lunes, 29 de septiembre de 2014

FOCA: EXTRACCIÓN Y ANÁLISIS DE METADATOS.

FOCA.

FOCA (Fingerprinting Organizations with Collected Archives) es una herramienta utilizada principalmente para la extracción y analisis de metadatos e información oculta en los documentos -habitualmente ofimaticos pero no limitados precisamente a estos- alojados en paginas web. 

Anteriormente revisamos Metagoofil cuyas funciones podríamos decir que son similares, pero, muy limitadas en comparación al alcance que ofrece FOCA, con la diferencia de no ser de código abierto. Podríamos decir que FOCA es... Metagoofil con esteroides :P... al menos en el área de extracción de metadatos... No diría que puedo compararla con FOCA directamente ya que como se apreciara FOCA abarca muchísimo mas que Metagoofil.

ALCANCE Y FUNCIONES.

- Nombres de usuario.
- Rutas de archivos.
- Software y versión utilizado en la creación de los archivos.
- Sistema operativo usado en la creación del documento.
- Correos electrónicos encontrados.
- Fechas de creación, modificación de los documentos.
- Impresoras utilizadas
- IPs.
- Web Search.
- DNS Search.
- DNS Prediction.
- Complemento de la información proporcionada por Robtex.

UN PEQUEÑO TOUR.

Podemos descargar la versión final de la FOCA aquí. Despues de descargada, al ejecutarla nos mostrara la siguiente pantalla:


Para empezar a usarla solo tenemos que seguir los siguientes pasos:

1.-Clic en la pestaña de "Project".
2.-Clic en "New Project".
3.-Asignar nombre la proyecto en "Project name".
4.-Asignar el dominio objetivo analizar en "Domain website" (1).
5.-Asignar la carpeta contenedora donde se bajaran los archivos para analizar los metadatos así como la información asociada al proyecto en general.



6.-Seleccionamos "Metadata" en el árbol de la izquierda y acto seguido damos clic en "Search All" para empezar con la detección de los documentos en el dominio ingresado:



7.-Damos clic derecho en la ventana donde se aprecia todos los documentos detectados y procedemos a seleccionar "Download All". Cabe mencionar que podemos limitar el tipo de documentos que queremos analizar marcando o desmarcando las extensiones de los tipos de archivo en la parte superior derecha.



8.-Una vez descargados todos los documentos podemos proceder a la extracción y análisis de los metadatos (entre otras cosas), dando clic derecho y seleccionando "Extract All Metada".



En el árbol visualizado a la izquierda se pueden apreciar a detalle los alcances de FOCA adicionales a la extracción de metadatos (Network, Domain, Roles, Vulenrabilities).  

9.-En la pestaña de "Metadata" podemos explorar la información recabada que corresponde a nombres de usuario, software y su versión, sistema operativo entre otras cosas. Adicional a esto nos agrupa los documentos por tipo y podemos explorarlos individualmente mostrándonos el detalle de metadatos por cada documento.



FOCA es una herramienta muy con figurable y con una gran cantidad de opciones  a explorar:



CONCLUSIÓN.

FOCA como herramienta para recolección de información es muy potente no limitándose simplemente a la extracción de metadatos, yendo mucho mas allá. La herramienta ofrece una gran cantidad e información y solo de abrirla y jugar un par de minutos con ella le dan a uno ganas de tener algún manual elaborado para explotarla al máximo.... eso, o comprar el libro de  @chemaalonso. No... no me dan comisión por la publicidad :P, me da curiosidad el libro. Como limitante podríamos decir que no es multiplataforma, pero, por ahí ya hay un artículo para ejecutarla al menos en Linux usando Wine... Igual supongo se puede ejecutar sobre alguna maquina virtual en Mac sin más problema.

REFERENCIAS.

-https://www.elevenpaths.com/es/labstools/foca-2/index.html
-http://www.elladodelmal.com/2013/12/download-foca-final-version-fear-final.html
-http://www.elladodelmal.com/2008/11/criando-una-foca.html
-http://www.elladodelmal.com/2011/10/foca-3-free-en-descarga-directa.html
-http://www.elladodelmal.com/2011/07/foca-30-el-re-styling-de-la-foca.html
-http://www.dragonjar.org/foca-herramienta-para-analisis-meta-datos.xhtml
-http://www.elladodelmal.com/search/label/FOCA


#FBHT: ¿POR QUE NO FUNCIONA?

EJECUTANDO #FBHT.

Al intentar ejecutar la herramienta la primera sorpresa que nos encontramos al descargar #FBHT  de GitHub y querer empezar a jugar con ella es que... No funciona de buenas a primeras, enviando los siguientes errores:

Linux:

Windows:

¿POR QUE NO FUNCIONA?

Si te hiciste la pregunta anterior y aun no has hecho funcionar la herramienta y quizá estas esperando un detallado how to... probablemente sea justo que evites su uso. Lamentablemente esto no sera un tutorial de como hacerla funcionar -Lo anterior fue solo un asqueroso anzuelo... xD. Por conversaciones en Twitter entre @chinogaawa y @sniferl4bs la herramienta, creo, fue subida intencionalmente con trabas a GitHub, asumo, como mencione en otra entrada referente a esta herramienta, que fue para evitar el uso indiscriminado de parte de script kiddies:


Y en el articulo elaborado por  @sniferl4bs dedicado a #FBHT comenta:

"Estuve pensando realizar un tutorial paso a paso de como hacerlo funcionar, configurar y demostrar su potencial, viendo cada una de las opciones que nos permite realizar,  pero tras un momento de pensar y tomar conciencia de lo potente que es la herramienta decidi dejarlo de lado ya que en las manos equivocadas es una bomba, en pocas palabras seria que dejemos a un mono con Gillet espero comprendan esta razón y no exista alguien que cree dicho tutorial paso a paso."

Y lo recalca en la entrevista @chinogaawa:

"...después de al fin comprender la locura de #FBHT, tomarme un tiempo para ver el código como se debe y profundizar con sus vectores de ataque, de ahí hacer la prueba y ver el impacto del mismo tras ello recién me di cuenta el porque no hacer el tutorial paso a paso"

Honestamente tambien me paso por la cabeza hacer un tutorial de como hacerla funcionar.... en ambos ambientes, Windows y Linux... Pero en ese aspecto concuerdo con ambos, incluso apoyo la sugerencia de @sniferl4bs para agregarle mas complejidad para hacerla funcionar:


Aunque si un poco mañosa para lograr hacerla funcionar, francamente no me pareció realmente complicado... y honestamente no considero mis conocimientos de Python particularmente avanzados-ando trabajando en mejorar eso. La herramienta tiene mucho potencial y des afortunadamente hay mas personas afuera con la intencion de simplemente abusar de de ella que usarla como... alguien que solicito por ahí...  para medios educativos. Esta ultima una petición extraña... la herramienta esta ahí... libre.. gratis... con todo el código abierto, si se quisiera para usos "educativos" se puede estudiar el código perfectamente visible; requerir una demostración o explicación de como hacerla funcionar con intenciones "educativas" resulta mas bien sospechoso e indica que realmente no se le a dedicado un mínimo de tiempo para analizar por que no funciona.

CONCLUSIÓN

Revisando actualmente con un par de consultas parece que todo mundo a llegado a la misma conclusión y nadie a realizado ningún tutorial paso a paso ni especificado los detalles de como hacerla funcionar... asumo que quienes la han hecho funcionar y jugado con ella han concluido lo mismo. Esperemos que  así continué... a fin de cuentas es justo que la herramienta nos cobre un poco de tiempo y un mínimo de conocimiento...:P.

REFERENCIAS

-http://www.sniferl4bs.com/2014/09/fbht-el-enemigo-de-facebook-el-amigo.html
-https://www.mkit.com.ar/blog/facebook-friendly-logout/
-http://www.sniferl4bs.com/2014/09/sniferl4bs-entrevista-chinoogawa.html

KALI LINUX

¿QUE ES?


Kali Linux es una distribución basada en Debian GNU/Linux diseñada principalmente para la auditoria y seguridad informática en general. Su distribución predecesora fue Back Track la cual se descontinuo para dar paso a esta. Kali Linux contiene por si sola toda una colección de herramientas orientadas a la seguridad informática. Se puede descargar su principales versiones en su pagina oficial, aquí y una variedad extra incluyendo imágenes para VMWare y Raspberry aqui. Las imágenes para VMWare no requieren mas gracias que ser cargadas desde VMWare y no requieren en si ningún proceso de instalación, sin embargo, para este caso descarga una imagen estándar y capture el proceso de instalación paso a paso. Las imágenes básicamente se explican por si solas y solo habría una variante en el supuesto de que se tenga la intencion de hacer una instalación con doble boot (escenario que explorare en otra entrada).

PROCESO DE INSTALACIÓN.


El proceso de instalación es bastante intuitivo y realmente no creo que presente dificultad para nadie (recuerdo vagamente cuando instale en las primeras ocasiones Slackware y  Arch... creo que me resulto ligeramente mas enredoso... aunque de eso hace años... ). Esta es la primera pantalla que veremos al arrancar ofreciéndonos la posibilidad de usarlo como live cd - sin necesidad de instalarlo en si:



Selección de idioma:


Selección de localidad (país):





Configuración del idioma para el teclado:



Configuraciones adicionales (host, password, huso horario, selección de partición - en caso de que tengamos mas de una-, etc):


















Casi lista para usar. Despues de terminada la instalación - que no dura mas de 20, 30 minutos según el equipo con el que se cuente- el siguiente paso es proceder a descargar las ultimas actualizaciones.

ACTUALIZANDO KALI LINUX.

Para el proceso de instalación no tiene mas gracia que abrir una terminal e ingresar: 


apt-get update && apt-get upgrade


O si se prefiere ingresar en la siguiente opción:




VMWARE TOOLS

En caso de que se este usando VMWare como software de virtualización - Francamente e tenido una mejor experiencia en comparación con VirtualBox... Cuestión de gustos- lo siguiente recomendable es instalar VMWareTools para mejorar un poco mas nuestra experiencia de virtualización. El proceso es tan sencillo como una simple linea en terminal:

apt-get install open-vm.toolbox


Otra serie de pasos - algo mas complicados- para instalar las VMWareTools se encuentran aquí

CONCLUSIÓN.

Si se tiene un buen interés en aprender algo de seguridad informática, esta distro es ideal, conteniendo ya de forma predeterminada un excelente conjunto de herramientas usadas en el medio. Si se quiere profundizar en poco en sus herramientas la OMHE cuenta con un buen conjunto de tutoriales al respecto. Existen un par de distro mas que tambien están enfocadas a esto algunas concentrándose en otras áreas mas que otras como:

-DEFT
-Pentoo

Entre otras. De las anteriores e explorado superficialmente DEFT y Network Scurity Toolkit, ambas interesantes... particularmente DEFT.  Por ultimo, solo me queda comentar que, si esta entrada en el blog tuviera solo una imagen más... seria ridículo... xD.

REFERENCIAS.

-http://www.kali.org/
-http://es.wikipedia.org/wiki/Kali_linux
-http://www.backtrack-linux.org/
-http://www.offensive-security.com/kali-linux-vmware-arm-image-download/
-http://searchservervirtualization.techtarget.com/definition/VMware-Tools
-http://www.omhe.org/

jueves, 25 de septiembre de 2014

METAGOOFIL: EXTRACTOR DE METADATOS

METADATOS.

El concepto de metadatos varia un poco. Googleando el asunto pueden entronarse definiciones como:

"...literalmente «sobre datos», son datos que describen otros datos..."

"...metadato es toda aquella información descriptiva sobre el contexto, calidad, condición o características de un recurso, dato u objeto que tiene la finalidad de facilitar su recuperación, autentificación, evaluación, preservación y/o interoperabilidad...."

"...es más que un dato estructurado sobre la información, o sea, información sobre información, o de forma más simple, datos sobre datos..."


En esencia es lo mismo... datos de los datos... En este particular contexto datos que podemos encontrar detrás de documentos específicamente en los formatos  pdf,doc,xls,ppt,docx,pptx y xlsx.

METAGOOFIL.

Metagoofil puede ser descargado aquí. Procedí a probar la herramienta y opte por bajar la versión metagoofil-2.2.tar.gz, pero, me tope con un par de problemas al intentar ejecutarla y buscando no encontré muchas soluciones (tampoco busque mucho que digamos :P).  En uno de los foros recomendaban simplemente tomar la versión blackhat, metagoofil-2.1_BH2011_Arsenal.tar.gz, lo que realice y se ejecuto sin problemas. No tiene mas gracias que simplemente descomprimir los archivos posicionarse en el directorio contenedor y ejecutar:


Aunque se ejecuto de forma "correcta", marco problemas en la descarga de los archivos:



Buscando un poco observe que al parecer era un problema algo común. Encontré una solucion sugerida aquí. El correctivo implica cambiar en el archivo downloader.py la linea:


self.url=url por self.url=url.replace("/url?q=", "", 1).split("&amp")[0]



Realizado el cambio procedí a ejecutar de nuevo sin problemas:


En Kali Linux no fue necesaria ninguna corrección. Aquí como en Windows es necesarios posicionarnos en el directorio contenedor (usr/share/metagoofil):






Revisemos un poco los parámetros que usa:

-d: Dominio para buscar
-t: Archivo a descargar(pdf, doc, xls, ppt, odp, ods, docx, xlsx, pptx)
-l: Límite de los resultados de la búsqueda (por defecto 200)
-h: Trabajo con documentos en el directorio (uso “sí” para el análisis local)
-n: Límite de archivos para descargar
-o: Directorio de trabajo
-f: Archivo de salida

A modo de ejemplo lo ejecutaríamos de la siguiente forma:

python metagoofil.py -d dominio_objetivo.com -t pdf,doc,docx,xls,xlsx -l 10 -n 5 -o C:\Dwl -f C:\Dwl\Data.html

Desglosándolo:

python metagoofil.py 
-d dominio_objetivo.com - Sitio de empresa. organización... lo que sea, a revisar.
-t pdf,doc,docx,xls,xlsx - Buscaremos por archivos de Excel, Word y PDF´s.
-l 10 - Solo tomaremos los primeros 10 resultados.
-n 5 -Descargaremos solo los primeros 5 archivos encontrados.
-o C:\Dwl -Directorio de trabajo. Donde se descargaran los archivos.
-f C:\Dwl\Data.html - Nombre de creación y asignación para el reporte.

El resultado queda almacenado en un archivo HTML que nos presenta los siguientes detalles:

-Nombres de usuario.
-Versiones de software.
-E-mails.
-Rutas de archivos.
-Detalle por archivo.

Información que puede ser usada como reconocimiento para preparar ataques de fuerza bruta o buscar vulnerabilidades en base a las versiones de software... entre otras cosas.

CONCLUSIÓN.


Metagoofil es excelente para la extracción de metadatos si consideramos que, escrita en Python permite su uso en distintos sistemas operativos. Me me resulto un poco limitada comparándola con FOCA, lo que no puedo evitar ya que jugué primero con ella :P. Aun así me decidí por probar esta herramienta debido a que ando un poco entrado en Python y desbaratar código y estudiarlo me ayuda... me regresa a mi infancia donde solía desbaratar autos a control remoto, radios, mini videojuegos (de esos baratos como este...) y demás cosas- que tire la primera piedra quien en algún punto no desarmo su control de nintendo para "limpiarlo" por que los botones ya no funcionaban igual).Personalmente para una tarea de extracción de metadatos me quedaría con FOCA... de la que después hablare.

REFERENCIAS:

-https://code.google.com/p/metagoofil/
-https://metagoofil.googlecode.com/files/metagoofil-2.2.tar.gz
-http://www.edge-security.com/metagoofil.php
-http://www.elladodelmal.com/2009/05/libextractor-metagoofil-foca.html
-http://www.hipertexto.info/documentos/metadatos.htm
-http://es.wikipedia.org/wiki/Metadato
-http://www.sedic.es/autoformacion/metadatos/tema1.htm
-http://www.backtrack-linux.org/forums/showthread.php?t=56868
http://christophermcarver.wordpress.com/tag/metagoofil-py/

martes, 23 de septiembre de 2014

TINFOLEAK: RECOLECTANDO INFORMACION DE USUARIOS DE TWITTER

TINFOLEAK


Tinfoleak es un script desarrollado en Python por Vicente Aguilera Diaz (@VAguileraDiaz) ofreciendo la siguiente información:

-Información básica sobre el usuario (nombre, foto, seguidores, localización, etc.).
-Dispositivos y sistema operativos usados por el usuario.
-Aplicaciones y redes sociales usadas por el usuario.
-Lugar y geolocalización coordinados para genera un mapa de seguimientos sobre localidades visitadas
-Mostrar los tweets del usuario en Google Earth.
-Hashtags usados por el usuario así como la fecha y hora de cuando fueron usados
-Menciones realizadas por el usuario así como  la fecha y hora de cuando fueron realizadas.
-Tópicos usados por le usuario.

 La herramienta puede ser descargada aqui, lo anterior solo es una traducción de lo que se muestra en la pagina del autor. Una vez descargado el script necesitamos un par de cosas antes de echarlo a andar.

PRE REQUISITOS.

1.-Descargar Tweepy (Libreria de Python para la API de Twitter) aquí.
2.-Proceder a su instalación no requiere mas gracias que posicionarnos en el directorio donde ubicamos Tweepy e ingresar (se asume que ya se cuenta con Python ¬_¬):


3.-Solicitar una API a Twitter ingresando aquí. Es necesario generar los Acces Token.
4.-Procedemos a abrir el archivo tinfoleak.py con cualquier editor de texto y modificamos la siguiente sección:


Ingresando los datos que obtuvimos de la API:


Y guardamos los cambios. Estamos listos para probar.



ALGUNOS EJEMPLOS...

Probemos algunas de sus diversas opciones.

Dispositivos usados por el usuario: python tinfoleak.py -n <usuario> -st


Geolocalización: python tinfoleak.py -n <usuario> -geo



Menciones y su respectiva fecha:  python tinfoleak.py -n <usuario> -m




Entre algunas otras. En el mismo script se anexan un par de ejemplos al final. De manera desglosada los parámetros son los siguientes:


 [-n|--name] username 
 [-c|--count] count 
 [-t|--time] 
 [-b|--basic] 
 [-s|--source] 
 [-h|--hashtags] 
 [-m|--mentions] 
 [-g|--geo] geofile 
 [--stime] stime 
 [--etime] etime 
 [--sdate] sdate 
 [--edate] edate 
 [-f|--find] word 
 [-p|--pics] images  
 [-o|--output] file

CONCLUSIÓN.

Como herramienta OSINT me parece muy interesante y con gran potencial. Con un poco de imaginación se podria sacar mucha información de un usuario derivada de las actividad deduciendo tendencias, gustos,  lugares que frecuenta e incluso patrones de sueño (asumiendo que sea un usuario muy activo, los espacios de inactividad van a ser amplia mente notables en un largo numero de tweets... aunque claro... creo que esto solo seria para algún twitter fan...) entre otras cosas, en particular en usuarios con una cuenta muy activa. ¿Para que se usaría esta información?.... Bueno... eso ya depende de cada quien... De buenas a primeras esto parece tener su aplicación directa en mercadotecnia (si se aplica de una forma global.... aunque parece algo pesado) y para casos en los que se quiera usar ingeniería social. De ahí en fuera... bueno... supongo que es cosa de tiempo para que a alguien se le ocurran otro usos menos evidentes pero no menos interesantes. 

REFERENCIAS:

-http://vicenteaguileradiaz.com/tools/
-https://github.com/tweepy/tweepy
-https://twittercommunity.com/t/how-to-get-my-api-key/7033