Descubriendo los activos de una organización (I)

miércoles, 21 de mayo de 2014

El pentesting persistente que realiza Faast tiene como misión proporcionar un informe de status continuo de seguridad global de la organización que lo ejecuta, en contraposición a una instantánea en un momento concreto. El objetivo es monitorizar constantemente los posibles cambios en algún punto de la infraestructura de la compañía, errores humanos por parte del personal, fallos de configuración de un administrador, etcétera. Acciones del día a día que pueden llegar a mermar la seguridad global de la organización. En este artículo se explicará cómo han ido evolucionando las funcionalidades y los objetivos desde el nacimiento de la herramienta FOCA.

Durante el proceso de test de intrusión las posibilidades de éxito se incrementan si la fase de descubrimiento proporciona un gran número de elementos que auditar. Para ello, es importante disponer de una gran variedad de técnicas, desde las clásicas hasta las más avanzadas o modernas (que pueden depender y adaptarse a la tecnología concreta usada por la infraestructura estudiada)  que ayuden a conocer el entorno de la organización y su perímetro.

Todo elemento que se descubre debe ser analizado y se debe plantear su paso por un flujo de tipo DAE. El flujo de tipo DAE (Descubrimiento, Análisis y Explotación) es común a todo tipo de auditorías.

Esquema DAE

Actualmente la auditoria a través de los portales web es clave para encontrar vulnerabilidades que permitan obtener algún recurso de la empresa (que contenga información sensible o permita dañar su imagen), pero el análisis debe expandirse a máquinas que sirvan otro tipo de servicios. Por eso Faast realiza múltiples técnicas de descubrimiento que le permite recopilar la mayor cantidad de elementos para auditar. Algunas de estas técnicas han sido heredadas de FOCA, otras por el contrario son totalmente nuevas y proporcionan más versatilidad a la herramienta.

El primer objetivo es obtener una visión global de los servicios de red, dominios y direcciones IP accesibles desde Internet y que pertenezcan a la organización. Esto puede ser logrado a través de varias técnicas que se complementan y retroalimentan.

Búsqueda e identificación de servicios

La búsqueda de elementos y servicios (tanto web como de otro tipo) se realiza con la ayuda de diferentes motores de búsqueda (no solo buscadores web, sino también de tipo Shodan), escaneos a direcciones IP que van siendo descubiertas "al vuelo" en esta fase aprovechando técnicas de descubrimiento de puertos, identificación de productos, servicios y versiones.

La identificación de servicios es un punto importante, ya que permite al analista asociarlos a vulnerabilidades y poder crear o buscar ciertos exploits que puedan aprovecharse de versiones de software no actualizadas. Por ello resulta tan útil disponer de un plugin que compruebe qué CVEs existen para las versiones de software encontradas. Esto es algo que desde hace tiempo se demandaba como funcionalidad en FOCA pero que con Faast se ha completado. Una vez se obtiene un primer nivel básico de estructura de la organización sobre el dominio que se ha proporcionado, el servicio Faast amplía las acciones de FOCA con plugins que aportan nuevas opciones de descubrimiento. Técnicas clásicas como whois o recopilación de información a través de ficheros sitemap.xml o robots.txt (que no son indexadas en otros sitios) ayudan a completar el modelado a analizar y el inventario de activos.

Otra técnica fundamental es el crawling dado que es una de las primeras que se deben contemplar al realizar una auditoría en las aplicaciones web, leyendo y procesando el código fuente de los sitios web públicos con el objetivo de incorporar al análisis todos los enlaces o links que se van encontrando. Esta técnica se complementa para construir todo un mapa del sitio web. Aunque no todas las direcciones URL pueden quedar capturadas porque pueden existir rutas no enlazadas en el sitio web, en este punto entra en juego una conocida técnica basada en la realización de ataques por diccionario a directorios y archivos. El servicio FaasT incorpora componentes que evolucionan las técnicas utilizadas por FOCA con resultados muy positivos.

Los servidores DNS 

Los servidores DNS son elementos que pueden proporcionar mucha información sobre el entorno y ayudan a perfilar y ampliar el mapa de datos. El uso de ataques por diccionario sobre el DNS permite completar ciertos dominios que no han podido ser localizados a través de las otras vías. Consiste en lanzar un ataque de diccionario contra el servidor y consultar así sobre dominios conocidos que se concatenan con el dominio de la organización. Aunque existen más métodos. La evaluación de registros como SPF, DOMAINKEY, DKIM y DNSSec ayuda a la hora de evaluar cierta configuración de seguridad, por lo que es otro punto que la herramienta valora. No hay que olvidar los registros que, como FOCA hacía, ayudan a detectar servicios no tan comunes como son VoIP, WINS, LDAP, etcétera.

Gracias a DNS Caché Snooping se pueden descubrir sitios por los que empleados de la organización navegan y puede ayudar en otro tipo de pruebas. Aunque se trate de vulnerabilidades menores, toda información puede aportar conocimiento en un proceso de pentest, como es el caso del ataque Evilgrade. Otras más antiguas, como las transferencias de zona, siguen vigentes en el ámbito de Internet y ayudan a seguir completando el mapa de activos de una organización en Internet.

El primer objetivo, denominado internamente "visión global", permite conocer qué servicios de red están disponibles en Internet, qué direcciones IP pertenecientes a la organización o con las que se relaciona de algún modo y un árbol de dominios potencialmente creciente con la ejecución de cada plugin de descubrimiento.

Una vez completada la primera fase del descubrimiento se debe profundizar en lo particular evaluando cada dominio, dirección IP, servicio de red... en definitiva, cada tecnología. Esta evaluación permitirá completar el mapa de activos con elementos que no han podido ser detectados gracias a las vías anteriores y conocer las primeras fugas de información y los primeros errores de configuración.

* Descubriendo los activos de una organización (II)

Óscar Sánchez
oscar.sanchez@11paths.com

No hay comentarios:

Publicar un comentario en la entrada