Сбор критических данных без вторжения
www.cybersecurity.ru
В этой статье речь пойдёт о методах поиска технической информации, относящейся к конкретной системе, не привлекающих внимания IDS и администратора системы. Статья может оказаться полезной в ходе планирования испытаний на проникновение (penetration testing), а также содержит советы по предотвращению утечки критической информации, заслуживающие внимания системных администраторов. О методах сбора информации написано немало, однако в основном рекомендации сводятся либо к соединениям с системой с исследованием сообщений от сервисов (banner-grabbing), либо к использованию социальной инженерии. Оба эти метода в большинстве случаев эффективны, однако, при наличии мало-мальски разумной политики безопасности, насторожат администратора. Описанные ниже методы сбора информации отличаются как легальностью (даже простые подключения к портам могут быть расценены как неавторизованная деятельность - ведь в результате расходуется некое количество машинного времени), так и "прозрачностью" - без дополнительной "контрразведки" такая деятельность практически незаметна, и не может послужить "триггером" для принятия контрмер. Будем исходить из минимального набора исходных сведений - IP адрес системы и её хостнэйм. Естественно, все интересующиеся IT-безопасностью имеют представление о whois, DNS lookup, finger, traceroute, и так далее. В то же время, нет никакой необходимости делать запросы непосредственно со своей машины - существует ряд онлайн-инструментов, реализованных как CGI или PHP скрипты, с помощью которых можно осуществить запрос с разнообразных удалённых и от "мишени", и от "стрелка" серверов. С перспективы "прозрачной разведки" весь интернет можно представить одним распределённым инструментом для сбора информации - в нашем случае, информации, раскрытие которой может оказаться критическим для безопасности системы. Естественно, использование онлайн-скриптов - не новость, и является только первым этапом рассматриваемой стратегии. На этом этапе мы получаем первый блок информации, абсолютно безвредной , но в то же время - это та самая печка, от которой уже можно плясать: e-mail администратора, название организации, название хостинга, адреса DNS и так далее. Следующий этап - сбор информации о конфигурации системы. Опять-таки с помощью онлайн-инструментов можно получить информацию об используемой операционной системе. В случае наличия веб-сервера лишний раз проверить полученную информацию можно, используя просто браузер Netscape или Mozilla - в его кэше сохраняется запись вроде Apache/1.3.28 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.2 PHP/4.3.3 FrontPage/5.0.2.2634 mod_ssl/2.8.15 OpenSSL/0.9.7a На сайте хостинга нередко можно найти техническую информацию о сервере - вплоть до топологии сети.
На этой иллюстрации, находившейся в открытом доступе, удалена идентифицирующая конкретную сеть информация. Как можно видеть, опубликованы даже модели оборудования. Здесь начинается разведка как таковая - мы берём *каждый* кусочек полученной информации и проводим поиск этого сочетания - например, e-mail администратора, его имя, хостнэйм системы и так далее - это ключ к серьёзному объёму информации. Так, в ходе консультации, проводимой мной для некой весьма известной компании, поиск по взятому с whois адресу администратора местного филиала показал его пост в форуме крупного IT-security портала Neophasis, где на приличном английском излагались его проблемы с конфигурацией защитных средств, и подробно описывалось используемое ПО. Поиск по хостнэйму может привести к логам прокси-серверов, нередко содержащим полезную информацию. Системным администраторам можно посоветовать включить следующие меры в политику безопасности:
В заключение - конкретный пример "прозрачной разведки", проведённой специально для этой статьи. Так как не ставилась задача выявить все уязвимости или получить на системе привилегии, предприняты шаги исключительно демонстрационного характера. В примере я использую хостнэйм, присланный мне спаммерами - laserjet.ru. Коль скоро господа, управляющие этим сайтом, прибегают к невостребованной переписке от недостатка общения, логично будет предположить, что они не имеют ничего против некоторой известности :) Итак, laserjet.ru IP: 69.56.138.130 Веб-сервер: Apache/1.3.29 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.2 PHP/4.3.3 FrontPage/5.0.2.2634 mod_ssl/2.8.16 OpenSSL/0.9.7a ОС: Linux (точнее определить можно с помощью средств passive OS fingerprinting) Из ответа nslookup: email: root.laserjet.ru Вот и логин - root. Доверчиво вбив адрес, какой не жалко, в форму на сайте, получаем с ответным письмом ещё один логин, info, а также видим в заголовке: Received: from 69.56.138.130 (EHLO mustang.ipaska.net) Следующим шагом узнаём о хостинге ipaska.com и читаем об его сервисах, в частности: ....Network Operation Centers use industry-standard SNMP... ....All critical services/ports are monitored, including FTP, HTTP, SMTP, HTTPS, SSH and POP3. mustang.ipaska.net:21 PureFTPd 1.0.12 (разрешён анонимный доступ) whois laserjet.ru: org: Suntor Limited e-mail: jhnsmith50@hotmail.com Поиск по двум последним строкам показал ещё один домен с такими же регистрационными данными - pointer.ru. Любопытный домен, надо отметить, особенно субдомены: ad.pointer.ru 195.161.119.193 icq.pointer.ru 195.161.119.193 mail.pointer.ru 81.176.69.152 mail2.pointer.ru 195.161.119.193 ms.pointer.ru 195.161.119.193 ns.pointer.ru 81.176.69.152 ns2.pointer.ru 195.161.119.193 popup.pointer.ru 195.161.119.193 195.161.119.193 также определяется как virtual193.damochka.ru Веб-сервер: Apache/1.3.29 (Unix) mod_gzip/1.3.19.1a mod_perl/1.27 PHP/4.3.4RC1 ОС: FreeBSD логин: info (логично предположить, что раз у laserjet.ru существуют логины root и info, то здесь такая же ситуация, и существует логин root). Так как мы видим mail.pointer.ru и mail2.pointer.ru, можно отправить письмо несуществующему пользователю spammustdie@pointer.ru, и видим в ответе об ошибке: Remote-MTA: dns; mail.pointer.ru (81.176.69.152/25/....) То есть имеется SMTP-сервер на порту 25. В план дальнейшего исследования можно включить, в частности, получение списка логинов через SMTP командой expn. В принципе, обращения к SMTP-серверу уже несколько выходят за рамки данной статьи. ns.pointer.ru - DNS-сервер. ad.pointer.ru и popup.pointer.ru могут пополнить собой банлисты средств борьбы с онлайн-рекламой :) Несколько озадачили icq.pointer.ru (крайне бессвязно наполненный, с точки зрения контента; с маркетинговой перспективы - всё понятно) и ms.pointer.ru - редирект на microsoft.com. Microsoft прибегает к услугам спаммеров? index этого сайта - копия заглавной страницы microsoft.com. Поиском обнаружен также адрес popup.pointer.ru:8080 - предположительно прокси-сервер :) Суммарно: исходя из хостнэйма laserjet.ru, из открытых источников получены:
Страница сайта http://silicontaiga.ru
Оригинал находится по адресу http://silicontaiga.ru/home.asp?artId=5639 |