Herramientas de Information Gathering aplicadas    al aseguramiento de información sensible en                  servidores...
ayudando así a asegurar la información que la empresa        para generar una metodología que hasta el día de hoy nodesee ...
    Operator.                                                 atacante,       como        por         ejemplo     el     ...
vulnerabilidades. Por ejemplo un atacante puede ver        .doc llamado “Ley General de Educación” publicado a   que se ut...
Es más Microsoft consiente de los riesgos que pueden   traer los metadatos, menciona en su artículo                   Disp...
Upcoming SlideShare
Loading in …5
×

Herramientas de information gathering aplicadas al aseguramiento de información sensible en servidores web.

1,584 views
1,488 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,584
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
45
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Herramientas de information gathering aplicadas al aseguramiento de información sensible en servidores web.

  1. 1. Herramientas de Information Gathering aplicadas al aseguramiento de información sensible en servidores web. Víctor Ángel Acosta Santivañez Escuela de Tecnologías de Información y Procesos, Instituto del Sur, Arequipa, Perú. v.acosta.santivanez@isur.peResumen: Vivimos en un mundo donde la información se encuentran en archivos, que pueden ser de tipo Office, oencuentra en todos lados y muchas veces esta información logs de aplicaciones que se ejecuten en algún servidor dedice más de lo que debería decir. la empresa, como también datos acerca de los programas o servicios y sus respectivas versiones.Muchas veces, quizás por la gran cantidad de informaciónque maneja una empresa, se hace pública aquella que En los últimos años han aumentado los casos depuede ser sensible; esta información no es percibida como vandalismo electrónico, entre todas las actividadestal por un cliente o empleado, pero lo es por un atacante, delictivas existe una contra páginas web deque en ella puede ver puntos muy sensibles que pueden organizaciones e instituciones, en una actividad que sellevar a realizar un ataque hacking, trayendo consigo define como “Defacing”: El Deface / Defacing /consecuencias muy serias, que en muchos casos son Defacement es la modificación de una página web sincausales de perdida de dinero por información filtrada, autorización del dueño de la misma. [1]como los casos Wikileaks. Frente a este problema, es tarea de los administradores deBajo estos problemas, es deber de los administradores de IT tener un rol de atacante y poder descubrir informaciónIT tener un rol de atacante para poder identificar mediante sensible acerca de la propia empresa y que pueda ser claveherramientas de Information Gathering aquella para el resultado de un ataque como el Defacing.información que pueda ser sensible en nuestros servidoresweb, archivos y aplicaciones, para poder minimizar losposibles ataques que se puedan realizar por un atacante, II. HACKING ÉTICOasí como asegurar la integridad de los datos que una EL termino hacking generalmente se refiere a actividadesempresa haga público. que son realizadas por personas denominadas hackers, que son individuos cuyos conocimientos en informática son muy avanzados. Entre algunas de las tantas actividades I. INTRODUCCIÓN que se refiere al hacking tenemos:En la actualidad vivimos en un mundo saturado de  Robo de información.información, en el que cada vez cobra más valor.  Acceso no autorizado a Bases de datos.La información, para una empresa es uno de los pilares  Acceso no autorizado a emails.básicos de su funcionamiento, por esto es necesario saber  Tener acceso a servidores privados.qué tipo de información pueda ser pública o privada,  Infectar computadoras con software maliciosogarantizando así su integridad, disponibilidad, etc. (malware, gusanos, troyanos, etc.)Desde un punto de vista informático, es mucho más Y la lista de actividades hacking crece.sensible el manejo de información tanto así como de Los servidores, aplicaciones e información de empresasaquella que se pone a disposición del público, que privadas se ven amenazadas frente a este tipo demuchas veces se realiza a través de los servidores web de actividades hacking, para reducir esta amenaza esla empresa. necesario que dichas empresas cuenten con un área deSe sabe también que información no solo es aquella que Seguridad Informática, que este a la escucha de ataques ygenera una empresa, sino también son los datos que se pueda reducir el acceso no autorizado de información,
  2. 2. ayudando así a asegurar la información que la empresa para generar una metodología que hasta el día de hoy nodesee mantener protegida, asegurando asísu autenticidad, está definida.integridad, confidencialidad y disponibilidad.A. ¿Por qué ético? IV. TIPOS DE TEST DE INTRUSIÓN A TRAVÉS DE Porque las actividades hacking que se llevan a cabo a INFORMATION GATHERING través de Hacking Ético, no tienen un fin malicioso Dentro de Information Gathering para que un (como tener acceso no autorizado a información), sino administrador de IT o un experto en seguridad informática un fin informativo y correctivo, capaz de brindar llamado pentester, puedan realizar un test de intrusión soluciones a problemas y vulnerabilidades que se hacia la empresa con el fin de simular un ataque y saber el puedan encontrar para luego ser informadas a la tipo y la cantidad de información que pueda ser obtenida empresa y esta pueda tomar una medida correctiva es necesario tener claro el tipo de test que se realizará. frente a actividades. En este aspecto existen tres tipos de test que se detallan a El Hacking Ético se basa en los principios morales e continuación: informativos, si se detecta fallos en sistemas a través de Hacking Ético es seguro que estos serán informados  Black-Box: El responsable del test de intrusión, a la empresa y posteriormente corregidos. no tiene ningún conocimiento sobre el sistema que se analizará, por ello se hacen uso de Por ejemplo, ¿Sería ético acceder a un correo herramientas generales para obtener la mayor electrónicode una empresa sin conocer la contraseña? información posible que pueda ser relevante para Bajo el concepto de Hacking Ético, es claro que sí. La un ataque. respuesta de este caso es válida siempre y cuando el  White-Box: El responsable del test de intrusión, gerente o administrador de sistemas de la empresa nos tiene conocimientos previos del sistema a haya autorizado acceder al correo electrónico, quizás analizar, como pueden ser el tipo de topología, para demostrar fallas de seguridad u otro asunto direcciones y rangos de IP’s, Sistemas existente en algunos de los servicios que ofrece la Operativos (SO) utilizados, etc. empresa.  Grey-Box: Este tipo de test es una combinación de los dos test anteriores con el fin de brindar una información orientativa acerca del sistema para el III. INFORMATION GATHERING responsable del test de intrusión.Dentro de la temática que existe en Hacking Ético En el presente paper se describen aquellas herramientas detenemos una metodología que la divide en 4 Information Gathering, que puedan servir para laactividadesesenciales que son: obtención de información sensible desde un enfoque de  Reconocimiento. pentest basado en Black-Box.  Escaneo.  Explotación.  Mantener el acceso. V. SOFTWARE PARA HACKING ÉTICOEl presente paper abarca la primera actividadde Hacking Actualmente en internet se puede encontrar una granÉtico llamada reconocimiento. cantidad de herramientas para pentesting, entre ellas para Information Gathering, la gran cantidad de herramientasA esta actividad de reconocimiento se le conoce en el que existen han dado lugar a la aparición de distribucionesmundo de la seguridad informática con el nombre de de SO basados en Linux que recolectan diversas“Information Gathering” y consiste en la búsqueda de toda herramientas por categorías entre las cuales se encuentraninformación acerca de un objetivo, ya sea publicada a las 4 actividades de Hacking Ético y permiten realizarpropósito, por desconocimiento o descuido. análisis en sistemas de una manera más ordenada.Cabe mencionar que debido a su temprana aparición en Algunas de estas distribuciones son:los últimos años, aun no se cuenta con una metodologíadefinida para Information Gathering, ya que anteriormente  Backtrack.cada persona actuaba bajo su criterio propio al querer  Owasp Live CD.obtener información acerca de un objetivo, por esto es que  Samurai Web Testing.recientemente se ha creado un estándar llamado PTES  Pentoo.(PenetrationTestingExecution Standard), que recolecta  Caine.una serie de procedimientos que tratan poder ser la base  Security Distro.
  3. 3.  Operator. atacante, como por ejemplo el  NinjaSec. “AdministrativeContact”. Es necesario que al momento que una empresa registre su dominio, pueda hacerlo brindando solo laVI. HERRAMIENTAS INFORMATION GATHERING información básica del sitio como por ejemplo la “Si tuviera 10 horas para cortar un árbol, pasaría 8 dirección IP, nombres DNS, etc., cuidando así la horas afilando el hacha.”[2] privacidad de nombres de trabajadores, ya que para un atacante este sería el comienzo para obtenerComo buenos administradores de IT o pentester, es clave información personal acerca de nuestros trabajadores,para nuestro trabajo contar con las herramientas por ejemplo a través de redes sociales.necesarias, debidamente actualizadas y en muchos casospersonalizadas, para permitirnos realizar nuestras tareas de B. WHATWEB: Después de haber realizado una peticiónla mejor manera posible, obteniendo así resultados Whois, hacia la página web que deseamos asegurar,precisos. uno de los datos más sobre saltantes es por supuesto laA continuación se detallan algunos de los programas más dirección IP, que generalmente es la dirección de unutilizados para Information Gathering, así como su uso y servidor web, que ejecuta una aplicación web comoposibles resultados que puedan evidenciar algún tipo de IIS o Apache y un gestor de contenidos como esinformación sensible, que más adelante, puedan WordPress o Joomla.convertirse en puntos clave para un ataque. WhatWeb es un script escrito en el lenguaje de programación Perl por Andrew Hortonaka.A. WHOIS: El primer paso para obtener información La funcionalidad de este script es la de escanear un acerca de una empresa empieza con la información que sitio web, pudiendo detectar tanto los servicios, sus podemos adquirir a través de una simple dirección versiones, como el SO que se ejecuta en el servidor. URL. En la siguiente ilustración se muestra el resultado de Whois es un protocolo que se basa en peticiones y WhatWebtras haber analizado la página web: respuestas, que consulta en bases de datos de www.isur.edu.pe servidores que guardan registros acerca del alojamiento de páginas web. Actualmente Whois ha pasado de ser un simple programa a través de una línea de comandos a ser implementado en miles de páginas web, pudiendo así agilizar su uso para el usuario final que desee realizar una búsqueda acerca de una web. En la siguiente ilustración vemos el resultado Whois de la página web: www.sunat.gob.pe Figura 2: Ejemplo WhatWeb. Fuente: Elaboración propia. El resultado de este escaneo a través de WhatWeb es muy preciso, podemos ver con claridad todos las aplicaciones que se ejecutan el este servidor, así como sus respectivas versiones, es más hasta se puede observar el tipo que cookies que maneja el sitio. El uso de WhatWeb es muy importante al momento de asegurar una página web, ya que a través de él, podemos ver que aplicaciones publican su nombre y su versión, para que el administrador IT de la empresa Figura 1: Ejemplo Whois. Fuente: Elaboración propia. pueda ocultar estos datos. Es importante ocultar estos datos por que estos no son Como se puede apreciar la información que se puede de interés a un cliente que desee visitar nuestra página obtener acerca de cualquier empresa solo con saber la web, por otro lado estos son de vital importancia para dirección web, es muy completa, tanto que a veces un atacante, ya que son la base para realizar otras expone información que puede ser clave para un actividades más delicadas como en descubrimiento de
  4. 4. vulnerabilidades. Por ejemplo un atacante puede ver .doc llamado “Ley General de Educación” publicado a que se utiliza en el servidor la aplicación Apache 2.2.3 través de la página web: y buscar internet algún exploit o 0-day (Código www.minedu.gob.pe: malicioso o vulnerabilidad, que hasta la fecha actual, no tiene parches o correcciones) que le permita realizar algún tipo de ataque como denegación de servicio (DDoS) o encontrar algún fichero vulnerable que le permita acceder a la configuración de contenidos de la página web.C. FOCA Online: FOCA es una aplicación online desarrollada por “Informática 64”, una empresa española dedicada a la formación, consultoría de sistemas y seguridad informática con una presencia de más de 10 años. Hay que saber que algunos archivos tienen mucha más información, de la que nosotros colocamos en estos. Este es el caso de los famosos metadatos, que son datos estructurados que describen características como el contenido y la calidad de archivos. Estos metadatos se crean automáticamente cuando nosotros creamos un archivo. Un ejemplo claro de estos metadatos son los archivos de imágenes (.jpg) que son creados por cámaras digitales, ya que cuando visualizamos estos archivos por ejemplo en el explorador de Windows, podemos ver información adicional de la fotografía como por ejemplo: la fecha y hora en la que fue creada, la cámara con la que se tomó la fotografía, el modelo de la cámara, distancia focal, etc. Figura 3: Ejemplo FOCA Online. Fuente: Elaboración propia. Pues bien, estos datos vienen a ser los metadatos generados por la cámara digital y puestos en un Como podemos observar, la información obtenida a archivo, junto con la imagen tomada. través de los metadatos de un archivo .doc, es bastante, concisa, muy específica y sobre todo sensible. FOCA es un analizador online de meta dados en archivos, que busca exhaustivamente todos los Un atacante sin muchos conocimientos podría analizar posibles metadatos que pueda contener un archivo que este archivo .doc y saber cosas privadas de la empresa, nosotros le demos. Actualmente FOCA soporta como que la computadora en donde se elaboró este muchos tipos de archivos entre los cuales se archivo era un Windows XP, que existen 3 usuarios encuentran: .doc .ppt .pps .xls .docx .pptx .ppsx .xlsx que alteraron este archivo o las rutas de las carpetas .jpg .bmp .png entre otros. donde estuvo guardado este archivo, pudiendo obtener de estas rutas información como el nombre de usuario Al momento de que una empresa haga público de la computadora. cualquier tipo de archivo, hay que cuidar mucho los metadatos que estos archivos tengan, ya que muchas Esta es, tal vez, la manera más fácil de comprometer veces estos son generados en computadoras propias de nombres de usuarios, de computadoras, de carpetas, la empresa, por consiguiente los metadatos existentes etc., con las intenciones de un posible atacante. Es por en estos archivos pueden involucrar información muy esto muy importante controlar que todos los metadatos sensible. que un archivo de nuestra empresa que se encuentre en internet, estén vacíos o con información básica como A continuación vemos toda la información que se la fecha de creación para prevenir posibles ataques ya puede obtener al analizar los metadatos de un archivo sea a nuestros sistemas o a los usuarios mediante técnicas de ingeniería inversa.
  5. 5. Es más Microsoft consiente de los riesgos que pueden traer los metadatos, menciona en su artículo Disponible: KB825576 como evitar que aplicaciones de Microsoft http://www.codenb.com/¿que-es-un-deface- Office como Microsoft Word eviten guardar metadatos defacing-defacement-14/ que puedan contener información privada. [2] (2006) Albert Coronado.Abraham Lincoln « Desde el punto de vista de una empresa en donde se Albert Coronado.[Online] manejan montones de archivos y cada uno de estos con mucha información en sus metadatos, es que podemos Disponible: recurrir a herramientas como “DocScrubber”. http://www.albertcoronado.com/2006/11/02/abr aham-lincoln/ “DocScrubber” es una herramienta gratuita que permite el borrado de metadatos en archivos. Su [3] (2006) Cómo minimizar metadatos en Word principal característica es que permite elegir que 2003. [Online] metadatos poder borrar como “comentarios”, “creado Disponible: por”, “plantilla usada”, “Identificador único”, etc. http://support.microsoft.com/kb/825576/ DocScrubberTambién permite el borrado de metadatos [4] C. Tori, “Hacking Ético”. En Hacking Ético. de múltiples archivos en una sola operación, Rosario, 2008, pp. 12-19. facilitando así la tarea de un administrador de IT que desee hacer público varios archivos, todos estos sin [5] C. Tori, “Recabar Información”. En Hacking metadatos que puedan involucrar información sensible Ético. Rosario, 2008, pp. 49-54. de la empresa. [6] M.Aharoni, “Module 2- Information Gathering Techniques”. En Offensive Security Lab IV. CONCLUSIONES Exercises. 2007, pp. 56-80.En este paper se describieron algunas de las herramientasmás comunes al momento de recopilar información para [7] B. Merino, J. holguín, “Pentest: Recolección desaber el tipo de información sensible que existe, ya sea en información” [Online]. España: Ministerio deinternet o en archivos. industria, turismo y comercio. Disponible:En nuestros tiempos los administradores de IT deben http://cert.inteco.es/extfrontinteco/img/File/intectomar más conciencia acerca del uso de herramientas para ocert/EstudiosInformes/cert_inf_seguridad_infoInformation Gathering, ya que así como un administrador rmation_gathering.pdfpuede usar un arsenal de herramientas de libre descarga eninternet sobre Information Gathering, también lo puedeusar cualquier persona contra la página web de una [8] P. Aguilera, “Amenazas al fostware”. Enempresa o archivos que esta publique en internet; ya que Seguridad Informática. Editex, 2010, pp. 102-el uso de estas herramientas básicamente es sencillo. 112.Personalmente considero muy fácil el uso de herramientas [9] Domaintools.com (2012). Whoislooup&de Information Gathering, por lo cual, creo que los Domain Availability Search.[Online]administradores de IT, deben tener políticas internas Disponible:acerca de revisiones periódicas en archivos, en logs http://whois.domaintools.com/generados por aplicaciones, en información que secoloque en una página web, etc.Ya que estos datos sirven [10] http://www.morningstarsecurity.com (2011).de base para poder realizar otras actividades hacking que WhatWeb.[Online]pueden ser muy nocivas tanto para la empresa, su portal Disponible:web o los servicios que esta ofrezca. http://www.morningstarsecurity.com/research/w hatweb REFERENCIAS [11] http://www.informatica64.com. FOCA Online.[1] (2007) CODE NB. ¿Qué es un Deface / [Online] Defacing / Defacement?. [Online] Disponible: http://www.informatica64.com/foca/

×