Sigue El lado del mal en Telegram
Chema Alonso en Threads
Chema Alonso en Mastodon
Chema Alonso en Linkedin
DragonJAR
8.8 Chile
Ekoparty
e-Hack MX 
AREA 51 
Comunidad Dojo Panamá 
ARPAHE SOLUTIONS 
CloudShark: Tus credenciales en las trazas PCAPs de la nube
Hace ya algún tiempo que salieron los primeros servicios que permitían analizar ficheros PCAP en la nube. Es decir, analizar ficheros con capturas de tráfico de red que eran subidos a la nube para ser analizados, como el caso del servicio Immunity Stalker del que os hablé allá por el ya lejano 2012. Hoy os vengo a hablar de otro servicio que implementa el interfaz del popular Wireshark, pero en cloud, y que tiene el nombre de CloudShark.
 |
| Figura 1: CloudShark. Tus credenciales en las trazas PCAPs de la nube |
La idea del servicio es bien sencilla. Haz una captura de red en formato PCAP con tu sniffer de red favorito y súbela a CloudShark para poder visualizar los paquetes y el contenido de los mismos. Hasta aquí todo va bien, pero cuando vemos que las capturas que se suben con los servicios gratuitos sin autenticar quedan expuestas a todo el mundo, y que las opciones de protección contra el indexado y caché de los buscadores no están fortificadas, la cosa se puede complicar.
 |
| Figura 2: Buscando en Google en las capturas indexadas de CloudShark |
De esto se dio cuenta mi amigo rootkit, y tras estar jugando un rato con las búsquedas, se puede ver que es muy fácil acceder a contraseñas de servicios de todo tipo. Muchas de ellas en redes locales, muchas otras de servicios en Internet.
 |
| Figura 3: Traza de una conexión FTP en red local |
Afinando las búsquedas y sacando el máximo del hacking con buscadores es posible localizar usuarios de WordPress, usuarios de servicios FTP, usuarios de administración de dispositivos de red o casi cualquier cosa que se te ocurra buscar en este servicio.
 |
| Figura 4: Traza de petición HTTP POST de login a una web con usuario y contraseña |
Si alguien estuviera buscando víctimas al azar o servidores que utilizar para lanzar un ataque desde ellos, desde luego ir a ver qué hay ya en CloudShark publicado en Google es una forma muy sencilla de hacerse con un servidor aleatorio sin realizar mucho trabajo, tal y como se puede ver en las imágenes.
 |
| Figura 5: Trazas de sesión de administación de un WordPress |
Si vas a hacer un trabajo de ethical hacking en un cliente y has hecho una captura PCAP del tráfico de un segmento, no la subas a un servicio en Cloud sin asegurarte de que no va a quedar expuesto a todo el mundo e indexado en un buscador, ya que podrías poner en riesgo la seguridad de tu cliente. Ten cuidado y sé cuidadoso con los datos que capturas en tu trabajo.
Saludos Malignos!
3 comentarios:
Entiendo: Ten cuidado y sé cuidadoso con los datos que capturas en tu trabajo.
Vi esto y es engañoso. Google solo indexa enlaces web que están enlazados en un sitio web. No todos de CloudShark.
@Jason, eso es. Pero el error es que no se han configurado las opciones de indexación correctas en el sitio. Lee las referencias en los enlaces al principio. Saludos!
Publicar un comentario