Header Image

El footprinting ha muerto, ¡larga vida al footprinting!

Pentester, amplía tu mente, no te dejes nada por el camino. Aunque no seas consciente, puede que te estés dejando atrás información muy valiosa sin saberlo.

En esta charla presentaremos un nuevo enfoque para auditores de hacking ético/pentesting a la hora de afrontar fases de footprinting. Publicaremos y usaremos nuevas herramientas con las que aumentar la potencia de las técnicas de recopilación de información de objetivos a analizar.

Demos la bienvenida a nuevas técnicas de fingerprinting dual-stack. El rey ha muerto, viva el rey, o el rey ha muerto, larga vida al rey, es un lema o grito que se emplea como expresión ritual en la sucesión de las monarquías, especialmente en el reino de Francia…

Esta es la explicación que encontramos en la wikipedia sobre el origen de esta famosa expresión y viene a reflejar perfectamente la intención de nuestra charla en referencia al footprinting.

En esta charla queremos transmitir que actualmente las técnicas usadas en las fases de footprinting durante las auditorías de hacking ético son insuficientes y es necesario ampliar el espectro a analizar para no dejarnos nada atrás. Concretamente, nos estamos refiriendo a objetivos dual-stack, es decir, que ofrecen sus servicios en IPv4 e IPv6.

Existen muchas herramientas que recopilan y analizan información de los objetivos bajo estudio tales como recursos DNS, servidores de correo, direcciones de mail, rangos de direcciones IPv4, etc…
Imaginemos un auditor que está en la fase de footprinting de un proyecto de hacking ético, ¿tendrá en mente que el objetivo a analizar es posible que tenga una configuración dualstack? Por ejemplo, estamos analizando recursos públicos de una determinada empresa h4ckDS:

  • web.h4ckDS.es
  • mail.h4ckDS.es
  • ns1.h4ckDS.es

h4ckDS es una empresa que ha migrado algunos servicios a la nube, concretamente a AWS, y sin saberlo, tiene algunos de sus servicios en dualstak, recordemos que muchos proveedores cloud y XaaS ya ofrecen IPv6 por defecto.

Algunas consideraciones que veremos en la charla de forma práctica son:

  • ¿Qué herramientas usaremos para analizar la parte IPv6?
  • ¿Habrá puertos abiertos en IPv6 que estén filtrados en IPv4?
  • ¿Y si la empresa tiene un WAF que solo soporta IPv4?
  • ¿Y si el IDS solo está configurado para IPv4?
  • ¿Conoce el auditor qué herramientas a usar para analizar todo esto en conjunto?
  • ¿Conoce el auditor aspectos técnicos como que iptables es ip6tables para IPv6?

Durante la charla analizaremos de forma práctica y con casos reales todas estas cuestiones.

Para explicar las implicaciones de lo explicado vamos a usar, entre otras técnicas manuales y herramientas, la nueva versión de MrLooquer llamada IPLake, la cual incluye información del stack IPv4 e IPv6 y enlaza ambos mundos de forma inteligente. Aprovecharemos el evento para publicar de forma oficial algunas nuevas funcionalidades del servicio:

  • Información IPv4 correlada con información IPv6 del objetivo
  • Grafos dualstack
  • Queries monitorizadas
  • Flag wrong dualstack configuration
  • Dorks públicos colaborativos
  • Y mucho más….

Culminaremos la charla mostrando cómo esta información obtenida durante la fase de footprinting puede ser útil para la explotación de vulnerabilidades encontradas en los servicios de equipos dual stack. Para ello, pondremos ejemplos y enseñaremos estadísticas reveladoras acerca del número de hosts que podemos entrar en internet con configuraciones inseguras dual stack y las implicaciones que esto conlleva.

octubre 6

13:00

– 13:50

(50′)

Paraninfo Universitario

Francisco J. Gómez Rodríguez