Gericht hacken kan met Foca

De afgelopen maanden worden er steeds meer zeer gerichte aanvallen uitgevoerd op bedrijven. Als hackers aan kostbare informatie willen komen, schieten zij nu eenmaal liever niet met een kanon op een mug maar gaan ze zeer precies te werk. Het is dan heel erg nuttig om te weten welke software er bij een bedrijf veel voorkomt.

Eenvoudig gebruikte software vinden

Hackers kunnen zich dan namelijk richten op bekende gaten in bijvoorbeeld een kantoorsuite, besturingssysteem of een beeldbewerkingspakket. Zo is het eenvoudiger om in te breken bij een systeem. Veel software slaat deze gegevens bovendien op in het document als zogeheten metadata. Veel bedrijven zetten deze documenten ook gewoon op het web. Met die data kunnen hackers op een simpele manier bepalen welke software een bedrijf gebruikt.

Het kan echter wel een heel karwei zijn om van een bedrijf relevante documenten te pakken te krijgen, om vervolgens te achterhalen met wat voor software die zijn gemaakt. Documenten die op een site staan, zijn met bijvoorbeeld Google wel eenvoudig te vinden, maar het downloaden en controleren van de bestanden is een ander verhaal.

Daar komt het gratis tooltje Foca om de hoek kijken. Met dat tooltje is het heel eenvoudig om alle bestanden die op een bepaalde domeinnaam staan te vinden. Foca gebruikt daarvoor de zoekmachines Google, Bing en Exalead. De documenten zijn te vinden door een zoekstring als site:*.idg.nl filetype:doc op te geven.

Powerpoint is het nuttigst

Alle gevonden documenten komen vervolgens netjes in een lijst te staan, waarna de gebruiker de bestanden eenvoudig allemaal kan downloaden. Eerst een selectie maken is vanzelfsprekend ook mogelijk. Eenmaal gedownload kan alle metadate met één klik op de rechtermuisknop worden geanalyseerd. Dat kan door op een document in de lijst aan de linkerkant te klikken, maar Foca geeft ook een nette samenvatting van alle gevonden software.

Behalve de data die uit de gevonden documenten komt, ziet Foca alle foto's in een document. Door de EXIF informatie is het dan eenvoudig om uit te vinden welke beeldbewerkingssoftware en camera er is gebruikt. Ook de camera waarmee een foto geschoten is, wordt zichtbaar. Powerpoint geeft daardoor de meest waardevolle informatie. Daar zitten immers altijd veel foto's in.

Office 97

Webwereld nam de proef op de som en bekeek een aantal bedrijven en instellingen met opvallende resultaten. Zo blijkt dat Shell met name computers gebruikt die draaien op Windows 2000 in combinatie met Microsoft Office 2000. Beide systemen worden al lang niet meer ondersteund en hebben bovendien bekende gaten.

De Nederlandse overheid gebruikt als besturingssysteem, weinig verrassend, vooral Windows XP. Als officepakket gebruiken zij het vaakst Office XP en Office 2000. Daarvan wordt alleen Office XP nog ongeveer twee maanden door Microsoft ondersteund met verlengde ondersteuning. De AIVD spant de kroon, daar gebruikten ze in 2008 nog minimaal één computer met het stokoude Office 97. Mogelijk is dat inmiddels niet meer zo, maar in 2008 was dat systeem in ieder geval nog vatbaar voor aanvallen.

Verder doet de AIVD het overigens vrij goed. De geheime dienst plaatst namelijk nauwelijks documenten met informatieve metadata online. Ook een willekeurig beveiligingsbedrijf dat we bekeken doet het goed. Trend Micro verwijdert in alle documenten het versienummer van Office en draait Windows XP of Windows 7. Die zijn beiden nog ondersteund.

Metadata verwijderen

Naast het analyseren van metadata kunnen kwaadwillenden de documenten met Foca ook gebruiken om informatie over een lokaal netwerk te verkrijgen. Het haalt daarvoor referenties naar andere systemen zoals (domein)servers en printers uit de documenten. Foca stuurt die data vervolgens naar de dienst Robtex, die meer informatie over de verbonden systemen zoekt. Het is ook mogelijk om snel de reverse dns van een server te vinden.

Beheerders die liever niet hebben dat alle softwaregegevens gewoon via de website op straat liggen, kunnen dat eenvoudig tegengaan. Microsoft legt bijvoorbeeld op haar website uit hoe dat voor Office moet. Office 2010 heeft een optie waarmee de metadata eenvoudig kan worden verwijderd. Het bedrijf achter Foca biedt zelf de applicatie MetaShield for Microsofts IIS webserver aan. Die tool verwijdert automatisch alle metadata voordat iemand een bestand kan downloaden.

De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.