Suscribete a Mi Canal en YOUTUBE ==> da CLIC AQUÍ

Canal netamente académico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

No me hago responsable del mal uso de los conocimientos adquiridos. Por Favor, Siempre ÉTICOS !

domingo, 15 de diciembre de 2013

Excelente Artículo: Monitoreando la red con Dsniff o “…papá, te juro que he estado estudiando toda la tarde..”

Tomado de http://www.hacking-etic.cat/?p=431&lang=es&goback=.npv_43635365_*1_*1_*1_*1_*1_es*4ES_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1_tyah_*1#!

Monitoreando la red con Dsniff o “…papá, te juro que he estado estudiando toda la tarde..”

Nunca animaría a nadie a invadir la privacidad de los demás por el mero hecho de hacerlo. Eso va en contra de mis principios.
En muy pocas ocasiones está justificado observar lo que hacen los demás sin que ellos lo sepan, pero creo que la preocupación de un padre por estar informado respecto a lo que sus hijos hacen en la red, es una de ellas, bien sea para protegerlos o para evitar que hagan un mal uso de las posibilidades que ofrece Internet.
Preocupado por el descenso en el rendimiento académico de mi hijo en el último trimestre, decidí descubrir en qué invertía su tiempo cuando se encerraba en su cuarto a “estudiar como un loco“, según palabras textuales. Así que una tarde, observando que se encontraba sentado delante del ordenador en vez de delante de un libro, procedí a monitorear el tráfico de la red para ver qué encontraba
Para hacerlo, opté por utilizar el extraordinario conjunto de herramientas que proporciona dsniff. Arranqué una máquina virtual con Backtrack y abrí diversos terminales.
Lo primero que hice fue habilitar ip_forwarding:
root@bt:~# echo 1 > /proc/sys/net/ipv4/ip_forward
A continuación usé arpspoof para hacer arpspoofing entre la màquina del mi hijo y el router. Digité los comandos siguientes (cada uno en un terminal diferente):
root@bt:~# arpspoof -i eth0 -t 192.168.1.131 192.168.1.1
root@bt:~# arpspoof -i eth0 -t 192.168.1.1 192.168.1.131
En uno de los terminales puse en ejecución msgsnarf,  para capturar cualquier tráfico que pudiera proceder de mensajería instantánea:
root@bt:~# msgsnarf -i eth0
También activé urlsnarf para capturar las peticiones realizadas:
root@bt:~# urlsnarf -i eth0
y dsniff, para capturar contraseñas en texto plano  -para poderle avisar más adelante si escogía contraseñas débiles- :
root@bt:~# dsniff  -i eth0
Finalmente y, aunque no pertenece a la suite dsniff, inicié driftnet para capturar las imágenes encontradas durante la navegación:
root@bt:~# driftnet
Este era el aspecto de mi pantalla después de iniciar todo el dispositivo de captura:

Y este era el aspecto después de los primeros minutos de capturar tráfico:

Quedaba claro que el pobre estaba estudiando anatomía humana, así que decidí no perturbar su concentración y dejarlo “estudiar” un poco más, mientras ponía a trabajar webspy, de forma que pudiera ver los sitios web a los que iba accediendo:
root@bt:~# webspy  -i eth0 192.168.1.131
La forma de capturar de webspy puede presentar resultados extraños, pero en este caso había cosas que quedaban muy claras:

Del análisis de los datos obtenidos con urlsnarf, se observaba que algunas de las peticiones eran:




O sea PlayBoy, Facebook, Youtube, Hotmail… lugares que cualquier buen estudiante no puede dejar de visitar durante una sesión de estudio… ejem..
En la tortura que significaba para él tanto estudio, hizo una pequeña pausa para leer la prensa:

Este acceso había quedado registrado por webspy, que había capturado algunas imágenes que se podían encontrar en la edición digital de “El periodico“:


No había obtenido datos de msgsnarf ni de dsniff,  pero disponía de documentación suficiente para demostrar que había estado haciendo de todo menos estudiar.
Así que, durante la cena, saqué el tema:
-” ¿Cómo ha ido esta tarde… has estudiado o has estado perdiendo el tiempo?…”
- “papá, te juro que he estado estudiando toda la tarde..”