FOCA 2.

5 Free Manual de Usuario

Mucho ha ido creciendo la FOCA desde que comenz siendo una herramienta de anlisis de metadatos para dibujar una red a partir de los metadatos. En este manual se intentar realizar un recorrido de todas las opciones y el funcionamiento de la herramienta en cada momento. Panel de Documentos Esta es la parte que para muchos de vosotros ser mucho ms familiar, en ella se descargan y se busca informacin de los siguientes tipos de ficheros: - MS Office: doc, docx, xls, xlsx, ppt, pptx, ppsx y pps - Open Office: odf, ods, odt, odp, sxw, swi y sxc - Adobe: pdf, indd - Otros: wpd, svg y svgz Para que se habilite esta opcin, es necesario crear un proyecto.

Figura 1: Creacin de un proeyecto con la FOCA 2.5 Estos documentos se buscan utilizando tres posibles buscadores que son Google, Bing y Exalead. La suma de los tres buscadores, en muchos casos, consigue un gran nmero de documentos. Ninguno de los buscadores ofrece el 100% de los documentos en la mayora de los casos, y, ni la suma de los 3 garantiza ese objetivo, pero s que se mxima el resultado. En cualquier bsqueda se puede elegir el tipo de ficheros y el motor a utilizar. Hay que tener en cuenta que Exalead no ofrece comandos como Google, que buscar por extensin o que BING no reconoce todos los filetypes, por lo que, la mejor opcin es seleccionar el tipo de documento y dejar que la FOCA realice la bsqueda por los tres motores.

Figura 2: Bsqueda de ficheros FOCA 2.5 Si se realizan muchas bsquedas con Google, es posible que aparezca un captcha de Google, la FOCA mostrar entonces el Captcha para que el usuario introduzca el valor correcto y pueda continuar buscando documentos. Aadir ficheros Manualmente FOCA no slo trabaja con ficheros buscados a travs de los motores, y es posible aadir una carpeta o un fichero, simplemente arrastrando la carpeta o el fichero a FOCA o, usando las opciones de men contextual del botn derecho del ratn. Si se aaden ficheros locales de esta forma, es posible tambin extraer la informacin EXIF de archivos grficos. En la versin Online de la FOCA es posible subir ficheros ofimticos o ficheros grficos para analizar sus metadatos. Tambin se pueden aadir ficheros remotos, utilizando la opcin de aadir URL de tal manera que la FOCA descargar tambin ese fichero. Personalizar la bsqueda de ficheros Por defecto la FOCA busca ficheros que tienen que ver slo con el dominio principal del proyecto y sin poner ninguna otra restriccin que el tipo de ficheros. En el caso de querer aadir ms ficheros al anlisis, por ejemplo de ms de un dominio, es posible cambiar los parmetros de bsqueda de ficheros de la FOCA, para eso es suficiente con apretar sobre la opcin custom search y se desplegar un cuadro de texto donde se podr cambiar la configuracin de bsqueda a utilizar en los motores. Anlisis de la URL Una vez generada esa lista de enlaces, y previamente a descargar los ficheros, la FOCA ya ha empezado a trabajar. Esta es una de las novedades que trae la nueva versin. La URL va a ser descompuesta en las siguientes partes:

- Si es encontrado por buscadores Web, entonces se asume que es un servidor web. - Se extrae el nombre de dominio. - Se busca su direccin IP. - Si est seleccionada la opcin de fingerprinting pasivo, se intenta averiguar la tecnologa del servidor web a travs de: o El banner del puerto 80. o El error 404 o El error de Aspx - La ruta al documento se descompone en todos los posibles directorios, as algo como http://www.uno.com/directorio1/docs/pdf/fichero.pdf se descompondra en: o http://www.uno.com/ o http://www.uno.com/directorio1/ o http://www.uno.com/directorio1/docs/ o http://www.uno.com/directorio1/docs/pdf/ Y se daran de alta asociados como directorios al nombre de dominio de www.uno.com. - En cada directorio se prueba si tiene el listado de directorios abiertos, mediante una peticin de la ruta y una bsqueda de la cadena Index of. Esta cadena pueda cambiarse en las opciones. Si la pgina tiene esa cadena entonces se asocia a cada dominio esa ruta dentro de la opcin Open Folders.

Figura 3: Opciones de FOCA 2.5 - En cada directorio se hace una peticin Options buscando los mtodos inseguros. Estos mtodos inseguros se definen en las opciones y, por defecto son PUT y DELETE. Si uno de estos mtodos existe, entonces esas rutas se meten en la parte de Methods on Folders. Luego, antes incluso de descargar el fichero se ha realizado un anlisis completo de la informacin descubierta a travs de la URL.

Figura 4: Resultado inicial del mapa de red tras buscar documentos

Descarga de los ficheros Una vez seleccionados todos los ficheros que van a formar parte del proceso de anlisis, se podr proceder a descargarlos. FOCA 2.5 Free descarga los ficheros uno tras uno. Se puede seleccionar, uno, varios o todos los ficheros para la descarga y, si se quiere saber cul es el tamao del archivo antes de descargarlo, se puede utilizar la opcin HEAD en las opciones. Esto har que la FOCA, nada ms descubrir un fichero, haga una peticin Http HEAD al servidor para obtener su tamao.

Figura 5: Habilitar HEAD Si por cualquier motivo se queda bloqueado el hilo de descarga de un fichero, se puede detener la descarga y volver a descargar. Esto suele pasar cuando el servidor deja el hijo de peticin de descarga en espera.

Extraccin de los Metadatos Una vez descargados los ficheros, se puede proceder a la extraccin. Como en versiones anteriores, FOCA extrae todos los metadatos, datos ocultos e informacin perdida que puede de los ficheros. Ahora estos se organizan en nodos por tipos de ficheros que permiten encontrar ms fcilmente un fichero.

Figura 6: Gua de Instalacin de Guadalinex hecha con MS Word Adems, se crean unas listas resmenes de metadatos que permiten: a) Exportar a un fichero de texto la lista de informacin descubierta b) Trazar el dato hasta el documento en el que aparece dicho dato En esta ltima versin, se ha aadido, a las listas existentes de direcciones email, usuarios, software, rutas e impresoras, una opcin de sistemas operativos.

Figura 7: Listas de Metadatos Anlisis de Metadatos

Con todos los datos extrados de todos los ficheros con los que se desea crear el fichero, la FOCA va a unir la informacin, tratando de reconocer que documentos han sido creados desde el mismo equipo, y qu servidores y clientes se pueden inferir de ellos. As, como se ve en la figura siguiente se infiere un equipo cliente a partir de un nico documento.

Figura : Cliente Apple inferido de 1 documento O en este ejemplo, se infiere un servidor, llamado Cadiz en Metrodemadrid.es que comparte varias impresoras y al que se sabe que acceden a imprimir diversos usuarios.

Figura 8: Servidor Cadiz inferido en unallocated Unallocated Servers Como se puede ver en la imagen superior, el servidor Cadiz aparece en la lista de unallocated servers. Eso es porque no se ha podido resolver su direccin IP ni su nombre de dominio. Para la resolucin de servidores, lo que FOCA hace es intentar el nombre del servidor, en este caso cadiz, con todos los dominios que forman parte del proyecto. Es decir, todos los dominios principales y los dominios alternativos.

Los dominios principales son los que cuelgan del dominio principal, as, si para el domino metrodemadrid.es apareciera ftp.intranet.metrodemadrid.es o xxx.ramalnorte.metro.metrodemadrid.es como servidores descubiertos por la FOCA, entonces, automticamente se comprobara el servidor cadiz con todos ellos, es decir, se intentara resolver: - Cadiz.metrodemadrid.es - Cadiz.intranet.metrodemadrid.es - Cadiz.ramalnorte.metro.metrodemadrid.es - Cadiz.metro.metrodemadrid.es Adems, se intentar resolver con los dominios alternativos. Estos dominios alternativos se pueden aadir, bien desde la ficha de creacin del proyecto, bien desde la opcin el men contextual sobre un nombre de dominio. As, si en la parte de dominios relacionados apareciera un nombre de dominio que podra ser importante para el dominio del estudio, se podra agregar con las opciones del men contextual del nombre de dominio. Automticamente FOCA intentar resolver todos los unallocated servers con ese nuevo dominio.

Figura 9: Alternative domains

FOCA 2.5 Free Manual de Usuario [3 de 6]

DNS Search Panel La principal novedad que aportaba FOCA 2 fue este modulo de descubrimiento de servidores. El objetivo es automatizar el proceso de bsqueda de

servidores utilizando un conjunto de tcnicas enlazadas de forma recursiva hasta llegar al mximo descubrimiento posible de la red asociado al dominio principal. Las tcnicas que utiliza son:

Figura 10: Panel de bsqueda DNS Web Search La idea es buscar nombres de hosts y dominios a travs de la bsqueda de URLs asociadas al dominio principal en Google Web, Google API, Bing Web o Bing API. As, cada link se analiza para sacar de l nuevos nombres de hosts y nombres de domino. Para maximizar el nmero de resultados descubiertos, si el sitio alcanza el lmite de resultados en el buscador, la FOCA intentar obtener ms resultados haciendo nuevas bsquedas en las que ir excluyendo con los modificadores inurl los hostnames ya registrados. DNS Search A cada dominio se le consultar cuales son los hostnames configurados en los servidores NS, MX y SPF para descubrir nuevos nombres de hosts y nombres de dominios. Resolucin IP Cada nombre de host se resolver contra el DNS para obtener la direccin IP asociada a ese nombre de servidor. Para que esta tarea sea lo ms certera posible, la consulta se realiza contra un DNS interno de la organizacin. PTR Scanning Para encontrar ms servidores en el mismo segmento de una determinada direccin IP FOCA realizar un escaneo de registros PTR. FOCA lanzar consultas a registros PTR del DNS de todas las direcciones descubiertas.

Figura 11: Ejemplo de consulta PTR a IP interna Bing IP A cada direccin IP descubierta se lanzar un proceso de bsqueda de nuevos nombres de dominio asociados a esa direccin IP. Si el nombre del hosts descubierto a travs de esta consulta est en el dominio principal del proyecto de anlisis, entonces se volver a realizar todo el trabajo recursivamente, es decir, se volver a resolver su direccin IP a ver si da una distinta, si es as, se volver a realizar el proceso de PTR Scanning y de Bing IP.

Figura 12: Descubrimiento de dominios por BING IP En la Figura 12 se puede ver como donarsang.cat aparece tras hacer una bsqueda Bing IP a la direccin IP de www.donarsang.gencat.cat Esta parte del algoritmo puede bloquear el anlisis total del proyecto debido a que se d con un servidor de hosting con miles de dominios asociados. Para evitar estas situaciones, la herramienta FOCA en el DNS Search Panel cuenta con el botn Skip. Este botn parar la parte del algoritmo donde est y pasar a la siguiente. As, si FOCA est durante mucho tiempo en un servidor de hosting y se considera que la informacin que se ha obtenido ya es suficiente, entonces se

puede saltar a la siguiente haciendo clic en l. Google Sets El servicio Google Sets permite buscar servidores dentro del dominio cuando el sistema de nombres est organizado temticamente, es decir, los equipos estn nombrados siguiendo una lgica de conjunto. Por ejemplo, ros americanos, capitales europeas o personajes de El Seor de los Anillos. Para ello, FOCA, para cada nombre de dominio descubierto realiza una peticin de conjunto de palabras en Google Sets que probar a resolver contra el dominio del anlisis. Por cada nuevo servidor descubierto se realizar todo el anlisis completo, es decir, bsqueda de IP, rastreo de dominios asociados en Bing IP, escaneo de registros PTR al segmento de red de la IP. Common names Este mdulo est pensado para realizar ataques de diccionario contra el DNS. Utiliza un fichero de texto donde se aade una lista de nombres de host comunes como ftp, pc01, pc02, intranet, extranet, internal, test, etctera. Todos estos nombres se intentan resolver contra los dominios principales del proyecto. En el momento que se descubra uno nuevo, se volver a proceder al anlisis recursivo del mismo. DNS Prediction Para aquellos entornos en los que se haya descubierto un nombre de equipo que pueda dar pie a pensar que se est utilizando un patrn en el sistema de nombres, se puede utilizar este mdulo. La opcin se encuentra accesible en el men contextual del botn de derecho y permite establecer la creacin, mediante variables, de patrones de bsqueda en el DNS. As si hay un pc23.domino.com se podra configurar un patrn pc{0}.dominio.com haciendo que {0} fuera sustituido por valores numricos desde el 11 al 99.

Figura 13: DNS Prediction, incluido desde la FOCA RC1

Este mdulo permite utilizar mltiples variables, numricas o alfanumricas, en la creacin del patrn de bsqueda. Robtex El servicio robtex es uno de los mltiples servicios que hay en Internet para analizar las direcciones IP y los dominios. En la FOCA, esta opcin est accesible en las opciones del men contextual del botn derecho para intentar descubrir nuevos dominios buscando en la informacin que Robtext posee de ella.