Vamos a ver tcnicas que permiten robar claves de acceso de forma remota.

Ya adelantbamos en
nmeros anteriores que, si no se toman las medidas oportunas, a travs de la Red viajan
innumerables contraseas en texto plano y sin encriptar o, dico de otra forma, listas para utili!ar.
SNIFFING
"uien aya le#do un comic al$una ve! abr observado que, cuando se quiere representar a
al$uno de los personajes llorando o sollo!ando, se utili!a la palabra in$lesa snif. %urante mucos
aos pens que esa palabra si$nifcaba llorar pero al cabo de un tiempo me enter de que su
verdadero si$nificado era al$o as# como sorber.
&n sniffer es un pro$rama que sorbe datos de la red. 'odo lo que pasa por delante de sus narices
lo absorbe y lo almacena para su anlisis posterior. %e esta forma, sin poseer acceso a nin$n
sistema de la red, se puede obtener informaci(n, claves de acceso o incluso mensajes de correo
electr(nico en el que se env#an estas claves.
)a forma ms abitual de sniffin$, probablemente porque est al alcance de cualquiera, es la que
podr#amos llamar sniffin$ por soft*are, utili!ando un pro$rama que captura la informaci(n de la red.
'ambin es posible acer lo que podr#amos llamar sniffin$ ard*are, que pasar#a por pincar en un
cable de red un dispositivo que permita capturar el trfico.
+on relaci(n a este ltimo tipo, la expresi(n ,pincar el cable de red, es una expresi(n $eneral que
incluye el propio eco de conectar un dispositivo a un cable de la red pero tambin incluye, por
ejemplo, un receptor de radio que se sita en medio de un radioenlace. +omo os podis ima$inar,
este tipo de tcnicas requiere de unos conocimientos de electr(nica adicionales muy importantes.
-n este art#culo vamos a tratar lo que emos llamado sniffers soft*are, ya que existe una $ran
cantidad de ellos y el lector podr probarlos, detectarlos y eliminarlos en su propia casa sin
necesidad de molestar a nadie.
IDEA GENERAL
+omo acabamos de decir, un sniffer captura todos los paquetes que pasan por delante de la
mquina en la que est instalado. -sto quiere decir que un sniffer no es un objeto m$ico que una
ve! lan!ado puede ver todo lo que sucede en la red. %ico de otra forma, un usuario que se
conecte a .nternet v#a m(dem e instale un sniffer en su mquina s(lo podr capturar los paquetes
de informaci(n que sal$an o lle$uen a su mquina.
-l entorno en el que suele ser ms efectivo este tipo de pro$ramas es en una Red de /rea )ocal
0)123, montada con la topolo$#a tipo bus. -n este tipo de redes todas las mquinas estn
conectadas a un mismo cable, que recibe el nombre de bus, y por lo tanto, todo el trfico
transmitido y recibido por todas las mquinas que pertenecen a esa red local pasa por ese cable
compartido, lo que en la terminolo$#a de redes se conoce como el medio comn.
1
-l otro entorno natural de los sniffers es una mquina v#ctima. -n este caso, es necesario tener
acceso a la mquina victima para instalar el pro$rama y el objetivo perse$uido aqu# es robar
informaci(n que permita el acceso a otras mquinas, a las que abitualmente se accede desde esa
mquina v#ctima.
)os sniffers funcionan por una sencilla ra!(n4 mucos de los protocolos de acceso remoto a las
mquinas se transmiten las claves de acceso como texto plano, y por lo tanto, capturando la
informaci(n que se transmite por la red se puede obtener este tipo de informaci(n y el acceso
ile$#timo a una determinada mquina.
REDES DE AREA LOCAL
+omo acabamos de comentar, uno de los entornos naturales para un sniffer es una )12 con
topolo$#a de bus. )as redes ms comunes de este tipo son las conocidas como buses -ternet.
-stas redes estn formadas por una serie de mquinas, cada una de ellas equipada con una
tarjeta de red -ternet y conectadas a travs de un cable coaxial, similar al utili!ado por las
antenas de los receptores de televisi(n.
-n los extremos del bus es necesario situar lo que se conoce como terminadores, que no son otra
cosa que una resistencia. 5implemente debemos saber que sin terminador la red no funciona.
+ada ve! que una mquina de la )an desea transmitir un dato lo ace a travs de ese cable al que
estn conectadas todas las mquinas, por lo que todas tienen la posibilidad de ver los datos que se
estn transmitiendo, aunque en condiciones normales esto no sucede.
)as tarjetas de red -ternet estn construidadas de tal forma que, en su modo normal de
operaci(n, s(lo capturan los paquetes de datos que van diri$idos acia ellas, i$norando la
informaci(n cuyo destino es otra mquina. )o que esto si$nifica es que, en condiciones normales,
el trfico que circula por el bus -ternet no puede ser capturado y es necesario activar un modo
especial de funcionamiento de la tarjeta conocido como modo promiscuo.
-n este modo, la tarjeta de red captura todos los paquetes que pasan por el bus en el que est
pincada y ste es el modo de operaci(n que un sniffer necesita para llevar a cabo su finalidad.
TOPOLOGIA DE RED
&na primera medida a tomar frente a la instalaci(n de sniffers es una )12 con topolo$#a en
estrella. -sta topolo$#a o forma de red es distinta al bus.
1ora, todas las mquinas se conectan a un nico aparato, lo que se conoce como un
concentrador o ub. %e esta forma, s(lo existe una mquina en cada uno de los cables que
componen la red.
5i el ub instalado es del tipo conocido como inteli$ente, el sniffer es totalmente intil. &n ub
inteli$ente sabe en qu lu$ar est cada una de las mquinas de la )12. +uando recibe un paquete
de datos para una de sus mquinas, lo retransmite nicamente por el cable en el que sta est
conectada, de forma que un sniffer, instalado en otra mquina, jams podr ver ese paquete.
%ebemos saber que existen ubs no inteli$entes, que, cuando reciben un paquete de datos, lo
retransmiten a todas las mquinas que estn conectadas a l. -n este caso, an con una topolo$#a
en estrella, el sniffer es capa! de capturar paquetes de datos de cualquier mquina de la red.
MODO PROMISCUO
+omo adelantbamos en la secci(n anterior, cuando la tarjeta o adaptador de red se confi$ura en
modo promiscuo, captura todos los paquetes que pasan por delante de l.
2
)a forma ms inmediata de saber si un determinado adaptador de red est en un modo promiscuo
es utili!ar el pro$rama ifconfi$. -ste pro$rama permite confi$urar los adaptadores de red instalado
en una determinada mquina y obtener informaci(n de esa confi$uraci(n.
+uando un adaptador de red se encuentra en modo promiscuo, ifconfi$ nos informa de ello. &n
intruso que rompa un sistema e instale un sniffer en l sustituir este pro$rama por una versi(n
modificada, de tal forma que no muestre el estado en modo promiscuo de la interfa! de red.
+omo ve#amos en ese mismo art#culo, para evitar esto podemos utili!ar versiones del pro$rama
limpias, por ejemplo, al$unas que ayamos $rabado en un disco justo despus de instalar el
sistema, o utili!ar erramientas propias para identificar este tipo de situaciones.
)os lectores interesados pueden estudiar el c(di$o fuente del paquete ifconfi$ para ver cul es la
forma de obtener esta informaci(n. -s necesario utili!ar llamadas al sistema de bajo nivel y por esa
ra!(n no vamos a incluir en este art#uclo un pro$rama que lo a$a. -xisten en .nternet varios
pro$ramas, adems de ifconfi$, que permiten detectar sniffers que utili!an el modo promiscuo.
+omo ltimo comentario sobre el modo de funcionamiento promiscuo, podemos decir que en los
6ernel ms modernos esta informaci(n puede ser obtenida a partir del sistema de ficeros 7proc,
lu$ar del que podemos obtener una enorme cantidad de informaci(n interesante sobre el sistema
de red.
CAPTURA DE PAQUETES
-n $eneral, los sniffers capturan paquetes de la red. -n una )12 con topolo$#a de bus, es posible
capturar trfico de todas las mquinas conectadas en ese bus pero, en el caso $eneral y, como
comentbamos ms arriba, este tipo de pro$ramas pueden ser utili!ados en cualquier entorno,
probablemente con una repercusi(n menor pero constituyendo una breca de se$uridad
i$ualmente importante.
-n mucos casos, una ve! que el intruso a conse$uido el control de la mquina v#ctima puede
optar por la instalaci(n de un sniffer en la misma. -n este caso, el sniffer permitir al atacante robar
claves de acceso a otras mquinas. +ada ve! que un usuario de la mquina v#ctima intente una
conexi(n, el sniffer capturar los paquetes enviados en los que se encuentra la clave de acceso en
texto plano.
-n ocasiones se dota al sniffer de la capacidad de transmitir estos datos v#a correo electr(nico o
permitir al atacante conectarse a un puerto concreto en la mquina v#ctima para recuperar los
datos que el sniffer a capturado.
-ste tipo de instalaci(n se apoyar con tcnicas de ocultaci(n de procesos y de conexiones de red
0para el caso en el que se permita recuperar los datos del sniffer de esta forma3.
+omo el lector ya abr deducido, la forma de funcionamiento de este tipo de pro$ramas suele
basarse en almacenar en un ficero toda la informaci(n que a robado, de forma que el intruso
puede recuperarla en el futuro. 8ara evitar que estos ficeros sean demasiado voluminosos,
mucos sniffers s(lo capturan los primeros paquetes de la conexi(n, en los que se encuentran las
contraseas que se pretenden robar.
9sta es una de las ra!ones por las que resulta conveniente no permitir el acceso como root a
travs de telnet a las mquinas y obli$ar al usuario que quiera utili!ar los privile$ios de root a
utili!ar el comando ,su, una ve! que est dentro. -l sniffer s(lo captura los primeros paquetes, con
lo que obtiene el pass*ord de un usuario normal sin privile$ios. +uando este usuario ejecuta el
comando ,su, para convertirse en root, el sniffer ya no est capturando esa informaci(n y la clave
de root permanece se$ura.
3
UNA POTENTE HERRAMIENTA
.ndependientemente de los usos ile$#timos de los sniffers, este tipo de pro$ramas son una
potent#sima erramienta para el ac6er.
+uando ablamos de los ataque %o5 , vemos c(mo mucos de estos ataques se basaban en
modificar las cabeceras de los protocolos '+87.8 con fines destructivos. Y para construir este tipo
de paquetes era necesario utili!ar lo que llamamos soc6ets ra*.
:ien, los sniffers sulen trabajar en este mismo nivel, de tal forma que no s(lo capturan la
informaci(n asociada a los protocolos de aplicaci(n como ;'8 o '-)2-', sino que capturan
paquetes ra* y, por lo tanto, toda la informaci(n conetnida en las cabeceras '+8 e .8.
<ucas de estas erramientas disponen de la capacidad de interpretar estas cabeceras, e incluso
las cabeceras asociadas a protocolos que se en encuentra por debajo de .8, y mostrarlas de forma
ms sencilla de interpretar para los seres umanos. +uando los sniffers se utili!an de esta forma
son llamados 1nali!adores de protocolo. 5i bien, esta palabra desi$na a un $ran conjunto de
erramientas 0al$unas incluso ard*are3. &tili!ados de esta forma, resultan una erramienta
extremadamente potente para comprender en profundidad el funcionamiento de los protocolos de
comunicaciones y , en cierto modo, visuali!ar, locali!ar y obtener una soluci(n para ataques
remotos.
ALGUNOS SNIFFERS
&na ve! ms, nuestro sistema =2&7)inux dispone de un enorme nmero de este tipo de
erramientas. )a mayor#a de ellas incluidas en la prctica totalidad de las distribuciones. "ui! el
sniffer ms conocido y probablemente uno de los primeros disponibles para los sistemas &2.> en
$eneral es tcpdump.
-ste pro$rama, una ve! lan!ado, captura todos los paquetes que lle$an a nuestra mquina y
muestra por pantalla informaci(n relativa a los mismos. 5e trata de una erramienta de l#nea de
comandos con una $ran cantidad de opciones que permiten mostrar los datos de muy diversas
formas. 'cpdump es una erramienta muy potente y es recomendable saber c(mo usarla, auqneu
como veremos a continucaci(n existen otros sniffers ms fciles de utili!ar.
5niffit tambin funciona en modo consola, pero ofrece un modo de ejecui(n interactivo en el que se
muestran las conexiones accesibles desde la mquina en la que se encuentra instalado y permite
seleccionar cualquiera de ellas para la captura de paquetes, a travs de una interfa! muy sencilla.
-ste sniffer es referenciado en varios documentos de se$uridad.
ETHEREAL
Vamos a comentar un poco ms en profundidad este sniffer o anali!ador de protocolo, ya que es
uno de los que ofrece una interfa! ms sencilla de utili!ar y permite visuali!ar los contenidos de las
cabeceras de los protocolos involucrados en una comunicaci(n de una forma muy c(moda.
-tereal funciona en modo $rfico y est por$ramado con la librer#a de controles ='?. )a ventana
principal de la aplicaci(n se divide en tres partes.
-n la primera parte se muestra la informaci(n ms relevante de los paquetes capturados, como,
por ejemplo, las direcciones .8 y puertos involucrado en la comunicaci(n. 5eleccionando un
paquete en esta secci(n podemos obtener informaci(n detallada sobre l en las otras dos
secciones de la pantalla que comentaremos a continuaci(n.
4
-n la parte central de la ventana se muestra, utili!ando controles tree, cada uno de los campos de
cada una de las cabeceras de los protocolos que a utili!ado el paquete para moverse de una
mquina a la otra. 1s#, si emos capturado una serie de paquetes de, por ejemplo, una conexi(n
telnet, podremos ver las cabeceras del protocolo '+8, del .8 y de los que ten$amos debajo de ellos
0-ternet ;rame, por ejemplo, en una red -ternet3.
)a tercera parte de la ventana muestra un volcado exadecimal del contenido del paquete.
5eleccionando cualquier campo en la parte central de la ventana se mostrarn en ne$rita los datos
correspondientes del volcado exadecimal, los datos reales que estn viajando por la red.
@tra de las opciones interesantes que ofrece este pro$rama es la de se$uimiento de flujos '+8
0;ollo* '+8 5tream3. -sta opci(n permite, una ve! seleccionado un paquete de entre los
capturados, recuperar s(lo los paquetes asociados a la misma conexi(n que el seleccionado. -sta
opci(n es muy til, ya que el sniffer captura todos los paquetes y si en un moemento dado existen
varias conexiones distintas los paquetes de todas ellas aparecer#an entreme!clados.
MEDIDAS A TOMAR
)o primero que debemos recordar es que, tanto para activar el adaptador de red en modo
promiscuo, como para crear soc6ets ra*, el intruso debe ser root.
'odo lo visto en los art#culos anteriores es aplicable, pero vamos a acer al$unos comentarios
espec#ficos para el caso de los sniffers.
-n primer lu$ar, ya emos visto que una topolo$#a en estrella con concentradores inteli$entes es
una confi$uraci(n ms apropiada para evitar la instalaci(n de sniffers. @tra medida frente a los
sniffers en modo promiscuo es instalar adaptadores de red que no permitan ser confi$urados en
este modo, ya que existen este tipo de dispositivos. -sta opci(n no es buena opci(n para los
estudiosos de las redes, ya que imposibilita la utili!aci(n de este tipo de erramientas que, c(mo
ve#amos, son de un valor didctico muy importante.
+omo vimos, el comando ifconfi$ nos permite saber si al$n adaptador de red de nuestra mquina
est confi$urado en este modo. -ste comando puede estar modificado, por lo que debemos utili!ar
una versi(n limpia del comando y a poder ser del sistema.
5i el sniffer no se a ocultado convenientemente, las erramientas de monitori!aci(n mostrarn el
proceso que se est ejecutando, el ficero donde se estn $rabando los datos y la conexi(n de red.
&na medida bastante drstica consiste en recompilar el 6ernel de forma que no ofre!ca soporte
para poner los adaptadores de red en modo promiscuo. -s una soluci(n drstica, al i$ual que la
adquisici(n de una tarjeta de red que no soporte este modo, ya que como veiamos en una secci(n
anterior el uso de estos pro$ramas puede ser realmente til, tanto para comprender el
funcionamiento de las redes de ordenadores como para anali!ar distintos ataques que se pueden
llevar a cabo contra nuestra mquina.
8or otra parte, esta limitaci(n del 6ernel nada puede acer frente a un pro$rama capturador de
paquetes como los comentados ms arriba.
MAS MEDIDAS. CRIPTOGRAFIA.
-l otro $rupo de medidas que se puede tomar contra los sniffers es la utili!aci(n de tcnicas
cripto$rficas. -n este caso, la idea es que aunque no se pueda evitar la captura de paquetes por
parte del sniffer, al menos la informaci(n capturada por stos sea virtualmente intil, al estar
codificada mediante al$n tipo de al$oritmo cripto$rfico.
5
&na de las tcnicas abitualmente utili!adas es la conocida como oneAtime pass*ords o
contraseas de una sola ve!. )o que buscan estas tcnicas es evitar el uso continuo de las mismas
contraseas por parte de los usuarios de tal forma que, aunque sta sea capturada por un intruso,
cuando intente utili!arla nuevamente ser totalmente intil.
@tros sistemas basan su funcionamiento en no enviar informaci(n importante a travs de la red
0como son los pass*ords3, sino que solamente se transmiten informaci(n que por s# misma no
tiene nin$n valor a no ser que se convine con otra 0por ejemplo, autentificaci(n de ambos
extremos a travs de cripto$raf#a de clave pblica, credenciales, sellos temporales, etc3. )a
informaci(n importante es utili!ada por los dos extremos de la comunicaci(n 0cliente y servidor3,
pero nunca viaja a travs de la red.
"ui! el ejemplo ms clsico de la utili!aci(n de tcnicas cripto$rficas sea el paquete 55B. -ste
paquete de soft*are permite las conexiones remotas y otras funciones 0transferencia de arcivos,
por ejemplo3, al i$ual que lo ace telnet pero codificando la informaci(n que se transmite por la red
y ofreciendo un mtodo de autentificaci(n de los extremos de la comunicaci(n. -l eco de que la
informaci(n viaje codificada a travs de la red ace que los datos capturados por un posible sniffer
no puedan ser utili!ados por un atacante.
-xisten otras soluciones cripto$rficas, como por ejemplo, ?erberos, pero son ms complejas y
costosas.
Ya emos visto que el pro$rama ifconfi$ es uno de los que podemosu utili!ar para detectar tarjetas
o adaptadores de red en modo promiscuo.
&n pro$rama de similares funcionalidades muy referenciado es +8< 0+ec6 8romiscuous <ode,
en castellano4 +omprueba <odo 8romiscuo3. 5u utili!aci(n es muy sencilla, simplemente ay que
ejecutarlo.
@tra erramienta de $ran inters para la detecci(n de sniffers, aunque realmente se trata de una
aplicaci(n tremendamente til para la detecci(n de intrusos en $eneral, es lsoft 0)i5t @pen ;iles o
)ista de ficeros abiertos3. -ste pro$rama muestra una lista de todos los ficeros abiertos en el
sistema proporcionando muca informaci(n adicional sobre ellos 0proceso que los a abierto,
nombre de los ficeros, tipo, etc.3. Recordemos que en los sistemas &2.> virtualmente todo es un
ficero, lo que si$nifica que este pro$rama mostrar, adems de los ficeros abiertos propiamente
dicos, dispositivos de entrada7salida, soc6ets, etc.
.
Autor ; Darckman

6