blog

Al momento de realizar la presente publicación, la página web desde la cual es factible realizar consultas Whois a dominios .PE indica lo siguiente:

La información de esta página se provee exclusivamente para fines relacionados con la delegación de nombres de dominios, su publicidad y la operación del DNS administrado por el NIC .Pe.

Queda absolutamente prohibido el uso de los datos proporcionados para cualquier otra finalidad distinta a la indicada, incluyendo el envío de correo electrónico comercial no solicitado, de acuerdo a lo dispuesto en la Ley Nº 28493 Ley Peruana Antispam.

La base de datos generada a partir del sistema de delegación de nombres de dominio peruanos está protegida por las leyes nacionales de Propiedad Intelectual y los tratados internacionales que sobre la materia ha suscrito el Perú. En ese sentido, su autorización es exclusivamente para visualizar y conocer el contenido de la misma, por lo que queda expresamente prohibida su reproducción, comunicación, distribución, transformación y cualquier otro uso distinto al autorizado.

Se procede a ingresar un dominio, luego resolver el captcha, y finalmente hacer clic en el botón “Buscar”.

La información obtenida incluye, el estado del dominio, nombre del titular, contacto administrativo, incluyendo dirección de correo electrónico, la empresa comercializadora, y los registros DNS activos.

En base a la información sobre la delegación de registro para .PE de la IANA, es factible utilizar el servidor whois de nombre kero. yachay. pe

Se procede a utilizar el comando whois con la opción “-h” para definir el servidor whois hacia el cual enviar la consulta.

$ whois -h kero.yachay.pe xyz .pe

La información presentada es idéntica a la obtenida a través de la página web de whois.

Cada uno de estos elementos de información obtenida puede ser utilizado para tratar expandir la búsqueda, tanto de personas, como tecnologías asociadas.

Fuentes:

https://punto.pe/whois.php
https://www.gob.pe/institucion/congreso-de-la-republica/normas-legales/…

Google Hacking involucra utilizar los operadores y directivas del motor de búsqueda Google, para localizar secciones específicas de texto en sitios web.

Se procede a explicar el siguiente Google Dork

site:gob.pe mail/u/0 filetype:pdf password

La directiva site indica a Google restringir los resultados de búsqueda hacia un sitio o dominio especificado. En este caso son los dominios gob.pe

El texto mail/u/0 es el texto incluido en las URLs correspondientes a Gmail web. El propósito de utilizar este criterio es encontrar potenciales mensajes de correo electrónico de Gmail.

La directiva filetype indica a Google restringir los resultados hacia páginas cuyos nombres finalicen con el sufijo definido. En este caso pdf para encontrar archivos en este formato.

El texto password se utiliza con el propósito de encontrar potenciales referencias a contraseñas o contraseñas ya sea encriptadas o en texto plano.

Se realiza la búsqueda indicada. Al momento de realizar la presente publicación se encuentran 126 resultados.

El siguiente documento no incluye una contraseña, pero sí un nombre de usuario. Adicionalmente se puede verificar como se cumple el criterio de la URL correspondiente a Gmail.

El siguiente documento muestra contraseñas encriptadas o codificadas, relacionadas con la configuración de un router. Entre otra información sobre este dispositivo.

En el caso de contraseñas encriptadas de Cisco Tipo 7 pueden ser obtenidas utilizando un script creado en Perl. Así mismo existen servicios en linea para obtener estas contraseñas.

El siguiente documento muestra una contraseña en texto plano. Esta contraseña permitiría inferir la longitud mínima utilizada en la organización, como también la estructura de las mismas, como el reemplazar ciertas letras por número, como también la inclusión de símbolos especiales.

Así mismo muestra la URL en la cual debe ser utilizada esta contraseña.

Es importante mencionar estos son documentos públicamente factibles de ser accedidos, pues han sido indexados previamente por el motor de búsqueda Google.

Fuentes:

https://en.wikipedia.org/wiki/Google_hacking
https://infra.newerasec.com/infrastructure-testing/password-cracking/ci…

Presento y comento uno de los textos con los cuales me inicié en el mundo del Hacking. Su nombre "Guía del hacking mayormente inofensivo", cuya autora es Carolyn P. Meinel. Considero importante mencionar estas guías son una parte fundamental de la historia del Hacking. El idioma original de estas guías es el inglés, aunque de hecho cuando yo las encontré y leí, fueron las versiones traducidas al idioma español. Estas guías me resultaron extremadamente interesantes, dado el hecho son muy didácticas, enseñando paso a paso técnicas de Hacking. Lo cual cuando inicié me pareció algo muy llamativo, atractivo y apasionante.

Fuentes:

https://youtube.com/live/jiVPabUgDBo

Otro de los grupos a los cuales pertenecí cuando me inicié en este mundo de Hacking, en sus orígenes tuvo como nombre Security Wari Projects - SWP, para luego tener el nombre de PeruSEC. Grupo del cual en mi sitio web tengo publicados todos los número de la eZine. Este grupo estaba constituido únicamente por Peruanos, realizándose seís publicaciones en total. Aunque han transcurrido muchos años, recuerdo me contactaron para participar en este proyecto, en primera instancia porque soy de nacionalidad Peruana, y así mismo quienes me contactaron probablemente conocían yo pertenecía a RareGaZz, entre otros ámbitos en los cuales estaba involucrado.

Fuente:

https://www.youtube.com/live/7Obh8tAWg7U
https://www.reydes.com/d/?q=SWP-PeruSEC

En mi sitio web tengo publicadas todas las ediciones de la eZine. El nombre eZine por su traducción al idioma español es por "Revista Electrónica". Yo fui el editor de las últimas ediciones. Conocí de la existencia de esta revista aproximadamente por el año 1998. RareGaZz incluía temas muy atractivos, los cuales incluían hacking, cracking, phreaking, carding, viriing, y otros menos relacionados al "hacking". Su creador fue RareTrip. El propósito de la revista en sus orígenes era bastante simple; un grupo de personas apasionadas al Hacking compartiendo libremente sus conocimientos con todos los demás.

Fuentes:

https://www.youtube.com/live/1LaP1DPoox8
https://www.reydes.com/d/?q=RareGaZz

Se me ocurrió ir absolviendo algunas preguntas las cuales de manera clásica siempre me formulan, una de estas es; ¿Cómo iniciarse en el tema del Hacking?. Considero entonces compartir parte de como yo me inicié en este tema; pudiendo ser de hecho útil para quienes quieran empezar en el tema. Hablaré sobre temas de hace tal vez más de venite años, pero estoy seguro algunos de estos temas mencionados sobre vivencias propias pueden ser de utilidad. Además; a través de esta breve narración; cuando me pregunten sobre como iniciarse en el Hacking, les indicaré visualizar este video.

Fuentes:

https://www.youtube.com/live/82VNm8gSy78

Existen dos tipos de topologías las cuales juntas describen como los sistemas sobre una red son capaces de comunicarse. Para asegurar una red se debe entender como están físicamente conectadas y como se comunican.

Una topología física describe como la red está cableada junta. Esta es la disposición de como los sistemas están conectados mediante cables o dispositivos inalámbricos. Las topologías físicas basada en cable son fáciles de visualizar, debido a están interconectadas acorde a patrones geométricos simples, como anillo o estrella.

Después los sistemas están interconectados, deben conocer las reglas para enviar señales el uno con el otro. Estos protocolos son los responsables de asegurar la señal enviada por un sistema encuentre la ruta hacia su destino. El proceso seguido por el protocolo para enviar datos, sin importar como esté cableada físicamente, puede ser descrita utilizando una topología física.

Para entender mejor la distinción entre las topologías físicas y lógicas, considere como los seres humanos se comunican. En muchos casos las interacciones verbales son guiados por la gramática de un lenguaje particular, tal como el Español. El lenguaje Español tiene numerosas reglas dictando como se deben formar palabras y oraciones para ayudar a proporcionar un significado a lo cual se requiere decir. La gramática Española entonces es la topología lógica, la cual describe los protocolos de comunicación. La topología física de interacciones humanas define los sistemas utilizados para comunicarse. Por ejemplo un teléfono es una de tal topología física, correo es otro. Una topología lógica simple (Español) puede ser utilizado con múltiples topologías físicas (teléfono y correo). Similarmente cada sistema de comunicación puede actuar como un acarreador para diferentes lenguajes humanos.

Un profesional en ciberseguridad de redes debe entender la topología física del lugar, y asegurarse esté implementada correctamente. Cambiar un cable en la topología física puede reducir enormemente o eliminar seguridad, tal como evadir un cortafuegos. Una vez se comprende la topología física, es crítico evaluar la topología lógica utilizada, y asegurarse está apropiadamente asegurada.

Fuentes:

https://www.computernetworkingnotes.com/networking-tutorials/difference…
https://www.open.edu/openlearn/mod/oucontent/view.php?id=48821&section=…
https://www.open.edu/openlearn/mod/oucontent/view.php?id=48821&section=…

Manipulación CDP: Los paquetes CDP están habilitados por defecto en conmutadores Cisco, y son transmitidos en claro. Esto permite a los ciberatacantes analizar los paquetes y ganar información sobre el dispositivo de red. El ciberatacante puede entonces explotar vulnerabilidades conocidas contra el dispositivo. La solución es deshabilitar CDP sobre interfaces no gestionadas.

Inundación MAC: Un ciberatacante inunda el contenido de la tabla de memoria direccionable con direcciones MAC. Esta inundación abruma la capacidad de almacenamiento del conmutador. El conmutador por defecto empieza a funcionar como un hub, lo cual proporciona al ciberatacante la capacidad de husmear el tráfico junto al segmento de la red.

Suplantación DHCP: Esta es otra forma para un ataque de “hombre en el medio”, donde el ciberatacante escucha por peticiones DHCP, para luego responderlas con la dirección IP del ciberatacante como la pasarela por defecto.

Ataque STP: STP permite un conmutador funcione alterando los puertos, de tal manera pueda bloquear o reenviar varias condiciones acorde con los tipos de segmentos hacia los cuales está enlazado. Existen diferentes tipos de ataques los cuales directamente se dirigen a STP; un tipo de ataque involucra enviar paquetes de configuración BPDU, los cuales son un mensaje de datos transmitidos a través de un red de área local para detectar bucles en las topologias de la red.

Ataque de saltos VLAN: Con esto un ciberatacante puede crear y enviar tramas posicionadas desde una VLAN, utilizando etiquetas 802.1Q suplantadas, de tal manera el paquete finalice sobre una VLAN completamente diferente, sin pasar a través del encaminador.

El ataque Telnet está mal nombrado; más específicamente es un ataque SYN distribuido. Los sistemas operativos Windows tienen un ejecutable telnet accedible, el cual puede ser utilizado para configurar una sesión TCP. Esta técnica puede crear las condiciones de un ataque para negación de servicio, siendo popular con operadores de botnet criminales, pues el ejecutable ya es parte del sistema operativo.

Fuentes:

https://howdoesinternetwork.com/2011/switch-security-attacks

Los ataques para negación de servicio son logrados inundando el encaminador con peticiones, de este modo afecta su disponibilidad. Enviar una gran cantidad de paquetes ICMP desde múltiples fuentes hace el encaminador sea incapaz de procesar tráfico efectivamente, y por lo tanto lo hace incapaz de proporcionar servicios.

Un ataque distribuido para negación de servicio utiliza una armada reclutada de computadoras referidas como hosts “zombis”, los cuales están infectados con una pieza de software diseñado para enviar paquetes hacia los encaminadores, todos al mismo tiempo. Los ataques DDoS pueden utilizar cientos y potencialmente miles de computadoras al unísono. Cuando un ciberatacante activa un guion (script) desde las computadoras infectadas, golpean a los encaminados y subyugan sus recursos.

El humear (sniffing) paquetes es un método para capturar datos utilizando programas maliciosos, el cual vigila el tráfico de red. En el pasado, esto requería acceso físico hacia un entorno Ethernet cableado, pero con el predominio actual de los encaminadores inalámbricos, el husmear paquetes se torna en una amenaza más común, pues un acceso no autorizado no requiere acceso directo hacia la red física.

El desvió de paquetes es cuando un encaminador es inyectado con código malicioso, el cual causa el encaminador simplemente maltrate los paquetes. En resumen, las operaciones del encaminador son interrumpidos, y el encaminador no es capaz de acarrear sus propios procedimientos de encaminamiento. Este tipo de ataque es difícil de encontrar y arreglar, pues la interrupción del encaminador crea bucles, condiciones para negación de servicio, y otra congestión en la red.

Un ataque de inundación SYN ocurre cuando el paquete para sincronización del protocolo TCP es utilizado para razones maliciosas. El ciberatacante enviará un gran número de paquetes TCP/SYN hacia el servidor destino. Debido al servidor será incapaz de establecer una conexión, la dirección se torna inalcanzable. La inundación SYN es una forma de negación de servicio, porque tiene la capacidad de abrumar los recursos del encaminador.

Un ataque TCP Reset ocurre cuando un ciberatacante termina una conexión TCP con un paquete falsificado, utilizando un bit RST (reset). El ciberatacante husmea la conexión TCP para obtener la dirección IP origen, número de puerto origen, dirección IP destino, número de puerto destino, y específicamente el número de secuencia saliente. Con esta información el ciberatacante puede crear un paquete TCP falso, con la dirección IP origen adecuada, puerto destino, y número de secuencia. El único cambio es el ajuste del bit RST, el cual termina la conexión tan pronto como el paquete alcanza su destino. Esto interrumpe el flujo de datos hasta una nueva sesión sea establecida.

Envenenamiento para la tabla de encaminamiento. Una tabla de encaminamiento es como el encaminador mueve paquetes en la red. La tabla de encaminamiento es creado intercambiando información para encaminamiento entre encaminadores. El envenenamiento para la tabla de encaminamiento es hecho creando ediciones indeseables hacia la información de encaminamiento el cual es difundido por los encaminadores. Este ataque puede causar un daño severo en la red.

Un interno malicioso o empleado descontento con conocimiento sobre la red, puede acceder a los encaminadores sin autorización y compromiso de la red.

Fuentes:

https://smallbusiness.chron.com/types-attacks-routers-71576.html

Diferentes grupo de ciberatacantes se dirigen y atacan diferentes sistemas con variantes propósitos, utilizando una diversidad de técnicas. Cada tipo de ciberatacante es denominado un “agente de amenaza”, el cual simplemente es una entidad (individuo o grupo), capacitado y motivo para realizar un ciberataque. Los agentes de amenaza tienen diferentes metas, diferentes métodos, diferentes capacidades y accesos, además tienen diferente tolerancia al riesgo dictando los diferentes extremos a los cuales llegarán con éxito. Con este conocimiento relacionado a estas diferencias, se puede percibir porque es importante entender quienes son los ciberatacantes y porque podrían realizar los ciberataques. Es también importante recordar los agentes de amenaza humanos siempre tienen tres atributos; inteligencia, adaptación, y creatividad.

Es importante anotar una amenaza puede originarse desde algo no siendo humano. Los desastres naturales, como incendios o terremotos son agentes de amenazas hacia sistemas de cómputo. Sin embargo para nuestros propósitos nos enfocamos en ciberatacantes humanos.

Cuando se evalúa la probabilidad de un ciberataque, es importante conocer el número de posibles ciberatacantes, y cuan activos han estado. Algunas preguntas relevantes a responder son:

1. ¿Cuan activo es algún agente de amenaza particular?

2. ¿Cómo podría un agente de amenaza utilizar un tipo de ataque particular?

Existen tres amplias categorías para agentes de amenaza.

1. Cibercriminales y crimen organizado

Contando en billones, algunas veces decenas de billones de dólares cada año. Los cibercriminales desean beneficio económico de sus cibercrímentes.

2. Ciberespionaje

Son agentes de amenaza teniendo una meta diferente, el cual no tiene relación con el dinero, pero si relación con la información e interrupción. Las Amenazas Avanzadas Persistentes son bien nombrados así porque estos esfuerzos de ciberataque pueden durar años en muchos vectores, estando muy bien financiados, significando ningún reto es muy difícil. Los ciberatacantes invierten tiempo y recursos necesarios para cumplir sus metas. Como los cibercriminales, APTs es una estrategia contraria al riesgo, intentando ocultar la intrusión y cualquier compromiso. Esto es muy diferente a los cibercriminales, quienes prefieren encontrar un objetivo más fácil o expuesto.

3. Activista de Computadoras o “Hacktivistas”

A diferencia de otros cibercriminales o espías, los activistas típicamente no cubren sus huellas, porque desean el mundo conozca sobre una brecha. Los hacktivistas frecuentemente anuncian el compromiso en lugar de intentar ocultarlo. Su meta es destapar o exponer cosas incorrectas, o incluso acciones ilegales.

Una defensa en profundidad debe ser mucho más amplia y detallada contra el espionaje industrial o espionaje de naciones, frente a ciberdelincuentes o hacktivistas.

Fuentes:

https://en.wikipedia.org/wiki/Threat_(computer)
https://www.ibm.com/topics/threat-actor