SNIFFERS:ESPÍAS EN LA RED

MODESTO CORDERÍ NÓVOAOSCAR MALINGRE PÉREZ

Asignatura:Seguridad en Sistemas de Información

2

INDICE Pág.1. INTRODUCCIÓN....................................................................................1

2. ¿QUÉ ES UN SNIFFER? ………………………………………………2

2.1. Funcionamiento de un Sniffer………………………………… 32.2 ¿Para qué se usa un sniffer?......................................................... 32.3. Pero ¿cómo lo logra un programador?........................................ 32.4. Módulos de un sniffer…………………………………………. 4

3. SNIFFERS PARA ATAQUE………………………………………….. 5

3.1. Proteger las contraseñas contra los Sniffers……………………5

3.2. Cuándo una clave puede ser capturada por un sniffer………….5

3.3. ¿Cómo se implantan los sniffers y cómo se capturan las claves? …………. 6

3.4. ¿Por qué robar una clave?...........................................................7

4. ATAQUES PRÁCTICOS DE SNIFFER………………………………. 8

4.1 Linsniffer ………………………………………………………..84.2 linux_sniffer……………………………………………………..84.3 Hunt…………………………………………………………… 94.4 sniffit…………………………………………………………9-104.5 Otros sniffers y herramientas de monitorización de redes…11-13

5. SNIFFERS PARA AUDITORÍA………………………………………136. DEFENSA CONTRA SNIFFERS……………………………………..14

6.1 ifconfig…………………………………………………………146.2 NEPED: Network Promiscuous Ethernet Detector…………….156.3. Otros métodos para detectar sniffers………………………15-16

7. PROTECCIÓN AVANZADA CONTRA SNIFFERS……………….. 178. APLICACIÓN PRÁCTICA :SNIFFERS EN EL FBI : ¿ESTAMOS SIENDO ESPIADOS?..................................................18-199. APLICACIÓN PRÁCTICA - PRUEBAS REALES……………….20-2310 .DICCIONARIO …………………………………………………. 24-26

11. LIBRO DE DIRECCIONES………………………………………… 2712. CONCLUSIONES FINALES………………………………………..28

3

1. INTRODUCCIÓNA menudo, las cosas no son lo que parecen. Para escuchar a los medios de

comunicación hablar de ello, el peor destino que puede sufrir un administrador es que suservidor Web sea reventado y que modifiquen su página Web. No es cierto. De hecho,aunque estos ataques pueden parecer dramáticos y suelen generar grandes titulares, noson nada si se los compara con un ataque real. Los intrusos reales no suelen anunciar supresencia ni hacen alarde de lo que consiguen, sino que instalan dispositivos demonitorización ocultos que furtivamente recogen la información de la red.

Dichas herramientas reciben el nombre de analizadores de protocolos, aunque

también se las conoce como sniffers. El sniffing de paquetes es la práctica de capturardatos de red que no están destinados a tu máquina, generalmente con el propósito de vertráfico confidencial/sensible, como sesiones telnet o gente leyendo su correo. Pordesgracia no existe una forma de detectar un sniffer de paquetes, puesto que es unaactividad pasiva, sin embargo mediante la utilización de switches de red y backbones defibra óptica (que son muy difíciles de pinchar) se puede minimizar la amenaza.

Los sniffers representan un alto nivel de riesgo, ya que: • Pueden capturar contraseñas.• Pueden capturar información confidencial o patentada.• Pueden utilizarse para hacer mella en la seguridad de los entornos de red u

obtener acceso por la fuerza.

De hecho, los ataques de sniffers han provocado acuerdos más serios quecualquier otro tipo de ataque. Para enfatizar este punto, vamos a rememorar rápidamenteel pasado. En 1994, un ataque masivo de sniffers obligó a un centro de investigaciónnaval a publicar la siguiente nota:

“En febrero de 1994, una persona no identificada instaló un sniffer de red en varios hosts y en varioselementos de backbones que recopiló más de 100.000 nombres de usuarios y contraseñas válidas a travésde Internet y MiInet. Se considera que todos los equipos del sistema que permitan la existencia deregistros de FTP, Telnet o remotos corren peligro... Hay que comprobar si todos los hosts de la red queutilicen un sistema operativo derivado de UNIX tienen el controlador de dispositivo específico quepermite instalar el sniffer. (Extracto de la nota del Naval Computer & Telecomunications Area MasterStation LANT)”

El ataque a MiInet fue tan serio que el asunto fue llevado ante el Subcomité de Ciencia,Espacio y Tecnología y al Tribunal Supremo de USA.

Ahora veamos un artículo más reciente y cercano a nosotros en Galicia:

“Un «hacker» de Carballo estafa movendo cartos pola Rede.Axentes da Garda Civil especializados en delictos telemáticos detiveron a un mozo de Carballo comopresuntor autor dunha estafa de 48.000 euros(7,9 millones de pesetas) a unha empresa por Internet.O sospeitoso pasou os cartos por bancos de varios países” ( Extracto de La Voz de Galicia, Mayo 2002)

Entre ambos artículos, desde Febrero de 1994 hasta Mayo de 2002, vemos laimportancia vital que tienen los sniffers para la seguridad de una red informática.

4

2. ¿QUÉ ES UN SNIFFER?

De igual manera que los circuitos de teléfono, las redes de ordenadores soncanales de comunicaciones compartidos. Es simplemente demasiado costoso poner unswitch (hub) para cada par de ordenadores implicados en la comunicación. El compartirsignifica que las computadoras pueden recibir la información que fue enviada a otrasmáquinas. Al capturar la información que pasa la red se llama el sniffing.

Normalmente la manera de conectar varios ordenadores es mediante Ethernet.El protocolo de Ethernet trabaja enviando la información del paquete a todos los hostsen el mismo circuito. La cabecera del paquete contiene la dirección apropiada de lamáquina destino. Solamente la máquina con la dirección que va en la cabecera sesupone que aceptar el paquete. Una máquina que está aceptando todos los paquetes, sinimportar lo que ponga en la cabecera del paquete, se dice para estar en modo promiscuo.

Debido a que en un ambiente normal del establecimiento de una red, la cuenta yla información de la contraseña se pasa a lo largo de Ethernet en texto claro, no escomplicado para un atacante una vez que obtengan el root, poner una máquina en modopromiscuo (sniffing). Esto compromete todas las máquinas en la red.

Un sniffer de paquetes es un programa de “pinchado” (wiretap), que se instalaen una red y pueden ver todos los paquetes que circulan por ella. Como una línea deteléfono pinchada permite que el FBI escuche las conversaciones de la gente, unprograma "sniffer" deja escuchar la comunicación entre ordenadores.

Sin embargo, las comunicaciones entre ordenadores consisten en datos binariosaparentemente al azar. Por lo tanto, los sniffers vienen con una característica conocidacomo el "análisis del protocolo", que les permite "descifrar" el tráfico del ordenador yhacer que tengan sentido todos esos datos binarios capturados de los paquetes.

5

2.1. Funcionamiento de un Sniffer

Un Sniffer funciona cambiando el estado natural de una tarjeta de red a unestado particular. Cuando se envía una información por la red las tarjetas dejan pasartodo el trafico de la red que no les pertenece, es decir, todo tráfico que no tenga comodestino el computador en el que está instalada. Sin embargo la tarjeta sabe que estapasando tráfico por el cable al que está conectada, por lo tanto haciendo unos sutilescambios en el modo de operación podría verse el trafico que pasa por el cable, a estoscambios se les conoce como modo promiscuo.

2.2 ¿Para qué se usa un sniffer?

Los programas de sniffers han estado ejecutándose por la red durante muchotiempo en dos formas. Los programas comerciales de sniffers se usan a menudo paraayudar en el mantenimiento de las redes. Mientras que sniffers “underground” sonusados por los crackers para introducirse en los ordenadores ajenos.

Algunos usos típicos de estos programas son:

• Captura de passwords y logins que están en texto plano (sin encriptar)desde la red.

• Conversión de datos a un formato comprensible por los humanos

• Análisis de errores para descubrir problemas en la red.

• Análisis de rendimiento para descubrir posibles cuellos de botella en la red.

• Detección de intrusos en la red para hackers/crackers potenciales

Un Sniffer más que una herramienta de ataque en manos de un administrador dered puede ser una valiosa arma para la auditoría de seguridad en la red. Puesto que elacceso a la red externa debe estar limitado a un único punto. Un Sniffer puede ser laherramienta ideal para verificar como se está comportando la red.

6

La definición, aunque simple, le puede ayudar bastante a entender cómo es queeste dispositivo trabaja, sin embargo más adelante daremos una breve mirada alfuncionamiento de un Sniffer y además una lista de las herramientas disponibles pararealizar esta actividad en la red.

2.3. Pero ¿cómo lo logra un programador?

La respuesta a esta pregunta puede ser bastante larga, pero en resumidas cuentases posible principalmente por medio de PERL o C. Los archivos que se utilizan para laconstrucción de este tipo de herramientas son las librerías:linux/if.h, linux/if_ether.h, linux/ip.h, linux/socket.h, linux/tcp.h, linux/in.h, netinet/in.h,signal.h, stido.h, sys/socket.h, sys/time.h, sys/types.h

Como se puede ver en el listado anterior este sistema usa para la creación delSniffer las fuentes del sistema operativo. Para obtener más información sobre dichasfuentes puedes dirigirse a http://lxr.linux.no/

Como el programa puede guardar un registro el mismo también e ser consultadoo enviado vía cualquier medio a una ubicación específica como otro servidor o algunamaquina fuera de la red interna. Precisamente en este último punto es donde están losriesgos de seguridad porque como ya se menciono el programa usa una librería desocket.h que permite crear su propio cliente de envió de mensajes a la maquina que sedesee; por lo tanto es mucho mas que recomendable verificar que maquinas noautorizadas tengan las tarjetas de red en modo promiscuo.

2.4. Módulos de un sniffer

• El hardware

La mayoría de los productos trabajan con las tarjetas de red standard, aunquealgunos requieren un hardware especial. Si se usa algún tipo de hardware especial,se puede analizar fallos como errores CRC, problemas de voltaje, programas decable, etc.

• Driver de captura

Ésta es la parte más importante. Captura el tráfico de la red desde el cable, lo filtrasegún se desee y luego almacena los datos en el buffer.

• Buffer

Una vez que los paquetes son capturados desde la red, se almacenan en un buffer.Hay dos modos de captura distintos: captura hasta que el buffer se llene o usar elbuffer como un “round robin” donde los datos más recientes reemplazan a los másantiguos. Algunos programas como “BlackICE Sentry IDS” de Network ICEpueden operar en modo “round-robin”, capturando los datos a velocidades de 100-mbps y generando un buffer que puede tener varios gigabytes de información.

7

• Análisis de Tiempo - Real

El programa pionero fue el “Network General Sniffer”; esta opción hace un análisisal por menor a nivel de bits de los frames mientras van por la red. Esto es capaz deencontrar una medida de la calidad de la red y de posibles fallos mientras a la vezcaptura la información. Por ejemplo: Network intrusion detection systems hace estoe incluso incorpora detección de posibles hackers.

• Decodificar

Esta opción muestra el contenido del tráfico de la red con un texto descriptivo paraque el analista sepa qué está pasando.

• Edición / Transmisión de Paquetes

Algunos programas contienen opciones que te permiten editar tus propios paquetesde red y transmitirlos luego a la red.

3. SNIFFERS PARA ATAQUE3.1. Proteger las contraseñas contra los Sniffers

Una contraseña es difícil de ser capturada. Los sniffers son programas quepermiten a un atacante robar una clave y hacerse pasar por nosotros. Estos tipos deataques son comunes. Es muy importante, como usuarios de Internet, tener concienciade cómo sus claves son vulnerables y de como tomar medidas apropiadas para tener una"cuenta" más segura.

Seleccionar una buena clave ayuda mucho, pero también es muy importantesaber cuando se es vulnerable a los sniffers y como lidiar con ellos.

3.2. Cuándo una clave puede ser capturada por un sniffer

8

Muchas redes locales (LANs) son configuradas compartiendo un mismosegmento de red Ethernet. Prácticamente cualquier ordenador de esta red puede ejecutarun programa sniffer para robar las claves de los usuarios.

Los sniffers actúan monitorizando el flujo de comunicación entre las maquinasde la red para descubrir cuando alguien utiliza los servicios de la red mencionadaanteriormente. Cada uno de estos servicios utiliza un protocolo que define como unasesión se establece, como se identifica y autentifica una cuente y de como los serviciosson utilizados.

Para tener acceso a uno de estos servicios, primero tiene que efectuar un “Login”. Es en la secuencia de login (parte de autenticación de los protocolos, que tienelugar al comienzo de cada sesión) en la que los sniffers están interesados, porque es aquídonde se encuentra su clave. Por lo tanto solo hay que filtrar las cadenas claves paraobtener la contraseña.

En la siguiente figura se muestra el proceso de conversación entre dos máquinasremotas, donde la identificación del usuario pasa abiertamente por la red de unamáquina a otra. Este ejemplo es de transferencia de archivos vía FTP: (La máquina Ainicia la conexión con la máquina B, que solicita la identificación del usuario. Alautenticarse en la maquina remota B el sniffer captura la clave.)

9

3.3. ¿Cómo se implantan los sniffers y cómo se capturan las claves?

Para saber cómo funciona un sniffer, necesita saber que cada ordenador de unLAN puede “ver” todos los paquetes de datos que son transmitidos dentro de la red. Asícada ordenador de la red puede ejecutar un programa sniffer para ver todos los paquetesy guardar una copia. Básicamente, los pasos seguidos por los atacantes son lossiguientes (ver ilustración):

(1) El atacante penetra en su red, rompiendo una determinada máquina.(2) Instala un programa sniffer.(3) Este programa monitoriza la red en busca de acceso a servicios de red, las

capturas son realizadas y registradas en un Log.(4) El archivo de logs es recuperado por el atacante.

3.4. ¿Por qué robar una clave?

En todo el mundo de la Seguridad Informática, también hay que tener en cuenta laPsicología de los atacantes potenciales, para construir los sistemas de defensa adecuadosa dichos perfiles.

Existen diversas razones que llevan a las personas a robar las claves, desdesimplemente molestar a alguien (enviar un mail haciéndose pasar por ti) hasta practicaractividades ilegales (invadir otros ordenadores, robar otras informaciones, etc.). Unatractivo para los hackers es la capacidad de utilizar la identidad de terceros en estasactividades.

10

Una de las principales razones por la que los atacantes intentan romper sistemase instalar sniffers es poder capturar rápidamente el máximo número de cuentas posibles,así cuantas más cuentas posea el atacante más fácil tiene el mantenerse escondido.Porque puede hacerse pasar por otros usuarios “inocentes”.

4. ATAQUES PRÁCTICOS DE SNIFFEREste apartado del trabajo está dirigido a aquellos usuarios con conocimientos

avanzados de C y Linux; con los que se puede comenzar a utilizar sniffers en casosreales. Los distintos sniffers realizan tareas diferentes, que oscilan entre las sencillas(capturar nombres de usuarios y contraseñas) y las extremas (grabar todo el trafico de lainterfaz de red). Entre los que se incluyen:

• Linsniffer• Linuxsniffer.• Hunt• Sniffit.

4.1 Linsniffer

Linsniffer es sencillo y directo. Su propósito principal es capturar nombres deusuarios y contraseñas, y esta es una función en la que sobresaleAplicación creada por Mike EdullaNecesita: Archivos de cabecera C e IP.Archivos de configuración: ninguno.Ubicación: http://agape.trilidun.org/hack/network-sniffers/linsnifferc. Historial de seguridad: linsniffer no tiene un historial de seguridad importante.Notas: linsniffer es fácil de utilizar. Sin embargo, éstas son algunas notas sobrela instalación: se necesita todo el complemento de los archivos de cabecera de IPincluyendo aquellos que suelen almacenarse en /usr/include/net y en/usr/include/netinet. Además, asegúrese de que la variable PATH incluye/usr/include. Para compilar linsniffer, introduzca el siguiente comando:$cc linsniffer.c -o linsnifferPara ejecutar 1insniíier, escriba el comando 1insniffer en un indicativo:LinsnifferEn este momento, linsniffer crea un archivo vacío llamado tcp.log, donde escribesu salida. .

4.2 linux_snifferlinux_sniffer ofrece una vista algo más detallada. Aplicación: linux_sniffer por loq. Necesita: archivos de cabecera C e IP Archivos de configuración: ninguno. Ubicación: http://www.ryanspc.com/sniffers/linux_sniffer.c.

11

Historial de seguridad: linux_sniffer no tiene un historial de seguridadimportante. Notas: linux_sniffer es fácil de utilizar. Sin embargo, es necesario todo elcomplemento de los archivos de cabecera de IR Para linux_sniffer, introduzca el siguiente comando: $cc linux_sniffer.c -o linuxsniff

4.3 Hunt hunt es otra opción útil cuando se necesita una salida menos compleja y másfácil de leer, un seguimiento de comandos más sencillo y snooping de sesiones.Aplicación: hunt de Pavel Krauz.Necesita: cabeceras de C e IP y Linux 2.0.35+, Glibc 2.0.7 con linuxThreads (ono).Archivos de configuración: ninguno.Ubicación: http://www.cri.cz/kra/index.html.Historial de seguridad: hunt no tiene un historial de seguridad importante.Notas: el creador de hunt ha proporcionado archivos binados enlazados dinámicay estáticamente a aquellos usuarios que no tengan tiempo(o ganas) de compilar el paquete.hunt viene comprimido en formato tar y zip. La versiónactual y el nombre del archivo es hunt-1_3bin.tgz. Paraempezar, descomprime el archivo comprimido conformato zip de la siguiente forma:$ gunzip hunt*tgzEl archivo que aparece al descomprimir se llama hunt-1_3bin.tar. Descomprímelo de la siguiente forma:$tar -xvf hunt-1_3bin.tarhunt se descomprimirá en el directorio /root/hunt-1.3,Permite especificar las conexiones determinadas en las que se esté interesado, enlugar de tener que vigilar y registrar todo.Detecta conexiones ya establecidas, no solamente las iniciadas en SYN o las quese acaban de iniciar. Cuenta con herramientas de spooying. Ofrece control activo de las sesiones. Estas características, junto con su sencilla interfaz, hacen de hunt una buenaopción para los principiantes en Linux, ya que es una magnifica herramientapara el aprendizaje.

4.4 sniffit

Sniffit es para aquellos usuarios que necesiten algo más. Aplicación: Sniffit de Brecht Claerhout. Necesita: cabeceras de C y de IR Archivos de configuración: consulte la siguiente sección. Ubicación: http://reptile.rug.ac.be/~coder/sniffit/sniffit.html. Historial de seguridad: Sniffit no tiene un historial de seguridad importante.

Notas: Sniffit es realmente potente. Su capacidad de configuración es tremenda,pero ten en cuenta que su proceso de aprendizaje es laborioso.

12

sniffit viene comprimido en formato tar y zip (en estos momentos, la versiónactual es sniffit_0_3_0_tar.gz). Para descomprimirlo, utiliza este comando:

$gunzip sniffit*gz Tras descomprimirlo, el archivo que aparece es sniffit_0_3_0_tar.

Descomprímelo de la siguiente forma: Star -xvf sniffit_0_3_0_larsniffit se descomprimirá en sniffit.0.3.5/. Cambie a dicho directorio (cdsniffit.0.3.5) y ejecute el script configure: $ ./configureVerá en la pantalla una gran cantidad de mensajes. Ello se debe a que Sniffit estáutilizando autoconf para probar si el sistema cumple los requisitos mínimos.

Cuando acabe el script configure, introduzca el siguiente comando:$makeEs en este momento cuando Linux crea sniffit. Este proceso puede durar varios minutosdependiendo de la máquina, de la velocidad de su procesador y de la memoriadisponible. Finalmente, el proceso acabará y verá este mensaje: Strip sniffit

Funcionamiento y configuración de sniffit Si sniffit se ejecuta desde la línea de comandos, hay que definir de forma explícitavarias opciones, entre las que se incluyen las direcciones de origen y destino, el formatode salida, etc. -c [archivo de configuración] Se utiliza para especificar un archivo de configuración. -D [dispositivo] Se utiliza para dirigir la salida a un dispositivo determinado. Elcreador, Brecht Claerhout, señala que, por ejemplo, es posible capturar la sesión de IRCde otro usuario en su propio terminal. -d Se utiliza para cambiar sniffit al modo dump. Muestra los paquetes en formato byteen STDOUT. -1 [longitud] Se utiliza para especificar la longitud. De forma predeterminada, sniffitcaptura los 300 primeros bytes. -L [nivel] Se utiliza para establecer el nivel de profundidad del registro. -P Se utiliza para especificar un lugar determinado para monitorizar. -s [ip_origen] Se utiliza para especificar la dirección de origen. Sniffit capturaaquellos paquetes que provienen de ip de origen. -t [ip_destino] Se utiliza para especificar la dirección de destino. Sniffit capturaaquellos paquetes que van al ip de destino. -v Muestra la versión actual de sniffit. -x Se utiliza para ampliar la información que proporciona sniffit en paquetes TCfI conlo que capturará los números de secuencia, etc. Los archivos de configuración proporcionan mucho control sobre la sesión sniffit (yayudan a evitar Eneas de comando de 200 caracteres). Los formatos del archivo deconfiguración constan de cinco posibles campos: . Campo 1: select y deselect. Aquí se indica a Sniffit que capture los paquetes de lossiguientes hosts (select) o no (deselect). . Campo 2: from, to o both. Aquí se indica a Sniffit que capture los paquetes queprovengan o se dirijan al host especificado (o ambas cosas). . Campo 3: host, port o multiple-hosts. Aquí se especifican un solo host de destino ovarios. La opción multiple-hosts admite comodines estándar. . Campo 4: listado de hostname, portnumber o multiple-hosts. . Campo 5: portnumber.Éste es un ejemplo:

13

select from host 172.16.0.1select from host 172.16.0.1 80select both port 23Con él se capturaría todo el tráfico de telnet y de la Web enviado desde ambos hosts.Nota: Ten en cuenta que los parámetros del archivo de configuración sólo se aplican alascomunicaciones que utilizan TCP.sniffit permite monitorizar varios hosts en diferentes puertos y para distintos paquetes.En todas las páginas se nos dice que es una excelente herramienta.

4.5 Otros sniffers y herramientas de monitorización de redes

Una vez que hemos visto cómo funcionan los sniffers y lo que pueden hacer.

vamos a ampliar el espectro. Existen muchos otros sniffers, monitores de red yanalizadores de protocolos. Algunos realizan las mismas tareas esenciales que los yamencionados, mientras que otros llevan a cabo tareas adicionales o más especializadas.

ANM Angel Network Monitor no es en sí un analizador de protocolos, sino unmonitor de sistemas. ANM monitorizará los tiempos de espera de las conexiones, losmensajes de conexión rechazada, etc. de todos los servicios estándar (FTP, HTTP,SMTP etc.). También monitoriza el uso del disco. La salida está en HTML y tienecódigo de colores para resaltar las alertas. Este paquete requiere Perl. Para obtener másinformación, véase la página Web http://www.ism.com.br/~ paganini//angel/.

Ethereal Es un sniffer para Linux (y UNIX en general) que utiliza GUI y queofrece algunos servicios interesantes. Uno de ellos es que la GUI de Ethereal permiteexaminar fácilmente los datos del sniffer, bien desde una captura en tiempo real biendesde archivos de capturas tcpdump previamente generados. Todo ello, unido alcontinuo filtro para obtener una mejor exploración, así como la compatibilidad con

14

SNMP y la capacidad para realizar capturas sobre Ethernet, FDDI, PPP y Token Ringestándar, hace que Ethereal sea una buena opción. Sin embargo, sus creadores dejanbien claro que Ethereal es un proyecto en marcha. Tenga en cuenta que es necesarioinstalar tanto GTK como libpcap. Puede encontrar Ethereal en http://ethereal.zing.org/.

Icmpinfo Examina el tráfico de ICMP y es útil para detectar ataques de bombasen ICMP. Los informes de icmpinfo incluyen la fecha y hora, el tipo de paquete, el IPde origen, IP ofrecido difícil de leer, puerto de origen, puerto de destino, secuencia ytamaño de los paquetes.icmpinfo se puede obtener en: ftp://ftp.cc.gatech.edu/pub/linux/system/network/admin/icmpinfo-1.11.tar.gz

IPAC IP Accounting Package es un monitor de IP para Linux. IPAC funcionaencima de ipfwadm o ipchains, y genera gráficos detallados de tráfico de IP (generandoinformes de bytes por segundo, por hora, etc.). IPAC puede obtenerse en :http://comlink.apc.org/~moritz/ipac.html.

Iptraf Es una utilidad que utiliza una consola para ver las estadísticas de la red yque recopila recuentos de bytes y paquetes de las conexiones TCP indicadores deactividad y estadísticas de la interfaz, interrupciones del tráfico de TCP/UDP yrecuentos de bytes paquetes de las estaciones de LAN. Además de las interfacesestándar (FDDI/Ethernet), puede monitorizar el tráfico de SLIP PPP y RDSI. Si utilizaTrinux, SUSE o Debían, es muy probable que Iptraf ya esté instalado. En casocontrario, puede obtenerlo en http://cebu.mozcom.com/riker/iptraf/about.html.

Ksniffer También se lo conoce como utilidad para estadísticas de redes KDE yes una herramienta de monitorización de redes que funciona en K Desktop Enviroment.Ksniffer monitoriza todo el tráfico estándar de la red, incluyendo TCP, IP, UDP, ICMP,ARP, RARP y una parte de IPX. Dado que actualmente se está trabajando en el ,Ksniffer aun no ofrece posibilidades de registro, pero es muy útil para vigilar laactividad de la red mientras se esta en KDE. Puede encontrar Ksniffer enhttp://ksniffer.veracity.nu/.

Isof List Open Files (de Vic Abell) es una herramienta que proporcionainformación sobre los archivos que abren los procesos que se están ejecutando en cadamomento. Si tiene SUSE, Debían GNL/Linux 2.0 o Red Hat Linux 5.2, tiene lsof, peroes necesario actualizarlo (la versión 4.40 tenía un desbordamiento de buffer). Entre losarchivos de los que lsof ofrece información se incluyen los archivos normales, losdirectorios, los dispositivos de bloqueo, los archivos con caracteres especiales, lasbibliotecas, etc. Por consiguiente, lsof es muy útil para detectar aquellas act1i7idades noautorizadas que puedan no aparecer en consultas ps estándar. Si aún no tiene lsof, esaconsejable descargarlo de ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/.

15

Ntop Network top está basado en libpcap y muestra las estadísticas actuales deuso de la red. Utiliza todos los protocolos estándar e incluso algunos que no admitenotras herramientas de monitorización de redes, entre los que se incluyen DNS, X, NFS,NetBioS y AppleTalk. Además, ntop tiene una función digna de mención que conviertelos exploradores Web en consolas en las que se pueden ver y controlar las estadísticasde la red. ntop se encuentra en http://wvww-serra.unipi..it/-ntop/.

Tcpdump Imprime las cabeceras de los paquetes de una interfaz de red quecoincida con una expresión booleana suministrada por el usuario. tcpdump es útil paradiagnosticar los problemas de la red y examinar minuciosamente los ataques a la red.Puede configurarse hasta el más mínimo detalle: se pueden especificar los hosts, losservicios y el tipo de tráfico que se van a monitorizar. Al igual que sniffit, tcpdumppermite que la red, el host, el puerto y el protocolo lleven a cabo capturas de paquetes.tcpdump es compatible con ARP, Ethernet, IP, RARP, TCP y UDP. Algunasdistribuciones recientes de Linux traen tcpdump instalado. Si no lo tiene, puedeconseguirlo en http//sunsite.auc.dk/li-nux/RPM/tcpdump.html.

tráffic-vis Monitoriza el tráfico TCP/IP y convierte esta información en gráficosen ASCII, HTML o Postscript. traffic-vis también permite analizar el tráfico entre hostspara determinar qué hosts han comunicado y el volumen de su intercambio (tenga encuenta que necesita libpcap. traffic-vis puede obtenerse enhttp://www.ilogic.com.au/~dmiller/traffic-vis. html.

Ttysnoop Es una herramienta que permite monitorizar las conexiones serie ytelnet. ttysnoop se utiliza para fisgonear en el tty, actual de otro usuario. Linux incluyeeste paquete. Para obtener más información, consulte la página man correspondiente.

Entorno de un programa sniffer típico

5. SNIFFERS PARA AUDITORÍAEl uso en auditorÍa de una Sniffer es básicamente como paso de información

aunque existen múltiples herramientas mucho más complejas, los Sniffers son un buen

16

comienzo para controlar el tipo de conexiones que se realizan en el sistema. Teniendoen cuenta que ésta es la forma básica que utilizan la mayoría de herramientas deseguridad, existen dos tipos de estas herramientas de Host y de red, los Sniffer de hostse caracterizan por monitorear todo el tráfico que pasa por el computador donde estáninstalados. Mientras que los de Red se instalan en el punto de acceso de la red yverifican todo el trafico que pasa dentro y hacia fuera de la red.

Como ya dijimos, la salida de un Sniffer se puede redirigir para que lleve unregistro del tráfico en un archivo en el disco duro o en cualquier otro medio paraposterior análisis. Por ser la base de las herramientas de detección de intrusos (IDS) unconocimiento de estos sistemas le brindara una perspectiva de lo que pueden y nopueden hacer este tipo de herramientas.

Cuando se instale un Sniffer deberá llevar control de la información por mediosautomáticos ya que por el volumen que estar manejando es humanamente imposible suanálisis es recomendable usar una herramienta como una base de datos y un sistema dereportes construido en PERL. Esto en esencia es lo que es un IDS.

Sin embargo si se inicia en el uso de esta herramienta se le hará un tantocomplicado el uso de todos estos adicionales para una introducción rápida en el uso deesta herramienta es recomendable comenzar por una herramienta simple y bastantepoderosa como es HUNT esta herramienta ofrece una interfaz de texto bastante cómodae intuitiva que permite seguir lo que esta ejecutándose en un omento dado en el sistema.Esta herramienta en particular permite dos tipos de instalación compilando el códigofuente o desde binarios que se ejecutan directamente en la maquina.

6. DEFENSA CONTRA SNIFFERSLos ataques de sniffers son difíciles de detectar y combatir, ya que

son programas pasivos. No generan rastros (registros) y, cuando seutilizan correctamente, no utilizan muchos recursos de disco y dememoria. .

La respuesta es ir directamente al origen. Por consiguiente, la sabiduríaconvencional indica que para detectar un sniffer, hay que averiguar si alguna de lasinterfaces de la red se encuentra en modo promiscuo, para lo que pueden utilizarse estasherramientas: . ifconfig.. ifstatus6.1 ifconfig

Con ifconfig es posible detectar rápidamente cualquier interfaz del host local quese encuentre en modo promiscuo. lfconfig es una herramienta para configurar losparámetros de las interfaces de las redes. Para ejecutarlo, escriba el comando ifconfg enun indicativo: $ifconfig

17

ifconfig informará del estado de todas las interfaces. Por ejemplo, al iniciar Sniffit yejecutar ifconfig, éste es el informe que aparece:

loLink encap:Local Loopbackinet addr:127.0.0,1 Bcast:127.255.255.255 Mask:255.0.0.0UP BROADCAST LOOPBACK RUNNING MTU:3584 Metric:1Rx packets:40 errors:0 dropped:0 overruns:0TX packets:40 errors:0 dropped:0 overruns:0 Link encap:Ethernet Hwaddr 00:E0:29:19:4A:68inet addr:172.16.0.2 Bcast:172.16.255.255 Mask:255.255.0.0UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1RX packets:22 errors:0 dropped:0 overruns:0TX packets:23 errors:0 dropped:0 overruns:0Interrupt:3 Base address:0x300 Aquí se ve como ifconfig ha detectado la interfaz Ethernet en modo promiscuo:

“RUNNING PROMISC MULTICAST”

ifconfig es magnífico para un apuro y es una utilidad nativa de Linux

6.2 NEPED: Network Promiscuous Ethernet Detector

Esta es otra herramienta muy útil para detectar sniffers latentes. NEPED puededetectar actividad de sniffers en una subred. Se puede bajar de:

http://metalab.unc.edu/pub/Linux/distributions/trinux/src/netmap/NEPED.c.

NEPED rastrea subredes en busca de interfaces en modo promiscuo. En loskernels de Linux anteriores ala 2.0.36, NEPED descubre estas interfaces explotando unerror en la implementación arp de linux (en arp.c, que se encuentra en el motor LXR enhttp://lxr.Íinux.no/source/net/ipv4/arp.c). NEPED envía una solicitud a arp y provocauna respuesta de la estación de trabajo afectada.

Desgraciadamente, NEPED tiene sus limitaciones. En primer lugar, en loskernels posteriores, se actualizó la implementación arp de Linux, con lo que lasestaciones de trabajo afectadas dejarán de responder a las errantes solicitudes de arp.Además, el investigador independiente Seth M. McGann ha señalado que es posibleconfigurar el sistema para ignorar solicitudes de arp y, en este estado, ignorada unrastreo de NEPED. Sin embargo, dejando aparte estos detalles, NEPED sigue siendouna herramienta muy útil.

6.3. Otros métodos para detectar sniffers

• DNS test:

18

En el segmento de la máquina a testear, creamos falsas conexiones TCP contra hostsinexistentes. Un sniffer activo mandará peticiones a la DNS para resolver el nombre delhost. Interceptando estas peticiones sabremos si existe o no un sniffer activo en nuestrared.

• ETHERPING TEST:Se basa en las imperfecciones del Kernel de algunos sistemas (algunos Linux, NetBSD,NT). Mandamos a la máquina a testear un “ping echo” con destino IP correcto ydirección MAC falsa. Si la máquina responde, es que su interfaz está en modopromiscuo y hay un sniffer activo.

• ARP TEST:También aprovecha vulnerabilidades del Kernel de algunos Sistemas Operativos.Mandamos por la red una petición de “arp” con la IP de la máquina a testear. Lapetición es correcta pero se envía a una dirección MAC inexistente. Si obtengorespuesta, es que la máquina a testear está en modo promiscuo.

• TEST ICMP Ping de LatenciaMido el tiempo de respuesta al ping (RTT) de la máquina a testear. Creo numerosasfalsas conexiones TCP en el segmento de la máquina. Si la máquina está en modopromiscuo tiene que procesar estas peticiones.

Hay que “blindar” el PC ante ataques sniffer

19

7. PROTECCIÓN AVANZADA CONTRA SNIFFERSMientras que puedes configurar tu LAN para hacer que los sniffers tengan

mayores dificultades para entrar, estás más bien indefenso a la hora de evitar quecualquiera en Internet vea información importante. La mejor defensa en este caso esencriptar los datos, de esta forma, aunque los intercepten, no podrán entender a priori loque dicen los paquetes. Algunas técnicas son:

SSL

"Secure Sockets Layer", SSL está disponible ampliamente en bastantesservidores y navegadores Web. Permite navegación Web encriptada, y casi siempre seusa en e-commerce cuando los usuarios introducen datos sobre tarjetas de crédito. Estapágina Web muy buena nos habla sobre Apache SSL http://www.modssl.org/

PGP y S/MIME

El E-mail puede ser interceptado de muchas formas. Pasa a través de firewalls,que puede que monitoricen el tráfico. A menudo queda registrado y almacenado porperíodos de tiempo largos. Puede quedar mal encaminado y acabar en el buzón de otrapersona. La mejor manera de mantener estos e-mails seguros es encriptándolos. Las dosmaneras más comunes de hacer esto es con PGP (Pretty Good Privacy) y S/MIME(Secure MIME).

SSH"Secure Shell", ssh se ha convertido en el standard para entrar en máquinas

UNIX desde Internet. Deberíamos reemplazar el inseguro telnet por este servicio. Otrosnumerosos protocolos pueden usarse empleando ssh por debajo (por ejemplo, copia deficheros. Este producto fue desarrollado por una compañía Finlandesa,http://www.ssh.fi/ , pero existen muchas implementaciones freeware disponibles.

Las soluciones de encriptado de datos arriba descritas también proporcionanmétodos de autenticación de usuarios. Existen además otras alternativas, como lassiguientes.

• SMB/CIFS

• Kerberos v5

• Tarjetas inteligentes (“smart cards”)

• Stanford SRP (Secure Remote Password)Como resumen a estas menciones criptográficas, decir que si encuentra algún

sniffer en una red, tiene un serio problema, ira que si está allí significará que la red yaestá en peligro. Pero no es necesario que espere hasta que ello ocurra para combatir losataques de los sniffers. De hecho, es posible tomar una medida preventiva muy eficazdesde el principio, cuando establezca la red: emplear el cifrado.

20

Las sesiones cifradas reducen considerablemente el riesgo. En lugar depreocuparse por los datos que se están atacando, es mejor desordenarlos para que no sepuedan reconocer. Las ventajas de este método son obvias: aun cuando un atacanteespié datos, no podrá utilizarlos. Sin embargo, este método también tiene desventajas. .

8. APLICACIÓN PRÁCTICA :SNIFFERSEN EL FBI :

¿ESTAMOS SIENDO ESPIADOS?Mucha gente no sabe que el mismísimo FBI americano utilizaba, y

probablemente siga utilizando, aunque no lo reconozca públicamente, un snifferllamado “Carnivore”. ¿Es esto legal? En teoría, sí. Para buscar información sobre estaartículo pensamos primero ir a la página web del FBI: www.fbi.gov . Pero la verdad esque allí casi no se hablaba nada de este sniffer. Entonces empezamos a buscar enpáginas hacker underground, donde se hablaba más de cómo crackear programas yponer sniffers que de otra cosa. Al final lo encontramos en una página de noticiasinformáticas llamada Canal Sofware: www.canalsw.com

Carnivore es un software diseñado por el FBI que se instala en los ISPs (InternetService Provider`s) para interceptar en tiempo real los contenidos de lascomunicaciones individuales. Pero como vimos anteriormente, en realidad, este sistemauno sólo: el Sistema Global UE-FBI para la Vigilancia de las Telecomunicaciones. Locierto es que para todos y para la prensa son dos sistemas diferentes. Veamos que sedice de Carnivore en particular o de la parte del sistema UE-FBI que depende del FBInorteamericano.

De acuerdo a un informe especial realizado por Canal Software que aparece enla página cuya dirección mencionamos antes, Carnivore es un sistema de software yhardware que tiene capacidad tecnológica para localizar y perseguir las comunicacionesde un usuario en Internet. De cualquiera. Sin que él o ella tengan conocimiento de ello.Ya sea en sus visitas por páginas de la Web, ya sea en sus participaciones en grupos dediscusión, en foros o, sobre todo, ya sea en los mensajes de correo electrónico que envíao recibe. Carnivore, ya rebautizado oficialmente como DCS1000, fue creado para notener límites de capacidad.

El sistema es, creando un paralelismo básico, como una caja negra (tipo plug andplay); un baúl que recoge toda la información deseable. El FBI lo instala en losProveedores de Acceso a Internet (ISP), directamente en los servidores que todos losusuarios de Internet en el mundo utilizamos para lograr la conexión a la Web. A travésde ellos pasa toda la información que nosotros enviamos a Internet: las visitas adeterminadas páginas, los correos electrónicos, sean del software que sean, nuestrasfrases en foros de discusión, la plática en chats privados o públicos. Cada palabra queescribimos o ejecutamos, siempre es recogida por el ISP que nos proporciona acceso ala Red. Además de software, el FBI incluye el hardware compuesto por un PCensamblado en una caja modelo rack para que pueda incorporarse fácilmente en lasredes de los ISP, como si fuera un concentrador o un router más, y no tiene necesidad de

21

dispositivos externos como un mouse o un teclado.El FBI, de esta manera, se asegura poseer toda la información que desee.

El Carnivore es un sniffer, un rastreador, uno de esos programas que están disponiblesen la Red desde hace bastante tiempo y que tienen como misión vigilar y analizar eltráfico que se produce en Internet y que ayudan a los administradores en su tarea, porejemplo, de evitar aglomeraciones tales como cuellos de botella. Sin embargo, su usoresulta desviado en algunas ocasiones y llegan a ser, los sniffers, espías de lascomunicaciones.

Cierto que existe software de codificación (el cual impide que sean leídos ciertosmensajes) bastante extendidos, pero aún así, Carnivore permite al FBI registrardirecciones e identificar redes de comunicación. Va más allá. Los supera.Técnicamente, puede llegar a controlar todo el tráfico que circula por cualquiera de losprotocolos utilizados en Internet.

Poco más se sabe de Carnivore, o DCS1000. Y ello no ayuda en la polémicacreada. No se sabe cómo funciona, cómo restringe, como no investiga ni almacena lainformación de otros usuarios que no necesita para su investigación. Por ejemplo, en elmedio de la polémica que este sistema ha creado, casi todos los grupos políticos ysociales han pedido que se dé luz pública a su modo completo de actuación y, sobretodo, a su código fuente: para examinar a fondo si viola la intimidad o no. El FBI se hanegado a publicar el código fuente: cualquiera podría utilizarlo para fines no lícitos nilegales, afirma, y permitiría a los criminales estudiar y crear fórmulas para evitar lacaptura de sus comunicaciones.

Funcionamiento del sniffer “Carnivore” usado por el FBI

22

9. APLICACIÓN PRÁCTICA – PRUEBAS REALES

Una vez que hemos aprendido los fundamentos teóricos de los sniffers, hemospensado que era necesario realizar una serie de pruebas reales, para ver elfuncionamiento “en directo” de algunos sniffers. Creemos que es muy necesario elrealizar dichas pruebas, porque hemos aprendido los conceptos básicos para poder luegoampliar la información sobre sniffers.

Antes de realizar las pruebas, nos hemos bajado de Internet las libreríasnecesarias para que funcionen dichos programas. Como en Windows sólo era necesariauna librería (WinPcap), hemos optado por realizar las pruebas bajo este sistemaoperativo, ya que en Linux Red Hat la configuración de dichas librerías era mucho máscomplicada y nos superaba.

Los programas utilizados fueron el Ethereal para Windows versión 0.9.3. y elWin Analyzer y WinDump (versión basada en el TCPDump, “padre” de todos lossniffers) En las pruebas realizadas en casa, teníamos el Sistema Operativo WindowsXP, mientras que en los laboratorios de ordenadores de la Facultad, estaba instalado elWindows NT.

Todos los programas utilizados para estas pruebas, y las librerías necesarias paraWindows, hemos decidido incluirlos en un CD que acompaña al trabajo. Lasdirecciones Web donde nos hemos bajado los programas para las pruebas son lassiguientes:

LIBRERÍAS WINPCAP http://winpcap.polito.it/install/

ETHEREAL SNIFFER http://www.ethereal.com/

WIN ANALYZER SNIFFER http://analyzer.polito.it/install/default.htm

ESQUEMA DE LAS PRUEBAS

• Prueba 0 – Captura en el Laboratorio de Libre Acceso

• Prueba 1 – ISP Begin Captura de paquetes enviados por un MODEM al inicio de una conexión a Internet

• Prueba 2 – HTTP E-MAIL Captura del login y password de una cuenta de correo privada de Yahoo

• Prueba 3 – FTP Captura del login y password de una sesión de FTP

• Prueba 4 – TELNET Captura del login y password de una sesión de Telnet

23

Prueba 0 – Captura en el Laboratorio de Libre AccesoPara realizar esta prueba nos fuimos al Laboratorio de Libre Acceso de la

Facultad y nos bajamos de Internet las librerías WinPCap, para poder capturar paquetes,y los programas Win Analyzer y WinDump. Los instalamos y configuramos.Capturamos algunos paquetes que estaban en la Red del Laboratorio, sin especificarningún ordenador en particular, con lo que teníamos mucha información, que llevaríamucho tiempo analizar.

De ahí nos dimos cuenta de la importancia de filtrar los paquetes que queremoscapturar, seleccionado el protocolo a captuar e incluso el ordenador objetivo. Hay queacotar lo máximo posible la captura, para no tener demasiada información no relevante.Todos esos paquetes los fuimos logeando en archivos de texto, que al final destruimos,ya que esto era solo una prueba inicial de manejo de sniffers.

Prueba 1 – ISP BeginEsta prueba consistia en capturar todos los paquetes que envia un MODEM a la

hora de iniciar una conexión a internet. La realizamos desde casa de uno de loscomponentes del grupo, que tenían un módem a 56 K.

Los paquetes que se capturan son los que se mandan (y se reciben) del ISP. Enestos paquetes solo se puede ver en texto plano la dirección que te asigna el ISP y la delnodo a la que te conectas.

La información relativa al nombre de usuario y clave no son reconocibles, por loque suponemos que se encriptarán de alguna manera.

El analizador de protocolos que utilizamos fue el Ethereal (para Windows)versión 0.9.3.

24

Prueba 2 – HTTP E-MAILLa segunda prueba consistia en averiguar los paquetes que se enviaban en el

momento de mirar nuestra dirección de correo. Esta prueba también fue realizada desdecasa, y con nuestra propia cuenta de correo, porque así ya sabemos nuestro login ypassword y podemos compararlos con los capturados mediante el sniffer.

El proveedor de servicios de correo elegido fue Yahoo (www.yahoo.es). Losresultados fueron los siguientes:

- A pesar de que no utilizan una conexión segura para el envio de información,los datos de nombre de usuario y clave van encriptados. Por ejemplo, para el nombre deusuario que nosotros le pusimos: “omp_soy” se envia la siguiente información:“B8j3j9p0uf1nl0”.

- El mecanismo de encriptación lo consiguen mediante la implementación de unalgoritmo en JavaScript. Un método posible sería que Yahoo encriptase nuestropassword junto con la clave pública de Yahoo y mezclase ambos de alguna formamediante un algoritmo, para luego enviarlo al servidor de Yahoo. No sabemos quémecanismo utiliza Yahoo exactamente, pero el anterior sería bastante seguro, a nuestrojuicio.

- A la hora de ver el correo tampoco utilizan una conexión segura, por lo quesuponemos que utilizan el mismo método que para enviar el nombre de usuario y clave.De igual manera que antes se que se pueden ver todos los datos encriptados.

25

- Hay una opción en Yahoo Mail que permite utilizar una conexión segura,mediante HTTPS, con lo que los datos se envían cifrados. Esta opción la recomendamosa todos, porque es una forma de protegerse contra los sniffers.

Prueba 3 - FTPEn esta prueba lo que pretendíamos era ver como se enviaban los datos por

medio de una conexión por FTP.En un principio se ven todos los paquetes necesarios para iniciar la conexión y a

la hora de enviar los datos de usuario se mandan sin encriptar. Son reconocibles sinningun tipo de complicación, tanto el nombre de usuario como la clave.

Otra cosa que aprendimos con esta prueba es que el nombre de usuario y clavesiempre se mandan en los 300 primeros bytes. Esto es importante, ya que los sniffers sepueden configurar para que capturen un determinado volumen de datos, por lo que sisolo nos interesa los datos del usuario (nombre y clave) ahorramos tiempo en la captura.

Esto ocurre en todas las conexiones. Esta prueba la realizamos en el Laboratorio

Prueba 4 - TELNETRealizamos la misma prueba que la anterior en el Laboratorio del piso 3 en

clases de Prácticas de la Asignatura SSI, pero esta vez con una conexión por TELNET.Los resultados obtenidos son iguales que en la anterior de FTP, es decir, se ve

sin ningun tipo de impedimento el nombre de usuario y clave.

CONCLUSIÓN Y VALORACIÓN DE LAS PRUEBAS.

Una vez realizadas las pruebas prácticas, nos hemos dado cuenta de la granvulnerabilidad que presentan sistemas como telnet, e incluso ftp o http; ya que envíanlos logins y passwords sin cifrar, en texto claro, a través de la Red. Si un hacker oatacante en general, colocase un sniffer en el lugar adecuado, lo cual no es tancomplicado, como se ve a lo largo de todo este trabajo, la seguridad se pone en peligro.

Si tuviésemos que implementar sistemas seguros, como alternativa es mejor utilizar elcifrado siempre que sea posible, ya que, aunque el password sea interceptado, elatacante no lo entenderá a primera vista, y nuestra seguridad será mucho mayor.

Tenemos que tener cuidado con la información importante que mandamos a través deInternet, porque existen programas que se infiltran y espían nuestras comunicaciones.

26

10 .DICCIONARIO

Hemos pensado crear un diccionario con términos necesarios para comprender muchaspartes del trabajo, ya que puede ser de gran ayuda para aquellas personas que seannuevas en el tema e incluso para las que tengan pocos conocimientos informáticos.

ASCII: se trata de un código con el que se codifican los caracteres (texto, números,signos de puntuación,...etc). Cada uno de ellos tendrá asignado un código de 8 bits (bit:unidad mínima de información, 0 o 1)

CADENA: es una consecución de caracteres de texto, dígitos numéricos, signos depuntuación o espacios en blanco consecutivos.

CHAT: se trata de conversaciones escritas en Internet. Mediante una conexión a la redy un programa especial, es posible conversar (mediante texto escrito) con un conjuntoilimitado de personas, al mismo tiempo

CLAVE (del Registro): el Registro de Windows (Registry) es un elemento en el que seguardan las especificaciones de configuración del ordenador, mediante valores o claves.Estas claves cambiarán de valor, y/o se crearán, cuando se instalen nuevos programas ose altere la configuración del sistema. Los virus pueden modificar estas claves paraproducir efectos dañinos.

CLICK RATEFrecuencia con la que los visitantes de un sitio web pulsan sobre un anuncio,normalmente un banner, mostrado en una página.COOKIESArchivo de texto en la memoria del cliente del cual se sirven los servidores Web paraguardar información acerca del visitante de un sitio. La información relativa adeterminado sitio sólo la puede leer quien escribió la informació. Sirve para identificar avisitantes recurrentes. Es un archivo de texto que se introduce en el disco duro al visitarun sitio web. La próxima vez que volvamos a visitar ese mismo sitio, él buscará la webque le ayudará a recordar quien eres tú, cuales son tus preferencias, que has hecho otrasveces que has visitado la web, que habías comprado, etc...

CYBERSQUATTINGEs el término utilizado en Internet para referirse a la acción de registrar un dominiobasándose en un nombre del cual no se tiene ningún derecho, como en el caso de unamarca registrada o del nombre artístico de una figura popular. En la mayoría de loscasos, estos dominios son registrados con el único fin de ser revendidos a las personas oempresas que realmente tienen derechos sobre los mismos.DEBUG: programa que permite la edición y creación de otros programas escritos enlenguajes como Ensamblador (no lenguajes de alto nivel). También hace posible lainvestigación del código interno en cualquier fichero.

27

DIRECTORIO, CARPETA: estos dos términos hacen referencia al mismo concepto. Setrata de divisiones (no físicas) en cualquier tipo de disco donde son almacenamosdeterminados ficheros. Forman parte de una manera de organizar la información deldisco, guardando los documentos como si de una carpeta clasificadora se tratase.

FICHEROS SCR: son los denominados ficheros de Script. Su extensión es SCR ysirven para determinar los parámetros ("condiciones") con los que se deben ejecutarunos determinados programas. Permiten iniciar un programa con unas pautas fijadas deantemano.

FIREWALL Cortafuegos.Programa que sirve para filtrar lo que entra y sale de un sistema conectado a una red.Los filtros se pueden hacer por: contenido, es decir, por cantidad de información; pororigen: impidiendo lo que llega desde direcciones IP desconocidas o no autorizadas ypor tipo de archivos, rechazando los de determinadas extensiones, por tener estas, porejemplo, la posibilidad de transmitir virus.

GUSANO: es programa similar a un virus que se diferencia de éste en su forma derealizar las infecciones. Mientras que los virus intentan infectar a otros programascopiándose dentro de ellos, los gusanos solamente realizan copias de ellos mismos.

INTERRUPCION: es una señal mediante la cual se consigue hacer una pausamomentánea en las labores que se encuentra ejecutando el cerebro del ordenador (elmicroprocesador). Cuando ésta tiene lugar el micro abandona las operaciones que estabarealizando y pasa a ejecutar las acciones u operaciones que requiere el tipo deinterrupción requerida. Respecto a cada una de ellas, existe un nivel de jerarquías paraaceptar unas antes que otras o para que unas permitan interrumpir a las otras. Cuando sehan realizado las acciones correspondientes a un tipo de interrupción aceptada, elmicroprocesador continúa con la tarea que abandonó en su momento.

IRC: es una de las posibilidades que permite Internet. Mediante el IRC se puedenmantener conversaciones escritas, en tiempo real, entre varios usuarios conectados a uncanal de comunicaciones disponible en Internet.

JAVA: se trata de uno de los lenguajes de programación con el que se pueden crearpáginas Web.

NETIQUETTEConjunto de normas de comportamiento que rigen una conducto adecuada en Internet.

Rastreadores con topología de red HUBCapturar el tráfico de una red mediante la instalación de un rastreador (sniffer) genérico,Iris. Posteriormente se utilizarán rastreadores especializados en contraseñas y enespionaje de actividad (dsniff, webspy, urlsnarf). Finalmente, se comprobará ladetección de los rastreadores funcionando en la red mediante el uso de técnicas de anti-sniff (AntiSniff).Rastreadores con topología de red SWITCHSecuestro de sesiones y captura de tráfico entre dos estaciones en una topología

28

REFERENCIAS, ENLACES, SALTOS, LINKS: cada uno de estos cuatro conceptos sepuede definir también como un hiperenlace. Con ello nos referimos a determinadoselementos (texto, imágenes, botones) y/o secciones de un documento HTML (unapágina Web). Pinchando en ellos con el puntero del ratón, el usuario se conectará(saltará o accederá) a otra página diferente o a una sección de la misma página en la queya se encontraba.

SISTEMA OPERATIVO (S.O.): existen dos términos muy utilizados en informática.Estos son los conceptos de hardware y software. El primero de ellos se refiere a todo loque es físico y tangible en el ordenador, como unidades de disco, tarjetas gráficas,microprocesador, memoria,...etc. Por otro lado está el software que se define como elconjunto de programas (o información) con la que puede trabajar el hardware (ficheros,directorios, programas ejecutables, bases de datos, controladores,...etc.). Pues bien, elsistema operativo pertenece al software y más concretamente es el conjunto deprogramas (y ficheros o archivos de otro tipo) que permite que se pueda utilizar elhardware. Se puede tener el mejor ordenador del mundo (el mejor hardware), pero siéste no tiene instalado un sistema operativo, no funcionará (ni siquiera se podráencender).Algunos ejemplos de sistemas operativos son: MS/DOS, UNIX, OS/2,Windows 95/98/2000/NT,...etc.

SPAM o (Correo basura)Cualquier tipo de e-mail no solicitado. Hacer spam es enviar e-mail a usuarios que NOnos han proporcionado previamente su dirección de correo electrónico. Es una prácticamuy mal considerada por losSSL (Secure Socket Layer)Sistema que permite que la información viaje encriptada evitándose que puede ser leídapor sniffers u otros recursos. Es el método que permite garantizar una alta seguridad enel comercio electrónico. Gracias a él, el comerciante ni tan siquiera conoce el número detarjeta de crédito del comprador onlineTROYANO: los troyanos no se pueden considerar virus ya que no se replican o nohacen copias de sí mismos. En realidad son programas que llegan a un ordenador deforma totalmente normal y no producen efectos realmente visibles o apreciables (por lomenos en ese momento). Pueden llegar acompañados de otros programas y se instalanen nuestro ordenador. Al activarse puede dejar huecos en nuestro sistema, a través delos cuales se producen intrusiones.

WEBMASTERPersona responsable del mantenimiento de un sitio web.

29

11. LIBRO DE DIRECCIONES

Aquí hemos incluido unas referencias a Internet que consideramos son imprescindiblespara buscar y ampliar información sobre sniffers y temas afines. Para realizar estetrabajo, nosotros las hemos revisado todas, y creemos que es muy útil el ampliarinformación sobre cualquier tema usando Internet.

sniffershttp://www.epita.fr/~lse/xipdump/http://www-serra.unipi.it/~ntop/http://wwwhome.cs.utwente.nl/~schoenw/scotty/http://reptile.rug.ac.be/~coder/sniffit/sniffit.htmlhttp://www.ethereal.com/http://www.l0pht.com/antisniff/http://jarok.cs.ohiou.edu/software/tcptrace/tcptrace.htmlhttp://ee.lbl.gov/ ->TCPdumpwww.spectorsoft.comwww.winwhatwhere.comwww.silentrunner.com

Encriptación de correo electrónicowww.pgpi.comwww.openpgp.orgwww.hushmail.comwww.arnal.es/free/cripto/pgp/trabaja.htm

Criptografía y Seguridadaecsi.rediris.eswww.iec.csic.es/criptonomicon/www.hispasec.comwww.kriptopolis.com

Navegar anónimamentewww.anonymizer.comwww.safeweb.com

Contraespionajewww.zonelabs.comwww.bugnosis.com

Agencia de protección de datoswww.agenciaprotecciondatos.org

Asociación de usuarios de Internetwww.aui.es

Asociación de internautaswww.internautas.org

Delitos informáticoswww.delitosinformaticos.com

Derecho informáticowww.ctv.es/USERS/chiri/home.htm

30

12. CONCLUSIONES FINALESEs conveniente tener una doble actitud con respecto a los Sniffers. Por una

parte, es aconsejable explotar su valor, ya que los sniffers son herramientasindispensables para diagnosticar problemas de red o para estar al tanto de las accionesde los usuarios. Pero, por otra parte, es recomendable emplear todos los medios posiblespara asegurarse de que determinados usuarios no instalan sniffers en equipos dondepuedan ser peligrosos.

La principal característica de un Sniffer es su capacidad para interactuar con latarjeta de red y guardar los registros en un archivo o en una salida predeterminada, estole brinda un gran potencial como herramienta de auditoría, sin embargo también puedeser un arma potencialmente destructiva en manos equivocadas.

No hay que pensar que los sniffers por sí mismos hacen de Internet una redinsegura. Solo es necesario tener conciencia de donde está el riesgo, cuándo se correpeligro y qué hacer para estar a salvo.

Cuando te han robado la tarjeta de crédito o desconfías de que alguien puedeestarla utilizando indebidamente, cancela la tarjeta y solicita otra. De esta forma, comolas claves pueden ser robadas, es fundamental cambiarlas con cierta frecuencia. Estaprecaución limita la cantidad de tiempo que una clave robada pueda ser utilizada por unatacante.

Nunca compartas tu clave con otros. Esta compartición hace más difícil saberdonde está siendo utilizada su clave (y expuesta) y es más difícil detectar un uso noautorizado.Nunca le des la clave a alguien que alega necesitarla para acceder a su cuentapara corregir algún problema o investigar algún problema del sistema. Este truco es unode los métodos más eficaces de hacking, conocido como “ingeniería social”.

La mejor defensa contra los sniffers sigue siendo la criptografía. Sin embargo,esposible que los usuarios sean reticentes a utilizar el cifrado, ya que pueden considerarlodemasiado problemático. Por ejemplo, es difícil acostumbrar a los usuarios a utilizarS/Key (u otro sistema de contraseñas que se escriben una sola vez) cada vez que seconectan al servidor. Sin embargo, existe una solución salomónica: aplicaciones queadmiten cifrado bidireccional fuerte y también ofrecen cierto nivel de sencillez.

Para protegerse de los sniffers, lo primero es concerlos,y eso es lo quepretendíamos con este trabajo. Aunque inicialmente el trabajo propuesto por el profesoren clases era sólo sobre el Ethereal, hemos decido ampliar el campo y hablar sobre otrosmuchos sniffers existentes, porque creemos que enriquece al trabajo y ayuda aentenderlo mejor. Además, las pruebas prácticas fueron muy interesantes ya que se vioen la misma Facultad y en nuestras casas cómo funcionaban los sniffers.

Mediante las continuas referencias a páginas Web a lo largo de todo el trabajodamos opciones a ampliar conocimientos usando Internet y dejamos constancia deltrabajo de investigación y aplicación realizado.

Los autores, 3 de Junio de 2002