El que un atacant esbrina de la vostra empresa abans de llançar cap atac

Abans de llançar un atac, un atacant dedica temps a mirar. Aquesta fase es diu reconeixement. Per a la majoria d’empreses no cal res sofisticat, perquè gairebé tot el que necessita ja és públic, legal i gratuït.

Quan comencem una auditoria, el primer que fem és justament això, reunir tot el que es pot saber de vosaltres sense tocar cap sistema. El que apareix sol sorprendre. Això és una part del que un atacant esbrina abans de moure fitxa.

Els vostres correus en filtracions de tercers

Els vostres empleats fan servir el correu corporatiu per registrar-se en serveis de tota mena. Quan un d’aquests serveis pateix una bretxa, aquelles adreces acaben en col·leccions que circulen lliurement, de vegades amb la contrasenya al costat.

Un atacant creua el vostre domini amb aquestes filtracions i obté una llista de correus reals de la vostra empresa, uns quants amb una contrasenya ja filtrada. Si algú la reutilitza, o segueix un patró fàcil d’endevinar, ja té per on començar.

Subdominis i serveis que crèieu oblidats

Cada servei que heu publicat alguna vegada deixa rastre. Hi ha registres públics de certificats i de DNS que permeten reconstruir els vostres subdominis, inclosos els que vau muntar per a una campanya de fa anys i ningú no va apagar.

Aquí és on apareixen el panell d’administració exposat, l’entorn de proves amb dades reals o el servei sense actualitzar que ja ningú no vigila. Com més vella i oblidada està una d’aquestes portes, més còmode és per a qui busca entrar.

Les metadades dels vostres propis documents

Els PDF, els fulls de càlcul i les presentacions que publiqueu al vostre web porten informació amagada a dins. En aquestes metadades sol quedar el nom d’usuari de qui va crear el fitxer, el programari amb què es va fer i fins i tot rutes internes de la vostra xarxa.

Amb un grapat de documents del vostre propi web, un atacant dedueix com construïu els noms d’usuari, quines versions de programari feu servir i algun detall de la vostra estructura interna. Tot, descarregat de la vostra pàgina, sense entrar enlloc.

La tecnologia que feu servir, vista des de fora

Sense tocar res, només observant com respon el vostre web i el vostre correu, es pot saber quin servidor feu servir, quin gestor de continguts, quin proveïdor de correu i quines mesures de protecció teniu al davant. És com llegir la marca i el model de cada pany des de la vorera.

Amb aquest mapa, l’atacant no perd el temps. Va directe a les debilitats conegudes de justament el que vosaltres teniu, en lloc de provar a cegues.

La vostra gent

Les persones són la part més exposada i la més útil per a qui prepara un atac dirigit. A les xarxes professionals hi ha qui treballa en què, qui mana sobre qui i qui acaba d’entrar sense conèixer encara els processos interns.

Amb això es munta un correu de phishing creïble, dirigit a la persona adequada, en el moment adequat. No cal trencar res, n’hi ha prou que algú faci clic. La informació per construir aquest correu l’heu publicada vosaltres mateixos sense adonar-vos-en.

Tot això és públic

Res del que hem dit implica entrar als vostres sistemes. És informació que és allà fora, accessible per a qualsevol que sàpiga on mirar. Reunir-la costa unes hores. El problema no és que existeixi, és que la majoria d’empreses no saben quant ensenyen sense voler.

La bona notícia és que es pot reduir. Es pot saber què exposa la vostra organització, tancar el que sobra i ensenyar la vostra gent a no regalar la resta. Però per arreglar-ho primer cal veure-ho, que és just el que fa un atacant mentre vosaltres no mireu. També és la primera fase d’un pentest, abans d’intentar entrar.

---

Si voleu saber què exposa la vostra empresa en fonts obertes abans que ho faci servir algú altre, escriviu-nos a [email protected].