|
|
www.luisjuan.es web para diseñadores y fotógrafos |
|
|
www.luisjuan.es web para diseñadores y fotógrafos |
Nunca se sabe cuándo un dato puede resultar de utilidad en el futuro, por lo que el ciberatacante no despreciará nada en principio. Información especialmente relevante y por tanto codiciada será la siguiente: Información personalmente identificable sobre los empleados de la organización: números de teléfono fijos y móviles, tanto corporativos como personales; direcciones físicas, del trabajo y del hogar; direcciones de correo electrónico; infracciones penales o administrativas; informes de crédito; vidas laborales; currículos; ofertas y demandas de empleo; idas y venidas, con conocimiento de la localización exacta. Información sobre la arquitectura de red de la organización: número y tipo de servidores; qué software y aplicativos tienen instalados y cuáles son sus versiones; dónde están ubicados; sus direcciones IP.
Archivos de la organización: archivos que contengan todo tipo de información corporativa, incluyendo archivos de bases de datos, hojas de cálculo, todo tipo de documentos en papel, diagramas de red. Información estratégica de la organización, como podrían ser planes de fusiones, adquisiciones o EREs. Información organizativa, como organigramas, relaciones jerárquicas, plantillas, equipos de trabajo asignados a proyectos, nombres de directivos, destinos. Información sobre interacciones laborales: quién reporta ante quién; cuáles son los medios de comunicación utilizados: teléfono, email, BlackBerry, Twitter, etc. y frecuencia, o lugar y tipo de reuniones. Todos estos tipos de información pueden resultar más o menos públicos o privados, según la organización. El ciberatacante se valdrá de todos los recursos a su alcance para reunir la mayor cantidad de información disponible en fuentes públicas y otras no tanto. Su uso prioritario se hallará en la orquestación de ataques de ingeniería social. A continuación, se revisan las técnicas más usadas, algunas viejas, la mayoría novedosas, cuya eficacia variará en función de la dimensión y madurez en gestión de seguridad de la información de la organización bajo ataque.
Un atacante puede servirse de Google Earth o Google Maps para hacerse una idea de las instalaciones físicas del blanco, dónde está ubicado, qué otros edificios existen en su entorno, qué distancia existe a servicios de emergencia, o cuáles son las mejores vías de entrada y salida. El impacto que esta información puede tener es mayor en grandes instalaciones de difícil acceso. Este tipo de recursos estaba hasta hace poco exclusivamente en manos de los servicios de inteligencia de los distintos países (véase el recuadro OSINT).
Google Calendar, desarrollado por Google, se ha convertido en una de las aplicaciones de calendario electrónico más populares. Su portabilidad absoluta al accederse a través de un interfaz web y la facilidad para integrarlo con otras aplicaciones de calendario de escritorio como Outlook o iCal son algunos de los secretos de su éxito. Google Calendar permite crear y mostrar múltiples calendarios en la misma vista, los cuales pueden compartirse fácilmente con otros usuarios, ya sea de sólo lectura o con control completo, y sólo para personas especificadas o para todos. Constituyen terreno fértil para que los atacantes encuentren en ellos información sobre una organización y sus empleados, ya que basta con poseer una cuenta válida de Google para empezar a hurgar en calendarios públicos. La clase de información que puede encontrarse en los calendarios incluye nombres de personas que asistirán a reuniones, sus números de teléfono, nombres de proyectos en los que se está trabajando, plazos de inicio, ejecución y entrega de los mismos, etc. En algunos casos se puede encontrar incluso números de teléfono y claves para participar en teleconferencias o nombres de usuario y contraseñas para entrar en videoconferencias tipo WebEx de Cisco. Más delito tiene el anuncio de que tal día se cambiarán las contraseñas de los servidores por tal otra. Siempre debe restringirse cuidadosamente las personas que tienen acceso a los calendarios. Jamás deberían crearse calendarios públicos para cuestiones de trabajo, a pesar de su comodidad y aparente inocuidad. El problema de fondo: nunca deberían almacenarse nombres de usuario y contraseñas en ningún tipo de documento público.
Google es la herramienta de búsqueda en Internet más potente y versátil de la actualidad. En manos de atacantes, Google puede descubrir vulnerabilidades, revelar información confidencial, servir de cabeza de puente para perpetrar ataques, sacar a la luz servicios de red y encontrar contraseñas, convirtiéndose así en una de las herramientas más temibles de la Red. Existen multitud de libros y artículos explicando qué tipo de búsquedas realizar para extraer información sensible. Destaca el libro Google Hacking for Penetration Testers por Johnny Long, creador además de la base de datos GHDB, disponible en www.hackersforcharity.org/ghdb. Una de las consecuencias negativas de los motores de búsqueda como Google, que continuamente están recorriendo la Red para indexar páginas, es que son capaces de exponer páginas con información sensible, descubrir vulnerabilidades, servir de cabeza de puente para perpetrar ataques, sacar a la luz servicios de red y encontrar contraseñas. Entre los ejemplos más llamativos están las páginas con listados de directorios, que ofrecen información sobre la estructura de documentos del servidor, nombre y versión del servidor, etc., expuestas por ejemplo mediante la consulta intitle:index.of "parent directory"; archivos con contraseñas, expuestos por ejemplo mediante intitle:index.of passwd; las páginas de configuración de ciertos dispositivos de red, como routers, webcams, etc.; errores en bases de datos, por ejemplo descubiertos con "Unclosed quotation mark before the character string"; y un larguísimo etcétera. De hecho, existe una base de datos llamada Google Hacking Database (GHDB) con cientos de consultas similares a las anteriores para exponer información sensible, agrupadas en diferentes categorías. Puede obtenerse información muy completa sobre esta técnica de recopilación de información sobre sitios web en la página del creador www.hackersforcharity.org/ghdb. Con el fin de asegurarse de que no se está desvelando información confidencial por culpa de Google, conviene que periódicamente ejecute las consultas de la GHDB. Existen diversos programas que automatizan la tarea, siendo el más popular SiteDigger, que puede descargarse gratuitamente desde www.foundstone.com. Otra herramienta similar aunque mucho más completa es SEAT (Search Engine Assessment Tool). Además de en Google, busca en Yahoo, MSN, AltaVista, AllTheWeb, AOL y DMOZ. No sólo puede usar GHDB, sino también NIKTO, En Google Calendar pueden encontrarse números de teléfono y claves para participar en teleconferencias o nombres de usuario y contraseñas para entrar en videoconferencias WMAP, URLCHK o NESTEA. Puede descargarse desde midnightresearch. com. El problema del hacking con motores de búsqueda es que a veces estos indexan más páginas de las que sería deseable. Afortunadamente, existen numerosas formas de pararles los pies. Si no desea que su sitio web sea indexado por los robots de los buscadores, existe un estándar de exclusión descrito en www.robotstxt.org/wc/ norobots.html al que todos los buscadores respetables se adhieren. Añada un archivo llamado robots.txt al directorio raíz de su sitio web, con una serie de líneas cuyo formato y semántica se describen en el documento anterior, y los robots pasarán de largo. Esta semántica permite especificar qué partes de su sitio web se prohíben a qué robots. En concreto, para que ningún robot indexe página alguna de su sitio web, escriba: User-agent: * Disallow: /
La mayoría de software utilizado cotidianamente para generar documentos digitales de todo tipo realiza la adición automática de datos sobre los datos creados (metadatos), los cuales se adjuntan de forma más o menos visible a los propios documentos. Estos metadatos pueden revelar información como nombres de personas, organizaciones, fechas de creación, histórico de alteraciones en el documento, rutas de acceso de archivos, dispositivos utilizados en su creación, coordenadas GPS, nombres de usuario del sistema operativo, y un sinfín de datos adicionales. Los metadatos pueden encontrarse típicamente en todo tipo de documentos de Office, en los archivos PDF, en fotografías en diversos formatos, e incluso en formatos menos tradicionales como las cabeceras de los correos electrónicos o incluso en las firmas PGP. Existen multitud de herramientas para analizar los metadatos, como EXIFtool (www.sno.phy.queensu.ca/~phil/exiftool), Metagoofil (www.edge-security. com/metagoofil.php), Maltego (www. paterva.com/web4/index.php/maltego), Meta-Extractor (meta-extractor.sourceforge. net) y FOCA (www.informatica64. com/foca). A su vez, los documentos portadores de metadatos pueden encontrarse utilizando una gran variedad de técnicas: a través de buscadores, utilizando los parámetros para restringir las búsquedas a ciertas extensiones: por ejemplo, archivos .doc o archivos .pdf; en foros y mensajes enviados con archivos adjuntos; a través de redes P2P; en repositorios de archivos, como www. docstoc.com, www.scribd.com, www. slideshare.net, www.pdf-search-engine. com, www.toodoc.com. Antes de difundir públicamente un documento a través de la Web u otros repositorios, debe procederse a su limpieza, retirando toda la información adicional contenida en campos ocultos, meta-datos, comentarios o revisiones anteriores, salvo cuando dicha información sea pertinente para el receptor del documento. Herramientas como MetaShield Protector, disponible en www.metashieldprotector.com, resultan de gran ayuda en esta tarea de limpieza y protección. OSINT: Open Source Intelligence En los últimos años se está popularizando el concepto de OSINT: Open Source Intelligence, o lo que es lo mismo, la búsqueda, selección y análisis de información con fi nes de inteligencia disponible en fuentes públicas (de ahí lo de Open, nada que ver con Open Source Software). OSINT incluye una gran variedad de fuentes de información: los medios (prensa, radio, TV, Internet), las comunidades web y su contenido (blogs, redes sociales), datos públicos (informes ofi ciales, todo documento o acta pública, conferencias, discursos, avisos), observaciones e informes creados por fuentes públicas y privadas (fotos de satélite), fuentes profesionales y académicas (artículos, congresos, libros, manuales), información geoespacial (mapas, atlas, datos aeronáuticos, geodésicos, marinos, sistemas GIS). Si bien este tipo de recolección de información de inteligencia estuvo relegada tradicionalmente a los gobiernos, diplomacia y fuerzas del estado, hoy en día se encuentra a disposición de cualquier individuo con acceso a Internet.
Los foros son un lugar al que típicamente acude la gente en busca de soluciones para sus problemas: errores en código al programar páginas web, dudas sobre cómo instalar un cortafuegos corporativo o dónde ubicar un IDS. Algunas personas no tienen reparos en participar con su nombre verdadero y con la dirección de correo de su organización. Al pedir ayuda sobre un problema dado, pueden revelar confiadamente datos sobre el lenguaje, tipo y versión de software usado en sus aplicativos, sobre su arquitectura de red o sobre las defensas de seguridad desplegadas. Algunos buscadores especializados en foros son: groups.google.com, groups.yahoo.com, www.big-boards. com, boardreader.com, boardtracker. com. Sin olvidar, por supuestos, que existen cientos de foros especializados sobre los más diversos temas. Los contenidos de algunos de estos foros estarán disponibles a través de buscadores convencionales, mientras que otros sólo podrán buscarse como miembro.
El crecimiento en el uso de las redes sociales como herramienta de comunicación ha sido espectacular en años recientes. Según qué informe se consulte, suelen aparecer listadas entre los tres primeros servicios más usados de Internet y acaparan la mayor parte del tiempo empleado por los internautas en la Red. A estas alturas de las batallas de la privacidad, la mayoría de redes sociales online no permiten buscar información de sus usuarios si no es desde dentro de la propia red. La única información disponible desde el exterior es la pública y a veces ni ésa. Existen motores de búsqueda específicos para las redes sociales, aunque con el inconveniente de que sólo mostrarán información públicamente accesible desde fuera de la propia red: wink.com, spock.com, socialmention. com, www.whostalkin.com, www. samepoint.com, www.oneriot.com, www.kosmix.com, www.yacktrack. com, www.keotag.com, twoogel.com, knowem.com. También existe la extensión Firefox Super Search, especializada en buscar información sobre personas en 160 motores. Si se desea buscar dentro de la red social, habrá que hacerlo con un usuario válido registrado. Este método tiene el inconveniente de que es necesario registrarse y entrar en todas y cada una de las redes sociales que se desee examinar. En este sentido, puede resultar de gran ayuda la herramienta Maltego, descrita en más profundidad en el recuadro Buceando en las redes sociales con Maltego, capaz de extraer información de perfiles públicos en Twitter, Facebook, LinkedIn y MySpace. ¿Qué tipo de información puede encontrarse en redes sociales? ¡De todo! Desde información personalmente identificable sobre los empleados, como fotos personales e información sobre hábitos, gustos y aficiones, hasta información sensible de la organización: planes estratégicos o proyectos en desarrollo. Algunas grandes compañías como Intel o Cisco han creado sus propias directivas de publicación en redes sociales online y las han distribuido entre sus empleados. Utilice habitualmente herramientas como Maltego para comprobar qué información puede encontrarse en Buceando en las redes sociales con Maltego Ni Zamiatin en su inquietante distopía "Nosotros" en la que basó Orwell su conocida obra "1984" pudo imaginar un control tan absoluto sobre el ciudadano como el que se está dando en los últimos tiempos en el mundo digital de las redes sociales. A causa de la exhibición impúdica de la intimidad y el sacrifi cio de la privacidad en aras de una efímera popularidad de muchos internautas, resulta muy sencillo reconstruir perfi les de usuarios. Y nada como la herramienta de inteligencia Maltego para reunir y tratar información arañada en Internet sobre un individuo o una organización. Gracias a sus bibliotecas gráfi cas y reglas de inferencia, Maltego es capaz de revelar conexiones inesperadas entre los datos disponibles. Existe una versión gratuita con prestaciones limitadas en www.paterva.com/maltego y versiones de pago para clientes empresariales redes sociales online sobre sus empleados y considere seriamente crear una buena directiva de medios sociales.
Muchos usuarios utilizan aplicaciones de redes sociales para anunciar puntualmente a los cuatro vientos acerca de cuáles son sus movimientos. La herramienta de microblogging Twitter o la actualización del estado en Facebook constituyen claros ejemplos. Por otro lado, dado que los teléfonos móviles de última generación suelen incorporar receptor GPS y conexión permanente a Internet por 3G, también se están popularizando aplicaciones como Foursquare, usadas para informar de las idas y venidas, o la publicación inmediata por ejemplo a través de TwitPic de fotos geolocalizadas, las cuales incorporan con precisión de metros el lugar donde han sido tomadas. En el recuadro Por favor, ¡róbame! se comentan algunos incidentes de seguridad motivados por la inconsciencia en el uso de estos servicios. Debería evitarse el difundir continuamente la posición y el explicar los próximos movimientos. La importancia de esta recomendación va pareja a la importancia en la empresa de la persona anunciando sus idas y venidas.
Una vez que un atacante ha obtenido los nombres de empleados, el siguiente paso suele ser averiguar sus direcciones de correo electrónico, un buen punto de partida para lanzar ciertos ataques. Pueden utilizarse los motores de búsqueda convencionales para localizar estas direcciones en el sitio web corporativo, en foros, o en redes sociales. También existen algunas herramientas especializadas en buscar direcciones de correo electrónico, como theHarvester, disponible en www. edge-security.com/theHarvester.php.
Los Currículum Vitae o CV constituyen una fuente inagotable de información confidencial sobre los empleados de una organización. Puede darse con los CV buscando en los motores tradicionales archivos de tipo .doc o .pdf con los nombres propios de empleados o el nombre de la organización. No hay por qué restringirse a los buscadores: las redes P2P como eMule o BitTorrent permiten también a veces dar con información de este estilo. En los CV puede encontrarse multitud de jugosos datos personales: teléfonos particulares fijos y móviles, direcciones de correo electrónico, dirección de la vivienda, DNI, historial académico, historial profesional, foto de tamaño carnet, aficiones, etc. Toda esta información podría utilizarse por ejemplo para crear un perfil en Facebook de extremada credibilidad. Gracias a este perfil podrían enviarse solicitudes de amistad a otros miembros de la organización, con una alta probabilidad de aceptación. Puede encontrarse además información sensible sobre la empresa en la que se está trabajando: proyectos pasados y actualmente en desarrollo, a veces con detalles internos de su marcha; programas, bases de datos y sistemas operativos utilizados internamente, a veces con sus versiones y los nombres de proyectos o de grupos de trabajo puede permitir compilar la relación de trabajadores integrados en un equipo o las redes sociales a las que se pertenece.
| < Prev |
|---|
