Kybernetická bezpečnost se neustále vyvíjí a s ní i nástroje, které nám umožňují efektivně chránit a kontrolovat systémy. Jedním z nejznámějších prostředí bezpečnostního auditu je TĚSNĚNÍ, řešení orientované na analýzu a extrakci metadat v digitálních souborech.
Navzdory tomu, že je na radaru profesionálů již více než deset let, stále překvapuje tím, čeho je schopen, zejména pokud jde o získávání citlivých informací ze zdánlivě neškodných dokumentů.
Ale co je na FOCA tak zvláštního? Kromě toho, že je jednoduchým nástrojem pro extrakci metadat, se stal kompletní sada pro rozpoznávání cílů pro bezpečnostní audity. Jeho schopnost analyzovat dokumenty z webu nebo lokálně, jeho integrace s jinými vyhledávači a intuitivní rozhraní z něj činí základní řešení.
Co je FOCA a proč je tak široce používán?
FOCA je zkratka pro Organizace pro snímání otisků prstů se shromážděnými archivy (což by se dalo přeložit jako „Organizace s otisky prstů se shromážděnými soubory“. Toto je a open source nástroj určený pro extrahovat a analyzovat metadata přítomné v široké škále digitálních souborů. Původně byl vyvinut společností Informática 64 (nyní ElevenPaths, součást Telefónica) a již více než deset let se používá v prostředí auditu, forenzní analýzy a penetračního testování.
Jeho základní funkcí je shromažďování veřejných souborů, zejména na webových stránkách a extrahovat skryté informace v nich. Tyto informace se mohou zdát neškodné, ale často odhalují uživatele systému, vnitřní konfigurace, verze softwaru a dokonce i síťové cesty. Vše, co představuje potenciální vstupní bod pro útočníka.
Na druhou stranu to, co začalo jako nástroj omezený na metadata kancelářských souborů, se vyvinulo ve všestranný nástroj pro el otisků prstů organizačních struktur na dálku.
Hlavní rysy FOCA
To, čím se FOCA odlišuje od jiných podobných řešení, je jeho schopnost automatizovat složité úlohy shromažďování informací. Níže jsou uvedeny nejdůležitější funkce, které tento nástroj nabízí:
- Skenování veřejných dokumentů na webu: Pomocí vyhledávačů jako Google, Bing a DuckDuckGo vyhledejte soubory spojené s konkrétní doménou.
- Hluboká extrakce metadat: Detekuje vložené informace v souborech, jako jsou Microsoft Office, Open Office, PDF, PS, EPS, SVG, obrázky a další.
- Identifikace citlivých údajů: Uživatelská jména, verze použitého softwaru, zdrojový operační systém, absolutní cesty, použité tiskárny nebo interní servery.
- Mapování sítě: Umožňuje najít subdomény, provádět přenosy zón DNS a vytvořit organizační mapu cílové infrastruktury.
- Zjišťování IP a domén: Prostřednictvím technik, jako je skenování PTR, zpětné vyhledávání IP, útoky na slovník DNS a použití známých DNS záznamů.
FOCA slouží nejen jako extraktor metadat, ale také umožňuje aplikovat techniky OSINT (Intelligence s otevřeným zdrojovým kódem) prostřednictvím svých vyhledávacích schopností a integrace s API, jako je např Shodan.
Případy použití FOCA v kybernetické bezpečnosti
Hlavní použití FOCA je během počátečních fází a bezpečnostní rozbor popř pentestování. Tento proces se nazývá stopaa jeho cílem je získat co nejvíce informací od cíle, aniž by s ním přímo interagovalo.
Například analýzou dokumentů zveřejněných na webových stránkách společnosti může FOCA extrahovat:
- Jméno osoby, která dokument vytvořila nebo upravila.
- Data byla upravena a vytištěna.
- Použitý software (Word 2016, Adobe Acrobat Pro atd.).
- Tiskárny, absolutní cesty, operační systémy atd.
Se všemi těmito údaji můžete odvodit technologické prostředí organizace, jeho vybavení, software a dokonce i jeho vnitřní struktura. To vše bez nutnosti spouštět jediný balíček na vaše servery, díky čemuž je FOCA obzvláště efektivní pentestery a digitální forenzní analytici.
Jak FOCA funguje krok za krokem
Práce s FOCA je poměrně jednoduchá, i když je nástroj v angličtině. Existují dva způsoby, jak s ním pracovat: s místními soubory na vlastním počítači nebo s veřejnými soubory umístěnými na internetu. Obě metody jsou shrnuty níže:
1. Analýza lokálních souborů
S otevřeným nástrojem jednoduše přejděte do sekce „Metadata“, klikněte pravým tlačítkem a vyberte "Přidat soubor" (nebo „Přidat složku“, pokud chcete analyzovat celou složku). Nechybí ani možnost přímo přetahovat dokumenty.
Po načtení jsou vybrány, klikněte pravým tlačítkem a vyberte "Extrahovat metadata". FOCA zobrazí všechna nalezená metadata uspořádaná podle souboru.
2. Online analýza souborů
Toto je nejvýkonnější postup. Musíte začít vytvořením nového projektu s uvedením název projektuse webovou doménu k analýze a volitelně cílová složka pro stažené dokumenty.
Po konfiguraci bude FOCA vyhledávat soubory pomocí Google, Bing a/nebo DuckDuckGo, což vám také umožní filtrovat podle typu souboru (PDF, DOCX, XLSX atd.). Po vyhledání dokumentů je lze stáhnout a extrahovat jejich metadata, stejně jako místní soubory.
Technické požadavky na použití FOCA
FOCA je navržen tak, aby běžel na Windows (verze 7 a novější, 64bitový) a vyžaduje některé další součásti:
- . NET Framework 4.7.1 nebo vyšší.
- Visual C++ Redistributable 2010 x64 nebo později.
- SQL Server 2014 nebo vyšší, protože FOCA používá k ukládání projektových dat databázi.
Pokud během instalace není detekována dostupná instance SQL Server, bude uživatel vyzván k ručnímu zadání připojovacího řetězce.
Díky práci Refaktoring provedl tým ElevenPathsFOCA je nyní stabilnější a efektivnější, dokonce umožňuje vícevláknové operace s frontou úloh optimalizovanou pro velké objemy dat.
V průběhu let se FOCA etablovala jako Jeden z nejvšestrannějších a nejvýkonnějších nástrojů v oblasti analýzy metadat a sběru veřejných informací. Jeho schopnost extrahovat důležitá data z otevřených zdrojů bez přímého zásahu z něj činí klíčovou součást jakéhokoli digitálního forenzního auditu nebo analýzy.