MetaShield Protector & FOCA 2.0

La Gorda FOCA & MetaShield Protector Chema Alonso

FOCA 0.x

Foca 1 : Análisis de Metadatos
Busca documentos en Google y Bing
Descarga los documentos
Extrae los metadatos
Clusteriza los documentos
Genera un mapa de red

FOCA 1: Metadatos

ALGUNOS EJEMPLOS

MetaShield Protector

Objetivos:
Solución para evitar la fuga de información en documentos ofimáticos a través de su publicación en sitios web.
Módulo de Intenet Information Services 7.x para Windows Server 2008 totalmente integrado con la arquitectura del servidor web
Requisitos:
Servicios de ASP.NET instalados.
Microsoft .NET Framework 3.5 SP1
Microsoft SQL Server 2005 o 2008
Todas las versiones, incluida la versión Express

Funcionalidades
Soporte para MetaShield Protector
Descargar archivos directamente desde IIS 7.
Windows SharePoint Services 3.0.
Microsoft Office SharePoint Server 2007.
Soporte a Pool de Aplicaciones en cualquier modo de trabajo
Modo clásico
Modo administrado
Pool de aplicaciones en 64 bits y 32 bits
Soporte a pool de aplicaciones de 64 bits corriendo en modo 32 bits
Archivos soportados por Metashield Protector
Documentos Microsoft Office.
Documentos OpenOffice.
Documentos Adobe PDF.

Funcionamiento
MetaShield Protector “captura” las peticiones de ficheros al Servidor Web.
Recupera el contenido del fichero y lo limpia en memoria.
Sirve el fichero limpio al cliente

Arquitectura Descarga directa

Arquitectura. SharePoint …

Ventajas
No es necesaria la intervención del usuario
Los documentos mantienen los metadatos que pueden ser usados por el gestor documental
Control granular por extensiones y sitios web
Posibilidad de aplicar plantillas definidas por el usuario

Desventajas
Aumento de trabajo en el Servidor Web
Ficheros muy grandes pueden llegar a provocar retardos apreciables por el usuario final ya el documento debe ser cargado completamente en memoria para proceder a su limpieza

ENS: Metadatos
5.7.6 Limpieza de documentos En el proceso de limpieza de documentos, se retirará de estos toda la información adicional contenida en campos ocultos, meta-datos, comentarios o revisiones anteriores, salvo cuando dicha información sea pertinente para el receptor del documento. Esta medida es especialmente relevante cuando el documento se difunde ampliamente, como ocurre cuando se ofrece al público en un servidor web u otro tipo de repositorio de información. El incumplimiento de esta medida puede perjudicar: a) Al mantenimiento de la confidencialidad de información que no debería haberse revelado al receptor del documento. b) Al mantenimiento de la confidencialidad de las fuentes u orígenes de la información, que no debe conocer el receptor del documento. c) A la buena imagen de la organización que difunde el documento por cuanto demuestra un descuido en su buen hacer

FOCA 1: Post-Post-Análisis
Google Set
Alternative Domains
Robtex
Rango IP
DNS Prediction

Google Sets

DNS Scanning

Alternate Domains

DNS Prediction

Problemas para pintar la red
Alternative domains:
O los sabías o aparecían o el servidor queda sin dominio.
DNS Scanning:
Si el equipo no tiene dominio -> no tienes IP no puedes aplicar DNS scanning
Google Sets
Si no hay dominio, aunque encuentres nombres similares no sabes contra que dns probarlo.

FOCA 2.0 aún en alpha

Necesitamos dominios Congreso de Seguridad ~ Rooted CON’2010

Cómo buscar dominios
Metadatos [SetA]
Aparece el nombre dominio
Aparece la dirección IP -> Resolución DNS
Google & Bing Search [SetB]
Uso de site y –inurl para maximizar resultados
 Se obtienen Domain names [SetA+SetB]

Direcciones IPs
Metadatos [IP_A]
Direcciones IP directamente
Nombres completos -> Resolución DNS contra DNS principal del dominio.
Nombres Dominio Google & BING [IP_B]
Resolución DNS
 Se obtienen direcciones IP [IP_A+IP_B]

Más dominios: Bing Search IP
Con [IP_A+IP_B]
Bing Search con parámetro IP
> Nuevos dominios
Internos
Relacionados

Mas dominios: PTR Scanning
Con todas las direcciones IP
Conexión al NS principal [Opcional a todos los NS]

Mas dominios: PTR Scanning

Más dominios: Rango IP
Todas las direcciones IP asociadas a un dominio objetivo:
Resolución y Búsqueda del rango con el DNS interno.
Opcionalmente con todos los NS

Más dominios + Más IPs
Common names
ftp, dns, dns01, pc01…
Uso del “ls” en el DNS

Algoritmo recursivo

Algoritmo recursivo: Aplica “algoritmo voraz” Sigue todos los caminos Profundidad del algoritmo es configurable Detecta casi todas las referencias accesibles

FOCA & SHODAN

ALGUNA DEMO CON FOCA 2

FOCA sólo corre en Windows

Evolución: SW recognition
Metadatos
Rutas de instalación [mejorado]
OLE Streams
EXIF
SHODAN
Banners [No intrusivo]
Banners
Connect
URLs
Google Hacking
NameServers
Prediction

Más de 20.000 FOCAs

Chema Alonso [email_address] http://elladodelmal.blogspot.com http://twitter.com/chemaalonso http://www.informatica64.com Autores Chema Alonso Francisco Oca Alejandro Martín Bailón Enrique Rando Pedro Laguna John Matherly

http://www.elladodelmal.com	399
http://elladodelmal.blogspot.com	148
http://www.dragonjar.org	90
http://www.slideshare.net	4
http://webcache.googleusercontent.com	2
http://www.elladodelmal.blogspot.com	1
http://static.slidesharecdn.com	1

MetaShield Protector & FOCA 2.0

by Chema Alonso on Mar 30, 2010

Accessibility

Categories

Tags

Upload Details

Usage Rights

7 Embeds 645

Statistics

MetaShield Protector & FOCA 2.0 — Presentation Transcript