Este documento describe las herramientas de Information Gathering que pueden utilizarse para realizar pruebas de intrusión éticas y asegurar que la información sensible de los servidores web no esté disponible públicamente. Explica herramientas como Whois, WhatWeb y FOCA que pueden utilizarse para recopilar datos sobre la empresa, como la dirección IP, versiones de software y metadatos de archivos, los cuales podrían ser útiles para un atacante real. El documento enfatiza la importancia de ocultar esta información sensible para proteger a la empresa.
De qué estamos hablando seguridad informatica defensas
Herramientas de information gathering aplicadas al aseguramiento de información sensible en servidores web.
1. Herramientas de Information Gathering aplicadas
al aseguramiento de información sensible en
servidores web.
Víctor Ángel Acosta Santivañez
Escuela de Tecnologías de Información y Procesos,
Instituto del Sur, Arequipa, Perú.
v.acosta.santivanez@isur.pe
Resumen: Vivimos en un mundo donde la información se encuentran en archivos, que pueden ser de tipo Office, o
encuentra en todos lados y muchas veces esta información logs de aplicaciones que se ejecuten en algún servidor de
dice más de lo que debería decir. la empresa, como también datos acerca de los programas o
servicios y sus respectivas versiones.
Muchas veces, quizás por la gran cantidad de información
que maneja una empresa, se hace pública aquella que En los últimos años han aumentado los casos de
puede ser sensible; esta información no es percibida como vandalismo electrónico, entre todas las actividades
tal por un cliente o empleado, pero lo es por un atacante, delictivas existe una contra páginas web de
que en ella puede ver puntos muy sensibles que pueden organizaciones e instituciones, en una actividad que se
llevar a realizar un ataque hacking, trayendo consigo define como “Defacing”: El Deface / Defacing /
consecuencias muy serias, que en muchos casos son Defacement es la modificación de una página web sin
causales de perdida de dinero por información filtrada, autorización del dueño de la misma. [1]
como los casos Wikileaks.
Frente a este problema, es tarea de los administradores de
Bajo estos problemas, es deber de los administradores de IT tener un rol de atacante y poder descubrir información
IT tener un rol de atacante para poder identificar mediante sensible acerca de la propia empresa y que pueda ser clave
herramientas de Information Gathering aquella para el resultado de un ataque como el Defacing.
información que pueda ser sensible en nuestros servidores
web, archivos y aplicaciones, para poder minimizar los
posibles ataques que se puedan realizar por un atacante, II. HACKING ÉTICO
así como asegurar la integridad de los datos que una EL termino hacking generalmente se refiere a actividades
empresa haga público. que son realizadas por personas denominadas hackers, que
son individuos cuyos conocimientos en informática son
muy avanzados. Entre algunas de las tantas actividades
I. INTRODUCCIÓN
que se refiere al hacking tenemos:
En la actualidad vivimos en un mundo saturado de
Robo de información.
información, en el que cada vez cobra más valor.
Acceso no autorizado a Bases de datos.
La información, para una empresa es uno de los pilares Acceso no autorizado a emails.
básicos de su funcionamiento, por esto es necesario saber Tener acceso a servidores privados.
qué tipo de información pueda ser pública o privada, Infectar computadoras con software malicioso
garantizando así su integridad, disponibilidad, etc. (malware, gusanos, troyanos, etc.)
Desde un punto de vista informático, es mucho más Y la lista de actividades hacking crece.
sensible el manejo de información tanto así como de
Los servidores, aplicaciones e información de empresas
aquella que se pone a disposición del público, que
privadas se ven amenazadas frente a este tipo de
muchas veces se realiza a través de los servidores web de
actividades hacking, para reducir esta amenaza es
la empresa.
necesario que dichas empresas cuenten con un área de
Se sabe también que información no solo es aquella que Seguridad Informática, que este a la escucha de ataques y
genera una empresa, sino también son los datos que se pueda reducir el acceso no autorizado de información,
2. ayudando así a asegurar la información que la empresa para generar una metodología que hasta el día de hoy no
desee mantener protegida, asegurando asísu autenticidad, está definida.
integridad, confidencialidad y disponibilidad.
A. ¿Por qué ético?
IV. TIPOS DE TEST DE INTRUSIÓN A TRAVÉS DE
Porque las actividades hacking que se llevan a cabo a INFORMATION GATHERING
través de Hacking Ético, no tienen un fin malicioso
Dentro de Information Gathering para que un
(como tener acceso no autorizado a información), sino
administrador de IT o un experto en seguridad informática
un fin informativo y correctivo, capaz de brindar
llamado pentester, puedan realizar un test de intrusión
soluciones a problemas y vulnerabilidades que se
hacia la empresa con el fin de simular un ataque y saber el
puedan encontrar para luego ser informadas a la
tipo y la cantidad de información que pueda ser obtenida
empresa y esta pueda tomar una medida correctiva
es necesario tener claro el tipo de test que se realizará.
frente a actividades.
En este aspecto existen tres tipos de test que se detallan a
El Hacking Ético se basa en los principios morales e
continuación:
informativos, si se detecta fallos en sistemas a través
de Hacking Ético es seguro que estos serán informados Black-Box: El responsable del test de intrusión,
a la empresa y posteriormente corregidos. no tiene ningún conocimiento sobre el sistema
que se analizará, por ello se hacen uso de
Por ejemplo, ¿Sería ético acceder a un correo
herramientas generales para obtener la mayor
electrónicode una empresa sin conocer la contraseña?
información posible que pueda ser relevante para
Bajo el concepto de Hacking Ético, es claro que sí. La
un ataque.
respuesta de este caso es válida siempre y cuando el
White-Box: El responsable del test de intrusión,
gerente o administrador de sistemas de la empresa nos
tiene conocimientos previos del sistema a
haya autorizado acceder al correo electrónico, quizás
analizar, como pueden ser el tipo de topología,
para demostrar fallas de seguridad u otro asunto
direcciones y rangos de IP’s, Sistemas
existente en algunos de los servicios que ofrece la
Operativos (SO) utilizados, etc.
empresa.
Grey-Box: Este tipo de test es una combinación
de los dos test anteriores con el fin de brindar una
información orientativa acerca del sistema para el
III. INFORMATION GATHERING
responsable del test de intrusión.
Dentro de la temática que existe en Hacking Ético
En el presente paper se describen aquellas herramientas de
tenemos una metodología que la divide en 4
Information Gathering, que puedan servir para la
actividadesesenciales que son:
obtención de información sensible desde un enfoque de
Reconocimiento. pentest basado en Black-Box.
Escaneo.
Explotación.
Mantener el acceso. V. SOFTWARE PARA HACKING ÉTICO
El presente paper abarca la primera actividadde Hacking Actualmente en internet se puede encontrar una gran
Ético llamada reconocimiento. cantidad de herramientas para pentesting, entre ellas para
Information Gathering, la gran cantidad de herramientas
A esta actividad de reconocimiento se le conoce en el
que existen han dado lugar a la aparición de distribuciones
mundo de la seguridad informática con el nombre de
de SO basados en Linux que recolectan diversas
“Information Gathering” y consiste en la búsqueda de toda
herramientas por categorías entre las cuales se encuentran
información acerca de un objetivo, ya sea publicada a
las 4 actividades de Hacking Ético y permiten realizar
propósito, por desconocimiento o descuido.
análisis en sistemas de una manera más ordenada.
Cabe mencionar que debido a su temprana aparición en
Algunas de estas distribuciones son:
los últimos años, aun no se cuenta con una metodología
definida para Information Gathering, ya que anteriormente Backtrack.
cada persona actuaba bajo su criterio propio al querer Owasp Live CD.
obtener información acerca de un objetivo, por esto es que Samurai Web Testing.
recientemente se ha creado un estándar llamado PTES Pentoo.
(PenetrationTestingExecution Standard), que recolecta Caine.
una serie de procedimientos que tratan poder ser la base Security Distro.
3. Operator. atacante, como por ejemplo el
NinjaSec. “AdministrativeContact”.
Es necesario que al momento que una empresa registre
su dominio, pueda hacerlo brindando solo la
VI. HERRAMIENTAS INFORMATION GATHERING información básica del sitio como por ejemplo la
“Si tuviera 10 horas para cortar un árbol, pasaría 8 dirección IP, nombres DNS, etc., cuidando así la
horas afilando el hacha.”[2] privacidad de nombres de trabajadores, ya que para un
atacante este sería el comienzo para obtener
Como buenos administradores de IT o pentester, es clave información personal acerca de nuestros trabajadores,
para nuestro trabajo contar con las herramientas por ejemplo a través de redes sociales.
necesarias, debidamente actualizadas y en muchos casos
personalizadas, para permitirnos realizar nuestras tareas de B. WHATWEB: Después de haber realizado una petición
la mejor manera posible, obteniendo así resultados Whois, hacia la página web que deseamos asegurar,
precisos. uno de los datos más sobre saltantes es por supuesto la
A continuación se detallan algunos de los programas más dirección IP, que generalmente es la dirección de un
utilizados para Information Gathering, así como su uso y servidor web, que ejecuta una aplicación web como
posibles resultados que puedan evidenciar algún tipo de IIS o Apache y un gestor de contenidos como es
información sensible, que más adelante, puedan WordPress o Joomla.
convertirse en puntos clave para un ataque. WhatWeb es un script escrito en el lenguaje de
programación Perl por Andrew Hortonaka.
A. WHOIS: El primer paso para obtener información La funcionalidad de este script es la de escanear un
acerca de una empresa empieza con la información que sitio web, pudiendo detectar tanto los servicios, sus
podemos adquirir a través de una simple dirección versiones, como el SO que se ejecuta en el servidor.
URL. En la siguiente ilustración se muestra el resultado de
Whois es un protocolo que se basa en peticiones y WhatWebtras haber analizado la página web:
respuestas, que consulta en bases de datos de www.isur.edu.pe
servidores que guardan registros acerca del
alojamiento de páginas web. Actualmente Whois ha
pasado de ser un simple programa a través de una línea
de comandos a ser implementado en miles de páginas
web, pudiendo así agilizar su uso para el usuario final
que desee realizar una búsqueda acerca de una web.
En la siguiente ilustración vemos el resultado Whois
de la página web: www.sunat.gob.pe
Figura 2: Ejemplo WhatWeb. Fuente: Elaboración propia.
El resultado de este escaneo a través de WhatWeb es
muy preciso, podemos ver con claridad todos las
aplicaciones que se ejecutan el este servidor, así como
sus respectivas versiones, es más hasta se puede
observar el tipo que cookies que maneja el sitio.
El uso de WhatWeb es muy importante al momento de
asegurar una página web, ya que a través de él,
podemos ver que aplicaciones publican su nombre y su
versión, para que el administrador IT de la empresa
Figura 1: Ejemplo Whois. Fuente: Elaboración propia. pueda ocultar estos datos.
Es importante ocultar estos datos por que estos no son
Como se puede apreciar la información que se puede de interés a un cliente que desee visitar nuestra página
obtener acerca de cualquier empresa solo con saber la web, por otro lado estos son de vital importancia para
dirección web, es muy completa, tanto que a veces un atacante, ya que son la base para realizar otras
expone información que puede ser clave para un actividades más delicadas como en descubrimiento de
4. vulnerabilidades. Por ejemplo un atacante puede ver .doc llamado “Ley General de Educación” publicado a
que se utiliza en el servidor la aplicación Apache 2.2.3 través de la página web:
y buscar internet algún exploit o 0-day (Código www.minedu.gob.pe:
malicioso o vulnerabilidad, que hasta la fecha actual,
no tiene parches o correcciones) que le permita realizar
algún tipo de ataque como denegación de servicio
(DDoS) o encontrar algún fichero vulnerable que le
permita acceder a la configuración de contenidos de la
página web.
C. FOCA Online: FOCA es una aplicación online
desarrollada por “Informática 64”, una empresa
española dedicada a la formación, consultoría de
sistemas y seguridad informática con una presencia de
más de 10 años.
Hay que saber que algunos archivos tienen mucha más
información, de la que nosotros colocamos en estos.
Este es el caso de los famosos metadatos, que son
datos estructurados que describen características como
el contenido y la calidad de archivos.
Estos metadatos se crean automáticamente cuando
nosotros creamos un archivo. Un ejemplo claro de
estos metadatos son los archivos de imágenes (.jpg)
que son creados por cámaras digitales, ya que cuando
visualizamos estos archivos por ejemplo en el
explorador de Windows, podemos ver información
adicional de la fotografía como por ejemplo: la fecha y
hora en la que fue creada, la cámara con la que se
tomó la fotografía, el modelo de la cámara, distancia
focal, etc. Figura 3: Ejemplo FOCA Online. Fuente: Elaboración propia.
Pues bien, estos datos vienen a ser los metadatos
generados por la cámara digital y puestos en un Como podemos observar, la información obtenida a
archivo, junto con la imagen tomada. través de los metadatos de un archivo .doc, es bastante,
concisa, muy específica y sobre todo sensible.
FOCA es un analizador online de meta dados en
archivos, que busca exhaustivamente todos los Un atacante sin muchos conocimientos podría analizar
posibles metadatos que pueda contener un archivo que este archivo .doc y saber cosas privadas de la empresa,
nosotros le demos. Actualmente FOCA soporta como que la computadora en donde se elaboró este
muchos tipos de archivos entre los cuales se archivo era un Windows XP, que existen 3 usuarios
encuentran: .doc .ppt .pps .xls .docx .pptx .ppsx .xlsx que alteraron este archivo o las rutas de las carpetas
.jpg .bmp .png entre otros. donde estuvo guardado este archivo, pudiendo obtener
de estas rutas información como el nombre de usuario
Al momento de que una empresa haga público de la computadora.
cualquier tipo de archivo, hay que cuidar mucho los
metadatos que estos archivos tengan, ya que muchas Esta es, tal vez, la manera más fácil de comprometer
veces estos son generados en computadoras propias de nombres de usuarios, de computadoras, de carpetas,
la empresa, por consiguiente los metadatos existentes etc., con las intenciones de un posible atacante. Es por
en estos archivos pueden involucrar información muy esto muy importante controlar que todos los metadatos
sensible. que un archivo de nuestra empresa que se encuentre en
internet, estén vacíos o con información básica como
A continuación vemos toda la información que se la fecha de creación para prevenir posibles ataques ya
puede obtener al analizar los metadatos de un archivo sea a nuestros sistemas o a los usuarios mediante
técnicas de ingeniería inversa.
5. Es más Microsoft consiente de los riesgos que pueden
traer los metadatos, menciona en su artículo Disponible:
KB825576 como evitar que aplicaciones de Microsoft http://www.codenb.com/¿que-es-un-deface-
Office como Microsoft Word eviten guardar metadatos defacing-defacement-14/
que puedan contener información privada.
[2] (2006) Albert Coronado.Abraham Lincoln «
Desde el punto de vista de una empresa en donde se Albert Coronado.[Online]
manejan montones de archivos y cada uno de estos con
mucha información en sus metadatos, es que podemos Disponible:
recurrir a herramientas como “DocScrubber”. http://www.albertcoronado.com/2006/11/02/abr
aham-lincoln/
“DocScrubber” es una herramienta gratuita que
permite el borrado de metadatos en archivos. Su [3] (2006) Cómo minimizar metadatos en Word
principal característica es que permite elegir que 2003. [Online]
metadatos poder borrar como “comentarios”, “creado Disponible:
por”, “plantilla usada”, “Identificador único”, etc. http://support.microsoft.com/kb/825576/
DocScrubberTambién permite el borrado de metadatos
[4] C. Tori, “Hacking Ético”. En Hacking Ético.
de múltiples archivos en una sola operación,
Rosario, 2008, pp. 12-19.
facilitando así la tarea de un administrador de IT que
desee hacer público varios archivos, todos estos sin [5] C. Tori, “Recabar Información”. En Hacking
metadatos que puedan involucrar información sensible Ético. Rosario, 2008, pp. 49-54.
de la empresa.
[6] M.Aharoni, “Module 2- Information Gathering
Techniques”. En Offensive Security Lab
IV. CONCLUSIONES Exercises. 2007, pp. 56-80.
En este paper se describieron algunas de las herramientas
más comunes al momento de recopilar información para [7] B. Merino, J. holguín, “Pentest: Recolección de
saber el tipo de información sensible que existe, ya sea en información” [Online]. España: Ministerio de
internet o en archivos. industria, turismo y comercio.
Disponible:
En nuestros tiempos los administradores de IT deben http://cert.inteco.es/extfrontinteco/img/File/intec
tomar más conciencia acerca del uso de herramientas para
ocert/EstudiosInformes/cert_inf_seguridad_info
Information Gathering, ya que así como un administrador
rmation_gathering.pdf
puede usar un arsenal de herramientas de libre descarga en
internet sobre Information Gathering, también lo puede
usar cualquier persona contra la página web de una [8] P. Aguilera, “Amenazas al fostware”. En
empresa o archivos que esta publique en internet; ya que Seguridad Informática. Editex, 2010, pp. 102-
el uso de estas herramientas básicamente es sencillo. 112.
Personalmente considero muy fácil el uso de herramientas [9] Domaintools.com (2012). Whoislooup&
de Information Gathering, por lo cual, creo que los Domain Availability Search.[Online]
administradores de IT, deben tener políticas internas Disponible:
acerca de revisiones periódicas en archivos, en logs http://whois.domaintools.com/
generados por aplicaciones, en información que se
coloque en una página web, etc.Ya que estos datos sirven [10] http://www.morningstarsecurity.com (2011).
de base para poder realizar otras actividades hacking que WhatWeb.[Online]
pueden ser muy nocivas tanto para la empresa, su portal Disponible:
web o los servicios que esta ofrezca. http://www.morningstarsecurity.com/research/w
hatweb
REFERENCIAS [11] http://www.informatica64.com. FOCA Online.
[1] (2007) CODE NB. ¿Qué es un Deface / [Online]
Defacing / Defacement?. [Online] Disponible:
http://www.informatica64.com/foca/