UNIVERSIDADE ESTCIO DE S

CURSO DE PS-GRADUAO EM SEGURANA DE REDES DE COMPUTADORES

DISCIPLINA: ANLISE DE VULNERABILIDADES Prof.: Cassio Ramos

Tutorial de Uso Maltego 3.0.4 Data Mining

Alunos: NOME Eduardo Gonalves de Melo Marcelo Henrique Marins e Silva Pedro Apolinario Viana Roberto da Silva Henriques Coval MATRCULA 2010.100.26.12-7 2010.100.26.14-3 2010.100.34.19-7 2010.100.26.13-5

Tutorial de uso do Maltego Data Mining

1. OBJETIVOS DESTE TRABALHO Este trabalho tem como objetivo a elaborao de um tutorial prtico, destinado aos profissionais de TI, que auxiliar a estabelecer uma estratgia de uso de um software de Data Mining - Maltego - na investigao de informaes sobre uma pessoa qualquer. Tomou-se como premissa que o usurio j tenha vencido as etapas de instalao e configurao do software, que no representa nenhuma grande dificuldade. O trabalho est baseado na verso grtis, ou Community Edition (CE), da verso 3.0.4 do Maltego. Esta a verso mais recente at a publicao deste documento e pode ser encontrado no link abaixo, com opes para plataformas Windows e Linux:

Fig.1 Link da empresa Paterva criadora do Maltego

Tutorial de uso do Maltego Data Mining

2. ESTRATGIA A funo que o Maltego exerce conhecida com Data Mining, o que na melhor traduo poderia ser compreendida como garimpo de informaes. Assim sendo, a maior parte das atividades que o Maltego automatiza poderiam ser feitas a partir de scripts, buscas na web, consultas em DNS, etc. O Maltego no explora diretamente nenhuma vulnerabilidade do objeto alvo de pesquisa. A forma grfica de exibio dos resultados das pesquisas facilita enormemente a seleo e refinamento das respostas se comparado com a forma usual em modo texto. Este tutorial tem como objetivo mostrar o uso do Maltego para obter o mximo de informaes sobre uma pessoa qualquer. Trabalhando com a verso gratuita do software, tem-se um nmero limitado de resultados obtidos nas pesquisas automatizadas, mas pode-se claramente ver o seu potencial de uso e, mesmo com as limitaes, possvel obter algumas valiosas informaes sobre o objeto ao qual estamos procurando informaes. Para o uso de ferramentas deste tipo, de nada adianta obter resultados se no se traar um objetivo ou linha de pesquisa. preciso ter sempre em mente o que ou no valioso no trabalho de Data Mining. Esta uma tarefa nica e exclusivamente do pesquisador. O software at auxilia neste trabalho, atribuindo pesos nas respostas encontradas, seguindo uma lgica atribuda na programao do software, mas somente quem est no comando da pesquisa pode definir se a resposta faz ou no sentido, como no exemplo abaixo:

Fig.2 Relevncia do e-mail: Maltego x Usurio No exemplo capturado anteriormente, quando procuramos e-mails relacionados com a pessoa Maria das Graas Meneguel, o Maltego, ao calcular o grau de relevncia dos e-mails encontrados, poderia atribuir um peso menor ao e-mail xuxa@gmail.com, pois o nome xuxa no parece ter vnculo semntico/textual com o objeto pesquisado. Se o usurio no tivesse a informao de que Xuxa o nome artstico da Maria das Graas Meneguel, a pesquisa poderia se distanciar dos resultados esperados. Diante disso, traou-se para este trabalho uma linha de informaes preliminares que nos auxiliaro a obter informaes complementares sobre uma pessoa qualquer. Mas antes foi necessrio escolher um alvo qualquer para ser o objeto de pesquisa. Este trabalho est

Tutorial de uso do Maltego Data Mining

dividido em duas partes, conforme o alvo: uma que busca informaes sobre um e-mail/nome e a segunda que trata de busca por informaes de um site/domnio. Em Data Mining a organizao corresponde a 80% do trabalho. Estabelecer critrios para tomadas de deciso, usar ferramentas auxiliares, definir checkpoints para identificar onde uma deciso errada est se distanciando do alvo (a escolha errada do e-mail no exemplo acima), etc. Tudo isso alimenta o motor de inferncia das respostas obtidas com o Maltego (ou qualquer outra ferramenta de Data Mining) para traar o Dossi. Este motor de inferncia o prprio pesquisador.

Tutorial de uso do Maltego Data Mining

3. DATA MINING - Pesquisa de e-mail/domnio ARBITRANDO UM E-MAIL PARA SER O ALVO:Para escolher um e-mail existente, aleatrio, do qual no se tinha nenhum vnculo ou informao, entrou-se com a seguinte string de busca no Google: futebol, bola,papo @gmail.com e obteve-se o seguinte resultado:

Fig.3 Escolha aleatria de um e-mail do gmail Pelo prprio Google j foi possvel notar que o assunto correlato FUTEBOL e que existe um domnio registrado com nome papodebola.com.br. Ento hora de atualizar o log das informaes at ento obtidas: e-mail: papodebola@gmail.com Domnios relacionados: gmail.com, papodebola.com.br Assuntos de Interesse: futebol

Antes de ir ao Maltego, investigou-se a existncia de algum outro e-mail relacionado que pode ser til. O prprio GMail nos auxiliar nesta misso. Basta simular que somos o usurio real e esquecemos a senha. O GMail pode dar mais algumas pistas de e-mails alternativos para montar o log:

Fig.4a Recuperao de senha do Gmail: mais pistas

Tutorial de uso do Maltego Data Mining

Fig.4b Novas pistas descobertas Estas informaes poderiam ser obtidas com o prprio Maltego, porm usando a verso gratuita no temos nmero de respostas suficientes para obt-las, j que as respostas que queremos residem basicamente em domnios registrados no Brasil (.br). Os fruns apontam esta superficialidade nas respostas da verso gratuita como non deep-dig, ou seja: escavao no profunda. Apesar do Gmail ocultar os caracteres que formam o segundo e-mail do alvo, podese facilmente inferir que:

P*********@y****.***.** corresponde a papodebola@yahoo.com.br

Sobre o telefone, no se pode afirmar muita coisa, mas possvel observar que tratase de um nmero de 11 dgitos. No Brasil a grande maioria dos nmeros particulares possuem apenas 8 dgitos e usa-se 3 dgitos para cdigo de localidade. Ento, pode-se inferir que o nmero deve ser: (***) ****-**34. Mais uma observao til: todos os DDS comeam por 0 (zero), logo, melhorando a informao temos: (0**) ****-**34 J temos mais informaes que nos auxiliaro nas escolhas que faremos usando o Maltego. Resta atualizar o log: e-mail: papodebola@gmail.com e-mail alternativo (no confirmado): papodebola@yahoo.com.br Telefone: (0**) ****-**34 domnios relacionados: gmail.com, papodebola.com.br Assuntos de Interesse: futebol

E com estas informaes preliminares j podemos iniciar a pesquisa com o Maltego.

Tutorial de uso do Maltego Data Mining

BUSCANDO OUTROS E-MAILs RELACIONADOS: Como primeira aproximao, inseriu-se o email do GMail e buscou-se as transformaes relacionadas somente com e-mail.

Fig.5 Transformao para e-mail Existem 4 nveis de transformao disponveis para este Objeto (e-mail), a saber: a) All Transforms (no topo da lista): So Pesquisas Especficas para e-mail + Pesquisas Complementares que tratam e-mail de forma indireta (verificao de DNS, sites de relacionamentos, etc); b) Related E-mail anteriormente; Addresses: So somente as Pesquisas Especficas citadas

c) Other Transforms: So somente as Pesquisas Complementares citadas anteriormente; d) All Transforms (na base da lista): So todas as Pesquisas Disponveis. O Maltego exibe um alerta dizendo que os resultados podem demorar. Este tipo de pesquisa deve ser feita com cautela, pois pode trazer muitos resultados inteis e a tela fica muito confusa. Vamos usar a transformao especfica para e-mail (Related E-mail Addresses), mas antes, sugerimos que sejam ajustados alguns parmetros. Para tanto, basta clicar no pequeno cone destacado na figura. O nome transformaes um nome genrico que a provedora do software usa para designar uma pesquisa, pblica ou no. As pesquisas pblicas permitem que o usurio ajuste para qual ferramenta pblica deseja usar na sua pesquisa. Em algumas opes de busca na web, o engine do Maltego usa o Yahoo, mas podemos, e aconselhamos que isso seja feito, direcionar para o Google, por exemplo. E isso ser feito sempre que a parametrizao permitir.

Tutorial de uso do Maltego Data Mining

Fig.6 Ajustando o Search Engine para o Google, ao invs do Yahoo

Explorando melhor este quadro, percebe-se que existem diversas outras informaes sobre a maneira que o Maltego faz esta busca. Percebe-se qual a Entrada e Sada desta busca (INPUT e OUTPUT), a descrio, o timeout (por exemplo: se o Google estiver lento para responder, pode-se ajustar este tempo), etc. Das informaes dispostas nas colunas, a maioria obvia, mas cabe destacar a Location, que indica de onde partiro efetivamente as buscas. Na verso comercial existem buscas que podem partir da sua estao de trabalho diretamente (e existem APIs para que o usurio mesmo desenvolva). No caso das transformaes do grupo de e-mail, os mdulos esto em CES TAS (site do fabricante).

Tutorial de uso do Maltego Data Mining

Do resultado obtido ao rodar as transformaes relativas a e-mails, temos a resposta exibida na tela abaixo, da qual, foi destacada as que sugerem maior chance de sucesso nas investigaes que se seguiro.

Fig.7 Escolhendo mais informaes relacionadas Para no congestionar a tela, podemos apagar os objetos que vamos desconsiderar, mas sempre incluindo as novas informaes no log. Para maior detalhe do que foi descoberto, cabe observar com ateno a tela de properties. Clica-se (uma nica vez) no objeto para destac-lo e em seguida ver o que traz a janela de Property View, conforme abaixo:

Fig.8 Propriedades do Objeto

10

Tutorial de uso do Maltego Data Mining

Percebemos mais informaes relevantes para pesquisa. O investigador deve visitar as URLs apontadas e, se achar conveniente traar pesquisas em paralelo para investigar mais detalhes. Era objetivo descobrir novos e-mails associados, mas alm de descobri-los acabamos por achar outro domnio relacionado (diariosassociados.com.br). momento de atualizar o log:

e-mail: papodebola@gmail.com e-mail alternativo (no confirmado): papodebola@yahoo.com.br, papodebola@terra.com.br, papodebola.mg@diariosassociados.com.br Telefone: (0**) ****-**34 Domnios relacionados: gmail.com, papodebola.com.br, diariosassociados.com.br Assuntos de Interesse: futebol

11

Tutorial de uso do Maltego Data Mining

CONFIRMANDO OS E-MAILS: Vamos rodar uma transformao que permitir saber se os e-mails at ento descobertos so vlidos. Esta informao poder ser til para um futuro contato por e-mail usando Engenharia Social.

Fig.9 Confirmando os e-mails Pelo exibido na figura cima o log perdeu uma informao de e-mail (@terra.com.br) e teve um deles sem verificao (@diariosassociados.com.br), mas o domnio continua sendo til, apesar de no ser possvel confirmar o e-mail, no quer dizer que ele no exista ou que nunca tenha existido.

12

Tutorial de uso do Maltego Data Mining

DESCOBRINDO INFORMAES SOBRE PESSOAS ATRAVS DE DOMNIOS RELACIONADOS Na sequncia de passos a seguir, vamos obter informaes sobre a pessoa que utiliza o e-mail alvo de nossa pesquisa. As transformaes objetivaro descobrir se existe algum mais domnio associado conta papodebola@gmail.com. Vamos investigar outros domnios relacionados com a transformao abaixo. Novamente sugerimos que seja alterado o parmetro para apontar para o Google (destaque em verde abaixo):

Fig.11 Pesquisando outros domnios relacionados Cabe destacar que foi usada a transformao To Website ao invs de To Domain. Esta ltima nos levaria a obter informaes do Gmail, j que este o domnio diretamente associado ao e-mail fornecido. Ao usar a transformao To Website, buscamos sites na web que tenham relacionamentos com qualquer parte do e-mail fornecido.

Fig.12 Destaques de possveis sites relacionados

13

Tutorial de uso do Maltego Data Mining

Observa-se que o tema preferido do nosso alvo mesmo relacionado a futebol e esta informao ganha mais peso a cada passo, dado o link com o site do Milton Neves, conhecido comentarista esportivo. Provavelmente vamos encontrar alguma entrada no Tweeter, graas a pista dada pelo domnio tweetmeme.com (search tool de comentrios do Tweeter). O maior destaque o site www.papodebola.com.br. Vamos apagar os demais sites e explorar mais este ltimo. Aplicaremos mais transformadas para converter o site em domnio e buscaremos informaes sobre o dono do e-mail alvo desta pesquisa.

Fig.13 Convertendo o site em domnio A partir do domnio obtido, as transformadas a seguir exibem informaes do proprietrio do domnio, que poder ter algum relacionamento com nosso alvo.

Fig.14 Transformada para obter mais dados do domnio.

14

Tutorial de uso do Maltego Data Mining

possvel obter os servidores que servem ao domnio, conforme mostra a figura a seguir. Porm a pesquisa sobre o proprietrio do domnio no foi possvel de ser feita na verso gratuita, que usa o WhoIs pblico americano. No Brasil a consulta adequada deveria ser para o WhoIs do Registro.br. Vamos fazer uma busca alternativa usando o Maltego e depois confirmar com uma consulta direta ao Registro.br. Usando o Maltego, aplicamos a transformao sobre o e-mail alvo para obter informaes de redes sociais (no caso o flickr):

Fig.15 Busca em redes sociais

O resultado aponta para uma entidade EduCesar presente no Flickr. Uma visita ao site indicado no menu Property View confirma a possibilidade de que o proprietrio do domnio papodebola.com.br seja tambm o titular do e-mail papodebola@gmail.com e possui o nome Eduardo Cesar

Fig.16 Vnculo com o site Flickr (yahoo)

15

Tutorial de uso do Maltego Data Mining

Uma consulta complementar no Registro.br confirma o que encontramos:

Fig.17 Consulta ao Registro.br O e-mail do domnio @terra.com.br voltou ao log, graas ao peso que o pesquisador deu s informaes do site registro.br. De posse destas informaes, devemos atualizar o log:

Nome: Eduardo de Oliveira Cesar e-mail: papodebola@gmail.com, papodebola@terra.com.br Telefone: (0**) ****-**34 Domnios relacionados: gmail.com, papodebola.com.br, diariosassociados.com.br Assuntos de Interesse: futebol CNPJ: 078.512.603/0001-60

16

Tutorial de uso do Maltego Data Mining

Agora temos vrias fontes para iniciar uma nova pesquisa. Vamos criar um novo objeto chamado Eduardo de Oliveira Cesar e fazer novas transformaes.

Fig. 18 Novo Objeto do tipo PERSON Percebe-se que uma nova caixa de dilogo se abre, questionando sobre informaes adicionais de tentativa de vnculo com algum domnio. No caso, buscamos vnculos com papodebola.com.br e este foi o domnio preenchido. Os campos destacados NO ESTO EM BRANCO. Foram preenchidos com o carter ESPAO, conforme sugere o texto em ingls quando no temos nada para informar.

Fig. 19 Preenchendo informaes adicionais de vnculo

17

Tutorial de uso do Maltego Data Mining

A resposta a esta pesquisa foi enriquecedora, pois revela claramente os vnculos j apontados. Inclusive achamos o e-mail original (papodebola@gmail.com) que iniciou esta pesquisa.

Fig. 20 Vnculos estabelecidos e confirmados. Apesar de parecer ser convincente uma foto com o nome e sobrenome do alvo procurado, o pesquisador precisa recorrer aos seus critrios antes de aceitar esta informao. Uma visita ao FaceBook e busca pelo nome mostra um perfil que diverge fortemente dos temas relacionados ao futebol conforme era esperado. Isto serve para ilustrar que o pesquisador sempre deve ponderar muito antes de adotar ou no uma nova pista. Um erro pode levar a caminhos de difcil retorno.

18

Tutorial de uso do Maltego Data Mining

Para se preparar para um possvel contato com o alvo, melhor que seja direcionado um e-mail para uma conta pessoal e no uma conta papodebola@gmail.com. Para confirmar se a conta eduardodeoliveiracesar@gmail pertence mesmo ao alvo e se est ativa, basta realizar as transformaes abaixo:

Fig. 21 Verificar se o e-mail existe

Fig.22 Comprovao do vnculo entre o domnio e o e-mail pessoal Na figura cima, alm dos vnculos confirmados, aparecem outras informaes que sugerem uma atividade profissional do alvo: atividade policial. Fato percebido pelos domnios sociedadepolicial.files.wordpress.com e guardamunicipalnh.ning.com.

19

Tutorial de uso do Maltego Data Mining

Ento, de posse destas novas informaes pode-se buscar informaes complementares no Google, bastando entrar com os dados obtidos do log: Nome: Eduardo de Oliveira Cesar Profisses relacionadas: comentarista esportivo, atividade policial ( confirmar) e-mail: papodebola@gmail.com, papodebola@terra.com.br Telefone: (0**) ****-**34 Domnios relacionados: gmail.com, papodebola.com.br, diariosassociados.com.br Assuntos de Interesse: futebol CNPJ: 078.512.603/0001-60

Uma informao parecia no estar correta: ao se consultar o link do YouTube que a pesquisa do Google apontava, foi possvel constatar que, no exemplo escolhido ao acaso para este trabalho, ocorreu um caso de homnimo perfeito. Confrontando a foto exibida na pgina da rdio gacha onde aparece o Eduardo de Oliveira Cesar, com forte ligao ao futebol, o link do YouTube mostra uma outra pessoa na reportagem de priso de foragidos no Rio Grande do Sul, conforme imagens abaixo:

Fig. 23 Informaes do Google para os possveis Eduardo de Oliveira Cesar, dono do e-mail papodebola@gmail.com

20

Tutorial de uso do Maltego Data Mining

Para dirimir este conflito utilizamos um simples artifcio de Engenharia Social, mandando um email para o papodebola@gmail.com, com um assunto fortemente relacionado futebol onde, alm de obter mais informaes, comentamos sobre o caso de homnimo. Para obter um link, fomos at o site do Milton Neves buscar algum vnculo que desse credibilidade ao e-mail e achamos este comentrio assinado pelo alvo.

Fig.24 Vnculo obtido em http://terceirotempo.ig.com.br/coluna_materia.php?id=835

Montamos ento o seguinte e-mail:

Fig. 25 Texto de e-mail

21

Tutorial de uso do Maltego Data Mining

Utilizamos um servio de envio annimo de e-mails (Fake E-mails). Este provedor foi escolhido porque um dos poucos que no acrescenta um Banner identificador da origem:

Fig. 26 Fake Mail - http://emkei.cz/

Direcionamos as respostas e os erros de entrega para o e-mail real que foi criado no Gmail: edsonmoreno.gazeta@gmail.com. Assim, se o alvo responder ao remetente, as respostas seguiro para este endereo do Gmail.

22

Tutorial de uso do Maltego Data Mining

4. DATA MINING - Pesquisa de site/domnio Com a proximidade dos jogos olmpicos que sero realizados no Rio de Janeiro em 2016, muitos questionam se a cidade estar preparada para esse evento. Com esse pensamento, resolvemos verificar a vulnerabilidade do domnio do COB (Comit Olmpico Brasileiro www.cob.org.br). Com o auxilio do Maltego tentaremos identificar alguns servidores no domnio cob.org.br, tais como servidores de e-mail, DNS, FTP, etc.

Fig.1 Transformao para servidores DNS

A figura a seguir mostra o resultado de alguns servidores encontrados.

Fig.2 - Servidores publicados na WEB

Mesmo sendo uma verso gratuita, o Maltego mostrou um resultado satisfatrio e oferece algumas funes que ir nos ajudar muito em nossa pesquisa. Como por exemplo, a resoluo de endereo IP de um servidor encontrado.

23

Tutorial de uso do Maltego Data Mining

Fig.3 Resolvendo endereo IP

Para conferir a veracidade do Sistema, fiz uma consulta no Netcraft (http://news.netcraft.com)

Fig.4 Resultado da busca no endereo FTP (http://ftp.cob.org.br)

Na fig.2 possvel identificar alguns tipos de servidores pelo nome. Como exemplo o prprio servidor FTP. Pois se utilizarmos o endereo na internet ele solicitar uma conta para a autenticao e acesso do mesmo. Mas usaremos outro servidor de exemplo para que seja possvel utilizar mais uma opo do Maltego. A escolha da transformao To Domain [Sharing this MX] determina quais domnios utilizam o mesmo nome DNS.

24

Tutorial de uso do Maltego Data Mining

Fig.5 - Transformao To Domain [Sharing this MX] no objeto srv-correio.cob.org.br

O sistema mostrar mais trs domnios, onde evidente o domnio criado para as olimpadas de 2016 aqui no Rio de Janeiro. Os outros dois so de uma empresa responsvel pelo marketing do COB (http://olympomkt.com.br) e outro criado provavelmente para um comit das olimpadas de 2004 em Atenas.

Mas concentrando esforos na busca por informaes sobre os jogos de 2016: Existe uma opo no Maltego que capaz de nos mostrar documentos hospedados em site web dentro do domnio.

Fig.6 Encontrando arquivos e documentos hospedados no domnio.

25

Tutorial de uso do Maltego Data Mining

Fig.7 Arquivos e documento encontrados hospedados no domnio.

A maior parte dos arquivos encontrados tem como ttulo o nome de um cargo. Para visualizar o arquivo hospedado necessrio copiar o endereo da URL que se encontra na propriedade do objeto. Basta dar um dublo clique em cima do objeto ou selecion-lo e em seguida clicar na guia Property View no canto superior direito da janela do sistema.

Fig.8 Acessando as propriedades do objeto

26

Tutorial de uso do Maltego Data Mining

Depois de copiar o endereo da URL, acessamos o mesmo e foi possvel verificar que se tratava de um documento descrevendo uma possvel vaga de emprego no Comit Olmpico Rio 2016 (http://www.rio2016.org.br/sites/default/files/analista_de_infraestrutura_de_ti_junio r.pdf).

Utilizando a mesma tcnica no domnio rio2016.org.br que utilizamos no domnio anterior (conforme mostrado na Fig. 1) iremos obter o seguinte resultado.

Fig.9 - Servidores publicados na WEB do domnio rio2016.org.br

Agora, possvel verificar que no resultado surgiu um servidor de acesso ao correio eletrnico pela WEB. Quando acessamos o endereo webmail.rio2016.org.br verificamos que o servidor de e-mail que eles utilizam provavelmente um Microsoft Exchange 2007.

27

Tutorial de uso do Maltego Data Mining

Fig.10 Pgina de acesso ao correio eletrnico na WEB do domnio rio2016.org.br

Na maioria das vezes, os administradores de correio Exchange acabam configurando a conta de e-mail com o mesmo nome que a conta de rede (domnio) para cada conta. Ou seja, se a conta de acesso a rede corporativa carlos.nuzman, ento o endereo de e-mail ficaria carlos.nuzman@rio2016.org.br. Agora que j temos o endereo para acessar o webmail da empresa, falta apenas encontrar uma conta para este domnio. Com a conta em mo possvel criar uma lista de senhas (Word List) para em seguida tentar um ataque de fora bruta (Brute Force) ou mesmo engenharia social, conforme mostrado na primeira parte deste trabalho.