Footprinting and Reconnaissance. Detección fallos de seguridad. Parte I

El primer paso en la evaluación de la seguridad de la infraestructura informática de una organización objetivo es el “footprinting” and Reconnaissance. Mediante este mecanismo, se puede reunir la máxima información sobre un sistema informático o una red, y sobre cualquier dispositivo conectado a esa red.

¿Qué es el footprinting?

Como hemos comentado, el “footprinting” es el primer paso como fase preparatoria para el atacante, que necesita reunir la mayor cantidad de información posible para encontrar fácilmente formas de intrusión en la red objetivo. De ahí viene la importancia de “autoevaluarnos”, para saber qué información van a disponer los atacantes como primer paso.

Así, utilizando el “footprinting”, pueden encontrar una serie de oportunidades para evaluar y penetrar en la red de la organización objetivo. No existe una metodología única, ya que la información puede rastrearse de varias maneras. Sin embargo, la actividad es importante, ya que es necesario reunir toda la información crucial sobre la organización objetivo antes de comenzar la fase de hackeo.

Por esta razón, el “footprinting” debe llevarse a cabo de forma organizada. La información recopilada en este paso ayuda a descubrir las vulnerabilidades existentes en la red objetivo y a identificar diferentes formas de explotar estas vulnerabilidades.

Tipos de “footprinting”

Puede clasificarse en “footprinting” pasivo y “footprinting” activo. En los siguientes artículos nos centraremos en el pasivo, el cual implica la recopilación de información sobre el objetivo sin interacción directa. Es útil principalmente cuando las actividades de recopilación de información no deben ser detectadas por el objetivo. Realizar el “footprinting” pasivo es técnicamente difícil, ya que no se envía tráfico activo a la organización objetivo desde un host o servicios anónimos a través de Internet. Sólo podemos recopilar información archivada y almacenada sobre el objetivo utilizando motores de búsqueda, sitios de redes sociales, etc.

Al ejecutar el ““footprinting”” en diferentes niveles de la red, se puede obtener información como bloques de red, direcciones IP específicas, detalles de los empleados, etc. Esta puede ayudar a los atacantes a acceder a datos sensibles o a realizar diversos ataques en la red objetivo.

Información a nivel de red

Se puede recopilar información de la red realizando un análisis de la base de datos Whois, rastreando el enrutamiento, etc. La información recopilada a nivel de red puede incluir:

• Dominio y subdominios
• Bloques de red
• Topología de red, routers cortafuegos
• Direcciones IP de los sistemas alcanzables
• Registros Whois
• Registros DNS e información relacionada

Información a nivel de sistemas

Se puede obtener información del sistema realizando un “footprinting” en la red, en un DNS, en un sitio web, en el correo electrónico, etc. La información recopilada a nivel de sistemas puede incluir:

• Sistema operativo del servidor web
• Ubicación de los servidores web
• Direcciones de correo electrónico disponibles públicamente
• Nombres de usuario, contraseñas, etc.

Utilizando una combinación de herramientas y técnicas, los atacantes pueden tomar una entidad desconocida (por ejemplo, la Organización X) y reducirla a un rango específico de nombres de dominio, bloques de red y direcciones IP individuales de sistemas directamente conectados a Internet, así como muchos otros detalles relativos a su seguridad.

Asimismo, los atacantes pueden construir su propia base de datos de información sobre las debilidades de seguridad de la organización objetivo. Esta BBDO puede ayudar a identificar el eslabón más débil del perímetro de seguridad de la organización.

En las siguientes entregas veremos de dónde se puede extraer esa información pública para poder comprobar qué información se dispone en Internet de nuestra organización. Sabiendo esto, podemos mejorar y prevenir posibles inicios de ataques de nuestra organización.