SlideShare una empresa de Scribd logo

La recoleccion de informacion

Marco Mendoza López
Marco Mendoza López

El documento describe los resultados de una recolección de información pasiva sobre el sitio web de Conicyt.cl. Se encontró que el sitio expone demasiada información pública como las direcciones IP de sus servidores DNS y los datos personales del director de TIC, lo que lo hace vulnerable a ataques. Se recomienda que sitios importantes como este reduzcan su exposición de información para mejorar la seguridad.

Tecnología
1 de 11
Descargar para leer sin conexión
Universidad Centroamericana Facultad de Ciencia, Tecnología y Ambiente Ingeniería en Sistemas y Tecnologías de la Información Concentración de Redes y Comunicaciones Seguridad de Sistemas y Redes Information Gathering Autor: Marco Antonio Mendoza López Managua, 26 de junio de 2013
i Contenido 1. Resumen................................................................................................................................ 1 2. Introducción........................................................................................................................... 1 3. Objetivos................................................................................................................................ 2 3.1. General .............................................................................................................................. 2 3.2. Específicos.......................................................................................................................... 2 4. Marco Teórico........................................................................................................................ 3 4.1. Recolección de Información................................................................................................ 3 4.2. Nginx.................................................................................................................................. 3 4.3. Un proxy reverso en un servidor de hosting........................................................................ 4 4.4. Telmex Chile Internet S.A. .................................................................................................. 4 4.5. Hospro ............................................................................................................................... 4 4.6. Conicyt.cl............................................................................................................................ 4 4.7. Gonzalo Paredes................................................................................................................. 5 5. Metodología........................................................................................................................... 5 6. Resultados y Discusión ........................................................................................................... 6 7. Conclusiones.......................................................................................................................... 7 8. Referencias Bibliograficas....................................................................................................... 8 Anexos........................................................................................................................................... 8
1. Resumen La recolección de información es el paso más importante para poder determinar qué tan vulnerable puede ser nuestro sitio web por la información que este comparte. Algo tan sencillo como un nombre y un apellido puede ser el inicio de un ataque malicioso que puede causar grandes daños si no se cuenta con las medidas preventivas correspondientes que amortigüen el ataque. En el caso de Conicyt.cl se determinó que es demasiada la información pública que está en la red de este sitio, siendo una entidad tan determinante para Chile, no puede estar brindando información como las direcciones de sus servidores DNS, así mismo como los numero de contactos del director de TIC para esta institución. 2. Introducción La Recopilación de información es la segunda fase en el proceso de una prueba de penetración. En este trabajo se empleó la recolección de información de forma pasiva puesto que se utilizaron herramientas de terceros para poder obtener una serie de datos que permitió determinar el manejo del recurso de información del sitio Conicyt.cl. De esta manera se lograron adquirir destrezas en la búsqueda de información dentro la red, permitiendo así confirmar que tan vulnerable se hace una página web cuando no se administra correctamente la información.
3. Objetivos 3.1. General Adquirir destrezas y habilidades prácticas en la identificación y recolección de información en las empresas e instituciones que tienen presencia en internet. 3.2. Específicos  Determinar el sitio web a examinar para la recopilación de información.  Utilizar las herramientas de software que permitan obtener la mayor cantidad posible de información.  Organizar la información a fin de identificar la calidad en protección de la información que posee el sitio a examinar.
4. Marco Teórico 4.1. Recolección de Información La Recopilación de información es la segunda fase en el proceso de una prueba de penetración. En esta fase se intenta recolectar la mayor cantidad de información como sea posible sobre el objetivo de evaluación, como por ejemplo, nombres de usuarios, direcciones IP, servidores de nombres, etc. Durante la fase de recopilación de información, toda la información capturada es importante. Se puede dividir la recopilación de información de dos formas: 1. Recopilación de Información Activa: Se recolecta información introduciendo tráfico de red a la red objetivo, como por ejemplo al hacer un ping ICMP, un escaneo de puertos TCP. 2. Recopilación de Información Pasiva: Se recolecta información sobre la red objetivo utilizando servicios de terceros, como Google. Las aplicaciones Web son en la actualidad el principal punto vulnerable para casi todas las organizaciones al rededor del mundo. Los agujeros, fallas y malas configuraciones en las Aplicaciones Web provocan el robo de millones de tarjetas de créditos, datos personales críticos, daño financiero y de reputación en cientos de empresas. (Caballero Quezada, 2013) 4.2. Nginx Nginx [motor x] es un servidor proxy HTTP y marcha atrás, así como un servidor proxy de correo, escrito por Igor Sysoev . Durante mucho tiempo, ha estado funcionando en muchos sitios rusos muy cargados. (nginx, 2013)
4.3. Un proxy reverso en un servidor de hosting Los proxi se suelen utilizar en arquitecturas para servir sitios de alta demanda. En esos casos es común, por ejemplo, hacer que Apache sirva el contenido dinámico y un servidor más liviano (lighttpd o nginx) sirva contenido estático. Pero en un servidor de hosting esto no es tan sencillo, pues al alojarse varios sitios en un mismo equipo nuestra configuración debe ser lo más genérica posible para que sirva a la mayor parte de nuestros clientes. 4.4. Telmex Chile Internet S.A. Claro Chile es filial de América Móvil, el tercer operador de telecomunicaciones en el mundo y el más grande de Latinoamérica. Con más de 260 millones de clientes en 18 países. 4.5. Hospro Fueron los primeros en Ucrania que lanzó cloud hosting. En realidad, inicialmente la empresa se ubicaba en Ucraniana, pero ahora tienen una nube en Rusia y los Países Bajos, y sus puntos de CDN están ubicados en 41 países alrededor del mundo. (hostpro.ua, 2013) Ofrecen servicios de: hosting tanto en Linux como en Windows, VPS, Servidores dedicados e inteligentes, Dominios tanto ucranianos como internacionales. (hostpro.ua, 2013) 4.6. Conicyt.cl La Comisión Nacional de Investigación Científica y Tecnológica -CONICYT- de Chile, se orienta hoy por dos grandes objetivos o pilares estratégicos: el fomento de la formación de capital humano y el fortalecimiento de la base científica y tecnológica del país. A su vez, ambos pilares son potenciados de manera transversal por un área de información científica y una de vinculación internacional. (conicyt.cl, 2013)
4.7. Gonzalo Paredes Gonzalo Paredes Q. Ingeniero Civil Industrial y Magister en Ingeniería de Negocios TI (MBE) de la Universidad de Chile. Casado, 2 hijos. Gonzalo tiene inclinación por la innovación y la gestión estratégica a través de metodologías de procesos de negocio y arquitectura empresarial (BPM y EA). Su actual desafío es impulsar el desarrollo tecnológico en Conicyt de manera de facilitar la vida de los ciudadanos que contribuyen con la generación de conocimiento en Chile y asegurar que la gestión institucional cumpla con estándares de eficiencia y calidad. Teléfono: 02 2365 4531 5. Metodología La metodología empleada en este proceso investigativo, es de carácter cualitativo, debido a que se indago en las fuentes literales mayormente digitales, acerca de la seguridad de la información, así mismo se utilizó el internet como medio para adquirir la información del sitio a examinar. Así mismo se utilizó las herramientas:  Maltego del Sistema Operativo BackTrack 3.1.1.  http://domainsigma.com  http://dawhois.com  http://dawhois.com/traceroute/  http://www.dnswatch.info  http://cl.linkedin.com/pub/gonzalo-paredes/9/675/737 Posteriormente, se procedió a filtrar la información recopilada a fin de organizarla en este informe.
6. Resultados y Discusión El conicyt de Chile es la entidad que se encarga del fortalecimiento de la base científica y tecnológica su país. Sin embargo la tabla 1 presenta los resultado de la recopilación de la información. Ítem Descripción Sitio examinado http://www.conicyt.cl/ Número IP 146.83.150.136 ISP que utiliza Telmex Chile Internet S.A. Detalles de Dirección física (País, ciudad, barrio, etc) Chile Santiago, Región Metropolitana 12, CL Nombres reales asociados (de personas) Gonzalo Paredes (http://cl.linkedin.com/pub/gonzalo- paredes/9/675/737) Director TIC en CONICYT Contacto Técnico: Jorge Lama Números de teléfono 02 2365 4531 Fecha de inscripción y expiración del dominio Inscripcion: Sun, 10 Apr 2011 10:19:43 GMT, expiración: 28/04/2017/ Ultima actualización: 01 de marzo de 2013 Servidor Web que utiliza Server nginx/1.4.1 / Apache Plataformas detectada (apache, joomla, etc) Apache/2.2.15/FancyBox/JQuery/PHP/Nginx/Wordpress Servidores DNS que utiliza http://hostpro.ua/ru/ Servidores de nombre (Domain servers): ns.conicyt.cl (146.83.150.130) secundario.nic.cl (200.7.5.7) Sistema operativo (Si aplica) CentOS Tabla 1: Recopilación de Datos del Conicyt.cl Los resultados reflejan información valiosa y critica, como para realizar un ataque, como por ejemplo denegación de servicios por medio de los servidores DNS, ya que esta publico las ip de estos servidores. Empresas de gran prestigio como http://spanish.nicaragua.usembassy.gov/ no tienen este tipo de información de manera pública. Debemos recordar que la seguridad total no existe, pero si existe la reducción mínima de los riesgos y esto nos ayuda a reducir el impacto de los atacantes.
Por otro lado y no menos importante, los datos y afinidades del director TIC de la organización esta tan público que cualquiera puede planear una estrategia para que este sea víctima de Ingeniería Social, y extraer más información que ayude al ingreso del sitio web. También se encontró información acerca de la plataforma que maneja el servidor web que aloja a la página web (Ver anexo Figura 1). Sencillamente se busca en google como atacar la versión de dicha plataforma y es más de seguro que se encuentra información de lo mismo. 7. Conclusiones  La recolección de información para este caso, fue de manera pasiva ya que solo se utilizaron herramientas que reflejaban información.  A Conicyt de Chile le provee servicio de Internet Telmex de Chile que es una alianza con claro.  El sitio web de Conicyt se conoce al mundo por la ip 146.83.150.136. El servidor web esta ubicado en Santiago de Chile, pero el hosting lo provee una empresa Rusa que utiliza apache y un servidor Nginx 1.4.1.  Conicyt.cl tiene demasiada información pública en la red, lo que facilita un ataque malicioso.
8. Referencias Bibliograficas Caballero Quezada, A. E. (2013). slideshare.net. Recuperado el 06 de 2013, de slideshare.net: http://www.slideshare.net/nprosperu/webminar-gratuito-vulnerabilidades-ms-comunes- en-aplicaciones-web conicyt.cl. (2013). conicyt. Recuperado el 06 de 2013, de conicyt: http://www.conicyt.cl/sobre- conicyt/que-es-conicyt/ Maiwald, E. (2005). Fundamentos de Seguridad de Redes (Segunda ed.). México: McGraw-Hill Interamericana. nginx. (2013). nginx.org. Recuperado el 06 de 2013, de nginx.org: http://nginx.org/en/ Anexos Figura 1: Plataformas del sitio web conicyt.cl
Figura 2: Trayectoria de la peticion al servidor web del sitio conicyt.cl

Recomendados

Informe auditoria onti-publicacion-2013
Informe auditoria onti-publicacion-2013Informe auditoria onti-publicacion-2013
Informe auditoria onti-publicacion-2013Enrique Medina
 
Nagios
NagiosNagios
NagiosAlma Beltran
 
Presentacion De Nagios
Presentacion De NagiosPresentacion De Nagios
Presentacion De Nagiosmagicdrums
 
Nagios
NagiosNagios
NagiosAndré Daniel Silva
 
Sistema de Monitoreo Nagios Core
Sistema de Monitoreo Nagios CoreSistema de Monitoreo Nagios Core
Sistema de Monitoreo Nagios CoreYeider Fernandez
 
Instalación y configuración de Nagios
Instalación y configuración de NagiosInstalación y configuración de Nagios
Instalación y configuración de NagiosFrancisco José Cruz Jiménez
 
Nagios
NagiosNagios
NagiosJuan Avila V
 
Conferencia Monitoreo de Servidores con Nagios
Conferencia Monitoreo de Servidores con NagiosConferencia Monitoreo de Servidores con Nagios
Conferencia Monitoreo de Servidores con NagiosCentro de Altos Estudios en Ciencias, Tecnologias y Seguridad de la Información
 

Recomendados

Informe auditoria onti-publicacion-2013
Informe auditoria onti-publicacion-2013Informe auditoria onti-publicacion-2013
Informe auditoria onti-publicacion-2013Enrique Medina
 
Nagios
NagiosNagios
NagiosAlma Beltran
 
Presentacion De Nagios
Presentacion De NagiosPresentacion De Nagios
Presentacion De Nagiosmagicdrums
 
Nagios
NagiosNagios
NagiosAndré Daniel Silva
 
Sistema de Monitoreo Nagios Core
Sistema de Monitoreo Nagios CoreSistema de Monitoreo Nagios Core
Sistema de Monitoreo Nagios CoreYeider Fernandez
 
Instalación y configuración de Nagios
Instalación y configuración de NagiosInstalación y configuración de Nagios
Instalación y configuración de NagiosFrancisco José Cruz Jiménez
 
Nagios
NagiosNagios
NagiosJuan Avila V
 
Conferencia Monitoreo de Servidores con Nagios
Conferencia Monitoreo de Servidores con NagiosConferencia Monitoreo de Servidores con Nagios
Conferencia Monitoreo de Servidores con NagiosCentro de Altos Estudios en Ciencias, Tecnologias y Seguridad de la Información
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoWilliamBeltran007
 
S8 isaias urbano_informe
S8 isaias urbano_informeS8 isaias urbano_informe
S8 isaias urbano_informekassi URBANO DIEGO
 
Taller iii corte
Taller iii corteTaller iii corte
Taller iii cortejose-gregorio
 
Proyecyo final de analisis estructurado
Proyecyo final de analisis estructuradoProyecyo final de analisis estructurado
Proyecyo final de analisis estructuradoJuan Jose Flores
 
Implementacion practica utilizando_i_pv6
Implementacion practica utilizando_i_pv6Implementacion practica utilizando_i_pv6
Implementacion practica utilizando_i_pv6Héctor Peñaherrera
 
Proyecyo final de analisis estructurado
Proyecyo final de analisis estructuradoProyecyo final de analisis estructurado
Proyecyo final de analisis estructuradoJuan Jose Flores
 
Internet extranet intranet
Internet extranet intranetInternet extranet intranet
Internet extranet intranetCristo Esquivel Pinal
 
Internet extranet intranet
Internet extranet intranetInternet extranet intranet
Internet extranet intranetCristo Esquivel Pinal
 
Internet extranet intranet
Internet extranet intranetInternet extranet intranet
Internet extranet intranetCristo Esquivel Pinal
 
proyecto final de redes
proyecto final de redesproyecto final de redes
proyecto final de redeselena medrano
 
Proyecto Redes Informáticas
Proyecto Redes InformáticasProyecto Redes Informáticas
Proyecto Redes InformáticasFrancisco Larrea
 
Software libre en la educacion
Software libre en la educacionSoftware libre en la educacion
Software libre en la educacionbettyespinoza
 
Software libre en la educacion
Software libre en la educacionSoftware libre en la educacion
Software libre en la educacionbettyespinoza
 
Internet
InternetInternet
InternetFernandaAlgi
 
Campus party 2013
Campus party 2013Campus party 2013
Campus party 2013RUBINHO Pilco
 
Evidencias 1
Evidencias 1Evidencias 1
Evidencias 1Jean Andres Ordoñez
 
Internet diapositivas
Internet diapositivasInternet diapositivas
Internet diapositivasCamilula
 
Internet doiapositivas
Internet doiapositivasInternet doiapositivas
Internet doiapositivasCamilula
 
Internet doiapositivas
Internet doiapositivasInternet doiapositivas
Internet doiapositivasCamilula
 
Qué es internet
Qué es internetQué es internet
Qué es internetDahiana Tovar
 
Diagnóstico tecnológico de los cybercafé del distrito ii del municipio de man...
Diagnóstico tecnológico de los cybercafé del distrito ii del municipio de man...Diagnóstico tecnológico de los cybercafé del distrito ii del municipio de man...
Diagnóstico tecnológico de los cybercafé del distrito ii del municipio de man...Marco Mendoza López
 
Estudio de la tecnología VPLS (Virtual Private LAN Service) como solución de ...
Estudio de la tecnología VPLS (Virtual Private LAN Service) como solución de ...Estudio de la tecnología VPLS (Virtual Private LAN Service) como solución de ...
Estudio de la tecnología VPLS (Virtual Private LAN Service) como solución de ...Marco Mendoza López
 

Más contenido relacionado

Similar a La recoleccion de informacion

Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoWilliamBeltran007
 
Proyecyo final de analisis estructurado
Proyecyo final de analisis estructuradoProyecyo final de analisis estructurado
Proyecyo final de analisis estructuradoJuan Jose Flores
 
Implementacion practica utilizando_i_pv6
Implementacion practica utilizando_i_pv6Implementacion practica utilizando_i_pv6
Implementacion practica utilizando_i_pv6Héctor Peñaherrera
 
Proyecyo final de analisis estructurado
Proyecyo final de analisis estructuradoProyecyo final de analisis estructurado
Proyecyo final de analisis estructuradoJuan Jose Flores
 
proyecto final de redes
proyecto final de redesproyecto final de redes
proyecto final de redeselena medrano
 
Proyecto Redes Informáticas
Proyecto Redes InformáticasProyecto Redes Informáticas
Proyecto Redes InformáticasFrancisco Larrea
 
Software libre en la educacion
Software libre en la educacionSoftware libre en la educacion
Software libre en la educacionbettyespinoza
 
Software libre en la educacion
Software libre en la educacionSoftware libre en la educacion
Software libre en la educacionbettyespinoza
 
Internet diapositivas
Internet diapositivasInternet diapositivas
Internet diapositivasCamilula
 
Internet doiapositivas
Internet doiapositivasInternet doiapositivas
Internet doiapositivasCamilula
 
Internet doiapositivas
Internet doiapositivasInternet doiapositivas
Internet doiapositivasCamilula
 

Similar a La recoleccion de informacion (20)

Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_Colaborativo
 
S8 isaias urbano_informe
S8 isaias urbano_informeS8 isaias urbano_informe
S8 isaias urbano_informe
 
Taller iii corte
Taller iii corteTaller iii corte
Taller iii corte
 
Proyecyo final de analisis estructurado
Proyecyo final de analisis estructuradoProyecyo final de analisis estructurado
Proyecyo final de analisis estructurado
 
Implementacion practica utilizando_i_pv6
Implementacion practica utilizando_i_pv6Implementacion practica utilizando_i_pv6
Implementacion practica utilizando_i_pv6
 
Proyecyo final de analisis estructurado
Proyecyo final de analisis estructuradoProyecyo final de analisis estructurado
Proyecyo final de analisis estructurado
 
Internet extranet intranet
Internet extranet intranetInternet extranet intranet
Internet extranet intranet
 
Internet extranet intranet
Internet extranet intranetInternet extranet intranet
Internet extranet intranet
 
Internet extranet intranet
Internet extranet intranetInternet extranet intranet
Internet extranet intranet
 
proyecto final de redes
proyecto final de redesproyecto final de redes
proyecto final de redes
 
Proyecto Redes Informáticas
Proyecto Redes InformáticasProyecto Redes Informáticas
Proyecto Redes Informáticas
 
Software libre en la educacion
Software libre en la educacionSoftware libre en la educacion
Software libre en la educacion
 
Software libre en la educacion
Software libre en la educacionSoftware libre en la educacion
Software libre en la educacion
 
Internet
InternetInternet
Internet
 
Campus party 2013
Campus party 2013Campus party 2013
Campus party 2013
 
Evidencias 1
Evidencias 1Evidencias 1
Evidencias 1
 
Internet diapositivas
Internet diapositivasInternet diapositivas
Internet diapositivas
 
Internet doiapositivas
Internet doiapositivasInternet doiapositivas
Internet doiapositivas
 
Internet doiapositivas
Internet doiapositivasInternet doiapositivas
Internet doiapositivas
 
Qué es internet
Qué es internetQué es internet
Qué es internet
 

Más de Marco Mendoza López

Diagnóstico tecnológico de los cybercafé del distrito ii del municipio de man...
Diagnóstico tecnológico de los cybercafé del distrito ii del municipio de man...Diagnóstico tecnológico de los cybercafé del distrito ii del municipio de man...
Diagnóstico tecnológico de los cybercafé del distrito ii del municipio de man...Marco Mendoza López
 
Estudio de la tecnología VPLS (Virtual Private LAN Service) como solución de ...
Estudio de la tecnología VPLS (Virtual Private LAN Service) como solución de ...Estudio de la tecnología VPLS (Virtual Private LAN Service) como solución de ...
Estudio de la tecnología VPLS (Virtual Private LAN Service) como solución de ...Marco Mendoza López
 
Trasmisión por modulación angular2
Trasmisión por modulación angular2Trasmisión por modulación angular2
Trasmisión por modulación angular2Marco Mendoza López
 
Transmisión por modulación de amplitud2
Transmisión por modulación de amplitud2Transmisión por modulación de amplitud2
Transmisión por modulación de amplitud2Marco Mendoza López
 
Informe nagios proyecto | Operación y Monitoreo de Redes
Informe nagios proyecto | Operación y Monitoreo de RedesInforme nagios proyecto | Operación y Monitoreo de Redes
Informe nagios proyecto | Operación y Monitoreo de RedesMarco Mendoza López
 
Introducción a los comunicaciones electron1cas
Introducción a los comunicaciones electron1casIntroducción a los comunicaciones electron1cas
Introducción a los comunicaciones electron1casMarco Mendoza López
 
Analisis del uso del tiempo en las parejas
Analisis del uso del tiempo en las parejasAnalisis del uso del tiempo en las parejas
Analisis del uso del tiempo en las parejasMarco Mendoza López
 
Reporte lab III autoinducción e inducción mutua
Reporte lab III autoinducción e inducción mutuaReporte lab III autoinducción e inducción mutua
Reporte lab III autoinducción e inducción mutuaMarco Mendoza López
 
Diagnóstico tecnológico de los cybercafé del distrito II del municipio de man...
Diagnóstico tecnológico de los cybercafé del distrito II del municipio de man...Diagnóstico tecnológico de los cybercafé del distrito II del municipio de man...
Diagnóstico tecnológico de los cybercafé del distrito II del municipio de man...Marco Mendoza López
 
Percepción del uso de Internet de los y las estudiantes de Ingeniería en Sist...
Percepción del uso de Internet de los y las estudiantes de Ingeniería en Sist...Percepción del uso de Internet de los y las estudiantes de Ingeniería en Sist...
Percepción del uso de Internet de los y las estudiantes de Ingeniería en Sist...Marco Mendoza López
 
Motivación de los estudiantes para la elección de
Motivación de los estudiantes para la elección deMotivación de los estudiantes para la elección de
Motivación de los estudiantes para la elección deMarco Mendoza López
 
Vivir como un guerrero, ensayo desde una perspectiva ética filosófica
Vivir como un guerrero, ensayo desde una perspectiva ética filosóficaVivir como un guerrero, ensayo desde una perspectiva ética filosófica
Vivir como un guerrero, ensayo desde una perspectiva ética filosóficaMarco Mendoza López
 

Más de Marco Mendoza López (20)

Diagnóstico tecnológico de los cybercafé del distrito ii del municipio de man...
Diagnóstico tecnológico de los cybercafé del distrito ii del municipio de man...Diagnóstico tecnológico de los cybercafé del distrito ii del municipio de man...
Diagnóstico tecnológico de los cybercafé del distrito ii del municipio de man...
 
Estudio de la tecnología VPLS (Virtual Private LAN Service) como solución de ...
Estudio de la tecnología VPLS (Virtual Private LAN Service) como solución de ...Estudio de la tecnología VPLS (Virtual Private LAN Service) como solución de ...
Estudio de la tecnología VPLS (Virtual Private LAN Service) como solución de ...
 
Virtual port-channel
Virtual port-channelVirtual port-channel
Virtual port-channel
 
Seguridad en redes wifi wpa2-psk
Seguridad en redes wifi wpa2-pskSeguridad en redes wifi wpa2-psk
Seguridad en redes wifi wpa2-psk
 
Comunicaciones digitales Nic
Comunicaciones digitales NicComunicaciones digitales Nic
Comunicaciones digitales Nic
 
Trasmisión por modulación angular2
Trasmisión por modulación angular2Trasmisión por modulación angular2
Trasmisión por modulación angular2
 
Transmisión por modulación de amplitud2
Transmisión por modulación de amplitud2Transmisión por modulación de amplitud2
Transmisión por modulación de amplitud2
 
Informe nagios proyecto | Operación y Monitoreo de Redes
Informe nagios proyecto | Operación y Monitoreo de RedesInforme nagios proyecto | Operación y Monitoreo de Redes
Informe nagios proyecto | Operación y Monitoreo de Redes
 
Introducción a los comunicaciones electron1cas
Introducción a los comunicaciones electron1casIntroducción a los comunicaciones electron1cas
Introducción a los comunicaciones electron1cas
 
Analisis del uso del tiempo en las parejas
Analisis del uso del tiempo en las parejasAnalisis del uso del tiempo en las parejas
Analisis del uso del tiempo en las parejas
 
Reporte lab III autoinducción e inducción mutua
Reporte lab III autoinducción e inducción mutuaReporte lab III autoinducción e inducción mutua
Reporte lab III autoinducción e inducción mutua
 
Diagnóstico tecnológico de los cybercafé del distrito II del municipio de man...
Diagnóstico tecnológico de los cybercafé del distrito II del municipio de man...Diagnóstico tecnológico de los cybercafé del distrito II del municipio de man...
Diagnóstico tecnológico de los cybercafé del distrito II del municipio de man...
 
Percepción del uso de Internet de los y las estudiantes de Ingeniería en Sist...
Percepción del uso de Internet de los y las estudiantes de Ingeniería en Sist...Percepción del uso de Internet de los y las estudiantes de Ingeniería en Sist...
Percepción del uso de Internet de los y las estudiantes de Ingeniería en Sist...
 
Etica Aplicada
Etica AplicadaEtica Aplicada
Etica Aplicada
 
Motivación de los estudiantes para la elección de
Motivación de los estudiantes para la elección deMotivación de los estudiantes para la elección de
Motivación de los estudiantes para la elección de
 
La integridad de una auditora
La integridad de una auditoraLa integridad de una auditora
La integridad de una auditora
 
Vivir como un guerrero, ensayo desde una perspectiva ética filosófica
Vivir como un guerrero, ensayo desde una perspectiva ética filosóficaVivir como un guerrero, ensayo desde una perspectiva ética filosófica
Vivir como un guerrero, ensayo desde una perspectiva ética filosófica
 
Utilitarismo presentación
Utilitarismo presentaciónUtilitarismo presentación
Utilitarismo presentación
 
Utilitarismo cuadro sinoptico
Utilitarismo cuadro sinopticoUtilitarismo cuadro sinoptico
Utilitarismo cuadro sinoptico
 
Arquitectura de redes
Arquitectura de redesArquitectura de redes
Arquitectura de redes
 

Último

trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 

Último (20)

trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 

La recoleccion de informacion

  • 1. Universidad Centroamericana Facultad de Ciencia, Tecnología y Ambiente Ingeniería en Sistemas y Tecnologías de la Información Concentración de Redes y Comunicaciones Seguridad de Sistemas y Redes Information Gathering Autor: Marco Antonio Mendoza López Managua, 26 de junio de 2013
  • 2. i Contenido 1. Resumen................................................................................................................................ 1 2. Introducción........................................................................................................................... 1 3. Objetivos................................................................................................................................ 2 3.1. General .............................................................................................................................. 2 3.2. Específicos.......................................................................................................................... 2 4. Marco Teórico........................................................................................................................ 3 4.1. Recolección de Información................................................................................................ 3 4.2. Nginx.................................................................................................................................. 3 4.3. Un proxy reverso en un servidor de hosting........................................................................ 4 4.4. Telmex Chile Internet S.A. .................................................................................................. 4 4.5. Hospro ............................................................................................................................... 4 4.6. Conicyt.cl............................................................................................................................ 4 4.7. Gonzalo Paredes................................................................................................................. 5 5. Metodología........................................................................................................................... 5 6. Resultados y Discusión ........................................................................................................... 6 7. Conclusiones.......................................................................................................................... 7 8. Referencias Bibliograficas....................................................................................................... 8 Anexos........................................................................................................................................... 8
  • 3. 1. Resumen La recolección de información es el paso más importante para poder determinar qué tan vulnerable puede ser nuestro sitio web por la información que este comparte. Algo tan sencillo como un nombre y un apellido puede ser el inicio de un ataque malicioso que puede causar grandes daños si no se cuenta con las medidas preventivas correspondientes que amortigüen el ataque. En el caso de Conicyt.cl se determinó que es demasiada la información pública que está en la red de este sitio, siendo una entidad tan determinante para Chile, no puede estar brindando información como las direcciones de sus servidores DNS, así mismo como los numero de contactos del director de TIC para esta institución. 2. Introducción La Recopilación de información es la segunda fase en el proceso de una prueba de penetración. En este trabajo se empleó la recolección de información de forma pasiva puesto que se utilizaron herramientas de terceros para poder obtener una serie de datos que permitió determinar el manejo del recurso de información del sitio Conicyt.cl. De esta manera se lograron adquirir destrezas en la búsqueda de información dentro la red, permitiendo así confirmar que tan vulnerable se hace una página web cuando no se administra correctamente la información.
  • 4. 3. Objetivos 3.1. General Adquirir destrezas y habilidades prácticas en la identificación y recolección de información en las empresas e instituciones que tienen presencia en internet. 3.2. Específicos  Determinar el sitio web a examinar para la recopilación de información.  Utilizar las herramientas de software que permitan obtener la mayor cantidad posible de información.  Organizar la información a fin de identificar la calidad en protección de la información que posee el sitio a examinar.
  • 5. 4. Marco Teórico 4.1. Recolección de Información La Recopilación de información es la segunda fase en el proceso de una prueba de penetración. En esta fase se intenta recolectar la mayor cantidad de información como sea posible sobre el objetivo de evaluación, como por ejemplo, nombres de usuarios, direcciones IP, servidores de nombres, etc. Durante la fase de recopilación de información, toda la información capturada es importante. Se puede dividir la recopilación de información de dos formas: 1. Recopilación de Información Activa: Se recolecta información introduciendo tráfico de red a la red objetivo, como por ejemplo al hacer un ping ICMP, un escaneo de puertos TCP. 2. Recopilación de Información Pasiva: Se recolecta información sobre la red objetivo utilizando servicios de terceros, como Google. Las aplicaciones Web son en la actualidad el principal punto vulnerable para casi todas las organizaciones al rededor del mundo. Los agujeros, fallas y malas configuraciones en las Aplicaciones Web provocan el robo de millones de tarjetas de créditos, datos personales críticos, daño financiero y de reputación en cientos de empresas. (Caballero Quezada, 2013) 4.2. Nginx Nginx [motor x] es un servidor proxy HTTP y marcha atrás, así como un servidor proxy de correo, escrito por Igor Sysoev . Durante mucho tiempo, ha estado funcionando en muchos sitios rusos muy cargados. (nginx, 2013)
  • 6. 4.3. Un proxy reverso en un servidor de hosting Los proxi se suelen utilizar en arquitecturas para servir sitios de alta demanda. En esos casos es común, por ejemplo, hacer que Apache sirva el contenido dinámico y un servidor más liviano (lighttpd o nginx) sirva contenido estático. Pero en un servidor de hosting esto no es tan sencillo, pues al alojarse varios sitios en un mismo equipo nuestra configuración debe ser lo más genérica posible para que sirva a la mayor parte de nuestros clientes. 4.4. Telmex Chile Internet S.A. Claro Chile es filial de América Móvil, el tercer operador de telecomunicaciones en el mundo y el más grande de Latinoamérica. Con más de 260 millones de clientes en 18 países. 4.5. Hospro Fueron los primeros en Ucrania que lanzó cloud hosting. En realidad, inicialmente la empresa se ubicaba en Ucraniana, pero ahora tienen una nube en Rusia y los Países Bajos, y sus puntos de CDN están ubicados en 41 países alrededor del mundo. (hostpro.ua, 2013) Ofrecen servicios de: hosting tanto en Linux como en Windows, VPS, Servidores dedicados e inteligentes, Dominios tanto ucranianos como internacionales. (hostpro.ua, 2013) 4.6. Conicyt.cl La Comisión Nacional de Investigación Científica y Tecnológica -CONICYT- de Chile, se orienta hoy por dos grandes objetivos o pilares estratégicos: el fomento de la formación de capital humano y el fortalecimiento de la base científica y tecnológica del país. A su vez, ambos pilares son potenciados de manera transversal por un área de información científica y una de vinculación internacional. (conicyt.cl, 2013)
  • 7. 4.7. Gonzalo Paredes Gonzalo Paredes Q. Ingeniero Civil Industrial y Magister en Ingeniería de Negocios TI (MBE) de la Universidad de Chile. Casado, 2 hijos. Gonzalo tiene inclinación por la innovación y la gestión estratégica a través de metodologías de procesos de negocio y arquitectura empresarial (BPM y EA). Su actual desafío es impulsar el desarrollo tecnológico en Conicyt de manera de facilitar la vida de los ciudadanos que contribuyen con la generación de conocimiento en Chile y asegurar que la gestión institucional cumpla con estándares de eficiencia y calidad. Teléfono: 02 2365 4531 5. Metodología La metodología empleada en este proceso investigativo, es de carácter cualitativo, debido a que se indago en las fuentes literales mayormente digitales, acerca de la seguridad de la información, así mismo se utilizó el internet como medio para adquirir la información del sitio a examinar. Así mismo se utilizó las herramientas:  Maltego del Sistema Operativo BackTrack 3.1.1.  http://domainsigma.com  http://dawhois.com  http://dawhois.com/traceroute/  http://www.dnswatch.info  http://cl.linkedin.com/pub/gonzalo-paredes/9/675/737 Posteriormente, se procedió a filtrar la información recopilada a fin de organizarla en este informe.
  • 8. 6. Resultados y Discusión El conicyt de Chile es la entidad que se encarga del fortalecimiento de la base científica y tecnológica su país. Sin embargo la tabla 1 presenta los resultado de la recopilación de la información. Ítem Descripción Sitio examinado http://www.conicyt.cl/ Número IP 146.83.150.136 ISP que utiliza Telmex Chile Internet S.A. Detalles de Dirección física (País, ciudad, barrio, etc) Chile Santiago, Región Metropolitana 12, CL Nombres reales asociados (de personas) Gonzalo Paredes (http://cl.linkedin.com/pub/gonzalo- paredes/9/675/737) Director TIC en CONICYT Contacto Técnico: Jorge Lama Números de teléfono 02 2365 4531 Fecha de inscripción y expiración del dominio Inscripcion: Sun, 10 Apr 2011 10:19:43 GMT, expiración: 28/04/2017/ Ultima actualización: 01 de marzo de 2013 Servidor Web que utiliza Server nginx/1.4.1 / Apache Plataformas detectada (apache, joomla, etc) Apache/2.2.15/FancyBox/JQuery/PHP/Nginx/Wordpress Servidores DNS que utiliza http://hostpro.ua/ru/ Servidores de nombre (Domain servers): ns.conicyt.cl (146.83.150.130) secundario.nic.cl (200.7.5.7) Sistema operativo (Si aplica) CentOS Tabla 1: Recopilación de Datos del Conicyt.cl Los resultados reflejan información valiosa y critica, como para realizar un ataque, como por ejemplo denegación de servicios por medio de los servidores DNS, ya que esta publico las ip de estos servidores. Empresas de gran prestigio como http://spanish.nicaragua.usembassy.gov/ no tienen este tipo de información de manera pública. Debemos recordar que la seguridad total no existe, pero si existe la reducción mínima de los riesgos y esto nos ayuda a reducir el impacto de los atacantes.
  • 9. Por otro lado y no menos importante, los datos y afinidades del director TIC de la organización esta tan público que cualquiera puede planear una estrategia para que este sea víctima de Ingeniería Social, y extraer más información que ayude al ingreso del sitio web. También se encontró información acerca de la plataforma que maneja el servidor web que aloja a la página web (Ver anexo Figura 1). Sencillamente se busca en google como atacar la versión de dicha plataforma y es más de seguro que se encuentra información de lo mismo. 7. Conclusiones  La recolección de información para este caso, fue de manera pasiva ya que solo se utilizaron herramientas que reflejaban información.  A Conicyt de Chile le provee servicio de Internet Telmex de Chile que es una alianza con claro.  El sitio web de Conicyt se conoce al mundo por la ip 146.83.150.136. El servidor web esta ubicado en Santiago de Chile, pero el hosting lo provee una empresa Rusa que utiliza apache y un servidor Nginx 1.4.1.  Conicyt.cl tiene demasiada información pública en la red, lo que facilita un ataque malicioso.
  • 10. 8. Referencias Bibliograficas Caballero Quezada, A. E. (2013). slideshare.net. Recuperado el 06 de 2013, de slideshare.net: http://www.slideshare.net/nprosperu/webminar-gratuito-vulnerabilidades-ms-comunes- en-aplicaciones-web conicyt.cl. (2013). conicyt. Recuperado el 06 de 2013, de conicyt: http://www.conicyt.cl/sobre- conicyt/que-es-conicyt/ Maiwald, E. (2005). Fundamentos de Seguridad de Redes (Segunda ed.). México: McGraw-Hill Interamericana. nginx. (2013). nginx.org. Recuperado el 06 de 2013, de nginx.org: http://nginx.org/en/ Anexos Figura 1: Plataformas del sitio web conicyt.cl
  • 11. Figura 2: Trayectoria de la peticion al servidor web del sitio conicyt.cl