HERRAMIENTAS WEB PARA LA CIENCIA Y LA TECNOLOGÍA
Trabajo Nº 3 realizado por Denny Robert Colmenares
[Principal]
[Síntesis]
FINGER
Definición
Es una herramienta útil como servicio de búsqueda que permite mostrar información acerca de un usuario específico o grupo de usuarios de un sistema local o remoto, basada en sus direcciones de correos electrónicos, estén o no conectados en el momento de acceder al servicio.
Habitualmente se muestra información de los usuarios como el nombre y apellido, hora de la última conexión, tiempo de conexión sin actividad y línea del terminal.
En muchos sistemas, Finger está parcial o completamente bloqueado por el administrador del sistema para privacidad y seguridad de los usuarios, siendo configurado para ignorar el acceso desde una computadora externa, por lo que no todos los intentos de comunicación con personas por medio de Finger pueden ser siempre exitosos.
Cómo utilizar el servicio FINGER?
Un ejemplo fácil de ver cómo funciona ésta herramienta es utilizando tu navegador para entrar al Pasillo de Finger (Finger Gateway), escribiendo la dirección http://www.oxnardsd.org/cgi-bin/finger, la cual invoca el programa de Finger que está ejecutándose en la computadora www.oxnardsd.org y regresa la información recogida por ese programa a tu navegador, la cual consiste en el grupo de usuarios que actualmente están dentro del sistema.
Ahora vamos a suponer que deseamos ver quién está actualmente utilizando la computadora con la dirección IP einstein.drexel.edu. De esta forma, entrando previamente al pasillo de Finger y escribiendo la dirección de correo electrónico del usuario a investigar, en este caso daniels, como se observa:
Finger Lookup
Enter an Internet E-mail
address (user@host):
Tenemos el siguiente resultado
Finger Lookup
[einstein.physics.drexel.edu]
Login name: daniels In real life: Vince Daniels
Directory: /home/einstein0/daniels Shell: /bin/tcsh
On since Aug 15 10:49:22 on ttyp3 from beowulf.physics.
1 day 13 hours Idle Time
Unread mail since Fri Aug 16 23:48:41 1996
Plan:
To be home
in time for dinner.
El cual nos dice el nombre completo del usuario "daniels" que está actualmente registrado en el sistema en donde se ha usado el pasillo Finger, como también información detallada de que el usuario tiene un correo sin leer en este sistema.
De esta forma, se puede observar cómo encontrar la clave de acceso de alguien (y por ende su dirección electrónica), además de su nombre, siempre y cuando se conozca cuál computadora utiliza el corresponsal.
Generalmente finger se utiliza a menudo para obtener información de los usuarios que se conectan regularmente a la red, siendo realmente una herramienta utilizada para examinar las claves de acceso de los usuarios de un sistema UNIX, existiendo clientes que también permiten realizar investigaciones tipo finger desde otro tipo de sistemas.
Conclusiones
Finger proporciona información que podría ser de utilidad para un atacante: nombres de usuario, hábitos de conexión, cuentas inactivas, etc.
Algunas organizaciones rellenan exhaustivamente el campo gecos del fichero de contraseñas, con datos como números de habitación de los usuarios o incluso su teléfono, que fácilmente podrían ser aprovechables por un pirata para practicar ingeniería social contra un usuario o contra el propio administrador de un sistema.
Por ello, es básico para la integridad de nuestras máquinas deshabilitar este servicio, restringir su acceso a unos cuantos equipos de la red local mediante TCP Wrappers o utilizar versiones del demonio fingerd como ph (Phone Book), que permiten especificar la información que se muestra al acceder al servicio desde cada máquina.
[Principal]
[Síntesis]
Última actualización: 29.05.2004
Copyright 2004 DRCR. Todos los derechos reservados.
Site: http://www.oocities.org/es/robert_colmenares
E-mail:
ing_robertcolmenares@hotmail.com,
robert_colmenares@cantv.net