Contenido Sesión 2.0. Etapa de Reconocimiento Autor: César Chávez Martínez cchavez@analistaforense.org.pe

1. Sesión 2.0 Etapa de Reconocimiento

2. ¿Quién Soy?
Graduado de la Universidad Nacional Mayor de San Marcos, Gerente Comercial de
Ediciones Forenses SAC, Consultor con 15 años de experiencia, Analista Forense
Privado, Gestor del Proyecto @Peruhacking y del Bsides Security Conference Perú
@BsidesPeru , ha participado como expositor nacional e internacional en diversos
congresos y certámenes de Hacking, Forensia y Seguridad Informática en Países de
habla hispana como son Bolivia, Chile y México. En la actualidad es el CEO de
Hacking Bolivia.
Blogger en COMPUTO FORENSE
También es autor de diversos textos sobre seguridad y protección de información.

3. + de 2000 Exposiciones sobre
Informática desde 2007
70 Exposiciones congresos
internacionales
desde 2011
Profesor de educación
superior
Desde 2012
500 Exposiciones
interprovinciales
desde 2009

4. Etapas del
Ethical Hacking

5. Etapa de reconocimiento
En esta etapa se adquiere los mayores detalles
de información del servidor a ser analizado,
para ello utilizaremos diversas herramientas y
fuentes de información. Esta etapa se le conoce
como Data Gathering, la cual esta compuesta
en Information Gathering y Human Hacking.
Recomendamos para conocer más esta etapa
dar lectura al Libro el Arte de la Intrusión de
Kevin Mitnick

6. Verificación de información de dominio
Para ello verificaremos detalles de registros de
dominio, por política internacional en cada país
se desarrolla la distribución de los dominios
desde NIC por ende en el caso de Bolivia,
estableceremos una búsqueda de dominios
desde la web www.nic.bo como se verifica en la
siguiente imagen, deberemos ubicar los
detalles desde la sección WHO IS

7. Cada dominio brindara detalles como: nombre de propietario, fecha de creación de
pagina, como dar revisión al DNS, se entiende como DNS el origen principal de un
servidor alojado.
Muchos dominios contaran con
detalles interesantes, como correos
electrónicos alojados fuera del
servidor, se considera un error grave
de seguridad.
La información de las personas a
cargo pueden ayudarte en la etapa de
Human Hacking

8. Los dominios con el prefijo general (.net .org .com .tv ,
etc) nos permitirán conocer detalles del servicio
general.
Empleamos como ejemplo el dominio whatsapp.com
Tiempo de caducidad de dominio, ultimo cambio
generado en el dominio, para ello colocaremos
únicamente en el navegador WHO IS Cabe recordar
que si unicamente deseamos obtener el dns podremos
emplear los comandos tracert o ping desde la consola
del MS-DOS
Verificación de información de dominio Domain Name: WHATSAPP.COM
Registrar: MARKMONITOR INC.
Sponsoring Registrar IANA ID: 292
Whois Server: whois.markmonitor.com
Referral URL: http://www.markmonitor.com
Name Server: NS1.P13.DYNECT.NET
Name Server: NS2.P13.DYNECT.NET
Name Server: NS3.P13.DYNECT.NET
Name Server: NS4.P13.DYNECT.NET
Status: clientDeleteProhibited
https://icann.org/epp#clientDeleteProhibited
Status: clientTransferProhibited
https://icann.org/epp#clientTransferProhibited
Status: clientUpdateProhibited
https://icann.org/epp#clientUpdateProhibited
Status: serverDeleteProhibited
https://icann.org/epp#serverDeleteProhibited
Status: serverTransferProhibited
https://icann.org/epp#serverTransferProhibited
Status: serverUpdateProhibited
https://icann.org/epp#serverUpdateProhibited
Updated Date: 03-jun-2014
Creation Date: 04-sep-2008
Expiration Date: 04-sep-2023

9. Muchos dominios contaran con detalles interesantes, como
correos electrónicos alojados fuera del servidor, se considera un
error grave de seguridad.
A mayor información de las personas a cargo de una entidad,
mayor facilidades para la etapa de Human Hacking
En algunas ocasiones las entidades NIC tienen vulnerabilidades
en sus base de datos, lo cual afecta a los usuarios que emplean
los servicios desarrollados por las mismas, por consideraciones
técnicas muchos proveedores de dominios cuentan con hostings
separados, se recomienda que los usuarios creen dominios con
terminaciones local, ya que en el caso de sufrir un incidente
informático, la asistencia técnica es mas factible.
Por tanto la diferencia de costo se ve beneficiosa con el servicio
técnico local.

10. https://archive.org/web/
Mediante el servicio WayBackMachine podremos
revisar los contenidos alojados en un servidor, como
todos los cambios generados en la creación de una
pagina.
En tal sentido nos permitirá verificar contenido alojado
de forma histórica. (Si este contenido aun esta alojado
en el servidor, facilitara conocer vulnerabilidades de
programas desfasados). Cabe indicar que el contenido
facilitado es una copia del cache que se genera en los
browsers. Si el dominio no esta bien configurado no se
obtendrá detalles.

11. El servidor nos provee detalles de
creación de dominio y cada
modificación empleada.
A mayor volatilidad de contenido
(cambios de paginas), se encontrara
detalles cambiantes en el calendario
indicado en el servidor de archive.org
Proveyendo una fuente rica de
información

12. Verificación de ataques informáticos previos
Los ataques informáticos más notorios son los
defaced, que corresponde a modificaciones de
contenido en un servidor.
Cabe resaltar que quienes se adjudican un
ataque no son en su mayoría quienes
encuentran las vulnerabilidades por primera
vez, un atacante al develar su acceso, ayuda a
que un administrador realice las
modificaciones de seguridad.

13. Base de datos de ataques previos
La base de datos de ataques previos de
ataques mundiales por excelencia esta alojada
en www.zone-h.org

14. Dominio Atacado
Notificador de Ataque
Sistema Operativo de
Hosting
Fecha de Ataque
Lugar atacado
frecuentemente
País donde esta alojado
el hosting

15. Siguiente Sesión 3.0 Human Hacking