En nuestro caso lo aplicaremos a la hora de realizar una auditoría de seguridad o prueba de intrusión, el primer paso y casi el más importante es la recolección de información, donde deberemos invertir gran parte del tiempo en obtener toda la información relativa que nos sea posible.
En este caso vamos a centrarnos en las redes sociales y cómo aprovechar la información que mucha gente publica a la hora de realizar una prueba de intrusión.
Imaginemos el caso en el que nos encargan una auditoría y nos dan sólo una página web corporativa, entre muchas cosas (que veremos en próximos posts), deberemos enterarnos de la gente que se encarga de la infraestructura informática; para ello normalmente bastará con buscar un poco en la página web a ver si hay correo de contacto de soporte, infraestructuras, seguridad, etc y ponernos en contacto con ellos con cualquier excusa (algún presupuesto o pregunta acerca de servicios) para obtener una respuesta que, en la mayoría de ocasiones, irá con nombre y apellidos, quizá incluya a más gente del grupo en copia, por lo que obtenemos información adicional.
Llegados a este punto tenemos una lista de usuarios que pueden manejar información sensible como pueda ser contraseñas, direcciones IP, acceso a equipos críticos o simplemente como puente para un ataque de ingienería social (a lo mejor en su correo no guarda passwords, pero muchos usuarios contestarán afirmativamente a un correo de alguien de sistemas que solicite su password por haberse quedado inoperativa su cuenta por un cuelgue del sistema o similar).
Lo primero que hemos de hacer es conseguir una lista de passwords que probar, por lo que, una vez añadidas passwords comunes como puedan ser 123456, admin123, etc, deberemos recabar información acerca de la persona como gustos, nombres de mascotas, de pareja, familiares, etc.
Para ello lo mejor suele ser una búsqueda por redes sociales y buscadores, pongo un ejemplo:
De su perfil extraemos varios datos importantes:
- Nombres de familiares
- Contactos (quizá más familiares y/o pareja)
- Sus películas favoritas
- Según el perfil podemos sacar muchas más cosas como colegios, mascotas, viejos amigos, etc
Ahora pasamos a usar la herramienta CUPP (Common User Password Profiler), un script que se basa en prácticas comunes y tendencias de la mente humana a la hora de crear una contraseña que nos resulte fácil de recordar usando para ello recursos de la vida cotidiana o fácilmente recordables para nosotros.
Además de tener varios métodos para descargar wordlist de varias localizaciones y usar reglas con otras existentes tiene un método interactivo basado en algunas preguntas (seguro que alguna pregunta os recuerda a algo...):
Si queremos obtener algunas palabras relacionadas, por ejemplo personajes de Star Wars, podemos usar (aparte de buscadores, claro) los servicios de Google Sets y de Google Square (dichos servicios son muy útiles para múltiples fines).
Y algunas palabras del fichero final (sólo restaría refinarlo y lanzar el ataque):
- Bart041987
- BartSimpson
- Marge198704
Como vemos son patrones comunes en algunos casos, siempre podemos mejorarla añadiendo más información personal y utilizando otro tipo de reglas de modificación, además de que se puede usar la misma técnica para crackear un hash de una persona concreta, preparando una gran base de datos y alimentando un script para que utilice múltiples reglas de modificación y cree una wordlista ún más grande.
Un saludo y espero que lo hayáis encontrado interesante.
No hay comentarios:
Publicar un comentario