viernes, abril 29, 2011

La FOCA antes y después de un ataque

Aprovechando que han publicado una referencia en H-Online sobre cómo se puede utilizar FOCA para preparar un ataque como el HBGary o RSA, voy a aprovechar para enseñaros algunas capturas que un informante anónimo nos envió.

Si una empresa no tiene cuidado de los documentos que sus empleados publican - en cualquier sitio - entonces los datos de la infraestructura interna que en ellos queden pueden ser extraidos con FOCA para generar un informe táctico que permita fijar el ataque.

Sin embargo, una vez que se tiene éxito en el ataque, y los datos quedan publicados por todos los rincones de Internet, la información que de ellos se pueda extaer está a disposición de todo el mundo, y cualquiera puede obtener esos datos.

En este ejmeplo, el informante anónnimo se descargó los ficheros publicados de HBGary y pasó todos los documentos adjuntos por la FOCA, para obtener, de todos ellos, una jugosa información que hay que suponer que ahora está en manos de todo el mundo.


Figura 1: Correos electrónicos

Como se puede ver, de uno de los buzones había disponibles más de 1.000 documentos, con información muy valiosa no solo de usuarios, sino de servidores internos de la organización.


Figura 2: Printers e internal Servers

Por supuesto, la lista de usuarios obtenida es una valiosa pieza para utilizar en ataques de fuerza bruta a aplicaciones internas, para búsqueda de hashes en servidores robados, etc...


Figura 3: Usuarios en documentos

Y el problema que se plantea es que, una vez que el ataque ha tenido éxito, ¿cuanto hay que cambiar la infraestructura interna? Es evidente que hay que cambiar las políticas de seguridad, los mecanismos de defensa y fortificar mejor toda la organización pero... los datos de la infraestructura interna ya están liberados.

Así que, hay que plantearse el cambiar nombres internos de servidores, nombres de cuentas de usuario en todos los servicios, direccionamientos internos... y hasta el nombre, marca y modelo de las impresoras. Una fiesta, vamos. Yo supongo que toda esta información ya no es útil porque HBGary habrá hecho los deberes...

Saludos Malignos

2 comentarios:

  1. Empresario = raton.
    Ese seguro lo que hizo es echar a un par de perejiles, cambiar unas password y dejar todo como estaba.

    ResponderEliminar
  2. Que bueno el post, y la FOCA es brutal:)

    Yo creo que después del ataque cambiarán 4 cosas y eso si las cambian.

    Un saludo.
    Manolo.

    ResponderEliminar