информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеСетевые кракеры и правда о деле ЛевинаЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Умер Фредерик Брукс 
 Обход андроидной блокировки 
 Dropbox посеял 130 репозиториев 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / безопасность
БИБЛИОТЕКА
вход в библиотеку
книги
безопасность
программирование
криптография
internals
www
телефония
underground
беллетристика
разное
обзор: избранное
конкурс
рейтинг статей
обсуждение




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон




Сбор критических данных без вторжения
ALiEN Assault
Опубликовано: dl, 31.12.03 01:15

В этой статье речь пойдёт о методах поиска технической информации, относящейся к конкретной системе, не привлекающих внимания IDS и администратора системы. Статья может оказаться полезной в ходе планирования испытаний на проникновение (penetration testing), а также содержит советы по предотвращению утечки критической информации, заслуживающие внимания системных администраторов.

О методах сбора информации написано немало, однако в основном рекомендации сводятся либо к соединениям с системой с исследованием сообщений от сервисов (banner-grabbing), либо к использованию социальной инженерии. Оба эти метода в большинстве случаев эффективны, однако, при наличии мало-мальски разумной политики безопасности, насторожат администратора.

Описанные ниже методы сбора информации отличаются как легальностью (даже простые подключения к портам могут быть расценены как неавторизованная деятельность - ведь в результате расходуется некое количество машинного времени), так и "прозрачностью" - без дополнительной "контрразведки" такая деятельность практически незаметна, и не может послужить "триггером" для принятия контрмер.

Будем исходить из минимального набора исходных сведений - IP адрес системы и её хостнэйм. Естественно, все интересующиеся IT-безопасностью имеют представление о whois, DNS lookup, finger, traceroute, и так далее. В то же время, нет никакой необходимости делать запросы непосредственно со своей машины - существует ряд онлайн-инструментов, реализованных как CGI или PHP скрипты, с помощью которых можно осуществить запрос с разнообразных удалённых и от "мишени", и от "стрелка" серверов. С перспективы "прозрачной разведки" весь интернет можно представить одним распределённым инструментом для сбора информации - в нашем случае, информации, раскрытие которой может оказаться критическим для безопасности системы.

Естественно, использование онлайн-скриптов - не новость, и является только первым этапом рассматриваемой стратегии. На этом этапе мы получаем первый блок информации, абсолютно безвредной , но в то же время - это та самая печка, от которой уже можно плясать: e-mail администратора, название организации, название хостинга, адреса DNS и так далее.

Следующий этап - сбор информации о конфигурации системы. Опять-таки с помощью онлайн-инструментов можно получить информацию об используемой операционной системе. В случае наличия веб-сервера лишний раз проверить полученную информацию можно, используя просто браузер Netscape или Mozilla - в его кэше сохраняется запись вроде

Apache/1.3.28 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.2 PHP/4.3.3 FrontPage/5.0.2.2634 mod_ssl/2.8.15 OpenSSL/0.9.7a

На сайте хостинга нередко можно найти техническую информацию о сервере - вплоть до топологии сети.



На этой иллюстрации, находившейся в открытом доступе, удалена идентифицирующая конкретную сеть информация. Как можно видеть, опубликованы даже модели оборудования.

Здесь начинается разведка как таковая - мы берём *каждый* кусочек полученной информации и проводим поиск этого сочетания - например, e-mail администратора, его имя, хостнэйм системы и так далее - это ключ к серьёзному объёму информации. Так, в ходе консультации, проводимой мной для некой весьма известной компании, поиск по взятому с whois адресу администратора местного филиала показал его пост в форуме крупного IT-security портала Neophasis, где на приличном английском излагались его проблемы с конфигурацией защитных средств, и подробно описывалось используемое ПО. Поиск по хостнэйму может привести к логам прокси-серверов, нередко содержащим полезную информацию.

Системным администраторам можно посоветовать включить следующие меры в политику безопасности:

  • не использовать один и тот же адрес для регистрации домена, и в открытом для посторонних глаз обсуждении технических деталей;
  • в обсуждениях с посторонними специалистами через интернет, которые, несомненно, могут стать чрезвычайно продуктивными, безопаснее использовать "аватар", или "альтернативную личность", не раскрывая своего подлиного имени и места работы;
  • модифицировать баннеры сервисов; так, администратор известного затяжными сражениями с хакерами сайта RIAA.org изменил баннер Microsoft IIS 6.0 на TST-SECURE-OS (другое дело, что при этом каталог /admin не был защищён должным образом).

В заключение - конкретный пример "прозрачной разведки", проведённой специально для этой статьи. Так как не ставилась задача выявить все уязвимости или получить на системе привилегии, предприняты шаги исключительно демонстрационного характера. В примере я использую хостнэйм, присланный мне спаммерами - laserjet.ru. Коль скоро господа, управляющие этим сайтом, прибегают к невостребованной переписке от недостатка общения, логично будет предположить, что они не имеют ничего против некоторой известности :)

Итак, laserjet.ru

IP: 69.56.138.130

Веб-сервер: Apache/1.3.29 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.2 PHP/4.3.3 FrontPage/5.0.2.2634 mod_ssl/2.8.16 OpenSSL/0.9.7a

ОС: Linux (точнее определить можно с помощью средств passive OS fingerprinting)

Из ответа nslookup: email: root.laserjet.ru

Вот и логин - root. Доверчиво вбив адрес, какой не жалко, в форму на сайте, получаем с ответным письмом ещё один логин, info, а также видим в заголовке: Received: from 69.56.138.130 (EHLO mustang.ipaska.net)

Следующим шагом узнаём о хостинге ipaska.com и читаем об его сервисах, в частности: ....Network Operation Centers use industry-standard SNMP... ....All critical services/ports are monitored, including FTP, HTTP, SMTP, HTTPS, SSH and POP3.

mustang.ipaska.net:21 PureFTPd 1.0.12 (разрешён анонимный доступ)

whois laserjet.ru: org: Suntor Limited e-mail: jhnsmith50@hotmail.com

Поиск по двум последним строкам показал ещё один домен с такими же регистрационными данными - pointer.ru. Любопытный домен, надо отметить, особенно субдомены:

ad.pointer.ru		195.161.119.193 
icq.pointer.ru		195.161.119.193 
mail.pointer.ru		81.176.69.152 
mail2.pointer.ru	195.161.119.193
ms.pointer.ru		195.161.119.193  
ns.pointer.ru		81.176.69.152  
ns2.pointer.ru		195.161.119.193 
popup.pointer.ru	195.161.119.193

195.161.119.193 также определяется как virtual193.damochka.ru

Веб-сервер: Apache/1.3.29 (Unix) mod_gzip/1.3.19.1a mod_perl/1.27 PHP/4.3.4RC1

ОС: FreeBSD

логин: info (логично предположить, что раз у laserjet.ru существуют логины root и info, то здесь такая же ситуация, и существует логин root).

Так как мы видим mail.pointer.ru и mail2.pointer.ru, можно отправить письмо несуществующему пользователю spammustdie@pointer.ru, и видим в ответе об ошибке:

Remote-MTA: dns; mail.pointer.ru (81.176.69.152|25|....)

То есть имеется SMTP-сервер на порту 25. В план дальнейшего исследования можно включить, в частности, получение списка логинов через SMTP командой expn. В принципе, обращения к SMTP-серверу уже несколько выходят за рамки данной статьи.

ns.pointer.ru - DNS-сервер. ad.pointer.ru и popup.pointer.ru могут пополнить собой банлисты средств борьбы с онлайн-рекламой :) Несколько озадачили icq.pointer.ru (крайне бессвязно наполненный, с точки зрения контента; с маркетинговой перспективы - всё понятно) и ms.pointer.ru - редирект на microsoft.com. Microsoft прибегает к услугам спаммеров? index этого сайта - копия заглавной страницы microsoft.com.

Поиском обнаружен также адрес popup.pointer.ru:8080 - предположительно прокси-сервер :) Суммарно: исходя из хостнэйма laserjet.ru, из открытых источников получены:

  • laserjet.ru: 2 логина, тип OC, HTTP и FTP серверов, краткий список используемых хостером сервисов;
  • 9 принадлежащих той же компании хостнэймов *.pointer.ru;
  • pointer.ru: логин (предположительно - 2), наличие SMTP и proxy на определённых портах, тип OC и веб-сервера, информация о "странных" icq.pointer.ru и ms.pointer.ru. Собранная информация теоретически может быть использована как сетевым активистом для легального преследования спаммеров и затруднения их деятельности, так и хакером для получения повышенных привилегий на указанных системах - любой sсriptkiddie в состоянии найти эксплойт, зная тип и версию ПО.


обсудить  |  все отзывы (1)

[24640; 236; 5.61]




Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach