Ésta es la cuarta y última parte del artículo “Open Source Intelligence”. Como se mencionó en la entrega anterior, durante una investigación se llega a un cierto punto donde se puede elegir entre dos vertientes: la primera, seguir investigando temas personales de los sujetos que pertenecen a la organización, como se mostró en el artículo pasado, o continuar investigando información sobre la organización. Hoy proseguiremos con la búsqueda de aspectos técnicos de la organización sin necesidad de generar ninguna actividad que pueda llamar demasiado la atención para ser considerada sospechosa o maliciosa.

Como recordarán, en nuestro caso de estudio estamos investigando el sitio Web www.viviendoamexico.com con técnicas IP y ya sabemos que sus DNS son los siguientes:

Nombre Dirección IP
NS.NIMROD.COM.MX 72.167.122.71
NS2.NIMROD.COM.MX 72.167.122.71

Uno de los primeros pasos ahora es descubrir si los servidores DNS permiten realizar la transferencia de zonas. Una transferencia de zonas sucede cuando un DNS envía todo el listado de nombres de un servidor de nombres de dominio a otro. Este tipo de intercambio es necesario entre un servidor primario o maestro y sus servidores secundarios; sin embargo muchos administradores permiten la transferencia de zonas de manera arbitraria entre diversos servidores y  a esto se le conoce comúnmente como AXFR. A continuación se muestra un ejemplo de una consulta AXFR y el tipo de información que podemos identificar:

 Figura 1

Muchas organizaciones cuentan con diversos proveedores de Internet con el fin de garantizar una mayor disponibilidad en sus sistemas y existen diversas maneras de identificar esto. En lo particular me gusta realizar peticiones del tipo traceroute desde diversas localidades del mundo y ver por dónde viajan los paquetes. Para realizar esta tarea podemos usar la página www.traceroute.org que hace posible llevar a cabo este tipo de peticiones desde diversas partes del mundo.

Figura 2

A continuación se muestra un ejemplo de cómo seguir la traza de un paquete de UDP y TCP.

Figura 3

Virtual Hosting y balanceadores de carga son tecnologías muy comunes en los sitios Web. Cuando hablamos de virtual hosting nos podemos referir a dos cosas:

  1. Una dirección IP está asociada a múltiples dominios.
  2. Múltiples direcciones IP están asociadas a un dominio.

Para detectar la primera condición es factible usar el buscador de Internet Bing:

Figura 4

Para detectar la segunda condición, bastará observar los resultados de una simple petición de nslookup a los servidores DNS:

Figura 5

Como comenté, otra tecnología muy empleada son los balanceadores de carga, los cuales administran las peticiones que recibe una aplicación distribuida en diferentes servidores.

Existen diversos métodos para detectar que una aplicación se encuentra detrás de un balanceador de cargas:

  • Análisis de la URL: algunos balanceadores de carga trabajan de tal manera que solo redireccionan  el tráfico  a diferentes servidores, por ejemplo, si intento ingresar al dominio www.pruebas.mx el balanceador de carga podría redirigirme al dominio www1.pruebas.mx, mientras que a otro usuario podría enviarlo al dominio www2.pruebas.mx, al ingresar al sitio Web con diferentes sesiones podemos detectar este tipo de comportamiento.
  • Análisis del timestamp (etiqueta de tiempo): posiblemente ésta es la manera más complicada de detectar un balanceador  y consiste en realizar diversas peticiones al mismo recurso de un  servidor Web y validar los encabezados de cada respuesta; si en alguna de ellas  existe una diferencia en el timestamp, esto podría representar que hay diversos servidores detrás de una aplicación. Si los servidores están sincronizados con algún servidor de NTP es casi imposible que mediante esta técnica se pueda reconocer un balanceador de cargas.
  • Detección de la cookie del balanceador: algunos balanceadores utilizan una cookie como método de control; en esta cookie incluso podemos identificar al fabricante.
  • Respuesta de diversas IP: como se describió, algunos dominios tienen varias direcciones IP asociadas; esto es factible detectarlo desde consultas DNS.

Los anteriores fueron algunos ejemplos reales del tipo de información de las organizaciones que se puede identificar en Internet y mucha de esta información puede considerarse de carácter público; sin embargo también posibilita realizar un ataque a la organización.

Para finalizar, les doy algunas recomendaciones de cómo proteger la divulgación de información de nuestra organización:

  • Crear una política de clasificación de información. Cuando una organización sabe clasificar su información en al menos tres niveles, pública, privada y confidencial, no tiene problemas en identificar qué puede publicarse en Internet y qué no.
  • Tener administradores de tecnología que entiendan realmente cómo funcionan las cosas y no simplemente cómo configurarlas. Cuando un administrador logra entender por qué funciona la tecnología de cierta manera, podrán configurarla de acuerdo a la política de seguridad de la organización.
  • Las redes sociales se están convirtiendo en un punto de contacto muy crítico entre las organizaciones y el público en general, por tal razón se deben establecer los lineamientos de la organización respecto de ellas, especificando claramente lo que está permitido para publicación y en qué términos, ya que cualquier comentario que pudiera parecer trivial genera otras connotaciones cuando se expresa como una posición oficial de una organización.
  • Realizar auditorías internas, y por terceros, de nuestra infraestructura, con el fin de medir el nivel de cumplimiento de la política interna.
  • Implementar un sistema de mejora continua, con el fin de garantizar que los niveles de seguridad de la información en la organización siempre mantengan un nivel mínino requerido.

[email protected]