Skip to main content

Jugando con la FOCA 2: Metadatos en los ayuntamientos gallegos

Hace unos días asistí al webcast sobre la nueva versión de la FOCA de la gente de Informática 64, aprovecho para darles las gracias desde aquí por la charla que me sirvió para resolver algunas dudas que me surgieron cuando la probé. No voy a explicar los problemas asociados a los metadatos en los documentos, dejo este enlace donde lo explica Chema Alonso para el caso de los formatos de Microsoft Office. Un resumen rápido: todo documento tiene asociada una información relativa a sí mismo y hay herramientas que permiten extraerlos, pero también las hay para limpiarlos, el OOMetaExtractor es GPL :) y los elimina de los tipos de archivo del OpenOffice.

Al terminar el webcast me puse a hacer unas pruebas y por curiosidad se me ocurrió probar con la dirección de la web de mi ayuntamiento y como podía suponer nadie limpia los metadatos de los documentos publicados. A continuación comprobé que en otros ayuntamientos pasaba lo mismo, así como en la web de A Xunta de Galicia. Para tener una idea general de como están las cosas hice un recuento usando los sitios de 8 de los ayuntamientos más importantes y el de A Xunta. Descargué los ficheros en proyectos por separado y después de arrastrar las carpetas que los contenían a la FOCA obtuve los metadatos (Metadata/Extract all documents metadata) y este es el resultado:



Vemos que en Galicia no nos preocupamos por los metadatos, es una pena que no esté disponible la versión 2.0.3 de la FOCA que incorpora el buscador Exalead y encuentra muchos más documentos del tipo WordPerfect, como nos mostró Chema en el webcast . Esta lista muestra el numero de elementos no repetidos para cada categoría, no tendría sentido usar todos estos datos juntos en un test de intrusión ya que son de dominios sin relación ninguna pero si nos permite observar el volumen de datos sensibles que se puede extraer con un par de clicks de tan solo 8 páginas web. Lo que sí nos puede interesar algo más es el software usado para la crear de los documentos:



No pego la lista completa porque alargaría demasiado la entrada, así que dejo algunos:
PDFCreator Version 0.8.0
GNU Ghostscript 7.06
OpenOffice 2.3
Adobe InDesign CS3 (5.0.3)
Adobe PDF Library 8.0
PScript5.dll Version 5.2.2
Acrobat Distillier 7.0
Microsoft Office 95
OpenOffice 3.0
PFU ScanSnap Manager 4.2.14
Microsoft Office 2000
ADOBEPS4.DRV Version 4.50
AppleWorks 6
QuarkXPress
Microsoft Office 2007
CorelDRAW
Corel PDF Engine 14.0.0.567
Microsoft Office 2008 for Mac
Adobe Illustrator 10.0
Adobe InDesign CS3 (5.0.4)
PSCRIPT.DRV Version 4.0
Acrobat Distillier 3.0
Acrobat PDF Writer 3.0 para Windows
Windows NT 4.0
Adobe LiveCycle Designer 8.0
DynaPDF 2.0
PDF Complete version 3.0.31.1
Macromedia FlashPaper 2.02.2302.0
PDFlib 5.0.3
FreeHand MX: pictwpstops filter 1.0
Adobe Photoshop CS3
pdfFactory Pro www.pdffactory.com
pdfFactory Pro 2.35 (Windows XP Professional Spanish)
Adobe Designer 7.0
pdftk 1.41 - www.pdftk.com

Esto no quiere decir que en los ayuntamientos/Xunta esté todo este software instalado, podría ser que el Photoshop sea de un estudio de diseño que es el que hizo el .pdf y que después se cuelgue directamente en la web. Lo que me llama la atención es la cantidad de software propietario distinto que se usa para crear un documento de ofimática cuando se puede hacer todo esto con el OpenOffice, y mejor no hacer comentarios sobre las versiones "Pro"... Esto puede tener dos lecturas, que en la administración usen copias piratas, lo cual estaría muy muy mal por su parte... ;) o que estén tirando nuestro dinero gastando en software que no es necesario, lo que no sería muy entendible teniendo en cuenta la campaña de apoyo al software libre, distribución de Linux inclusive, de A Xunta.

Para acabar la entrada voy a decirle a la FOCA que analice los metadatos extraídos (Metadata/Analize metadata), pero en este caso solo voy a utilizar los del caso de A Xunta ya que, como dije antes, no tiene sentido analizar conjuntamente los de dominios independientes. Quiero remarcar que solo utilizo las funcionalidades de la foca relacionadas con los metadatos, aunque incorpora otras muchas para ayudarnos a pintar una red durante un test de intrusión, este es el resultado:


Ya tendríamos 77 clientes y 3 servidores posibles con su sistema operativo para comenzar una auditoría solo utilizando la información relativa a los metadatos. Y como vemos, mucho software libre por aquí tampoco hay ... :(


Jesús Pérez

Popular posts from this blog

ISO 27001: Inventario de los activos de información

Uno de los primeros pasos que debe seguir la entidad para adaptarse a la norma ISO 27001 es realizar el inventario de activos que contendrá todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI . En un principio puede parecer un poco abrumador para un principiante(como yo) por la enorme cantidad de activos que se te van ocurriendo por eso decidí empezar por clasificarlos de alguna forma, de entre las múltiples maneras que me encontré elijo la definida por los expertos del foro ISO27k ya que me parece la más completa, mostrando ejemplos de cada tipo y es válida para entidades de muy distinta naturaleza. Éste podría ser un buen punto para comenzar siempre teniendo en cuenta lo que nos aconsejan también en ese foro: "Debido a que los activos son algo cambiante, incluso si pudieras cubrir absolutamente todo lo que hay hoy, mañana la situación sería un poco diferente y más en unas semanas, meses o años. Así que

SIP extension enumeration in Bluebox-ng

There are some well known SIP extension enumeration vulnerabilities in different VoIP servers, specially in Asterisk. This brute-force vector is based on the study of the authentication responses of the target server. Sometimes its replies are different in the case that the client uses a valid extension, so it's easy to discover them. This vector is normally classified as a low security risk. Moreover we're moving towards a federated SIP environment , in which the extension is the public email address of the user. But it's still important in some cases: To guide next steps during a penetration test. In example, you can use the discovered extension to reduce the number of attempts in the phase of SIP extensión brute-force. Some RCE (Remote Code Execution) exploits need a valid extension to work. After a little research, these are the known vulns: CVE-2009-3727 : It's quite old and it's practically not present in real environments. It's still not imple

SIP INVITE attack with Metasploit

Some days ago my friend  @pepeluxx  wrote  another post  about INVITE attacks. He spoke about a  @sinologic   project  which allows to everybody passing some security tests to SIP servers. Furthermore he also published a perl script to do the same task. So I implemented it on Metasploit because I think It could be really useful during a pentesting. It’s interesting because these attacks are really dangerous, normally, attackers try to call to expensive locations. This target numbers often have special charges and they make money with this. Here there are two well known examples: http://blog.sipvicious.org/2010/12/11-million-euro-loss-in-voip-fraud-and.html http://snapvoip.blogspot.com.es/2009/02/calls-to-cuba-and-voip-attacks.html I’m not going to deep in this vector because of being a well known (and old!!) one. Basically the attacker tries to make a call using a misconfigured PBX. This is allowed because  SIP RFC  says that an extension has not to be registered to be abl