Upload
chema-alonso
View
2.728
Download
3
Embed Size (px)
DESCRIPTION
Presentación de FOCA 2.0 y MetaShield Protector impartida por Chema Alonso y Alejandro Martín Bailón, de Informática64, en el Asegúr@IT 7 que tuvo lugar en Barcelona el 24 de Marzo de 2010.
Citation preview
La Gorda FOCA & MetaShield Protector
Chema Alonso
FOCA 0.x
3
Foca 1 : Análisis de Metadatos
• Busca documentos en Google y Bing• Descarga los documentos• Extrae los metadatos• Clusteriza los documentos• Genera un mapa de red
FOCA 1: Metadatos
ALGUNOS EJEMPLOS
MetaShield Protector
Objetivos:
• Solución para evitar la fuga de información en documentos ofimáticos a través de su publicación en sitios web.
• Módulo de Intenet Information Services 7.x para Windows Server 2008 totalmente integrado con la arquitectura del servidor web
• Requisitos:– Servicios de ASP.NET instalados.– Microsoft .NET Framework 3.5 SP1– Microsoft SQL Server 2005 o 2008
• Todas las versiones, incluida la versión Express
Funcionalidades
• Soporte para MetaShield Protector– Descargar archivos directamente desde IIS 7.– Windows SharePoint Services 3.0.– Microsoft Office SharePoint Server 2007.– Soporte a Pool de Aplicaciones en cualquier modo de trabajo
• Modo clásico• Modo administrado• Pool de aplicaciones en 64 bits y 32 bits• Soporte a pool de aplicaciones de 64 bits corriendo en modo 32 bits
• Archivos soportados por Metashield Protector– Documentos Microsoft Office.– Documentos OpenOffice.– Documentos Adobe PDF.
Funcionamiento• MetaShield Protector “captura” las peticiones de ficheros al
Servidor Web.• Recupera el contenido del fichero y lo limpia en memoria.• Sirve el fichero limpio al cliente
ArquitecturaDescarga directa
Arquitectura. SharePoint
…
Ventajas
• No es necesaria la intervención del usuario• Los documentos mantienen los metadatos que pueden ser usados
por el gestor documental• Control granular por extensiones y sitios web• Posibilidad de aplicar plantillas definidas por el usuario
Desventajas
• Aumento de trabajo en el Servidor Web• Ficheros muy grandes pueden llegar a provocar retardos apreciables por el
usuario final ya el documento debe ser cargado completamente en memoria para proceder a su limpieza
ENS: Metadatos• 5.7.6 Limpieza de documentos
En el proceso de limpieza de documentos, se retirará de estos toda la información adicional contenida en campos ocultos, meta-datos, comentarios o revisiones anteriores, salvo cuando dicha información sea pertinente para el receptor del documento.
Esta medida es especialmente relevante cuando el documento se difunde ampliamente, como ocurre cuando se ofrece al público en un servidor web u otro tipo de repositorio de información.
El incumplimiento de esta medida puede perjudicar:
a) Al mantenimiento de la confidencialidad de información que no debería haberse revelado al receptor del documento.
b) Al mantenimiento de la confidencialidad de las fuentes u orígenes de la información, que no debe conocer el receptor del documento.
c) A la buena imagen de la organización que difunde el documento por cuanto demuestra un descuido en su buen hacer
FOCA 1: Post-Post-Análisis
• Google Set• Alternative Domains• Robtex• Rango IP• DNS Prediction
Google Sets
DNS Scanning
Alternate Domains
DNS Prediction
Problemas para pintar la red
• Alternative domains:– O los sabías o aparecían o el servidor queda sin
dominio.
• DNS Scanning:– Si el equipo no tiene dominio -> no tienes IP no
puedes aplicar DNS scanning
• Google Sets– Si no hay dominio, aunque encuentres nombres
similares no sabes contra que dns probarlo.
FOCA 2.0 aún en alpha
Necesitamos dominios
Congreso de Seguridad ~ Rooted CON’2010
Cómo buscar dominios
• Metadatos [SetA]– Aparece el nombre dominio– Aparece la dirección IP -> Resolución DNS
• Google & Bing Search [SetB]– Uso de site y –inurl para maximizar resultados
Se obtienen Domain names [SetA+SetB]
Direcciones IPs
• Metadatos [IP_A]– Direcciones IP directamente– Nombres completos -> Resolución DNS contra
DNS principal del dominio.
• Nombres Dominio Google & BING [IP_B]– Resolución DNS
Se obtienen direcciones IP [IP_A+IP_B]
Más dominios: Bing Search IP
• Con [IP_A+IP_B]– Bing Search con parámetro IP– > Nuevos dominios
• Internos • Relacionados
Mas dominios: PTR Scanning
• Con todas las direcciones IP– Conexión al NS principal [Opcional a todos los NS]
Mas dominios: PTR Scanning
Más dominios: Rango IP
• Todas las direcciones IP asociadas a un dominio objetivo:– Resolución y Búsqueda del rango con el DNS
interno.– Opcionalmente con todos los NS
Más dominios + Más IPs
• Common names– ftp, dns, dns01, pc01…
• Uso del “ls” en el DNS
Algoritmo recursivo
Algoritmo recursivo:
Aplica “algoritmo voraz”Sigue todos los caminosProfundidad del algoritmo es configurableDetecta casi todas las referencias accesibles
FOCA & SHODAN
ALGUNA DEMO CON FOCA 2
FOCA sólo corre en Windows
Evolución: SW recognition
– Metadatos• Rutas de instalación [mejorado]• OLE Streams• EXIF
– SHODAN• Banners [No intrusivo]
– Banners• Connect
– URLs • Google Hacking
– NameServers• Prediction
Más de 20.000 FOCAs
Chema [email protected]://elladodelmal.blogspot.comhttp://twitter.com/chemaalonsohttp://www.informatica64.com
AutoresChema AlonsoFrancisco OcaAlejandro Martín BailónEnrique RandoPedro LagunaJohn Matherly