Autor Tema: ¿Cómo combatir los Honeypots y otras intrusiones? (Leído 8952 veces)

skan · « **en:** 26-09-2013, 04:02 (Jueves) »

Hola

Estaba viendo un programa de la tele que se llama mundo hacker, que me parece que te dejan a medias de todo, pero bueno, supongo que no se pueden mojar más, y está entretenido.

La cosa es que se fueron a la estación de trenes de Madrid, montaron un punto de acceso falso y se pusieron a espiar cosas privadas.

Dijeron algo que me parece incorrecto, dijeron que no hay que conectarse a redes abiertas. Pero al punto de acceso le pueden poner una clave y seguir siendo falso (ya sé que entonces te tendrían que dar la clave, o usar la misma que el AP "bueno").

Yo me conecto desde bares, bibliotecas, universidad y otros lugares públicos.

Y la pregunta es...
¿Cómo combatir o detectar los honeypots u otros ataques similares?
(A parte de con servidores VPN, que no son gratis).

¿No se supone que gran parte de las webs usan https u otros protocolos con encriptación? (y programas como el skype también). Pero el tío del programa entró en las conversaciones del Facebook de la víctima.

Googleando he visto algún paper complicado, midiendo latencias... pero nada útil o mejor aún, algún software

sanson · « **Respuesta #1 en:** 26-09-2013, 07:53 (Jueves) »

Hola

En el apartado de manuales , tienes algunos vídeos de como hacer esto desde wifislax

Saludos

warcry · « **Respuesta #2 en:** 26-09-2013, 08:11 (Jueves) »

creo sans que a lo que se refiere es a lo contrario, a cuando navega por lugares publicos como evita que le hagan un fake ap, le spoofeen, le roben las contraseñas, se le conecten al pc o movil y le sustraigan datos o le inoculen alguna vacunita de nada que covierta su maquina en un zombie como los de walking dead ...

upsss

igual le he metido mas miedo que los de mundo hacker

sanson · « **Respuesta #3 en:** 26-09-2013, 09:09 (Jueves) »

Aahhhhhhh. Pues nada, para eso con el sentido común vale.

Evitarlo no se puede evitar, salvo con lo anteriormente dicho , pero se puede evitar (segun sepa el atacante mas o menos) utilizando como bien has dicho túneles vpn o herramientas de encriptacion

Para android por ejemplo yo uso orbot . Que no es otra cosa que la red tor (no se que sera mejor jajajajjaj)

Dicho esto si la red no tiene ningún tipo de seguridad es mejor no usarla y mas en la universidad

warcry · « **Respuesta #4 en:** 26-09-2013, 09:14 (Jueves) »

Cita de: sanson en 26-09-2013, 09:09 (Jueves)

Aahhhhhhh. Pues nada, para eso con el sentido común vale

sentido común ? pero alguien tiene de eso ?

eso no existe tio, es una leyenda urbana

alist3r · « **Respuesta #5 en:** 26-09-2013, 11:32 (Jueves) »

Cita de: skan en 26-09-2013, 04:02 (Jueves)

Hola

Estaba viendo un programa de la tele que se llama mundo hacker, que me parece que te dejan a medias de todo, pero bueno, supongo que no se pueden mojar más, y está entretenido.

mero espectáculo (con mis respetos a algunos compañeros e incluso socios que aparecen en él, pero es lo que es, y entre bambalinas bien que lo decimos)

La cosa es que se fueron a la estación de trenes de Madrid, montaron un punto de acceso falso y se pusieron a espiar cosas privadas.

Dijeron algo que me parece incorrecto, dijeron que no hay que conectarse a redes abiertas. Pero al punto de acceso le pueden poner una clave y seguir siendo falso (ya sé que entonces te tendrían que dar la clave, o usar la misma que el AP "bueno").

tú mismo te has respondido. se trata de evaluar el nivel de intencionalidad; una red abierta está ahi para que conecte la gente, y eso es sospechoso y potencialmente dañino. Y no solo eso, sino que aunque la red sea montada por una persona legítima sin malas intenciones, una persona SIN ESTAR SIQUIERA CONECTADA A ESA RED, puede capturar tus datos, que viajan sin cifrar. Es cierto que tambien se puede montar un honeypot con seguridad wireless, pero no parece tener lógica alguna. creo que hay que entender los conceptos sin forzar las interpretaciones al límite

Yo me conecto desde bares, bibliotecas, universidad y otros lugares públicos.
y yo. pero yo fuerzo el modo https en todo servicio que uso, levanto un firewall contra todo lo que viaje por el puerto 80, tunelizo por vpn privada... y un usuario normal seguramente no hace nada de eso. es una enorme diferencia. Y si no me crees, o crees que estás seguro gracias al HTTPS, investiga sobre el programa SSLSTRIP

Y la pregunta es...
¿Cómo combatir o detectar los honeypots u otros ataques similares?
(A parte de con servidores VPN, que no son gratis).

ya te he respondido. con buenos hábitos y con unos conocimientos elevados de seguridad de sistemas y arquitectura de las comunicaciones. en caso de que no dispongas de los segundos, siempre puedes restringir los primeros, de forma que por ejemplo no te conectas a tu correo personal en redes publicas de origen desconocido.

¿No se supone que gran parte de las webs usan https u otros protocolos con encriptación? (y programas como el skype también). Pero el tío del programa entró en las conversaciones del Facebook de la víctima.

ya te he respondido. sin querer me he adelantao

Googleando he visto algún paper complicado, midiendo latencias... pero nada útil o mejor aún, algún software

usamos ARPWATCH para detectar envenenamientos ARP, y SSLCOP (de Yago, por cierto, que lo habrás visto en mundohacker) para pinear los certificados SSL de manera que se impida el uso fraudulento de los mismos.
hay mucho mas, pero se sale totalmente del ámbito de conocimiento de este foro

warcry · « **Respuesta #6 en:** 26-09-2013, 11:54 (Jueves) »

Cita de: alister en 26-09-2013, 11:32 (Jueves)

usamos ARPWATCH para detectar envenenamientos ARP, y SSLCOP (de Yago, por cierto, que lo habrás visto en mundohacker) para pinear los certificados SSL de manera que se impida el uso fraudulento de los mismos.
hay mucho mas, pero se sale totalmente del ámbito de conocimiento de este foro

y el dhcpspoofing y el dnsspoofing

para el arp poisoning me gusta mas caldera

alist3r · « **Respuesta #7 en:** 26-09-2013, 12:54 (Jueves) »

Cita de: warcry en 26-09-2013, 11:54 (Jueves)

Cita de: alister en 26-09-2013, 11:32 (Jueves)

usamos ARPWATCH para detectar envenenamientos ARP, y SSLCOP (de Yago, por cierto, que lo habrás visto en mundohacker) para pinear los certificados SSL de manera que se impida el uso fraudulento de los mismos.
hay mucho mas, pero se sale totalmente del ámbito de conocimiento de este foro

y el dhcpspoofing y el dnsspoofing

ostras, ni idea. siempre utilizo unos dns configurados manualmente, incluso cuando uso dhcp, asi que el tema del dns spoofing no me afecta. siempre y cuando el ARP no esté envenenado, se controla ese riesgo.

para el dhcp spoofing, puedes usar el "dhcp server hostname" si el administrdor de la red te lo facilita, o puedes habilitar una tecnologia llamada snooping si tienes un router cisco, que evita la propagacion de broadcasts dhcp mediante una lista blanca de direcciones mac de servidores dhcp válidos y puertos de red en los que estan conectados.

para el arp poisoning me gusta mas caldera

WTF!? caldera linux?
o que te gusta poner veneno en las calderas? xDD

skan · « **Respuesta #8 en:** 26-09-2013, 14:13 (Jueves) »

Hola

alister,
la mayoría de los bares que ofrecen WiFi público no usan ningún tipo de encriptación. Pero los que la usan le dan la clave a todos sus cliente y normlamente no la cambian en meses. Cualquier chicho malo puede crear un AP con el mismo nombre o similar y usar esa misma clave.

Y mi pregunta sigue siendo... ¿Alguna forma de usar VPN sin tener que pagar por un servicio extra?
Ya había escuchado que el https se puede Auditar pero es lo que usa la mayoría de los mortales.

¿Qué os parece el uso de TOR en estos escenarios?. ¿Y DNS Crypt o incluso DNSSEC?. ¿Eso no serviría para nada?

No me conecto desde lugares públicos a bancos pero espero que al menos esas conexiones sean más seguras.

saludos

warcry · « **Respuesta #9 en:** 26-09-2013, 14:46 (Jueves) »

Cita de: alister en 26-09-2013, 12:54 (Jueves)

para el dhcp spoofing, puedes usar el "dhcp server hostname" si el administrdor de la red te lo facilita, o puedes habilitar una tecnologia llamada snooping si tienes un router cisco, que evita la propagacion de broadcasts dhcp mediante una lista blanca de direcciones mac de servidores dhcp válidos y puertos de red en los que estan conectados.

claro, claro, evitas el dhcpspoofing teniendo control del dhcp de la red publica, como que te lo van a dar.

Citar

o que te gusta poner veneno en las calderas? xDD

ajajjajajaja en que estaria yo pensando, perdon el software que te avisa de el arpspoofing en windows por supuesto, es marmita, no caldera, jajajajjajajja

si es que tengo un hambre que cualquier cosa que cocine me la como.

warcry · « **Respuesta #10 en:** 26-09-2013, 14:48 (Jueves) »

Cita de: skan en 26-09-2013, 14:13 (Jueves)

Hola

alister,
la mayoría de los bares que ofrecen WiFi público no usan ningún tipo de encriptación. Pero los que la usan le dan la clave a todos sus cliente y normlamente no la cambian en meses. Cualquier chicho malo puede crear un AP con el mismo nombre o similar y usar esa misma clave.

Y mi pregunta sigue siendo... ¿Alguna forma de usar VPN sin tener que pagar por un servicio extra?
Ya había escuchado que el https se puede Auditar pero es lo que usa la mayoría de los mortales.

¿Qué os parece el uso de TOR en estos escenarios?. ¿Y DNS Crypt o incluso DNSSEC?. ¿Eso no serviría para nada?

No me conecto desde lugares públicos a bancos pero espero que al menos esas conexiones sean más seguras.

saludos

no se porque tengo la sensacion de que este tema ya lo hemos tratado antes.

para una navegacion segura desde una red publica, para mi y simpre que no te esten spoofeando la red, es establecer un tunel ssh hasta el router de tu casa y utilizar la conexion de tu casa para salir a internet.

alist3r · « **Respuesta #11 en:** 26-09-2013, 18:38 (Jueves) »

Cita de: skan en 26-09-2013, 14:13 (Jueves)

Hola

alister,
la mayoría de los bares que ofrecen WiFi público no usan ningún tipo de encriptación. Pero los que la usan le dan la clave a todos sus cliente y normlamente no la cambian en meses. Cualquier chicho malo puede crear un AP con el mismo nombre o similar y usar esa misma clave.

lo cual no cambia en absoluto la situación ni las posibilidades de daños/ de ataque con respecto a una wifi publica. pero si en mundo hacker y en cualquier sitio donde charlemos sobre seguridad, te dicen que no te conectes a una wifi pública, creo que puedes cmprender perfectamente por qué y convendrás conmigo en que es mucho mas sencillo montar una honeypot en un lugar completamente abierto donde no debe haber una relacion humana previa y la trazabilidad del asaltante es mucho mas baja, que en un bar donde todos se conocen y se sabe que el asaltante ha pedido previamente la clave. vuelvo a repetir que no hay que talibanizar las interpretaciones, porque siempre podemos encontrar los casos en los que no aplican, y no por ello dejan de ser acertadas como consejo general.

Y mi pregunta sigue siendo... ¿Alguna forma de usar VPN sin tener que pagar por un servicio extra?
Ya había escuchado que el https se puede Auditar pero es lo que usa la mayoría de los mortales.

¿pagar?
vete a google y busca "free private vpns"

¿Qué os parece el uso de TOR en estos escenarios?. ¿Y DNS Crypt o incluso DNSSEC?. ¿Eso no serviría para nada?

tor proporciona una supuesta privacidad y sirve para que no te sniffen, pero acarrea ciertos problemas lo uses donde lo uses. en el momento que se populariza ya tiene a sus propios nodos-honeypot dentro de la red, algunos se cree que pertenecen incluso a la CIA, lo cual explicaria la tremenda interceptación de las peticiones DNS que se ha podido comprobar que han hecho en alguna ocasión.

No me conecto desde lugares públicos a bancos pero espero que al menos esas conexiones sean más seguras.

sigue soñando ademas, te olvidas de la "capa 8" jajajajaj

saludos

alist3r · « **Respuesta #12 en:** 26-09-2013, 18:45 (Jueves) »

Cita de: warcry en 26-09-2013, 14:46 (Jueves)

claro, claro, evitas el dhcpspoofing teniendo control del dhcp de la red publica, como que te lo van a dar.

siempre me pasa igual. yo hablando de seguridad, y vosotros hablando de IN-seguridad. me siento solo jajajaja.

me refiero a que un administrador de redes, para evitar el dhcp spoofing, puede anunciar que su servidor dhcp se llama "dhcpserver01" y los clientes dhcp, en lugar de lanzar un broadcast a lo loco, tiran una peticion acotada, que es algo que el estandar dhcp permite pero que se utiliza poco, por aquello de no tener que dar datos a los clientes que se conectan.

de todos modos, nada como el control desde la capa de enlace fisico y de transporte

skan · « **Respuesta #13 en:** 26-09-2013, 19:42 (Jueves) »

alister, los VPN que funcionan son los de pago.
Para encontrar gratuitos tienes que probar muchos cada día a ver cual funciona y de todos modos no es lo mismo.
Si te refieres a montar un VPN con tu propio router de casa u ordenador es otro tema, de todos modos no siempre es posible y también tiene sus desventajas.

warcry · « **Respuesta #14 en:** 26-09-2013, 20:00 (Jueves) »

creo skan que ya tienes todas las premisas que necesitas, y el darle vueltas al asunto es tonteria.

yo como recomendacion general, diria que no se utilicen redes publicas si se puede evitar, pagar una conexion por movil que a dia de hoy es muchisimo mas seguro.

si teneis que utilizar una red publica, utilizarla solo para temas ludicos, ver el periodico, etc. no navegues por sitios que requieran vuestras credenciales, ya no solo bancos, sino facebook,twitter etc. el foro se puede consultar como visitante no hace falta logearte para ver el contenido

y por supuesto si os vais a conectar a una red publica, no os olvideis de bastionar vuestro dispositivo, tipo de quitar todos los recursos compartidos, carpetas etc que windows por defecto te pone unas cuantas, ya que yo te cuelo una foto en una carpeta compartida, y un dia estas en casa y te da por ver esa carpeta y ves la foto y dices... ¿anda pos que tengo yo aqui? y vas y la abres y ves a la caludia sifer en bolas, pero zas !!! en toda la boca te acabas de comer un regalito de mucho cuidado.

es un ejemplo muy burdo pero que para el que no sabe se lo come con patatas y simplemente porque tiene las carpetas compartidas por defecto del windows.

asi que lo dicho, ya tienes toda la información que necesitas, ahora bien si tu eres un usuario habitual de redes publicas para conectarte y hacer vida cotidiana pues ya sabes a lo que te arriesgas, e igual ya esta la numeración de tu tarjeta de crédito/debito en el mercado negro de credenciales

skan · « **Respuesta #15 en:** 26-09-2013, 20:20 (Jueves) »

¿Y los servidores que proporcionan VPN gratuito pensáis que son fiables o están vendiendo vuestros datos?

warcry · « **Respuesta #16 en:** 26-09-2013, 21:11 (Jueves) »

Cita de: skan en 26-09-2013, 20:20 (Jueves)

¿Y los servidores que proporcionan VPN gratuito pensáis que son fiables o están vendiendo vuestros datos?

tienes tu la gestion de alguno de esos servidores...

creo que la respuesta es obvia... lo que quiera hacer el administrador

pero eso es asi en todos los sitios, la red de tu curro es segura? pues depende de lo que quiera hacer el administrador de la red de tu curro, si le da por trincarte los datos y venderlos pues ...

sanson · « **Respuesta #17 en:** 26-09-2013, 21:11 (Jueves) »

Las VPN gratuitas funcionan . No le des mas vueltas. Con toda la información que se te a dado, solo tienes que desglosarla un poco para ver lo que hay .

Y no te creas lo que cuentan en mundo hacker que es solo un producto de entretenimiento para no entendidos . Si quieres verlo por lo menos ve la edición de internet no la de la tele

skan · « **Respuesta #18 en:** 26-09-2013, 22:25 (Jueves) »

Sólo he visto ese programa dos veces porque no echaban nada mejor.

La cosa es que le he dado una nueva oportunidad a las VPN gratis (hace tiempo probé servidores gratuitos de VPN y proxies y eran muy malos y había que estar buscando nuevas IPs cada día).
Pero hoy he estado probando otra vez y el "VPNbook" con el openVPN parece que va rápido y bien, espero que no haya que reconfigurarlo con claves nuevas cada día.
¿Son fiables esos VPN gratuitos? o ¿Es peor el remedio que la enfermedad?

La idea no es sólo usarlo yo sino comentárselo a algunos conocidos que no saben de estas cosas.

Noticias:

Autor Tema: ¿Cómo combatir los Honeypots y otras intrusiones? (Leído 8952 veces)

skan

¿Cómo combatir los Honeypots y otras intrusiones?

sanson

Re: Re: ¿Cómo combatir los Honeypots y otras intrusiones?

warcry

Re: ¿Cómo combatir los Honeypots y otras intrusiones?

sanson

Re: Re: ¿Cómo combatir los Honeypots y otras intrusiones?

warcry

Re: Re: ¿Cómo combatir los Honeypots y otras intrusiones?

alist3r

Re: ¿Cómo combatir los Honeypots y otras intrusiones?

warcry

Re: ¿Cómo combatir los Honeypots y otras intrusiones?

alist3r

Re: ¿Cómo combatir los Honeypots y otras intrusiones?

skan

Re: ¿Cómo combatir los Honeypots y otras intrusiones?

warcry

Re: ¿Cómo combatir los Honeypots y otras intrusiones?

warcry

Re: ¿Cómo combatir los Honeypots y otras intrusiones?

alist3r

Re: ¿Cómo combatir los Honeypots y otras intrusiones?

alist3r

Re: ¿Cómo combatir los Honeypots y otras intrusiones?

skan

Re: ¿Cómo combatir los Honeypots y otras intrusiones?

warcry

Re: ¿Cómo combatir los Honeypots y otras intrusiones?

skan

Re: ¿Cómo combatir los Honeypots y otras intrusiones?

warcry

Re: ¿Cómo combatir los Honeypots y otras intrusiones?

sanson

Re: Re: ¿Cómo combatir los Honeypots y otras intrusiones?

skan

Re: ¿Cómo combatir los Honeypots y otras intrusiones?