Soy ingeniero de seguridad de redes y respondo

kaitoo #1 Dic '14 Penitente

No se muy bien donde abrir esto... OT, /dev/ , hard-soft... De momento lo dejo aqui y que algun moderador lo mueva si quiere.

Abro este hilo por que he recibido varias preguntas en el hilo de hackeo de Sony. Mi trabajo (Network Security Engineer) basicamente consiste en evitar que hackeen a empresas del fortune 100 (Multinacionales). Mas especificamente la parte que tenga que ver con redes (Firewalls, Switches, Routers, IPS, Proxies, etc...).

No soy un experto en vulnerabilidades , pero intentare responder todo lo que pueda.

Os dejo en spoiler una explicacion muy basica que habia posteado en el hilo de Sony sobre como hackear a una empresa, sin entrar en detalles.

spoiler

Digamos que me piden obtener las nominas de la empresa 'Paquito el chocolatero'.

Lo primero que hago es buscar el rango de IPs que 'Paquito el chocolatero' tiene. En internet es muy facil obtener esta informacion... Despues de investigar un poco encuentro que paquito el chocolatero es el duenyo del rango 25.25.25.0/24.

Una vez que tengo esas IPs hago ping fingerprinting para ver que IPs estan conectadas a internet via pings (si esta bien protegido el firewall -FW de aqui en adelante- no tendria que responder a los pings). Una vez que encuentro IPs conectadas a internet hago port flooding (mandar un telnet a todos los puertos para saber si estan abiertos o no) y espero respuesta. Hay que tener en cuenta que muchos servidores responden pero no quiere decir que esten conectados a la WAN , para eso se utiliza las DMZ (servidores conectados a internet pero que no tienen visibilidad hacia la red empresarial).

Dependiendo de que puertos estan abiertos, se puede saber el Sistema Operativo, y una vez que sabes el sistema operativo sabes las vulnerabilidades del mismo para obtener root access. Cuando obtienes root access de algun servidor empieza la fiesta, en ese momento es muy facil saltar de servidor en servidor hasta que encuentras lo que buscas, en mi caso las nominas de los empleados.

Todo este proceso esta explicado de una forma muy basica, hoy por hoy la mayoria de empresas utilizan proxyless (double NAT) para evitar que sus IPs esten expuestas a internet. Tambien se utilizan IPS (sistemas que analizan trafico en tiempo real hasta capa 7, son capaces de detectar trafico ilegitimo y bloquearlo).

Si todos los sistemas de proteccion estan bien configurados , los Sistemas Operativos actualizados, etc etc y no hay forma de entrar desde internet podemos pasar a la fase 2 (social hacking):

Investigamos quien es el administrador de la red de 'Paquito el chocolatero' (linkedin, google, etc) y nos ponemos en contacto con el via email. Lo siguiente es ganarse su confianza (suele llevar mucho tiempo). Hay hackers que se hacen pasar por posibles clientes, otros por posibles 'hardware vendors', etc etc. Al final todo pasa por que el administrador confie en ti y acabe instalando algun trojan que tu le has mandado en su ordenador. Una vez que tienes acceso al ordernador del administrador, tienes acceso a todos los servidores, switches, routers, FWs = comienza la fiesta!

He leido de casos surrealistas sobre social hacking, como ir a la cafeteria de la empresa y dejar un USB con un trojan olvidado en una mesa, aparentemente funcionan tambien

Reglas:

No puedo hablar de mi salario.
No puedo dar detalles ni de la empresa para la que trabajo ni de nuestros clientes.

35

GaTToO #2 Dic '14 :psyduck:

todo esto para decirnos que trabajas?

33

B

[Borrado] #3 Dic '14

#1 Si tienes una red Wi-Fi y algún listillo te pilla la contraseña qué puede hacerte? y a la inversa?

2 respuestas

Akiramaster #4 Dic '14 Intolerante

¿por qué en las películas los actores cada vez que les tiran una red encima se revuelven como si les quemara?, ¿no saben que la red tiene un tamaño limitado?.

¿Haces espectáculos de circo?

32

yahirobis #5 Dic '14

Me haces el trabajo de fin de grado ?

PD: muy interesante el post.

kaitoo #6 Dic '14 Penitente

#3 Si algun listillo se cuela en tu WiFi estas jodido.

El ataque mas comun dentro del mismo segmento LAN es man in the middle. Basicamente le dice a tu PC que el es la puerta de enlace y que le mande todo el trafico a el en vez de al router, luego el se lo manda al router (lo mismo a la inversa con el router y tu MAC). Con eso consigue leer todo tu trafico (siempre que no sea https, ssl, ipsec... Encriptado) y poder conseguir tus contrasenyas.

Por ponerte un ejemplo... Si alguien entrase en tu WiFi y te envenenase la red podria robarte la contrasenya de mediavida (es trafico http, no https) pero no podria robarte la contrasenya de paypal ya que es trafico https.

Si fuese mas espabilado podria redireccionar tu consulta DNS de paypal.com hacia su propio ordenador, donde tiene una copia exacta de la web de paypal, y asi poder capturas las credenciales tuyas en paypal para luego robarte todo tu dinero.

Todo esto suena complicado pero hoy por hoy hay distros de linux que te lo montan todo en un pis pas.

3 2 respuestas

Drhaegar #7 Dic '14 Inocente

#3 Depende de como tengas configurada la red, si no lo tienes bien configurado cualquier cybercriminal puede acceder a todos los archivos de tu ordenador. Lo mínimo recomendable es tener deshabilitada la opción de logearte como invitado y que tu cuenta principal tenga contraseña, además de tener la configuración del router protegida con contraseña.

Si eres tú el que entra y tienes la mala suerte de toparte con alguien que entienda de redes te pueden robar todos los datos que envíes y recibas a través de su conexión.

#6 Alt + 164 = ñ

hjesush #8 Dic '14 Inocente

Por qué Linux en el campo de los servidores tiene una aplastante superioridad? Cuáles son los motivos?

2 3 respuestas

F

FeelMan #9 Dic '14

Donde te formaste académicamente ?

1 respuesta

benitoll #11 Dic '14 Penitente

#8 porque es de código abierto (lo que no significa que todos los sistemas basados en él sean gratuitos), porque en consecuencia se puede modificar prácticamente en su totalidad y tienes acceso al código fuente, porque es modular, y aunque suene un poco cíclico, porque es un estándar de facto (cíclico porque me podrías preguntar "¿y por qué se convirtió en un estándar?" y te respondería lo mismo xD).

PD: #6 igualmente no te cortes en responder, y si me he equivocado o me ha faltado algo. Yo soy "sysadmin amateur" y estoy haciendo el ciclo superior ASIR. No me he llegado a meter muy a fondo en prevención de intrusiones, pero me llegué a obsesionar con el tema de los ataques DDoS (porque los recibía/recibo, empecé -y sigo- en esto por los servidores de juegos xD).

1 1 respuesta

kaitoo #12 Dic '14 Penitente

#8 Linux ofrece personalizacion / codigo abierto (poder modificar el kernel o cualquier archivo de configuracion a tu antojo), ofrece seguridad (su codigo no deja tantos backdoors como otros), ofrece estabilidad - muy importante para servidores (no se rompe cada 2x3 como otros) y ofrece una comunidad libre con mucho conocimiento.

Nota: no trabajo con servidores o programacion, mi especialidad es redes (firewalls, routers, switches, proxys, IPS, etc).

#9 Estudie ingeniera tecnica informatica, luego un master sobre redes LAN/WAN y CISCO. Me saque el CCNA y me fui a trabajar a la republica checa para uno de los proveedores de servicios mas grande del mundo (en el campo de la redes MPLS). Mas adelante me saque CCNP, JNCIA, JNCIS-SEC, JNCIP-SEC.

Tengo 25 anyos y me considero un novato, asi que aun me queda mucho camino por recorrer

5 1 respuesta

kaitoo #14 Dic '14 Penitente

#11 ataques DDoS son facilmente mitigables hoy en dia con buenos FWs (JunOS dentro del screening tiene opcion de apagar trafico dependiendo de src / dst limit, Palo alto tambien ofrece algo similar, nunca he trabajado con ASA asi que ni idea).

3 respuestas

cabron #15 Dic '14 Judas

#8

¿De dónde te sacas que tiene superioridad aplastante?

Por ejemplo según este informe:

http://w3techs.com/technologies/overview/operating_system/all

http://w3techs.com/technologies/details/os-unix/all/all

Todos los *nix (lo que incluye Linux, freebsd, Solaris etc), son el doble que Windows, y de esos Linux es aproximadamente la mitad, lo que da que el uso de Linux y Windows es más o menos el mismo en servidores Web.

Si entramos a otro tipo de servidores que no sean para Web, según Wikipedia el mercado está dominado por IBM z/OS.

2 respuestas

T

Triviani #16 Dic '14

#15 Donde curro yo están migrando los z/OS a linux asique...

2 respuestas

cabron #17 Dic '14 Judas

#16

Salvo que tu empresa cubra más del 50% del mercado de servidores creo que no es un dato relevante...

2

F

FeelMan #18 Dic '14

#12 tienes mi edad y has hecho todo eso... La virgen que inútil me siento. Enhorabuena por el curro que te pegas. Además se nota a la legua que dominas tu campo muy muy bien.

Soy todo un novato en esto. Pero me pasare de vez en cuando. Da gusto hablar a gente que sabe lo que dice, aunque no lo entienda

17 1 respuesta

MrNulo #19 Dic '14 Diamond hands

Deduzco que por tu falta de ñ vives fuera (y bueno, siendo ing informático lo raro sería lo contrario)
¿cómo hiciste para encontrar tu trabajo y con qué nivel entraste?

1 respuesta

D

dolan #20 Dic '14

Tú también usabas los nukes y el menú-war de los scripts en el IRC?

Qué tiempos, eso sí que era ser un juanker.

Saludos 7th Spherianos.

2 1 respuesta

kaitoo #21 Dic '14 Penitente

#19 Exacto... Vivo fuera de espanya (perdon por la falta de enyes y acentos).

Estaba de practicas de master trabajando en Espanya y me di cuenta que el futuro esta muy negro si me quedaba alli, opte por postear my CV en Monster con idea de irme donde hiciese falta (mi ingles es bueno, lo aprendi a base de ver series durante toda la carrera). Unos dias mas tarde me llamaron para ir a trabajar a la republica checa (Brno), y alli me fui de cabeza.

Ahora mismo trabajo desde mi casa en Praga (tengo novia checa - NO, no voy a postear foto...) para una empresa Canadiense.

#20 en aquella epoca tenia 10-15 anyos, ni tan siquiera sabia lo que era una IP jaja

#18 no te desmotives hombre, yo soy un negado en todo lo demas (5 horas me llevo montar una cama del ikea...) Cada uno tiene que ser bueno en una cosa, si no solo habria 1 trabajo que hacer!

1

benitoll #22 Dic '14 Penitente

#14 no sé para grandes empresas, pero te aseguro que los Cisco ASA PARA MITIGACIÓN DE DDoS no son ni la primera ni la segunda (y seguramente ni la quinta) opción, por lo menos en lo que yo conozco (que no es de primera mano ni mucho menos).

Las más prestigiosas son bastante específicas contra ese tipo de ataques distribuidos: Arbor Networks, Prolexic, y proveedores "en la nube" (Blacklotus, Cloudflare ...).

Igual te interesa leer sobre el sistema que montó OVH (la mayor empresa de alojamiento de Europa y la segunda del mundo) compartido "de gratis" entre todos sus clientes. Un cluster de mitigación, mezcla de hardware Arbor y otros diseñados internamente (con procesadores Tilera); en cada uno de sus 3 centros de datos principales. Ha sido un antes y un después en mi mundillo xD

#15 ~~siento decirte que~~ es probabilísimo que ese 44,2% "desconocido" sea mayormente Linux, sólo que no los pudieron identificar con el mismísimo método de "port probing" que explicó #1, y por eso sale "desconocido".

Solaris y BSD tienen cierta base, pero en mi opinión no tienen futuro a largo plazo. Sobre todo Solaris desde que Sun fue adquirida por Oracle. Y desde que ZFS y DTrace tengan ports/equivalentes estables en Linux, estarán ambas aún más muertas.

1 2 respuestas

D

deiFFok #23 Dic '14

Con un FP superior en informática y siendo un poco curioso, sabes la mayoría de esas cosas.
Sino siempre podemos optar a nuestro amigo Google.

cabron #24 Dic '14 Judas

#22

Sí yo también lo he pensado, no sé por que me dices "siento decirte" como si me fuese a sentar mal, no era un ataque contra linux, solo quería datos que lo apoyasen, por que con los únicos que hay no se puede hacer tal afirmación.

V

v2r #25 Dic '14

#14 si los ataques ddos son fáciles de proteger o algo así, habla con los profesionales de csgo que con las apuestas tienen ataques ddos a diario y no tienen forma de pararlo, seguro que sacas tajada.

1 3 respuestas

D

deiFFok #26 Dic '14

#25 +1

benitoll #27 Dic '14 Penitente

#25 ¿a quiénes te refieres? ¿y qué es lo que tiran (webs, servidores del juego, o alguna otra cosa)?porque macho como no tengas a Anonymous o a algún grupo terrorista/gobierno de enemigo, hoy en día es infinitamente más fácil estar protegido contra DDoS que contra intrusiones/vulnerabilidades.

Servidores en OVH + CloudFlare para servicios web y estás que te ralentizan siquiera (que no es tan fácil como decirlo, pero vamos...).

2 respuestas

Fireternal #28 Dic '14 Salta loconejo

#1 Que opinas sobre crear interfaces graficos con visual basic para rastrear IP's?

21

kaitoo #29 Dic '14 Penitente

#25 Si tienen mucho volumen de trafico (+ de 500 Mbps) y sesiones (mas de 100k por segundo), seguramente necesiten high-end FWs, los Juniper SRX o Palo alto tochos cuestan mas de 200.000$ cada firewall (segun tengo entendido, nunca he preguntado precio de los FWs que manejo) igual no quieren arreglarlo

#27 nunca habia oido de OVH para DDoS mitigation, le pegare una ojeada a su documentacion esta noche para ver de que trata.

Los clientes de la empresa para la que trabajo tienes sus propios Data Centers y para ellos es critico mantener su propia informacion, no pueden permitirse tener todos sus servicios hosteados por otra empresa... Por eso el tipo de DDoS mitigation que conozco es diferente al tuyo

3 respuestas

V

v2r #30 Dic '14

#29 #27 Actualmente el juego counter strike global ofensive cuenta con un sistema de apuestas en varias páginas web, entonces se juegan los partidos de los equipos profesionales. ¿Que sucede? Que igual que hay un sistema de apuestas hay gente que vende ips de los jugadores. Entonces es imposible jugar por las subidas de ping, de echo la mayoría de jugadores daneses/suecos les es imposible jugar.

Esto sucede a diario con miles y miles de espectadores y miles de euros en juego x,D. Normalmente los jugadores daneses son los mas afectados. Hay veces que durante todo el día tienen ataques ddos para que el jugador no pueda presentarse al partido y así busquen un sustituto o cosas así, hasta ahora es imposible de evitarlos para ellos.

Pero claro, pagar 200.000€ no es rentable.

2 respuestas

Soy ingeniero de seguridad de redes y respondo

Usuarios habituales

Tags