sábado, 16 de febrero de 2013

Information Gathering en auditorías. Parte I

Cuando se hace una auditoría de seguridad en una empresa la primera fase de todas y la más importante es la recolección o recopilación  de información. Cuanta más información obtengamos de nuestro objetivo más puntos tendremos donde atacar. Y aquí es muy importante destacar que cualquier mínimo detalle puede ser una vía por la que conseguir acceso a los sistemas más críticos.

Pongamos un ejemplo, un banco nos contrata par hacer una auditoría, a través de una serie de herramientas podríamos enumerar los sistemas operativos, los puertos y encontrar posibles vulnerabilidades. En el caso de estar dentro de la misma red, podríamos obtener acceso a un sistema de un usuario sin privilegios, y sobre éste atacar a alguno de los servidores más críticos.
Si nuestro intento de intrusión se hace desde fuera de la red, no tenemos que dejarnos escapar ningún detalle ya que podría encontrar una vía por la que entrar a los sistemas, como puede ser un Backend, un panel de control, o un LDAP con información sensible.

Hace tiempo publiqué un artículo donde se mostraba información sensible del MIT. A través del LDAP con conexión Anónima pude encontrar un Listener de la ruta donde se almacenaban los perfiles de los usuarios, sabiendo así el nombre del PC, el del usuario, y la ruta física de las carpetas. Además algunos perfiles contenían archivos con más información de otros servidores.

Esto lo descubrí buscando la palabra LDAP en Robtex. Pero no es lo único que existe. También tenemos páginas como Shodan, o hasta incluso el mismo Google y Bing.

Para el caso de las auditarías internas, se suelen utilizar herramientas que automaticen nuestro trabajo, como pueden ser SSS (Shadow Security Scanner), Acunetix, Vega o w3af. Con ellas se puede sacar gran información de las máquinas. Algunas de estas herramientas permiten, una vez localizada la vulnerabilidad, explorarla, mediante algún tipo de ataque como pueden ser un exploit, fuerza bruta. etc.