Hace tiempo que no escribo nada sobre seguridad (A+A, El Mal De Wilkinson, estudiar MCITP, el proyecto del piso nuevo...voy de culo!!! con gusto, pero de culo); y hoy he estado revisando la nueva versión de un programa (con perdón), de puta madre, que de bien seguro tardará poco en incluirse en BackTrack.
Gracias a Chema Alonso, he ido descubriendo a lo largo de mucho tiempo; varias paranoias y cosas geniales, todas ellas relacionadas con la seguridad.
Así pues, una que me ha dejado bien atento, a la par que distraído los último meses, es la aplicación desarrollada por Informática64, la FOCA.
Esta, es una aplicación, que se encarga de hacer búsqueda de contenido dentro de una web, mediante los motores de búsqueda de Google y Bing. Es decir, le decís que busque (por ejemplo), todos los documentos pdf que se encuentren en www.loquesea.org.
Bueno, muy bien, ¿y que tiene de especial recopilar documentos pdf de una web? Pues muchas cosas. Los metadatos. Así se denomina, a la información que contiene información. Es decir, los datos que contienen otros datos.
Un ejemplo práctico. ¿Os habéis fijado nunca en que en un pdf, a veces, se ve la ruta donde se ha editado el documento? Quiero decir, os suena si os digo que a veces pone "C:\Documents and Settings\Pepito_Palotes\Mis Documentos..." Bingo! Eso es la ruta del equipo, de donde se ha editado el documento.
Pero un momento...Supongamos que ese documento, lo ha editado una persona, que está trabajando en un equipo, que a su vez está en un dominio...Oooops. "Pepito_Palotes" es un nombre de cuenta del dominio!
De este modo, es para lo que sirve analizar los metadatos.
Llegados a este punto, y como voy a poner un pequeño juego; ruego que la web "afectada", no se dé por atacada ni piense que este es un intento de hacer mal uso de sus datos. Simplemente la estoy utilizando de ejemplo, nada más. En cualquier caso, si alguien de la organización (de la web) lo cree conveniente...que proponga una auditoria de seguridad)
Esta aplicación, va aún más allá; porqué nos permite hacer un mapa de la red.
Por lo tanto, mediante los metadatos, hemos sido capaces de componer un esquema de los ordenadores y servidores que hay en la organización.
Un pequeño juego. Yo os pongo una imagen de algunos de los pc's sondeados; y a ver si adivinais de que web se trata. Pista: ¿da morbo seguir teniendo en la organización el equipo con el nombre de un difunto?
El premio, será nada más y nada menos que...cuando haya ganador lo diré! ;-)
Siguiendo con la explicación; esta búsqueda, se incluye en el grupo de la ingenieria social. Esto, es la búsqueda de datos que nos puedan dar pistas sobre datos personales, aka contraseñas, direcciones...
Si bien es cierto, que la FOCA, rastrea y extrae datos como cuentas de mail, nombres de pc, sistemas operativos, carpetas, software instalado, etc...; nunca llegará a dar una "contraseña" tal y como la conocemos. Es decir, no te dirá, "mira, esta web, está en esta organización, que tiene un servidor W2003 R2, y que puedes entrar como Administrador, password X".
Pero, el análisis de los datos, nos va a proporcionar más información de lo que se ve a simple vista. Es decir, sabemos que tenemos un nombre de cuenta del dominio, o una direccion de mail. ¿Quién nos dice que buscando datos dentro de los documentos asociados, no vayamos a poder sacar hipótesis de una contraseña?. Claro, queda un poco en el aire...Pero de eso se trata, si no, no sería un análisis de metadatos; sería una patata hervida, calentita, y lista para comer...
Lo que tiene de "curioso" (llamémosle así...podría tener el adjetivo "malévolo"), es que podemos acceder a documentos que, lógicamente, están almacenados en los servidores de esa organización. Ojo, algunos documentos. Tendremos acceso a aquellos que no se ha tenido en cuenta, que por el hecho de estar compartidos en la red; están expuestos al acceso web de la organización. ¿Un ejemplo? Venga. Ojo, sirve de pista para el juego...
Lo que estais viendo, es un documento del guión de una conocida serie de televisión...
0 comentaris:
Publicar un comentario