viernes, 12 de septiembre de 2014

¿Se sintieron atemorizados por los metadatos? bueno, pues hoy le abriré una ventana más a la paranoía; Así como un psicólogo puede crear un perfil de personalidad, agrupar metadatos puede ayudar a crear un perfil de una persona (véase xkeyscore) y también puede darnos información de un sistema que vayamos a auditar. Agrupar metadatos puede darnos nombres de usuarios, versiones de software o de sistema operativo, toda una cantidad de información importante.

La herramienta que usaremos será metagoofil, esta herramienta se encarga de recolectar los metadatos de archivos públicos en un dominio generando un informe con lo recolectado, así crearemos nuestro "perfil de personalidad" del dominio auditado.

Esta herramienta ya se encuentra instalada en Kali, así que nos dirigiremos allí y observaremos sus parámetros con el comando metagoofil:



Como podrán observar los parámetros son simples y los ejemplos están detallados al ejecutar el metagoofil, nuestro conejillo de indias será la página de una reconocida universidad en Colombia, así que acá está el comando

metagoofil -d unal.edu.co -t pdf,doc,docx,xls,xlsx -o unal -f informe.html -l 100 -n 20

Esto nos indica que se creará una carpeta llamada "unal" se generará un informe en html llamado "informe", 20 archivos de cada extensión dada, y el límite máximo de archivos son 100. Veremos como comienza el proceso y esperaremos a que finalice




Finalizada esta tarea, que demorará según su ancho de banda, podemos ver los resultados, ya sea en la consola (aunque puede ser bastante largo) o en el informe generado en html, también veremos los archivos descargados en la carpeta que se creó.



Ahora si le damos una ojeada al informe veremos cosas bastantes relevantes, y en primer lugar el informe de resultados de manera muy simple


En la sección de usuarios aparte de lo obvio, encontraremos una muy mala práctica, usar o permitir que se realicen labores cotidianas con un usuario administrador (espero imaginen porqué)




Otro dato interesante será el software utlizado,  ¿Por qué? Bastante simple, en la fase de "ganar acceso" se puede usar algún tipo de exploit o zero-day de alguno de estos programas.




Mis recomendaciones, como siempre. es no limitarse a lo aquí expuesto, sino que amplien esta idea, vayan más allá, generen nuevas combinaciones de archivos y que puedan imaginar como un atacante malicioso se podría aprovechar de todo esto.

Por último y no menos importante, mis agradecimientos a César, gran amigo, futuro psicólogo por ayudarme con el concepto de test de personalidad, para poder dar un ejemplo claro acá.

Saludos.

 
Copyright © 2011 Experiencias de un Newbie. Designed by Wpdesigner, blogger templates by Blog and Web