Extración de Metadatos Por Foca
La FOCA es una herramienta desarrollada por Informática64 para la realización de procesos de fingerprinting e information gathering en trabajos de auditoría web. FOCA empezó a ser conocida por la extracción de metadatos de todo tipo de documentos y por los problemas de seguridad que éstos ocasionan, pero esta herramienta no realiza solo la extracción de metadatos, sino que además realiza búsquedas de servidores, dominios, URLs y documentos publicados, así como el descubrimiento de versiones de software en servidores y clientes.
metadatos
La función principal y más conocida de FOCA es la extracción de metadatos. Para extraer los metadatos de los archivos que queramos tenemos dos formas: teniéndolos guardados en nuestro ordenador o usando FOCA para obtenerlos. Si tenemos los archivos que queremos analizar en nuestro ordenador, simplemente los arrastramos a FOCA para trabajar con ellos directamente. Si queremos obtener todos los archivos que una empresa tiene en internet, FOCA nos ofrece la posibilidad de descargarlos todos juntos. Para empezar la descarga de archivos, vamos a la pestaña Project y seleccionamos New Project. Introducimos el nombre de nuestro proyecto y el dominio de la web de la que queremos extraer los archivos, en nuestro haremos la prueba de extracción de metadatos de la página oficial de la Casa Blanca, whitehouse.gov. Una vez introducido esto, le damos a crear proyecto.
A la izquierda seleccionamos la opción metadatos y nos mostrará una serie de opciones a la derecha. Las primeras son los buscadores, es decir, con qué buscadores quieres que se analicen los archivos de tu dominio. Ésta es la mejor búsqueda y la más exhaustiva, y por tanto la que más tiempo tardará. Las siguientes opciones que nos dará es la extensión de los archivos, pudiendo buscar un solo tipo de archivo o todos los que FOCA nos ofrece, en nuestro caso marcaremos todos.
Una vez seleccionada nuestra configuración, le damos al botón Search All y comenzará nuestra búsqueda. Al finalizar, obtenemos 1051 archivos de la Casa Blanca, solo con dos de los tres navegadores disponibles.
Haciendo clic derecho en cualquiera de ellos y seleccionando Dowload All se comenzarán a descargar todos los archivos, dependiendo del número de archivos que tengamos, tardará más o menos. Nosotros para esta prueba hemos descargado 751 de los 1051 encontrados, pero es conveniente descargarlos todos
Una vez descargados los archivos volvemos a hacer clic derecho en cualquiera de ellos y seleccionamos Extract All Metadata para que FOCA comience el análisis. En la parte de la izquierda del programa, debajo del apartado Metadata, aparecen dos subapartados: Documents y Metadata Summary. Mientras que FOCA analiza los documentos, en el apartado Documents irán clasificándose todos los archivos descargados por su extensión. En la parte de Metadata Summary, irán apareciendo los metadatos obtenidos, nombres de usuarios, impresoras, software, e-mail, sistemas operativos, etc. En nuestro caso tenemos la información de los 751 archivos analizados.
Si hacemos ahora clic derecho donde dice Metadata nos aparecen varias opciones, una de ellas es Export, la cual exportará todos los datos obtenidos a un documento. Si le damos a la última opción Analyze, FOCA comenzará a analizar todos los metadatos obtenidos, creando así un mapa de red con todos ellos, que encontraremos en el apartado Network. En nuestro caso obtenemos 167 clientes y 3 servidores, obteniendo así un mapa de red con todos ellos.
Con esto obtenemos un mapa de red completamente estructurado, conociendo al detalle los usuarios y los servidores que lo forman. De esta manera y mediante el uso de FOCA se puede llegar a obtener toda esta información que podrá servir para realizar un futuro ataque, o simplemente, para probar el nivel de Seguridad de cualquier empresa.
DNS Caché Snooping
FOCA también tiene incorporado un módulo de DNS Caché Snooping que permite conocer el hábito de navegación y las páginas visitadas de los usuarios del servidor DNS de una determinada empresa mediante un análisis de las resoluciones de nombres almacenadas en la caché de dicho servidor.
Para esto tenemos que tener una buena lista de URLs para probar con ellas y así saber todas las páginas a las que se han conectado para poder realizar, en algunos casos, ataque de MITM o Spam. Es posible que en un servidor DNS la caché se actualice en un tiempo determinado, es decir, que cuando pase dicho periodo de tiempo se borre la caché del servidor, en ese caso, FOCA ofrece la posibilidad de tener un seguimiento y hacer snoop cada cierto tiempo, para poder conseguir de ésta manera sus hábitos de navegación.
Para realizar un DNS Caché Snooping nos dirigimos en la sección superior a la ventana Tools y seleccionamos la única opción que nos dan (al ser la versión gratuita solo tenemos la opción de DNS Snooping). Para empezar hay que introducir un dominio en el campo Domain y pulsar el botón Obtain DNS Server y te dará en la parte de abajo los servidores DNS del dominio introducido. Para poder comenzar hay que pulsar primero el botón Load file y abrir un archivo donde tengamos un listado de URLs para consultar y comparar con la caché del servidor. Seleccionamos un servidor DNS de los que hemos encontrado. Una vez configurado todo le damos al botón Snoop y nos dará finalmente las URLs que tengamos en el archivo y que a la vez estén en el servidor DNS. En este caso vemos como desde el dominio renfe.es se accede a una página web de citas, a facebook, twitter y distintos bancos.
Éstas son las funciones principales de la versión gratuita del programa FOCA. Otra opción es la FOCA online, una versión gratuita que no necesita instalar nada en tu ordenador, aunque esta versión es muy limitada ya que solo analiza los metadatos de un documento que subas a esa web.Descarga | FOCA