(2) Footprinting

Programação I

•

SIN SIGLA

Has visto 10 de 42 páginas de este material

Vista previa del material en texto

Footprinting
Índice
3
3
4
8
21
30
35
37
1 | Definición
2 | Herramientas
2.1 | Google Hacking y Dorks
2.2 | Maltego
2.3 | FOCA
2.4 | Shodan
2.5 | Otras herramientas
2.6 | Otros conceptos: OSINT
Footprinting | TELEFÓNICA // 3
Este proceso se centra en la recolección de información pública de Internet, por lo que su uso no conlleva la vulneración
de ninguna ley, y por tanto no es considerada delito. Esta fase no suele realizarse en un proceso de auditoría interna
o auditoría de red, o sí se realiza, es de manera superficial, ya que no es habitual que se filtre información interna del
organismo que pueda sernos de utilidad en este ámbito. Para realizar un footprint de un organismo se necesitará
conocer una serie de herramientas de auditoría de seguridad que se verán a continuación1.
Como listado de herramientas para llevar a cabo la fase de footprinting se presenta las siguientes:
• Google hacking. El buscador Google se puede utilizar para
realizar búsquedas avanzadas las cuales pueden proporcionar
información sensible e interesante de una organización que no
esté bien configurada o fortificada.
• Bing hacking. De la misma manera que con Google hacking se
puede utilizar el buscador de Microsoft para sacar información
jugosa.
• Shodan. Es un buscador de activos o dispositivos online. Es muy
interesante para identificar webcams, impresoras, scada, y otros
recursos expuestos en Internet.
• Anubis. Herramienta que contiene un gran set de utilidades para
recolectar información.
• FOCA Final Version. Herramienta privativa similar a Anubis que
cuenta además con funcionalidades avanzadas de análisis de
metadatos.
• Servicios online. Existen diferentes servicios online que podrían
ser de gran utilidad en un proceso de auditoría como son Cuwhois,
Robtex, Netcraft, Chatox, ...
1. Definición
2. Herramientas
1 La biblia del Footprinting”, Juan Antonio Calles, Pablo González Pérez.
Footprinting | TELEFÓNICA // 4
2.1 | Google Hacking y Dorks
Google Hacking es un término que engloba una amplia gama de
técnicas para la consulta de Google para revelar las aplicaciones
web vulnerables
Además de revelar las fallas en las aplicaciones web, Google
Hacking permite encontrar los datos sensibles, útiles para la
etapa de reconocimiento de un ataque, tales como mensajes de
correo electrónico asociadas a un sitio, los vertederos de bases
de datos u otros archivos con nombres de usuario y contraseñas,
directorios protegidos con archivos confidenciales, URLs para iniciar
la sesión portales, diferentes tipos de registros del sistema, tales
como cortafuegos y registros de acceso, páginas no protegidas
que contienen información confidencial, como las impresoras
conectadas a la Web o las cámaras con datos sobre su uso, estado,
ubicación y así sucesivamente.
Los buscadores como Google o Bing tienen una serie de parámetros
que permiten realizar búsquedas avanzadas. Estos parámetros son
denominados como Dorks. En algunos sitios web como exploit-db
se puede encontrar un listado de Google Dorks categorizados en
función de los resultados esperados. A continuación, se especifican
algunos Dorks interesante en Google:
• site: permite listar toda la información de un dominio concreto.
• filetype o ext: permite buscar archivos de un formato
determinado, por ejemplo, pdfs, rdp (de escritorio remoto),
imágenes png, jpg, …
• intitle: permite buscar páginas con ciertas palabras en el campo
title.
• 3 permite buscar páginas con palabras concretas en la URL.
Es interesante buscar frases del tipo “index of” para encontrar
listados de archivos de servidores FTP o “mysql server has gone
away” para buscar sitios web vulnerables a inyecciones SQL en
MySQL, ... Nótese que con el dork site se puede fijar las búsquedas
contra un target concreto, el que se esté auditando.
Footprinting | TELEFÓNICA // 5
Realizando un pequeño ejemplo sobre el poder de los dorks en la etapa
de footprinting se va a utilizar la siguiente sentencia inurl:bash_history
scp “/home”. Esto lo que quiere decir es que Google nos devuelva sitios
web dónde en la dirección URL aparezca el término bash_history, el
cual es un tipo de fichero que crea el terminal de Linux Bash. Por error
o descuido de un administrador ese fichero puede quedar expuesto en
Internet, con el consecuente riesgo que ello conlleva para la empresa,
desde credenciales que el administrador ha utilizado, hasta cadenas
de conexión a bases de datos. Para ejemplificar un poco más, con la
palabra scp lo que se está haciendo es filtrar.
En este caso, se pueden encontrar las credenciales de sitios a los que
se accede mediante el programa SCP, el cual nos permite intercambiar
archivos mediante el protocolo SSH. Esto es sencillamente un breve
ejemplo del poder de los dorks.
En el caso de Bing hay un dork importante, el cual es ip. Con el dork
ip se pueden obtener dominios asociados a esa dirección IP, lo que
puede tener un hosting compartido. Es decir, diferentes sitios web,
seguramente de distinto dueño, están compartiendo el mismo
servidor. Esto puede dar pie a que la seguridad de esos sitios se
reduce a la seguridad del peor. Quizá no se puede atacar a un sitio
concreto porque filtra parámetros web correctamente, gestiona los
errores, valida entradas y salidas, pero quizá otra aplicación web
que se ejecuta en ese servidor no lo hace. Al compartir el servidor
estamos asumiendo un riesgo que se debe conocer.
Imagen 5 Dork en Google
Footprinting | TELEFÓNICA // 6
En la siguiente imagen se presenta un breve ejemplo del dork.
Mediante la combinación de los verbos (dorks) podemos obtener
multitud de información importante.
• “ext:sql”: nos permitirá localizar archivos con instrucciones SQL.
• “ext:rdp”: nos permitirá localizar archivos RDP (Remote Desktop
Protocol), para conectarnos a Terminal Services y que podremos
utilizar en la fase de fingerprint para obtener más información.
• “ext:log”: nos permitirá localizar archivos de logs.
• “ext:listing”: nos permitirá listar el contenido de un directorio al
invocar a este tipo de ficheros creados por WGET.
• “ext:ws_ftp.log”: nos permitirá listar archivos de log del cliente
ws_ftp
• “site:/dominio:*” con el que localizaremos aplicaciones tras
puertos poco típicos.
• ext:pwd inurl:(service | authors | administrators | users) “#
-FrontPage-”: usuarios/claves de administradores de la web.
• filetype:sql “# dumping data for table” “`PASSWORD` varchar”:
bases de datos volcadas con usuarios/contraseñas:
• intitle:”index of” “Index of /” password.txt: servidores con una
archivo denominado “password.txt”.
• “access denied for user” “using password” “general error”
-inurl:phpbb “sql
• error”: ficheros/mensajes con nombres de usuario:
• intitle:index.of “Apache/*” “server at”: versiones de servidores
o productos vulnerables:
• camera linksys inurl:main.cgi 700: dispositivos hardware online:
• intitle:”Index of” .bash_history: archivos .bash_history
indexados en los que podemos encontrar multitud de cosas
interesantes.
Imagen 6 Dork en Bing
intitle:index.of
inurl:main.cgi
Footprinting | TELEFÓNICA // 7
Google Hacking DataBase (GHDB)
Para analizar distintos ejemplos de
búsquedas avanzadas de Google Hacking se
puede visitar la Google Hacking Database
(GHDB). La GHDB2 es un repositorio con
ejemplos de búsquedas (dorks) en Google
que se pueden utilizar para obtener datos
confidenciales de servidores, como ficheros
de configuración, nombres, cámaras,
impresoras, passwords, etc.
Imagen 7 Google Hacking Database
2 https://www.exploit-db.com/google-hacking-database/
http://www.exploit-db.com/google-hacking-database/
Footprinting | TELEFÓNICA // 8
2.2 | Maltego
Herramientas orientadas a la recolección de información y
minería de datos, permitiendo la representación de la información
de forma visual mostrando las relaciones existentes entre la
información obtenida. Entre la información que puede recopilar
está la información relacionadacon elementos de red, dominios,
datos personales, como direcciones de email, sitios web asociados,
números de teléfono, grupos sociales, empresas asociadas, ...
Podemos utilizar la aplicación desde Kali Linux, aunque también
existe versión para Windows en la página oficial de Maltego3.
Imagen 8 Maltego
3 https://www.paterva.com/web7/
http://www.paterva.com/web7/
Footprinting | TELEFÓNICA // 9
Maltego funciona de la siguiente manera:
1. Al realizar una búsqueda, lo que
llamaremos transformada, Maltego
envía la petición a los servidores de
semillas de Paterva (en XML) vía HTTPS.
2. La petición se envía a los servidores TAS,
que la transfieren a los proveedores de
servicios y devolverán los resultados.
3. Dichos resultados se devuelven al cliente
Maltego a medida que se van obteniendo
y se van presentando en forma de grafo
organizados.
Imagen 9 https://www.paterva.com/web7/buy/maltego-servers.php
MALTEGO
CLIENTS
MALTEGO
SERVERS
INTERNAL DATA
PUBLIC DATA SOURCES
Maltego
Classic CTAS
iTDS Transform
Server
Internal
APIs
System
Logs
Internal
Server
DNS
Servers
Online
Databases
Online APIs Other Public
Sources
Search
Engines
Social
Media
Data
Feeds
Maltego XL
Maltego
XML Maltego
API
Pre-built
Transformations
Transform
Queries
Transform
Queries
Maltego CE
End users
Server
admins/
developers
Developers
LOG
http://www.paterva.com/web7/buy/maltego-servers.php
Footprinting | TELEFÓNICA // 10
Funciones básicas
Pueden realizarse búsquedas clasificadas por diferentes criterios:
dispositivos, infraestructura, ubicaciones, datos personales, y
en cada criterio se puede seleccionar aspectos concretos de la
búsqueda: dominio, servidor DNS, dirección IP, coordenadas GPS,
email, nombre de persona, teléfono, …
Imagen 10 Maltego - Funciones básicas
Footprinting | TELEFÓNICA // 11
Las categorías dentro de Palette, permiten
recolectar información sobre un objetivo,
realizando las búsquedas a través de
determinada información: dominio, servidor
DNS, dirección IP, coordenadas GPS, email,
nombre de persona, teléfono, relacionando
la información obtenida y representándola
gráficamente para un mejor análisis. Para
ello, simplemente mover desde la paleta el
objeto que se quiere analizar y rellenar la
información necesaria.
Imagen 11 Maltego - Información personal Imagen 12 Maltego - Información Infraestructura
Footprinting | TELEFÓNICA // 12
En el siguiente ejemplo se observa la información obtenida por el nombre de una persona y su representación gráfica.
Imagen 13 Maltego - Información obtenida por el nombre de una persona Imagen 14 Maltego - Información completa de una persona
Footprinting | TELEFÓNICA // 13
Se pueden definir distintos tipos como hemos comentado anteriormente, a continuación, se muestra el relacionado
a un sitio web. Se puede observar cómo se va mostrando la información obtenida organizada (servidores, ip’s,
direcciones de correo,).
Imagen 15 Maltego - Información de un sitio web Imagen 16 Maltego - Información completa sitio web
Imagen 17 Maltego - Información completa sitio web 2
Footprinting | TELEFÓNICA // 14
Toda la información obtenida puede representarse de diferentes formatos, seleccionando en la parte superior de
área de trabajo Main View, Bubble View o Entity List. Además, permite realizar zoom sobre distintas partes para ver
aquellas representaciones con bastante información.
Imagen 18 Maltego - Main View Imagen 19 Maltego - Main View en burbujas
Imagen 21 Maltego - Entity ViewImagen 20 Maltego - Bubble View
Footprinting | TELEFÓNICA // 15
Al seleccionar un objeto, en la parte derecha
se disponen de los paneles de Detalles, que
permiten obtener información detallada,
Propiedades, para ver las características y
propiedades de dicho objeto seleccionado,
así como el mapa que permite la ubicación
de los distintos objetos sobre el área de
trabajo.
Uno de los elementos principales de
Maltego son las Transformaciones que
permiten realizar búsquedas con el fin de
recolectar la mayor información posible
sobre un elemento. Éstas, están clasificadas
según sus funciones y abarcan ámbitos muy
específicos según el objeto seleccionado.
Las transformaciones buscan información
relativa al objeto en internet y muestran la
información obtenida.
Imagen 22 Maltego - Panel detalles y propiedades Imagen 24 Maltego - Clasificación transformaciones
Imagen 23 Maltego - Transformaciones
Footprinting | TELEFÓNICA // 16
Maltego permite instalar transformaciones más específicas para
determinados ámbitos como Shodan, VirutsTotal, Bitcoin, …
Imagen 25 Maltego - Transformaciones adicionales
Cuándo se ejecutan las transformaciones se genera información
que sirve de entrada para la realización de transformaciones sobre
la información obtenida, generando una imagen cada vez más
compleja y completa para el auditor.
Existe la posibilidad de realizar relaciones manualmente con los
objetos con los que agregar información a la recopilación de la
información, para poder utilizarlos posteriormente en conjunto con
toda la información.
Imagen 26 Maltego - Relación
Footprinting | TELEFÓNICA // 17
Maltego nos permite realizar ciertas operaciones a través del menú de la barra superior. En ella en la pestaña Investigate permite realizar
operaciones básicas sobre los objetos (selección, copiar, pegar, eliminar), el área de trabajo (buscar, zoom), así como relaciones entre objetos.
Imagen 27 Maltego - Menú Investigate
En la pestaña Manage encontramos la administración global del interfaz propio. En dicha pestaña, se pueden crear entidades, gestionar las
transformaciones, importar/exportar la configuración, …
Imagen 28 Maltego - Menú Manage
Las opciones View y Organize permiten gestionar las vistas del área de trabajo, paletas, etiquetas,…
Imagen 29 Maltego - Menú View
Footprinting | TELEFÓNICA // 18
Una de las características de Maltego es la posibilidad de ejecutar
scripts, que realizan determinadas búsquedas según su configuración
preestablecida.
Para ello utilizaremos la opción de Machines, en la que podremos
gestionar máquinas. Las máquinas por defecto son las siguientes:
• Company Stalker: intenta obtener todas las direcciones de
correo de un determinado dominio y cuales tienen resultados en
las redes sociales. Además, obtiene los documentos que están
en el dominio y extrae los metadatos.
• Find Wikipedia Edits: dado un dominio busca posibles ediciones
de Wikipedia.
• Footprint L1: realiza un footprint de nivel 1 (rápido, básico) sobre
un dominio.
• Footprint L2: realiza un footprint de nivel 2 (medio) sobre un
dominio.
• Footprint L3: realiza un footprint de nivel 3 (intensivo) sobre un
dominio.
• Person – Email Address: intenta obtener las direcciones de
correo de una determinada persona y averigua los sitios webs en
los que aparece.
• Prune Leaf Entities: elimina las entidades sin nodos dependientes.
• Twitter Digger X: trabaja sobre un alias y analiza los Tweets.
• Twitter Digger Y: trabaja sobre un programa de afiliación. Obtiene
y analiza los Tweets.
• URL To Network Add Domain Information: a partir de una URL
obtiene información d la red y del dominio al que pertenece.
El ejemplo siguiente realiza un footprint de nivel L2.
Imagen 30 Maltego - Ejecución Máquina
Imagen 31 Maltego - Limitaciones versión Community
Imagen 32 Maltego -
Selección objetivo
Footprinting | TELEFÓNICA // 19
Pueden obtener información e intentar conseguir más a partir de dicha información.
Imagen 33 Maltego - Servidores DNS Imagen 34 Maltego - Servidor mails
Imagen 35 Maltego - Dominios shared
Footprinting | TELEFÓNICA // 20
Finalmente se obtiene el grafo, tanto en burbujas como detallada por tipos.
Imagen 36 Maltego - Grafo o burbujas resultados Imagen 37 Maltego - Información completa
Footprinting | TELEFÓNICA // 21
2.3 | FOCA
Según la web oficial, FOCA4 (Fingerprinting Organizations with
Collected Archives) es una herramienta utilizada principalmente
paraencontrar metadatos e información oculta en los documentos
que examina. Estos documentos pueden estar en páginas web, y
con FOCA se pueden descargar y analizar. Los documentos que es
capaz de analizar son muy variados, siendo los más comunes los
archivos de Microsoft Office, Open Office, o ficheros PDF.
Estos documentos se buscan utilizando tres posibles buscadores
que son Google, Bing y Exalead. La suma de los tres buscadores hace
que se consigan un gran número de documentos. También existe
la posibilidad de añadir ficheros locales para extraer la información
EXIF de archivos gráficos, y antes incluso de descargar el fichero se
ha realizado un análisis completo de la información descubierta a
través de la URL.
4 https://www.elevenpaths.com/es/labstools/foca-2/index.html
Imagen 38 Logo FOCA
http://www.elevenpaths.com/es/labstools/foca-2/index.html
Footprinting | TELEFÓNICA // 22
Con todos los datos extraídos de todos los ficheros, FOCA va a
unir la información, tratando de reconocer qué documentos han
sido creados desde el mismo equipo, y qué servidores y clientes se
pueden inferir de ellos.
FOCA incluye un módulo de descubrimiento de servidores, cuyo
objetivo es automatizar el proceso de búsqueda de los mismos
usando técnicas enlazadas recursivamente. Las técnicas utilizadas
en este sentido son:
• Web Search: busca nombres de hosts y dominios a través de la
búsqueda de URLs asociadas al dominio principal, cada link es
analizado para extraer de él nuevos nombres de hosts y nombres
de domino.
• DNS Search: a cada dominio se le consultará cuáles son los
hostnames configurados en los servidores NS, MX y SPF para
descubrir nuevos nombres de hosts y nombres de dominios.
• Resolución IP: cada nombre de host se resolverá contra el DNS
para obtener la dirección IP asociada a ese nombre de servidor.
Para que esta tarea sea lo más certera posible, la consulta se
realiza contra un DNS interno de la organización.
• PTR Scanning: para encontrar más servidores en el mismo
segmento de una determinada dirección IP FOCA realizará un
escaneo de registros PTR.
• Bing IP: por cada dirección IP descubierta se lanzará un proceso
de búsqueda de nuevos nombres de dominio asociados a esa
dirección IP.
• Common names: este módulo está pensado para realizar
ataques de diccionario contra el DNS. Utiliza un fichero de texto
donde se añade una lista de nombres de host comunes como ftp,
pc01, pc02, intranet, extranet, internal, test, ...
• DNS Prediction: utilizado para aquellos entornos en los que se
haya descubierto un nombre de equipo que pueda dar pie a pensar
que se está utilizando un patrón en el sistema de nombres.
• Robtex: el servicio Robtex es uno de los múltiples servicios que
hay en Internet para analizar las direcciones IP y los dominios,
FOCA lo utiliza para intentar descubrir nuevos dominios buscando
en la información que Robtext posee de ella.
FOCA comenzó siendo una herramienta de análisis de metadatos
para dibujar una red a partir de los mismos, y en la actualidad se ha
convertido en un referente en el ámbito de la seguridad informática,
gracias a las numerosas opciones que incorpora. Gracias a dichas
opciones con FOCA es posible realizar múltiples ataques y técnicas
de análisis como:
• Extracción de metadatos.
• Análisis de red.
• DNS Snooping.
• Búsqueda de ficheros comunes.
• Juicy files.
• Búsqueda de proxys.
• Reconocimiento de tecnologías.
• Fingerprinting.
• Leaks.
• Búsqueda de backups.
• Forzado de errores.
• Búsqueda de directorios abiertos
Footprinting | TELEFÓNICA // 23
Además, FOCA tiene una serie de plugins
para aumentar la funcionalidad o el número
de ataques que se pueden realizar a los
elementos obtenidos durante el análisis.
Adicionalmente el usuario podrá utilizar el
módulo “Foquetta” para generar informes
con los resultados obtenidos, para disponer
de este módulo hay que tener instalado el
programa “Crystal Reports”.
Para extraer los metadatos de los archivos
existen dos formas: o bien los archivos de
los que queremos extraer la información
están guardados en nuestro ordenador o
usar directamente FOCA para obtenerlos
de una URL. Para comenzar la descarga de
archivos desde una URL, seleccionamos
Project y elegimos New Project. Daremos a
continuación el nombre de nuestro proyecto
y el dominio de la web de la que queremos
extraer los archivos, en nuestro ejemplo
escribimos la página oficial de Telefónica,
telefónica.es, y creamos el proyecto con el
que trabajar. Imagen 39 FOCA -Crear proyecto
http://telef�nica.es/
Footprinting | TELEFÓNICA // 24
En la columna de la izquierda si
seleccionamos Metadatos nos permite
elegir con qué buscadores queremos analizar
el dominio introducido. Según las opciones
seleccionadas la búsqueda se realizará más
o menos rápida; estas opciones van desde
el buscador y la extensión de los archivos,
pudiendo buscar un solo tipo de archivo o
todos los que nos permite.
Imagen 40 FOCA - Selección motores de búsqueda y tipos
Footprinting | TELEFÓNICA // 25
Una vez indicado que la configuración
seleccionamos el botón Search All y
comienza la búsqueda de archivos.
Imagen 41 FOCA - Proceso de búsqueda
Footprinting | TELEFÓNICA // 26
Podremos descargar los archivos en el menú
contextual sobre cualquier archivo, dando
la posibilidad de descargar uno o todos
Download All los que ha recopilado.
Imagen 42 FOCA - Descarga de archivos obtenidos
Footprinting | TELEFÓNICA // 27
Una vez descargados los archivos, para
extraer la información volvemos a seleccionar
con el menú contextual los distintos archivos
de los que queremos extraer y seleccionamos
Extract All Metadata dando comienzo
al análisis. A medida que va extrayendo
información se va recopilando en la columna
de la izquierda en los apartados Documents
y Metadata Summary. Organizando la
información por tipo de archivos, así como
los metadatos obtenidos, como nombres de
usuarios, impresoras, software, sistemas
operativos, ...
Imagen 43 FOCA - Metadata
Footprinting | TELEFÓNICA // 28
La información recopilada se podrá exportar
a un documento la información obtenida,
para su posterior uso y análisis. Además,
si elegimos Analyze, FOCA comenzará a
analizar todos los metadatos obtenidos,
creando un mapa de red con todos ellos, que
encontraremos Network.
De esta manera se obtiene un mapa
estructurado de la red con los detalles de
usuarios y equipos que lo forman.
Imagen 44 FOCA - Mapa estructurado
Footprinting | TELEFÓNICA // 29
DNS Caché Snooping
El módulo DNS Caché Snooping permite
conocer el hábito de navegación y los sitios
visitados por los usuarios del servidor DNS
mediante el análisis de las resoluciones
de nombres almacenadas en la caché del
servidor DNS.
En el menú superior seleccionamos Tools.
Necesitamos indicarle un dominio en el
campo Domain e indicarle un archivo con
el listado de URLs a consultar y comparar
mediante Load file. Al pulsar el botón Obtain
DNS Server nos mostrará los servidores DNS
del dominio, y si queremos realizar el DNS
Caché Snooping, clicamos sobre el botón
Snoop, mostrándolos el listado de URLs que
contenga el archivo y que a su vez estén en
el servidor DNS.
FOCA dispone de multitud de funcionalidades,
dejando al alumno realizar y comprobar
todas ellas. Imagen 45 FOCA – DNS Caché
Footprinting | TELEFÓNICA // 30
2.4 | Shodan
Según la Wikipedia, Shodan5 es un motor de búsqueda que le
permite al usuario encontrar iguales o diferentes tipos específicos
de equipos (routers, servidores, etc.) conectados a Internet a través
de una variedad de filtros. Algunos también lo han descrito como
un motor de búsqueda de banners de servicios, que son metadatos
que el servidor envía de vuelta al cliente. Esta información puede
ser sobre el software de servidor, qué opciones admite el servicio,
un mensaje de bienvenida o cualquier otra cosa que el cliente pueda
saber antes de interactuar con el servidor.
Shodan recoge datossobre todo en los servidores web al momento
(HTTP puerto 80), pero también hay algunos datos de FTP (21), SSH
(22) Telnet (23), SNMP (161) y SIP (5060).
Fue lanzado en 2009 por el informático John Matherly, quien, en
2003, concibió la idea de buscar dispositivos vinculados a Internet.
El nombre Shodan es una referencia a SHODAN, un personaje de la
serie de videojuegos System Shock.
5 https://es.wikipedia.org/wiki/Shodan
Imagen 46 Logo Shodan
http://es.wikipedia.org/wiki/Shodan
Footprinting | TELEFÓNICA // 31
Shodan escanea constantemente todo el
rango de direcciones IPv4 y IPv6, es decir,
todas las direcciones IP que hay en Internet y
realiza un fingerprinting de ello. Por ejemplo,
si el auditor está interesado en saber si una
organización tiene algún tipo de cámara
accesible desde el exterior, se podría apoyar
en Shodan para llevar a cabo esta búsqueda.
Realizando un pequeño ejemplo buscamos
webcamxp, qué es un tipo de software y
obtenemos un gran listado. En las siguientes
imágenes se puede ver cómo se obtiene un
listado, y simplemente buscando un poco se
pueden encontrar cámaras accesibles desde
Internet sin ningún tipo de autenticación.
Imagen 47 Shodan - Búsqueda de webcamXP
Footprinting | TELEFÓNICA // 32
Imagen 48 Shodan - Acceso a webcam sin credenciales
Footprinting | TELEFÓNICA // 33
Otro ejemplo en Shodan sería realizar
búsquedas de los banner de las aplicaciones.
Obtendremos un listado de aplicaciones
expuestas en Internet con ese banner. De
dicho banner se puede sacar información
jugosa como es la versión de la aplicación, y
a partir de ahí saber si dicha aplicación tiene
alguna vulnerabilidad conocida.
Imagen 49 Shodan - Búsqueda por banner
Footprinting | TELEFÓNICA // 34
Se debe entender que estas técnicas
son utilizadas contra el target que
contrató la auditoría y llevadas de forma
responsable. Cualquier cosa que se haga
que no esté estipulada en el contrato,
puede consecuentemente llevaros a un
delito. Siempre hay que ser ético con esto,
y centrarse solamente en lo que estipule
el contrato firmado con la empresa que
contrata el servicio. En el contrato aparecerán
los activos sobre los que se pueden llevar
a cabo pruebas y en qué temporalidad.
También se especificará por parte del cliente
si hay alguna restricción. También recordar
que la etapa de footprinting todo es público,
por lo que, si no hay evasión de un sistema
de autenticación, no debería existir ningún
problema.
Imagen 50 Shodan - Detalle de dispositivo encontrado
Footprinting | TELEFÓNICA // 35
2.5 | Otras herramientas
Existen muchas técnicas y pequeños trucos que pueden ayudar en la fase de footprinting.
A continuación, se enumeran algunas acciones interesantes en temas de footprinting:
• Visitar el o los sitios web de la organización, servicios y
aplicaciones con el fin de encontrar errores y conocer la superficie
de información que tiene el objetivo.
• Búsqueda de enlaces mediante motores de búsqueda, como
Google o Bing, fichero Robots.txt, errores en llamadas, ...
• Es importante recabar la máxima información posible sobre el
dominio, para después ir afinando las búsquedas con los tricks
que el auditor puede conocer.
• Algo interesante es descargar todos los sitios web de la
organización para poder estudiarlos y descubrir enlaces o textos
que pueden haberse quedado en las propias páginas.
• Las versiones anteriores de páginas web también deben ser
consultadas, por ejemplo, mediante el uso de Archive.org/web.
• ¿Cómo saber el tamaño aproximado de la organización? Es
importante listar los dominios y subdominios de ésta. Toda
la información que se pueda obtener de esto es información
crucial, por ejemplo, listar el máximo de direcciones IP, con lo que
se podría tener una idea aproximada del número de máquinas de
las que consta la organización.
• El estudio de los metadatos de los documentos públicos de una
organización es algo importante, ya que, gracias a estos, se puede
conocer datos de interés de una organización. En los metadatos
se puede conocer desde emails, software, usuarios, impresoras,
... Esto se puede llevar a cabo con herramientas como FOCA.
• Apoyarse en servicios como el DNS para saber por dónde navegan
los empleados de la organización. Esto puede ser realmente útil
para conocer aplicaciones que pueden ser vulnerables a técnicas
de Evilgrade. Por ejemplo, si el auditor descubre que el DNS de
la organización es vulnerable a DNS Caché Snooping, puede
preguntar al servidor por dominios que utilizan las aplicaciones
en sus actualizaciones. Los dominios por los que preguntaría
serían vulnerables a la técnica de Evilgrade.
Footprinting | TELEFÓNICA // 36
Imagen 50 Shodan - Detalle de dispositivo encontrado
• El DNS y el servidor de correo pueden ayudar a obtener
información sobre la organización. Otros ejemplos son la
transferencia de zona con la que se puede obtener un mapa de
máquinas jugoso.
• Comprobación de la existencia de lo denominado como hosting
compartido. Esto es un valor añadido importante, ya que la
seguridad del servidor puede radicar en el dominio más débil.
• La obtención de emails es algo importante, ya que más adelante
se puede llevar a cabo ataques de ingeniería social, phishing, o
incluso el comienzo de un APT. Existen herramientas las cuales
pasándoles el nombre de dominio realizan búsqueda de los
emails de los empleados de la organización por Internet, por
ejemplo, The Harvester, herramienta para recopilar información
sobre correos electrónicos, subdominios, nombres de hosts,
nombres de usuarios, nombres de empleados, puertos abiertos,
banners… desde fuentes públicas como son los motores de
búsqueda, servidores PGP y la base de datos de SHODAN.
Footprinting | TELEFÓNICA // 37
2.6 | Otros conceptos: OSINT
Qué es OSINT, fases y fuentes
Una definición clásica sería aquella en la que podemos definir OSINT
como el conocimiento y explotación de fuentes de acceso público
para generar inteligencia que nos va a permitir obtener una serie de
datos que nos ayudarán a tomar una decisión.
Hay decisiones que realmente pueden tener un impacto importante
en la sociedad o puede tener un impacto importante para un
conjunto de usuarios o para un único usuario a nivel por ejemplo
económico. Cuando tomamos estas decisiones que han de ser unas
decisiones importantes necesitamos basarnos en tener datos lo
más fiables posibles y ahí es donde entra en juego OSINT. OSINT nos
va a permitir obtener estos datos para luego tomar una decisión que
puede ser una decisión como por ejemplo de detener a una persona
o por ejemplo saber cuál es el target de un producto.
Cuáles son las diferentes fases en un proceso de OSINT
Dentro de lo que sería el proceso general OSINT las fases
típicas serían pues una primera fase de requerimientos, de
identificación, saber cuáles son los objetivos que perseguimos,
cual es la información que queremos obtener y el tiempo que
vamos a necesitar que va a ser decisivo. Luego vendría una
fase de identificación de las fuentes relevantes que vamos a
utilizar para obtener esa información y a continuación, una vez
hemos identificado las fuentes, lo que hacemos es adquirir esa
información. Lo más lógico y como se puede entender es a nivel
automático porque obtener la información de manera manual pues
aunque en muchos casos se lleva así bueno se intenta obtener de
la manera más automática posible. Se adquiere la información,
se procesa para darle algún tipo de formato que sea fácilmente
interpretable y a partir de ahí bueno pues se obtiene se genera
esa inteligencia, se generan esos datos o alguien interpreta o
correla los datos que hemos obtenido de diferentes herramientas
para garantizar que esa información sea lo más fiable posible.
Fuentes utilizadas en un proceso de OSINT
En cuanto a las fuentes por un lado estarían muy importante motores
de búsqueda, motores de búsqueda tradicionales Google, Bing, ...
como motores de búsquedaalternativos como metabuscadores
o buscadores específicos, por ejemplo, buscadores a nivel de
citas, para un target específico para determinadas edades o para
determinados sectores. Y luego la Deep Web, también entraría parte
de ese conjunto de buscadores que podríamos utilizar.
Otra gran fuente de información serían las redes sociales. Primero
por la importancia de buscar información sobre las personas que
cada día es más importante como cuál es su identidad digital, cuál
es su presencia en Internet de estas personas. Existen ya servicios
y herramientas para identificar su presencia en Internet. Y luego hay
tanto redes sociales generalistas como Twitter, Facebook, LinkedIn,
… como otro grupo de redes sociales más reducidas también porque
tienen un alcance geográfico más reducido o porque son redes
sociales más dirigidas no hacia cierto sector.
Footprinting | TELEFÓNICA // 38
Posteriormente buscaríamos datos tanto a
nivel de datos de carácter personal, datos
como el nombre de la persona, edad, lugar
de residencia, lugar de trabajo, ... como
información más concreta o más precisa
como puede ser por ejemplo cuál es el
entorno de ese usuario, cuál es su segunda
residencia o dónde va a cenar los viernes
por la noche. Y a nivel corporativo, es lo
mismo, también es importante fuentes que
nos ayuden a recopilar información sobre
la empresa, datos generales como datos
sobre el negocio, productos, documentos o
I+D que esté realizando, ...
Va a depender mucho del objetivo utilizar una
fuente u otra y explotar unos datos u otros.
Podríamos utilizar herramientas como
Maltego, Herramienta para representar
información de forma comprensible
determinando relaciones entre personas,
organizaciones, sitios web, infraestructura
de red (dominios, nombres DNS, direcciones
IP), afiliaciones en RRSS, y documentos.
Probablemente sea, por excelencia, una de
las principales herramientas para realizar
el proceso de recolección de información
mediante técnicas OSINT.
Imagen 52 Detalle de OSINT con Maltego
Footprinting | TELEFÓNICA // 39
También Automater, herramienta OSINT
para url/dominio, dirección ip, hash md5
destinada a hacer el proceso de análisis más
fácil para los analistas en intrusión. Definido
un objetivo (url, ip o hash) o una lista
completa de objetivos, Automater devolverá
resultados relevantes desde fuentes como
las siguientes: IPVoid.com, Robtex.com,
Fortiguard.com, unshorten.me, Urlvoid.com,
Labs.alienvault.com, ThreatExpert, VxVault,
y VirusTotal.
Imagen 53 Automater
http://unshorten.me/
http://alienvault.com/
Footprinting | TELEFÓNICA // 40
Interesante la herramienta OSINT
Framework que es un recurso bastante
interesante para llevar a cabo búsquedas de
fuentes de información abiertas. El detalle
más destacado es que las búsquedas están
clasificadas por temáticas y objetivos,
indicando el recurso correspondiente, y
puede dar muchas ideas sobre diferentes
investigaciones partiendo del campo OSINT.
Imagen 54 OSINT Framework
Footprinting | TELEFÓNICA // 41
Otra herramienta Spiderfoot cuenta con
varios módulos dedicados a recoger
información y tratarla extrayendo datos
relevantes de distintos ámbitos (Dns,
contenido web, whois, Virustotal, Shodan,
etc.) que nos serán de utilidad a la hora
de realizar tareas de OSINT (Open Source
Intelligence). El objetivo de esta herramienta
es la automatización para obtener
información de direcciones IP, nombres de
dominio, hostnames y subredes.
Existen multitud de herramientas
destinadas a OSINT y que pueden utilizarse
en la fase de footprinting, obteniendo
valiosa información y organizándola para un
uso posterior de cara a una auditoria.
Imagen 55 Spiderfoot