lunes, 25 de marzo de 2013

TCP/IP Stack FingerPrinting hace 10 años . . .


Recopilando información y artículos que había escrito anteriormente para ir subiendo al blog, he recuperado una ponencia del Infosec del año 2002, un congreso virtual organizado por Uninet que reunió personalidades destacadas en el mundo de la seguridad, donde tuve la oportunidad de compartir escena con gente como Georgi Gunisnki, Rik van Riel, Solar Designer (@solardiz), Seth Arnold o Ralf Baechle, entre otros.

En la charla hablé de los métodos de detección remota de SSOO que existían en el momento (hablamos del año 2002, por lo que hoy en día ya los consideramos como clásicos), como podría ser la obtención de banners de los diversos servicios de la máquina: FTP, IDENT o HTTP etc., o como utilizar la técnica de TELNET FINGERPRINT para averiguar el sistema operativo remoto en función de las 'Telnet Options' que utilice en el inicio del negociado de la conexión, y el orden en el que se haga.

Otra técnica que se utilizaba por aquella época era analizar cómo cada vendedor implementa respuestas a los diferentes paquetes ICMP, y cómo podemos utilizarlo los diferentes tipos (Address Mask Request, Information Request, Timestamp, Echo/Echo Reply o Broadcast) para obtener detalles más concretos del tipo de sistema que tenemos al otro lado.

Es interesante ver cómo han evolucionado las cosas en tanto tiempo, la gran cantidad de herramientas diferentes que han visto la luz en los últimos años, y como algunas de las técnicas utilizadas entonces, siguen sirviendo hoy.