Herramientas de Information Gathering aplicadas al aseguramiento de información sensible en

servidores web.Víctor Ángel Acosta Santivañez

Escuela de Tecnologías de Información y Procesos, Instituto del Sur, Arequipa, Perú.

v.acosta.santivanez@isur.pe

Resumen: Vivimos en un mundo donde la información se encuentra en todos lados y muchas veces esta información dice más de lo que debería decir.

Muchas veces, quizás por la gran cantidad de información que maneja una empresa, se hace pública aquella que puede ser sensible; esta información no es percibida como tal por un cliente o empleado, pero lo es por un atacante, que en ella puede ver puntos muy sensibles que pueden llevar a realizar un ataque hacking, trayendo consigo consecuencias muy serias, que en muchos casos son causales de perdida de dinero por información filtrada, como los casos Wikileaks.

Bajo estos problemas, es deber de los administradores de IT tener un rol de atacante para poder identificar mediante herramientas de Information Gathering aquella información que pueda ser sensible en nuestros servidores web, archivos y aplicaciones, para poder minimizar los posibles ataques que se puedan realizar por un atacante, así como asegurar la integridad de los datos que una empresa haga público.

I. INTRODUCCIÓN

En la actualidad vivimos en un mundo saturado de información, en el que cada vez cobra más valor.

La información, para una empresa es uno de los pilares básicos de su funcionamiento, por esto es necesario saber qué tipo de información pueda ser pública o privada, garantizando así su integridad, disponibilidad, etc.

Desde un punto de vista informático, es mucho más sensible el manejo de información tanto así como de aquella que se pone a disposición del público, que muchas veces se realiza a través de los servidores web de la empresa.

Se sabe también que información no solo es aquella que genera una empresa, sino también son los datos que se encuentran en archivos, que pueden ser de tipo Office, o logs de aplicaciones que se ejecuten en algún servidor de la empresa, como también datos acerca de los programas o servicios y sus respectivas versiones.

En los últimos años han aumentado los casos de vandalismo electrónico, entre todas las actividades delictivas existe una contra páginas web de organizaciones e instituciones, en una actividad que se define como “Defacing”: El Deface / Defacing / Defacement es la modificación de una página web sin autorización del dueño de la misma. [1]

Frente a este problema, es tarea de los administradores de IT tener un rol de atacante y poder descubrir información sensible acerca de la propia empresa y que pueda ser clave para el resultado de un ataque como el Defacing.

II. HACKING ÉTICO

EL termino hacking generalmente se refiere a actividades que son realizadas por personas denominadas hackers, que son individuos cuyos conocimientos en informática son muy avanzados. Entre algunas de las tantas actividades que se refiere al hacking tenemos:

Robo de información. Acceso no autorizado a Bases de datos. Acceso no autorizado a emails. Tener acceso a servidores privados. Infectar computadoras con software malicioso

(malware, gusanos, troyanos, etc.)

Y la lista de actividades hacking crece.

Los servidores, aplicaciones e información de empresas privadas se ven amenazadas frente a este tipo de

actividades hacking, para reducir esta amenaza es necesario que dichas empresas cuenten con un área de Seguridad Informática, que este a la escucha de ataques y pueda reducir el acceso no autorizado de información, ayudando así a asegurar la información que la empresa desee mantener protegida, asegurando así su autenticidad, integridad, confidencialidad y disponibilidad.

A. ¿Por qué ético?

Porque las actividades hacking que se llevan a cabo a través de Hacking Ético, no tienen un fin malicioso (como tener acceso no autorizado a información), sino un fin informativo y correctivo, capaz de brindar soluciones a problemas y vulnerabilidades que se puedan encontrar para luego ser informadas a la empresa y esta pueda tomar una medida correctiva frente a actividades.

El Hacking Ético se basa en los principios morales e informativos, si se detecta fallos en sistemas a través de Hacking Ético es seguro que estos serán informados a la empresa y posteriormente corregidos.

Por ejemplo, ¿Sería ético acceder a un correo electrónico de una empresa sin conocer la contraseña? Bajo el concepto de Hacking Ético, es claro que sí. La respuesta de este caso es válida siempre y cuando el gerente o administrador de sistemas de la empresa nos haya autorizado acceder al correo electrónico, quizás para demostrar fallas de seguridad u otro asunto existente en algunos de los servicios que ofrece la empresa.

III. INFORMATION GATHERING

Dentro de la temática que existe en Hacking Ético tenemos una metodología que la divide en 4 actividades esenciales que son:

Reconocimiento. Escaneo. Explotación. Mantener el acceso.

El presente paper abarca la primera actividad de Hacking Ético llamada reconocimiento.

A esta actividad de reconocimiento se le conoce en el mundo de la seguridad informática con el nombre de “Information Gathering” y consiste en la búsqueda de toda información acerca de un objetivo, ya sea publicada a propósito, por desconocimiento o descuido.

Cabe mencionar que debido a su temprana aparición en los últimos años, aun no se cuenta con una metodología

definida para Information Gathering, ya que anteriormente cada persona actuaba bajo su criterio propio al querer obtener información acerca de un objetivo, por esto es que recientemente se ha creado un estándar llamado PTES (Penetration Testing Execution Standard), que recolecta una serie de procedimientos que tratan poder ser la base para generar una metodología que hasta el día de hoy no está definida.

IV. TIPOS DE TEST DE INTRUSIÓN A TRAVÉS DE INFORMATION GATHERING

Dentro de Information Gathering para que un administrador de IT o un experto en seguridad informática llamado pentester, puedan realizar un test de intrusión hacia la empresa con el fin de simular un ataque y saber el tipo y la cantidad de información que pueda ser obtenida es necesario tener claro el tipo de test que se realizará.

En este aspecto existen tres tipos de test que se detallan a continuación:

Black-Box: El responsable del test de intrusión, no tiene ningún conocimiento sobre el sistema que se analizará, por ello se hacen uso de herramientas generales para obtener la mayor información posible que pueda ser relevante para un ataque.

White-Box: El responsable del test de intrusión, tiene conocimientos previos del sistema a analizar, como pueden ser el tipo de topología, direcciones y rangos de IP’s, Sistemas Operativos (SO) utilizados, etc.

Grey-Box: Este tipo de test es una combinación de los dos test anteriores con el fin de brindar una información orientativa acerca del sistema para el responsable del test de intrusión.

En el presente paper se describen aquellas herramientas de Information Gathering, que puedan servir para la obtención de información sensible desde un enfoque de pentest basado en Black-Box.

V. SOFTWARE PARA HACKING ÉTICO

Actualmente en internet se puede encontrar una gran cantidad de herramientas para pentesting, entre ellas para Information Gathering, la gran cantidad de herramientas que existen han dado lugar a la aparición de distribuciones de SO basados en Linux que recolectan diversas herramientas por categorías entre las cuales se encuentran las 4 actividades de Hacking Ético y permiten realizar análisis en sistemas de una manera más ordenada.

Algunas de estas distribuciones son:

Backtrack. Owasp Live CD. Samurai Web Testing. Pentoo. Caine. Security Distro. Operator. NinjaSec.

VI. HERRAMIENTAS INFORMATION GATHERING

“Si tuviera 10 horas para cortar un árbol, pasaría 8 horas afilando el hacha.”[2]

Como buenos administradores de IT o pentester, es clave para nuestro trabajo contar con las herramientas necesarias, debidamente actualizadas y en muchos casos personalizadas, para permitirnos realizar nuestras tareas de la mejor manera posible, obteniendo así resultados precisos.

A continuación se detallan algunos de los programas más utilizados para Information Gathering, así como su uso y posibles resultados que puedan evidenciar algún tipo de información sensible, que más adelante, puedan convertirse en puntos clave para un ataque.

A. WHOIS: El primer paso para obtener información acerca de una empresa empieza con la información que podemos adquirir a través de una simple dirección URL.Whois es un protocolo que se basa en peticiones y respuestas, que consulta en bases de datos de servidores que guardan registros acerca del alojamiento de páginas web. Actualmente Whois ha pasado de ser un simple programa a través de una línea de comandos a ser implementado en miles de páginas web, pudiendo así agilizar su uso para el usuario final que desee realizar una búsqueda acerca de una web.En la siguiente ilustración vemos el resultado Whois de la página web: www.sunat.gob.pe

Figura 1: Ejemplo Whois. Fuente: Elaboración propia.

Como se puede apreciar la información que se puede obtener acerca de cualquier empresa solo con saber la dirección web, es muy completa, tanto que a veces expone información que puede ser clave para un atacante, como por ejemplo el “Administrative Contact”.Es necesario que al momento que una empresa registre su dominio, pueda hacerlo brindando solo la información básica del sitio como por ejemplo la dirección IP, nombres DNS, etc., cuidando así la privacidad de nombres de trabajadores, ya que para un atacante este sería el comienzo para obtener información personal acerca de nuestros trabajadores, por ejemplo a través de redes sociales.

B. WHATWEB: Después de haber realizado una petición Whois, hacia la página web que deseamos asegurar, uno de los datos más sobre saltantes es por supuesto la dirección IP, que generalmente es la dirección de un servidor web, que ejecuta una aplicación web como IIS o Apache y un gestor de contenidos como es WordPress o Joomla.WhatWeb es un script escrito en el lenguaje de programación Perl por Andrew Horton aka.La funcionalidad de este script es la de escanear un sitio web, pudiendo detectar tanto los servicios, sus versiones, como el SO que se ejecuta en el servidor.En la siguiente ilustración se muestra el resultado de WhatWeb tras haber analizado la página web: www.isur.edu.pe

Figura 2: Ejemplo WhatWeb. Fuente: Elaboración propia.

El resultado de este escaneo a través de WhatWeb es muy preciso, podemos ver con claridad todos las aplicaciones que se ejecutan el este servidor, así como sus respectivas versiones, es más hasta se puede observar el tipo que cookies que maneja el sitio.El uso de WhatWeb es muy importante al momento de asegurar una página web, ya que a través de él, podemos ver que aplicaciones publican su nombre y su versión, para que el administrador IT de la empresa pueda ocultar estos datos.Es importante ocultar estos datos por que estos no son de interés a un cliente que desee visitar nuestra página web, por otro lado estos son de vital importancia para un atacante, ya que son la base para realizar otras actividades más delicadas como en descubrimiento de vulnerabilidades. Por ejemplo un atacante puede ver que se utiliza en el servidor la aplicación Apache 2.2.3 y buscar internet algún exploit o 0-day (Código malicioso o vulnerabilidad, que hasta la fecha actual, no tiene parches o correcciones) que le permita realizar algún tipo de ataque como denegación de servicio (DDoS) o encontrar algún fichero vulnerable que le permita acceder a la configuración de contenidos de la página web.

C. FOCA Online: FOCA es una aplicación online desarrollada por “Informática 64”, una empresa española dedicada a la formación, consultoría de sistemas y seguridad informática con una presencia de más de 10 años.

Hay que saber que algunos archivos tienen mucha más información, de la que nosotros colocamos en estos.

Este es el caso de los famosos metadatos, que son datos estructurados que describen características como el contenido y la calidad de archivos.

Estos metadatos se crean automáticamente cuando nosotros creamos un archivo. Un ejemplo claro de

estos metadatos son los archivos de imágenes (.jpg) que son creados por cámaras digitales, ya que cuando visualizamos estos archivos por ejemplo en el explorador de Windows, podemos ver información adicional de la fotografía como por ejemplo: la fecha y hora en la que fue creada, la cámara con la que se tomó la fotografía, el modelo de la cámara, distancia focal, etc.

Pues bien, estos datos vienen a ser los metadatos generados por la cámara digital y puestos en un archivo, junto con la imagen tomada.

FOCA es un analizador online de meta dados en archivos, que busca exhaustivamente todos los posibles metadatos que pueda contener un archivo que nosotros le demos. Actualmente FOCA soporta muchos tipos de archivos entre los cuales se encuentran: .doc .ppt .pps .xls .docx .pptx .ppsx .xlsx .jpg .bmp .png entre otros.

Al momento de que una empresa haga público cualquier tipo de archivo, hay que cuidar mucho los metadatos que estos archivos tengan, ya que muchas veces estos son generados en computadoras propias de la empresa, por consiguiente los metadatos existentes en estos archivos pueden involucrar información muy sensible.

A continuación vemos toda la información que se puede obtener al analizar los metadatos de un archivo .doc llamado “Ley General de Educación” publicado a través de la página web: www.minedu.gob.pe:

Figura 3: Ejemplo FOCA Online. Fuente: Elaboración propia.

Como podemos observar, la información obtenida a través de los metadatos de un archivo .doc, es bastante, concisa, muy específica y sobre todo sensible.

Un atacante sin muchos conocimientos podría analizar este archivo .doc y saber cosas privadas de la empresa, como que la computadora en donde se elaboró este archivo era un Windows XP, que existen 3 usuarios que alteraron este archivo o las rutas de las carpetas donde estuvo guardado este archivo, pudiendo obtener de estas rutas información como el nombre de usuario de la computadora.

Esta es, tal vez, la manera más fácil de comprometer nombres de usuarios, de computadoras, de carpetas, etc., con las intenciones de un posible atacante. Es por esto muy importante controlar que todos los metadatos que un archivo de nuestra empresa que se encuentre en internet, estén vacíos o con información básica como la fecha de creación para prevenir posibles ataques ya sea a nuestros sistemas o a los usuarios mediante técnicas de ingeniería inversa.

Es más Microsoft consiente de los riesgos que pueden traer los metadatos, menciona en su artículo KB825576 como evitar que aplicaciones de Microsoft Office como Microsoft Word eviten guardar metadatos que puedan contener información privada.

Desde el punto de vista de una empresa en donde se manejan montones de archivos y cada uno de estos con mucha información en sus metadatos, es que podemos recurrir a herramientas como “Doc Scrubber”.

“Doc Scrubber” es una herramienta gratuita que permite el borrado de metadatos en archivos. Su principal característica es que permite elegir que metadatos poder borrar como “comentarios”, “creado por”, “plantilla usada”, “Identificador único”, etc.

Doc Scrubber También permite el borrado de metadatos de múltiples archivos en una sola operación, facilitando así la tarea de un administrador de IT que desee hacer público varios archivos, todos estos sin metadatos que puedan involucrar información sensible de la empresa.

IV. CONCLUSIONES

En este paper se describieron algunas de las herramientas más comunes al momento de recopilar información para saber el tipo de información sensible que existe, ya sea en internet o en archivos.

En nuestros tiempos los administradores de IT deben tomar más conciencia acerca del uso de herramientas para Information Gathering, ya que así como un administrador puede usar un arsenal de herramientas de libre descarga en internet sobre Information Gathering, también lo puede usar cualquier persona contra la página web de una empresa o archivos que esta publique en internet; ya que el uso de estas herramientas básicamente es sencillo.

Personalmente considero muy fácil el uso de herramientas de Information Gathering, por lo cual, creo que los administradores de IT, deben tener políticas internas acerca de revisiones periódicas en archivos, en logs generados por aplicaciones, en información que se coloque en una página web, etc. Ya que estos datos sirven de base para poder realizar otras actividades hacking que pueden ser muy nocivas tanto para la empresa, su portal web o los servicios que esta ofrezca.

REFERENCIAS

[1] (2007) CODE NB. ¿Qué es un Deface / Defacing / Defacement?. [Online]

Disponible:http://www.codenb.com/¿que-es-un-deface-defacing-defacement-14/

[2] (2006) Albert Coronado. Abraham Lincoln « Albert Coronado. [Online]

Disponible: http://www.albertcoronado.com/2006/11/02/abraham-lincoln/

[3] (2006) Cómo minimizar metadatos en Word 2003. [Online]Disponible:http://support.microsoft.com/kb/825576/

[4] C. Tori, “Hacking Ético”. En Hacking Ético. Rosario, 2008, pp. 12-19.

[5] C. Tori, “Recabar Información”. En Hacking Ético. Rosario, 2008, pp. 49-54.

[6] M. Aharoni, “Module 2- Information Gathering Techniques”. En Offensive Security Lab Exercises. 2007, pp. 56-80.

[7] B. Merino, J. holguín, “Pentest: Recolección de información” [Online]. España: Ministerio de industria, turismo y comercio.Disponible:http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_information_gathering.pdf

[8] P. Aguilera, “Amenazas al fostware”. En Seguridad Informática. Editex, 2010, pp. 102-112.

[9] Domaintools.com (2012). Whois looup & Domain Availability Search. [Online]Disponible:http://whois.domaintools.com/

[10] http://www.morningstarsecurity.com (2011). WhatWeb. [Online]Disponible:http://www.morningstarsecurity.com/research/whatweb

[11] http://www.informatica64.com. FOCA Online. [Online]Disponible:http://www.informatica64.com/foca/