Sep 22

En esta ocasión voy a explicar el funcionamiento del comando traceroute (tracert para los usuarios windows) una utilidad presente en casi todos los sistemas operativos que permite seguir y trazar el camino que sigue un paquete por las redes desde un punto de origen a uno de destino. Este comando es igual de útil para redes de área local (LAN) como para redes de área global o internet (WAN) .

Traceroute y los valores TTL

Traceroute y los valores TTL

Como se ha introducido antes, traceroute es un comando que permite desde una máquina A realizar un seguimiento de los paquetes que nos comunican con otra máquina B identificando, asimismo los puntos intermedios por los que pasan los paquetes. Es bastante frecuente oír expresiones como “Pasa por internet”, “Se transmite por la nube” o el más antiguo “Está en el ciberespacio” que no son más que eufemismos que abstraen e intentan ocultar que las comunicaciones entre ordenadores siguen un entramado medido de rutas que encaminan las comunicaciones entre dos ordenadores a través de routers, concentradores, servidores …  Los paquetes que nos comunican con otras máquinas siguen unos caminos medibles, predecibles y auditables que pueden ser estáticos o variar en función de parámetros como: carga del sistema, intereses políticos o empresariales, filtrados por protocolo…

¿Cómo funciona el comando traceroute?

El comando traceroute  se basa en un punto técnico tan simple como eficaz. Usando el parámetro TTL(Time To Live) de los paquetes UDP o ICMP y manipulándolo de forma que es capaz de averiguar el camino que estos paquetes siguen por la red. Normalmente el valor del parámetro TTL es decrementado en una unidad en cada uno de los puntos por los que pasa nuestro paquete. En un primer momento se envía un paquete con el valor del campo TTL = 1, valor que se decrementa en el primer punto de comunicación, generalmente en el router de nuestra casa, y para el cual se establece el valor 0 en este caso el router descartará el paquete y al emisor del mismo le devolverá un mensaje de error ICMP como el siguiente “Time to live exceeded in transit” el comando traceroute continuará enviando paquetes cada vez con un valor mayor hasta que le responda la máquina de destino de la traza o se alcance el número máximo de saltos, que por defecto es 30.

Cada vez que un paquete es descartado porque su valor TTL llega a 0 el enrutador que lo detecta está obligado por el protocolo a enviar un mensaje advirtiendo de que no se ha alcanzado el destino esperado. De esta forma se recupera en primera instancia su IP  y el valor del tiempo en el cual el paquete llega a nuestro sistema. Si a ello se le añade el uso por parte del comando nslookup podremos obtener información a mayores de la máquina que nos retorna el paquete porque su TTL ha llegado a cero.

Fallos en resultados ¿Qué son esos asteriscos?

En algunas ocasiones veremos que en la pantalla aparecen asteriscos en ligar de la información que deseamos. Esto sucede cuando los encaminadores que se corresponden con el salto indicado no responden con un mensaje indicando que el paquete ha sido descartado. En estos casos podemos ver un mensaje como el siguiente “Tiempo de espera agotado para esta solicitud”. Esto puede deberse a tres motivos:

  1. Que por un exceso de celo en la seguridad los encaminadores no retornen un mensaje de error en los paquetes perdidos
  2. Que por un ahorro de tráfico los encaminadores no retornen un mensaje de error en los paquetes perdidos.
  3. Que no se pueda establecer una conexión entre el punto de origen y el punto de destino elegido.

Diferencias entre windows y GNU/Linux

En muchas webs aparecerá que la única diferencia entre ambos sistemas operativos es que mientras windows usa el comando tracert los sistemas GNU/Linux usan el comando traceroute. Pero una diferencia que es necesaria tener en cuenta es que las pruebas que hagamos con el comando tracert de Windows usa paquetes ICMP por defecto mientras que el comando Traceroute de GNU/Linux usa paquetes UDP. Esto puede dar lugar a que ante dos comandos similares como “tracert google.es” y “traceroute google.es” obtengamos resultados diferentes. Si se quiere obtener resultados similares (Que normalmente serán los mismos) en GNU/Linux se puede forzar el uso de paquetes ICMP mediante el parámetro.

traceroute -I google.es

Y si se desea profundizar un poco más en el análisis se puede emplear un comando más complejo como este:

[sudo] traceroute -I -m 255 google.com -q 5

Con el parámetro -m se establece que se intentará realizar hasta 255 saltos hasta que se encuentre el destino o se descarte la comunicación. el parámetro -q indica que se intentará hasta 5 veces la comunicación con cada nodo intermedio

Una alternativa a traceroute en linux es el comando mtr, que ofrece más infomrmación complementaria que traceroute. A los curiosos les invito a que prueben el siguiente comando:

mtr –no-dns –report google.es

Share

Tagged with:
Abr 27

Aún no hace un mes desde que impartí la última charla formativa sobre seguridad en la red, sobre todo orientada a menores y las redes sociales. Pero lo cierto es que los peligros en las “redes de adultos” y elementos más clásicos como el correo electrónico no han bajado en absoluto. Sin ir más lejos, como ejemplo, tengo este es un email que como  intento de Phishing se hace pasar por La Caixa que me llegó hace un par de días y que decidí analizar para mostrar los peligros que acechan al usuario corriente en el día a día del uso de su PC.

SPAM

Correo sospechoso en la bandeja de entrada

Spam_la_caixa_001

Contenido del correo sospechoso

Este es un método de phishing  que yo ya consideraba bastante cutre a día de hoy, pero que sigue funcionando perfectamente para pescar claves en la red. Se basa en crear falsos correos electrónicos simulando ser tu propio banco. En  este ejemplo es un  supuesto correo de “La Caixa”

No deja de ser curioso que un banco con el que no tengo relación de ningún tipo me envíe un correo electrónico, pero ciertamente de tener cuenta me resultaría sospechoso que me envíen un mensaje indicando que he intentado acceder a mi cuenta numerosas veces errando la clave. Teóricamente es un correo que me es enviado desde la dirección info@lacaixa.es y que google ya detecta como spam (Vale reconozco que no he elegido el ejemplo más elaborado de phishing ) Vamos a analizar detenidamente el correo. Para ello seguimos los siguientes pasos:

Spam_la_caixa_002

Acceso al contenido real del correo para analizarlo

Si vemos el correo electrónico original nos daremos cuenta de que el emisor real del correo no es la Caixa, sino que es perucata@almond.nocdirect.com . Según información de whois es un dominio registrado en 2002 en la ciudad de KIRKLAND en Whashington EEUU. Interesante ¿No?

Spam_la_caixa_004

Contenido real del correo electrónico

Si se indaga un poco más se puede comprobar otros datos que comentaremos en un futuro pero que ahora no resultan de especial interés. Así que continuemos con el correo. Como se puede ver en la parte superior el correo electrónico en cuestión tiene un enlace que aparentemente nos dirige a la web de La Caixa, pero que en realidad nos dirige a la siguiente dirección de internet:

http://perucatalogo.com/es/es/home/particulares_es/loc1.lacaixa.es/GPeticione…

Véase por donde se vea la dirección perucatalogo.com no parece una dirección legítima del supuesto banco al que nos dirige pero ¿Que muestra esa dirección?

Clon de la web LaCaixa.es

Clon de la web LaCaixa.es

La dirección en cuestión muestra aun clon de la web de LaCaixa.es. En mi opinión es un clon de la web poco logrado pero que servirá perfectamente para engañar a un usuario con conocimientos medios o bajos en informática.

Si se presta atención a la web, en la parte izquierda en un claro tono azul, que lo resalta sutilmente del resto de la web se muestra un formulario sencillo en el que se nos piden los datos de identificación de la cuenta electrónica de La Caixa. Parecería lógico intentar entrar en nuestra supuesta cuenta de La Caixa para verificar el motivo, causa o razón del bloqueo de la mima ¿No?

Datos ficticios en el formulario de robo de datos

Datos ficticios en el formulario de robo de datos

Para realizar una prueba de acceso introduzco unos datos ficticios para ver que sucede. EN este momento sucede el primer robo de datos de la cuenta que identifiquemos como cuenta de La Caixa, ya tienen nuestro teórico identificador de cuenta y la clave. El usuario atemorizado por el correo recibido ha facilitado sin darse cuenta el identificador de su cuenta y su clave.

Los datos facilitados ya son suficientemente sensibles como para comprometer la seguridad de la cuenta bancaria que el usuario de la Caixa acaba de exponer involuntariamente. Pero por si fuera poco y no contentos con ello tras hacer click en el botón de Entrar nos aparece la siguiente pantalla:

Continúa la estafa Ahora nos roban los datos de nuestra tarjeta de crédito

Continúa la estafa Ahora nos roban los datos de nuestra tarjeta de crédito

No contentos con todos los datos recabados hasta ahora, en este preciso momento intentan robar los datos de la tarjeta de crédito del incauto internauta. En esta ocasión y como excusa para recabar los datos de la tarjeta de Crédito/debilito que posee el usuario nos piden todos los datos de la tarjeta para proceder a un supuesto desbloqueo.

Ciertamente el desbloqueo no es tal y desde luego la tarjeta no está bloqueada, al menos por este motivo. Si procedemos a cubrir correctamente el formulario no solo estamos dando los datos identificativos de la tarjeta sino todos los datos necesarios para que puedan limpiarnos el saldo de la misma. Veamos en que desemboca esto.

Redirección a la web legítima de La Caixa

Redirección a la web legítima de La Caixa

Confirmados nuestros datos bancarios y de la tarjeta de crédito / débito se nos pide otro número de verificación y finalmente somos redirigidos a la web original de La Caixa tal y como muestra la imagen final. Un usuario inexperto no se dará cuenta de que, en este preciso momento va a comenzar un saqueo sucesivo y constante de su cuenta bancaria y del saldo de su tarjeta y, para cuando se haya dado cuenta, ya será demasiado tarde. Mucho ojo con dónde introducimos nuestros datos.

Share

preload preload preload