Informe «Pentest: Recolección de información (Information Gathering)»

Este informe pretende ayudar a técnicos de seguridad a implementar medidas preventivas que permitan mitigar ataques cuyo origen principal es la carencia de políticas de seguridad sobre el control de la información.

El éxito de muchos de los ataques e intrusiones que sufren empresas y organizaciones se debe, en gran parte, a la cantidad de información que, directa e indirectamente, un atacante es capaz de obtener sobre sus sistemas. Durante esta fase, el atacante, haciendo uso de diversas técnicas y herramientas obtiene nombres de dominio, rangos de red, servicios de máquinas, sistemas operativos, metainformación de documentos públicos, etc. Todo ello información con la que más adelante podrá llevar a cabo un ataque más específico. Una vez más, el dicho «la Información es poder» se ratifica, y esto es algo que conocen muy bien los cibercriminales, ya que son conscientes que a mayor cantidad de información, mayor probabilidad de éxito tendrá un ataque posterior. Se propone, como ejemplo, el siguiente caso.

Un atacante tiene intención de comprometer los servidores de la compañía IIIVOIP, empresa dedicada a la venta de teléfonos IP. Para ello, comienza investigando información sobre su dominio, servidores DNS, máquinas activas, páginas web, etc. anotando las relaciones que comparte con otras empresas y diseñando un mapa de red con los rangos IP que comprende la compañía. Para ello, emplea herramientas como jwhois, la suit Bile, nmap, dig, etc. Más adelante, utiliza Maltego y Theharvester para intentar localizar información sobre empleados que trabajan en la organización. En un instante, encuentra múltiples cuentas de correos de algunos de sus empleados así como foros de debate en los que participan activamente y donde se discuten las ventajas y desventajas que tienen sus productos frente a los de la competencia. Posteriormente, utiliza la Foca para obtener metainformación de documentos ofimáticos que se encuentran colgados en el dominio IIIVOIP.com. Tras unos minutos, es capaz de conseguir listados de usuarios, direcciones IP internas de la compañía, sistemas operativos, rutas a recursos internos, etc.

Con toda esta información, el ciberdelincuente planifica su ataque. Por un lado, utiliza SET (Social Engineer Toolkit) para configurar un clone-site attack) mediante un Applet firmado en Java. Posteriormente, redacta un correo electrónico destinado a uno de los empleados en el que anima al mismo a que haga clic en una URL adjunta donde podrá consultar los detalles de un nuevo teléfono VOIP. Además, para mayor credibilidad, falsifica el remitente del correo usurpando el dominio de una de las empresas con las que frecuentemente colabora.

El empleado, tras leer el correo abre la URL y acepta el certificado firmado. Acto seguido, el atacante obtiene una shell con la que más adelante podrá seguir escalando su ataque a otros equipos internos de la compañía. Éste es solo un ejemplo de cómo un ciberdelicuente, haciendo uso de información prácticamente pública, puede comprometer una compañía.

Por ello, con objeto de concienciar a administradores y técnicos de seguridad sobre los métodos que utilizan los ciberdelicuentes para recopilar información sobre entidades y organizaciones, y ayudar en la protección de la información y los sistemas, INTECO-CERT y el CSIRT-cv de la Generalitat Valenciana han colaborado para generar el informe «Pentest: Recolección de Información (Information Gathering)»

El informe se encuentra disponible en la siguiente dirección web:

 «Pentest: Recolección de información (Information Gathering)»

 Fuente