Una de las fases más importantes en el proceso de auditoría es la recogida de datos, denominada en inglés como "Fingerprinting". Dicha fase comprende una recolección de "todo aquello que puede ser conocido" sobre el o los objetivos de la auditoría.
Capturar y gestionar esa información es un arte y ciencia (a veces subestimada) que tiene capítulo propio en el área de inteligencia. A veces resulta increíble lo que puedes llegar a encontrar tirando de un pequeño hilo desapercibido. Se hace entonces indispensable contar con herramientas de calidad para discernir el grano de la paja.
La FOCA, en su recién lanzada versión 3.0, es precisamente una de esas herramientas que facilita, o mejor dicho, hace posible extraer, procesar y gestionar la información del objetivo.
En el departamento de auditoría de Hispasec hemos estado probándola durante las últimas semanas. Nada de casos de éxito prefabricados, sino en escenarios reales donde o no tienes nada donde rascar o tienes tanta información que su ruido impide distinguir lo importante.
Lo primero que ya nos gustó fue el enfoque por proyectos y la persistencia de estado que obviamente es indispensable. Otro detalle es que el árbol de opciones es prácticamente un paso a paso de las distintas subetapas sobre recolección y análisis de datos y metadatos. Una vez metes el dominio y dominios asociados comenzamos con la búsqueda pasiva.
¿Qué sabe la red de este dominio? El abanico de posibilidades brinda desde búsqueda con múltiples motores, consultas DNS, búsqueda por diccionario o escaneos PTR. Otro aspecto es la integración con Shodan y Robtex, auténticos monstruos de sabiduría y conocimiento sobre estructura de la red.
Durante esta fase la FOCA va añadiendo nodos con sus descripciones y datos. Es sorprendente comprobar cómo va traceando la red y dibujando su esquema. Si quieres centrar la atención a un servidor en concreto tienes opciones para ver el banner, qué rol tiene, hacerle un crawling o ver qué tipos de fichero aloja, etc. Incluso, aunque no se trata de un escáner de vulnerabilidades te muestra algunas de ellas, como los métodos inseguros, backups que no deberían estar ahí.
Donde despunta es en el apartado de metadatos. FOCA realiza una búsqueda de múltiples tipos de archivos, se los descarga, extrae los metadatos y los analiza. El proceso es bastante rápido. Tardó segundos en procesar más de 600 documentos de tipo pdf, doc y xls. Tras este análisis presenta un sumario de la información donde encuentras nombres de usuario, rutas internas, impresoras, software usado, direcciones de correo, sistema operativo usado, contraseñas y dominios o IPs adicionales.
Otro punto a destacar es la generación de informes y el sistema de plugins. A la FOCA se le puede añadir extras, es una herramienta muy atractiva para ir añadiendo extensiones.
Como aspectos a mejorar, hemos echado en falta una interfaz más intuitiva desde el punto de vista de los módulos que se están lanzando en cada momento, tener a mano un panel donde poder lanzar/parar los diferentes módulos y ver el estado en el que se encuentran. Si bien las ventanas de logs y tareas están ahí falta un poco de organización y puedes llegar a perderte o preguntarte ¿qué estaba haciendo ahora?
Otro punto negativo es cuando se usa el motor Exalead. Al usar CAPTCHA la ventana aparece continuamente para que prosiga la búsqueda y resulta un poco repetitivo, lo que nos hizo prescindir del mencionado motor en las búsquedas automatizadas.
En definitiva, algo útil que nos ha permitido ahorrar bastante tiempo en esa primera fase de auditoría, a veces tediosa.
Enhorabuena al equipo de Informática64 que la ha hecho posible.
Laboratorio Hispasec
laboratorio@hispasec.com
FUENTE :http://unaaldia.hispasec.com/