home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
SuperHack
/
SuperHack CD.bin
/
documentos
/
Huellas.txt
< prev
next >
Wrap
Text File
|
1999-05-11
|
34KB
|
606 lines
"Como cubrir tus huellas"
PRIMERA PARTE: TEORIA
I. Introduccion
II. Estado Mental
III. Lo Basico
IV. Avanzado
V. Bajo Sospecha
VI. Detenido
VII. Programas
I. Introduccion
Este texto esta dividido en 2 partes. La primera explica la teoria de borrar las huellas en un sistema y las razones
de hacerlo. La segunda te muestra los pasos a tomar en un sistema UNIX y las cosas que debemos evitar. Si eres
muy descuidado y flojo para leer todo el articulo (estupido) entonces lee la segunda parte.
Si piensas que conocer los exploits mas nuevos es la cosa mas importante para hackear un sistema estas
equivocado. ¿Como un exploit te va ayudar cuando te demanden y te quiten tus cuentas y computadoras? La
cosa verdaderamente importante para hackear es no ser sorprendido.
Es la PRIMERA cosa que un hacker debe dominar, por que en muchas ocasiones, especialmente cuando un
objetivo esta constantemente vigilado debido a los multiples ataques que haya sufrido, tu primer hack puede ser
el ultimo o
si quieres aprender a limpiar tus huellas despues de aprender lo basico sobre unix cambiar tus habitos puede
resultarte dificil. Asi que ¡examina estas secciones con cuidado! Hasta un hacker experimentado puede
aprender un poco en estos bytes.
Asi que esto encontraras aqui:
Seccion I - Me estas leyendo (introduccion).
Seccion II - Las cosas mentales para convertirte paranoico.
1. Motivacion
2. Por que debes ser paranoico
3. Como convertirte en paranoico
4. Permanecer paranoico
Seccion III - Lo basico ANTES de hackear.
1. Prefacio
2. Asegurate
3. Tu propia cuenta
4. Los Registros (LOGS)
5. No dejes huella
6. Cosas que debes evitar
Seccion IV - Tecnicas avanzadas
1. Prefacio
2. Previene que te localizen
3. Encuentra y manipula los registros (logs)
4. Checa la configuracion syslog y el archivo
5. Revisa los programas de seguridad instalados
6. Checa los admins
7. Como "corregir" el software de verificacion checksum
8. Trucos de seguridad
9. Miscelanea
Seccion V - Que hacer si estas bajo sospecha
Seccion VI - Las cosas que debes y no debes hacer cuando seas
sorprendido
Seccion VII - Programas
Lean con cuidado y sean todos ustedes impresionados.
II. Mental
* Motivacion *
El aspecto mental es la llave para ser exitoso en todo.
Es el poder de motivarte a ti mismo, luchar si duele, ser autodisciplinado, paranoico y realista, calcular los riesgos
correctamente y hacer cosas que no te gustan pero son importantes.
Si no puedes motivarte a ti mismo para programar herramientas importantes y esperar el momento perfecto para
atacar el objetivo, entonces nunca llegaras a ningun lado con tus "hacks".
Un hacker exitoso debe cumplir con estos requisitos mentales. Es como hacer fisiculturismo o una dieta - puedes
aprenderlo si realmente intentas.
HASTA EL MEJOR CONOCIMIENTO NO TE AYUDARA HASTA QUE ESTES REALMENTE PREOCUPADO
POR TOMAR PREVENCIONES Y DE HECHO HACERLAS.
* Por que debes ser paranoico *
Es verdad que ser paranoico normalmente no es algo que hace tu vida mas feliz. De cualquier manera si no estas
esperando lo peor, cualquier cosa puede pasarte y perderas el balance. Y recuerda que hackear es arriesgar
mucho las cosas.
En tu vida normal no debes preocuparte mucho de policias, ladrones y cosas de ese tipo. Pero si estas del otro
lado recuerda que tu haces la vida a otras personas dificil, les creas pesadillas y les das trabajo extra - Y quieren
detenerte.
Aunque sientas que no cometes un crimen - de hecho lo haces. Las cacerias de hackers en Mexico no son
populares pero en caso de desatarse alguna todos nos veremos involucrados. Ademas recuerden que aqui en
Mexico no existe
aquello de "culpable hasta que se demuestre lo contrario." Me ha tocado saber de amigos mios que son sacados
de la red simplemente por entablar conversaciones por correo electronico respecto a hackear sin hacerles ningun
tipo de pregunta (vil autoritarismo).
Una vez que tengas el estigma de un hacker jamas podras quitartelo. Una vez que estes en los records criminales
es dificil conseguir trabajo. Ninguna compañia de software o relacionada con sistemas te contratara, tendran
miedo de tus aptitudes y te veras a ti mismo forzado a emigrar o tu vida estara perdida.
¡SE PARANOICO!
¡PROTEGETE A TI MISMO!
¡RECUERDA QUE TIENES TODO QUE PERDER!
¡NUNCA TE SIENTAS TONTO DE HACER ALGO EXTRAORDINARIO PARA EVITAR QUE TE
LOCALIZEN!
¡QUE NUNCA TE IMPORTE QUE OTROS SE RIAN DE TU PARANOIA!
¡NUNCA SEAS LO BASTANTE FLOJO O CANSADO PARA MODIFICAR LOS REGISTROS!
¡¡¡UN HACKER DEBE HACER SU TRABAJO AL 100%!!!
* Como convertirse en paranoico *
Si tu lees la parte de arriba y piensas que es verdad, es facil - ya estas paranoico. Pero debe convertirse en parte
sustancial de tu vida. Si logras convertirte en un buen hacker siempre piensa en a quien decir algo, y ten
presente que tus llamadas y correos electronicos pueden ser monitoreados. Lee y memoriza la seccion pasada.
Si lo anterior no te ha ayudado, entonces piensa en lo que te pasaria si te encontraran culpable de "invasion a
propiedad privada" y todas esas porquerias legales. ¿Estara tu novia contigo? ¿Quieres ver a tus padres llorar?
¿Quieres verte expulsado de la escuela/universidad/trabajo?
¡No le des NINGUNA oportunidad a esto de que pase!
Si todo esto no te motiva para protegerte:
¡DEJA YA DE HACKEAR!
Eres un peligro a toda la sociedad de hackers y para tus amigos !
* Permanece Paranoico *
Espero hayas entendido la razon para ser paranoico. Asi que permanece paranoico. Un error o un momento de
pereza puede ser suficiente para arruinar tu vida o carrera.
Siempre recuerda la motivacion para hacerlo.
III. LO BASICO
* Prefacio *
Tu debes saber esto y practicarlo antes de empezar con tu primer hack. Existen los absolutamente basicos y sin
saberlos estaras en problemas pronto.
* ASEGURATE *
¿Que tal si un administrador lee tu correo?
¿Que tal si tus llamadas son grabadas por la policia?
¿Que pasaria si la policia te quita tu computadora con toda la
informacion sobre tus hackings en ella?
Si no recibes correo sospechoso, no hablas de hack/phreak por el telefono y no tienes archivos sensitivos en tu
disco entonces no tienes de que preocuparte. Pero eres un hacker.
Cualquier hacker necesita estar en contacto con otros y guardar sus datos en algun lugar.
¡Encripta la informacion que sea sensitiva!
Los encriptadores de disco duro son muy importantes y utiles: Hay algunos encriptadores muy buenos
disponibles en Internet como los que mencionare:
- Si tienes MsDos obten SFS v1.17 o SecureDrive 1.4b
- Si tienes Amiga obten EnigmaII v.1.5
- Si usas Unix obten CFS v1.33
Encriptadores de Archivos: Puedes usar cualquiera, pero debe usar uno de los bien conocidos y seguros
algoritmos. NUNCA uses un programa de encripcion que pueda ser exportado por que la efectividad de la
lengitud de sus llaves es limitada!
- Blowfish Advanced 95 (Anti-Tempest, Blowfish32, Idea, Des, etc.)
- Triple DES
- IDEA
- Blowfish (32 rounds)
¡Encripta tu correo electronico!
- PGP v2.6.x es el mas usado asi que usalo tu tambien.
Encripta tus llamadas telefonicas si quieres discutir cosas importantes.
-PGPFONE es muy bueno.
-Nautilus v1.5a es uno de los mejores.
Encripta tus sesiones de terminal cuando te conectes a un sistema UNIX.
Alguien puede estar haciendo sniffing, o monitoreando tu linea.
- SSH es el mas seguro.
- DES-Login es bastante bueno.
Usa fuertes passwords que no puedan ser adivinados y que no sean mencionados en ningun diccionario. Ellos
deben ser al hazar pero facil de recordar para ti. Si la llave puede ser mayor de 10 caracteres, usa esa y escoge una
sentencia de un libro ligeramente modificada.
Encripta los numeros telefonicos de tus amigos dos veces. Y llamales desde telefonos publicos/oficina/etc. solo
si no encriptas la llamada.
El principiante solo necesita PGP, un encriptor de archivos y un encriptor de disco duro. Si estas realmente
hundido en el hacking como nosotros recuerda encriptar TODO.
Realiza un respaldo de tu informacion (Zip-Drive, otro disco duro, CD, Tape) encriptada desde luego y guardala
donde no pueda encontrarse relacion con equipo de computadoras o contigo. En caso de incendio o que lleguen
a tu casa a quitarte tus datos no tendras que empesar de cero.
Manten solo las necesarias notas escritas mientras las necesites. No mas tiempo. Guardarlas encriptadas es
mucho mas seguro. Quema los papeles cuando ya no los necesites. Tu puedes crear notas con un algoritmo de
encripcion que solo tu conozcas, no le digas a nadie de tu algoritmo y no lo uses para textos largos por que
puede ser facilmente analizado y quebrado.
Los verdaderamente ultra-extremadamente-archi-super paranoicos deben considerar tambien el proyecto
TEMPEST. Policias, espias y hackers pueden monitorear todas tus acciones. Una persona bien equipada puede
obtener
*TODO* lo que quiera : La emanacion de pulsos electronicos pueden ser obtenidos a mas de 100 metros de
distancia y muestran la pantalla de tu monitor a cualquier persona, un apuntador laser a traves de tu ventana
podria escuchar tus conversaciones y un identificador de señales de alta frecuencia podria marcar todas las teclas
que alguien presiona .... Las posibilidades de este ataque son infinitas y aparatos como los jammers
(interruptores) de se±ales electronicas estan en el mercado para prevenir que seas una victima de un ataque de
este tipo.
* TU PROPIA CUENTA *
Ahora vamos hablar de tu cuenta propia. Esta es tu cuenta real que obtuviste en tu
escuela/universidad/trabajo/proveedor y esta asociada con tu nombre. Nunca olvides seguir estas reglas cuando
uses tu cuenta:
Nunca hagas algo ilegal o sospechoso con tu cuenta real. Ni siquiera hagas Telnet a un host para hackear de tu
cuenta.
Leer las listas de correo sobre seguridad usando tu cuenta esta bien. Pero *TODO* lo que *PAREZCA* que
tenga que ver con hacking debera estar encriptado o borrado.
Nunca dejes/salves herramientas para hackear en el espacio de tu cuenta. Si puedes usa POP3 para conectarte al
servidor de correo y obtener+borrar tu correo (o realizalo de otra manera si tienes experiencia en UNIX) Nunca
proporciones tu direccion verdadera de email si tu nombre esta en ella o en el espacio de informacion (GECO) de
cada usuario. Has saber tu verdadera direccion solo a personas que puedas confiar y que esten concientes de la
seguridad por que si los agarran a ellos tu podrias ser el siguiente.
Si vas a usar tu cuenta para intercambiar informacion asegurate de usar PGP ya que los administradores tienden a
ser un poco espias (metiches). Nunca uses tu cuenta de una manera que muestre que tienes interes en hacking. El
interes en la seguridad es OK pero nada mas.
* LOS REGISTROS *
En la mayoria de los sistemas existen 3 archivos de registro importantes:
WTMP - Todas las entradas/salidas mas tty y host.
UTMP - Quien esta en linea en el momento.
LASTLOG - De donde vinieron los logins.
Existen otros, pero esos seran discutidos en la seccion avanzada. Todos los logins via telnet, ftp, rlogin y en
algunos otros sistemas rsh son escritos a estos logs. Es MUY importante que te borres de estos archivos si estas
hackeando por que de otra manera:
a) pueden ver desde donde hiciste el hacking
b) desde que host llegaste
c) sabran cuanto tiempo estuviste en linea y calcularan el impacto
¡NUNCA BORRES LOS LOGS! Es la forma mas facil de mostrar a el administrador que un hacker estuvo en la
maquina. Obten un buen programa para modificarlos. ZAP -RareGaZz #3- (o ZAP2) es mencionado como el mejor
- pero no lo es. Lo
unico que hace es sobre escribir la informacion de la ultima persona que entro con ceros. CERT ya saco un
simple programa que checa por esos ceros en los logs asi que esa es una forma facil de revelar la presencia de un
hacker tambien. De nada sirve hackear R00T si cuando se de cuenta el admin todo tu trabajo no servira de nada!
Otra cosa importante de ZAP es que no funciona si no encuentra los archivos con los registros; asi que ¡checa
los paths antes de compilar!
Obten un programa que CAMBIE la informacion (CLOAK2) o uno bueno que BORRE
la entrada (CLEAR).
Normalmente uno debe ser r00t para modificar los registros. Pero si no lograste hackear el r00t ¿que puedes
hacer? No mucho:
Has un rlogin a la computadora en la que estes, para a±adir un nuevo y no sospechoso LASTLOG que sera
mostrado al administrador cuando entre la proxima vez. Asi el no se pondra nervioso cuando vea "localhost".
Muchas distribuciones de UNIX tienen un Bug con el comando Login. Cuando lo ejecutas sobre escribe el campo
login en UTMP (¡El que muestra el host de donde vienes!) con tu tty.
Los registros por default estan localizados en estos directorios:
UTMP : /etc o /var/adm o /usr/adm o /usr/var/adm o /var/log
WTMP : /etc o /var/adm o /usr/adm o /usr/var/adm o /var/log
LASTLOG : /usr/var/adm o /usr/adm o /var/adm o /var/log
* NO DEJES HUELLA *
Varios hackers se borran de los logs pero se olvidan de borrar otras cosas como archivos en /tmp y $HOME
Shells
Algunas shells dejan un archivo de registro(dependiendo de la configuracion) con todos los comandos que el
usuario usa. Eso es muy malo para un hacker. La mejor alternativa es empezar un nuevo shell como tu primer
comando despues de entrar y checar cada vez por un archivo de historia en tu $HOME.
Archivos de historia de comandos:
Shell - Archivo
sh : .sh_history
csh : .history <--- Cincos, Telnor, Microsol, Compunet, orca.etc..
ksh : .sh_history
bash: .bash_history
zsh : .history
En otras palabras: ejecuta "ls -altr" antes de irte!
Aqui hay 4 comandos csh que borraran el archivo .history cuando salgas del sistema para no dejar huella.
mv .logout save.1
echo rm .history>.logout
echo rm .logout>>.logout
echo mv save.1 .logout>>.logout
* COSAS QUE DEBES EVITAR *
No rompas passwords en otras maquinas que no sea la propia, y desde luego hazlo en un disco encriptado. Nota
que tambien puedes encriptar una particion de tu disco unicamente.
Si tratas de romper passwords en la universidad por ejemplo y el r00t observa el proceso no solo tu cuenta es
historia sino tambien el sitio de donde es el archivo con los passwords.
Obten el passwd (en estos dias el shadow :-) y crackealo en una segunda computadora o en un proceso
background. Tu no necesitas muchas cuentas de un sitio, solo unas pocas.
Si ejecutas programas importante como ypx, iss, satan o programas para explotar sistemas renombralos antes de
ejecutarlos. Y desde luego no uses parametros en la linea de comandos si el programa soporta modo interactivo
como telnet.
Escribe "telnet" y abre "open target.host.com" ... que no mostrara el host objetivo en el proceso como parametro.
Si hackeas algun sistema no pongas una shell suid en ningun lado! Es mejor tratar de instalar algunas puertas
traseras como ping, quota o login y usar fix para corregir el atime y mtime de el archivo si no tienes otra
posibilidad.
IV. Tecnicas Avanzadas
* PREFACIO *
Una vez que hayas instalado tu primer sniffer y comienzes a hackear por el mundo entero entonces debes saber
estas tecnicas.
* PREVIENE QUE TE LOCALICEN *
En ocasiones tus hacks seran notados. Eso no es ningun problema real si el operador del sistema no esta
interesado en perseguir los hackers que jueguen con su sistema, pero si se deciden a encontrarte entonces
empiezan los problemas.
Este corto capitulo te explicara todas las posibilidades que ELLOS tienen para encontrarte y que posibilidades
tienes tu de prevenir eso.
* Normalmente *no* sera problema para el administrador identificar a el hacker del sistema si:
1) checan las entradas del registro si el hacker fue peresozo.
2) si el hacker tiene instalado un sniffer checando el output que este produce donde aparecera informacion del
hacker.
3) si usan software de auditoria como loginlog
4) usando el comando "netstat" cuando el hacker se encuentre en linea.
Debes esperar que un operador de sistemas se entere de tu procedencia, es eso por lo que necesitas un servidor
gateway.
* Un gateway entre los dos - ¿Que es eso?
Es un servidor como KillerBot los mencionoen el numero 3 de la revista "condon" en donde tengas acceso root
para alterar los archivos wtmp y lastlog.
* El servidor origen del ataque *
Desde este servidor haras tu hacking. Telnet (o mejor: remsh/rsh) a una maquina gateway y luego al objetivo.
Necesitas acceso root para cambiar los logs.
Necesitaras cambiar el servidor desde que hackeas cada 2-4 semanas.
* Tu acceso Dial-Up a Internet *
Este es el punto mas critico. Una vez que hayan localizado la maquina que usas para accesar a Internet estas
frito.
Tu *NO* necesitas ser r00t en un host que uses para entrar a Internet. Como a estos te conectas via modem ahi
no existen logs que deban ser modificados. Deberas usar una cuenta diferente para entrar a el host cada dia, y
tratar de usar aquellas que son mas usadas.
No modifiques el sistema de ninguna manera. Necesitas tener por lo menos 2 host para accesar a Internet y
cambiarlos cada
mes o dos.
# Conclusion: Si tu hackeas otras cosas que universidades entonces necesitas
hacerlo de esta forma! Aqui esta un esquema para ayudarte ;-)
+-------+ ~---------------> +-------------+ +-----------+
|+-----+| > Un metodo para> |Uno de por lo| |Un servidor|
|| TU || --> > hacer segura > --> |menos 3 hosts| --> |desde donde|
|+-----+| > la llamada. > |de proteccion| |hackear. |
+-------+ ~---------------> +-------------+ +-----------+
|
|
v
+--------+ +-------------+
| EL | |Un servidor |
|OBJETIVO| <-- |hackeado como|
| | | gateway |
+--------+ +-------------+
* 3. Encuentra y manipula los registros *
Es importante que encuentres todos los archivos de registro - hasta los escondidos. Para encontrar todos los
tipos de registros existen dos faciles posibilidades.
1) Encuentra todos los archivos abiertos.
Como todos los archivos de registro deben ser escritos en algun lado, obten el programa LSOF - LiSt Open
Files - para verlos ... checalos ... y si es necesario corrigelos.
2) Busca todos los archivos modificados despues de que entraste. Despues de que entres a un sistema usa el
comando "touch /tmp/check" despues trabaja. Luego usa el comando "find / -newer /tmp/check -print" y revisa
si alguno de esos archivos son de auditoria. observa>revisa>corrige.
Nota que no todos los sistemas y versiones soportan la opcion -newer
Tu tambien puedes hacer un "find / -ctime 0 -print" o
"find / -cmin 0 -print" para encontrar los registros.
Revisa todos los registros que encuentres. Normalmente los registros estaran en /usr/adm, /var/adm o /var/log.
Si cosas se registran a @loghost entonces estas en problemas. Tu necesitas hackear la maquina loghost para
modificar los logs.
Para manipular los logs puedes hacer "grep -v", o un conteo de lineas con wc, y luego cortar las 10 ultimas con
"head -LineNumbersMinus10" o usar un editor etc.
Si los archivos de registro/auditoria no son archivos de texto sino de datos identifica el software que escribe los
registros. Despues consigue el codigo fuente. Despues encuentra el encabezado que defina la estructura del
archivo.
Obten zap, clear, cloak etc. y re-programa los codigos con los encabezados del archivo a usar con este tipo
especial de archivos de registro (y despues pasalo a la comunidad del hacking).
Si un programa de auditoria esta instalado necesitaras el acct-cleaner de zhart, funciona muy bien!
Un peque±o truco para modificar wtmp es necesario si no puedes compilar ningun codigo fuente, perl, etc.
Funciona en sistemas Sun pero no en Linux:
Has uuencode de wtmp. Ejecuta vi, ve al final del archivo y borra las ultimas 4 lineas que comienzen con "M" ...
despues salvalo y sal., uudecode y las ultimas 5 entradas al wtmp estaran borradas ;-)
Si el sistema usa wtmpx y utmpx entonces estas en problemas ... Hasta ahora no conozco ningun programa que
pueda modificarlos.
* 4. Checa la configuracion syslog y el archivo *
La mayoria de los programas usan syslog para registrar lo que quieren. Es importante revisar la configuracion
donde syslog imprimira los mensajes.
El archivo de configuracion es /etc/syslog.conf - la descripcion de cada entrada en ese archivo NO seran
explicadas en este texto. Lee algun otro archivo que trate ese tema en especial ;-). Los tipos de archivos y
entradas importantes son kern.*, auth.* y authpriv.*
Fijate donde se escriben esos archivos: los archivos pueden ser modificados. Si han sido mandados a otro
servidor deberas hackear ese tambien. Si los mensajes son enviados a un usuario, tty y/o consola puedes hacer
un peque±o truco para generar falsos mensajes de registro como ""echo 17:04 12-05-85 kernel sendmail[243]: can't
resolve bla.bla.com > /dev/console" o cualquier consola que quieras inundar para que el mensaje que desees
esconder simplemente se esconda entre los demas.
Los archivos de registro son *MUY* importantes! Revisalos.
* Revisa los programas de seguridad instalados *
En los sitios conscientes de seguridad, existen algunos chequeadores de seguridad que son ejecutados por cron.
El directorio normal para los crontabs son /var/spool/cron/contabs Revisa todas las entradas, especialmente las
de el archivo "root" y examina los archivos que ejecuta. Para una investigacion rapida de los crontabs del root
escribe "crontab -l root".
Algunas de estas herramientas de seguridad son instaladas por las cuentas administrativas. Algunas de ellas
(peque±as utilidades para revisar wtmp, y si un sniffer esta instalado) estan en ~/bin.
Lee abajo para identificar estos admins y revisar sus directorios.
El software de chequeo interno puede ser tiger, cops, spi, tripwire, l5, binaudit, hobgoblin, s3 etc.
Debes examinar lo que reportan y si ellos reportan algo eso seria un signo de alerta de tus hacks.
Si ese software reporta acciones sospechosas puedes:
- Actualizar los archivos de datos del programa (modo aprendizaje) para
que no reporte ese tipo de ataques.
- Reprogramar/modificar el software para que no reporten las acciones
sospechosas.
* 6. Checa los admins *
Es importante para ti que revises las medidas que los sysops toman si es que las toman. - asi que primero
necesitas saber las cuentas que normalmente utilizan.
Puedes revisar el archivo .forward de root y revisar la entrada alias del root. Tambien revisa el archivo passwd
por "admin" para que revele a los administradores.
Ahora debes saber los 1-6 administradores en las maquinas que esten. Cambia los directorios (usa chid.c,
changeid.c o algun script similar para convertirte en ese usuario si el root no tiene derechos a leer cada archivo)
y revisa sus archivos .history/.sh_history/.bash_history para ver que comandos usan. Checa sus archivos
.profile/.login/.bash_profile para ver que alias tienen en sus chequeos de seguridad. Examina sus directorios
~/bin! La mayoria del tiempo los programas de seguridad son puestos en ese directorio! Y desde luego echa un
vistazo a cada directorio que ellos tengan con el comando "ls-alR ~/".
Si encuentras programas de seguridad, lee 5.) para las posibilidades de sobrepasar esas protecciones.
* 7. Como "corregir" el software de verificacion checksum *
Algunos administradores le temen a los hackers e instalan software para detectar cambios en sus valiosos
binarios. Si un binario es modificado, la proxima vez que el administrador haga un chequeo sera detectado.
Asi que como necesitas saber ¿como puedes a)encontrar que chequeadores de binarios estan instalados y b)
como modificarlos para que puedas plantar un caballo de troya?
Nota que existen muchos chequeadores de archivos binarios y que es muy facil escribir alguno - toma 15 minutos
- y puede ser realizado con un peque±o script. Asi que es dificil encontrar este tipo de software si es que esta
instalado.
Estos son algunos de los programas mas usados:
SOFTWARE : PATH STANDARD : NOMBRE DE LOS ARCHIVOS BINARIOS
tripwire : /usr/adm/tcheck, /usr/local/adm/tcheck : databases, tripwire
binaudit : /usr/local/adm/audit : auditscan
hobgoblin : ~user/bin : hobgoblin
raudit : ~user/bin : raudit.pl
l5 : directorio para compilar : l5
Como puedes ver hay demasiadas posibilidades! El software o base de datos podria estar en un disco no
montado en el sistema o en una particion de otro host. O la base de datos con los checksums podria estar en un
medio protegido fisicamente. En el caso de que encuentres un sistema de seguridad de este tipo lo mejor es no
modificar los archivos binarios.
* 8. Trucos de seguridad *
Esto es una cosa rara de hacer y solo es necesario revisar para hacer un buen trabajo. Algunos usuarios,
llamados administradores y hackers, usualmente no quieren que sus cuentas sean usadas por otras personas. Es
por eso que ponen
seguridad en sus archivos de inicio. Asi que revisa todos los archivos de puntos (.profile, .cshrc, .login, .logout
etc.) y que comandos ejecutan, que registros tienen y cual es el path de busqueda establecido. Si por ejemplo
$HOME/bin viene antes de /bin en el path de busqueda deberas revisar los contenidos de ese directorio ...
quizas exista un programa llamado "ls" o "w" instalado que registra la ejecucion antes de ejecutar el verdadero
programa.
Tambien revisa automaticamente los archivos wtmp y lastlog para ver si ha sido ejecutado zap, si han sido
manipulados los archivos .rhosts y .Xauthority, sniffers activos, etc.
¡Nunca te metas con cuentas que un 'Mago' de unix este usando!
* 9. Miscelanea *
Estas son algunas cosas en las que debes poner atencion.
Los clientes Telnet viejos exportan la variable USER. Un administrador que conozca eso y modifique el telnetd
puede obtener todos los nombres de usuario e identificar desde que cuenta estas hackeando cuanto se de cuenta
de tu presencia.
Los nuevos clientes han sido arreglados - pero el administrador inteligente tiene otras formas de localizarte: las
variables UID, MAIL y HOME son exportadas y hacen la identificacion de la cuenta usada por el hacker
facilmente. Antes de hacer un telnet, cambia las variables USER, UID, MAIL y HOME, quizas hasta la variable
PWD si estas en el directorio Home.
En los sistemas HP-UX <v10 puedes crear directorios escondidos. No estoy hablando acerca de los archivos de
punto . o similares sino de un atributo. HP introdujo esta opcion en la version 9 pero fue removida en la 10
(debido a que era usada solo por hackers ;-). Si haces un "chmod +H directorio" es invisible a el comando "ls
-al". Para ver los directorios escondidos necesitas usar el switch -H ejemplo: "ls -alH"
Cuando necesites modificar la fecha de un archivo recuerda que usando el comando "touch" puedes cambiar el
atime y mtime.
Si instalas un sniffer y es un sistema importante, entonces necesitas asegurarte de ofuscar la salida (output) del
sniffer (con un algoritmo de encripcion o dejar que el sniffer envie toda la informacion capturada por via icmp o
udp a un host externo bajo tu control). ¿Por que? Si el administrador del sistema se entera del sniffer (cpm y otro
software checando por sniffers) no podran identificar en el archivo de registro que informacion fue obtenida, asi
que no podra avisar a otros hosts sobre tu presencia.
V. BAJO SOSPECHA
Una vez que estes bajo sospecha (policia o algun administrador) tu deberas tomar acciones especiales para que
no tengan evidencia en contra tuya.
NOTA: Si los administradores de algun sistema piensan que eres un hacker, ERES CULPABLE HASTA
DEMOSTRAR TU INOCENCIA
Las leyes no significan nada a los administradores (a veces pienso que la diferencia entre un hacker y un
administrador es que solo la computadora pertenece a ellos). Cuando ellos piensen que eres un hackers, eres
culpable si no tienes un abogado que hable por ti. Ellos tendran que monitorear tu e-mail, archivos y si son lo
suficientemente buenos, las teclas que presiones tambien.
Cuando la policia esta involucrada, tu linea telefonica puede ser monitoreada tambien y una emboscada puede
venir pronto.
Si te das cuenta o temes que estes bajo sospecha entonces manten un perfil bajo! No accion ofensiva debe ser
tomada que apunte al hacking.
La mejor cosa es esperar por lo menos 1 o 2 meses sin hacer nada. Avisa a tus amigos que no envien correo, si el
correo que recibes esta encriptado con PGP solo alertaras a los administradores. Recuerda encriptar toda tu
informacion sensitiva y remover todos los papeles con informacion sobre cuentas, numeros telefonicos, etc. Esas
son las cosas mas importantes que los administradores y policias buscaran cuando entren a tu casa.
VI. DETENIDO
Ahora hablaremos de las cosas que debes y no debes hacer cuando la policia te visite. Hay dos cosas *muy*
importantes que debes hacer:
1) ¡ OBTEN UN ABOGADO INMEDIATAMENTE !
El abogado debe llamar al juez y apelar a la orden de cateo. Esto no ayuda mucho pero puede interrumpir su
trabajo. El abogado debe decirte todo lo que los policias tienen derecho a hacer y que no. El abogado debe
escribir una carta a el juez solicitando las computadoras que te hayan sido confiscadas de regreso tan rapido
como sea posible por tu necesidad urgente de hacer negocios, etc.
2) ¡ NUNCA HABLES CON LOS POLICIAS !
Los policias no pueden prometerte nada. Si te dicen que saldras del problema si hablas no confies! Solo el juez
tiene el poder de hacer esto. Los policias solo quieren que les digas informacion que pueda ser usada en contra
tuya.
Siempre deberas negarte a ofrecer evidencia (passwords,etc) y diles que hablen contigo a traves de tu
abogado.
Entonces debes hacer un plan con tu abogado para salir del problema sin da±o o reducirlo.
¡POR FAVOR! ten en cuenta esto: no traiciones a tus amigos. No les digas ningun secreto.
Si lo haces sera un boomerang: tus ex-amigos se enojaran y se vengaran, y aquellos que seran atrapados por tu
culpa tambien hablaran ... y daran a la policia mas informacion acerca de *tus* crimenes.
Pregunta si en tu pais pueden forzarte a abrir tu caja fuerte, si este es el caso entonces debes negar tener
archivos encriptados.
VII. PROGRAMAS
Esta es una pequeña lista de los programas que deberas obtener y usar.
No preguntes donde puedes conseguirlos, necesitas encontrarlos.
Primero un pequeño Glosario:
Cambiar - Cambiar campos del archivo de registro por lo que quieras.
Borrar - Elimina las entradas que desees.
Editar - Un editor para el archivo de registro.
Sobre-Escribir - Sobre-escribe las entradas con valores de zero bytes.
Modificadores de Registro
~~~~~~~~~~~~~~~~~~~~~~~~~
ah-1_0b.tar Cambia las entradas de los programas de auditoria.
clear.c Borra las entradas en utmp, wtmp, lastlog y wtmpx
cloak2.c Cambia las entradas en utmp, wtmp y lastlog
invisible.c Sobre-escribe utmp, wtmp y lastlog con valores predefinidos,
asi que es mejor que zap.
marryv11.c Edita utmp, wtmp, lastlog e informacion de auditoria -Mejor!
wzap.c Borra las entradas en wtmp
wtmped.c Borra las entradas en wtmp
zap.c Sobre-escribe utmp, wtmp, lastlog - Puede ser detectado!
Por: CrackSmoker -Lider actual del grupo RdK-
Para: RareGaZz