Protocolo SSLTLS
Enviado por Jorge Jiménez • 3 de Diciembre de 2018 • Ensayo • 783 Palabras (4 Páginas) • 180 Visitas
Introducción
En esta práctica tendremos la oportunidad de analizar detalladamente un servidor que en su momento fue comprometido y violentado por hackers.
Como sabemos, actualmente la mayoría de las empresas tiene como necesidad utilizar la tecnología como base para su funcionamiento, esto da un área de oportunidad para personas que buscan dañar a la misma, puede ser en forma económica y/o social.
Para entrar un poco en contexto, para mi la parte más importante a la hora de realizar un ataque informático es el anonimato ó bien lo más apegado que se pueda estar al mismo. Muchas de las ocasiones el ciberdelincuente tiene como único objetivo el robo y/o manipulación de la información, olvidándose totalmente de un punto bastante importante después de realizar dicho ataque que es la eliminación de evidencia. Lo que esta actividad permitirá es conocer más allá del ataque, tendremos acceso a detalles técnicos del sistema, los cuales nos permitirán conocer quizá el sujeto y/o organización que realizó el ataque.
Desarrollo
Lo primero que tenemos que realizar para contestar la serie de preguntas establecidas es montar y analizar cuidadosamente los archivos que están en la imagen.
[pic 1]
- ¿Fue el sistema comprometido y cuándo?
Como se observa en la ilustración, que el primer intento de autenticación se realizó el día 18 de enero, pero si nos detenemos un poco a observar el archivo nos damos cuenta que el día 6 de febrero
[pic 2]
- Si estuvo comprometido, ¿cuál fue el método usado?
Los archivos “.log” nos permitirán conocer mayores elementos para la aclaración de estas situaciones, en este caso veremos un archivo en lenguaje perl llamado “c.pl” y uno más llamado “rk.tar”, dichos archivos los encontramos en la siguiente carpeta “tmp”.
[pic 3]
Veremos a continuación cada uno de ellos.
El primero “c.pl” tiene como objetivo el ataque a los puertos, todo esto se realiza mediante la técnica ya conocida “bufferoverflow”, la cual consiste en hacer que la memoria del programa colapse y provoque un desbordamiento en la misma.
[pic 4]
Ahora por su parte el segundo archivo
[pic 5]
Esta carpeta contiene varios archivos ejecutables que tienen como finalidad el ataque a los archivos, busca hacer lo que llamamos un CRUD con archivos, es decir crear, leer, actualizar y eliminar archivos y/o directorios según sea el caso. Para concluir las técnicas que utilizaron fueron “bufferoverflow” y “ataque de fuerza bruta”
- ¿Se puede revisar cuantos ataques fallaron?, si algunos fueron exitosos cuantos lo fueron, ¿cuántos ataques se detuvieron después del primer ataque exitoso?
Si, en esta ilustración podemos ver que intentaron crear al usuario “ulisses”.
[pic 6]
Una vez terminado eso, siguieron intentando con diferentes ataques, dando un total de 32 ocasiones.
[pic 7]
- ¿Cuál es la línea de tiempo de los eventos más significativos?
- ¿Alguno de los logs parece sospechoso? ¿Alguna configuración no válida?
Al parecer existen un par de logs que llaman mucho la atención, comencemos por uno visto anteriormente, “auth.log”. donde vemos que intentan acceder con “ulisses” y de igual manera con “root”.
[pic 8]
Lo que vemos a continuación en el siguiente log “mainlog” ubicado en la ruta que se muestra a continuación es que intentaron descargar un archivo desde una dirección IP, analizaremos dicho archivo.
...