-[ 0x0C ]-------------------------------------------------------------------
-[ Internet desde una red regional ]----------------------------------------
-[ SET/@RROBA ]-----------------------------------------------------SET-27--

Este es uno de los articulos escrito por SET y publicados por la revista
@RROBA. Lo publicamos en este numero de SET dado que asi nos lo insinuo alguna 
buena gente desde el tablon.

****************************************************************************

INTERNET DESDE UNA RED REGIONAL DE UNA MULTINACIONAL

Los acontecimientos aqui descritos se refieren a personas y situaciones
ficticias, pero son muestra de miriadas de hechos ocurridos y que siguen 
ocurriendo en las redes de habla hispanica (...y estamos seguros que estos 
ejemplos se puede extender al resto del mundo).


1.-INTRODUCCION

Este sera (espero), el primero de una serie de articulos en los cuales
el equipo de SET intentara explicar como ha impactado nuestra red en la 
vida normal de los hispanicos de a pie. Como a transformado a unos, apartado 
a otros y dejado indiferentes a otros pocos (poquisimos).

De pasado explicaremos como funcionan las redes mas normales en nuestro 
entorno, quien las usa, las cuida y .... las ataca ..... y tambien porque.

Hay un aspecto que se tiende a olvidar y es la actividad realizada en el
interior de las grandes corporaciones. Empezaremos por tanto, por una red 
local, conectada a una WAN internacional de una empresa multinacional. Estas 
redes son muy comunes y fuente de regocijo de algunos golfantes que se dedican 
en sus ratos libres a pasearse por el terminal del vecino sin que este 
sospeche que existe este tipo de visitas no deseadas.


2.-LO QUE PROVOCA LA RECEPCION DE UN E-MAIL

Situad la escena en una oficina de un establecimiento donde trabajan, digamos
mas de quinientas personas. El director de dicho engendro, llega a su puesto
de trabajo y se cruza en el pasillo con un jefe subalterno de un departamento
menor.

'Buenos dias, le espeta, ayer recibi un mensaje con un fichero escondido no
se donde y creo que tiene un virus porque me bloqueo el PC'

'Buenas dias, contesta amablemente el subalterno, ¨ se activo el antivirus ?'

'No, pero insisto en que no me deja trabajar, ¨ puedes venir a verlo ?'

El resignado jefecillo, se arrastra hasta el despacho del director esperando
encontrar cualquier cosa menos un virus no detectado por el antivirus,
frecuentemente actualizado de forma automatica por la Corporacion.

Una vez delante del terminal, observa como el director, con gestos nerviosos,
pone en marcha su Windows-95, conecta su Exchange y abre el primer mensaje.
Efectivamente, hay un fichero adjunto, pero dadas sus dimensiones tarda en
grabarse cuando el dire pretende abrirlo. Ante el asombro del empleado, el
dire resetea la maquina mientras apostilla.

'Ves como no me deja trabajar?'

Coge el telefono y llama al Help-Desk, solicitando (es un decir), ayuda 
inmediata. El jefe, aprovecha el tumulto resultante para escabullir el bulto
y se va a su despacho. Pero este gris personaje, no es lo que parece a primera
vista. Se ha dado cuenta de lo que podia contener el mensaje y le ha picado la 
curiosidad.
En la intimidad de su mazmorra particular (alias despacho), hace un rapido 
'net use' hacia una direccion de IP que casualmente es la maquina que aloja el 
servidor de Exchange del establecimiento (si, estamos hablando de un servidor 
NT), evidentemente despues de '/user:' no ha puesto su identificacion pero 
conoce la pass adecuada. Manipula los ficheros que encuentra en el sitio 
previsto y se baja el archivo que ha vislumbrado.

Bueno, realmente el procedimiento ha sido un poco mas elaborado. Ha utilizado
un servidor Windows NT, de estos tan utilizados en las redes corporativas 
para poner a disposicion de todos informacion complementaria o de poco valor, 
y desde ahi se ha conectado al Exchange. Y el fichero ha seguido unos pasos 
similares antes de llegar a su PC. Unas minimas precauciones son necesarias, 
ya que al dire puede que no le guste que lean sus mensajes.

¨Como este oscuro jefe, se ha reconvertido en hacker oculto?

Para encontrar la respuesta tenemos que remontarnos unos cinco a¤os.


3.-HACE CINCO ANYOS

Si. Tanto como eso tenemos que remontarnos en el tiempo. Hace cinco anyos, el
establecimiento tenia otro tipo de red informatica y nuestro oscuro jefecillo
era, un todavia mas oscuro, tecnico. La red de aquella epoca se podria
describir a grandes rasgos de la forma siguiente.

- Red configurada en Token Ring con protocolo IPX.
- Un router CISCO para salir al exterior y conectarse con la coorporacion.
- Dos servidores Novell version 3.x
- PCs normalillos con windows 9X y 3.x como estaciones de trabajo.
- Una incipiente mensajeria.

La utilizacion de la red era fundamentalmente para dar acceso a programas
de contabilidad y financieros (entrada de datos) y accesoriamente se daban
servicios de impresoras y archivo de datos.

Nuestro amigo ya tenia bastante con su trabajo normal como para ocuparse de 
como y porque podia almacenar sus datos en un servidor y compartir de esta 
manera la informacion con sus companyeros de trabajo.

De pronto el terremoto !
Alguien en alguna parte (os acordais que eso era solo un centro regional de
una multinacional), decide que hay que hacer una prueba de comunicaciones y
el marron cae sobre el tecnico de nuestra historia.

La tal prueba de comunicaciones consiste en encapsular el protocolo TCP dentro
del IPX para crear un segmento especial sobre el cual se implanten las
nuevas tecnologias (para esta epoca), correo POP, navegadores,....en resumen
una pequenya intranet.

Con las novedades tambien han venido unas nuevas maquinas (Pentium 
no-se-cuantos) con Windows NT y ..... un monton de problemas. De forma 
aleatoria su segmento de red se ralentiza enormemente y todas sus quejas y
peticiones de ayuda son inutiles. Aprovechando que finalmente le han instalado
un acceso coorporativo a Internet, se baja un monton de documentacion y se
empieza a desasnar.


4.-QUE DESENCADENA TODO ESTO

Sus buceos por la red le aportan un monton de informacion. Se da cuenta que
su red no es nada mas que un lazo mas dentro de una madeja increible.
En aquella epoca todavia existian redes peer-to-peer, o sea donde todos los 
recursos estaban compartidos de forma fraternal. Dado que la confianza en
la honestidad ajena habia empezado a disminuir entre la gente en general y
entre los de esta multinacional en particular, no era este el caso, habian 
tres servidores centralizados con funciones separadas :

- Alojamiento de espacio para compartir datos.
- Compartimiento de impresoras.
- Servicios de fax y mensajeria.

Simplemente fijandose en los mensajes que aparecian cuando realizaba los logins
matutinos, descubrio los tipos de servidores que le daban soporte a su PC.
Un buceo por la red le permitio descubrir a gente como 'nomad' y sitios
parecidos a www.nmrc.org, aunque mucha informacion la extrajo simplemente de 
www.novell.com

Acostumbrado al mundo DOS, le costo un poco entender las diferencias entre los
dos sistemas operativos, pero la necesidad hace que la gente piense un poco
mas de lo habitual.

Finalmente sintetizo la informacion en algunos puntos fundamentales :

- Lo que veia en la red (letras J:, G:,...) eran solo un reflejo de lo que
  habia en los servidores.
- Lo realmente interesante se encontraba en los volumenes SYS:SYSTEM
- Si no eras un usuario llamado Supervisor, no eras nadie.

Decidio atacar y lo hizo como debe hacerse, con paciencia y prudencia.

Casi siempre, es en la configuracion de los servicios de fax e impresoras donde
se cometen los errores mas lamentables y este caso no se escapo a la regla 
general.

Un fax configurado por defecto sin password, le permitio entrar en SYS:SYSTEM,
ahi habian una serie de ficheros mas que interesantes, producto de una copia 
de seguridad de los ficheros que contenian paswords e informacion sensible.
De ahi extrajo la password del Supervisor (era antigua, pero nunca habia sido
actualizada,...otro error clasico). A partir de ahi todo fue mas facil, 
extraer informacion actualizada, instalar snifers de login, y finalmente
un snifer de red que le permitio comprobar lo que realmente estaba pasando
en su segmento de red.

El problema se presentaba en forma de una disminucion de los paquetes
correctamente construidos. O alguien estaba inyectando basura a proposito
o bien un defecto en el cableado se estaba ensanyando con los ordenadores
bajo su responsabilidad.

En este punto se encontro con un dilema, crei conocer la causa del desaguisado 
pero no podia decir el origen de la informacion que poseia. Esto nos lleva al
siguiente apartado.


5.-ESCALANDO POSICIONES

Ante su sorpresa, alguien en las entranyas de la Sede Central de la 
Coorporacion, decidio que el ensayo habia sido un exito, planto medallas sobre
pechos que jamas se habian preocupado por el proyecto (cuando no, lo habian
torpedeado sigilosamente) y se anuncio que dado que el sistema funcionaba
perfectamente y que era fuente de sinergias y ahorros, se iban a generalizar
este tipo de redes y sus tecnologias asociadas.

En la nueva implantacion se cambio la red Token-Ring por otra Ethernet y alli
nuestro heroe pudo apuntar timidamente que debia existir un problema de 
cableado ya que el numero de colisiones era visible sobre la pantalla del nuevo 
HUB.

De todas formas la resolucion del problema lo dejo con un sabor agridulce. Si
los nuevos administradores eran tan inutiles como los antiguos, ¨como iba a
fiarse de ellos ? Decidio migrar con ellos a las nuevas tecnologias.

Decimos nuevas tecnologias, ya que, como en muchas otras coorporaciones se 
decidio substituir los antiguos novell por modernos Windows NT (...todas las
opiniones son aceptables)

Dados los errores garrafales iniciales en la implantacion de los nuevos
servidores, el oscuro funcionario, consiguio rapidamente hacerse con las
passwords de los principales administradores de los dominios donde se 
encontraba. Despues de juguetear unos meses con los registros de los servidores
de dominios (evidentemente a nadie se le habia ocurrido restringir el acceso
del registro a distancia), podia hacer estadisticas de passwords en funcion de:

- Pais
- Nivel profesional
- Sexo
- Departamento
- ....cualquier cosa

A partir de este momento se dio cuenta del poder que tenia, pero tambien de
lo peligrosa de su situacion. Empezo a utilizar correos anonimos, implementar
remailers anonimos y proxys en servidores secundarios y sobretodo a poner
cara de pez cada vez que alguien preguntaba sobre un tema que remotamente
sonara a ordenadores, PCs y redes.


6.-DESENLACE

Aqui hay dos consecuencias. Una es que nuestro amigo ha leido el dichoso
fichero adjunto antes que su jefe. Dos, que tiene la capacidad de obtener las
informaciones antes que su jefe..... y como la informacion es poder....

El director en cuestion, es fiel reflejo de la generacion que disfrutaba
visando personalmente todos los faxs que entraban en el establecimiento. Nunca
entendio realmente las posibilidades de la red y solo a remolque faculto la
utilizacion de la mensajeria a sus subordinados. Para el fue un verdadero
cataclismo el que las informaciones fluyeran libremente entre los distintos
niveles de las jerarquias. Nunca entendio muy bien la importancia de las
passwords (con lo que le costaba recordarla a el, como era posible que otro la 
pudiera adivinar!) y mucho menos las consecuencias de que alguien las obtenga.

Nuestro gris y subalterno heroe probablemente no escalara altos puestos, pero
tampoco le interesa demasiado. Esta contento con las tareas que normalmente 
le encomiendan y utiliza sus conocimientos como otros pueden utilizar sus
habilidades para jugar a los barquitos durante sus ratos libres, ...con algunos
valores anyadidos.

- Se entera de todo antes que nadie.
- Puede neutralizar a su jefe, ya que ve venir los 'marrones' antes que le
  caigan encima (con lo cual puede esquivar un numero razonable de ellos).

Y si alguien duda de su honestidad, podemos decir que nunca utilizo la 
informacion obtenida en beneficio de su carrera personal (si fuera de otra
manera, no seria un oscuro jefecillo) y nunca divulgo sus conocimientos
(podria correr un cierto riesgo si lo hiciera).



***********************************************************************
*********UN ATAQUE CLASICO A UNA RED NETWARE***************************
***********************************************************************

Lo que vamos a describir es un ataque que fue muy frecuente hace unos anyos
en redes netware 3.X, pero que ante nuestra sorpresa, a podido ser
reproducido durante los primeros meses del anyo 2001, y no requiere especiales
conocimientos de programacion.

Aunque hoy en dia existan ya versiones 5.X, los servidores novell son
tan estables, que es frecuente encontrarlos todavia en algunas redes como
servidores de dispositivos e impresoras.

El primer paso es descubrir un usuario que tenga como palabra de paso un null.
Este ataque se realiza de forma automatica mediante el programa CHKNULL.EXE
que todavia es posible encontrar en la red.

Este programa os da una lista de todos los usuarios sin password.

Seleccionar los nombres de usuarios que corresponden a dispositivos tales
como impresoras, faxs y similares.

....y se va probando.

Normalmente todos tienen acceso al volumen SYS/SYSTEM, ahi hay que buscar
archivos tales como net$obj.old, net$prn.old, net$prop.old, net$val.old. Estos
son copias de seguridad que ha realizado el Supervisor.

Buscar de nuevo en la red, otro programa llamado BINDERY.EXE (autor Alastair
Grant), y lanzarlo con la opcion ETC > PW.PW Obtendreis en dicho archivo y en 
formato parecido al etc/passwd de unix, los usuarios con la hash de su 
password.

A partir de ahora es solo cuestion de paciencia y potencia de ordenador. Con
otro programa denominado BINCRACK u otro similar (BHACK.EXE tambien es valido,
su autor RX2, es procedente de Holanda y parece estar fuera del under desde
hace un tiempo) podeis intentar el crackeo por fuerza bruta o bien con algun 
diccionario de los muchos disponibles en diversos idiomas.

Lo mejor de este tipo de ataques es que permiten obtener passwords que despues
podemos utilizar contra otros servidores mas evolucionados. La memoria de los
ordenadores es creciente, pero no asi la de los humanos y es muy frecuente
encontrar la misma password para distintos servicios y servidores.


***********************************************************************
*********UN ATAQUE CLASICO A UN SERVIDOR NT****************************
***********************************************************************

El ataque aqui descrito es todavia sumamente frecuente en las redes de
grandes multinacionales donde se instalaron hacia finales de los anyos 90, 
Windows NT Server para implementar sobre ellos servidores Exchange para dar
cobertura dentro de las coorporaciones del trafico de correo interno.

Para poder administrar a distancia estas maquinas, Windows aconsejaba la
instalacion del IIS Server 4.0 y daba como ayuda un CD-ROM lleno de ejemplos y
utilidades..... llenos de bugs, errores y vulnerabilidades. Tambien habian
errores de configuracion ya que Windows dio prioridad a la facilidad de 
utilizacion frente a la seguridad y por tanto nunca advirtio desde el principio
que si el supervisor podia administrar la maquina desde cualquier punto de
la red, tambien lo podia hacer cualquiera que dispusiera de las claves de 
acceso.

El publico al cual iba dirigido este tipo de software, era y es el tipico 
empleado que tiene escasos conocimientos, menos motivacion y en general no
desconfia del resto de companyeros de su entorno. Ello ha llevado a dos
consecuencias  que se repiten de empresa en empresa :

- Se instalaron sin entender bien el funcionamiento.
- Nunca se actualizaron, por miedo a cometer errores.

La consecuencia directa ha sido que las siguientes vulnerabilidades, sean
muy frecuentes todavia hoy en dia :

- msadcs.dll
- newdsn.exe
- advsearch.asp
- aexp2.htr
- codebrws.asp
- mkilog.exe

Centremonos en la explotacion del msadcs.dll

El primer paso es detectar la existencia de dicho soft, para ello basta con
teclear con cualquier navegador la siguiente direccion :

http://direccion-IP-de-victima/msadc/msadcs.dll

Cualquier respuesta que no sea un error, indica que dicha servidor es 
vulnerable. A continuacion, nos documentamos en :

http://www.wiretrip.net/rfp/p/doc.asp?id=1&iface=3

Como la red, es hoy en dia algo muy dinamico, puede que el documento que 
buscamos no se encuentre en esta direccion cuando leais esto, pero una busqueda 
por  'rain forest puppy' os ayudara a encontrarlo.

El documento de marras os contara que la existencia de msadc.dll permite
ejecutar comandos del lenguaje SQL, pero si se incluye la barra vertical '|'
se pueden inyectar comandos de shell de NT con privilegios de Administrador.
En teoria deberia existir una base de datos en la victima pero ni siquiera
es necesario crearla, ya que Microsoft lo hace para nuestro regocijo y confort.

De todas formas, tampoco es necesario conocer nada de todo esto. En el mismo
articulo de rain forest, se incluye un script en perl. Como Windows no lo
ofrece en sus sistema tendremos que buscar en la red alguien que nos ofrezca
dicho software.

http://www.activestate.com

Os ofrece todo esto y mas, con todo lujo de detalles.

Una vez este instalado vuestra distribucion favorita de perl en vuestro 
sistema, no teneis mas que copiar el articulo de puppy (msadc.txt, 
por ejemplo) en el directorio donde se puedan localizar vuestros ejecutables 
perl y lanzais.

perl -x msadc.txt -h direccion-IP-victima

Si todo va bien (para vosotros), se os permitira enviar un comando en el
shell de la victima. Rain Forest, ha supuesto, con buen criterio, que quereis
iniciar con cmd /c, o sea que deseais abrir un ventana de comandos en la 
victima que se cerrara cuando se acabe el comando y despues poneis lo que
querais. Nosotros recomendamos lo siguiente.

cmd /c rdisk /S-

Esto provocara que Windows haga una copia de seguridad de la SAM de su sistema
y la coloque en c:\winnt\repair\ Como es una operacion que tarda un cierto 
tiempo, esperais al dia siguiente y volveis a lanzar el msadc, pero esta vez
solo teneis que copiar el fruto de vuestros deseos en algun sitio accesible.

cmd /c copy c:\winnt\repair\sam._ c:\inetpub\wwwroot\sam._

Estamos suponiendo que nuestro administrador no ha tocado nada de la 
instalacion por defecto. Despues no tenemos mas que traernos el fichero a 
nuestra maquina, lanzamos nuestro navegador y apuntamos.

http://direccion-IP-victima/sam._

Nos lo guardamos donde nos apetezca y lo descomprimimos.

extract SAM._ SAM

En dicho archivo tenemos las hash de todas las password de la victima. Lo mejor
a partir de este punto es buscarse un crackeador de pass y pensamos que para
estos menesteres l0phtcrack es el mejor (www.l0pht.com). Os leeis las 
instrucciones y a partir de aqui solo es problema de capacidad de maquina y 
tiempo para que podais disponer de las passwords de todos.

Con ellas, ya solo teneis que hacer un mapeo de la victima hacia vuestra
maquina (asumiendo que vuestra maquina sea un NT Workstation)

net use z: \\direccion-IP-victima\C$ /user:Administrator

En administrador poneis el nombre del administrador que habeis obtenido a 
traves de la informacion que se encontraba en la SAM. A continuacion os
pedira la password,....ya sabeis de donde sacarla.

Y ya teneis el disco C: en vuestra maquina mapeado como z: y con derechos de
administrador e independientemente de los derechos con los cuales os habeis
conectado al sistema local.
 
*EOF*