendimos con esta prueba es que el nombre de usuario y clave siempre se mandan en los 300 primeros bytes. Esto es importante, ya que los sniffers se pueden configurar para que capturen un determinado volumen de datos, por lo que si solo nos interesa los datos del usuario (nombre y clave) ahorramos tiempo en la captura.
Esto ocurre en todas las conexiones. Esta prueba la realizamos en el Laboratorio
Prueba 4 - TELNET
Realizamos la misma prueba que la anterior en el Laboratorio del piso 3 en clases de Prácticas de la Asignatura SSI, pero esta vez con una conexión por TELNET.
Los resultados obtenidos son iguales que en la anterior de FTP, es decir, se ve sin ningun tipo de impedimento el nombre de usuario y clave.
CONCLUSIÓN Y VALORACIÓN DE LAS PRUEBAS.
Una vez realizadas las pruebas prácticas, nos hemos dado cuenta de la gran vulnerabilidad que presentan sistemas como telnet, e incluso ftp o http; ya que envían los logins y passwords sin cifrar, en texto claro, a través de la Red. Si un hacker o atacante en general, colocase un sniffer en el lugar adecuado, lo cual no es tan complicado, como se ve a lo largo de todo este trabajo, la seguridad se pone en peligro.
Si tuviésemos que implementar sistemas seguros, como alternativa es mejor utilizar el cifrado siempre que sea posible, ya que, aunque el password sea interceptado, el atacante no lo entenderá a primera vista, y nuestra seguridad será mucho mayor.
10 .DICCIONARIO
Hemos pensado crear un diccionario con términos necesarios para comprender muchas partes del trabajo, ya que puede ser de gran ayuda para aquellas personas que sean nuevas en el tema e incluso para las que tengan pocos conocimientos informáticos.
ASCII: se trata de un código con el que se codifican los caracteres (texto, números,
signos de puntuación,...etc). Cada uno de ellos tendrá asignado un código de 8 bits (bit: unidad mínima de información, 0 o 1)
CADENA: es una consecución de caracteres de texto, dígitos numéricos, signos de
puntuación o espacios en blanco consecutivos.
CHAT: se trata de conversaciones escritas en Internet. Mediante una conexión a la red
y un programa especial, es posible conversar (mediante texto escrito) con un conjunto ilimitado de personas, al mismo tiempo
CLAVE (del Registro): el Registro de Windows (Registry) es un elemento en el que se
guardan las especificaciones de configuración del ordenador, mediante valores o claves. Estas claves cambiarán de valor, y/o se crearán, cuando se instalen nuevos programas o se altere la configuración del sistema. Los virus pueden modificar estas claves para producir efectos dañinos.
CLICK RATE
Frecuencia con la que los visitantes de un sitio web pulsan sobre un anuncio, normalmente un banner, mostrado en una página.
COOKIES
Archivo de texto en la memoria del cliente del cual se sirven los servidores Web para guardar información acerca del visitante de un sitio. La información relativa a
determinado sitio sólo la puede leer quien escribió la informació. Sirve para identificar a visitantes recurrentes. Es un archivo de texto que se introduce en el disco duro al visitar un sitio web. La próxima vez que volvamos a visitar ese mismo sitio, él buscará la web que le ayudará a recordar quien eres tú, cuales son tus preferencias, que has hecho otras veces que has visitado la web, que habías comprado, etc...
CYBERSQUATTING
Es el término utilizado en Internet para referirse a la acción de registrar un dominio basándose en un nombre del cual no se tiene ningún derecho, como en el caso de una marca registrada o del nombre artístico de una figura popular. En la mayoría de los casos, estos dominios son registrados con el único fin de ser revendidos a las personas o empresas que realmente tienen derechos sobre los mismos.
DEBUG: programa que permite la edición y creación de otros programas escritos en
DIRECTORIO, CARPETA: estos dos términos hacen referencia al mismo concepto. Se trata de divisiones (no físicas) en cualquier tipo de disco donde son almacenamos
determinados ficheros. Forman parte de una manera de organizar la información del disco, guardando los documentos como si de una carpeta clasificadora se tratase.
FICHEROS SCR: son los denominados ficheros de Script. Su extensión es SCR y
sirven para determinar los parámetros ("condiciones") con los que se deben ejecutar unos determinados programas. Permiten iniciar un programa con unas pautas fijadas de antemano.
FIREWALL Cortafuegos.
Programa que sirve para filtrar lo que entra y sale de un sistema conectado a una red. Los filtros se pueden hacer por: contenido, es decir, por cantidad de información; por origen: impidiendo lo que llega desde direcciones IP desconocidas o no autorizadas y por tipo de archivos, rechazando los de determinadas extensiones, por tener estas, por ejemplo, la posibilidad de transmitir virus.
GUSANO: es programa similar a un virus que se diferencia de éste en su forma de
realizar las infecciones. Mientras que los virus intentan infectar a otros programas copiándose dentro de ellos, los gusanos solamente realizan copias de ellos mismos.
INTERRUPCION: es una señal mediante la cual se consigue hacer una pausa
momentánea en las labores que se encuentra ejecutando el cerebro del ordenador (el microprocesador). Cuando ésta tiene lugar el micro abandona las operaciones que estaba realizando y pasa a ejecutar las acciones u operaciones que requiere el tipo de
interrupción requerida. Respecto a cada una de ellas, existe un nivel de jerarquías para aceptar unas antes que otras o para que unas permitan interrumpir a las otras. Cuando se han realizado las acciones correspondientes a un tipo de interrupción aceptada, el microprocesador continúa con la tarea que abandonó en su momento.
IRC: es una de las posibilidades que permite Internet. Mediante el IRC se pueden mantener conversaciones escritas, en tiempo real, entre varios usuarios conectados a un canal de comunicaciones disponible en Internet.
JAVA: se trata de uno de los lenguajes de programación con el que se pueden crear
páginas Web.
NETIQUETTE
Conjunto de normas de comportamiento que rigen una conducto adecuada en Internet.
Rastreadores con topología de red HUB
Capturar el tráfico de una red mediante la instalación de un rastreador (sniffer) genérico, Iris. Posteriormente se utilizarán rastreadores especializados en contraseñas y en
espionaje de actividad (dsniff, webspy, urlsnarf). Finalmente, se comprobará la
detección de los rastreadores funcionando en la red mediante el uso de técnicas de anti-sniff (AntiSniff).
Rastreadores con topología de red SWITCH
REFERENCIAS, ENLACES, SALTOS, LINKS: cada uno de estos cuatro conceptos se puede definir también como un hiperenlace. Con ello nos referimos a determinados elementos (texto, imágenes, botones) y/o secciones de un documento HTML (una página Web). Pinchando en ellos con el puntero del ratón, el usuario se conectará (saltará o accederá) a otra página diferente o a una sección de la misma página en la que ya se encontraba.
SISTEMA OPERATIVO (S.O.): existen dos términos muy utilizados en informática.
Estos son los conceptos de hardware y software. El primero de ellos se refiere a todo lo que es físico y tangible en el ordenador, como unidades de disco, tarjetas gráficas, microprocesador, memoria,...etc. Por otro lado está el software que se define como el conjunto de programas (o información) con la que puede trabajar el hardware (ficheros, directorios, programas ejecutables, bases de datos, controladores,...etc.). Pues bien, el sistema operativo pertenece al software y más concretamente es el conjunto de programas (y ficheros o archivos de otro tipo) que permite que se pueda utilizar el hardware. Se puede tener el mejor ordenador del mundo (el mejor hardware), pero si éste no tiene instalado un sistema operativo, no funcionará (ni siquiera se podrá encender).Algunos ejemplos de sistemas operativos son: MS/DOS, UNIX, OS/2, Windows 95/98/2000/NT,...etc.
SPAM o (Correo basura)
Cualquier tipo de e-mail no solicitado. Hacer spam es enviar e-mail a usuarios que NO nos han proporcionado previamente su dirección de correo electrónico. Es una práctica muy mal considerada por los
SSL (Secure Socket Layer)
Sistema que permite que la información viaje encriptada evitándose que puede ser leída por sniffers u otros recursos. Es el método que permite garantizar una alta seguridad en el comercio electrónico. Gracias a él, el comerciante ni tan siquiera conoce el número de tarjeta de crédito del comprador online
TROYANO: los troyanos no se pueden considerar virus ya que no se replican o no
hacen copias de sí mismos. En realidad son programas que llegan a un ordenador de forma totalmente normal y no producen efectos realmente visibles o apreciables (por lo menos en ese momento). Pueden llegar acompañados de otros programas y se instalan en nuestro ordenador. Al activarse puede dejar huecos en nuestro sistema, a través de los cuales se producen intrusiones.
WEBMASTER
11. LIBRO DE DIRECCIONES
Aquí hemos incluido unas referencias a Internet que consideramos son imprescindibles para buscar y ampliar información sobre sniffers y temas afines. Para realizar este trabajo, nosotros las hemos revisado todas, y creemos que es muy útil el ampliar información sobre cualquier tema usando Internet.
sniffers
http://www.epita.fr/~lse/xipdump/ http://www-serra.unipi.it/~ntop/
http://wwwhome.cs.utwente.nl/~schoenw/scotty/ http://reptile.rug.ac.be/~coder/sniffit/sniffit.html http://www.ethereal.com/
http://www.l0pht.com/antisniff/
http://jarok.cs.ohiou.edu/software/tcptrace/tcptrace.html http://ee.lbl.gov/ ->TCPdump
www.spectorsoft.com www.winwhatwhere.com www.silentrunner.com
Encriptación de correo electrónico
www.pgpi.com www.openpgp.org www.hushmail.com
www.arnal.es/free/cripto/pgp/trabaja.htm
Criptografía y Seguridad
aecsi.rediris.es
www.iec.csic.es/criptonomicon/ www.hispasec.com
www.kriptopolis.com
Navegar anónimamente
www.anonymizer.com www.safeweb.com
Contraespionaje
www.zonelabs.com www.bugnosis.com
Agencia de protección de datos
www.agenciaprotecciondatos.org
Asociación de usuarios de Internet
www.aui.es
Asociación de internautas
www.internautas.org
Delitos informáticos
www.delitosinformaticos.com
Derecho informático
12. CONCLUSIONES FINALES
Es conveniente tener una doble actitud con respecto a los Sniffers. Por una parte, es aconsejable explotar su valor, ya que los sniffers son herramientas indispensables para diagnosticar problemas de red o para estar al tanto de las acciones de los usuarios. Pero, por otra parte, es recomendable emplear todos los medios posibles para asegurarse de que determinados usuarios no instalan sniffers en equipos donde puedan ser peligrosos.
La principal característica de un Sniffer es su capacidad para interactuar con la tarjeta de red y guardar los registros en un archivo o en una salida predeterminada, esto le brinda un gran potencial como herramienta de auditoría, sin embargo también puede ser un arma potencialmente destructiva en manos equivocadas.
No hay que pensar que los sniffers por sí mismos hacen de Internet una red insegura. Solo es necesario tener conciencia de donde está el riesgo, cuándo se corre peligro y qué hacer para estar a salvo.
Cuando te han robado la tarjeta de crédito o desconfías de que alguien puede estarla utilizando indebidamente, cancela la tarjeta y solicita otra. De esta forma, como las claves pueden ser robadas, es fundamental cambiarlas con cierta frecuencia. Esta precaución limita la cantidad de tiempo que una clave robada pueda ser utilizada por un atacante.
Nunca compartas tu clave con otros. Esta compartición hace más difícil saber donde está siendo utilizada su clave (y expuesta) y es más difícil detectar un uso no autorizado.Nunca le des la clave a alguien que alega necesitarla para acceder a su cuenta para corregir algún problema o investigar algún problema del sistema. Este truco es uno de los métodos más eficaces de hacking, conocido como “ingeniería social”.
La mejor defensa contra los sniffers sigue siendo la criptografía. Sin embargo,es posible que los usuarios sean reticentes a utilizar el cifrado, ya que pueden considerarlo demasiado problemático. Por ejemplo, es difícil acostumbrar a los usuarios a utilizar S/Key (u otro sistema de contraseñas que se escriben una sola vez) cada vez que se conectan al servidor. Sin embargo, existe una solución salomónica: aplicaciones que admiten cifrado bidireccional fuerte y también ofrecen cierto nivel de sencillez.
Para protegerse de los sniffers, lo primero es concerlos,y eso es lo que pretendíamos con este trabajo. Aunque inicialmente el trabajo propuesto por el profesor en clases era sólo sobre el Ethereal, hemos decido ampliar el campo y hablar sobre otros muchos sniffers existentes, porque creemos que enriquece al trabajo y ayuda a entenderlo mejor. Además, las pruebas prácticas fueron muy interesantes ya que se vio en la misma Facultad y en nuestras casas cómo funcionaban los sniffers.
Mediante las continuas referencias a páginas Web a lo largo de todo el trabajo damos opciones a ampliar conocimientos usando Internet y dejamos constancia del trabajo de investigación y aplicación realizado.
