Aprovechando las Bondades de “whois” en las Pruebas de Seguridad

Autor: 
Berenice Ruiz Eguino y Miguel Ángel Cortés Dueñas
Sección: 

La extracción de información inicial del SUT (System Under Test), tema abordado en la anterior edición de este espacio, es una de las fases más importantes en un proyecto de pruebas de seguridad informática, ya que entre más información tengamos sobre el sistema o aplicación que estaremos probando, mejor será la estrategia a seguir para el diseño y ejecución de dichas pruebas.
Al igual que “nslookup”, sobre la cual ya ahondamos en el pasado número, existen muchas otras herramientas disponibles, de las cuales se puede echar mano para acrecentar la base de conocimiento sobre la aplicación a probar. Una de esas herramientas es la conocida “whois”, un programa con ya bastantes años en circulación, pero no por eso menos eficiente.
“Whois” no es solamente un programa, es un protocolo que prácticamente nació con la Internet. El primer documento redactado con el objetivo de conformar a “whois” en el servicio y protocolo que es hoy en día, fue el RFC – 812, presentado por Ken Harrenstien y Vic White hace aproximadamente 30 años, el 1 de Marzo de 1982. Eran los días en que la Internet todavía se llamaba ARPANET y se encontraba cerrada solamente a un determinado número de científicos, militares y académicos. Con el paso de los años y la apertura de la Internet al público en general, surgieron nuevos documentos enfocados en el mejoramiento de esta herramienta. El primero de ellos fue el RFC – 954 con fecha de Octubre de 1985 y el cual fue considerado como la especificación oficial del protocolo “NICNAME / WHOIS”. Casi veinte años después, en Septiembre de 2004, fue publicado el RFC – 3912 con nuevas actualizaciones del protocolo, quedando así como especificación oficial del mismo hasta el día de hoy.
A pesar del transcurrir del tiempo, la funcionalidad de “whois” sigue siendo prácticamente la misma que en sus primeros días, ya que sigue proveyendo información sobre los usuarios de la red, pero ahora ya no a nivel de usuario sino a nivel de dominio.
“Whois” normalmente aparece por defecto como parte de las herramientas de los sistemas operativos Unix y Linux. En los entornos Windows, la herramienta no es incluida en la distribución de fábrica, sin embargo puede ser descargada de Internet del sitio de Technet de Microsoft.
La forma más tradicional de usar “whois” es a través de la línea de comandos de Unix, Linux o Windows, de la siguiente manera:

> whois dominiodeprueba.com

La ejecución de este comando puede obtener como resultado, información similar a la mostrada a continuación:

Whois v1.01 - Domain information lookup utility
Registrant:
  Empresa de Prueba.
  Please contact juan_perez@empresa_de_prueba.com Dirección de Prueba # 100
  México, DF 00000
  México
  dns-admin@empresa_de_prueba.com +5500000000 Fax: +5500000001
Domain Name: Empresa de Prueba S.A. de C.V.
  Registrar Name: Empresa_Registrante.com
  Registrar Whois: whois.empresa_registrante.com
  Registrar Homepage: http://www.empresa_registrante.com
Administrative Contact:
  Alberto H.
  Calle Madero # 000
  Querétaro, Qro 00000
  México
  alberto_h@empresa_de_prueba.com +4420000000 Fax: +4420000001
Technical Contact, Zone Contact:
  Roberto L.
  Calzada Zaragoza # 0000
  Aguascalientes, Aguascalientes 00000
  México
  roberto_l@empresa_de_prueba.com +4490000000 Fax: +4490000001
Created on..............: 2005-01-01.
Expires on..............: 2015-01-01.
Record last updated on..: 2012-01-01.
Domain servers in listed order:
servidor1.empresa_de_prueba.com
servidor2.empresa_de_prueba.com
servidor3.empresa_de_prueba.com

Como se puede apreciar, la cantidad de información devuelta por “whois” es mucha. Sin embargo, no sólo se trata de información técnica como en el caso de “nslookup”, representada por los servidores de nombres de dominios, sino que también incluye datos personales y de contacto (teléfonos y direcciones de correo electrónico) de personas al interior de la empresa propietaria del dominio consultado. Estos datos fueron proporcionados a la empresa registrante durante el proceso de adquisición de dominio por parte del cliente y es relativamente fácil de obtener.
La importancia de esta información radica en que una vez obtenida, puede facilitar a usuarios malintencionados, el hacerse pasar por representantes de la empresa registrante del dominio y solicitar datos que puedan ser usados posteriormente para la realización de un ataque informático. En otras palabras, los empleados Juan Pérez, Alberto H. y Roberto L. mostrados en los resultados regresados por “whois” podrían llegar a ser engañados mediante técnicas de ingeniería social para revelar datos más técnicos de sus aplicaciones o equipos empresariales que, de ser conseguidos, facilitarían un ataque informático a la red corporativa.
Este mismo enfoque es el que puede aplicar el equipo de ingenieros de pruebas que está realizando la evaluación de seguridad de la red empresarial del cliente. En lugar de solamente enfocarse en cuestiones meramente técnicas, el equipo de pruebas puede considerar la información personal obtenida con “whois” para establecer un nuevo vector de ataque a la red y probar lo que por muchos es considerado como el eslabón más débil en el esquema de seguridad de una organización: el ser humano.
Mediante llamadas telefónicas o correos electrónicos, el equipo de pruebas puede hacerse pasar por un usuario válido al interior de la empresa y solicitar el “reseteo” de una contraseña, la activación de un servicio o acceso a recursos protegidos a los cuales comúnmente no se podría acceder.
Por su parte, la existencia de direcciones de correo electrónico en los resultados retornados por “whois” ha facilitado a lo largo del tiempo, la recolección de datos por parte de “spammers” para el envío de sus correos no deseados. Por lo tanto, si una o más direcciones de correo electrónico tienen ya un tiempo considerable registradas en la base de datos de “whois” es probable que ya hayan sido recolectadas por algún procedimiento automatizado y usadas para envío de “spam” como en su momento lo documentó el ICANN Security and Stability Advisory Committee.
Por otro lado, la misma presencia de direcciones de correo electrónico, abre la posibilidad de que usuarios malintencionados hagan uso de programas para envío y rastreo de correos electrónicos (email tracking). Por ejemplo, un lunes cualquiera en la empresa X (potencial víctima), Juan Pérez puede tener esperando en su bandeja corporativa un e-mail con una imagen anexa. Sin embargo, es probable que Juan no se dé cuenta que ese gráfico anexo está especialmente configurado para avisar al remitente, el momento en que se abrió el correo, así como la dirección IP real en la cual se abrió el correo dentro de la empresa. De esta manera, un e-mail especialmente configurado enviado a la dirección correcta, puede descubrir datos más específicos y útiles que a simple vista no son visibles para el ojo no entrenado.
Aunado a lo anterior, no podemos dejar de lado un resultado de gran relevancia para el equipo de pruebas regresado también por “whois”: una o más direcciones físicas de la empresa. En primera instancia, pudiera parecer que este dato no es importante, ¿a quién le puede importar la dirección física de una empresa? Sin embargo, observando el escenario desde una perspectiva diferente a la tradicional, el conocer la ubicación física de la empresa abre la posibilidad de presentarse en persona a las instalaciones o en los alrededores de la misma e intentar conectarse a la red organizacional directamente (si se obtiene el acceso físico) o a través de la red inalámbrica empresarial desde un lugar aledaño. Actualmente, obtener la dirección física de una empresa puede ser tan fácil como buscar en el directorio del sitio web corporativo, sin embargo, por cuestiones de privacidad, no todos los sitios web tienen un directorio corporativo a la vista y cuando este es el caso, “whois” puede ayudar.
Algo importante también a resaltar, es el hecho de que actualmente, no es necesario tener instalado el programa “whois” localmente para ejecutar ese tipo de consultas, ya que también se encuentra disponible en Internet en sitios como www.whois.net y en muchos otros, facilitando aún más el acceso a la información disponible en ese protocolo.
Con acciones y evaluaciones de este tipo, el equipo de pruebas puede ayudar al cliente a implementar políticas de seguridad corporativa no sólo a nivel técnico, sino que sea incluyente también con empleados, proveedores y contratistas que en algún momento dado pudieran tener acceso a la red organizacional. En caso de que ya se cuente con una política de seguridad implementada, el mismo equipo de pruebas puede ayudar a mejorarla, reforzarla encontrando puntos ciegos que no se tengan considerados hasta ese momento.
Como se mencionó anteriormente, la era de Internet en la que vivimos actualmente nos da la facilidad de obtener información sobre casi cualquier cosa, desde diferentes fuentes donde muchas de ellas son insospechadas como lo es “whois” que puede ser una aplicación y protocolo muchas veces demeritado por su edad, sin embargo, eficiente y eficaz. Después de todo, por algo ha sobrevivido todo este tiempo y hasta nuestros días ¿no es así?

Referencias:
[1] SAC 023: Is the WHOIS service a source for email addresses for spammers?, ICANN Security and Stability Advisory Committee, Octubre 2007.

Bio: 

Sandra Berenice Ruiz Eguino es Directora de Operaciones de e-Quallity, además ha participado como Consultora Senior en proyectos de mejora de organizaciones de Prueba de Software. Cuenta con certificación internacional en Pruebas por el ASTQB. A lo largo de su trayectoria profesional ha actuado también como Ingeniero de Pruebas Senior, Líder de Proyectos, Administradora de Proyectos nacionales e internacionales, analista y desarrolladora. Ha sido profesora de la Universidad Autónoma de Guadalajara (UAG), donde realizó sus estudios de Maestría en Ciencias Computacionales.

Miguel Ángel Cortés Dueñas es Líder Técnico de Proyectos de Pruebas y Consultor Especialista en Pruebas de Seguridad en e- Quallity. Cuenta con certificación internacional en Pruebas por el ASTQB, así como certificación CEH (Certified Ethical Hacker) por el EC Council. En su trayectoria profesional ha participado también en proyectos nacionales y en el extranjero como Ingeniero de Pruebas Senior, realizando pruebas funcionales manuales y automatizadas.