Defensa contra ataques de raspado internet



Los ataques de raspado world-wide-web, como la reciente filtración de datos de Facebook, pueden conducir fácilmente a infracciones más importantes.

El world wide web scraping es tan antiguo como Online, pero es una amenaza que rara vez se merece. Las empresas subestiman con frecuencia su potencial de riesgo porque técnicamente no es un «hack» o una «infracción».

Un ejemplo reciente es Facebook, que ha intentado restar importancia a su última filtración masiva de datos afirmando que el raspado solo afectó a la información pública. La compañía pasa por alto el riesgo que representa este tipo de exposición de datos personales para las víctimas y el valor ultimate de recopilar estos datos a una escala tan masiva, particularmente para los ataques de ingeniería social.

El raspado de sitios en busca de datos de usuario no es nada nuevo Facebook se ha enfrentado a este problema en múltiples ocasiones. En 2013, revelé dos métodos para extraer datos de usuarios de Fb. Uno involucró una herramienta que creé llamada Cosechador de Fb, que utilizó la función Graph Search, recientemente lanzada, para realizar una búsqueda de fuerza bruta de números de teléfono y devolver cualquier perfil de usuario asociado.

Mientras tanto, Fb sigue siendo parcialmente vulnerable al raspado malicioso a través de su página de restablecimiento de contraseña. Al ingresar un número de teléfono, es posible buscar personas que figuran en la lista privada en la plataforma, incluido su nombre completo y foto de perfil. Esto es notablemente diferente del método utilizado en el volcado de datos reciente, en que el usuario last no necesita ser buscado públicamente. Si bien Fb ha ajustado los datos revelados en esta página, aún puede resultar una herramienta útil para los actores maliciosos.

Pero el scraping no es solo un problema de las redes sociales. Es un problema que afecta a muchos tipos de organizaciones en diversas industrias. El raspado es uno de los métodos que utilizan los piratas informáticos malintencionados para recopilar información sobre las empresas antes de atacarlas con ataques más importantes.

Aquí hay una mirada más cercana a esta amenaza infravalorada.

Cómo utilizan los atacantes el internet scraping
El web scraping puede conducir fácilmente a ataques más importantes. En mi empresa, usamos habitualmente el net scraping como uno de los pasos iniciales en un equipo rojo o en un compromiso de phishing. Al extraer los metadatos de los documentos publicados, podemos encontrar nombres de empleados, nombres de usuario y deducir formatos de nombre de usuario y correo electrónico, lo que es particularmente útil cuando el formato de nombre de usuario sería difícil de adivinar. Mix esto con raspar una lista de empleados actuales de sitios como LinkedIn, y un adversario puede realizar ataques dirigidos de phishing y credenciales de fuerza bruta.

En un ejemplo reciente, determinamos la configuración de nombre de usuario única del cliente mediante la recopilación de documentos extraídos de los sitios públicos de la empresa. Estos documentos contenían el nombre y apellido del autor y la ruta del archivo debido a que el archivo se guardó dentro de la ruta del perfil del usuario, la ruta también contenía el nombre de usuario. En este caso, el formato period de dos letras del nombre, el apellido y un dígito. Entonces, si el nombre de usuario fuera John Smith, el nombre de usuario habría sido josmith1. Una vez que encontramos esto, fue bastante fácil realizar la fuerza bruta de credenciales mediante el uso de una lista de nombres y apellidos comunes para que coincida con el formato de nombre de usuario descubierto. Al ejecutar el ataque con solo unas pocas contraseñas comunes por nombre de usuario, obtuvimos acceso a al menos una cuenta, lo que le dio a nuestro equipo rojo un punto de apoyo inicial.

La extracción de metadatos de documentos también es útil para detectar nombres de host internos y versiones de software en uso en la empresa de destino. Esto permite que un atacante personalice el ataque para aprovechar las vulnerabilidades específicas de esa empresa, y es una parte importante del reconocimiento de las víctimas.

Los adversarios también pueden usar el raspado para recopilar información privada de un sitio web si esa información no está protegida adecuadamente. Tome la página de restablecimiento de contraseña de Facebook: cualquiera puede encontrar personas que figuran en la lista privada a través de una simple consulta con un número de teléfono. Si bien una página para restablecer la contraseña puede ser necesaria, ¿realmente necesita confirmar o, peor aún, devolver la información privada de un usuario?

Si bien este puede ser el peor de los casos, muchos sitios website siguen siendo vulnerables a la enumeración de usuarios a través de simples mensajes de error. Veo esto a menudo cuando una página de registro, inicio de sesión o restablecimiento de contraseña devuelve un mensaje como «no se pudo encontrar el nombre de usuario» al enviar credenciales no válidas a la página de inicio de sesión o para restablecer la contraseña. Si bien esto parece lo suficientemente inocente, los atacantes pueden abusar de esta notificación para determinar qué nombres de usuario o correos electrónicos existen como cuentas registradas para el servicio. Se podría usar una lista de nombres de usuario válidos para ataques de fuerza bruta de credenciales más específicos, y se pueden usar correos electrónicos válidos en ataques de phishing dirigidos.

Controlando la amenaza
Hay varias formas de reducir el riesgo de raspado web.

En primer lugar, las organizaciones deben auditar periódicamente sus sitios website para asegurarse de que no exponen involuntariamente información confidencial a sitios internet públicos a través de documentos publicados o información almacenada en bases de datos again-close que están vinculadas a través del sitio world-wide-web.

Las organizaciones también deben contar con un proceso para eliminar los metadatos de los documentos antes de que se publiquen externamente. Deben evitar exponer cosas como nombres de usuario, rutas de archivos, colas de impresión y versiones de computer software, ya que pueden ser útiles para montar un ataque.

Las páginas de restablecimiento de contraseña a menudo contienen mensajes detallados que revelan si un nombre de usuario enviado es válido o no. Volviendo al ejemplo de Fb, ¿la página de restablecimiento de contraseña debería devolver el nombre completo y la imagen de perfil asociados con un número de teléfono antes de enviar un enlace de restablecimiento? En estos casos, la página de restablecimiento de contraseña revela información innecesaria. Siempre que sea posible, las páginas deben devolver un mensaje genérico después de que una persona envíe información para restablecer la contraseña, haciéndoles saber que se enviará un mensaje de texto o correo electrónico a la cuenta, si existe. La clave es que la página no debe indicar si la cuenta o la información son válidas.

La limitación de velocidad y los CAPTCHA son defensas estándar contra el scraping, pero un atacante determinado aún puede eludir estas medidas utilizando servicios de resolución de CAPTCHA o rotando a través de una lista de direcciones IP. Estas medidas deberían hacer las cosas más difíciles para el world wide web scraping, pero no sustituyen la protección adecuada de los datos confidenciales.

Reconocer la amenaza
Si bien el internet scraping se ha visto durante mucho tiempo más como una molestia que como un riesgo de seguridad, los atacantes lo utilizan ampliamente para obtener información crítica sobre una empresa, en distinct para los ataques de enumeración de usuarios. La implementación de algunas de estas medidas de seguridad puede reducir en gran medida el riesgo de una empresa.

Rob Simon es consultor principal de seguridad en TrustedSec, donde se especializa en aplicaciones web y móviles, así como en seguridad de hardware. Rob tiene más de una década de experiencia en seguridad de la información, con roles que van desde el desarrollo de program hasta la penetración … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial