Blazej Kantak - Zbieranie informacji do testow penetracyjnych, E-book
[ Pobierz całość w formacie PDF ]
Zbieranie informacji do testów
penetracyjnych
Błażej Kantak
Artykuł w formie elektronicznej pochodzi z magazynu
hakin9 Nr 3/2006
. Wszelkie prawa zastrzeżone.
Rozpowszechnianie artykułu bez zgody Software Wydawnictwo Sp. z o.o. Zabronione.
Magazyn
hakin9
, Software-Wydawnictwo, ul. Piaskowa 3, 01-067 Warszawa
, pl@hakin9.org
Zbieranie informacji
do testów penetracyjnych
Praktyka
Błażej Kantak
stopień trudności
Podanie do publicznej wiadomości zbyt dużej ilości informacji
może naruszyć zasad polityki bezpieczeństwa, a tym samym
ułatwić atak na system informatyczny przedsiębiorstwa lub
organizacji. Zobaczmy, gdzie i w jaki sposób łatwo znajdziemy
cenne dane, które mogą posłużyć do kompromitacji systemu
irmowych zabezpieczeń.
ne hasło w prasie branżowej. Dla wie-
lu osób, które swą wiedzę opierają na
ilmach typu
The Hackers,
gdzie włamanie
do systemu informatycznego polega na lata-
niu w rzeczywistości wirtualnej pomiędzy pół-
przeźroczystymi, świecącymi wieżami, pente-
sty to istna
czarna magia
. Okazuje się, że
dia-
beł nie taki straszny..
. Wystarczy znajomość kil-
ku narzędzi i metod pracy, aby, przy odrobinie
szczęścia, doprowadzić do kompromitacji wy-
brany system zabezpieczeń.
W artykule nie mam zamiaru wykładać ani
teorii hackingu, ani pisać o etyce, którą kieruje
się i której przestrzega prawdziwy hacker. Arty-
kuł ten nie będzie również prostym przewodni-
kiem po narzędziach, ani listą typu TODO. Za-
mierzam pokazać, jak wiedza, którą posiada
lub może zdobyć większość obytych z kompu-
terami i siecią użytkowników, odpowiednio sko-
relowana i zebrana może posłużyć do złamania
systemu zabezpieczeń dużej części obecnych
w Internecie irm i instytucji.
Postaram się pokazać, co można zrobić
przy pomocy przeglądarki, krzesła, muzyki
i oczywiście... własnej głowy, bez której
wszystko inne, nawet to, co zawarte jest w tym
tekście, pozostaje bezużyteczne. Celowo nie
podam wszystkich szczegółów technicznych,
aby Czytelnik mógł sam, na własną rękę po-
eksperymentować i poczuć satysfakcję z faktu,
że coś może w końcu
się udać
.
Tekst ten skierowany jest przede wszystkim
do użytkowników początkujących w dziedzinie
bezpieczeństwa informatycznego, ale obytych z
komputerami i Internetem. A zatem zaczynamy.
Jak sobie pościelesz...
Na początku napomknąłem o czynnikach wa-
runkujących, w większości przypadków, końco-
Z artykułu dowiesz się...
• Jak wygląda pierwsza faza testów penetracyj-
nych,
• Jak należy się bronić przed pasywnym zbiera-
niem informacji.
Powinieneś wiedzieć...
• powinieneś umieć korzystać z przeglądarki in-
ternetowej,
• powinieneś znać model sieci TCP/IP,
36
hakin9 Nr 3/2006
www.hakin9.org
P
entesty. To ostatnio bardzo popular-
Pasywne zbieranie informacji
Testy penetracyjne
Testy penetracyjne (audyt zabezpieczeń) to proces sprawdzania systemu zabez-
pieczeń infrastruktury informatycznej przez grupę wykwaliikowanych i upoważnio-
nych osób, poprzez symulowanie różnych działań i akcji, które mogą zostać podję-
te przez potencjalnego intruza. Celem testów jest zatem przeprowadzenie kontrolo-
wanego ataku na systemy produkcyjne, wykrycie luk i ich eliminacja, a w końcowym
rozrachunku podniesienie poziomu bezpieczeństwa informatycznego danego pod-
miotu (irmy bądź instytucji).
Ze względu na zasoby wiedzy, jaką może posiadać zespół pentestowy, testy
dzieli się na tzw. black box testing, czyli zerowa wiedza o audytowanym obiekcie
i white box testing – wgląd we wszystkie szczegóły techniczne (koniguracje, dostęp
do baz danych, kodu źródłowego itd.). Istnieje również podział ze względu na lokali-
zację audytorów, a więc testy zewnętrzne, przeprowadzane spoza badanego obiek-
tu (np. sieci) i wewnętrzne – z punktu widzenia np.: Pracownika.
Każdy test penetracyjny dzieli się na fazy:
li konsultanta ds. bezpieczeństwa,
który otrzymał zlecenie zebrania jak
największej ilości informacji o irmie
(którą nazwiemy Nietykalni S.A.), nie
zdradzając jednocześnie, że takowe
informacje są zbierane.
Pomijamy tutaj zagadnienie, kto
jest ewentualnym zleceniodawcą (mo-
że być to sama zainteresowana irma
Nietykalni S.A
., bądź jej konkurencja).
Jest to element kompletnie nie związa-
ny z samym zleceniem – my skupimy
się wyłącznie na jego realizacji.
Low hanging fruits
Od czego zaczniemy? Niektórzy od ra-
zu odwiedziliby witrynę
www.nietykal-
nisa.com
, co kłóci się z naszym pod-
stawowym postulatem – pozostawać
w ukryciu. Jest w sieci wiele miejsc,
w których można odnaleźć całe mnó-
stwo interesujących informacji o na-
szym obiekcie. Najczęściej są to ser-
wisy, które powstały dawno temu i słu-
żyć miały ułatwieniu pracy użytkow-
nikom korzystającym z sieci Internet.
Jednakże, jak to często ma miejsce
w całej historii ludzkości, okazało się,
że
kij ma dwa końce
. Informacje ta-
kie, zebrane i właściwie zanalizowane,
mogą pokazać dość wyraźny obraz
tego, co się dzieje w irmie X, jaka jest
jej struktura, z jakich dostawców ko-
rzysta, kto nią zarządza, kiedy pracu-
je itd. Można wymieniać bardzo długo.
Oczywiście, nie w każdym przypadku
uda się ustalić te wszystkie szczegó-
ły, ale pomimo tego warto przynajm-
niej spróbować, ponieważ są to tzw.
low hanging fruits
, czyli coś, co można
uzyskać bez większego wysiłku.
A więc dobrze. Zacznijmy od usta-
lenia, gdzie znajduje się irma
Niety-
kalni S.A.
, kiedy jest otwarta, jaki jest
• Pasywne zbieranie informacji – proces wyszukiwania i zbierania danych dotyczą-
cych badanego obiektu w sposób pasywny, a więc nie dostarczając testowane-
mu celowi (np. irmie) żadnych przesłanek, że jest on inwigilowany;
• Skanowanie i mapowanie sieci – badanie tras ruchu, badanie reguł irewalla
(ang. irewalking);
• Fingerprinting – identyikacja rodzajów i wersji systemów informatycznych uży-
wanych w sieci;
• Wykrywanie luk i słabości koniguracyjnych – analiza zebranych danych i okre-
ślenie potencjalnych wektorów ataku;
• Włamanie – wykorzystanie słabości i przełamanie systemu zabezpieczeń;
• Eskalacja uprawnień – zdobywanie uprawnień w poszczególnych systemach in-
formatycznych;
• Raportowanie – zebranie wszystkich danych do postaci raportu, przeanalizowa-
nie ich wraz z kierownictwem oraz działem technicznym badanego celu (np. ir-
my) i wskazanie potencjalnych metod poprawienia stanu bezpieczeństwa infra-
struktury IT.
Pentesty doczekały się, już jako metodologia, własnego standardu: OSSTMM (
The
Open Source Security Testing Methodology Manual
) Instytutu ISECOM (
The Institu-
te for Security and Open Methodologies
). Więcej informacji na ten temat można zna-
leźć pod adresem:
wy sukces. Podstawą wszystkich pen-
testów jest wygodne i dobrze dosto-
sowane do indywidualnych potrzeb
środowisko. Dla mnie jego integralną
(wręcz niezbędną) częścią jest ulu-
biona przeglądarka (
Firefox
), dobra
(czyt. relaksująca) muzyka, ołówek,
notes (z dużą ilością kartek) oraz wy-
godne krzesło lub fotel, w którym au-
dytor spędza mnóstwo czasu. Czas
to ostatni z elementów tej całej ukła-
danki i jego odpowiednia ilość może
przesądzić, bardziej niż inne elementy,
o ostatecznym wyniku naszych dzia-
łań. Dla wygody przyjmijmy, że nasz
horyzont czasowy wynosi nieskoń-
czoność (więcej czasu nie powinniśmy
potrzebować). To pozwoli na skupienie
się na bardziej istotnych kwestiach.
Po zapewnieniu sobie przyjazne-
go środowiska pracy, możemy za-
brać się do konkretnej pracy. Nasze
działania będą dotyczyły najwcze-
śniejszej fazy testów penetracyjnych,
a mianowicie pasywnego (względ-
nie) zbierania informacji o potencjal-
nym celu (ang.
Passive Information
Gathering
– zobacz w ramce Testy
penetracyjne). Postawimy się w ro-
Rysunek 1.
Witryna RIPE bazy WHOIS
www.hakin9.org
hakin9 Nr 3/2006
37
Praktyka
adres witryny oraz pozyskajmy ewen-
tualnie numery telefonów kontakto-
wych. Zatem potrzebujemy książ-
ki telefonicznej. Ponieważ akurat nie
musimy mieć pod ręką takowej (choć
na najbliższej poczcie zapewne jest),
w sieci dostępnych jest kilka witryn,
które takie informacje podają: np.
Pol-
skie Książki Telefoniczne
(
www.pkt.pl
),
Panorama Firm
(
www.pf.p
l) czy też
YellowPages
(
www.yellowpages.com
).
Jeśli chcemy znaleźć lokalizację geo-
graiczną wystarczy np.
www.pilot.pl,
maps.google.com
lub
www.multi-
map.com
.
Warto zanotować wszystko to, co
udało się ustalić. Przykładowo: nume-
ry telefonów kontaktowych mogą póź-
niej posłużyć do ataków socjotech-
nicznych (jeśli będą wymagane) lub
wardialingu
, stosując podany przed-
rostek numeru. Adresy email pokazu-
ją, jaki jest stosowany format adresu
(np.:
jas.fasola@nietykalnisa.com
).
Jeśli nasz obiekt (irma
Nietykalni
S.A.
) jest notowany na giełdzie, moż-
na pokusić się o sprawdzenie, jakie
informacje są udostępnione na witry-
nie Giełdy Papierów Wartościowych
(
www.gpw.com.pl
) lub portalach
inansowych (np.:
www.bankier.pl,
www.money.pl
itp.).
Po zebraniu podstawowych infor-
macji o naszej irmie sprawdźmy, co
można odnaleźć w kilku innych miej-
scach. Zaczniemy od serwisu Whois.
Listing 1.
Wyniki odpytania bazy WHOIS o nazwę irmy
nietykalnisa.com
%
This
is
the
RIPE
Whois
query
server
#
2
.
%
The
objects
are
in
RPSL
format
.
%
%
Note
:
the
default
output
of
the
RIPE
Whois
server
%
is
changed
.
Your
tools
may
need
to
be
adjusted
.
See
%
http
:
//
www
.
ripe
.
net
/
db
/
news
/
abuse
-
proposal
-
20050331.
html
%
for
more
details
.
%
%
Rights
restricted
by
copyright
.
%
See
http
:
//
www
.
ripe
.
net
/
db
/
copyright
.
html
%
The
object
shown
below
is
NOT
in
the
RIPE
database
.
%
It
has
been
obtained
by
querying
a
remote
server
:
%
(
whois
.
snd
.
pl
)
at
port
43
.
%
To
see
the
object
stored
in
the
RIPE
database
%
use
the
-
R
lag
in
your
query
%
Domain
object
:
domain
:
nietykalnisa
.
com
registrant
'
s
handle
:
msk9999
(
CORPORATE
)
nservers
:
ns2
.
nietykalnisa
.
com
.
[
10.14
.
86.33
]
ns1
.
nietykalnisa
.
com
.
[
10.14
.
86.32
]
created
:
1999.12
.
02
last
modiied
:
2005.12
.
13
registrar
:
MLASK
ul
.
Og
ó
rkowa
133
00
-
442
S
ł
upsk
Polska
/
Poland
+
48.22
5003333
help
@
snd
.
pl
option
:
the
domain
name
has
not
option
Subscribers
Contact
object
:
company
:
NIETYKALNI
S
.
A
.
street
:
ALEJA
PAW
Ł
A
I
GAW
Ł
A
150
city
:
23
-
232
Oborkowo
location
:
PL
handle
:
msk9999
last
modiied
:
2000.10
.
19
registrar
:
MLASK
ul
.
Og
ó
rkowa
133
00
-
442
S
ł
upsk
Polska
/
Poland
+
48.22
5003333
help
@
snd
.
pl
Whois
database
last
updated
:
2006.01
.
10
%%
REFERRAL
END
Kto jest kto...
Whois jest bazą (patrz. Ramka
Ser-
wis WHOIS
) o zarejestrowanych pod-
miotach internetowych i została stwo-
rzona z myślą o dostarczaniu informa-
cji kontaktowych dla tych, którzy ta-
kich informacji potrzebują (np. przy ko-
nieczności skontaktowania się z admi-
nistratorem danej sieci). Ponieważ my
również należymy do tej grupy (pomi-
mo tego, że nie chcemy się z nikim
kontaktować z irmy
Nietykalni S.A.
),
sprawdźmy, co w trawie piszczy.
W tym celu możemy skorzystać
z popularnego narzędzia o nazwie
whois, dostępnego w większości sys-
temów linuxowych lub odpytać ba-
zę WHOIS bezpośrednio z poziomu
przeglądarki web (w naszym wypad-
ku rejestr RIPE –
– patrz Rysunek 1). Postawimy na
drugą opcję, ponieważ jest ona bar-
dziej uniwersalna i nie determinuje ko-
nieczności używania konkretnego sys-
temu operacyjnego.
W zaznaczonym polu wpisać na-
leży nazwę domeny (np.:
nietykalni-
sa.com
), nazwę konkretnego hosta
(np.:
)
lub adres IP tego hosta.
My na początek zapytamy o do-
menę
nietykalnisa.com
.
Na Listingu 1 pokazano re-
kord dotyczący naszej irmy. Jak
widać, Nietykalni S.A. korzystają
z dwóch serwerów DNS o adresach
10.14.86.32 i 10.14.86.33, są zareje-
strowani w MLASKu oraz mieszczą
się w Oborkowie, co powinno pokry-
wać się z danymi, które uzyskaliśmy
w pierwszym kroku. Jeśli nie, to naj-
prawdopodobniej siedziba irmy ule-
gła zmianie, połączyła się z inną lub
jest to adres jednego z oddziałów,
odpowiedzialnego za IT. Warto ten
fakt zanotować.
Adresy serwerów DNS posłużą
nam jako drugie zapytanie (o adres:
10.14.86.32 lub 10.14.86.33) do bazy
WHOIS (Listing 2).
38
hakin9 Nr 3/2006
www.hakin9.org
Praktyka
I cóż otrzymujemy? Po pierw-
sze, jaki blok adresów IP został przy-
dzielony na potrzeby badanej irmy
(10.14.86.0/24), kto jest osobą kon-
taktową (Jaś Fasola – kod JF6969-RI-
PE), adres, telefon, email oraz numer
AS (AS12345). Ten ostatni wskazuje,
czy Nietykalni S.A. mają zarejestro-
wany własny system autonomiczny,
czy też korzystają z innego (w naszym
przypadku podłączeni są do sieci WA-
RIA.PL). Każda z tych informacji może
zostać sprawdzona w bazie WHOIS
i dostarczyć kolejnych, równie inte-
resujących danych. I tu właśnie, dro-
gi Czytelniku, zadanie dla Ciebie
– sprawdź co można jeszcze wycisnąć
z bazy RIPE (a jest tego trochę).
Ponieważ WHOIS nie jest jedy-
nym miejscem, gdzie znajdziemy
ni-
sko wiszące owoce
, nasz następny
przystanek to znany wszystkim in-
ternautom serwis DNS, który może
wprowadzić dużo zamieszania.
Serwis WHOIS
Głównym zadaniem serwisu WHOIS jest dostarczenie informacji kontaktowych i reje-
stracyjnych danego podmiotu (irmy, instytucji, organizacji). Dzieli się on na dwie czę-
ści – pierwsza odpowiada za informacje związane z danym zakresem adresów IP
(tzw.
Network Service-based
), druga – z nazwami domenowymi (tzw.
Name Servi-
ce-based
). Baza WHOIS zawiera m.in. adresy IP przydzielone do danego podmiotu,
numer systemu autonomicznego (AS – wykorzystywanego do routingu BGP), dane
osób odpowiedzialnych za utrzymanie wpisu oraz kilka innych.
Baza WHOIS została podzielona pomiędzy cztery Regionalne Rejestry (ang.
Re-
gional Internet Regestries
):
• APNIC – Azja i Pacyik (
Asia-Paciic Network Information Center
) –
www.apnic.net/
• ARIN – Ameryka Płn. (
American Registry for Internet Numbers
) –
www.arin.net/
• LACNIC – Ameryka Łacińska i Karaiby (
Latin American and Caribbean Internet
Address Registry
) –
• RIPE NCC – Europa (
Réseaux IP Européens Network Coordination Centre
)
–
wet, że zewnętrzny serwer DNS tłu-
maczy nazwy komputerów znajdują-
cych się w chronionej sieci!
Przy testach DNSa warto mieć
pod ręką jakieś wygodne narzędzie.
Pod systemem Linux standardowo do-
stępnych jest ich kilka (
dig, nslookup,
host
), pod Microsoft Windows stan-
dardowo mamy do dyspozycji tylko
jedno (
nslookup
). Pamiętajmy jednak,
że mamy pozostawać w ukryciu. Dla-
tego lepiej jest użyć jakiejś witryny in-
ternetowej, która odpyta serwer DNS
i zwróci nam wyniki bez konieczno-
ści wysyłania jakiegokolwiek pakietu
w stronę obiektu naszych badań. Moż-
na w tym celu wykorzystać np. serwis
, któ-
ry oferuje zaawansowane opcje od-
pytywania (Listing 2). Prześledźmy,
co zwraca serwer DNS, gdy go odpo-
wiednio zapytamy o domenę
nietykal-
nisa.com
.
Pierwsza rzecz, która rzuca się
w oczy to fakt, iż serwerem admini-
struje Wiktor Burak (widoczny w polu
email: rekordu SOA) oraz, że podsta-
wowym serwerem DNS jest serwer
o hucznej nazwie Brodacz. Po prze-
analizowaniu całego zapisu okazuje
się, że serwer ten to nic innego jak
NS1, zwrócony z bazy WHOIS oraz,
że jego partner – NS2 – to
Lysy
, któ-
ry jednocześnie jest serwerem pocz-
towym (rekord MX). To bardzo waż-
ne informacje, ponieważ, jeśli serwe-
ry, które udostępniają tego typu usłu-
gi znajdują się na tej samej izycznej
maszynie, to wykryliśmy znaczące
naruszenie zasad bezpieczeństwa.
Skompromitowanie serwera poczto-
wego i zdobycie uprawnień jego su-
perużytkownika jednocześnie ozna-
cza przejęcie kontroli nad serwerem
DNS, a to prowadzić może do bardzo
poważnych konsekwencji!
Oczywiście, możliwe jest rów-
nież, że pod tym samym adresem IP
kryją się dwa różne izyczne syste-
my. Może być to osiągnięte przez za-
stosowanie np.:
loadbalancingu
lub
innego systemu przekierowującego
zapytania do różnych usług.
Z jednego z rekordów TXT, któ-
ry zawiera informacje tekstowe, mo-
żemy dowiedzieć się, że numer kon-
taktowy zmienił się (5005550). Może
to oznaczać, że ktoś popełnił literów-
kę w czasie wpisywania danych do
rekordu, co jest raczej mało prawdo-
podobne zważywszy, że cyfra
5
nie
znajduje się w sąsiedztwie
0
, lub jest
to numer do działu technicznego na-
szej irmy. I prawdopodobnie pracu-
ją tam: Jaś Fasola i Wiktor Burak. To
nowe dane dla ewentualnego ataku
socjotechnicznego.
Wracając do DNSa. Na stronie
check_set.en.html/
dostępne jest
narzędzie, które w czasie odpytywa-
nia DNSa próbuje również ściągnąć
cały plik strefy. Dziś bardzo niewie-
le serwerów jest podatnych na tego
A Pan się zowie...
DNS to nic innego jak zbiór systemów
serwujących odwzorowanie adresów
IP na nazwy i odwrotnie. A więc tłu-
maczy zrozumiałe i łatwiejsze do za-
pamiętania przez człowieka nazwy
na adresy numeryczne, wymagane
w komunikacji w sieciach opartych na
protokole IP. Co to dla nas oznacza?
Umysł ludzki jest czasami przewidy-
walny i często kieruje się schematami
lub przyzwyczajeniami. Przykładowo
nazwa serwera WWW zaczynać się
będzie od przedrostka www, irewal-
le często nazywane są
fw, DNSy
–
ns
,
poczta –
mail
itp.
Administratorzy często posługują
się zbiorem nazw wywodzących się
z jednego korzenia, np. z mitologii,
z astronomii (np. nazwy planet i ich
księżyców) lub z przyjętego sche-
matu (np. dhcp13-14 może ozna-
czać stację o adresie kończącym
się na oktetach 13.14 i przypisywa-
nym z serwera DHCP, bud01II122-01
– pierwszy komputer umieszczony
w budynku nr 1 na II piętrze w po-
koju 122.). To bardzo wygodne i uła-
twia faktycznie administrowanie sie-
cią, lecz pozostawia dużo niepo-
trzebnych informacji dla potencjalne-
go intruza. Czasami zdarza się na-
40
hakin9 Nr 3/2006
www.hakin9.org
[ Pobierz całość w formacie PDF ]