1.- ¿Qué es el footprinting?

Básicamente, consiste en descubrir y recolectar tanta información como sea posible sobre una red objetivo.

> Objetivos

  • Recolectar información de una red en concreto:
    • Nombre de dominio
    • Direcciones IP
    • Servicios TCP y UDP que esten corriendo
    • Protocolos de red
    • Puntos VPN
    • […]
  • Recolectar información de sistema:
    • Nombres de usuarios y grupos
    • Tablas de ruta
    • Contraseñas
    • Tipos de sistemas de acceso remoto
    • […]
  • Recolectar información de la organización:
    • Detalles de empleados
    • Website de la organización
    • Direcciones y números de teléfono
    • […]

2.- Amenazas de Footprinting

  • Los atacantes reúnen información de sistema, como cuentas, S.O. y otras versiones de software, nombres de servidores y detalles del esquema de base de datos.
  • Las amenazas incluyen:
    • Pérdida de negocio
    • Espionaje corporativo
    • Pérdida de privacidad
    • Ingeniería social
    • Ataques de sistema y red
    • Fuga de información

3.- Metodología de Footprinting

3.1.- Internet Footprinting

1.- Buscamos y localizamos URL de la página en un buscador (p. ej Google)

2.- Localizamos posibles host que pueda haber. Para hacer este tipo de búsquedas  podemos usar diferentes herramientas:

  • Usando modificador ‘site‘ de Google:

> (Ejemplo: “site:microsoft.com“)

  • Podemos usar adicionalmente site:XXXXXX.com –site:XXXXXX.com para determinar más hosts posibles.
  • Aparecerá siempre y cuando esté almacenado en Google.

3.- Identificar páginas públicas y privadas

  • Identificar websites públicas y privadas.

4.– Búsqueda de información de empresa

5.- Obtener información geográfica del entorno

  • Recolectar información local y geográfica
  • Herramientas
    • Google Maps

6.- Buscadores de gente

  • Obtener información relevante de las personas como:
    • Dirección de residencia
    • Números de contacto
    • Fecha de nacimiento
    • Dirección Email
    • Fotos por satélite de su residencia
  • Herramientas

7.- Buscadores en Redes Sociales y sitios web de búsqueda de trabajo

  • Facebook
  • Twitter
  • Linkedin

8.- Monitorización de objetivos usando alertas

  • Servicios de monitorización de alertas que notifican automáticamente a los usuarios cuando aparecen nuevos contenidos para una búsqueda
  • Herramientas
    • Google Alerts

> Competitive Intelligence

1.- Información acerca del estado financiero de una empresa

2.- Ofertas de trabajo

  • Se puede obtener información sabiendo qué se demanda en una empresa.
  • Herramientas
    • Infojobs
    • Tecnoempleo

3.- Inteligencia competitiva

  • Que hace una empresa, hacia donde va, que perspectivas tiene, etc.

> WHOIS Footprinting

1.- WHOIS Lookup

  • Las bases de datos WHOIS son mantenidas por registros regionales de Internet y contienen información personal de los propietarios de dominio
  • Herramientas

> DNS Footprinting

  • Existen diferentes tipos de resolución (A, MX, NS, etc)
  • Podemos obtener información muy útil sobre localización y tipos de servidores
  • Herramientas

> Network Footprinting

1.- Localizar el rango de red

  • Encontrar el rango de direcciones IP
  • Utilizar la herramienta de búsqueda ARIN whois database
  • Se puede encontar el rango de direcciones IP y la submáscara de red usado por la organización objetivo del RIR (Regional Internet Registry)
  • Herramientas
    • Comando Tracert (Windows)
    • Comando Traceroute (Unix)
    • 3D Traceroute
    • Path Analyzer Pro

> Análisis de Traceroute

  • Puede usarse traceroute para extraer información acerca de la topología de la red, routers confiables y localización de firewalls
  • El número de la primera columna es el número de salto, posteriormente viene el nombre y la dirección IP del nodo por el que pasa, los tres tiempos siguientes son el tiempo de respuesta para los paquetes enviados (un asterisco indica que no se obtuvo respuesta)
  • Tracert utiliza el campo Time To Live (TTL) de la cabecera IP. Este campo sirve para que un paquete no permanezca en la red de forma indefinida (por ejemplo, debido a la existencia en la red de un bucle cerrado en la ruta).
  • El campo TTL es un número entero que es decrementado por cada nodo por el que pasa el paquete. De esta forma, cuando el campo TTL llega al valor 0 ya no se reenviará más, sino que el nodo que lo esté manejando en ese momento lo descartará.
  • Lo que hace tracert es mandar paquetes a la red de forma que el primer paquete lleve un valor TTL=1, el segundo un TTL=2, etc.
  •  De esta forma, el primer paquete será eliminado por el primer nodo al que llegue (ya que éste nodo decrementará el valor TTL, llegando a cero).
  • Cuando un nodo elimina un paquete, envía al emisor un mensaje de control especial indicando una incidencia. Tracert usa esta respuesta para averiguar la dirección IP del nodo que desechó el paquete, que será el primer nodo de la red.
  • La segunda vez que se manda un paquete, el TTL vale 2, por lo que pasará el primer nodo y llegará al segundo, donde será descartado, devolviendo de nuevo un mensaje de control. Esto se hace de forma sucesiva hasta que el paquete llega a su destino.

> Website Footprinting

1.- Mirroring de un Website

  • Te permite clonar una web y hacer búsquedas a posteriori
  • Herramientas

2.- Obtener información sobre la evolución de una página web

  • Herramientas

> E-Mail Footprinting

1.-Seguimiento de comunicaciones vía Email, acuses de recibo. etc…

> Google Hacking

1.- Operadores avanzados

> Contramedidas Footprinting

  • Configurar routers para restringir respuestas a posibles consultas de footprinting
  • Configurar servidores Web para evitar fugas y des habilitar protocolos de información no buscada
  • Bloquear los puertos con una configuración de firewall adecuada
  • Realizar ataques preventivo s de footprinting para localizar información accesible y bloquear el acceso a esta
  • Desactivar listas de directorio y usar split-DNS