Hace ya algún tiempo que salieron los primeros servicios que permitían analizar ficheros PCAP en la nube. Es decir, analizar ficheros con capturas de tráfico de red que eran subidos a la nube para ser analizados, como el caso del servicio Immunity Stalker del que os hablé allá por el ya lejano 2012. Hoy os vengo a hablar de otro servicio que implementa el interfaz del popular Wireshark, pero en cloud, y que tiene el nombre de CloudShark.
 |
| Figura 1: CloudShark. Tus credenciales en las trazas PCAPs de la nube |
La idea del servicio es bien sencilla. Haz una captura de red en formato PCAP con tu sniffer de red favorito y súbela a CloudShark para poder visualizar los paquetes y el contenido de los mismos. Hasta aquí todo va bien, pero cuando vemos que las capturas que se suben con los servicios gratuitos sin autenticar quedan expuestas a todo el mundo, y que las opciones de protección contra el indexado y caché de los buscadores no están fortificadas, la cosa se puede complicar.
 |
| Figura 2: Buscando en Google en las capturas indexadas de CloudShark |
De esto se dio cuenta mi amigo rootkit, y tras estar jugando un rato con las búsquedas, se puede ver que es muy fácil acceder a contraseñas de servicios de todo tipo. Muchas de ellas en redes locales, muchas otras de servicios en Internet.
 |
| Figura 3: Traza de una conexión FTP en red local |
Afinando las búsquedas y sacando el máximo del hacking con buscadores es posible localizar usuarios de WordPress, usuarios de servicios FTP, usuarios de administración de dispositivos de red o casi cualquier cosa que se te ocurra buscar en este servicio.
 |
| Figura 4: Traza de petición HTTP POST de login a una web con usuario y contraseña |
Si alguien estuviera buscando víctimas al azar o servidores que utilizar para lanzar un ataque desde ellos, desde luego ir a ver qué hay ya en CloudShark publicado en Google es una forma muy sencilla de hacerse con un servidor aleatorio sin realizar mucho trabajo, tal y como se puede ver en las imágenes.
 |
| Figura 5: Trazas de sesión de administación de un WordPress |
Si vas a hacer un trabajo de ethical hacking en un cliente y has hecho una captura PCAP del tráfico de un segmento, no la subas a un servicio en Cloud sin asegurarte de que no va a quedar expuesto a todo el mundo e indexado en un buscador, ya que podrías poner en riesgo la seguridad de tu cliente. Ten cuidado y sé cuidadoso con los datos que capturas en tu trabajo.
Saludos Malignos!
Entiendo: Ten cuidado y sé cuidadoso con los datos que capturas en tu trabajo.
ResponderEliminarVi esto y es engañoso. Google solo indexa enlaces web que están enlazados en un sitio web. No todos de CloudShark.
ResponderEliminar@Jason, eso es. Pero el error es que no se han configurado las opciones de indexación correctas en el sitio. Lee las referencias en los enlaces al principio. Saludos!
ResponderEliminar