Recopilacion semi pasiva de informacion

¿Qué es la recopilación semi-pasiva de información?

La recopilación semi-pasiva de información es una técnica utilizada en el ámbito de la ciberseguridad y el hacking ético para obtener datos sobre un objetivo (por ejemplo, una organización, un dominio o una red) utilizando métodos que se asemejan al tráfico normal y esperado en la red del objetivo.

El objetivo principal es evitar generar alertas en los sistemas de detección de intrusos (IDS) o en los sistemas de monitoreo de seguridad del objetivo, mientras se recopila información útil para una auditoría o prueba de seguridad.

Características principales

  1. Métodos que simulan tráfico normal:

    • Las técnicas utilizadas en la recopilación semi-pasiva están diseñadas para integrarse con el flujo típico de tráfico en la red del objetivo, minimizando el riesgo de detección.

  2. Actividades permitidas:

    • Se realizan acciones que normalmente no generan comportamientos sospechosos, como:
      • Consultas a servidores DNS:
        • Solicitudes para obtener información sobre nombres de dominio y subdominios.
      • Acceso a recursos internos de aplicaciones web:
        • Como explorar páginas públicas o descargar archivos disponibles.
      • Análisis de metadatos:
        • Examinar documentos descargables públicamente (como PDFs o imágenes) para extraer información oculta (por ejemplo, nombres de usuarios, ubicaciones, software utilizado).

  3. Límites definidos:

    • Las actividades que generen comportamientos anómalos o sospechosos, como escaneos masivos de puertos o intentos de fuerza bruta, no son parte de la recopilación semi-pasiva.

¿En qué se diferencia de otros tipos de recopilación?

  • Pasiva: Se realiza únicamente observando información pública sin interactuar directamente con el sistema objetivo (por ejemplo, búsquedas en Google o uso de la Wayback Machine).
  • Activa: Involucra interacciones directas y evidentes con el objetivo, como escaneos de puertos, análisis de vulnerabilidades y pruebas de fuerza bruta.
  • Semi-pasiva: Es un punto intermedio, ya que interactúa con el sistema objetivo pero lo hace de manera que parece tráfico normal.

Ejemplos de actividades en la recopilación semi-pasiva

  1. Consultas DNS:

    • Utilizar herramientas como nslookup o dig para obtener registros DNS de un dominio, como:
      • Registros A (dirección IP).
      • Registros MX (servidores de correo).
      • Registros CNAME (alias de dominio).

  2. Análisis de aplicaciones web:

    • Explorar páginas públicas del sitio web para identificar recursos disponibles, como:
      • Archivos descargables.
      • Rutas visibles.
      • Páginas de inicio de sesión.

  3. Extracción de metadatos:

    • Analizar documentos descargados (como PDF, imágenes o Word) utilizando herramientas como exiftool para descubrir:
      • Nombres de usuarios.
      • Ubicaciones geográficas.
      • Versiones de software o sistemas operativos.

Ventajas de la recopilación semi-pasiva

  1. Bajo riesgo de detección:

    • Al utilizar técnicas que imitan el comportamiento normal, es menos probable que los sistemas de seguridad detecten la actividad.

  2. Información valiosa sin comprometer la seguridad:

    • Se puede obtener datos útiles para un análisis posterior, como subdominios, servicios en uso y posibles puntos débiles.

  3. Compatible con auditorías éticas:

    • Las organizaciones pueden permitir este tipo de técnicas dentro de una auditoría de seguridad, ya que no representan un riesgo directo para los sistemas.

FOCA OpenSource: Herramienta para el Análisis y Búsqueda de Metadatos

En el mundo de la ciberseguridad, los metadatos son una fuente valiosa de información. Estos pequeños fragmentos de datos pueden revelar detalles confidenciales sobre documentos, imágenes, redes y más, convirtiéndose en un objetivo crucial durante auditorías de seguridad. Aquí es donde entra en juego FOCA OpenSource, una herramienta diseñada específicamente para la búsqueda, extracción y análisis de metadatos.

¿Qué es FOCA OpenSource?

FOCA OpenSource (Fingerprinting Organizations with Collected Archives) es una herramienta gratuita y de código abierto utilizada para recopilar y analizar metadatos presentes en documentos accesibles públicamente. Fue creada inicialmente por ElevenPaths, la unidad de ciberseguridad de Telefónica, como una solución profesional y ahora su versión open-source permite a investigadores y profesionales de la seguridad realizar tareas de análisis de metadatos con gran eficacia.

Los metadatos contienen información adicional incrustada en documentos, como Word, PDF, Excel, imágenes, y más. Esta información puede incluir datos sensibles como:

  • Nombres de usuarios.
  • Rutas internas de los sistemas donde se crearon los archivos.
  • Software y versiones utilizadas para crear o editar los documentos.
  • Fecha y hora de creación o modificación.
  • Ubicación geográfica (en imágenes y ciertos documentos).

¿Para qué sirve FOCA OpenSource?

FOCA es una herramienta orientada principalmente a:

  1. Búsqueda y extracción de metadatos:

    • FOCA permite analizar documentos en busca de metadatos incrustados que puedan revelar información confidencial.

  2. Auditorías de seguridad:

    • Es utilizada por expertos en ciberseguridad para identificar información que podría estar expuesta accidentalmente por una organización.

  3. Reconocimiento y análisis OSINT:

    • FOCA ayuda a los investigadores a obtener datos sobre una organización a través de sus archivos públicos.

  4. Enumeración de infraestructura:

    • Además de analizar metadatos, FOCA también puede identificar nombres de servidores, IPs, rutas internas, y más.

¿Qué hace a FOCA una herramienta especial?

  1. Compatibilidad con múltiples formatos:

    • FOCA soporta varios tipos de archivos, incluidos:
      • Documentos: PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX, etc.
      • Imágenes: JPG, PNG, BMP, y otros formatos comunes.
      • Otros: ZIP, archivos de texto, y más.

  2. Extracción automatizada de metadatos:

    • FOCA automatiza el proceso de búsqueda y extracción de metadatos, ahorrando tiempo y esfuerzo en auditorías.

  3. Identificación de información confidencial:

    • Al analizar los metadatos, FOCA puede identificar nombres de usuarios, servidores, y otros datos que podrían ser útiles para un atacante.

  4. Integración con OSINT:

    • La herramienta complementa otras técnicas de OSINT al proporcionar detalles técnicos sobre los sistemas de una organización.

Características clave de FOCA OpenSource

  1. Búsqueda automática en internet:

    • FOCA puede rastrear y descargar documentos públicos desde sitios web para analizarlos en busca de metadatos.

  2. Detección de rutas internas y servidores:

    • Los documentos a menudo contienen referencias a rutas internas de las redes donde fueron creados. FOCA identifica estas rutas para mapear la infraestructura.

  3. Análisis de vulnerabilidades:

    • La herramienta señala posibles problemas de seguridad derivados de la información encontrada en los metadatos.

  4. Exportación de resultados:

    • Los resultados del análisis se pueden exportar en formatos como CSV para un análisis posterior o documentación.

Cómo usar FOCA OpenSource

1. Instalación

FOCA OpenSource está disponible para sistemas operativos Windows. Para instalarla:

  • Descarga la versión gratuita desde su repositorio oficial de GitHub.
  • Asegúrate de tener las dependencias necesarias (generalmente ya vienen integradas en el instalador).

2. Configurar un proyecto

  • Crea un nuevo proyecto en FOCA.
  • Define el dominio o URL que deseas analizar.
  • FOCA buscará automáticamente documentos públicos disponibles en ese dominio.

3. Análisis de documentos

  • FOCA descargará y analizará los documentos en busca de metadatos.
  • Generará una lista de información relevante como:
    • Usuarios.
    • Software utilizado.
    • Rutas internas.
    • Servidores asociados.

4. Interpretar los resultados

  • Utiliza los datos obtenidos para identificar posibles riesgos de seguridad, como exposición de información sensible o configuraciones erróneas.

FOCA OpenSource es una herramienta fundamental para cualquier auditor de seguridad o investigador OSINT interesado en la recopilación de datos confidenciales a través de metadatos.

Introducción al Protocolo DNS

El DNS (Domain Name System) es uno de los protocolos fundamentales de Internet. Su función principal es traducir los nombres de dominio legibles por los humanos (como www.google.com) en direcciones IP que las computadoras utilizan para identificar y comunicarse entre sí. Sin DNS, tendríamos que recordar las direcciones IP de cada sitio web, lo cual sería poco práctico.

Funcionamiento Básico del DNS

El proceso básico del DNS puede resumirse en los siguientes pasos:

  1. Consulta del usuario:

    • Cuando escribes un dominio en tu navegador (como example.com), se realiza una solicitud para resolver ese nombre en una dirección IP.

  2. Resolución jerárquica:

    • El DNS trabaja de manera jerárquica. Si un servidor no tiene la respuesta, consulta a otro servidor más arriba en la jerarquía.
    • Los principales niveles son:
      • Servidor recursivo: Intermediario entre el cliente y los servidores DNS.
      • Servidores raíz: El nivel más alto de la jerarquía, que dirige a los servidores de dominio de nivel superior (TLD).
      • Servidores TLD: Responsables de dominios como .com, .org, .net.
      • Servidor autoritativo: Contiene la información definitiva sobre el dominio solicitado.

  3. Respuesta:

    • Una vez que se encuentra la dirección IP correspondiente al dominio, el servidor DNS la devuelve al navegador, que la utiliza para conectarse al servidor web.

DNS spoofing

El DNS Spoofing (suplantación de DNS) es un ataque en el que un atacante manipula las respuestas del sistema de nombres de dominio (DNS) para redirigir el tráfico legítimo de un usuario hacia un servidor malicioso en lugar del destino legítimo. Esto se logra interceptando las consultas DNS o comprometiendo servidores DNS para proporcionar direcciones IP falsas. Como resultado, las víctimas pueden ser engañadas para acceder a sitios web fraudulentos que imitan servicios legítimos, facilitando actividades como el robo de credenciales, la instalación de malware o el espionaje de datos. Este ataque explota la confianza que los sistemas y usuarios depositan en el DNS.

Herramientas

  • CentralOps: Una plataforma que ofrece herramientas de análisis de red y DNS para obtener información sobre dominios, IPs y más.
    Enlace: https://centralops.net/

  • DNSDumpster: Una herramienta gratuita que permite realizar análisis de dominios y mapeo de subdominios mediante consultas DNS.
    Enlace: https://dnsdumpster.com/

¿Qué son los Sniffers?

Los sniffers son herramientas o programas utilizados para capturar, analizar e interpretar el tráfico de datos que circula a través de una red. Estos programas actúan como “escuchas” que monitorean paquetes de datos en tiempo real, permitiendo observar todo lo que pasa por una red, como correos electrónicos, sesiones web, solicitudes DNS, entre otros.

Los sniffers son esenciales en ciberseguridad, redes y auditorías, pero también pueden ser usados maliciosamente para interceptar información sensible. Los sniffers pueden operar en modo:

  • Promiscuo: Capturan todo el tráfico en la red, incluso si no está destinado a la máquina que ejecuta el sniffer.
  • Normal: Solo capturan tráfico dirigido a la máquina.

¿Qué es Wireshark?

Wireshark es uno de los sniffers más populares y potentes, ampliamente utilizado en ciberseguridad y administración de redes. Es una herramienta gráfica que permite capturar y analizar paquetes de red con una interfaz visual intuitiva.

Características clave de Wireshark:

  • Captura en tiempo real de paquetes de red.
  • Visualización detallada del contenido de cada paquete.
  • Filtros avanzados para analizar tráfico específico (por ejemplo, HTTP, TCP, DNS).
  • Soporte para cientos de protocolos.
  • Exportación de datos capturados en diferentes formatos para análisis posterior.

Casos de uso para Wireshark:

  1. Diagnóstico de problemas de red:

    • Identificar problemas de conectividad o rendimiento en la red.
    • Detectar retransmisiones, pérdidas de paquetes, o latencia.

  2. Auditorías de seguridad:

    • Verificar si el tráfico contiene información sensible en texto plano.
    • Detectar actividades sospechosas, como escaneos o intentos de explotación.

  3. Análisis educativo:

    • Aprender sobre protocolos de red observando cómo funcionan en tiempo real.

  4. Depuración de aplicaciones:

    • Verificar cómo las aplicaciones se comunican con la red.

¿Qué es Tcpdump?

Tcpdump es otra herramienta sniffer, pero a diferencia de Wireshark, es una utilidad basada en línea de comandos. Es extremadamente ligera y se ejecuta en entornos Linux/Unix para capturar y analizar paquetes de red. Aunque no tiene una interfaz gráfica, es muy potente y permite aplicar filtros avanzados para capturar tráfico específico.

Características clave de Tcpdump:

  • Captura tráfico en interfaces de red en tiempo real.
  • Permite guardar capturas en un archivo para analizarlas posteriormente con herramientas como Wireshark.
  • Soporte para filtros BPF (Berkeley Packet Filter) para analizar tráfico específico.

Casos de uso para Tcpdump:

  1. Monitoreo de tráfico ligero:

    • Ideal para administradores que necesitan una herramienta rápida para capturar tráfico en servidores remotos.

  2. Depuración de red en servidores:

    • Diagnosticar problemas de conexión o tráfico en sistemas sin interfaz gráfica.

  3. Análisis preliminar de tráfico:

    • Capturar paquetes para revisarlos más tarde en Wireshark.

  4. Automatización:

    • Integrar Tcpdump en scripts para monitorear eventos específicos en la red.

¿Cuándo usar cada herramienta?

HerramientaCaso de usoNivel de Complejidad
WiresharkCuando necesitas un análisis detallado con visualización gráfica, aprendizaje o auditorías completas.Intermedio
TcpdumpPara capturar tráfico rápidamente en servidores o ambientes sin interfaz gráfica, o para tareas automatizadas.Avanzado

Ambas herramientas son fundamentales para cualquier profesional de redes o ciberseguridad. Puedes combinarlas, capturando tráfico con Tcpdump en un servidor y luego analizarlo con Wireshark en tu equipo local para obtener una visión más detallada.