UNIVERSIDAD TCNICA DE AMBATOFACULTAD DE INGENIERA EN SISTEMAS, ELECTRNICA E INDUSTRIAL PERODO ACADMICO: ABRIL 2014- SEPTIEMBRE 2014UNIVERSIDAD TCNICA DE AMBATOFACULTAD DE INGENIERA EN SISTEMAS, ELECTRNICA EINDUSTRIAL

INFORME

TTULO:NOSCRIPT WIRESHARK-

CARRERA:INGENIERA ELECTRNICA Y COMUNICACIONES

AREA ACADEMICA:PROGRAMACIN Y REDES

LNEA DE INVESTIGACIN:PROGRAMACIN Y REDES

CICLO ACADMICO Y PARALELO:QUINTO A_ELECTRNICA

PARTICIPANTES:SANTIAGO BARAHONADARIO PLASENCIA

MDULO Y DOCENTE:GESTION DE REDESING. SANTIAGOMANZANO

AMBATO - ECUADOR

II. INFORME DEL PROYECTO

2.1. TEMA NOSCRIPT- HIJAKTHIS-WIRESHARK

2.2. OBJETIVOS2.2.1. OBJETIVO GENERAL Comprender funcionamiento del NoScript en el navegador Mozilla FirefoxAnalizar y conocer el funcionamiento del wireshark Analizar y comprender el funcionamiento del HijackThis 2.2.2. OBJETIVOS ESPECFICOS Instalar el complemento NoScript en el navegador Mozilla Firefox en la pc Instalar el wireshark para el hackeo de cuentas Observar las diferencias antes y despus de instalar el Noscript. Conocer la utilizad del HijackThis 2.3. RESUMEN

En el presente trabajo se va a realizar tres paractica esenciales la primera cosiste en la instalacin del complemento NoScript en el navegador Mozilla Firefox para notar la diferencia entre tener un navegador con NoScript y sin el complemento NoScriptLa segunda prctica consiste en la proteccin con Hijackthis para ver tu proteccin de los complementos en tu navegador.La tercera practica consiste en instalar el wireshark para poder visualizar las contraseas el paginas que no tenga http.

2.4. PALABRAS CLAVENoScriptMozilla FirefoxWiresharkHackeoHttpHijackthis

2.5. INTRODUCCINHoy en dia existen varios complementos de seguridad de internet para el navegador Mozilla Firefox como es NoScript que es un complemento capas de bloqueas anuncios malvolos.

Wireshark es una herramienta bsica para observar los mensajes intercambiados entre aplicaciones es un analizador de protocolos (packet sniffer). Un analizador de protocolos es un elemento pasivo, nicamente observa mensajes que son transmitidos y recibidos desde y hacia un elemento de la red, pero nunca enva l mismo mensajes. En su lugar, un analizador de protocolos recibe una copia de los mensajes que estn siendo recibidos o enviados en el terminal donde est ejecutndose. HijackThis es una utilidad que produce un listado de ciertas configuraciones halladas en tu computadora. HijackThis escanear tu registro y varios otros archivos de entrada que son similares a los que un programa spyware o hijacker dejan huella. Interpretar esos resultados podra ser engaoso, ya que hay muchos programas legtimos que estn instalados en su sistema operativo de una manera similar a como lo hacen los hijackers. As que debes ser extremadamente cuidadoso arreglando cualquier problema con el HijackThis. No puedo dejar de presionar en lo importante que es la advertencia.

2.6. MATERIALES PC Complemento NoScript Navegador Mozilla Firefox. Navegador internet explore Software wireshark HijackThis

2.7. MARCO TEORICONoScriptEs un Complemento de Mozilla particularmente til que puede ayudarte a proteger tu computadora de sitios web maliciosos en la Internet. Este opera a travs de la implementacin de una 'lista blanca' de sitios que has determinado que son aceptables, seguros o confiables (tales como un sitio de trnasacciones bancarias o una revista cientfica en lnea). Todos los otros sitios se consideran potencialmente dainos y su funcionamiento esta rentringido, hasta que determines que el contenido de un sitio en particular no es perjudicial; en este punto, puedes entonces aadirlo a tu lista blanca.NoScript automticamente empezar a bloquear todos los anuncios publicitarios, los anuncios emergentes, JavaScript y cdigo Java relacionado, as como otros potencialmente dainos atributos de sitios web. NoScript no puede diferenciar entre contenido daino y contenido necesario para mostrar correctamente un sitio webDepende de ti hacer las excepciones para aquellos sitios con contenido que crees que es seguro.Utilizar NoScriptAntes de empezar a utilizar NoScript asegrate que haya sido exitsamente instalado seleccionando Herramientas > Complementos para activar la pantalla de Complementos y confirmar que ha sido instalado.Consejo: Aunque NoScript puede parecer un poco frustrante al inicio, (pues los sitios web que siempre has visitado pueden no mostrarse adecuadamente), te beneficiaras inmediatamente por la caracterstica de bloqueo de objeto automatizado. Ello restringir anuncios publicitarios molestos, mensajes emergentes y cdigos maliciosos incluidos (o accediso ilegalmente) en pginas web.NoScript se ejcutar silenciosamente en segundo plano hasta que detecte la presencia de JavaScript, Adobe Flash u otro contenido similar al de un conjunto de instrucciones (script). En este punto NoScript bloquear este contenido y una barra de estado aparecer en la parte inferior de la ventana de Firefox como se muestra:https://securityinabox.org/es/firefox_noscriptHijackThis, algunas veces abreviado como HJT, es una herramienta popular gratuita, creada por Merijn Bellekom y posteriormente vendida a Trend Micro, que ayuda al usuario a detectar software malicioso para los sistemas Microsoft Windows. El 28 de diciembre de 2011, cambio su licencia de Freeware a GNU General Public License liberando el cdigo a la comunidad. El programa est actualmente en la versin 2.0.4. Su potencial principal est en la capacidad de detectar rpidamente los mtodos de Browser Hijacking que suelen utilizar software de tipo malware, en lugar de recurrir a una base de datos actualizada de virus y spyware como la mayora de antivirus y software destinado a la eliminacin de stos.Hijackthis no autodetecta ni elimina spyware como popularmente se cree, sino que puede ayudar al usuario experto a detectarlo, siendo no recomendable el uso por usuarios inexpertos debido al riesgo de borrar software vital del sistema. El uso ms comn de sta herramienta suele ser exportar una lista en texto plano de los resultados de anlisis y escribirla en un foro de internet donde otros usuarios expertos darn su opinin.Archivo log y resolucin de problemasHijackThis puede generar un archivo log de texto sencillo que detalla todas las entradas que encuentra. La mayora de estas entradas pueden ser desactivadas o eliminadas por HijackThis. Debe tenerse precaucin cuando se usa la ltima opcin, ya que, a excepcin de una pequea lista de entradas legtimas permitidas, HijackThis no discrimina entre los elementos legtimos y los no deseados, permitiendo as que un usuario inhabilite inintencionalmente programas importantes, causando posiblemente que el sistema o los perifricos dejen de funcionar correctamente. Sin embargo, HijackThis intentar crear respaldos de los archivos y de las entradas del registro que elimina, que se pueden usar para restaurar el sistema en el caso de un error.Una Forma comn es postear el archivo log en un foro donde usuarios ms experimentados ayudarn a descifrar las entradas que deberan ser eliminadas. Tambin existen herramientas automticas que analizan logs guardados y procuran proporcionar recomendaciones al usuario, o limpiar entradas automticamente. Sin embargo, el uso de tales herramientas generalmente no es recomendado por los que se especialicen en tratar manualmente de los logs de HijackThis, ellos consideran que las herramientas son potencialmente peligrosas para los usuarios sin experiencia, y que no son lo suficiente precisas y confiables para sustituir la consulta de un analista humano entrenado.http://es.wikipedia.org/wiki/HijackThis

Wireshark

Wireshark es uno de esos programas que muchos administradores de red le encantara ser capaz de utilizar, pero a menudo se les impide conseguir lo que quieren de Wireshark a causa de la falta de documentacin.Este documento es parte de un esfuerzo por parte del equipo de Wireshark para mejorar la facilidad de uso de Wireshark.Wireshark es un analizador de paquetes de red. Un analizador de paquetes de red tratar de capturar paquetes de red y trata de mostrar que los paquetes de datos que se detallan como sea posible.

Usted podra pensar en un analizador de paquetes de red como un dispositivo de medicin utilizado para examinar lo que est pasando en el interior de un cable de red, como un voltmetro es utilizado por un electricista para examinar lo que est pasando dentro de un cable elctrico (pero a un nivel ms alto, por supuesto, ).

He aqu algunos ejemplos usa la gente Wireshark para:

los administradores de red utilizan para solucionar problemas de red

Los ingenieros de seguridad de red lo utilizan para examinar los problemas de seguridad

los desarrolladores utilizan para depurar implementaciones del protocolo

personas lo utilizan para aprender internas del protocolo de red

Adems de estos ejemplos, Wireshark puede ser til en muchas otras situaciones tambin.

http://manualwireshark.blogspot.com/

2.7.1. PROCEDIMIENTO

I. Abrir CNN.com con los navegadores Internet Explorer y Mozilla Firefox

1. Ejecutar Internet Explorer y dirigirse a la web http://www.cnn.comLa web abierta muestra uno o ms anuncios

Navegador Internet Explorer

2. Ejecutar Mozilla Firefox y dirigirse a la web http://www.cnn.comLa web abierta muestra uno o ms anuncios

Navegador Mozilla Firefox

3. Hacer una impresin de la pantalla y pegarla como imagen II. Instalar NoScript4. Abrir el navegador Mozilla Firefox y hacer clic en el men Herramientas Complementos

Men herramientas complementos

5. En la ventana Administrador de complementos hacer clic en la opcin Obtener complementos y buscar NoScript e instalarlo

. Instalacin de NoScript6. Cerrar todas las ventanas de Firefox

III. Abrir CNN.com en Mozilla Firefox con NoScript7. Ejecutar Mozilla Firefox y dirigirse a la web http://www.cnn.com8. Observar las diferencias entre la imagen guardada antes de instalar NoScript con la actual.

Pagina web sin NoScript

Pgina web con NoScript

Laboratorio 4: HijackThis1. Instalar HijackThis1.- Ejecutar Mozilla Firefox y dirigirse a http://www.majorgeeks.com

2.-En el men de la izquierda, hacer clic en la opcin Anti-Spyware3.-desplazarse en la pgina web hasta encontrar HijackThis. Hacer clic sobre HijackThis_sfx.exe y clic en uno de los enlaces de la seccin DOWNLOADS.Seguir las instrucciones de descarga

4.- Una vez descargado el fichero en el ordenador, hacer clic derecho sobre HijackThis_sfx.exe y hacer clic en la opcin Ejecutar como administracin y hacer clic en el botn Unzip

II.- Ejecutar HijackThis 5.-Abrir el explorador de Windows y dirigirse a la carpeta C: \Archivos de programa\HijackThis\

6.- hacer clic derecho sobre HijackThis.exe y clic en la opcin ejecutar como administrador 7.- en la ventana principal de HijackThis hacer clic en el botn Do a systemscan and sabe logfile

III.Analizar el fichero de logsHijackThis.de8.- Se genera automticamente un archivo de registro que se abre desde el Bloc de Notas con una larga lista de procesos y claves del registro, como se muestra en la figura .Esta lista es difcil de entender en este formulario por lo que se utilizara una herramienta online gratuita para interpretarlo

9.- en Mozilla Firefox dirigirse la web http://www.HijackThis.de

10.- Seleccionar el fichero que contiene el log y hacer clic en botn Analyze

Al terminar el anlisis se debe observar una lista de elementos encontrados en el ordenador, con un ndice grafico de la seguridad de cada elemento, como se muestra en la figura. Esto es muy til cuando se desea limpiar el Spyware de ordenadores infectados

PRACTICA 5

2.7.2. PROCEDIMIENTO

IV. Instalar Sniffer de Paquetes Wireshark1. Ir a la pgina web http://www.Wireshark.org descargar e instalar la ltima versin de Wireshark.Nota: Durante este proceso se instalara automticamente WinPCap 4.1.2.

V. Iniciar la captura de paquetes2. Ejecutar Wireshark, haciendo clic en Inicio Todos los programas Wireshark.

3. Hacer clic en la opcin Capture Interfaces de la barra de men de la ventana de Wireshark. Debe salir una ventana similar a la siguiente grfica.

Ventana de seleccin de interfaces

4. Identificar la tarjeta de red Fast Ethernet y hacer clic en el botn Options para realizar la configuracin. a. Activar la captura de paquetes en modo promiscuo.

Ventana de identificacin de la Red FastEthernet

5. Hacer clic en Start para iniciar la captura de paquetes se debe observar una lista paquetes capturados con informacin de cada paquete.

Ventana al Presionar Start

VI. Enviar una contrasea a una pgina web6. Abrir el navegador Mozilla Firefox y dirigirse a cada una de las siguientes pginas web. (elegir una sola pgina para la prctica)a. www.wikipedia.com: Espaol Iniciar Sesinb. www.arcosoft.com: Support Arcosoft Accountc. www.elmundo.com :Inicia sesin d. www.copaair.com : acceda a su cuentae. www.cice.es/principal/desarrollo/index.html/f. www.monografias.com

7. Iniciamos sesin en cada URL del punto anterior con los siguientes datos de usuario:

Acceso a la cuenta en : monografas.com

Nota: No utilizar usuario y contrasea reales. Como se puede ver estas pginas web no son seguras. Despus de este laboratorio no querr volver a usarlas.

VII. Observar las contraseas enWireshark1. En la ventana de Wireshark y hacer clic en Capture Stop para detener la captura de paquetes.

Deteccin de captura de paquetes

2. Estableces un filtro de visualizacin de los paquetes capturados para analizar solo los paquetes de protocolo HTTP con mtodos de peticin POST. Para esto hacer clic en AnalyzeDisplayFilters.

.Ventada DisplayFilters

3. En la ventana WiresharkDisplayFilter hacer clic en el botn New y crear el siguiente filtro:http.request.method == POST

Cdigo http.request.method == POST

4. Colocarle el nombre hacer clic en Apply y luego en OK para realizar la bsqueda. Se mostraran resultados parecidos al de la siguiente figura:

Ventana de datos encontrados con el filtro5. Hacer clic en fEditFindPacket para buscar los paquetes que contienen los datos de inicio de sesin de cada una de las pginas web visitadas durante la captura de paquetes.

Ventana FindPacket

6. En la ventana Wireshark: FindPacket, hacer clic en el botn String. Ingresar la palabra clavesecreta y hacer clic en el botn Find.

Ingreso de la palabra clavesecreta7. Wireshark encuentra el texto .en el se observa un paquete con protocolo HTTPe informacin POST.. HTTP/1.1 (aplication/x-www-form-url como se muestra en la figura

8.- en el panel central de la ventana de wireshark expanda el elemento etiquetado Line-based text datay podras ver la con es esa lnea. La contrasea tambin se puede ver la parte inferior derecha, en el paquete de datos byte a byte

Visualizacin de la clave de seguridad9.Presionar clic derecho sobre cada paquete que contenga la contrasea y hacer clic en Mark Packet (toggle) para marcar cada paquete.

Marcar cada paquete que mantenga la clave

10.Hacer clic en File Save as para guardar los resultados de la captura colocarle como nombre lab6_a, seleccionar MarkedPackets para guardar los cuatro paquetes que contienen la contrasea.

VIII. Capturar trfico de gmail.com11. una captura con Wireshark

Captura de Wireshark

12. Usando Firefox ir a la pgina web www.gmail.com

inicio de sesin de gmail

13. Escribir un nombre de usuario y una contrasea para iniciar sesin.

Ventana de Gmail

14. Detener la captura de Wireshark y buscar la contrasea usada en el inicio de sesin

15. Al realizar la bsqueda debe salir un mensaje indicando que no se encontr coincidencia con el texto buscado. Porque

Porque gmail es una pgina https es es una pgina segura al momento de ingresar claves o contraseas evita que estas sean copiadas o jackeadas.

V. interaccin bsica HTTP GET/respuesta16. empezar la exploracin HTTP bajando un simple archivo HTML, uno que sea muy pequeo y contenga objetos incrustados. Para ello haga lo siguiente:

a. iniciar Wireshark sin capturar ningn paquete aun. Digitar HTTP en la ventana que especifica el filtro de captura, de tal manera que no solo capture mensajes HTTP y estos se visualicen en la ventana. (nos interesa el protocolo HTTP, y no queremos ver todos los paquetes

b. Esperar un poco ms de un minuto, y comenzar las capturas de paquetes con Wireshark.

c. Buscar en internet una pgina puramente HTML para que su navegador muestre un archivo HTML muy simple.http://www.nyct.net/-aray/atmlwq/95q3/781.html

Figura 2.16. Pgina HTTP

d. Detener la captura de los paquetes con Wireshark.

17. La ventana de Wireshark debera mostrar una ventana similar a la siguiente figura.

El ejemplo anterior muestra dos tipos de mensajes HTTP que fueron capturados: un mensaje GET ( de tu navegador al servidor donde se hizo la consulta ) y el mensaje de respuesta del servidos a tu navegador. El contenido de los paquetes se muestra en la ventana de Wireshark. En la figura anterior (en casi del mensaje HTTP GET el cual esta sobresaltado). Recordemos que desde el mensaje HTTP fue transportado dentro de un segmento TCP, el cual lleva dentro de s un diagrama IP, el cual lleva dentro de s una trama Ethernet, de esta manera Wireshark muestra la informacin de la trama Ethernet, el datagrama IP y el segmento TCP. Nosotros queremos minimizar la cantidad de datos no-HTTP que se visualizan, as que en la parte donde se muestra la informacin especfica de las tramas trataremos de desplegar solo la informacin de HTTP ( si hay una cajita a cada lado de los protocolos queremos que estos estn en + y no en -, de esta manera el nico que tendr - ser el protocolo HTTP.

Revisando la informacin en los mensajes de respuestas y HTTP GET, conteste las siguientes preguntas, usando la captura de las ventanas correspondiente donde considere adecuado, indicando donde en el mensaje fue encontrada la informacin perteneciente a su respuesta.

Qu versin de HTTP est corriendo en tu navegador versin x.0 or x.1?HTTP/1.0

Qu versin de HTTP est corriendo en el servidor?HTTP/ 1.1

Qu lenguajes (si acaso hay alguno) es que su navegador indica que puede aceptar al servidor?Ninguno

Cul es la direccin IP de su ordenador?

192.168.56.1

Cul es la direccin IP del servidor que se ha visitado?192.168.1.163

Cundo fue la ltima modificacin realizada en el servidor de la pgina web accedida?No encontrado

Cundo bytes de contenido son regresados a tu navegador?644 bytes (5152 bits)

18. Hacer clic en File Save as para guardar los resultados de la captura colocarte como nombre Lab6#PC_b.pcap seleccionar AllPackets para guardar los paquetes capturados.

2.8. CONCLUSIN Usar internet Explorer para navegar por la Web es muy peligroso. La mquina puede infectarse rpidamente con software malicioso. Mozilla Firefox es un navegador mucho ms seguro, y Firefox con NoScript es an ms seguro. Para mayor seguridad, utilizar Firefox con NoScript y evitar el uso de Internet Explorer tanto como sea posible. Se consigui filtrar paquetes de diferentes pginas web. Se visualizo las contraseas utilizadas en una pgina no segura utilizando wireshark HijackThis es una poderosa herramienta para descubrir ciertos aspectos especficos del navegador.

2.9. RECOMENDACIONES utilizar el navegador Mozilla Firefox No utilizar Internet Explorer para navegar seguros en la Red. Utilizar paginas no seguras con el wireshark

2.10. REFERENCIAS BIBLIOGRFICAS

https://securityinabox.org/es/firefox_noscript http://manualwireshark.blogspot.com/ http://es.wikipedia.org/wiki/HijackThis

III. ANEXOS