CONSULTAS A BASES DE DATOS

Una recolección (mucho menos pasiva) de información ligada a bases de datos por parte de los intrusos es aquella que resulta intrusiva. Veamos cómo pueden lograr esto: el intruso programa o utiliza un massrooter (mezcla de escáner con exploit remoto 0day que permite meterse dentro de los servidores o extraer datos secuencialmente a muy alta velocidad), barriendo los rangos de direcciones IP. Estos datos son acumulados (coleccionados) para utilizar en un futuro o bien aprovechando la intrusión. Sea de paso, también pueden instalar algunas de las siguientes cosas:

Backdoors on-the-fly: Los backdoors son puertas traseras para volver a ingresar cuando así se desee, sin despertar sospechas (en el caso de los on-the-fly), ya que no dejan un puerto abierto o algo remotamente detectable como para saber que existe. Se recomienda investigar más sobre esta avanzada técnica.

Binarios troyanizados: El intruso con conocimientos suficientes suele reemplazar a mano algunos archivos binarios de sistema para ocultar procesos o archivos dentro del sistema operativo. Cuando utilice éstos, el administrador del sistema no se dará cuenta tan fácilmente de que hay procesos y archivos nuevos en su servidor.

Rootkits: Éste es un kit o una serie de aplicaciones que se utilizan para manter los privilegios de root dentro del servidor, que no se instala en forma tan artesanal y sirve para mantener procesos ocultos y, tal vez, una puerta de entrada. Los hay para todos los sistemas operativos.

Sniffers: Se trata de capturadores de logins o de cualquier clase de paquete.

Algunos de los archivos más recolectados por esta técnica intrusiva son los shadows de los servidores Linux y Solaris, los SAM de los servidores Windows de la familia Server o terminales XP (ambos poseen las cuentas de sistema y sus passwords de modo cifrado). También se pueden comprometer directamente mediante descuidos de administración y no por fallas en software, como por ejemplo, la famosa cuenta SQL de nombre sa, sin clave asignada.

Así, quizás, el administrador tuvo desactualizado un día de fin de semana su servidor, pero éste ya fue comprometido casi sin rastros. En el futuro, si ese servidor pertenece a una organización a la que debe comprometer, el intruso sólo deberá buscar uno de esos archivos extraídos previamente, romper el cifrado de la cuenta de sistema (y ver el resto de sus datos si los tiene) para así ahorrarse mucho tiempo. Es muy probable que un login/pass sea coincidente en un servidor de otro tramo de red en la empresa o que, al menos, sirvan sus usuarios de sistema. Muchas empresas nunca saben cómo fueron comprometidas supuestamente hoy, pero el caso es que lo fueron inicialmente hace mucho tiempo (por ésta o por otras técnicas más avanzadas).

Tomado de Hacking Etico-Carlos Tori.