Recopilación de información (Information gathering) sobre Logs de Proxy (II)

La semana pasada estuvimos viendo LightSquid y SquidAnalyzer como herramientas de análisis de logs para Squid. Una tercera herramienta interesante es:

SARG (Squid Analysis Report Generator)

Esta aplicación se encuentra implantada en multitud de organizaciones y al igual que SquidAnalyzer se encuentra actualmente en desarrollo. Como punto fuerte, podemos señalar la velocidad de procesamiento, gracias a que se trata de una aplicación compilada.

De manera similar a las anteriores, obtendremos un listado ordenado por la actividad de usuarios.

Accediendo al detalle de cada usuario obtendremos las horas de navegación del usuario, páginas visitadas, duración, etc.

También podemos obtener listados de sitios más visitados, sitios más visitados agrupados por usuarios, descargas. Además, es importante mencionar que SARG almacena listados con los sitios web denegados por el proxy, así como fallos de autenticación.

¿Y dónde encaja todo esto en el mundo de la seguridad?

Hay que recordar que el acceso a este tipo de reportes proporciona una gran fuente de información a la hora de realizar una intrusión, ya que podemos obtener nombres de usuario (que serán correos válidos), direccionamiento interno, historial de navegación de los usuarios… Con todo ello un potencial atacante podría realizar una campaña de malware dirigido a los usuarios, ya que entre otras cosas, dispone de información acerca de sus gustos.

Muchas organizaciones tienen esta información accesible desde Internet y sin ningún tipo de autenticación, por lo que solo hace falta hacer una simple búsqueda mediante Google Hacking para encontrar miles de reportes de SARG.

http://www.google.com/search?q=inurl:sarg%20inurl:siteuser.html

Una vez obtenida esta información, dicho atacante podría utilizar una herramienta OSINT como TheHarvester para conseguir mayor información acerca de esa organización y así poder tener mayor éxito en el ataque. TheHarvester es una herramienta que utiliza información pública de varias fuentes (google, bing, shodan, linkedin, twitter, googleplus) para obtener todo tipo de conocimiento acerca de la organización tomando como base un dominio. Podremos obtener por ejemplo direcciones de correo, IPs asociadas al dominio y subdominios, virtualhosts alojados en las mismas IPs.

Con ello, se abre un abanico bastante amplio de acciones posibles a realizar para que el ataque a la organización resulte efectivo, por lo que parece claro que mantener este tipo de información protegida y a salvo de fisgones resulta más que importante, muy necesario.