Mostrando entradas con la etiqueta EXIF. Mostrar todas las entradas
Mostrando entradas con la etiqueta EXIF. Mostrar todas las entradas

sábado, 10 de enero de 2015

Para proteger nuestros sistemas (I): ¿Qué es un pentesting?

Pen Test o “Test de penetracion(Penetration Tests o Pentesting)son los términos más comunes para denominar el conjunto de técnicas utilizadas para realizar una auditoría de seguridad y análisis forense de datos para evaluar el grado de seguridad de redes, sistemas de computación y/o información, tanto como las aplicaciones que participan en el sistema, esto incluye el sitio web.


Figura 1. Lara Croft, protagonista del videojuego 'Tomb Raider'.
  
Cada día, aumenta la preocupación por la Ciberseguridad y los Ciberataques, indistintamente de la responsabilidad que ocupes en la empresa y/o institución, es seguro que llevas tiempo preocupado por mejorar los sistemas de protección, o te has propuesto hacerlo. 

Es ususal que la Pyme encargue el proyecto de diseño de su web, porque desea comercializar sus productos, o repercutir en positivo en la Reputación Online de su imagen de marca; la implementación sistemas de seguridad dota de cierta confianza a los responsables, obviando realizar las recomendadas Auditorías de Seguridad Informática

 Figura 2.  'Kali Linux' de los creadores de 'Back Track 5'  (software libre para realizar Pentesting). 

Realizar Pentesting, no es una operación fácil y requiere estar dotados de los suficientes conocimientos y experiencia los sistemas, aplicaciones, comportamientos de los sistemas operativos, etcétera... que nos proponemos auditar.  

Estas técnicas, se denominan comumente: Black, White o Ethical Hacker y tienen como objetivos proponer a la empresa o institución, las vulnerabilidades del sistema analizado. Se usan para acceder al propio sistema, y en esto se diferencian del “análisis de vulnerabilidades” que en ningún momento comtempla la penetración en la red interna.
 
Es habitual entregar el informe de auditoría de seguridad indicando que es posible acceder a todo el sistema o gran parte; además, se suelen detectar vulnerabilidades de nivel inferior (fallos de configuración), que terminan dejando la puerta de atrás abierta a los posibles atacantes (intesados en la información o en destrozar parte de ella). 


Técnicas de este tipo, también son usadas por grupos como Anonymous. Hace unas horas han declarado la guerra a los terroristas con motivo del atentado a Charlie Hebdo. Estoy completamente seguro de que van a jugar un papel protagonista, una vez más, en la lucha contra los delicuentes y asesinos.
 
 Figura 3.  Anonymous, uno de los grupos que promueven el 'Hacktivismo Ético'.


Técnicamente, si la empresa realiza con cierta frecuencia auditorías de seguridad, se puden encontrar vulnerabilidades provocadas por errores simples. Comparto uno de los casos de ataque que ha sufrido  la web de la Presidencia Europea de España


Los sistemas de información, tienen ciclo vital. Durane ese ciclo han debido soportar entre otros, las auditorías de seguridad; no obstante, no debería ser un contrato por obra o prestación de servicio puntualmente, sino un servicio de prevención de ataques 24x7. De la misma forma, el sistema debería soportar Pentesting desde la fase de diseño, y su posterior implantación. De lo contrario, si has contratado un servicio anual, o puntual, la única conclusión es que te van a demostrar que es posible penetrar en el sistema.

 Figura 4.  Esquema de las Fases del Pentesting.

El Pentesting no es una acción concreta, sino múltiples procesos(etapas) dividas por entornos, áreas y trabajos concretos. En esto influye la evaluación del grado de los riesgos que comportan las vulnerabilidades del sistema. Quiere esto decir, que siempre se comienza por la parte que más riesgo (aperturas) comporta para el resto del sistema.


Tras acuerdo con el cliente para realizar los diferentes procesos de análisis (esque suceptible de modificación y/o adaptación), se realizan las siguientes actividades:

  • Fase de reconocimiento: Es seguro, de las etapas que más tiempo requiere. En ella, se definen objetivos y se recopila toda la información posible para posteriormente utilzizar durante todo el Pentesting. La profundidad del análisis, viene dada por los objetivos se hayan fijado previamente, no obstante, los datos tipos requeridos en esta fases son:nombres y direcciones de correo de los empleados de la organización, topología de la red, direcciones IP, metadatos en documentos, información exif, etcétera.
  •  
  • Fase de escaneo: Con la información recopilada, se analizan los posibles vectores de ataque. Es fase desiva para evaluar (escanear) puertos y servicios del sistema. Una vez hecho esto, se está en disposición de poder escanear las vulnerabilidades y permitirnos definir los vectores de ataque.
  •  
  • Fase de enumeración: En la que se trata de obtener los datos referentes a los usuarios, nombres de equipos, servicios de red, etcétera. Para ello, se realzian conexiones activas y se ejecuntan consultas de forma persistente.
  •  
  • Fase de acceso: En esta etapa el objerivo es haber econtrado las puertas abiertas a raíz de toda la información sobre el sistema obtenida en las fases anteriores.  
  •  
  • Fase de mantenimiento de acceso: Tras conseguir el acceso, se proponen las soluciones y se tratan de implantar de forma permanete para no dejar posibles huecos.

 Figura 5.  Kit de herraminetas básicas 'Network Tools'.

 Con todo este trabajo, se genera la documentación correspondiente al pentesting. Servirá como guía (hitos) para tomar las decisiones necesarias para preservar la seguridad.


 En próximos post, tratareos con más detalle estas técnicas y las herramientas que podemos utilizar para ejecutar los trabajos.

          -------------------- TO BE CONTINUED --------------------


lunes, 17 de noviembre de 2014

FOCA: Los metadatos nos traicionan




 
FOCA: Los metadatos nos traicionan

     
        A estas alturas cualquiera de nosotros limpia de metadatos las fotografías, los archivos que publicamos en nuestras webs y blogs, en redes sociales, incluso los selfies; tenemos establecidos procedimientos y herramientas de identificación y eliminación en nuestras empresas o entidades para que todo lo publicado no facilite una mínima pista a los atacantes de nuestros sistemas.

     No son hackers los que van a tratar de vulnerar el sistema; en todo caso, son delincuentes. El ‘hacktivismo’ ético tiene como objetivo favorecer el conocimiento sobre las vulnerabilidades de los dispositivos y redes, además de proponer soluciones para hacerlos más seguros.

     Si no estamos en el control de las publicaciones de metadatos, datos perdidos e información oculta, es el momento de tomar consciencia de cuánto nos estamos jugando. ¿Qué pueden encontrar en los metadatos? Los nombres de empleados, nombres de cuentas de usuarios de sistemas, fechas de creación y modificación, coordenadas GPS de geolocalización en fotografías, versiones de software, rutas de directorios, emails, direcciones MAC de tarjetas de red, direcciones IPs, contraseñas, etc. Con el análisis correcto de esos datos pueden obtener un mapa de red perfectamente estructurado con la información de servidores, clientes, usuarios, lo saben todo.




         Previo al ataque del sistema, realizando un análisis de los metadatos (datos ocultos) en los ficheros (pdf, doc, xls…) publicados en nuestra web o blog, y utilizando técnicas como ‘fingerprinting’ e ‘información gathering’, obtienen todo lo necesario para encontrar las vulnerabilidades del sistema.

     Dañar nuestra reputación online o manipular nuestra identidad digital se hace especialmente atractivo para quienes, con fines delictivos, utilizan la propia información que les favorecemos con nuestros documentos.

     La norma ISO/IEC 27001 recomienda establecer un proceso de revisión de los documentos antes de hacerlos públicos, y accesibles. De la misma forma, para la Administración Electrónica, el R.D. 3/2010, regula el ENS y obliga a la limpieza de documentos antes de ser publicados.
  
     De la mano de Chema Alonso y el equipo de Eleven Patchs (Fingerprinting Organizations with Collected Archives) con la que podemos encontrar metadatos e información en los documentos que descargamos de la red.

     Los ficheros se localizan con diferentes buscadores: Google, Bing o Exalead. Los documentos pueden ser  de distintos tipos: Microsoft Office, Open Office, ficheros pdf, docx, jpeg, odf. Los elaborados con aplicaciones de diseño también son analizables. A través de la url de un sitio, o con el análisis de ficheros locales, podemos obtener información EXIF.
Con todo ello conoceremos los equipos donde han sido creados, así como los servidores y clientes que pueden esta relacionados.

     Deducir si un trabajo ha sido elaborado por la persona firmante (autora) o ha sido modificado previamente, tanto si lo ha sido un archivo, ¿por quién?, ¿cuándo?, ¿qué cambios?, ¿dónde lo han enviado?, ¿modelo de la cámara con la que se ha realizado?, puede servirnos de utilidad para proteger nuestros intereses.

     Rastreando la red podemos adquirir los conocimientos para hacerlo nosotros mismos.


Recursos:

INTECO
https://www.incibe.es/blogs/post/Empresas/BlogSeguridad/Articulo_y_comentarios/Metadatos_webs_empresas

Análisis forense de metadatos

Eleven Paths – FOCA:
https://www.elevenpaths.com/es/labstools/foca-2/index.html