Herramientas de Information Gathering aplicadas al aseguramiento de informacin sensible en servidores web.

Vctor ngel Acosta Santivaez

Escuela de Tecnologas de Informacin y Procesos, Instituto del Sur, Arequipa, Per.
v.acosta.santivanez@isur.pe

Resumen: Vivimos en un mundo donde la informacin se encuentra en todos lados y muchas veces esta informacin dice ms de lo que debera decir. Muchas veces, quizs por la gran cantidad de informacin que maneja una empresa, se hace pblica aquella que puede ser sensible; esta informacin no es percibida como tal por un cliente o empleado, pero lo es por un atacante, que en ella puede ver puntos muy sensibles que pueden llevar a realizar un ataque hacking, trayendo consigo consecuencias muy serias, que en muchos casos son causales de perdida de dinero por informacin filtrada, como los casos Wikileaks. Bajo estos problemas, es deber de los administradores de IT tener un rol de atacante para poder identificar mediante herramientas de Information Gathering aquella informacin que pueda ser sensible en nuestros servidores web, archivos y aplicaciones, para poder minimizar los posibles ataques que se puedan realizar por un atacante, as como asegurar la integridad de los datos que una empresa haga pblico.

encuentran en archivos, que pueden ser de tipo Office, o logs de aplicaciones que se ejecuten en algn servidor de la empresa, como tambin datos acerca de los programas o servicios y sus respectivas versiones. En los ltimos aos han aumentado los casos de vandalismo electrnico, entre todas las actividades delictivas existe una contra pginas web de organizaciones e instituciones, en una actividad que se define como Defacing: El Deface / Defacing / Defacement es la modificacin de una pgina web sin autorizacin del dueo de la misma. [1] Frente a este problema, es tarea de los administradores de IT tener un rol de atacante y poder descubrir informacin sensible acerca de la propia empresa y que pueda ser clave para el resultado de un ataque como el Defacing.

II.

HACKING TICO

I.

INTRODUCCIN

EL termino hacking generalmente se refiere a actividades que son realizadas por personas denominadas hackers, que son individuos cuyos conocimientos en informtica son muy avanzados. Entre algunas de las tantas actividades que se refiere al hacking tenemos: Robo de informacin. Acceso no autorizado a Bases de datos. Acceso no autorizado a emails. Tener acceso a servidores privados. Infectar computadoras con software malicioso (malware, gusanos, troyanos, etc.)

En la actualidad vivimos en un mundo saturado de informacin, en el que cada vez cobra ms valor. La informacin, para una empresa es uno de los pilares bsicos de su funcionamiento, por esto es necesario saber qu tipo de informacin pueda ser pblica o privada, garantizando as su integridad, disponibilidad, etc. Desde un punto de vista informtico, es mucho ms sensible el manejo de informacin tanto as como de aquella que se pone a disposicin del pblico, que muchas veces se realiza a travs de los servidores web de la empresa. Se sabe tambin que informacin no solo es aquella que genera una empresa, sino tambin son los datos que se

Y la lista de actividades hacking crece. Los servidores, aplicaciones e informacin de empresas privadas se ven amenazadas frente a este tipo de actividades hacking, para reducir esta amenaza es necesario que dichas empresas cuenten con un rea de Seguridad Informtica, que este a la escucha de ataques y pueda reducir el acceso no autorizado de informacin,

ayudando as a asegurar la informacin que la empresa desee mantener protegida, asegurando as su autenticidad, integridad, confidencialidad y disponibilidad. A. Por qu tico? Porque las actividades hacking que se llevan a cabo a travs de Hacking tico, no tienen un fin malicioso (como tener acceso no autorizado a informacin), sino un fin informativo y correctivo, capaz de brindar soluciones a problemas y vulnerabilidades que se puedan encontrar para luego ser informadas a la empresa y esta pueda tomar una medida correctiva frente a actividades. El Hacking tico se basa en los principios morales e informativos, si se detecta fallos en sistemas a travs de Hacking tico es seguro que estos sern informados a la empresa y posteriormente corregidos. Por ejemplo, Sera tico acceder a un correo electrnico de una empresa sin conocer la contrasea? Bajo el concepto de Hacking tico, es claro que s. La respuesta de este caso es vlida siempre y cuando el gerente o administrador de sistemas de la empresa nos haya autorizado acceder al correo electrnico, quizs para demostrar fallas de seguridad u otro asunto existente en algunos de los servicios que ofrece la empresa.

para generar una metodologa que hasta el da de hoy no est definida.

IV.

TIPOS DE TEST DE INTRUSIN A TRAVS DE INFORMATION GATHERING

Dentro de Information Gathering para que un administrador de IT o un experto en seguridad informtica llamado pentester, puedan realizar un test de intrusin hacia la empresa con el fin de simular un ataque y saber el tipo y la cantidad de informacin que pueda ser obtenida es necesario tener claro el tipo de test que se realizar. En este aspecto existen tres tipos de test que se detallan a continuacin: Black-Box: El responsable del test de intrusin, no tiene ningn conocimiento sobre el sistema que se analizar, por ello se hacen uso de herramientas generales para obtener la mayor informacin posible que pueda ser relevante para un ataque. White-Box: El responsable del test de intrusin, tiene conocimientos previos del sistema a analizar, como pueden ser el tipo de topologa, direcciones y rangos de IPs, Sistemas Operativos (SO) utilizados, etc. Grey-Box: Este tipo de test es una combinacin de los dos test anteriores con el fin de brindar una informacin orientativa acerca del sistema para el responsable del test de intrusin.

III. INFORMATION GATHERING Dentro de la temtica que existe en Hacking tico tenemos una metodologa que la divide en 4 actividades esenciales que son: Reconocimiento. Escaneo. Explotacin. Mantener el acceso.

En el presente paper se describen aquellas herramientas de Information Gathering, que puedan servir para la obtencin de informacin sensible desde un enfoque de pentest basado en Black-Box.

V.

SOFTWARE PARA HACKING TICO

El presente paper abarca la primera actividad de Hacking tico llamada reconocimiento. A esta actividad de reconocimiento se le conoce en el mundo de la seguridad informtica con el nombre de Information Gathering y consiste en la bsqueda de toda informacin acerca de un objetivo, ya sea publicada a propsito, por desconocimiento o descuido. Cabe mencionar que debido a su temprana aparicin en los ltimos aos, aun no se cuenta con una metodologa definida para Information Gathering, ya que anteriormente cada persona actuaba bajo su criterio propio al querer obtener informacin acerca de un objetivo, por esto es que recientemente se ha creado un estndar llamado PTES (Penetration Testing Execution Standard), que recolecta una serie de procedimientos que tratan poder ser la base

Actualmente en internet se puede encontrar una gran cantidad de herramientas para pentesting, entre ellas para Information Gathering, la gran cantidad de herramientas que existen han dado lugar a la aparicin de distribuciones de SO basados en Linux que recolectan diversas herramientas por categoras entre las cuales se encuentran las 4 actividades de Hacking tico y permiten realizar anlisis en sistemas de una manera ms ordenada. Algunas de estas distribuciones son: Backtrack. Owasp Live CD. Samurai Web Testing. Pentoo. Caine. Security Distro.

Operator. NinjaSec.

VI.

HERRAMIENTAS INFORMATION GATHERING

Si tuviera 10 horas para cortar un rbol, pasara 8 horas afilando el hacha.[2] Como buenos administradores de IT o pentester, es clave para nuestro trabajo contar con las herramientas necesarias, debidamente actualizadas y en muchos casos personalizadas, para permitirnos realizar nuestras tareas de la mejor manera posible, obteniendo as resultados precisos. A continuacin se detallan algunos de los programas ms utilizados para Information Gathering, as como su uso y posibles resultados que puedan evidenciar algn tipo de informacin sensible, que ms adelante, puedan convertirse en puntos clave para un ataque. A. WHOIS: El primer paso para obtener informacin acerca de una empresa empieza con la informacin que podemos adquirir a travs de una simple direccin URL. Whois es un protocolo que se basa en peticiones y respuestas, que consulta en bases de datos de servidores que guardan registros acerca del alojamiento de pginas web. Actualmente Whois ha pasado de ser un simple programa a travs de una lnea de comandos a ser implementado en miles de pginas web, pudiendo as agilizar su uso para el usuario final que desee realizar una bsqueda acerca de una web. En la siguiente ilustracin vemos el resultado Whois de la pgina web: www.sunat.gob.pe

atacante, como por ejemplo el Administrative Contact. Es necesario que al momento que una empresa registre su dominio, pueda hacerlo brindando solo la informacin bsica del sitio como por ejemplo la direccin IP, nombres DNS, etc., cuidando as la privacidad de nombres de trabajadores, ya que para un atacante este sera el comienzo para obtener informacin personal acerca de nuestros trabajadores, por ejemplo a travs de redes sociales. B. WHATWEB: Despus de haber realizado una peticin Whois, hacia la pgina web que deseamos asegurar, uno de los datos ms sobre saltantes es por supuesto la direccin IP, que generalmente es la direccin de un servidor web, que ejecuta una aplicacin web como IIS o Apache y un gestor de contenidos como es WordPress o Joomla. WhatWeb es un script escrito en el lenguaje de programacin Perl por Andrew Horton aka. La funcionalidad de este script es la de escanear un sitio web, pudiendo detectar tanto los servicios, sus versiones, como el SO que se ejecuta en el servidor. En la siguiente ilustracin se muestra el resultado de WhatWeb tras haber analizado la pgina web: www.isur.edu.pe

Figura 2: Ejemplo WhatWeb. Fuente: Elaboracin propia.

Figura 1: Ejemplo Whois. Fuente: Elaboracin propia.

Como se puede apreciar la informacin que se puede obtener acerca de cualquier empresa solo con saber la direccin web, es muy completa, tanto que a veces expone informacin que puede ser clave para un

El resultado de este escaneo a travs de WhatWeb es muy preciso, podemos ver con claridad todos las aplicaciones que se ejecutan el este servidor, as como sus respectivas versiones, es ms hasta se puede observar el tipo que cookies que maneja el sitio. El uso de WhatWeb es muy importante al momento de asegurar una pgina web, ya que a travs de l, podemos ver que aplicaciones publican su nombre y su versin, para que el administrador IT de la empresa pueda ocultar estos datos. Es importante ocultar estos datos por que estos no son de inters a un cliente que desee visitar nuestra pgina web, por otro lado estos son de vital importancia para un atacante, ya que son la base para realizar otras actividades ms delicadas como en descubrimiento de

vulnerabilidades. Por ejemplo un atacante puede ver que se utiliza en el servidor la aplicacin Apache 2.2.3 y buscar internet algn exploit o 0-day (Cdigo malicioso o vulnerabilidad, que hasta la fecha actual, no tiene parches o correcciones) que le permita realizar algn tipo de ataque como denegacin de servicio (DDoS) o encontrar algn fichero vulnerable que le permita acceder a la configuracin de contenidos de la pgina web. C. FOCA Online: FOCA es una aplicacin online desarrollada por Informtica 64, una empresa espaola dedicada a la formacin, consultora de sistemas y seguridad informtica con una presencia de ms de 10 aos. Hay que saber que algunos archivos tienen mucha ms informacin, de la que nosotros colocamos en estos. Este es el caso de los famosos metadatos, que son datos estructurados que describen caractersticas como el contenido y la calidad de archivos. Estos metadatos se crean automticamente cuando nosotros creamos un archivo. Un ejemplo claro de estos metadatos son los archivos de imgenes (.jpg) que son creados por cmaras digitales, ya que cuando visualizamos estos archivos por ejemplo en el explorador de Windows, podemos ver informacin adicional de la fotografa como por ejemplo: la fecha y hora en la que fue creada, la cmara con la que se tom la fotografa, el modelo de la cmara, distancia focal, etc. Pues bien, estos datos vienen a ser los metadatos generados por la cmara digital y puestos en un archivo, junto con la imagen tomada. FOCA es un analizador online de meta dados en archivos, que busca exhaustivamente todos los posibles metadatos que pueda contener un archivo que nosotros le demos. Actualmente FOCA soporta muchos tipos de archivos entre los cuales se encuentran: .doc .ppt .pps .xls .docx .pptx .ppsx .xlsx .jpg .bmp .png entre otros. Al momento de que una empresa haga pblico cualquier tipo de archivo, hay que cuidar mucho los metadatos que estos archivos tengan, ya que muchas veces estos son generados en computadoras propias de la empresa, por consiguiente los metadatos existentes en estos archivos pueden involucrar informacin muy sensible. A continuacin vemos toda la informacin que se puede obtener al analizar los metadatos de un archivo

.doc llamado Ley General de Educacin publicado a travs de la pgina web: www.minedu.gob.pe:

Figura 3: Ejemplo FOCA Online. Fuente: Elaboracin propia.

Como podemos observar, la informacin obtenida a travs de los metadatos de un archivo .doc, es bastante, concisa, muy especfica y sobre todo sensible. Un atacante sin muchos conocimientos podra analizar este archivo .doc y saber cosas privadas de la empresa, como que la computadora en donde se elabor este archivo era un Windows XP, que existen 3 usuarios que alteraron este archivo o las rutas de las carpetas donde estuvo guardado este archivo, pudiendo obtener de estas rutas informacin como el nombre de usuario de la computadora. Esta es, tal vez, la manera ms fcil de comprometer nombres de usuarios, de computadoras, de carpetas, etc., con las intenciones de un posible atacante. Es por esto muy importante controlar que todos los metadatos que un archivo de nuestra empresa que se encuentre en internet, estn vacos o con informacin bsica como la fecha de creacin para prevenir posibles ataques ya sea a nuestros sistemas o a los usuarios mediante tcnicas de ingeniera inversa.

Es ms Microsoft consiente de los riesgos que pueden traer los metadatos, menciona en su artculo KB825576 como evitar que aplicaciones de Microsoft Office como Microsoft Word eviten guardar metadatos que puedan contener informacin privada. Desde el punto de vista de una empresa en donde se manejan montones de archivos y cada uno de estos con mucha informacin en sus metadatos, es que podemos recurrir a herramientas como Doc Scrubber. Doc Scrubber es una herramienta gratuita que permite el borrado de metadatos en archivos. Su principal caracterstica es que permite elegir que metadatos poder borrar como comentarios, creado por, plantilla usada, Identificador nico, etc. Doc Scrubber Tambin permite el borrado de metadatos de mltiples archivos en una sola operacin, facilitando as la tarea de un administrador de IT que desee hacer pblico varios archivos, todos estos sin metadatos que puedan involucrar informacin sensible de la empresa.

Disponible: http://www.codenb.com/que-es-un-defacedefacing-defacement-14/ [2] (2006) Albert Coronado. Abraham Lincoln Albert Coronado. [Online] Disponible: http://www.albertcoronado.com/2006/11/02/abr aham-lincoln/ [3] (2006) Cmo minimizar metadatos en Word 2003. [Online] Disponible: http://support.microsoft.com/kb/825576/ [4] C. Tori, Hacking tico. En Hacking tico. Rosario, 2008, pp. 12-19. [5] C. Tori, Recabar Informacin. En Hacking tico. Rosario, 2008, pp. 49-54.

IV.

CONCLUSIONES

[6] M. Aharoni, Module 2- Information Gathering Techniques. En Offensive Security Lab Exercises. 2007, pp. 56-80. [7] B. Merino, J. holgun, Pentest: Recoleccin de informacin [Online]. Espaa: Ministerio de industria, turismo y comercio. Disponible: http://cert.inteco.es/extfrontinteco/img/File/intec ocert/EstudiosInformes/cert_inf_seguridad_info rmation_gathering.pdf [8] P. Aguilera, Amenazas al fostware. En Seguridad Informtica. Editex, 2010, pp. 102112. [9] Domaintools.com (2012). Whois looup & Domain Availability Search. [Online] Disponible: http://whois.domaintools.com/ [10] http://www.morningstarsecurity.com (2011). WhatWeb. [Online] Disponible: http://www.morningstarsecurity.com/research/w hatweb [11] http://www.informatica64.com. FOCA Online. [Online] Disponible: http://www.informatica64.com/foca/

En este paper se describieron algunas de las herramientas ms comunes al momento de recopilar informacin para saber el tipo de informacin sensible que existe, ya sea en internet o en archivos. En nuestros tiempos los administradores de IT deben tomar ms conciencia acerca del uso de herramientas para Information Gathering, ya que as como un administrador puede usar un arsenal de herramientas de libre descarga en internet sobre Information Gathering, tambin lo puede usar cualquier persona contra la pgina web de una empresa o archivos que esta publique en internet; ya que el uso de estas herramientas bsicamente es sencillo. Personalmente considero muy fcil el uso de herramientas de Information Gathering, por lo cual, creo que los administradores de IT, deben tener polticas internas acerca de revisiones peridicas en archivos, en logs generados por aplicaciones, en informacin que se coloque en una pgina web, etc. Ya que estos datos sirven de base para poder realizar otras actividades hacking que pueden ser muy nocivas tanto para la empresa, su portal web o los servicios que esta ofrezca.

REFERENCIAS

[1] (2007) CODE NB. Qu es un Deface / Defacing / Defacement?. [Online]