La Gorda FOCA & MetaShield Protector

Chema Alonso

FOCA 0.x

3

Foca 1 : Análisis de Metadatos

• Busca documentos en Google y Bing• Descarga los documentos• Extrae los metadatos• Clusteriza los documentos• Genera un mapa de red

FOCA 1: Metadatos

ALGUNOS EJEMPLOS

MetaShield Protector

Objetivos:

• Solución para evitar la fuga de información en documentos ofimáticos a través de su publicación en sitios web.

• Módulo de Intenet Information Services 7.x para Windows Server 2008 totalmente integrado con la arquitectura del servidor web

• Requisitos:– Servicios de ASP.NET instalados.– Microsoft .NET Framework 3.5 SP1– Microsoft SQL Server 2005 o 2008

• Todas las versiones, incluida la versión Express

Funcionalidades

• Soporte para MetaShield Protector– Descargar archivos directamente desde IIS 7.– Windows SharePoint Services 3.0.– Microsoft Office SharePoint Server 2007.– Soporte a Pool de Aplicaciones en cualquier modo de trabajo

• Modo clásico• Modo administrado• Pool de aplicaciones en 64 bits y 32 bits• Soporte a pool de aplicaciones de 64 bits corriendo en modo 32 bits

• Archivos soportados por Metashield Protector– Documentos Microsoft Office.– Documentos OpenOffice.– Documentos Adobe PDF.

Funcionamiento• MetaShield Protector “captura” las peticiones de ficheros al

Servidor Web.• Recupera el contenido del fichero y lo limpia en memoria.• Sirve el fichero limpio al cliente

ArquitecturaDescarga directa

Arquitectura. SharePoint

…

Ventajas

• No es necesaria la intervención del usuario• Los documentos mantienen los metadatos que pueden ser usados

por el gestor documental• Control granular por extensiones y sitios web• Posibilidad de aplicar plantillas definidas por el usuario

Desventajas

• Aumento de trabajo en el Servidor Web• Ficheros muy grandes pueden llegar a provocar retardos apreciables por el

usuario final ya el documento debe ser cargado completamente en memoria para proceder a su limpieza

ENS: Metadatos• 5.7.6 Limpieza de documentos

En el proceso de limpieza de documentos, se retirará de estos toda la información adicional contenida en campos ocultos, meta-datos, comentarios o revisiones anteriores, salvo cuando dicha información sea pertinente para el receptor del documento.

Esta medida es especialmente relevante cuando el documento se difunde ampliamente, como ocurre cuando se ofrece al público en un servidor web u otro tipo de repositorio de información.

El incumplimiento de esta medida puede perjudicar:

a) Al mantenimiento de la confidencialidad de información que no debería haberse revelado al receptor del documento.

b) Al mantenimiento de la confidencialidad de las fuentes u orígenes de la información, que no debe conocer el receptor del documento.

c) A la buena imagen de la organización que difunde el documento por cuanto demuestra un descuido en su buen hacer

FOCA 1: Post-Post-Análisis

• Google Set• Alternative Domains• Robtex• Rango IP• DNS Prediction

Google Sets

DNS Scanning

Alternate Domains

DNS Prediction

Problemas para pintar la red

• Alternative domains:– O los sabías o aparecían o el servidor queda sin

dominio.

• DNS Scanning:– Si el equipo no tiene dominio -> no tienes IP no

puedes aplicar DNS scanning

• Google Sets– Si no hay dominio, aunque encuentres nombres

similares no sabes contra que dns probarlo.

FOCA 2.0 aún en alpha

Necesitamos dominios

Congreso de Seguridad ~ Rooted CON’2010

Cómo buscar dominios

• Metadatos [SetA]– Aparece el nombre dominio– Aparece la dirección IP -> Resolución DNS

• Google & Bing Search [SetB]– Uso de site y –inurl para maximizar resultados

Se obtienen Domain names [SetA+SetB]

Direcciones IPs

• Metadatos [IP_A]– Direcciones IP directamente– Nombres completos -> Resolución DNS contra

DNS principal del dominio.

• Nombres Dominio Google & BING [IP_B]– Resolución DNS

Se obtienen direcciones IP [IP_A+IP_B]

Más dominios: Bing Search IP

• Con [IP_A+IP_B]– Bing Search con parámetro IP– > Nuevos dominios

• Internos • Relacionados

Mas dominios: PTR Scanning

• Con todas las direcciones IP– Conexión al NS principal [Opcional a todos los NS]

Mas dominios: PTR Scanning

Más dominios: Rango IP

• Todas las direcciones IP asociadas a un dominio objetivo:– Resolución y Búsqueda del rango con el DNS

interno.– Opcionalmente con todos los NS

Más dominios + Más IPs

• Common names– ftp, dns, dns01, pc01…

• Uso del “ls” en el DNS

Algoritmo recursivo

Algoritmo recursivo:

Aplica “algoritmo voraz”Sigue todos los caminosProfundidad del algoritmo es configurableDetecta casi todas las referencias accesibles

FOCA & SHODAN

ALGUNA DEMO CON FOCA 2

FOCA sólo corre en Windows

Evolución: SW recognition

– Metadatos• Rutas de instalación [mejorado]• OLE Streams• EXIF

– SHODAN• Banners [No intrusivo]

– Banners• Connect

– URLs • Google Hacking

– NameServers• Prediction

Más de 20.000 FOCAs

Chema Alonsochema@informatica64.comhttp://elladodelmal.blogspot.comhttp://twitter.com/chemaalonsohttp://www.informatica64.com

AutoresChema AlonsoFrancisco OcaAlejandro Martín BailónEnrique RandoPedro LagunaJohn Matherly