Comprender el comportamiento de las técnicas de escucha existentes

1

Estoy estudiando el comportamiento de las técnicas de escucha existentes (parte de mi investigación). Tengo una pregunta a través del siguiente escenario:

Supongamos que Bob vive en Nueva York y quiere escuchar (es decir, capturar) el tráfico de la red en una red determinada ubicada en Los Ángeles. Supongamos que Bob sabe que la dirección de red en LA es 192.168.1.0/16 . ¿Cómo se inyecta Bob dentro de esa red para capturar el tráfico (utilizando Wireshark, por ejemplo)? En otras palabras, ¿cuál es la forma en que se utiliza principalmente para convertirse en un intruso pasivo en otra red para que pueda escuchar lo que quiera?

Aprecio su colaboración en esta pregunta y espero que todos aprendan de sus experiencias.

    
pregunta Mido A 19.01.2016 - 20:13
fuente

2 respuestas

1

No existe una forma legítima para que un intruso no autorizado acceda a esos paquetes específicos. Así que vamos a descomponerlo:

  1. Hazlo legítimo. Eve * podría pedirle a Alice o Bob esos paquetes.
  2. Autorízalo. Eve podría ser un agente del orden público y solicitar al proveedor de la red que le entregue copias de esos paquetes.
  3. Sea menos específico. Si Eve es una ladrona que solo quiere robar a cualquiera, no hay razón para que ella tenga que hackear una red en L.A .; ella podría hackear una cerca de su casa donde tenga acceso físico.

Si Eve está preparada para participar en actividades delictivas, entonces tendrá que piratear la red de Alice y Bob, y acceder a uno de los dispositivos en una de las subredes que transportan su tráfico. Su ejemplo específico de 192.168.1.0/16 puede ser un problema para ella, ya que es un rango de direcciones no enrutables, comúnmente administradas por enrutadores domésticos detrás de un firewall NATting (en otras palabras, 192.168. . no es una dirección única, es compartida por millones de redes domésticas.) Pero ella puede encontrar su red por otros medios. Una forma es a través de un correo electrónico incrustado con una imagen HTML, que tiene que "llamar a casa" para recuperar la imagen cuando se lee el mensaje. Eso le dará la dirección enrutable ("externa") de su firewall.

¿Cómo se piratea en su red es una pregunta tan amplia como "cómo hackear?" y realmente no se puede responder. Pero digamos que obtiene acceso a la red al escanear los puertos de su firewall y encontrar un agujero abierto por algún dispositivo de automatización del hogar irresponsable que utiliza UPnP. Digamos que obtuvo acceso a través de la interfaz web de un termostato inseguro.

Si su objetivo final es detectar paquetes de red, tendrá que acceder a una máquina capaz de ejecutar software de captura de paquetes. Esto puede requerir el uso de una máquina más capaz que el termostato al que piratea. Por lo tanto, es posible que deba "girar" a otra máquina dentro de la red de la víctima para obtener acceso a una PC. Una vez que el termostato actúa como un relé, busca en la red en busca de otras máquinas y encuentra una PC sin parchear. Ella lo toma, y desde la PC de la víctima, establece un 'shell inverso' en su computadora, dándole acceso a su comando. En esta PC remota, ella instalará un programa de captura de paquetes como tshark, y lo ejecutará por un tiempo. Esto producirá un archivo de captura sin la interfaz gráfica. Después de capturar los paquetes, copiará el archivo de rastreo de paquetes en su computadora y ejecutará una herramienta como Wireshark para ver y analizar el contenido.

* El conjunto de nombres de marcadores de posición que se usa a menudo en el análisis del protocolo criptográfico incluye a Alice y Bob, que desean comunicarse con cada uno otro; Eve, un atacante pasivo que puede escuchar a escondidas pero no puede alterar sus comunicaciones; y Mallory, un atacante activo que puede escuchar y manipular sus comunicaciones. Puede resultarle útil comprender y utilizar estos nombres comunes.

    
respondido por el John Deters 19.01.2016 - 22:02
fuente
0

Aquí hay dos ideas que muestran los peligros del phishing y la ingeniería social, entre otras cosas.

  1. Si se trata de una red 10BASET o 100BASETX (poco probable), Bob puede volar a LA e intentar encontrar su punto de entrada a la red. Si Bob tiene suficiente dinero, esto es aún más fácil.
    • Bob aparece pretendiendo trabajar para el ISP y dice que tiene que arreglar algo. La seguridad corporativa / empresarial no existe o tienen reglas laxas. Debes siempre verificar que todos los que ingresan a tu edificio, sin importar quiénes digan que son, o por la razón por la que dicen estar allí.
    • Si son estúpidos, Bob puede instalar una conexión de red pasiva (solo funciona en 10BASET o 100BASETX ), como Throwing Star LAN Tap . Si Bob tiene suficiente dinero, hay cosas aún más nefastas que puede hacer.
  2. Bob puede intentar una campaña de phishing contra usuarios de la red de LA. Ejemplo:
    • Google.com > Nombre de la empresa
    • Localizar direcciones de correo electrónico
    • Enviar correos electrónicos con archivos adjuntos infectados. Espero que alguien abre.
    • Ahora estás dentro, tienes Hapless User . Estudia sus patrones de palabras mecanografiadas para no despertar sospechas. Agarra sus contactos. Busca personas importantes. Administradores de redes, etc.
    • Use la cuenta Hapless User para enviar archivos adjuntos infectados a personas importantes, para que parezcan genuinos.
    • Instale en secreto algún tipo de malware de captura de paquetes en las máquinas de las personas importantes, si puede encontrarlos.

Y esta es una de las muchas razones por las que las empresas más grandes deberían invertir tanto en seguridad física como en informática.

    
respondido por el Mark Buffalo 19.01.2016 - 20:48
fuente

Lea otras preguntas en las etiquetas