Всичко, което трябва да знаете за FOCA: инструментът за анализ на метаданни

  • FOCA ви позволява да извличате чувствителна информация от файлове в мрежата или локално.
  • Инструментът е идеален за задачи преди събиране при одити на сигурността.
  • Той интегрира множество търсачки и поддържа плъгини за разширяване на функциите си.
  • Неговата версия с отворен код позволява на общността да адаптира и подобри ефективността си.
Daniel Terrasa

6 Minutos

FOCA инструмент за метаданни

Киберсигурността продължава да се развива, а с нея и инструментите, които ни позволяват ефективно да защитаваме и проверяваме системите. Една от най-известните среди за одит на сигурността е ТЮЛЕН, решение, ориентирано към анализ и извличане на метаданни в цифрови файлове.

Въпреки че е бил на радара на професионалистите повече от десетилетие, той продължава да изненадва с това, на което е способен, особено когато става въпрос за извличане на чувствителна информация от на пръв поглед безобидни документи.

Но какво е толкова специалното на FOCA? Освен че е прост инструмент за извличане на метаданни, той се превърна пълен пакет за разпознаване на цели за одити на сигурността. Способността му да анализира документи от мрежата или локално, интеграцията му с други търсачки и интуитивният му интерфейс го правят основно решение.

Какво е FOCA и защо се използва толкова широко?

FOCA е акронимът на Организации за снемане на пръстови отпечатъци със събрани архиви (което може да се преведе като „организации за вземане на пръстови отпечатъци със събрани файлове“. Това е а инструмент с отворен код, предназначен за извличане и анализиране на метаданни присъства в голямо разнообразие от цифрови файлове. Първоначално е разработен от Informática 64 (сега ElevenPaths, част от Telefónica) и се използва повече от десетилетие в среди за одит, съдебни анализи и тестове за проникване.

Основната му функция е да събира публични файлове, главно на уеб страници, и извличане на скрита информация в тях. Тази информация може да изглежда безобидна, но често разкрива системни потребители, вътрешни конфигурации, версии на софтуера и дори мрежови пътища. Всичко, което представлява потенциална входна точка за нападател.

От друга страна, това, което започна като помощна програма, ограничена до метаданни на офис файлове, се превърна в универсален инструмент за el снемането на пръстови отпечатъци на организационни структури от разстояние.

Използване на FOCA при одити на безопасността

Основни характеристики на FOCA

Това, което отличава FOCA от други подобни решения, е способността му да автоматизирайте сложни задачи за събиране на информация. По-долу са най-важните функции, предлагани от този инструмент:

  • Сканиране на публични документи в мрежата: Използвайте търсачки като Google, Bing и DuckDuckGo, за да намерите файлове, свързани с конкретен домейн.
  • Дълбоко извличане на метаданни: Открива вградена информация във файлове като Microsoft Office, Open Office, PDF, PS, EPS, SVG, изображения и др.
  • Идентифициране на чувствителни данни: Потребителски имена, версии на използвания софтуер, изходна операционна система, абсолютни пътища, използвани принтери или вътрешни сървъри.
  • Мрежово картографиране: Позволява ви да намирате поддомейни, да извършвате трансфери на DNS зони и да създавате организационна карта на целевата инфраструктура.
  • Откриване на IP и домейн: Чрез техники като PTR сканиране, обратно IP търсене, DNS речникови атаки и използване на добре познати DNS записи.

FOCA не само служи като екстрактор на метаданни, но също така ви позволява да прилагате OSINT техники (Разузнаване с отворен код) чрез своите възможности за търсене и интеграция с API като напр Shodan.

Случаи на използване на FOCA в киберсигурността

Основната употреба на FOCA е по време на началните фази на a анализ на сигурността или пентестиране. Този процес се нарича отпечатъки целта му е да получи възможно най-много информация от целта, без да взаимодейства директно с нея.

Например, чрез анализиране на документи, публикувани на уебсайта на компанията, FOCA може да извлече:

  • Името на лицето, което е създало или редактирало документа.
  • Дати, когато е модифициран и отпечатан.
  • Използван софтуер (Word 2016, Adobe Acrobat Pro и др.).
  • Принтери, абсолютни пътища, операционни системи и др.

С всички тези данни можете извод за технологичната среда на организацията, оборудването, софтуера и дори вътрешната му структура. Всичко това без да е необходимо да стартирате един пакет към вашите сървъри, което прави FOCA особено ефективен за пентестъри и дигитални съдебни анализатори.

пентестиращ печат

Как FOCA работи стъпка по стъпка

Работата с FOCA е относително проста, въпреки че инструментът е на английски. Има два начина да работите с него: с локални файлове на вашия компютър или с публични файлове, намиращи се в Интернет. И двата метода са обобщени по-долу:

1. Локален файлов анализ

С отворен инструмент просто отидете в раздела „Метаданни“, щракнете с десния бутон и изберете „Добавяне на файл“ (или „Добавяне на папка“, ако искате да анализирате цяла папка). Има и опция за директно плъзгане на документи.

След като се заредят, те са избрани, щракнете с десния бутон и изберете „Извличане на метаданни“. FOCA ще покаже всички намерени метаданни, организирани по файл.

2. Онлайн анализ на файлове

Това е най-мощната процедура. Трябва да започнете, като създадете нов проект, като посочите име на проекта, на уеб домейн за анализиране и по желание целева папка за изтеглените документи.

Веднъж конфигуриран, FOCA ще търси файлове с помощта на Google, Bing и/или DuckDuckGo, като също така ви позволява да филтрирате по тип файл (PDF, DOCX, XLSX и др.). След намиране на документи, те могат да бъдат изтеглени и техните метаданни извлечени, точно както локалните файлове.

Технически изисквания за използване на FOCA

FOCA е проектиран да работи под Windows (версии 7 и по-нови, 64-битови) и изисква някои допълнителни компоненти:

  • NET Framework 4.7.1 или по-високо.
  • Visual C++ Redistributable 2010 x64 или по-късно.
  • SQL Server 2014 или по-висока, тъй като FOCA използва база данни за съхраняване на проектни данни.

По време на инсталацията, ако не бъде открит наличен екземпляр на SQL Server, потребителят ще бъде подканен да въведе ръчно низ за връзка.

Благодарение на работата на Рефакторинг, извършен от екипа на ElevenPaths, FOCA вече е по-стабилна и ефективна, като дори позволява многонишкови операции с опашка от задачи, оптимизирана за големи обеми данни.

През годините FOCA се утвърди като Един от най-универсалните и мощни инструменти в областта на анализа на метаданни и събирането на публична информация. Способността му да извлича жизненоважни данни от отворени източници без пряка намеса го прави ключов компонент на всеки дигитален криминалистичен одит или анализ.