Tutorial SRT - Técnicas de hacking Página 1 de 11 TÉCNICAS DE HACKING En el mundo de los hackers, hay una gran diversidad de "personajes" que a menudo se confu hacker, y que debido a estos la "mala fama" de los hacker ha ido en aumento. Además del Hacker, sistema informático "mira pero no toca", esta el Cracker, que es aquel hacker "maligno" que s passwords del software y a dañar un sistema una vez que ha conseguido entrar en él. También está el Prehacker, que es aquel que conoce los sistemas de telefonía y los usa para ha esto también es otra forma de Hacking. Estos tres son los tres principales "personajes" de este m únicos, a estos les secundan Wanabies, Lamers, Bucaneros, Newbie. Para consultar más en profundidad el tema consultar: trabajo Técnicas de hacking Los mandamientos del hacker Técnicas de hacking Conseguir el fichero passwd estando dentro de la máquina Borrado de huellas Poner un sniffer en el sistema Para más información Los mandamientos del hacker Un hacker debería seguir los siguientes mandamientos: Nunca destroces o dañes intencionadamente algo en la máquina que estés hackeando, s problemas. La función del hacker es conocer. Modifica sólo los archivos que hagan falta para evitar tu detección y asegurar tu acceso futuro a No hackees nunca por venganza ni por intereses económicos. Nunca dejes tu dirección real, tu nombre o tu teléfono en ningún sistema. Ten cuidado a quien le pasas información. A ser posible no pases nada a nadie que no conozca teléfono y nombre real. No hackees sistemas pobres que no pueden reponerse de un ataque fuerte, y nunca hackees e gobierno. El gobierno puede permitirse gastar fondos en buscarte mientras que las universidade particulares no. Procura que tus acciones se realicen en servidores lejanos, teniendo en cuenta que cuanto m es la conexión y más rápido se te puede localizar. No des nunca mucha información sobre el sistema que estás hackeando. Di sencillamente "esto UNIX o en un COSMOS..." pero no digas a quien pertenece, ni el teléfono. En Internet todo lo q alamcenado. En los ordenadores que hackees, no dejes ningún dato que pueda relacionarse contigo. Y si es "firmes". Se paranoico. Una de las características principales de los mejores hacker es la paranoia. No uses Blue Box a menos que no tengas un servicio local al que conectarte. Si se abusa del B cazado. Puedes iniciar tus actividades de reconocimiento en servidores donde se esté cometiendo algo denunciarán. No te preocupes en preguntar, normalmente nadie te contestará. Piensa que por responderte a cazarte a ti, al que te contesta o a ambos. Estudia mucho antes de lanzarte a la práctica. Piensa que eres un novato total, si te encuentras probablemente tu aventura acabe antes de empezar. Nunca dejes de estudiar y de aprender cosas nuevas. El mundo de la informática avanza r mantener un buen ritmo si no quieres quedarte atrás. http://asignaturas.diatel.upm.es/seguridad/tecnicasHacking.htm 20/05/2009 Tutorial SRT - Técnicas de hacking Página 2 de 11 Puedes pasearte todo lo que quieras por la WEB, y mil cosas más, pero hasta que no est sabrás lo que es.. Técnicas de hacking Los hackers utilizan diversas técnicas para romper los sistemas de seguridad de una red. B débiles del sistema para poder colarse en la red a través de ellos. Pasos a seguir para hackear Objetivo y búsqueda de información Conseguir una cuenta Pasos a seguir para hackear Pasos: Buscar información e introducirse en el sistema que tengamos como objetivo. Una vez conseguido el acceso, obtener privilegios de root (superusuario). Borrar nuestras huellas. Poner un sniffer en el sistema para conseguir acceso a otros sistemas. Objetivo y búsqueda de información Lo primero que se ha de hacer, como es lógico es determinar la máquina objetivo. Tras esto, se ha de recopilar la mayor información sobre esa máquina. Lo mejor es empezar ha puertos a la máquina. Para entrar en un sistema, lo primero que se ha de saber es como funciona, ya manejar el hacker en él, ni hacer nada útil. Los fallos de seguridad que se aprovechan para cons sistema están basados casi siempre en los protocolos TCP/IP, en servicios de red como el NFS (Netw (Network Information System) o en los comandos "r" (remote) de UNIX. Por esto, es muy importante ya que básicamente la gran mayoría de los sistemas conectados a la red lo hacen a travé de sus variantes.. Conociendo este sistema operativo el hacker puede moverse por el resto de sistemas UNIX. A algunos sistemas dentro de UNIX: Hay dos formas básicas de introducirse en el sistema: Entrar directamente sin necesidad de poseer una cuenta en el sistema objetivo. Por ejemplo po algún bug (alterar el fichero passwd del ordenador objetivo por rsh, alterar el fichero .rhosts de a etc...desde luego hay formas más avanzadas de conseguir esto). Para ello el hacker se aprovec seguridad existentes en los protocolos o servicios de red. Conseguir una cuenta en el sistema y aprovecharlo para coger el fichero passwd del sistema ob fichero passwd contiene los logins de los usuarios y su correspondiente password encriptadas ( Conseguir una cuenta http://asignaturas.diatel.upm.es/seguridad/tecnicasHacking.htm 20/05/2009 Tutorial SRT - Técnicas de hacking Página 3 de 11 Una manera de entrar en una máquina ya sea esta remota o no, es conseguir una cuenta de la m segundo paso del hacker tras la búsqueda de información para poder entrar en un sistema, y hay mu conseguir una cuenta. Algunos de estos métodos son: Cuentas por defecto Ingeniería social Conseguir una cuenta a través de NFS. Conseguir una cuenta a travñes de NIS PHF Cuentas por defecto Este es un método de locos y sólo se suele usar cuando el hacker está muy perdido o si est funcionan pocas veces, y es un engorro tener que probar una por una hasta dar con la correcta. Adem depende del sistema operativo de la máquina a la que se quiera entrar, ya que según sea este tiene a generales, alguna particulares. Ingeniería social El hackerintenta mediante diferentes técnicas que se comentan a continuación, que un usuario co al que pretende entrar, le facilite sus datos a para ello. Es decir, le engañará para que dicho usua password y así poder usarlos suplantando su personalidad en el sistema. La técnica más habitual es la del envío de e-mails falsos a un usuario solicitándole sus datos servidores de correo anónimo o se falsea el remitente, cosa que se puede hacer de manera sencilla Antiguamente los hackers también solían usar la técnica de la llamada telefónica, que consist persona de la empresa de telefonía o de la empresa dueña del sistema y pedirle los datos al usuario. Otra técnica que es comúnmente usada es la denominada chica necesitada de ayuda que se d comúnmente en los Chats. En esta técnica, el hacker se hace pasar por una chica que no tiene ordenador o de entrar en el sistema nuevo que han instalado en su oficina, y pide a aquel que se ofre "como lo hace" él/ella (normalmente él) en su sistema y que pone exactamente, consiguiendo as técnica en IRC, debido a que desde estos programas se puede obtener mucha informaci conectados al servicio por medio de comandos que no se pueden utilizar en Chats de Web. El finger es el puerto 79 de un ordenador, y si el host sistemavíctima.com lo tiene abierto, el h información sobre la gente que está conectada a sistemavíctima.com, así como otra informaci Además con esta utilidad, se puede obtener información de los usuarios aunque no esté administrador del sistema. Conseguir una cuenta a través de NFS El NFS (Network File System) es un sistema de red que permite que una máquina servidor p sistemas de archivos y dispositivos periféricos a máquinas clientes. Así, la máquina cliente podr pudiéndolos usar como si los poseyera. http://asignaturas.diatel.upm.es/seguridad/tecnicasHacking.htm 20/05/2009 Tutorial SRT - Técnicas de hacking Página 4 de 11 Otra cosa muy distinta es lo que se pueda hacer con los ficheros incluidos en dichos directorio modificar, alterar los permisos, etc), lo cual depende de la configuración del NFS. En realidad, no es para que no pueda haber problemas de seguridad, usando las opciones ro y rw en la configuraci tienen acceso de lectura y escritura respectivamente. Por tanto, los problemas aparecen cuando no h opciones correctamente, y cualquier usuario remoto puede leer y escribir... El único inconveniente de esta técnica es la búsqueda de máquinas con ficheros exportables, cos mano (muy tedioso y complicado) o usando uno de los muchos programas existentes en la red. Conseguir una cuenta a través de NIS NIS (Network Information Service), es un servicio por el cual varias máquinas comparten varios "m ficheros como passwd, hosts, etc. Por ejemplo, un usuario puede entrar con la misma cuenta en t compartan un mismo mapa de passwords. Los mapas son consultados por las máquinas cliente contengan los mapas, que son los servidores. Existe un programa llamado YPX que sirve para extraer estos mapas (incluido el fichero passwd todas las passwords de los usuarios) de un servidor de NIS aunque la máquina en la que estemo cliente. PHF Este sistema es antiguo y ampliamente conocido por todo el mundo, pero aunque parezca mentira phf es un fichero que se encuentra en el directorio /cgi-bin de máquinas UNIX que ofrezcan este servi direcciones, pero, hábilmente utilizado por el hacker, puede servir para ejecutar comandos remotos so que normalmente hará el hacker que acceda a la máquina mediante este sistema, será la obtenci passwords de un sistema al que esté conectada dicha máquina, aunque se le pueden dar otras aplica interesantes para un hacker, ya que permite ejecutar comandos en la máquina víctima. Además el fichero se podría conseguir a través de un simple navegador, o usando los comandos p shell (que para ellos suele ser más cómodo). Una vez conseguida la shell por cualquiera de los m manera, ahora el objetivo del hacker se centra en conseguir mantener el mayor tiempo posible la perm (consiguiendo otras cuentas) y hacerse con los privilegios de root en esa máquina a la que ya tiene ac los permisos de acceso que tiene a las diferentes partes de la máquina, y si esta está muy restringida nada, buscará alguna manera de tener los mayores permisos posibles desde ahí. Algunas veces, la solución para conseguir permisos mejores, es probar con el login y el password d entrando por otros puertos como el ftp, rlogin, etc, aunque otras veces, entrando por el ftp intenta sob que sea el que está activando las restricciones. Así ya puede intentar coger el fichero de passwd o ejecutar algún xploit para coger otras cuentas o Otro método que a veces funciona, dependiendo de como se ha hecho esa shell restringida (si est ejecutando un programa que interactúa con el shell como por ejemplo: :set shell=/bin/sh y luego.. http://asignaturas.diatel.upm.es/seguridad/tecnicasHacking.htm 20/05/2009 Tutorial SRT - Técnicas de hacking Página 5 de 11 :shell (para máquina bajo UNIX). También otro método que puede funcionar, es para cuando lo que tiene es una cuenta para mail, e intenta es tocar el archivo .pinerc... es decir, bajarlo por ftp, retocarlo en su máquina y volverlo a subir En general lo que se ha de hacer es examinar las variables de entorno que se tienen en la shell y p manera se pueden inhabilitar las restricciones. Conseguir el fichero passwd estando dentro de la máquina Siempre que tenga una cuenta en un sistema, el hacker intentará conseguir el fichero de passwords lo posible, ya que el root puede darse cuenta de que esa cuenta es peligrosa para sus intereses y cerrar fichero de passwords, tendrá muchísimas cuentas y le dará lo mismo que cierren la cuenta con la que que siempre podrá volver a entrar con otra, y hacerse con los privilegios de root ya sólo ser Además, es conveniente para él cambiar de cuentas para entrar al sistema ya que como se comentar de lo que se hace en un sistema UNIX se queda en los ficheros de logs, por lo que si no consigue per esos logs (sus huellas), el root verá que ha habido un usuario haciendo cosas inusuales. En los sistemas UNIX, los logins y los passwords suelen estar en el fichero /etc/passwd, si este no es que se explica más adelante. En estos ficheros, el login es visible y el password está encriptado por lo como la que se muestra a continuación: root:21gCqQc/zPWgU:0:0:Super-User:/:/bin/csh sysadm:*:0:0:System V Administration:/usr/admin:/bin/sh diag:*:0:996:Hardware Diagnostics:/usr/diags:/bin/csh daemon:*:1:1:daemons:/:/dev/null bin:*:2:2:System Tools Owner:/bin:/dev/null uucp:*:3:5:UUCP Owner:/usr/lib/uucp:/bin/csh sys:*:4:0:System Activity Owner:/var/adm:/bin/sh adm:*:5:3:Accounting Files Owner:/var/adm:/bin/sh lp::9:9:Print Spooler Owner:/var/spool/lp:/bin/sh will:5fg63fhD3d5gh:9406:12:Will Spencer:/home/fsg/will:/bin/bash Donde cada campo viene separado por ":" y en los que el significado de cada campo es: Login: will Password encriptado: 5fg63fhD3d5gh http://asignaturas.diatel.upm.es/seguridad/tecnicasHacking.htm 20/05/2009 Tutorial SRT - Técnicas de hacking Página 6 de 11 Número de identificación del usuario (UID): 9406 Número de identificación del grupo al que pertenece (GID): 12. Nombre real: Will Spencer Directorio Home: /home/fsg/will Tipo de shell: /bin/bash En algunas líneas, el campo password es "*". Este password encriptado es invalido, o sea, no se corr password, por tanto, las cuentas que tienen algún "*" en el campo password son cuentas a las que no son usadas por el sistema operativo. Si en el fichero de pass en el lugar del password aparece :: quiere decir que esa cuenta no tiene pass introducir el login se entra directamente. Respecto a la cadena de UID (user identification) el "0" corresponde al root. Igualmente, si hay otros users con UID=0, estos usuarios son root a todos los efectos, es decir, tienen que el root o lo que es llamado superusuario o su. Muchas veces sólo habrá un user con ID 0, pero a lo que se facilita el trabajo del hacker. Los usuarios que sin tener el UID=0 tienen el mismo GID que el root, también tienen algunos privilegio pertenecer al grupo del root. Igualmente, hay que observar los UIDs y los GIDs de otros usuarios part como wwwadmin, admin, www, bin, etc. La siguiente cadena indica el directorio home, es decir al directorio que entrará el hacker cuando entre última cadena indica el shell que usará por defecto cuando entre. El algoritmo de cifrado es DES, el cual era un algoritmo prácticamente indescifrable, pero que con el p tremenda evolución de la tecnología, cada día se hace más posible su desencriptado, dada la velocid proceso de los ordenadores actuales. Es casi imposible volver hacia atrás a partir de un password para obtener la palabra original. La de romper DES es a fuerza bruta. Otro aspecto a destacar es la existencia del password aging, es decir, que los password caducan. Est conocerlo para el hacker ya que si los passwords se renuevan habitualmente, tendrá que acelerar sus que tras haber crackeado el fichero de passwords, estos ya hayan sido cambiados. Si existe el passw de passwords las entradas serán del tipo: Pepe:cualquier,43:34:3:Pepe perez:/home/pepe El formato es del tipo passwd:Mxww donde M es el máximo número de semanas que pueden pasar h sea cambiado y x es el mínimo intervalo en el que puede ser cambiado mientras que ww indica cuand se cambio el password. La relación entre M, m y el número real de semanas es: Así, en el ejemplo de Pepe, el password contiene la extensión, 43 que quiere decir que debe ser cam semanas (ya que el 0 corresponde al 2) y que debe permanecer al menos 3. http://asignaturas.diatel.upm.es/seguridad/tecnicasHacking.htm 20/05/2009 Tutorial SRT - Técnicas de hacking Página 7 de 11 Password Shadowing Password shadowing consiste en un sistema de seguridad en el cual en el archivo etc/passwd que es están los ficheros de password encriptados, no están estos, sino que habrá algo del tipo: root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin: daemon:x:2:2:daemon:/sbin: adm:x:3:4:adm:/var/adm: lp:x:4:7:lp:/var/spool/lpd: sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail: operator:x:11:0:operator:/root:/bin/bash mary:x:503:100:Mary C. Hilton:/home/mary:/bin/bash En los que, como se puede observar, los passwd encriptados han sido sustituidos por una x aun otros símbolos. En este tipo de sistemas de seguridad, el verdadero archivo de passwd est el /etc/passwd. El problema es que ese archivo no es accesible para todo el mundo, sino que es de por lo que si el hacker tiene cuenta como un usuario normal, no podrá leerlo... en principio. Una manera de conseguir el fichero de passwd si está shadow es aprovechar algunos comandos rlogin y ssh. UNIX/Linux para leer el fichero de password cuando se entra en al sistema, lo que hace simpleme passwd que se introduce por el teclado, los encripta y si coinciden con los correspondientes en e cuenta es válida y permite el acceso. Por tanto, la forma que tiene el hacker de atacar un fichero de passwords de UNIX es precisamen sistema operativo para verificar un password: encriptar muchas palabras y comprobar cada una de password encriptado. Para hacer esto necesita tres cosas: una lista de palabras a probar, una l encriptados y un programa que haga las pruebas. Excepto la segunda, las demás se pueden conse Eso sí, todas estas pruebas las hace el hacker en su máquina, después de haberse bajado e mediante ftp, copiar-pegar, e-mail, o cualquier otra técnica que se le ocurra y que por supuesto pueda De esta forma conseguirá crackear la mayoría de las shell de usuario, pero no es lógico que el ata resultado con la cuenta del root, ya que estos suelen tener (lógicamente) passwords complejos a pro poder romper el password del root, el hacker tiene muchas técnicas, de las que destacaremos el Troyanos. http://asignaturas.diatel.upm.es/seguridad/tecnicasHacking.htm 20/05/2009 Tutorial SRT - Técnicas de hacking Página 8 de 11 Supongamos que el hacker no ha conseguido la cuenta del root, pero ha conseguido tener los mis desde la cuenta en la que se encuentra, ahora lo que tiene que hacer es conseguir mantener es asegurarse de que la próxima vez que entre al sistema con la cuenta de un usuario que posea privi conseguir privilegios de root de forma fácil y sin complicaciones. Existen diversas formas de mantener los privilegios de root, aunque quizá la forma más utilizada d sushi (set-uid-shell) o también llamado "huevo". Consiste en que una vez alcanzados los privilegio shell (el fichero /bin/sh) a un directorio público (en el que un usuario normal pueda ejecutar los fich nombre al que quiera el hacker. Asegurándose de que la shell copiada tenga como owner (propieta cambiando los permisos del fichero con las cifras 4755. La primera cifra, el 4, significa que cualqu dicho fichero lo estará ejecutando con los privilegios del owner. Como en este caso el owner es el root y el fichero en cuestión es una shell, el sistema abrir root. De esta forma, la próxima vez que acceda al sistema con la cuenta de un usuario normal, s directorio donde haya copiado la shell, ejecutarlo y ya será root sin las complicaciones de tener que e Borrado de huellas Lo siguiente que debe de hacer un hacker que ha estado en un sistema, es evitar dejar su rastr pillen. A esto se le denomina borrado de huellas, y es posiblemente lo más importante que hace un sistema. Para poder borrar estas huellas necesitará tener privilegios de root, naturalmente. En general, cuando un usuario entra en un sistema, este guarda datos de la máquina desde que se esto se le llaman logs, y en ellos puede estar presente desde el nombre del usuario, hasta la IP d usando. Lo que el hacker tratará de hacer será o borrar dichos logs, falsearlos, es decir, que no apare de otra máquina, o usar ambas técnicas a la vez por si alguna no resultó. A la técnica del falseo d hackear con condón. Hackear con condón Borrado de huellas Hackear con condón La manera de trabajar usando condón, consiste en usar máquinas intermedias para saltar de una máquina objetivo. Este procedimiento se puede usar con cualquier servicio: telnet, ftp, etc. Es indispensable que las bastantes conocidas por el hacker, que ya haya entrado en ellas y que pueda manejarlas a su antojo. Borrado de huellas El problema del borrado de huellas es que para poder borrar todas las huellas el hacker ha de (excepto algunos SunOS en los que se podía modificar un fichero de log, aunque no todos), adem implementan logs adicionales o de seguridad, por lo que borrar todas las huellas se puede convertir Normalmente, el buen hacker lo hará todo de una vez una vez que ha entrado, es decir, entrar, borrar las huellas... todo de un tirón (aunque le puede llevar mucho tiempo). http://asignaturas.diatel.upm.es/seguridad/tecnicasHacking.htm 20/05/2009 Tutorial SRT - Técnicas de hacking Página 9 de 11 Los sistemas operativos llevan por defecto bastantes logs. Estos log son archivos que guarda conexión. Algunos ejemplos son: wtmp, utmp, lastlog, acct, además de los que registran las entrada genera el syslogd, los del httpd, etc. Los logs más importantes son: UTMP: Indica quién está conectado en cada momento. WTMP: Indica todas las entradas y salidas de la máquina víctima indicando el host. LASTLOG: Guarda un log indicando el momento exacto en el que se conectó el usuario por ultim ACCT: Guarda todos los comandos ejecutados por los usuarios (aunque sin argumentos). log enorme en poco tiempo, por lo que no suele estar activo. Y suelen estar ubicados en los siguientes directorios: UTMP : /etc o /var/adm o /usr/adm o /usr/var/adm o /var/log WTMP : /etc o /var/adm o /usr/adm o /usr/var/adm o /var/log LASTLOG : /usr/var/adm o /usr/adm o /var/adm o /var/log ACCT : /var/adm/acct (en algunos sistemas se puede llamar pacct) Para borrar las huellas de los logs más usuales, el hacker utilizará distintos programas como p wipe, marry, clean, etc.. (todos estos programas se pueden encontrar en la red), pero tambi que pueden aparecer. Estos se comentan a continuación: El Syslog es una aplicación que viene con el sistema operativo UNIX y que cumple su funci syslogd o daemon syslogd. El sistema operativo UNIX se puede configurar de tal forma que determinados programas, p generen mensajes que son enviados a determinados ficheros indicados normalmente en puede estar en otras ubicaciones, donde quedan registrados dichos mensajes. Estos mensajes son dan unas determinadas condiciones, ya sean condiciones relativas a seguridad, mantenimiento puramente informativo. El daemon syslogd lee su configuración del fichero /etc/syslog.conf configuración relativa a qué eventos del sistema son registrados y en qué ficheros son registrados. Los ficheros a los cuales se mandan los registros (logs) pueden estar situados en la misma m trabajando o en otra máquina de la red. La ventaja que tiene para el hacker el log creado por el syslogd sobre los otros logs má tanto el utmp, wtmp, lastlog y acct tienen estructura de datos, por lo que no se pueden modificar normalmente, los ficheros producidos por el daemon syslogd si que son editables en modo texto, por de texto el hacker puede borrar la mayoría de las huellas. Esto lo hace buscando en modo texto m referir a su conexión, por ejemplo, buscando el nombre de la máquina desde la que se ha conectado, Una desventaja que tiene el syslogd es que puede que envíe los logs a otra máquina con lo q difíciles de borrar. Esto no suele ser habitual, pero a veces puede ocurrir. Algunos de los tipos de procesos que pueden generar mensajes (que se guardan en el syslog.conf kern --> mensajes relativos al kernel. user --> mensajes relativos a procesos ejecutados por usuarios normales. mail --> mensajes relativos al sistema de correo. lpr --> mensajes relativos a impresoras. auth --> mensajes relativos a programas y procesos de autentificación (aquellos en los que est nombres de usuarios y passwords, por ejemplo login, su, getty, etc.) http://asignaturas.diatel.upm.es/seguridad/tecnicasHacking.htm 20/05/2009 Tutorial SRT - Técnicas de hacking Página 10 de 11 daemon --> mensajes relativos a otros demonios del sistema. Mientras que cada uno de esos procesos puede generar mensajes de los siguientes tipos: emerg --> emergencias graves. alert --> problemas que deben ser solucionados con urgencia. crit --> errores críticos. err --> errores ordinarios. warning --> avisos. notice --> cuando se da una condición que no constituye un error pero a la que se le debe dar u info --> mensajes informativos. Una forma de comprobar otros ficheros de log existentes en el sistema es verificar cuales son todo se encuentran abiertos en el momento, y por ello, lo que podemos conseguir es una pista de cua posibles lugares en los que se puede almacenar información que comprometa al usuario. Un program (LiSt Open Files), el cual nos indicar los ficheros que se encuentran abiertos en ese momento. Además de esto, ha de tener en cuenta que muchas veces lo que haga en la máquina crear tendrá que borrarlos antes de salir de la máquina, si ha generado algo... e identificar generado por el hacker mirando el propietario de los ficheros. El hacker también ha de tener cuidado con el history. El history es un archivo que guarda to ejecuta. Poner un sniffer en el sistema Hay varias formas más o menos sofisticadas que permiten conseguir información desde el sistema en hacker y que le permite acceder a otros sistemas de la red. Quizá el método más famoso y m de un sniffer. Un sniffer es un programa que "monitoriza" la red consultando los diferentes paquetes de informaci Cuando alguno de esos paquetes cumple ciertos requisitos (por ejemplo que sea un paquete correspo de login), guarda dicho paquete en un fichero (es decir, guarda un log). Cada cierto tiempo el hacker p fichero que le proporciona información sobre qué usuario se conectó a una determinada má y que password utilizó, además de otros datos. En la cabecera de cada paquete de información está incluida la dirección de la máquina a la cual va d información. Se supone que el paquete de información sólo lo recibe la máquina a la cual va destinad reciben cualquier paquete de información aunque no estén destinados a ella, se dice que est También se puede sniffar información aunque el sistema no esté en modo promiscuo, pero entonces aceptará información que esté destinada a ella, y los únicos paquetes de información que monitorizar paquetes destinados a él, y los paquetes que provengan del propio sistema. Los ficheros que utiliza el sniffer para guardar la información, suelen crecer muy deprisa por lo que pu excesivamente grandes y alertar al administrador del sistema que al examinar los ficheros se dar hacker en su sistema. Por eso los hackers suelen consultar los logs cada poco tiempo y dejar los fiche han leído para seguir monitorizando la red. Existen varios programas sniffers por la red, incluso algunos comerciales. Los más conocidos y distrib underground son sniffers para SunOS, Solaris y Linux. Por otra parte, programas bien conocidos com http://asignaturas.diatel.upm.es/seguridad/tecnicasHacking.htm 20/05/2009 Tutorial SRT - Técnicas de hacking Página 11 de 11 se pueden utilizar estupendamente como sniffers, aunque no hayan sido concebidos para esos fines. Para más información Luis-A. Iñigo verdugo y otros. Hacking en Internet. Ed Coelma. Año 1998. Claudio Hernández. Hackers. Los clanes de la red 2000. Año 1999. www.manualesgratis.com Máximo Merlat y otros. Manual del Hacker. Año 1999. www.monografias.com LUK. Curso de hacking. Enero 2001 www.hackhispano.com Revista Sakeadores. Introducción al mundo Hacker. www.prehackers.com SHE (Sindicato de Hackers Españoles). Intoducción al Hacking. www.prehackers.com Mónica Fenández. Escuela de “Hackers”. Periódico La Vanguardia. 15-8-2000 Juan Manuel de Prada. Aprendices de pirata. Revista Tiempo. 19-6-2000 Stuart McClure y otros. Hackers. Secretos y soluciones para la seguridad de redes. Ed McGraw http://asignaturas.diatel.upm.es/seguridad/tecnicasHacking.htm 20/05/2009