| Artículos | 01 JUN 2010

Harvesting 2.0: cómo encuentran información los atacantes y cómo no revelársela

Tags: Histórico
Gonzalo Alvarez.
La fase de recopilación de información sobre el objetivo tradicionalmente se ha llevado a cabo exprimiendo los buscadores y bases de datos públicas, como las páginas amarillas, e incluso rebuscando en las papeleras. Hoy en día, gracias al auge imparable de las aplicaciones Web 2.0, en general, y de las redes sociales, en particular, la recolección de información se ha trasladado a este nuevo escenario. En este artículo se repasan cuáles son las técnicas más utilizadas por los cibercriminales de la actualidad para reunir la mayor cantidad de información sobre un blanco y cómo contrarrestarlas.

El proceso de un ciberataque a una organización, salvando las distancias, no se diferencia en mucho de un ataque físico a un blanco físico. En primer lugar, el ciberatacante debe identificar el objetivo. Una vez que sabe a quién atacar, debe recopilar la cantidad máxima de información sobre el blanco, cuanta más, mejor. A continuación, debe analizarla meticulosamente con el fin de identificar vulnerabilidades, puntos de acceso y puertas de escape. A partir de ahí, ¡comienza el ataque!
Una vez que el ciberatacante ha decidido cuál será su blanco, los primeros pasos del ataque consisten en reunir la mayor cantidad de información posible sobre la organización de forma totalmente pasiva, es decir, sin que la víctima sepa que se está compilando un exhaustivo dossier con información sobre ella. El ciberatacante no enviará ni un solo paquete a redes o servidores bajo el control del objetivo para evitar que su actividad sea detectada. La información que reúna de esta forma será utilizada en las fases posteriores del ataque. Ningún dato es descartable: todo retazo de información arañado podrá demostrar su valor más adelante. Como afirman algunos hackers: “el exploit es sólo el 5 por ciento del ataque”. El resto es labor de inteligencia.

Qué información puede obtenerse mediante las técnicas de harvesting
Nunca se sabe cuándo un dato puede resultar de utilidad en el futuro, por lo que el ciberatacante no despreciará nada en principio. Información especialmente relevante y por tanto codiciada será la siguiente:
Información personalmente identificable sobre los empleados de la organización: números de teléfono fijos y móviles, tanto corporativos como personales; direcciones físicas, del trabajo y del hogar; direcciones de correo electrónico; infracciones penales o administrativas; informes de crédito; vidas laborales; currículos; ofertas y demandas de empleo; idas y venidas, con conocimiento de la localización exacta.
Información sobre la arquitectura de red de la organización: número y tipo de servidores; qué software y aplicativos tienen instalados y cuáles son sus versiones; dónde están ubicados; sus direcciones IP.
Archivos de la organización: archivos que contengan todo tipo de información corporativa, incluyendo archivos de bases de datos, hojas de cálculo, todo tipo de documentos en papel, diagramas de red.
Información estratégica de la organización, como podrían ser planes de fusiones, adquisiciones o EREs.
Información organizativa, como organigramas, relaciones jerárquicas, plantillas, equipos de trabajo asignados a proyectos, nombres de directivos, destinos.
Información sobre interacciones laborales: quién reporta ante quién; cuáles son los medios de comunicación utilizados: teléfono, email, BlackBerry, Twitter, etc. y frecuencia, o lugar y tipo de reuniones.
Todos estos tipos de información pueden resultar más o menos públicos o privados, según la organización. El ciberatacante se valdrá de todos los recursos a su alcance para reunir la mayor cantidad de información disponible en fuentes públicas y otras no tanto. Su uso prioritario se hallará en la orquestación de ataques de ingeniería social.
A continuación, se revisan las técnicas más usadas, algunas viejas, la mayoría novedosas, cuya eficacia variará en función de la dimensión y madurez en gestión de seguridad de la información de la organización bajo ataque.

A vista de pájaro: Google Earth para localizar el blanco
Un atacante puede servirse de Google Earth o Google Maps para hacerse una idea de las instalaciones físicas del blanco, dónde está ubicado, qué otros edificios existen en su entorno, qué distancia existe a servicios de emergencia, o cuáles son las mejores vías de entrada y salida. El impacto que esta información puede tener es mayor en grandes instalaciones de difícil acceso. Este tipo de recursos estaba hasta hace poco exclusivamente en manos de los servicios de inteligencia de los distintos países (véase el recuadro OSINT).

Google calendar
Google Calendar, desarrollado por Google, se ha convertido en una de las aplicaciones de calendario electrónico más populares. Su portabilidad absoluta al accederse a través de un interfaz web y la facilidad para integrarlo con otras aplicaciones de calendario de escritorio como Outlook o iCal son algunos de los secretos de su éxito. Google Calendar permite crear y mostrar múltiples calendarios en la misma vista, los cuales pueden compartirse fácilmente con otros usuarios, ya sea de sólo lectura o con control completo, y sólo para personas especificadas o para todos.
Constituyen terreno fértil para que los atacantes encuentren en ellos información sobre una organización y sus empleados, ya que basta con poseer una cuenta válida de Google para empezar a hurgar en calendarios públicos. La clase de información que puede encontrarse en los calendarios incluye nombres de personas que asistirán a reuniones, sus números de teléfono, nombres de proyectos en los que se está trabajando, plazos de inicio, ejecución y entrega de los mismos, etc. En algunos casos se puede encontrar incluso números de teléfono y claves para participar en teleconferencias o nombres de usuario y contraseñas para entrar en video-conferencias tipo WebEx de Cisco. Más delito tiene el anuncio de que tal día se cambiarán las contraseñas de los servidores por tal otra.
Siempre debe restringirse cuidadosamente las personas que tienen acceso a los calendarios. Jamás deberían crearse calendarios públicos para cuestiones de trabajo, a pesar de su comodidad y aparente inocuidad. El problema de fondo: nunca deberían almacenarse nombres de usuario y contraseñas en ningún tipo de documento público.

Hacking a través de los motores de búsqueda
Google es la herramienta de búsqueda en Internet más potente y versátil de la actualidad. En manos de atacantes, Google puede descubrir vulnerabilidades, revelar información confidencial, servir de cabeza de puente para perpetrar ataques, sacar a la luz servicios de red y encontrar contraseñas, convirtiéndose así en una de las herramientas más temibles de la Red. Existen multitud de libros y artículos explicando qué tipo de búsquedas realizar para extraer información sensible. Destaca el libro Google Hacking for Penetration Testers por Johnny Long, creador además de la base de datos GHDB, disponible en www.hackersforcharity.org/ghdb.
Una de las consecuencias negativas de los motores de búsqueda como Google, que continuame

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información