Bien, para conseguir acceso a otros sistemas desde el host que hemos hackeado existen varias t�cnicas. La m�s sencilla y la primera que se suele probar es consultando los ficheros .rhosts de los usuarios e intentando acceder a los sistemas incluidos en dichos ficheros mediante rlogin o rsh. Tambi�n se puede intentar acceder a otros sistemas de la red con los comandos "r" aunque no est�n incluidos en los ficheros .rhosts o en el fichero host.equiv.
Hay varias formas m�s o menos sofisticadas que nos permitan conseguir informaci�n desde el sistema en el que nos encontramos y que nos permita acceder a otros sistemas de la red. Quiz� el m�todo m�s famoso y m�s eficiente sea la colocaci�n de un sniffer. Un sniffer es un programa que "monitoriza" la red consultando los diferentes paquetes de informaci�n que circulan por ella. Cuando alguno de esos paquetes cumple ciertos requisitos (por ejemplo que sea un paquete correspondiente a un proceso de login), guarda dicho paquete en un fichero (es decir, guarda un log). Cada cierto tiempo el hacker puede consultar dicho fichero que le proporciona informaci�n sobre qu� usuario se conect� a una determinada m�quina, a qu� m�quina se conect� y que password utiliz�, adem�s de otros datos.
C�mo funciona un sniffer:
La red Internet es un conjunto de subredes comunicadas entre s� mediante m�quinas llamadas gateways, bridges o routers. Cada subred, a su vez, puede estar dividida en varias subredes y as� sucesivamente. Lo m�s usual es que las m�quinas est�n organizadas en una red de tipo ethernet, y que dicha red est� conectada a Internet (o a una subred de Internet) mediante sus correspondientes routers o gateways (no tiene porqu� ser s�lo un router o gateway, una misma red puede tener varios para comunicarse con el exterior), que ser�n las m�quinas que mantengan a dicha red ethernet en contacto con el resto de la red.
Las redes ethernet trabajan mandando los paquetes de informaci�n por un mismo canal compartido por todas las m�quinas. En la cabecera de cada paquete de informaci�n est� incluida la direcci�n de la m�quina a la cual va destinado el paquete de informaci�n. Se supone que el paquete de informaci�n s�lo lo recibe la m�quina a la cual va destinado. Las m�quinas que reciben cualquier paquete de informaci�n aunque no est�n destinados a ella, se dice que est�n en modo promiscuo.
De esta forma, un hacker puede poner en modo promiscuo la m�quina (si es que no lo est� ya en el momento de hackearla) y capturar todos los paquetes que circulan por la red, aunque no provengan de su m�quina y aunque no est�n destinados a su m�quina. Normalmente se suelen capturar paquetes que cumplan alg�n requisito como aquellos que incluyan el momento de acceso de un usuario a una m�quina. Teniendo en cuenta que el login y el password del usuario se mandan en modo texto, el hacker puede leer con toda comodidad en el fichero registro que genera el sniffer qu� password utiliza el usuario y en qu� m�quina lo utiliza.
Tambi�n se puede sniffar informaci�n aunque el sistema no est� en modo promiscuo, pero entonces la m�quina s�lo aceptar� informaci�n que est� destinada a ella, y los �nicos paquetes de informaci�n que monitorizar� el sistema ser�n los paquetes destinados a �l, y los paquetes que provengan del propio sistema.
Existen varios programas sniffers por la red, incluso algunos comerciales. Los m�s conocidos y distribuidos en c�rculos underground son sniffers para SunOS, Solaris y Linux. Por otra parte, programas bien conocidos como Etherfind o Tcpdump se pueden utilizar estupendamente como sniffers, aunque no hayan sido concebidos para esos fines.
Para comprobar si un sistema est� en modo promiscuo se utiliza el comando ifconfig -a, aunque en algunos sistemas como el OSF/1 o el IRIX (el Unix de Silicon Graphics) hay que especificar el interface (dispositivo mediante el cual el sistema intercambia informaci�n con la red ethernet). Para ver los interfaces se puede utilizar el comando netstat -r.
Para terminar, s�lo advertir que los logs, es decir, los ficheros que utiliza el sniffer para guardar la informaci�n, suelen crecer muy deprisa por lo que si no se tiene cuidado pueden hacerse excesivamente grandes y alertar al administrador del sistema que al examinar los ficheros se dar� cuenta de que existe un hacker en su sistema. Por eso, es recomendable consultar los logs cada poco tiempo y dejar los ficheros a cero. |
