Regalar las llaves al reino: más vectores OSINT

0
16
views

Mejora tu posicionamiento en las redes sociales con COOMMU!



<div _ngcontent-c14 = "" innerhtml = "

Foto tomada en Ciudad del Cabo, Sudáfrica Getty

Continuaré la discusión sobre la inteligencia de código abierto (OSINT) y cómo se relaciona con información que las empresas sin saberlo y están dispuestas a proporcionar. En el artículo anterior hablé sobre lo que generalmente es OSINT, haciendo una investigación profesional de OSINT y para la competencia, los nombres de usuario y las direcciones de correo electrónico. Para una mayor composición sobre la definición de OSINT, La CIA define OSINT como " La información no tiene que ser secreta para que sea valiosa. Ya sea en los blogs que navegamos, en las transmisiones que vemos o en las revistas especializadas que leemos, existe una cantidad infinita de información. que contribuye a nuestra comprensión del mundo. " La definición cita a OSINT como recopilada de " Internet, medios de comunicación tradicionales (por ejemplo, televisión, radio, periódicos, revistas), revistas especializadas, procedimientos de conferencias. ngs, y estudios de think tanks, fotos e información geoespacial (por ejemplo, productos de imágenes comerciales y mapas). "

Si una empresa tiene un servidor web, proporciona algunos OSINT. Este servidor tiene un sistema operativo, una aplicación de servidor web, un lenguaje de scripting y algunos códigos. Esta información puede ser utilizada por un atacante para determinar las tecnologías y evaluar vulnerabilidades. Los atacantes no quieren " grabar " una vulnerabilidad de Windows IIS (Internet Information Services) en una instancia de Apache o nginx & nbsp; que se ejecuta en Linux o UNIX o viceversa. Tomarse el tiempo para enumerar la tecnología ayudará al atacante a permanecer más sigiloso. Esta es otra razón para practicar el manejo agresivo y holístico de la vulnerabilidad. En el caso de Equifax, la vulnerabilidad de Apache Struts utilizada para obtener acceso en su 2017 brecha de datos era accesible a través de la Internet pública. La vulnerabilidad específica también se puede enumerar utilizando las técnicas OSINT en la Internet pública.

La fuente (código en bruto) de los sitios web también puede proporcionar una valiosa OSINT a los atacantes. Al competir en la ingeniería social Capture the Flag (SECTF) en DEFCON 26, estaba buscando en el sitio web de mi empresa objetivo y el código fuente de cada página. Me las arreglé para encontrar una página que no solo incluía comentarios para explicar por qué estaba codificada tal como estaba (no estoy diciendo que el código de comentarios sea malo) sino que también incluía una caja emergente codificada que proporcionaba las recetas para los nombres de usuario y las contraseñas en función de cada rol.

 

Combine esto con el archivo robots.txt que se usa para decirle a las arañas de Google, Bing y otros motores de búsqueda lo que se debe y no se debe indexar, y un atacante malicioso puede enumerar sitios web, tecnologías, usuarios y directorios poco conocidos. ser descubierto usando otros métodos que probablemente no sean detectados. Sí, el uso de herramientas de enumeración de directorios web como dirb, dirbuster y nikto & nbsp; descubriría la mayoría de estos recursos, pero también generará ruido y brindará a los defensores la oportunidad de detectar dicha actividad.

Reanudar sitios, sitios de carrera y puestos de trabajo. Las personas desean compartir lo que han estado trabajando en un esfuerzo por ser contratados para sus siguientes puestos. Las empresas desean agilizar el proceso de contratación para los posibles empleados y solo desean los currículos de los candidatos calificados, por lo que tienden a publicar software, hardware, tecnologías y números de versión específicos en las ofertas de trabajo para que los solicitantes de empleo puedan saber si están capacitados con esa versión. En lugar de listar las computadoras portátiles Mac Book Pro y el uso de Oracle ERP versión 12.2.4 en una lista de páginas de carreras, una empresa podría decir algo al efecto de " Los empleados pueden elegir entre computadoras de gama alta, computadoras portátiles con Linux o Competencia de sistemas Apple " y ": experiencia con Oracle, SAP u otro sistema ERP " con una nota a HR para buscar la palabra Oracle en los currículos. Pude enumerar los sistemas telefónicos utilizados por una empresa objetivo porque un empleado mencionó la actualización de Avaya a Cisco Phones (así como la versión del software Cisco VOIP utilizada) en su currículum.

Una fuente que las empresas tienen casi No hay control sobre los datos geoespaciales. Esto se proporciona mediante herramientas de mapeo como Google Maps / StreetView o BingStreetside. El límite de control que las empresas pueden aprovechar con este aspecto se basa en la colocación de puertas, plataformas, basureros y otras cosas que podrían ayudar a un atacante a obtener una ventaja. Si estas cosas se pueden colocar detrás de una cerca u ocultarse de las carreteras y calles cercanas, será más difícil para los atacantes ubicar las instalaciones desde lejos (donde los guardias de seguridad no pueden verlas). Un simple pretexto es hacerse pasar por la compañía de contenedores de basura y afirmar que hay un problema con el contenedor de basura y si & nbsp; el atacante no puede inspeccionarlo, la basura de la compañía puede no ser recogida. Si el atacante conoce al proveedor, puede disfrazarse de empleado y usar la jerga de la compañía.

En conclusión, debería estar empezando a ser evidente que esta información no puede erradicarse completamente, a diferencia de las vulnerabilidades en el software que se puede parchear. Una de las principales técnicas de mitigación para esto es educar a todos los empleados y contratar periódicamente una organización para evaluar la presencia de la empresa. La razón por la que recomiendo contratar a alguien es que a veces las cuentas personales de los empleados serán analizadas y es mejor para todas las partes si hay un tercero que analice la información y solo proporcione los datos más relevantes a la empresa. Desde la perspectiva de la compañía, esto evitará cualquier posible traición de confianza entre la empresa y sus empleados.

">

Foto tomada en Ciudad del Cabo, Sudáfrica Getty

Continuaré la discusión sobre Inteligencia de código abierto (OSINT) y cómo se relaciona con la información que las compañías sin saberlo y voluntariamente proporcionan. En el artículo anterior hablé sobre qué es OSINT en general, haciendo una investigación OSINT profesionalmente y para la competencia, nombres de usuario y direcciones de correo electrónico Para aumentar aún más la definición de OSINT, la CIA define a OSINT como "La información no tiene que ser secreta para ser valiosa. "Ya sea en los blogs que navegamos, en las transmisiones que vemos o en las revistas especializadas que leemos, hay una fuente inagotable de información que contribuye a nuestra comprensión del mundo". La definición cita a OSINT como recopilada de "internet, tradicional medios masivos (por ejemplo, televisión, radio, periódicos, revistas), revistas especializadas, actas de congresos y estudios de think tanks, fotos e información geoespacial (por ejemplo, mapas y productos de imágenes comerciales). "

Si una empresa tiene un servidor web, proporciona algún OSINT. Este servidor tiene un sistema operativo, una aplicación de servidor web, un lenguaje de programación y un código. Esta información puede ser utilizada por un atacante para determinar las tecnologías y evaluar vulnerabilidades. Los atacantes no quieren "quemar" un Windows Vulnerabilidad de IIS (Internet Information Services) en una instancia de Apache o nginx que se ejecuta en Linux o UNIX o viceversa. Tomarse el tiempo para enumerar la tecnología ayudará al atacante a permanecer más sigiloso . Esta es otra razón para practicar el manejo agresivo y holístico de la vulnerabilidad. En el caso de Equifax, la vulnerabilidad de Apache Struts utilizada para obtener acceso en su 2017 brecha de datos era accesible a través de la Internet pública. La vulnerabilidad específica también se puede enumerar utilizando las técnicas OSINT en la Internet pública.

La fuente (código en bruto) de los sitios web también puede proporcionar una valiosa OSINT a los atacantes. Al competir en la ingeniería social Capture the Flag (SECTF) en DEFCON 26, estaba buscando en el sitio web de mi empresa objetivo y el código fuente de cada página. Me las arreglé para encontrar una página que no solo incluía comentarios para explicar por qué estaba codificada tal como estaba (no estoy diciendo que el código de comentarios sea malo) sino que también incluía una caja emergente codificada que proporcionaba las recetas para los nombres de usuario y las contraseñas en por rol.

Combine esto con el archivo robots.txt que se usa para decirle a las arañas de Google, Bing y otros motores de búsqueda qué hacer y qué no indexar, y un atacante malicioso puede enumerar sitios web, tecnologías y usuarios desconocidos. y directorios que normalmente no se descubrirían con otros métodos que probablemente no se detectarían. Sí, la confusión y el uso de herramientas de enumeración de directorios web como dirb, dirbuster y nikto descubrirían la mayoría de estos activos, pero también generarán ruido y brindarán a los defensores la oportunidad de detectar dicha actividad.

Se resumen más fuentes de valiosos OSINT Sitios, sitios de carrera y puestos de trabajo. Las personas desean compartir lo que han estado trabajando en un esfuerzo por ser contratados para sus siguientes puestos. Las empresas desean agilizar el proceso de contratación para los posibles empleados y solo desean los currículos de los candidatos calificados, por lo que tienden a publicar software, hardware, tecnologías y números de versión específicos en las ofertas de trabajo para que los solicitantes de empleo puedan saber si están capacitados con esa versión. En lugar de listar las computadoras portátiles Mac Book Pro y el uso de Oracle ERP versión 12.2.4 en una lista de páginas de carreras, una empresa podría decir algo al efecto de "Los empleados pueden elegir entre computadoras de gama alta, computadoras portátiles con Linux o sistemas Apple. "y" Competencia: experiencia con Oracle, SAP u otro sistema ERP "con una nota a Recursos Humanos para buscar la palabra Oracle en los currículos. Pude enumerar los sistemas telefónicos utilizados por una empresa objetivo porque un empleado mencionó la actualización de Avaya a Cisco Phones (así como la versión del software Cisco VOIP utilizada) en su currículum.

Una fuente que las empresas tienen casi No hay control sobre los datos geoespaciales. Esto se proporciona mediante herramientas de mapeo como Google Maps / StreetView o BingStreetside. El límite de control que las empresas pueden aprovechar con este aspecto se basa en la colocación de puertas, plataformas, basureros y otras cosas que podrían ayudar a un atacante a obtener una ventaja. Si estas cosas se pueden colocar detrás de una cerca u ocultarse de las carreteras y calles cercanas, será más difícil para los atacantes ubicar las instalaciones desde lejos (donde los guardias de seguridad no pueden verlas). Un simple pretexto es hacerse pasar por la compañía de contenedores de basura y afirmar que hay un problema con el contenedor de basura y si el atacante no puede inspeccionarlo, es posible que la basura de la compañía no sea recogida. Si el atacante conoce al proveedor, puede disfrazarse de empleado y usar la jerga de la compañía.

En conclusión, debería estar empezando a ser evidente que esta información no puede erradicarse completamente, a diferencia de las vulnerabilidades en el software que se puede parchear. Una de las principales técnicas de mitigación para esto es educar a todos los empleados y contratar periódicamente una organización para evaluar la presencia de la empresa. La razón por la que recomiendo contratar a alguien es que a veces las cuentas personales de los empleados serán analizadas y es mejor para todas las partes si hay un tercero que analice la información y solo proporcione los datos más relevantes a la empresa. Desde la perspectiva de la empresa, esto evitará posibles traiciones de confianza entre la empresa y sus empleados.



Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here