Capturando el tráfico de una red, para Newbies y curiosos.
enero 21, 2012 10 comentarios
…o como volverse un auténtico conspiparanoico.
Utilizar bajo "supervisión paterna"
Cuando uno cotillea un poco en internet sobre temas de seguridad informática, la reacción más normal debería de ser de acojone generalizado. Basta probar un poco con buenas herramientas y conseguiremos una auditoría de nuestra red que jamás hubiéramos pensado. Nuestro chat de tuenti, las fotos que enviamos y miles de cosas más que se envían en texto plano pueden ser interceptadas por cualquier pícaro que haya conseguido acceder a nuestra red.
Y es por los siguientes puntos por los que haríais bien en no acceder a redes sospechosas (o ajenas), abiertas y demás etcéteras. No está de más avisar de que sería también importante evitar que usuarios extraños se conecten a nuestras redes, ya que voy a demostraros que con unos mínimos conocimientos (yo no tenía ni «fokin» idea y ya he capturado algunas de mis contraseñas en poco tiempo) cualquiera podría sacar provecho de vuestra red.
Por mi parte, voy a seguir tirando cable de red por casa, que esto de la wifi: malo.
1. Wireshark.
Puede intimidar, pero nos muestra todo, todo y todo...
De la wikipedia:
Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica para educación. Cuenta con todas las características estándar de un analizador de protocolos.
La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica y muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la configuración en modo promiscuo. También incluye una versión basada en texto llamada tshark.
Permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la información capturada, a través de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que queremos ver y la habilidad de mostrar el flujo reconstruido de una sesión de TCP.
Wireshark es software libre, y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, incluyendo Linux, Solaris, FreeBSD, NetBSD, OpenBSD, y Mac OS X, así como en Microsoft Windows.
En un principio asustará, pero con un par de filtros podemos ver solo lo que queremos de todas las «comunicaciones» capturadas. Y el «easy way» es fácil como él solo.
Para instalarlo bajo Ubuntu (lo tenéis en los repositorios):
$ sudo apt-get install wireshark
Una ves instalado, es indispensable lanzarlo como administrador (si váis mediante el lanzador creado en Ubuntu lo haréis como usuario y no podréis poner la tarjeta de red en «modo promíscuo»).
$ sudo wireshark
Ya lanzado Wireshark, seleccionamos la interfaz por la que queramos capturar el tráfico, así que indicamos el dispositivo WLAN (conectado a la red wifi que vamos a «sniffear») correspondiente (se puede capturar por USB, LAN, etc… pero para eso consultad lecturas más profesionales).
El programa empezará a capturar todo el tráfico posible de la red en la que estamos conectados y nos irá informando de todos y cada uno de estos paquetes, mostrándonos la información contenida si hacemos click en la línea donde muestra la conexión correspondiente. En tiempo real, nos informará de las IPs fuente y destino, del tipo de protocolo y del tipo de información contenida en el paquete. Si no estáis de humor para examinar la información, podéis guardar la captura a un archivo y examinarla después, como os mostraré en el punto dedicado a la extracción de fotografías mediante ‘tcpxtract’.
Así a lo bestia es un poco difícil distinguir las cosas. Si tenéis conocimientos de redes lo pasaréis en grande y, sino, también. Wireshark puede filtrar la información, facilitándonos un formulario para crear el filtro. Con esto, y sabiendo buscar, accederéis a la información de provecho en muy poco tiempo.
Hay gente/empresas/aplicaciones que no se han dado cuenta de lo peligroso que es intercambiar la información en texto plano. Este es el caso de Tuenti y su chat (y pararos un momento a pensar la media de edad que suele usar esta red social y veréis lo peligroso de esto). Expertos en seguridad están cansados de repetir los defectos en casos como el de Tuenti o del archiconocido Whatsapp.
Cuando una aplicación comparte texto plano dentro de la red, Wireshark nos informará en la columna ‘info’ con la coletilla «text/html». Si en el recuadro del filtro ponemos http.content_type == «text/html» (escribiéndolo o indicándolo mediante el formulario) y aplicamos, Wireshark nos mostrara únicamente los paquetes que contengan esta información. Si hacemos click en cualquiera de ellos y desplegamos el campo ‘Plain text’, igual sacamos petróleo.
Para aprender realmente algo sobre Wireshark y las posibilidades de sus filtros, en Seguridad y Redes saben de lo que hablan.
Por mi parte no voy a contaros más (igual lo dejo para otra ocasión), aunque sé que lo estáis deseando. Es muy sencillo: arrancad los programas y a cotillear. Cosas como la MAC y nombre del dispositivo, el navegador y S.O utilizado por el equipo analizado también se saben facilmente con Wireshark, así que no juguéis con las wifis, amigos míos, es peligroso. 😉
2. Ettercap.
Ettercap es otro poderoso sniffer con unos plugins muy jugosos. Con él podemos realizar ataques Man in the Middle (útil para la captura de contraseñas enviadas por HTTPS), detectar tarjetas de red en modo promíscuo y estratagemas asociadas a ellas (recordar que todo esto está orientado a hacer el bien, no el mal) o IPs que estén usando Ettercap en nuestra misma red.
CUIDADO!
Nuevamente, desde Wikipedia:
Ettercap es un interceptor/sniffer/registrador para LANs con switch. Soporta direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS). También hace posible la inyección de datos en una conexión establecida y filtrado al vuelo aun manteniendo la conexión sincronizada gracias a su poder para establecer un Ataque Man-in-the-middle(Spoofing). Muchos modos de sniffing fueron implementados para darnos un conjunto de herramientas poderoso y completo de sniffing.
En un ataque de tipo «Man in the Middle», nuestra tarjeta de red se interpone entre fuente y destino de la conexión, consiguiendo capturar datos que no podríamos pescar mediante la red que lanzamos al mar con Wireshark. Otra vez, con Ettercap es de lo más fácil. Igualmente, una vez establecido el MiM podemos seguir analizando estos datos con Wireshark, aunque con los plugins de Ettercap nos ahorramos el tener que escribir un filtro de envío «post» en texto plano en Wireshark.
Ettercap en terminal con la interfaz 'curses'
Para instalarlo, tenéis la posibilidad de instalar Ettercap (para ejecutar en terminal) o Ettercap-GTK (con interfaz gráfica GTK).
$ sudo apt-get install ettercap o $ sudo apt.get install ettercap-gtk
Actualmente, Ettercap se resiste a funcionar en modo gráfico (GTK) bajo mi Ubuntu 11.10, pero la interfaz de terminal ‘curses’ es bastante efectiva. Yo lo lanzo con el comando ‘$ sudo ettercap -C’, pero vosotros podéis ejecutarlo directamente en vuestro entorno gráfico si tira. El procedimiento se la dejo a los profesionales:
- MiM con Ettercap bajo la interfaz Curses.
- ¿Me están robando mi Wifi? Otro magnífico tutorial de Ettercap de White-Hat Hacking.
- MiM con Ettercap y entorno gráfico (idem en Windows y GNU/Linux).
3. Tcpxtract.
Tcpxtract es un sencillo programa que extraerá todas las fotos capturadas en una sesión guardada de Wireshark. Para ello, basta con un simple comando.
Para instalar Tcpxtract:
$ sudo apt-get install tcpxtract
Muy bien, capturamos unos cuantos paquetes en Wireshark y este nos comunicó que había fotos por en medio (otra vez más, nos lo indica en la columna ‘info’).
Si guardamos esa captura en un archivo, podremos extraer las fotos incluídas con el siguiente comando:
$ tcpxtract --file "nombredearchivo" --output "nombredecarpeta"
Donde «nombredearchivo» será la captura de Wireshark y «nombredecarpeta» la carpeta donde queramos que descomprima las fotos. Es fundamental que esta carpeta exista, sino os quedaréis esperando en la terminal por los siglos de los siglos. Si sóis muy vagos, vale insertar -f y -o en vez de –file y –output.
Remarcar que si habéis ejecutado Wireshark mediante sudo, este archivo de captura solo estará accesible para el administrador, por lo que mandadle un ‘$ sudo chmod 777 nombredearchivo’ para poder trabajar tranquilamente con el archivo en cuestión y las fotos que extraigáis de él.
Haced el bien, chicos, y que no os toquen los huevos. ^^
Acerca de Gaius Baltar
El chalé de Gaius Baltar 
Gracias por los pingbacks. Me ha gustado tu blog.
Un saludo.
Gracias a ti. Tus tutoriales están «cañón». Hasta un inexperto como yo se los devora rapidamente 😉
¡Te linko! Lo que pasa es que no sé si meterte en seguridad, tecnología u opinión… xD
Un saludo!
Ja ja, sí, pongo un poco de todo. Pondré un link también de tu blog, que lo he estado leyendo y está interesante.
Un saludo.
Por curiosidad, ¿quién es el de tu avatar? Me suena de algo.
Gracias por el linkeo pues!
El avatar es Gaius Baltar, de Battlestar Galactica. Si hay que vender a la humanidad por un revolcón con Caprica 6, que sea así! :_D
Un saludo!
Está bueno de referencia. Una visión general pero aclaratoria cuando a veces uno anda un poco perdido como es mi caso.
Gracias
muy buen tuto he! excelente diría yo,..
Pingback: Capturando el tráfico de una red, para Newbies y curiosos. | El chalé de Gaius Baltar | El Blog del Chote
Pingback: Silencio, te vigilan - enriquemuriel.com