Aprender acerca de networking El conocimiento de networking

Aprender acerca de networking El conocimiento de networking y todo aquello referente a redes (como protocolos y conectores, routing y switching, entre otras cosas) es básico para el diseño y la diagramación de entornos de una organización, pero resulta fundamental para un futuro profesional de ethical hacking. RFC. Los RFC (Request For Comments) son los estándares que definen cada uno de los componentes de Internet. Consisten en la lectura básica y muy detallada de los protocolos utilizados. Los podemos ver en español en www.rfc-es.org. Esto nos permitirá no sólo llevar a cabo el chequeo de seguridad e interpretar el mapeo de los componentes, sino también determinar exactamente el flujo de información, la disposición de las oficinas y sus componentes informáticos, las medidas de prevención en el tráfico de red, el almacenamiento de datos, su acceso, su proceso o posterior enrutamiento, medidas técnicas de contingencia y controles. Al mismo tiempo, nos permitirá estar capacitados para recomendar los componentes necesarios de seguridad o conectividad como DMZ, firewalls, criptosistemas, routers, switchs, filtrados varios, IDS, databases, servidores seguros de archivos, servidores de logs, servidores de replicación, determinados enlaces cifrados, VPNs, VLANs, unidades de logueo seguro, cableado estructural blindado, etcétera. Entre todo el material disponible, lo principal es conocer cómo se comunican estos elementos (sumado a los servidores y terminales) entre sí, sus capas, sus proto- 28 colos, su configuración y las normas técnicas de cada uno. Visio. La aplicación Visio, del paquete Office de Microsoft, es muy utilizada para plasmar de forma gráfica la disposición de todos los componentes de un escenario informático. También sirve para diagramación lógica y organigramas, entre otros gráficos. Conocer técnicas básicas de intrusión “Cuando estás empezando, no necesitas herramientas. Ése es el modo en que te volverás un script kiddie. Lo que necesitas es entender. Necesitas saber cómo trabajan los sistemas, qué errores pueden cometer sus programadores o administradores para que éstos se vuelvan vulnerables y cómo esos errores pueden ser explotados de modo que se pueda ingresar en el sistema. Una vez que entiendas qué es lo que estás haciendo, estarás preparado para elegir la herramienta correcta para la circunstancia correcta. Una vez que has elegido la herramienta, ésta sólo hará tu proceso más eficiente”. Derek Fountain (En: Bugtraq) Antes de hablar de estas técnicas, debemos saber qué se entiende por intrusión. Para definirlo de un modo simple, significa lograr el acceso a recursos de un sistema sin tener la autorización de su dueño o de quien lo controla. Quien lleve a cabo este tipo de accesos no permitidos es lisa y llanamente un intruso, sea como 29 fuere que lo cataloguen los medios, las autoridades o el resto de la gente. Aunque existen muchas formas de intrusión, aquí veremos ejemplos del ámbito informático, es decir, el ingreso de terceros no autorizados en la información (almacenada o en flujo) en estado digital de una organización. De todas maneras, debemos tener en cuenta que en el sistema de cualquier organización, los datos vitales suelen estar en una amplia gama de soportes, como papel, memorias diversas, cintas, audio, pizarras, paneles, ondas de radio, video, diapositivas y más. Varios de estos medios son llamados fungibles porque se agotan con su uso, como las cintas o el papel. El intruso puede lograr acceso no autorizado a información de modo: • Físico: in situ, estando frente a la máquina. • Remoto, local o ambos a la vez. • Por cable: vía Internet o línea telefónica. • Por ondas: wireless. • Por radiación: eavesdropping. • Por vista u oído: a distancia. • A través de una interfaz gráfica. • A través de un intérprete de comandos. • A través de un intérprete de comandos a ciegas, sin ver el resultado de lo que se ejecutó en el servidor remoto. Entrar no solo significa introducir el usuario y la clave en un determinado servicio de autentificación remota como telnet, ssh, terminal service, rlogin, ftp, y todos aquellos que soliciten ingresar validación. Puede significar la realización de una escalada, que consiste en una sucesión de actos que llevan a lograr cada vez mayor alcance dentro del sistema para, finalmente, obtener una cuenta de elevados privilegios o el propósito que se haya impuesto el ejecutor. Por ejemplo, enviar por email o ftp determinado archivo o database al exterior, agregar un usuario de privilegios en el sistema o, simplemente, entrar y ocultar su rastro para que en el futuro se pueda utilizar ese servidor para otros propósitos. Esto podría llevar meses o minutos, y las más variadas técnicas, ya sea a través del mismo sistema operativo, de alguna aplicación o de algún descuido del administrador (hablamos siempre de servidores con administrador y no de simples terminales de usuarios con Windows XP). Sin dudas, un intruso se aprovechará de los descuidos humanos, ya que todos los componentes del sistema fueron desarrollados, seteados u organizados por personas; por eso tienen falencias que son potencialmente explotables. Entonces, ¿cuál es la mejor forma de aprender técnicas de intrusión? En principio, conocer el objetivo, empezando por el sistema operativo (con esto no hacemos referencia a elementos del tipo Windows 98, sino a Linux, la familia BSD y la familia Windows Server). 30 Los descuidos de administración son difíciles de descubrir y explotar si no se conoce profundamente el sistema operativo o la aplicación en sí. Imaginemos el tiempo que llevaría aprender, sobre la marcha de un chequeo, las características de un sistema operativo (y sus aplicaciones) o todos los componentes de un escenario. Hay que estar informado acerca de las nuevas vulnerabilidades o descubrirlas por uno mismo si se tiene el tiempo para hacerlo, siendo muy útil la habilidad de encontrarlas y poder programar su exploit (prueba de concepto). También es bueno saber cómo identificar un sistema y reconocer si es potencialmente explotable su modelo, versión o estado. Para ello, podemos recurrir a los incontables libros y whitepapers, honeypots, wargames, concursos, listas de correo profesionales, e-zines y foros serios. Además podemos montar una red hogareña para practicar, má- quinas virtuales en Vm war e o hacerlo en el trabajo si es posible. IP. Hide-Ip-Browser (www.hide-ip-browser.com) es un software que permite mantener el anonimato al navegar sitios y al postear en foros. Esto lo realiza mediante la elección de diferentes servidores proxys. Sobre los cursos que se ofrecen en Internet, ya sean de seguridad o de ethical hacking, hay que tener en cuenta que por estos días, la Web es masiva y hay muchos 31 En estas listas de correo nos ayudarán a encontrar respuestas a nuestras preguntas: www.segu-info.com.ar, en español (forosi); www.issaarba.org, en español (ISSAArBA); www.securityfocus.com, en inglés (Bugtraq/Security Basics); www.infosecnews. org, en inglés (ISN); www.elistas.net/lista/nnl, en español (NNL Newsletter). Listas de Correo empresarios que brindan dudosos cursos (obsoletos o incompletos) para así aprovecharse de la ignorancia de la gente y ganar dinero. Esto no significa que todos los cursos son malos, pero en gran parte son una pérdida de recursos. Para no correr riesgos, es bueno tomar estos recaudos: 1. Dentro de una lista de correo de seguridad, preguntar a los profesionales cuál sería el curso adecuado según nuestro nivel, interés, fin o recursos económicos. 2. Evaluar, tras haber hablado con alguien que haya cursado allí, cuáles fueron los costos totales, las horas, el alcance, si tienen programa o entregan material de estudio, cuál es el seguimiento del aprendizaje, qué clase de título o certificado entregan al finalizar y qué reconocimiento tiene éste en el mercado laboral local o mundial. También sería bueno saber si la persona que nos informa quedó conforme y en qué aspectos el curso fue flojo, o no se cumplió con lo prometido. 3. Comprobar la experiencia real en seguridad de quien o quienes imparten el curso o el programa de estudio que está por pagarse. No está mal pedir referencias o currículum vitae, y en lo posible conviene hacerlo de modo formal, por telé- fono o en la oficina misma. Educación formal Hoy en día, no existe una carrera de grado formal de nivel universitario (de varios años de duración) sobre seguridad informática que comprenda, en su contenido, al ethical hacking de modo práctico (hands on). Apenas hay algunos postgrados, certificaciones y tecnicaturas relacionadas. Sí hay carreras como analista de sistemas, ingeniería en sistemas, licenciatura en sistemas, doctorados, especializaciones y maestrías, que son buenos formadores de base para la materia. Allí se estudian las tecnologías comprendidas en los sistemas, protocolos, sus procedimientos, técnicas, diseño y organización. El estudio formal, de alguna manera, modelará todo lo que aprendamos de manera autodidacta, y no sólo en relación con los contenidos de las materias, sino también porque enfrentarnos a numerosos exámenes escritos y orales nos dará cierto temple ante pequeños desafíos reales, de resolución analítica. 32 Es recomendable leer libros de Auerbach, la serie Hacking Exposed, de McGraw-Hill, de Sybex, de O’Reilly, de CRC Press, de Syngress, de Actualtests, de Learnkey, todos los de temática CISSP, los 31 ejemplares de Hackxcrack y hackin9. Además, es interesante ver: www.zipsites.ru/books/edocs/edocs_list.php y www.insecuremag.com Lecturas adicionales Como si fuera poco, también se obtienen otros puntos de vista que servirán para abordar problemas, se conocen colegas que en algunos aspectos pueden ser más experimentados, se practica en laboratorios o entornos de red, se forman contactos de trabajo y estudio, se escuchan anécdotas y experiencias muy valiosas por parte de profesores o compañeros, entre otras cosas. La educación formal es muy tenida en cuenta por las consultoras de RRHH gracias al título que brinda. Muchos autodidactas han sido rechazados por no poseer título alguno, sin siquiera tener la posibilidad de demostrar sus habilidades aun siendo excelentes pentesters y analistas. En cuanto a las certificaciones de seguridad, hay más de 20, como podemos ver en http://certification.about.com/od/securitycerts/a/seccertessentls.htm. Algunas son consideradas como requisitos en determinadas organizaciones por su departamento de recursos humanos, pero como todo título, pueden no ser el verdadero reflejo de la capacidad y preparación de quien lo posee. ISC. (ISC)2 es reconocida en todo el mundo por certificar profesionales CISSP. Fundada en 1989, pasaron por sus exámenes más de 50.000 profesionales. Su dirección es www.isc2.org. En la preparación de estos exámenes, suelen aprenderse cosas interesantes o totalmente desconocidas, y es recomendable que todo aquel interesado en sumar experiencias 33 En http://community.corest.com/~gera/InsecureProgramming, podemos encontrar ejercicios de programación avanzada relacionada a fallas. Esto es útil ya que, cuanto más practiquemos (programemos), mejor serán nuestras habilidades para resolver problemas mediante programación. Ejercicios de programación en seguridad tome estos exámenes de certificación por una cuestión formal. Esto le permitirá ser un mejor candidato en las selecciones de los departamentos de recursos humanos. A continuación, podemos leer parte de las declaraciones de Iván Arce (CTO de Core Security Technologies) acerca de la formación del profesional de seguridad, y más precisamente sobre las certificaciones de seguridad. La entrevista completa se puede leer en www.acis.org.co/fileadmin/Revista_96/entrevista.pdf (Gracias Iván por autorizar su reproducción). - ¿Cómo se manejan las certificaciones, cuál es su alcance y aplicabilidad real en las empresas? Difícilmente, una certificación de seguridad es un indicativo de la capacidad, experiencia o conocimiento real de un individuo en la materia. A lo sumo, es un indicativo de la existencia de algún tipo de formación básica en el tema, siguiendo la pauta del programa particular que puede ser malo, mediocre o medianamente bueno. Un experto en seguridad informática no se forma como resultado de la acumulación de cursos y certificaciones, sino de la acumulación y la aplicación de una disciplina de trabajo y de estudio adquirida en otro contexto -escuela, universidad, trabajo, casa, etc.-, combinada con las capacidades creativas, de innovación, perseverancia y adaptación, propias de cada individuo. No obstante, eso no impide que las certificaciones se adopten y se usen como un indicador de capacidad profesional y principalmente como un mecanismo del mercado laboral y de capacitación profesional, para establecer jerarquías, niveles salariales, planes de capacitación y justificar diversos tipos de decisiones y proyectos. - Es muy importante que en el método formal de estudio no se estudie memorizando los contenidos sin llegar a comprenderlos, ya que en el momento de enfrentar la problemática, esto complicará realmente las cosas. En el trabajo, esto es importante porque no se puede estar googleando en me- 34 Consultando a profesionales en listas y dándoles detalles. Por Ej., si alguien desea dedicarse al cifrado de datos, es probable que le recomienden una licenciatura en matemáticas. A quien desea dedicarse a escribir procedimientos o normativas, le dirán que estudie Analista de sistemas de información, que posee materias como Organización y métodos. Cómo saber qué carrera elegir dio de una intrusión de terceros en algún componente del sistema de la organización o en medio de una reunión ejecutiva. En un examen, porque los profesores se darán cuenta de que se está recitando un contenido de memoria, ya que tienen experiencia en escuchar alumnos o leer sus textos año tras año, y es un grave error subestimar a un profesor de esa manera. Buscador. Universia (www.universia.com.ar) es el buscador más conocido de carreras online, a distancia o presenciales de nivel universitario o terciario en toda Latinoamérica. 35 Significa Cisco Certified Network Associated y es una certificación de Cisco relacionada a networking. Los contenidos están relacionados con los modelos OSI y TCP-IP, cableado estructurado básico, enrutamiento, configuración de routers, switching, configuración de switches, VLAN, y tecnologías WAN. Más información en www.cisco.com CCNA Trabajo & práctica Nadie nace sabiendo, la práctica hace al maestro. Anónimo Mediante práctica y trabajo se va adquiriendo experiencia real y conocimiento sobre el tema. Se logran y mejoran las metodologías propias de trabajo, se conocen nuevas fuentes, tecnologías y maneras de abordar un desafío. No se puede comparar a alguien que conoce algo por haberlo enfrentado, con alguien a quien sólo se lo han explicado o que lo leyó. Esto es así porque de la teoría a la práctica hay algo que se llama realidad, y ésta suele transformar los resultados esperados. Trabajo. El sitio www.jornadastrabajoit.com.ar se dedica a reunir jóvenes postulantes para algún trabajo o proyecto IT y ponerlos en contacto con reclutadores de las mejores firmas. 36 Para obtener más conocimientos acerca de las organizaciones, es recomendable leer el excelente libro Técnicas de organización, sistemas y métodos, de Alberto R. Lardent (old school de la organización) y Claves para el desarrollo de la empresa, de Fernando Grosso, más ligado a las e-organizaciones de hoy en día y las nuevas prácticas. Lectura recomendada Hay que tener en cuenta que no sólo por hacer un curso de hacker se es hacker, ni por rendir una certificación de seguridad o porque nos asignen un trabajo de chequeo de seguridad se es un profesional. El sacrificio de llegar a ser un profesional es realmente alto, y las consecuencias que padecen las organizaciones por no dar con uno acorde a la situación, no son tan buenas. De allí la gran importancia que tiene el reclutamiento de los profesionales por parte de la organización. ORGANIZACIONES FORMALES El hacking ético se ha convertido en una herramienta para formular un reconocimiento de las vulnerabilidades que representan una amenaza a los activos. El testeador está actuando como amenaza (hacker), en busca de las vulnerabilidades que permitirán la exposición de un activo, como ser: números de tarjeta de crédito. Al hacer eso, la prueba tiene el potencial de revelar los elementos fundamentales necesarios para crear una medida comprensiva y así emplear seguridad a través de una organización. James S. Tiller Las llamadas organizaciones formales, tal como nos enseñan en la teoría académica de cualquier carrera orientada a sistemas, son aquellas empresas que persiguen un objetivo a través de procesos administrativos, gestión de información y producción de elementos o servicios para colocar en un mercado sobre determinado contexto, siempre de modo legal y coordinado. El común de la gente suele llamarlas grandes empresas, corporaciones o instituciones, y en este apartado enunciaremos algunos de sus aspectos principales para dar una noción muy básica de ellas, siempre que tengan una relación o interacción con el uso de ethical hacking, ya que éste es empleado en organizaciones formales. Estas organizaciones poseen, entre otras cosas: 37 En las siguientes direcciones: www.universobit.com, trabajoensistemas.com.ar, empleos.clarin.com, bumeran.com.ar, www.zonajobs.com.ar, www.computrabajo.com .ar, issaarba.blogspot.com (ver listado de consultoras) y www.tecnoempleo.com Postularse para entrevistas de trabajo • Diferentes áreas: operativas, administrativas/ejecutivas y gerenciales. • Un flujo de datos e información vital y, por tanto, también un almacenamiento de éstos y un procesamiento. • Recursos humanos, técnicos y lógicos. • Responsables. • Procesos. • Estructuras jerárquicas sujetas a sectores y dependencias (mirándolo en un organigrama, desde arriba hacia abajo irán órdenes, y de abajo hacia arriba irá información de resultados). Jerarquias. Organigrama de ejemplo. Estos definen la estructura organizativa y están tipificados bajo una norma IRAM. Puede hacerse por procesos, departamentos o sectores, jerarquías y productos. Estas organizaciones, dentro de lo que es su sistema (llamado vulgarmente escenario) e integridad física total, poseen elementos vitales llamados activos, como lo es la información sensible o crítica. Los activos son muy variados y deben clasificarse tanto en tipo o número como en importancia (criticidad), aunque sólo haremos foco en el más importante. Para eso, primero debemos comprender que no es lo mismo hablar de datos que de información, ya que ésta última tiene una importancia significativa para la empresa. Por ejemplo, como información sensible o crítica podemos mencionar: • El listado de clientes con todos sus datos. 38 • Listado de proveedores, compradores, socios. • Claves o contraseñas. • Ubicación de puntos de acceso privados. • Planos. • Información crítica o confidencial de tratados, negociados, reuniones, pautas, pactos. • Combinaciones de cajas fuertes. • Agendas, rutinas de horario, procesos. • Inventarios, planillas de venta, compra y stocks. • Listado de identidades de agentes. • Información: personal, catálogos de productos futuros, costos, estadísticas, sondeos de mercado, balances privados, resultados, diseños, resultados de análisis, estrategias, participaciones, acciones, materiales, fórmulas de productos, ecuaciones, grabaciones digitales, tesis, fotos y films privados, investigaciones, nóminas de pago, entre otras tantas cosas importantes. Podemos imaginar muchas situaciones que pueden atentar contra estos activos de la empresa. Por ejemplo, que un intruso o malware tenga acceso a ellos, que los alteren o los borren para siempre o que los entreguen a la competencia o al mejor postor. También existe una enorme cantidad de amenazas naturales, técnicas y humanas (como un empleado desleal que la roba o copia, por ejemplo) que podrían atentar contra ellos. Lógicamente, en estos tiempos de alta competitividad, el impacto negativo sería muy grande. De todas maneras, debemos recordar que la información crítica es tan solo uno de los activos que hay que proteger, de los tantos presentes en una organización. Actualmente, las organizaciones necesitan seguridad a través de la incrementación de la calidad en sus procesos y el resguardo de sus componentes (activos), a través de estándares, normas, políticas, controles, seguimiento y la mejora continua de éstos. Para ello se practican auditorias de seguridad IT, relevamientos exhaustivos, y revisiones de los procesos, funciones y tareas relacionadas con las buenas prácticas en seguridad. Todo ello hace a la gestión de la seguridad de la información, como veremos en el capítulo 9, que explica en un punto el tema normativas. No hay que confundir la gestión de la seguridad de la información con la segu- 39 Si queremos obtener más información sobre políticas y estudiar profundamente sobre ellas, podemos visitar los siguientes sitios: www.segu-info.com.ar/politicas (hay que registrarse en la lista Segu-info) y www.segu-info.com.ar/articulos/59-escribiendo-politicas-seguridad.htm Material acerca de políticas ridad informática en el aspecto técnico. Una cosa es reforzar técnicamente la seguridad de un servidor mediante hardening, y otra es, por ejemplo, redactar una política de uso de Internet de modo seguro y responsable por parte de los empleados. A continuación, veremos algunos de los descuidos típicos con los que una organización formal cuenta: • La OF ha crecido de modo desordenado y, por si fuera poco, está en extremo informatizada, sin seguridad mínima o normativa de organización alguna. Es el tí- pico caso de incontables empresas familiares que, por diversos factores políticoeconómicos, crecen hasta ser grandes exportadores o importadores, o bien industriales manufactureros, y agrandan su sistema informático al ritmo de su personal sin lógica alguna, sustentando la seguridad con sólo actualizar el sistema operativo de sus terminales y utilizando algún que otro antivirus, desactualizado. Muchas de estas empresas saben que tienen que implementar seguridad informática y de la información, pero no saben cómo abordarlo. • La OF está acostumbrada a la reacción y no a la proacción (actuar de modo anticipado). Aguarda a que suceda algún incidente para hacer algo, antes de implementar algo de modo seguro y sin haber comprometido nada por omisión, desinterés o descuido. Muchas de estas empresas simplemente no se interesan en la inversión previa en cuestiones de seguridad, a menos que se hayan dado cuenta de algún incidente de ese tipo, cuando ya es demasiado tarde. No son conscientes de los beneficios que tiene para la organización el penetration testing o chequeo de seguridad (descubrir las vulnerabilidades del sistema antes de que éstas sean encontradas y explotadas por un tercero no autorizado u otra amenaza). • La OF contrata personal de seguridad con un perfil inadecuado a su escenario y contexto. (más detalles sobre este punto en el Cap9) • La dependencia de su departamento de seguridad hace ineficaces sus políticas. No logran la interrelación de sus sectores y no alcanzan el compromiso de la gerencia para que la totalidad del plantel acate las políticas, dando lugar a diferentes tipos de problemas. Uno de los interrogantes más comunes en estos casos es de quién debe depender el departamento Seguridad de la información. • La OF no sabe abordar la redacción de las políticas de seguridad (o del análisis de riesgo) o su implementación. A veces se solapan con políticas de organización, con incidencia en la dinámica de la información intersectorial y comunicaciones. Debemos recordar que la información significativa y a tiempo es vital para la toma de decisiones en lo gerencial, y a la vez decisiva para lograr los objetivos de la organización. El ethical hacking aporta el mecanismo para lograr canales (y repositorios) más seguros para esa información y otros activos. 40 NETWORK SECURITY ASSESSMENT Adéntrate en la nada, acomete contra el vacío, rodea lo que defiende, asáltalo donde no te espere. Sun Tzu (The Art of war) En las páginas anteriores definimos los puntos más interesantes: • El intruso como amenaza. • La organización formal (OF) como sistema o escenario en riesgo. • La gestión y el método organizativo como optimizadores de la OF. • El activo como valor preciado de la OF. • El hacking ético como herramienta o mecanismo. • El profesional de seguridad como ejecutor del testeo. • Las técnicas como parte del network security assessment. El mayor contenido del libro se basa en este último punto, pero no podíamos llegar a él y ver sólo técnicas detalladas de testeo sin antes conocer de qué se trata el resto, ya que importante saber dónde encaja cada uno de estos componentes. La red está llena de script kiddies (algunos de ellos si dejan de perder tiempo y estudian, podrían ser el día de mañana profesionales), y como no saben por dónde empezar, lo primero que utilizan es lo que tienen a mano: una herramienta o la descripción detallada de una simple técnica de intrusión que leyeron en algún correo o foro. Aclaremos que un script kiddie es aquella persona que, sin conocimiento alguno de protocolos, sistemas operativos, ni seguridad de la información, se vale de una herramienta o técnica ajenas para cometer intrusiones en Internet u otras redes, o al menos intentarlo. Lógicamente, puede tener las más diversas intenciones. Por otro lado, netw ork sec u rity as sess ment, es uno de los nombres que suele tener el penetration testing o chequeo de penetración, también conocido como testeo de vulnerabilidades, prueba de penetración o hacking ético, como suele llamárselo por estos días. El beneficio de éste para la organización es que ella se conozca a sí misma en cuestiones de vulnerabilidades y potenciales brechas de seguridad en el sistema de información, emulando en ataques tanto a script kiddies como tambien, a hábiles intrusos. Este chequeo de seguridad puede ser externo si es desde Internet hacia un sitio web de e-commerce o hacia terminales de una red corporativa o componentes de ésta; o interno si es desde de una misma red, emulando un empleado o bien un intruso que ha logrado ingresar desde el exterior a la red interna de la organización. Es siempre de carácter técnico, al contrario de una auditoria de seguridad IT en la que se comprueban 41 o pasan a revisión las políticas y los procedimientos. También puede denominárselo como: • White Box Test: es un chequeo llevado a cabo por un pentester que tiene toda la información acerca del sistema. • Black Box Test: este chequeo es llevado a cabo desde cero, sin información, tal como lo haría un intruso cualquiera y lleva mucho más tiempo. • Grey Box Test: se cuenta con conocimientos parciales del objetivo, siempre brindados por la misma organización. Generalmente, las organizaciones se alinean bajo alguna metodología para realizar el testeo, aunque otras más versátiles optan por hacerlo de modo más artesanal, lo cual no significa gran diferencia siempre y cuando el profesional sepa dirigir el assessment (ataque) adecuadamente y no deje objetivos, detalles o tramos olvidados. Materia. En el programa de 5º año de Ingeniería en Sistemas, la Universidad Abierta Interamericana (www.vaneduc.edu.ar/uai/) posee la materia Seguridad Informática. Comprende: cifrados, seguridad de la información (análisis de riesgo, contingencia, auditorias), detección de intrusos, seguridad en red, filtrado de paquetes y firewalls, hacking y administración segura de plataformas y aplicaciones (hardening). Para evitar circunstancias indeseadas, existe la planificación previa, que sirve para determinar el alcance que tendrá, los límites, los objetivos y la buena utilización de recursos. En muchos casos, se discute quién debería llevarlo a cabo, si personal propio de la organización o terceros contratados. Para tomar esta decisión, entra en juego la ética de los integrantes del departamento de sistemas y el de seguridad informática, dado que tienen que reportar fallas o implementaciones deficientes, quizá llevadas a cabo por colegas de la misma oficina. Hay que prestar suma atención a los conflictos de intereses que pueden crearse en empleados, administradores y analistas de una misma empresa en una búsqueda de estas características. 42 Al ser analista externo, generar un reporte de seguridad detallado es una incógnita para los empleados de seguridad o sistemas de la organización que nos ha contratado, hasta que se entrega. La ética difícilmente pueda ser menoscabada, aunque los recursos utilizados (tiempo, herramientas, dinero y recursos humanos) suelen ser mayores. Al ser analista interno, se facilita la tarea porque se conoce mejor y de modo real el sistema de información, y por tanto disminuyen los recursos utilizados y se complica en otros aspectos. En algunas organizaciones es muy común que, al encontrar algo, se avise al colega administrador o analista para que lo solucione y así no figure en el reporte. Si bien eso sería mitigar rápido el problema, es una falta de ética profesional y un ejemplo de innumerables vicios relacionados. Lo más recomendable es que se implemente todo de manera correcta y, en lo posible, que se desarrolle el sistema desde cero. Luego de realizar relevamientos exhaustivos, conviene que se planifique y se definan los procesos adecuadamente (hasta la dependencia más primitiva), ya que en el transcurrir del tiempo deberán ser siempre depurados. También hay que tener en cuenta la escalabilidad a futuro y un plan de contingencia para asegurar la continuidad del negocio y el procesamiento de datos. La idea es llegar a un nivel de organización y de seguridad maduro que sea auditado y chequeado por analistas externos junto a analistas de organización y métodos. Crear un comité para debatir los resultados e implementaciones, y mitigar las falencias encontradas de modo serio. Controlar y auditar para mejorar, reclutar verdaderos talentos y formarlos más aun en la empresa. Todo esto es valor agregado en la búsqueda del objetivo por parte de la organización, por tal motivo, hay que tratar de cumplir muy bien nuestro rol si vamos a dedicarnos de lleno al tema. Sitios de Educación. www.sistemas.frba.utn.edu.ar www.caece.edu.ar/Grado/Ing_Sistemas.asp www.isec-global.com www.rsa.com/training/pdfs/EDCRS_GD_1004.pdf www.checkpoint.com/services/education/certification www.cisco.com/web/learning www.comptia.org www.itmaster.com.ar www.itcollege.com.ar 43 www.centraltech.com.ar www.cybsec.com/ES/servicios/capacitacion.php www.bs.com.ar www.proydesa.org Noticias www.derkeiler.com www.net-security.org www.seclists.org www.securitytracker.com/signup/signup_now.html www.microsoft.com/technet/security/ www.kernel.org/pub/linux/docs/lkml/ http://lists.grok.org.uk/pipermail/full-disclosure www.hispasec.com www.securiteam.com/mailinglist.html www.whitehatsec.com www.segu-info.com.ar Es un sitio dedicado a la seguridad de la información con una gran comunidad. Cuenta con varios mailing lists, y los temas centrales de éstos son la seguridad de la información, la seguridad informática y las leyes relacionadas con la seguridad de la información. Se llevan a cabo tanto discusiones entre profesionales como concientización sobre seguridad a gente que utiliza recursos tecnológicos e Internet. 44 2 > Recabar información Técnicas usuales que se utilizan para la recolección de datos antes de la emulación de un ataque. Asimismo, veremos la preparación de los medios, la enumeración y la clasificación de los datos obtenidos para la definición o la planificación del asalto al objetivo. Todo esto mostrado tanto desde el punto de vista de un profesional ético, como en el de un intruso, para hacer notorias las diferencias. INFORMATION GATHERING Se denomina information gathering a la instancia previa al intento de ejecutar una intrusión informática a un sistema por parte de alguien no autorizado. También es empleada (generalmente en organizaciones) por los profesionales éticos en caso de asestar una comprobación de seguridad. Information gathering implica llevar a cabo la tarea previa y minuciosa de inteligencia (similar a un reconocimiento del terreno), más precisamente a la rec o lec ción de dat os acerc a del obj e ti vo o de al gún com - po nen te re la cion ad o a es te o a part e de él. Esta fase se compone, fundamentalmente, de investigación y análisis de datos recabados. El sistema de información cuenta con incontables piezas y, por lo tanto, el factor permeable (brecha o agujero de seguridad) inicial de éste podría encontrarse en cualquiera de los niveles, comprendidos entre una falla humana, una de infraestructura (técnica), lógica y hasta externa por los agentes involucrados (por ejemplo, un proveedor de Internet o hosting inseguro o una sucursal con su red desprotegida) o distintos ambientes interconectados. Los datos que buscan los intrusos antes de atacar pueden estar relacionados con algún empleado, ya sea ejecutivo u operario, con algún sistema o tramo de él o con algún procedimiento u operación que nos permita intervenir en él. También puede ser una dirección IP, un sitio, una red, una aplicación, un servicio (puerto abierto de autentificación o no), un protocolo, un determinado descuido de programación o de administración, un directorio, un documento, una plataforma o bien cualquier dato de ubicación física o denominación de algún sector de la misma organización. Por supuesto, si puede directamente conseguir logins, lo intentará. No interesa si el dato es muy importante o casi insignificante. Todo es útil a la hora de la escalada en el sistema y la previa planificación de este embate (chequeo o simulación de ataque). Algunas de las preguntas útiles antes de proceder serían: • ¿Qué sabemos de nuestro objetivo? • ¿Dónde están sus redes, sitios o por dónde fluye su información? • ¿Qué partes lo conforman? 46 Plataforma, arquitectura y sistema operativo no son lo mismo. La arquitectura es interna del hardware y a quien va dirigido un sistema operativo. Veamos algunos ejemplos, con la arquitectura entre paréntesis: Digital UNIX (alpha), FreeBSD (i386), Linux (i386, m68k, alpha, powerpc, mips, arm), SCO (i386), Solaris (sparc, sparc64, i386, m68k), Windows (i386, amd64). Plataforma, arquitectura y sistema operativo • ¿Qué sistemas poseen y como están formados? • ¿Cómo se llaman los integrantes de la organización? • ¿Quiénes son sus empleados y qué hacen? ¿Cómo y dónde? • ¿Qué información sobre ellos se puede consultar o conseguir en Internet? Un viaje de 1000 leguas comienza con el primer paso, decían los chinos. Así, por ejemplo, saber con qué plataformas vamos a tener que lidiar o conocer algunos usuarios del sistema, es un buen comienzo. Online. En este sitio www.learnsecurityonline.com podemos encontrar cursos gratuitos para aprender sobre seguridad, foros para consultar a colegas, videos sobre técnicas de intrusión y desafíos. Comúnmente, se denomina foot print ing (siguiendo la huella de pisadas) a esta recolección de información previa. De todos modos, cada atacante o consultor tiene sus propios métodos y recursos durante esta búsqueda. Mientras más minuciosa e ingeniosa sea, más posibilidades tendrá de dar con un descuido, un objetivo o por lo menos, una pista para comenzar con otra etapa del embate. Por ejemplo, un atacante real que posee en su haber algunas o la mayoría de las bases de datos de ISP (proveedores de Internet) del país, o tiene acceso a ellas, cuenta con una clara ventaja sobre el resto ya que, en éstas, posiblemente habrá mucha información útil relacionada con personas de la organización que pueden tener algún dato importante, como passwords, o permiten conseguirlo. Estos datos pueden servir para comprometer el sistema o parte de 47 él. La ventaja del intruso en esta fase del ataque, si se lo compara con el hacker ético o profesional, es mayor, dado que puede utilizar recursos no éticos para la extracción o recolección de información pasiva (o no) del objetivo. El conocimiento de estas ventajas por parte del profesional, y saber cómo lidiar con ellas, hará que el sistema que se quiere proteger tenga la normativa adecuada y controlada, luego de un exhaustivo chequeo. Consultas a bases de datos La recolección de datos previos al ataque generalmente comienza en algún tipo de base de datos y otros recursos que se dispongan. Cuando son hechas por un intruso, estas recolecciones a veces no son legales. Un ejemplo de consulta a base de datos ilegal sería el caso antes mencionado: el intruso que tenga en su poder una base de datos de algún ISP en el que figuran, por casualidad, los datos personales de algunos integrantes de la organización que atacará. Éste, luego de cotejar las coincidencias de personas (existencia tanto en la base de datos como en la organización), tomará los datos personales de ellos y, acto seguido, tratará de emplear como passwords sus fechas de nacimiento, sus números de documento, sus oficios y los mismos passwords allí utilizados, pero esta vez en las cuentas de correo de la organización u otro servicio que requiera autentificación (como ssh, ftp, rlogin o telnet, por ejemplo). Entre otras técnicas (como por ejemplo la de ingeniería social que veremos más adelante), también basado en esos datos, tratará de descifrar la entropía y composición de sus passwords. Veamos algunos ejemplos. Si en su cuenta personal la víctima tiene una pregunta secreta relacionada con un libro (supongamos El principito) o encuentra en un foro que a esa persona le interesa ese libro, el intruso probará claves como las siguientes: elprincipito, zorro, invisiblealosojos, víbora, antoine, exupery, baobab, asteroide3251, b612, rosa, etcétera. En otros casos, si el usuario años atrás utilizaba en sus cuentas de ISP claves como maradona10, el intruso también probará con maradona, d1o5, dios, capitan, manodedios, diegoarmando, lapelotanosemancha, dieguito, 10ma- 48 El profesional puede mitigar problemas redactando, por ejemplo, una política interna que dicte a sus empleados: no utilizar passwords relacionados con uno mismo ni utilizar esas claves en otros ambientes personales. Otra forma sería asignar un determinado password, eliminando así la posibilidad de libre y mala elección del empleado. Paliativos radona, pelusa, etcétera, tratando de dar con alguna forma actual o evolucionada de la clave, ya que es muy probable que el usuario hoy en día también las utilice, o bien, que las haya heredado y las use en otras aplicaciones de logueo (autentificación-acceso). Incluso los datos personales (como nombre y apellido) servirán para deducir los usuarios de login y no solo la clave. El típico ejemplo es el UserID (el usuario que antecede al signo @) de las actuales cuentas de e-mail corporativas e institucionales, formadas por la primera letra del primer nombre, seguido del apellido. Por ejemplo, ctori@dominiovictima.com. Información como ésta le servirá al intruso para sacar más información aún, quizá desde otros lugares. Esta persona, además, buscará en bases ilegales, como la de tarjetas de crédito, entidades de aportes jubilatorios, padrones de todo tipo (disponibles hasta en redes P2P), entidades privadas o bajadas de servidores de organizaciones que fueron previamente atacadas y comprometidas. Para el intruso, una fuente de passwords o datos sensibles de ese estilo es de relevancia atemporal. Esto significa que no importa si la base de datos que tiene en su poder es vieja, ya que podrá usarse en un futuro como dato significante o como pista para conseguir el dato necesario actual. Es común además que éste, más allá del análisis íntegro del sitio institucional del objetivo, busque también información de algún componente de la organización en portales o sitios relacionados con postulaciones laborales (miles de currículum ví- tae), información de riesgo crediticio, reimpresión de patentes de automóviles, padrones de votación, foros, blogs y comunidades online de todo tipo, juicios o portales de leyes, eventos, registros de dominios, portales de educación, guías empresariales, telefónicas, profesionales e industriales, búsqueda de colegas, redes sociales tipo Lynkedin, Facebook, Sonico, Econozco o Myspace, avisos clasificados de todo tipo, policía y agencias de seguridad online. Como vemos, la lista es muy extensa. Seguramente, el intruso tratará de comprometer cualquiera de estos lugares para extraer la información en caso de que ésta no sea pública o de que haya que pagar para consultarla. Si los sistemas de esos lugares son bastante seguros, entonces intentará comprometer un usuario legítimo, quizás hasta volverse uno para hacer la consulta (por ejemplo, en los sistemas de consulta de riesgo crediticio y otros que son abonados mediante tarjeta de crédito online, es posible que el intruso compre esos 49 Rooteado, es slang o lunfardo y significa que el intruso ha escalado privilegios (mayores permisos en el servidor) en un sistema Linux/Unix hasta llegar a ser un usuario con permisos de root (cuenta de máximo privilegio). Esto le da la posibilidad de realizar cuanto desee dentro del sistema, siempre y cuando sepa cómo. Rooteado datos a nombre de otro, con una tarjeta ajena). Por último, tratará de obtener la información de alguien que esté dentro de esa organización u empresa, ya sea por amistad, conveniencia, intercambio o engaño. Como vemos, no hay límites. Todo vale para los intrusos en la red, ya sea un chico que quiere deformar una página, alguien que rootea un servidor desde el kernel o bien un intruso dedicado a hacer espionaje corporativo. Sea por el motivo que sea, ego, curiosidad, desafío intelectual o dinero, algunos actos estarán descartados por la ética de cada persona, como el uso de tarjetas o el da- ño a sistemas ajenos, pero no escatimarán recursos de tiempo y lógica para lograrlos. Base. Las agencias de seguridad tienen portales de búsqueda de datos, y algunos de estos organismos no poseen el acceso tan público. Intranets y extranets, o todo aquel espacio para la consulta de datos sea o no privado, son muy tentadores para los intrusos. Consulta URL Historial laboral www.anses.gov.ar/autopista/Serv_publicos/historia.htm Deudas, créditos www.bcra.gov.ar/cenries/cr010000.asp?error=0 y tarjetas Ingresos declarados a la AFIP https://seti.afip.gov.ar/padron-puc-constancia-internet/ConsultaConstanciaAction.do Obra social que posee www.anses.gov.ar/autopista/Serv_publicos/ooss.htm Infracciones de tránsito www.buenosaires.gov.ar/areas/seguridad_justicia/justicia_tra bajo/adm_falta/?menu_id=5743 Foto de la fachada www.mapa.buenosaires.gov.ar/sig/index.phtml de su casa Bases Online. En algunas bases de datos públicas, se puede encontrar información acerca de alguien con sólo tener el número de documento, que se consigue fácilmente en el padrón nacional. 50 Una recolección (mucho menos pasiva) de información ligada a bases de datos por parte de los intrusos es aquella que resulta intrusiva. Veamos cómo pueden lograr esto: el intruso programa o utiliza un massrooter (mezcla de escáner con exploit remoto 0day que permite meterse dentro de los servidores o extraer datos secuencialmente a muy alta velocidad), barriendo los rangos de direcciones IP. Estos datos son acumulados (coleccionados) para utilizar en un futuro o bien aprovechando la intrusión. Sea de paso, tambien pueden instalar algunas de las siguientes cosas: • Backdoors on-the-fly: Los backdoors son puertas traseras para volver a ingresar cuando así lo deseen, sin despertar sospechas (en el caso de los on-the-fly), ya que no dejan un puerto abierto o algo remotamente detectable como para saber que existe. Más información acerca de esta avanzada técnica, en www.hackerz.ir/ e-books/init_rpi.txt (detalla cómo patchear el kernel OTF). • Binarios troyanizados: El intruso con conocimientos suficientes suele reemplazar a mano algunos archivos binarios de sistema (por ejemplo ps, lsof o ls en Linux) para ocultar procesos o archivos dentro del sistema operativo. Cuando utilice éstos, el administrador del sistema no se dará cuenta tan fácilmente de que hay procesos y archivos nuevos en su servidor. • Rootkits: Éste es un kit o una serie de aplicaciones que se utiliza para mantener los privilegios de root dentro del servidor, que no se instala en forma tan artesanal y sirve para mantener procesos ocultos y, tal vez, una puerta de entrada. Los hay para todos los sistemas operativos. • Sniffers: Se trata de capturadores de logins o de cualquier clase de paquete. En el capítulo 8 hay ejemplos de cada uno. Los archivos más recolectados por esta técnica intrusiva son los shadows de los servidores Linux y Solaris, los SAM de los servidores Windows de la familia Server o terminales XP (ambos poseen las cuentas de sistema y sus passwords de modo cifrado). También se pueden comprometer directamente mediante descuidos de administración y no por fallas en software, como por ejemplo, la famosa cuenta SQL de nombre sa, sin clave asignada. 51 Un script-kiddie no sólo barre (escanea buscando o ejecuta exploits al azar) los rangos de direcciones IP. Éstos, extraerán información de carpetas compartidas o intranets/extranets sin restricción de acceso o con fallas de inyección de código SQL, muy fáciles de detectar y de utilizar para comprometer servidores de empresas u otras organizaciones. Script kiddie Así, quizás, el administrador tuvo desactualizado un día de fin de semana su servidor, pero éste ya fue comprometido casi sin rastros. En el futuro, si ese servidor pertenece a una organización a la que debe comprometer, el intruso sólo deberá buscar uno de esos archivos extraídos previamente, romper el cifrado de la cuenta de sistema (y ver el resto de sus datos si los tiene) para así ahorrarse mucho tiempo. Es muy probable que un login/pass sea coincidente en un servidor de otro tramo de red en la empresa o que, al menos, sirvan sus usuarios de sistema. Muchas empresas nunca saben cómo fueron comprometidas supuestamente hoy, pero el caso es que lo fueron inicialmente hace mucho tiempo (por ésta o por otras técnicas más avanzadas). Buscadores Los buscadores son una increíble fuente de clasificación, análisis, búsqueda y caché de información, confidencial o no, sobre un objetivo. Altavista fue el buscador preferido en los años 90, Yahoo lo fue más cerca del año 2000 y hoy lo es el excelente Google. Seguramente habremos escuchado hablar de Google hacking, es decir, utilizar el famoso buscador para encontrar datos relevantes del objetivo. Google. Detalles de una búsqueda en Google relacionada con archivos que contienen passwords en tablas SQL. Entonces, veamos ahora una lista bastante completa de búsquedas determinadas que se pueden hacer para encontrar información ligada a intrusiones: archivos con información sensible, configuraciones, bases de datos, detalles de vulnerabilidades, 52 avisos, usuarios, entradas de logueo, logins, directorios privados, errores típicos de un sistema operativo o aplicación en especial, etcétera. Por su parte, el proyecto Google Hack Honeypot (http://ghh.sourceforge.net) merece especial atención. GHH. Google Hack Honeypot es un proyecto para estudiar y analizar a script-kiddies que utilizan Google para buscar determinados parámetros (de organizaciones al azar) en el buscador. Se denomina Honeypot al sistema (tipo carnada) cuya intención es atraer a intrusos simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática usada para recoger información sobre los atacantes y sus técnicas. Los Honeypots pueden distraer a los atacantes y advertir al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, 53 No es posible dejar de recomendar el excelente libro Google Hacking for Penetration Testers, Volume 2, de Johnny Long. En esta obra, podemos encontrar todos los métodos y combinaciones de búsqueda posibles. Por otra parte, en http://johnny.ihackstuff- .com/ghdb.php, se puede encontrar la conocida Google Hacking Database. Lectura recomendada durante y después del ataque. La gente de Google no es tonta y lo más probable es que cuando un atacante, buscando objetivos al azar, coloque algunos de los métodos descritos en la GHDB (Google Hack Database) sea redireccionado hacia alguna honeypot o a una mayoría de links con resultados 404 y a más honeypots. Esto permite controlar los ataques indiscriminados de script-kiddies, pero no así el ataque a organizaciones de modo focalizado. La típica búsqueda inicial de un objetivo determinado será entonces: site:sitiovictima.com. A sitiovictima.com, lo antecede el operador avanzado site:, que dará como resultado una lista de subdominios relacionados o todas sus posibles secciones, incluso, links. A partir de allí, el intruso o el profesional comenzarán a investigar todos sus URLs, caché, sus fuentes, sus datos, aplicaciones y tecnologías. También como en la búsqueda de un e-mail, es recomendable utilizar la siguiente sintaxis: • @dominiovictima.com: sólo el dominio para ver más usuarios. • usuario@dominiovictima.com: e-mail completo. • usuario dominiovictima.com: con un espacio en blanco en el medio. • usuario: el usuario solo. • usuario dominiodealgunisp: para encontrar otras posibles casillas. La búsqueda debe pasar más por la lógica e inventiva nuestra (a mano, claro) que por los recursos automatizados con los que contemos para todo lo que comprende el chequeo. ¿Por qué? Porque tendremos infinitas posibilidades de combinación en comparación con las que tendríamos si pusiéramos una herramienta que lo hiciera por nosotros. Por otro lado, lograremos entender bien cómo se hace una investigación meticulosa vía buscador. Quizás al principio lleve más tiempo, pero a medida que éste pasa y se tiene mayor experiencia, los detalles y datos significativos serán más y mejor logrados. A continuación, vemos un listado de operadores avanzados de Google: • site: busca todo lo relacionado al dominio. • intitle: sitios relacionados al título. • allintitle: sitios de títulos con todas las palabras definidas. 54 Nunca conviene postear (publicar) direcciones de e-mail, menos la de nuestra empresa. Conviene usar una de Hotmail o Gmail. Además, no es recomendable usar nombres reales, cargos o detalles, sino sólo nicknames aleatorios. Si posteamos desde nuestra empresa, recordemos usar un proxy http para no dejar la dirección IP real allí. Cuidado con los posts • inurl: presente en el URL. • allinurl: todo presente en el URL. • filetype: tipo de archivo por buscar, extensión. • allintext: todo presente en el texto por buscar. • link: quién linkea a determinado sitio buscado. • inanchor: busca en el texto utilizado como link. • daterange: busca entre rangos de fechas. • cache: busca dentro de los sitios cacheados. • info: información sobre el sitio web buscado. • related: busca similares. • author: autor de mensaje en Google Groups. • group: busca pertenencia de grupo en Google Groups. • phonebook: busca números de teléfono. • insubject: busca titulares de mensajes en Google Groups. • define: busca el significado de determinado vocablo. El uso del símbolo menos (-) para la exclusión de palabras es muy útil a la hora de buscar entre mucho material; lo mismo pasa con las comillas (“ ”) en caso de buscar una frase textual o el símbolo (+) para relacionar. Goolag. Esta es la pantalla de la herramienta Goolag Scanner para Google, 55 La búsqueda avanzada de Google en español está en www.google.com/advanced- _search?hl=es. Operadores y cómo usar los servicios de búsqueda de Google: www.google.com/intl/es/features.html, www.google.com/ intl/es/help/basics.html y www.google- .com/intl/es/help/refinesearch.html. Búsqueda avanzada y operadores realizada por cDc (cult of the dead cow). Podemos bajarla de www.goolag.org. Para evitar problemas, en nuestros sitios web conviene utilizar un filtrador de robots de indexación, si no deseamos que Google u otro buscador cacheen el sitio o parte de ellos. Incluso, es recomendable bloquear spiders en busca de e-mails para evitar spam. Para crear archivos especiales, podemos visitar www.invision-graphics- . com/robotstxt_generator.html. Es importante tener en cuenta que, si en el archivo robots.txt declaramos directorios privados o sensibles, un intruso podrá leerlo. Hay que saber que el buscador no indexa todo el contenido del sitio y que el webmaster o administrador puede tomar recaudos para que el spider indexador no cachee algunos paths (directorios o carpetas) del mismo sitio. De esta manera, esos paths deberán ser buscados luego sin el uso del buscador. Paths. Podemos ver el robots.txt en un sitio del gobierno, indexado por Google, que lista directorios importantes. Esto es un descuido de administración, y su existencia es una de las primeras cosas que un intruso va a buscar en un sitio. Algunas herramientas automatizan la búsqueda a través de Google, como QGoogle, GoogleScan, Google Enum o SiteDigger de Foundstone. Incontables scripts en Perl y otras herramientas podrán ser encontradas en Securityfocus o Packetstorm para buscar en Google usuarios de sistema e información relacionada al footprinting (Backtrack 2.0 tiene en su colección varias de éstas). Pero la búsqueda y el análisis manual es lo más recomendable para hacerlo de modo profesional dirigido a un objetivo en concreto. Siempre hay que revisar las caché de páginas en el resultado de las búsquedas porque quizás algún dato histó- 56 rico, no existente a la fecha, sea de utilidad para un embate. Al final del capítulo, veremos cómo clasificar esta información encontrada mediante los buscadores y analizaremos de qué forma nos puede ser útil. Otros recursos online Hay otras bases de datos públicas y herramientas que brindarán datos en tiempo real en Internet. Entre estos últimos, los sitios más conocidos en el pasado fueron www.samspade.org y www.netcraft.com, que permitían saber el sistema operativo de los servidores, sus rangos de direcciones, qué sistema tenía históricamente, su uptime, IP, los nombres de administradores, teléfonos y direcciones físicas, entre otras cosas. Como ejemplo, veamos qué datos podemos obtener en el sitio www.all-nettools.com/toolbox, que tiene muchas herramientas. Antes de utilizarlas, conviene leer atentamente el mensaje de advertencia (WARNING) del sitio, ubicado al pie de la página. • SmartWhois: encuentra información acerca de una dirección IP, hostname, incluyendo país, provincia, ciudad, nombre del proveedor de Internet, su administrador. • CountryWhois: devuelve el país de donde proviene una dirección IP. • TraceRoute: devuelve la máquina y la IP de cada salto que da un paquete desde la máquina original hasta la de destino por Internet. Además, también informa el tiempo en milisegundos que tarda éste. • Ping: envía un echo request a una máquina especifica en la red. Esto puede ser utilizado para chequear la comunicación entre dos máquinas o para ver si el host específico está corriendo o existe. • NsLookup: resuelve un hostname a dirección IP o viceversa. • Proxy Test: chequea si un Proxy es realmente anónimo. Este trata de reconocer la verdadera dirección IP incluso si ésta se encuentra detrás de un Proxy httpd. • Environmental Variables Test: muestra varias configuraciones remotas del browser y de nuestra máquina

...