HARD CORE SECURITY LAB

Jednym z ciekawszych zastosowań Google hackingu może się okazać poszukiwanie dokumentów zawierających interesujące metadane. W dzisiejszej, cyfrowej rzeczywistości, większość organizacji generuje, przechowuje i archiwizuje swe dane w postaci digitalnej. Rodzi to pewne niespotykane w przypadku zwykłych dokumentów zagrożenia. Zagrożenia te są związane z pewną charakterystyczną cechą informacji cyfrowej, mianowicie z jej, często niewidocznymi na pierwszy rzut oka, dodatkowymi atrybutami. Dodatkowe informacje charakteryzujące informację właściwą, takie jak data utworzenia czy też ostatniej modyfikacji, nazywamy metadanymi (ang. metadata). Takie dane o danych, bo tak właśnie można najkrócej scharakteryzować te struktury, stanowią właśnie dodatkowy problem w dziedzinie bezpieczeństwa informacji, niespotykany praktycznie w przypadku danych konwencjonalnych. Metadane, mimo że jak pokażę, mogą się przyczynić do bardzo poważnego wycieku danych, są zazwyczaj ignorowane w procedurach bezpieczeństwa informatycznego.

Jak się okazuje, metadane mogą zawierać informacje personalne, adresy poczty e-mail, numery telefonów, nazwy komputerów, serwerów, drukarek i udziałów sieciowych (np. zawarte w ścieżkach do katalogów), a nawet poświadczenia! Biorąc pod uwagę to, że wiele organizacji publikuje w Internecie setki dokumentów zawierających ogromną ilość metadanych, od razu na myśl przychodzi Google hacking. Wszakże wystarczy tylko za pomocą odpowiedniego zapytania odnaleźć dokumenty opublikowane przez interesującą nas organizację i przeanalizować zawarte w nich metadane. Ręczne przeszukiwanie setek lub tysięcy dokumentów nie jest jednak zbyt wygodne. Okazuje się jednak, że istnieją świetne narzędzia automatyzujące Google hacking zorientowany na metadata harvesting.

Jednym z najciekawszych narzędzi do zautomatyzowanego odnajdowania oraz analizowania metadanych zawartych w dokumentach udostępnianych przez interesujące nas organizacje, jest FOCA. Program ten, który niedawno ukazał się w wersji 2.0, pozwala dla zadanej domeny (organizacji) na zautomatyzowane odnalezienie i przeanalizowanie wszystkich ważnych z punktu widzenia bezpieczeństwa metadanych.

Pierwszy etap stanowi utworzenie nowego projektu, na tym etapie określamy interesujące nas domeny (organizacje) oraz folder do którego pobrane zostaną odnalezione dokumenty:
Następnie FOCA odnajdzie wszystkie potencjalnie interesujące dokumenty, za pomocą zapytań kierowanych do wyszukiwarek Google oraz Bing:
Jak widać, w tym konkretnym przypadku udało nam się odnaleźć aż 2870 dokumentów zawierających potencjalnie interesujące metadane. Korzystając z opcji Download All pobierzmy wszystkie dokumenty. Gdy wszystkie pliki zostaną już pobrane, będziemy wreszcie mogli skorzystać z opcji Extract All Metadata. Zobaczmy co udało się wydobyć z tych 2742 dokumentów:
Jak widzimy, udało się więc odnaleźć wiele informacji personalnych, setki nazw folderów oraz udziałów sieciowych, nazwy drukarek, wiele informacji na temat wersji oprogramowania oraz szereg adresów poczty e-mail.

Z pewnością dzięki temu przykładowi, możliwości programu FOCA zrobią na wielu osobach ogromne wrażenie, jednak to nie koniec. Otóż w zakładce Network data odnajdziemy również ogromne ilości informacji na temat struktury analizowanej domeny oraz poszczególnych maszyn pracujących w jej ramach:
Powyższe informacje program FOCA zdobywa za pomocą technik takich jak Domain Enumeration, czy też transfer stref DNS (ang. DNS zone transfers), jak i po prostu odpytując wyszukiwarki internetowe.

Myślę, ze nikt już nie ma wątpliwości, że narzędzia takie jak FOCA mogą być niezwykle przydatne do przeprowadzania rekonesansu przed właściwym testem penetracyjnym. Osoba przeprowadzająca taki test będzie w stanie nie tylko wskazać potencjalne zagrożenia związane z wyciekami newralgicznych metadanych, ale również pozna wiele interesujących informacji na temat potencjalnych celów do dalszych właściwych ataków testowych. Zachęcam wiec do zapoznania się z możliwościami tego świetnego narzędzia i sprawdzenia własnych organizacji i sieci pod kątem udostępnianych światu metadanych!

Artykuł autorski HCSL - Wojciech Smol