Hola a todos.
Quisiera hablar un poco de crímen cibernético y técnicas usadas por los criminales para espionaje electrónico.

En esta entrega, me gustaría discutir con ustedes el uso de Rogue Sniffer que en español suena como "Sniffer Deshonesto" pero que en realidad aplica a sniffers instalados en redes sin la debida autorización.

¿Físicamente qué es un rogue sniffer?
Es un dispositivo que es capaz de capturar tráfico y almacenarlo. Algunos dispositivos tienen la posibilidad de enviar los paquetes capturados.
Estos dispositivos generalmente son computadores portátiles utilizando distribuciones tipo Linux live cd.

¿De qué tipo son?
Pueden ser de tipo pasivo o activo, es decir que solo captura los paquetes que pasan por el puerto o captura paquetes entre equipos usando técnicas como envenenamiento ARP

¿Donde se instalan?
Ante todo, se instalan cerca de una fuente de energía. En relación a la red, los sniffers pasivos se instalan en medio de segmentos de alto tráfico (conexión entre backbones) ya sea interceptando el tráfico o reconfigurando un punto del switch para que trabaje en modo monitor. Los sniffers activos, se instalan en segmentos de red específicos y se eligen con cuidado las víctimas a las cuales se les va a monitorear el tráfico para evitar sobreflujos de throughput.

INSTALACION WIRELESS
Un rogue sniffer especializado en redes wireless, no tienen un punto específico de conexión, solo debe estar dentro del alcance de la red wireless. Generalmente son activos y para manejar altos niveles de throughput se utilizan más de una interfaz de red.

¿Cómo se configuran?
Tanto para las redes cableadas como inalambricas, las direcciones físicas MAC de las interfases de red se cambian por otras no rastreables. Además, en caso de existir una interfaz de administracion, esta interfaz se encuentra bajo un robusto esquema de firewall que solo permite el acceso desde determinada mac y direccion ip a determinado servicio.
Para capturar paquetes usando software tipo live cd, debe montarse una unidad de disco para almacenar los archivos tipo "raw". En linux generalmente se usa tcpdump como capturador de paquetes, pero cuando se realiza un sniffing activo se sigue usando tcpdump y las herramientas de dsniff como envenenadores arp. También se usa ettercap.

¿Qué información se puede capturar?
Tras el análisis de la información capturada, se pueden encontrar contraseñas de acceso para servicios que no usan cifrado (ej: telnet, http, ftp, smtp, etc), además de un conocimiento del comportamiento de la red.

¿Para qué capturar esta información?
Para espionaje industrial por ejemplo.

me impresiona muchio que todavia podamos usar sniffers para eso x D... bueno la tecnologia avanza... la curiosidad tambien ...

saludos alluz muy buen aporte .. par los criminales interezados jajja broma

xD jajaja...criminal = a lamer?

Estos programas son muy buenos, el unico invonveniente es que los antivirus los detectan.

Si los antiviruz los detectaran a todos, entonces ya no abria ese tipo de programas no lo cres?

Muchas gracias por la info Alluz, siempre se me a echo muy interesante el ciber-espionaje, me gustaria saber ke tipo de tech.. utiliza una superpotencia para espiar a otros paises...

Saludos..

Antivirus???? nooo, estan equivocados, los antivirus no detectan un rogue sniffer porque un anvitirus está en la capa 7 mientras un sniffer está en la capa 4,3 y 2 del modelo OSI.

Si el sniffer es pasivo, es muy dificil detectarlo, pero si es activo (envenenamiento arp) se puede detectar con un IDS.

Entonces, "Rogue Sniffer" solo es un sobrenombre de los sniffers, no encuentro la diferencia entre un sniffer i un Rogue sniffer.

Y otra cosa más, en el caso que sean diferentes, algún ejemplo de programa que sea rogue.

Gracias por el aporte, esta muy bien!

Salu2!

Rogue es "Deshonesto", es decir sniffer colocado de manera ilegal en una red. Pero generalmente un rogue sniffer es un portatil muy pequeño como un sony vaio.

jaja como un sony vaio, me gusto el detalle xD


Vale, gracias, ahora si lo entendí

No sabia que un NIDS (Network IDS) se podia saber si existe un sniffer,

oye alluz y pork no das algunos ejemplos de estos rogue sniffer...

ya digiste que es un rogue sniffer y que es un sniffer solo??.....despues que se haya entrado a la red X que info se podria sacar de allí?? (es que no entendi muy bien y me confundi con lo de espionaje industrial y pensaba en la información tipo industrial q se podria extraer y la verdad no supe cual )

no seas ... wey, se refiere digamos siempre hay relaciones para todo del personal k labora, nominas y cosas asi!! algunas son importantes a simple vista, otras no es tan facil, pero de eso mas k nada se trata lo "industrial"

Un sniffer comun y corriente captura paqutes tcp y udp (capa 4) y la mayoría de protocolos se basan en tcp, tales como http, pop, smtp, ftp, telnet, etc. Así que todo lo que pase por la red se puede capturar y lo que sigue de ahí en adelante es analizar la información recopilada.
Les recomiendo que hagan un laboratorio de Sniffing y reconstrucción de tráfico.

Como un pequeño dato, existe una comunidad que puede ayudarlos mas en la comprension de como funcionan los sniffers y tambien a aprender como detectarlos y neutralizarlos, se llama Ethereal.

Ethereal

Saludos Canijines.

Si, pero el desarrollador se fue con cace technologies para sacar las herramientas de winpcap adelante. Con el TNT salió el winpcap portable y wireshark portable con nmap portable. Esas son herramientas utiles, porque en un disco duro uno puede tener todo lo que quiera y en cualquier pc con solo conectarlo por usb, tener todas las herramientas a la mano.... por eso me gusta mucho el phlaketo que estamos haciendo con CUTeam.