Recientemente estuve realizando una auditoría de seguridad en el trabajo (sancionada, por supuesto) y he visto algunos comportamientos interesantes de Caín y Abel. He evitado intencionalmente usar el APR para que mis compañeros de trabajo no se asusten con los errores de certificados de seguridad y solo hayan estado usando la funcionalidad de "rastreo".
De alguna manera, Cain aún puede recoger muchas contraseñas de SNMP, MSKerb5-PreAuth, Telnet, LDAP, HTTP y FTP. ¿Cómo es esto posible en un entorno conmutado sin usar APR? Revisé las tablas ARP en un par de otras máquinas mientras ejecutaba el sniffer y todas tenían las entradas ARP correctas para la puerta de enlace.
Al principio, pensé que por alguna extraña razón es posible que tuviéramos hubs en nuestra red, pero me registré y definitivamente todo está cambiado.
He leído mucha información sobre la falsificación / envenenamiento ARP, pero no puedo encontrar mucha información específica sobre el rastreador de Caín.
Mañana planeo correr con Wireshark para ver si puedo rastrear de dónde vienen algunos de estos paquetes, ya que podrían ser muy dañinos.