Blog de Hacking ®

Es increíble pensar que llevo bastante tiempo utilizando la FOCA y nunca le había dedicado un articulo a este animal, a pesar de haber publicado varias charlas de chema alonso donde daba a conocer su mascota.





¿Que es la FOCA?


   FOCA (Llamado así en honor a Francisco OCA, aunque luego buscaran las siglas “FingerprintingOrganizations with Collected Archives”) es una herramienta para encontrar Metadatos e información oculta endocumentos de Microsoft Office, Open Office y documentos PDF/PS/EPS, extraer  todos los datos de ellos exprimiendo los ficheros al máximo y una vez extraídos cruzar toda esta información para obtener datos relevantes de una empresa.

   ¿Que funciones tiene la FOCA?


La foca hace Google y Bing Hacking para descubrir los archivos ofimáticos que tiene un dominio, los descarga masivamente, les extrae los metadatos, organiza los datos y nos muestra la siguiente información:
Nombres de usuarios del sistema
Rutas de archivos
Versión del Software utilizado
Correos electrónicos encontrados
Fechas de Creación, Modificación e Impresión de los documentos.
Sistema operativo desde donde crearon el documento
Nombre de las impresoras utilizadas
Permite descubrir subdominios y mapear la red de la organización
Nombres e IPs descubiertos en Metadatos
Búsqueda de nombres de dominio en Web: Google o Bing [Interfaz web o API]
Búsqueda de registros Well-Known en servidor DNS
Búsqueda de nombres comunes en servidor DNS
Búsqueda de IPs con resolución DNS
Búsqueda de nombres de dominio con BingSearch ip
Búsqueda de nombres con PTR Scanning del segmento de red con DNS interno
Transferencia de Zonas
Detección automática de DNS Cache
Vista de Roles
Filtro de criticidad en el log
Entre otras muchas cosas…




La foca es especialmente útil, en la tarea previa a un pen-test, donde debemos recolectar toda la información posible sobre el objetivo para que nuestra tarea se realice de la mejor forma.
Aqui podemos ver a Chema mostrando su FOCA, durante su charla en el VI Congreso Latinoamericano de Respuesta a Incidentes de Seguridad (Colaris), realizado en Perú.


http://www.youtube.com/watch?v=Xx8ESYfbpRU


O este pequeño manual basico de instalación y uso creado por cruz4d3r para la comunidad


http://www.youtube.com/watch?v=aNucTrEWfSM

Descargar la FOCA

Mas Información:
Pagina Oficial de la FOCA

Apple no ha tenido más remedio que reconocer que sus equipos son vulnerables tras la aparición de MAC Defender, pero los problemas podrían no haber hecho más que empezar ya que circula por la red una variante de este falso antivirus.

Se trata de un programa denominado Mac Guard, que según la firma de seguridad Intego, es potencialmente más peligroso que el anterior ya que no precisa la contraseña del administrador para su instalación sino que una vez que el usuario visita ciertas páginas infectadas es capaz de colarse en su equipo.

Por lo demás el modus operandi de Mac Guard es prácticamente el mismo que el de MAC Defender.

El programa logra posicionarse mediante técnicas fraudulentas entre los resultados más destacados de los buscadores, después despliega un falso análisis de seguridad e informa al usuario de que su equipo está infectado proponiéndole instalar el supuesto antivirus.

Si el usuario accede se instala en su equipo este software que simula bastante bien la apariencia de un antivirus, aunque en realidad se dedica a abrir páginas web con contenidos pornográficos en el navegador cada pocos minutos y a robar datos personales.

Esta amenaza se considera un riesgo medio, pero el mayor temor de los expertos es que se abra la puerta para la creación de malware sofisticado para Mac.

Mientras, Apple ha anunciado el próximo lanzamiento de una actualización de seguridad para Mac OS que resuelva los problemas causados por MAC Defender.

Un experto en seguridad informática ha localizado una vulnerabilidad presente en todas las versiones de Internet Explorer, mediante la cual los hackers podrían acceder a las credenciales de los usuarios en servicios como Facebook o Twitter.

Según ha explicado Rosario Valotta, el profesional que detecto él problema, bastaría con que los cibercriminales lograran llegar hasta las cookies almacenadas en Internet Explorer, para que puedan robar los datos y contraseñas de los perfiles de las víctimas.

Valotta ha asegurado que es relativamente fácil para los hackers conseguir el acceso a nuestras cookies, ya que sólo necesitan que las víctimas arrastren un objeto a través de la pantalla del ordenador.

El experto confirmó que había hecho una prueba en Facebook a través de un puzzle que  consistía en desnudar la foto de una mujer, y en menos de 3 días recibió más de 80 cookies en su servidor.

Este nuevo método de sustracción de contraseñas en Internet Explorer se conoce ya con el sobrenombre de “cookiejacking”, y sus efectos serían devastadores para el usuario atacado de tener éxito, ya que se podría llegar a suplantar su identidad.

De todas formas, la visión de Microsoft es opuesta, ya que desde la empresa de Redmond consideran que los usuarios no tienen razones para preocuparse, debido a que las posibilidades de que el método pueda ser empleado con éxito son mínimas.

Al ver direcciones web acortadas, el usuario no sabe realmente a qué web va a ser dirigido. Desde hace algún tiempo, las soluciones de seguridad emplean sus propias técnicas para detectar posibles malware en estas direcciones acortadas. Por eso, ahora los spammers han decidido crear su propio sistema, con el fin de intentar engañar también a los filtros de spam, que pueden considerar que es una dirección URL real y no una sospechosa.

En el último informe de MessageLabs [PDF] han observado que surge una nueva técnica de evasión, que funciona mediante la incorporación de una dirección URL legítima corta, que a su vez señala un sistema de dirección corto creado por los spammers. Esto redirige finalmente a la web de destino, añadiendo una capa extra para vencer los filtros.

Para asegurarse, los spammers han comenzado incluso a crear cadenas de estos sitios para hacer que los enlaces sean más y más difíciles de analizar. Incluso inician el registro de dominios meses antes de su utilización para obtener el análisis de todo el dominio (dado que los dominios falsos suelen ser de muy reciente creación, mientras que los legítimos llevan más tiempo activos). Actualmente, la mayoría de estas páginas spammer crean propios acortadores urltienen la terminación .ru.