Blazej Kantak - Zbieranie_informacji_do_testow_penetracyjnych.pdf - Bezpieczeństwo - Kedzio1992

Zbieranie informacji do testów

penetracyjnych

Błażej Kantak

Artykuł w formie elektronicznej pochodzi z magazynu hakin9 Nr 3/2006 . Wszelkie prawa zastrzeżone.

Rozpowszechnianie artykułu bez zgody Software Wydawnictwo Sp. z o.o. Zabronione.

Magazyn hakin9 , Software-Wydawnictwo, ul. Piaskowa 3, 01-067 Warszawa , pl@hakin9.org

Zbieranie informacji

do testów penetracyjnych

Praktyka

Błażej Kantak

stopień trudności

Podanie do publicznej wiadomości zbyt dużej ilości informacji

może naruszyć zasad polityki bezpieczeństwa, a tym samym

ułatwić atak na system informatyczny przedsiębiorstwa lub

organizacji. Zobaczmy, gdzie i w jaki sposób łatwo znajdziemy

cenne dane, które mogą posłużyć do kompromitacji systemu

irmowych zabezpieczeń.

ne hasło w prasie branżowej. Dla wie-

lu osób, które swą wiedzę opierają na

ilmach typu The Hackers, gdzie włamanie

do systemu informatycznego polega na lata-

niu w rzeczywistości wirtualnej pomiędzy pół-

przeźroczystymi, świecącymi wieżami, pente-

sty to istna czarna magia . Okazuje się, że dia-

beł nie taki straszny.. . Wystarczy znajomość kil-

ku narzędzi i metod pracy, aby, przy odrobinie

szczęścia, doprowadzić do kompromitacji wy-

brany system zabezpieczeń.

W artykule nie mam zamiaru wykładać ani

teorii hackingu, ani pisać o etyce, którą kieruje

się i której przestrzega prawdziwy hacker. Arty-

kuł ten nie będzie również prostym przewodni-

kiem po narzędziach, ani listą typu TODO. Za-

mierzam pokazać, jak wiedza, którą posiada

lub może zdobyć większość obytych z kompu-

terami i siecią użytkowników, odpowiednio sko-

relowana i zebrana może posłużyć do złamania

systemu zabezpieczeń dużej części obecnych

w Internecie irm i instytucji.

Postaram się pokazać, co można zrobić

przy pomocy przeglądarki, krzesła, muzyki

i oczywiście... własnej głowy, bez której

wszystko inne, nawet to, co zawarte jest w tym

tekście, pozostaje bezużyteczne. Celowo nie

podam wszystkich szczegółów technicznych,

aby Czytelnik mógł sam, na własną rękę po-

eksperymentować i poczuć satysfakcję z faktu,

że coś może w końcu się udać .

Tekst ten skierowany jest przede wszystkim

do użytkowników początkujących w dziedzinie

bezpieczeństwa informatycznego, ale obytych z

komputerami i Internetem. A zatem zaczynamy.

Jak sobie pościelesz...

Na początku napomknąłem o czynnikach wa-

runkujących, w większości przypadków, końco-

Z artykułu dowiesz się...

• Jak wygląda pierwsza faza testów penetracyj-

nych,

• Jak należy się bronić przed pasywnym zbiera-

niem informacji.

Powinieneś wiedzieć...

• powinieneś umieć korzystać z przeglądarki in-

ternetowej,

• powinieneś znać model sieci TCP/IP,

hakin9 Nr 3/2006

www.hakin9.org

P entesty. To ostatnio bardzo popular-

Pasywne zbieranie informacji

Testy penetracyjne

Testy penetracyjne (audyt zabezpieczeń) to proces sprawdzania systemu zabez-

pieczeń infrastruktury informatycznej przez grupę wykwaliikowanych i upoważnio-

nych osób, poprzez symulowanie różnych działań i akcji, które mogą zostać podję-

te przez potencjalnego intruza. Celem testów jest zatem przeprowadzenie kontrolo-

wanego ataku na systemy produkcyjne, wykrycie luk i ich eliminacja, a w końcowym

rozrachunku podniesienie poziomu bezpieczeństwa informatycznego danego pod-

miotu (irmy bądź instytucji).

Ze względu na zasoby wiedzy, jaką może posiadać zespół pentestowy, testy

dzieli się na tzw. black box testing, czyli zerowa wiedza o audytowanym obiekcie

i white box testing – wgląd we wszystkie szczegóły techniczne (koniguracje, dostęp

do baz danych, kodu źródłowego itd.). Istnieje również podział ze względu na lokali-

zację audytorów, a więc testy zewnętrzne, przeprowadzane spoza badanego obiek-

tu (np. sieci) i wewnętrzne – z punktu widzenia np.: Pracownika.

Każdy test penetracyjny dzieli się na fazy:

li konsultanta ds. bezpieczeństwa,

który otrzymał zlecenie zebrania jak

największej ilości informacji o irmie

(którą nazwiemy Nietykalni S.A.), nie

zdradzając jednocześnie, że takowe

informacje są zbierane.

Pomijamy tutaj zagadnienie, kto

jest ewentualnym zleceniodawcą (mo-

że być to sama zainteresowana irma

Nietykalni S.A ., bądź jej konkurencja).

Jest to element kompletnie nie związa-

ny z samym zleceniem – my skupimy

się wyłącznie na jego realizacji.

Low hanging fruits

Od czego zaczniemy? Niektórzy od ra-

zu odwiedziliby witrynę www.nietykal-

nisa.com , co kłóci się z naszym pod-

stawowym postulatem – pozostawać

w ukryciu. Jest w sieci wiele miejsc,

w których można odnaleźć całe mnó-

stwo interesujących informacji o na-

szym obiekcie. Najczęściej są to ser-

wisy, które powstały dawno temu i słu-

żyć miały ułatwieniu pracy użytkow-

nikom korzystającym z sieci Internet.

Jednakże, jak to często ma miejsce

w całej historii ludzkości, okazało się,

że kij ma dwa końce . Informacje ta-

kie, zebrane i właściwie zanalizowane,

mogą pokazać dość wyraźny obraz

tego, co się dzieje w irmie X, jaka jest

jej struktura, z jakich dostawców ko-

rzysta, kto nią zarządza, kiedy pracu-

je itd. Można wymieniać bardzo długo.

Oczywiście, nie w każdym przypadku

uda się ustalić te wszystkie szczegó-

ły, ale pomimo tego warto przynajm-

niej spróbować, ponieważ są to tzw.

low hanging fruits , czyli coś, co można

uzyskać bez większego wysiłku.

A więc dobrze. Zacznijmy od usta-

lenia, gdzie znajduje się irma Niety-

kalni S.A. , kiedy jest otwarta, jaki jest

• Pasywne zbieranie informacji – proces wyszukiwania i zbierania danych dotyczą-

cych badanego obiektu w sposób pasywny, a więc nie dostarczając testowane-

mu celowi (np. irmie) żadnych przesłanek, że jest on inwigilowany;

• Skanowanie i mapowanie sieci – badanie tras ruchu, badanie reguł irewalla

(ang. irewalking);

• Fingerprinting – identyikacja rodzajów i wersji systemów informatycznych uży-

wanych w sieci;

• Wykrywanie luk i słabości koniguracyjnych – analiza zebranych danych i okre-

ślenie potencjalnych wektorów ataku;

• Włamanie – wykorzystanie słabości i przełamanie systemu zabezpieczeń;

• Eskalacja uprawnień – zdobywanie uprawnień w poszczególnych systemach in-

formatycznych;

• Raportowanie – zebranie wszystkich danych do postaci raportu, przeanalizowa-

nie ich wraz z kierownictwem oraz działem technicznym badanego celu (np. ir-

my) i wskazanie potencjalnych metod poprawienia stanu bezpieczeństwa infra-

struktury IT.

Pentesty doczekały się, już jako metodologia, własnego standardu: OSSTMM ( The

Open Source Security Testing Methodology Manual ) Instytutu ISECOM ( The Institu-

te for Security and Open Methodologies ). Więcej informacji na ten temat można zna-

leźć pod adresem: http://www.isecom.org/osstmm/.

wy sukces. Podstawą wszystkich pen-

testów jest wygodne i dobrze dosto-

sowane do indywidualnych potrzeb

środowisko. Dla mnie jego integralną

(wręcz niezbędną) częścią jest ulu-

biona przeglądarka ( Firefox ), dobra

(czyt. relaksująca) muzyka, ołówek,

notes (z dużą ilością kartek) oraz wy-

godne krzesło lub fotel, w którym au-

dytor spędza mnóstwo czasu. Czas

to ostatni z elementów tej całej ukła-

danki i jego odpowiednia ilość może

przesądzić, bardziej niż inne elementy,

o ostatecznym wyniku naszych dzia-

łań. Dla wygody przyjmijmy, że nasz

horyzont czasowy wynosi nieskoń-

czoność (więcej czasu nie powinniśmy

potrzebować). To pozwoli na skupienie

się na bardziej istotnych kwestiach.

Po zapewnieniu sobie przyjazne-

go środowiska pracy, możemy za-

brać się do konkretnej pracy. Nasze

działania będą dotyczyły najwcze-

śniejszej fazy testów penetracyjnych,

a mianowicie pasywnego (względ-

nie) zbierania informacji o potencjal-

nym celu (ang. Passive Information

Gathering – zobacz w ramce Testy

penetracyjne). Postawimy się w ro-

Rysunek 1. Witryna RIPE bazy WHOIS

www.hakin9.org

hakin9 Nr 3/2006

Praktyka

adres witryny oraz pozyskajmy ewen-

tualnie numery telefonów kontakto-

wych. Zatem potrzebujemy książ-

ki telefonicznej. Ponieważ akurat nie

musimy mieć pod ręką takowej (choć

na najbliższej poczcie zapewne jest),

w sieci dostępnych jest kilka witryn,

które takie informacje podają: np. Pol-

skie Książki Telefoniczne ( www.pkt.pl ),

Panorama Firm ( www.pf.p l) czy też

YellowPages ( www.yellowpages.com ).

Jeśli chcemy znaleźć lokalizację geo-

graiczną wystarczy np. www.pilot.pl,

maps.google.com lub www.multi-

map.com .

Warto zanotować wszystko to, co

udało się ustalić. Przykładowo: nume-

ry telefonów kontaktowych mogą póź-

niej posłużyć do ataków socjotech-

nicznych (jeśli będą wymagane) lub

wardialingu , stosując podany przed-

rostek numeru. Adresy email pokazu-

ją, jaki jest stosowany format adresu

(np.: jas.fasola@nietykalnisa.com ).

Jeśli nasz obiekt (irma Nietykalni

S.A. ) jest notowany na giełdzie, moż-

na pokusić się o sprawdzenie, jakie

informacje są udostępnione na witry-

nie Giełdy Papierów Wartościowych

( www.gpw.com.pl ) lub portalach

inansowych (np.: www.bankier.pl,

www.money.pl itp.).

Po zebraniu podstawowych infor-

macji o naszej irmie sprawdźmy, co

można odnaleźć w kilku innych miej-

scach. Zaczniemy od serwisu Whois.

Listing 1. Wyniki odpytania bazy WHOIS o nazwę irmy

nietykalnisa.com

% This is the RIPE Whois query server # 2 .

% The objects are in RPSL format .

% Note : the default output of the RIPE Whois server

% is changed . Your tools may need to be adjusted . See

% http : // www . ripe . net / db / news / abuse - proposal - 20050331. html

% for more details .

% Rights restricted by copyright .

% See http : // www . ripe . net / db / copyright . html

% The object shown below is NOT in the RIPE database .

% It has been obtained by querying a remote server :

% ( whois . snd . pl ) at port 43 .

% To see the object stored in the RIPE database

% use the - R lag in your query

Domain object :

domain : nietykalnisa . com

registrant ' s handle : msk9999 ( CORPORATE )

nservers : ns2 . nietykalnisa . com . [ 10.14 . 86.33 ]

ns1 . nietykalnisa . com . [ 10.14 . 86.32 ]

created : 1999.12 . 02

last modiied : 2005.12 . 13

registrar : MLASK

ul . Og ó rkowa 133

00 - 442 S ł upsk

Polska / Poland

+ 48.22 5003333

help @ snd . pl

option : the domain name has not option

Subscribers Contact object :

company : NIETYKALNI S . A .

street : ALEJA PAW Ł A I GAW Ł A 150

city : 23 - 232 Oborkowo

location : PL

handle : msk9999

last modiied : 2000.10 . 19

registrar : MLASK

ul . Og ó rkowa 133

00 - 442 S ł upsk

Polska / Poland

+ 48.22 5003333

help @ snd . pl

Whois database last updated : 2006.01 . 10

%% REFERRAL END

Kto jest kto...

Whois jest bazą (patrz. Ramka Ser-

wis WHOIS ) o zarejestrowanych pod-

miotach internetowych i została stwo-

rzona z myślą o dostarczaniu informa-

cji kontaktowych dla tych, którzy ta-

kich informacji potrzebują (np. przy ko-

nieczności skontaktowania się z admi-

nistratorem danej sieci). Ponieważ my

również należymy do tej grupy (pomi-

mo tego, że nie chcemy się z nikim

kontaktować z irmy Nietykalni S.A. ),

sprawdźmy, co w trawie piszczy.

W tym celu możemy skorzystać

z popularnego narzędzia o nazwie

whois, dostępnego w większości sys-

temów linuxowych lub odpytać ba-

zę WHOIS bezpośrednio z poziomu

przeglądarki web (w naszym wypad-

ku rejestr RIPE – http://www.ripe.net/

– patrz Rysunek 1). Postawimy na

drugą opcję, ponieważ jest ona bar-

dziej uniwersalna i nie determinuje ko-

nieczności używania konkretnego sys-

temu operacyjnego.

W zaznaczonym polu wpisać na-

leży nazwę domeny (np.: nietykalni-

sa.com ), nazwę konkretnego hosta

(np.: http://www.nietykalnisa.com/ )

lub adres IP tego hosta.

My na początek zapytamy o do-

menę nietykalnisa.com .

Na Listingu 1 pokazano re-

kord dotyczący naszej irmy. Jak

widać, Nietykalni S.A. korzystają

z dwóch serwerów DNS o adresach

10.14.86.32 i 10.14.86.33, są zareje-

strowani w MLASKu oraz mieszczą

się w Oborkowie, co powinno pokry-

wać się z danymi, które uzyskaliśmy

w pierwszym kroku. Jeśli nie, to naj-

prawdopodobniej siedziba irmy ule-

gła zmianie, połączyła się z inną lub

jest to adres jednego z oddziałów,

odpowiedzialnego za IT. Warto ten

fakt zanotować.

Adresy serwerów DNS posłużą

nam jako drugie zapytanie (o adres:

10.14.86.32 lub 10.14.86.33) do bazy

WHOIS (Listing 2).

hakin9 Nr 3/2006

www.hakin9.org

Praktyka

I cóż otrzymujemy? Po pierw-

sze, jaki blok adresów IP został przy-

dzielony na potrzeby badanej irmy

(10.14.86.0/24), kto jest osobą kon-

taktową (Jaś Fasola – kod JF6969-RI-

PE), adres, telefon, email oraz numer

AS (AS12345). Ten ostatni wskazuje,

czy Nietykalni S.A. mają zarejestro-

wany własny system autonomiczny,

czy też korzystają z innego (w naszym

przypadku podłączeni są do sieci WA-

RIA.PL). Każda z tych informacji może

zostać sprawdzona w bazie WHOIS

i dostarczyć kolejnych, równie inte-

resujących danych. I tu właśnie, dro-

gi Czytelniku, zadanie dla Ciebie

– sprawdź co można jeszcze wycisnąć

z bazy RIPE (a jest tego trochę).

Ponieważ WHOIS nie jest jedy-

nym miejscem, gdzie znajdziemy ni-

sko wiszące owoce , nasz następny

przystanek to znany wszystkim in-

ternautom serwis DNS, który może

wprowadzić dużo zamieszania.

Serwis WHOIS

Głównym zadaniem serwisu WHOIS jest dostarczenie informacji kontaktowych i reje-

stracyjnych danego podmiotu (irmy, instytucji, organizacji). Dzieli się on na dwie czę-

ści – pierwsza odpowiada za informacje związane z danym zakresem adresów IP

(tzw. Network Service-based ), druga – z nazwami domenowymi (tzw. Name Servi-

ce-based ). Baza WHOIS zawiera m.in. adresy IP przydzielone do danego podmiotu,

numer systemu autonomicznego (AS – wykorzystywanego do routingu BGP), dane

osób odpowiedzialnych za utrzymanie wpisu oraz kilka innych.

Baza WHOIS została podzielona pomiędzy cztery Regionalne Rejestry (ang. Re-

gional Internet Regestries ):

• APNIC – Azja i Pacyik ( Asia-Paciic Network Information Center ) – http://

www.apnic.net/

• ARIN – Ameryka Płn. ( American Registry for Internet Numbers ) – http://

www.arin.net/

• LACNIC – Ameryka Łacińska i Karaiby ( Latin American and Caribbean Internet

Address Registry ) – http://www.lacnic.net/

• RIPE NCC – Europa ( Réseaux IP Européens Network Coordination Centre )

– http://www.ripe.net/

wet, że zewnętrzny serwer DNS tłu-

maczy nazwy komputerów znajdują-

cych się w chronionej sieci!

Przy testach DNSa warto mieć

pod ręką jakieś wygodne narzędzie.

Pod systemem Linux standardowo do-

stępnych jest ich kilka ( dig, nslookup,

host ), pod Microsoft Windows stan-

dardowo mamy do dyspozycji tylko

jedno ( nslookup ). Pamiętajmy jednak,

że mamy pozostawać w ukryciu. Dla-

tego lepiej jest użyć jakiejś witryny in-

ternetowej, która odpyta serwer DNS

i zwróci nam wyniki bez konieczno-

ści wysyłania jakiegokolwiek pakietu

w stronę obiektu naszych badań. Moż-

na w tym celu wykorzystać np. serwis

http://www.network-tools.com/ , któ-

ry oferuje zaawansowane opcje od-

pytywania (Listing 2). Prześledźmy,

co zwraca serwer DNS, gdy go odpo-

wiednio zapytamy o domenę nietykal-

nisa.com .

Pierwsza rzecz, która rzuca się

w oczy to fakt, iż serwerem admini-

struje Wiktor Burak (widoczny w polu

email: rekordu SOA) oraz, że podsta-

wowym serwerem DNS jest serwer

o hucznej nazwie Brodacz. Po prze-

analizowaniu całego zapisu okazuje

się, że serwer ten to nic innego jak

NS1, zwrócony z bazy WHOIS oraz,

że jego partner – NS2 – to Lysy , któ-

ry jednocześnie jest serwerem pocz-

towym (rekord MX). To bardzo waż-

ne informacje, ponieważ, jeśli serwe-

ry, które udostępniają tego typu usłu-

gi znajdują się na tej samej izycznej

maszynie, to wykryliśmy znaczące

naruszenie zasad bezpieczeństwa.

Skompromitowanie serwera poczto-

wego i zdobycie uprawnień jego su-

perużytkownika jednocześnie ozna-

cza przejęcie kontroli nad serwerem

DNS, a to prowadzić może do bardzo

poważnych konsekwencji!

Oczywiście, możliwe jest rów-

nież, że pod tym samym adresem IP

kryją się dwa różne izyczne syste-

my. Może być to osiągnięte przez za-

stosowanie np.: loadbalancingu lub

innego systemu przekierowującego

zapytania do różnych usług.

Z jednego z rekordów TXT, któ-

ry zawiera informacje tekstowe, mo-

żemy dowiedzieć się, że numer kon-

taktowy zmienił się (5005550). Może

to oznaczać, że ktoś popełnił literów-

kę w czasie wpisywania danych do

rekordu, co jest raczej mało prawdo-

podobne zważywszy, że cyfra 5 nie

znajduje się w sąsiedztwie 0 , lub jest

to numer do działu technicznego na-

szej irmy. I prawdopodobnie pracu-

ją tam: Jaś Fasola i Wiktor Burak. To

nowe dane dla ewentualnego ataku

socjotechnicznego.

Wracając do DNSa. Na stronie

http://www.ip-plus.net/tools/dns_

check_set.en.html/ dostępne jest

narzędzie, które w czasie odpytywa-

nia DNSa próbuje również ściągnąć

cały plik strefy. Dziś bardzo niewie-

le serwerów jest podatnych na tego

A Pan się zowie...

DNS to nic innego jak zbiór systemów

serwujących odwzorowanie adresów

IP na nazwy i odwrotnie. A więc tłu-

maczy zrozumiałe i łatwiejsze do za-

pamiętania przez człowieka nazwy

na adresy numeryczne, wymagane

w komunikacji w sieciach opartych na

protokole IP. Co to dla nas oznacza?

Umysł ludzki jest czasami przewidy-

walny i często kieruje się schematami

lub przyzwyczajeniami. Przykładowo

nazwa serwera WWW zaczynać się

będzie od przedrostka www, irewal-

le często nazywane są fw, DNSy – ns ,

poczta – mail itp.

Administratorzy często posługują

się zbiorem nazw wywodzących się

z jednego korzenia, np. z mitologii,

z astronomii (np. nazwy planet i ich

księżyców) lub z przyjętego sche-

matu (np. dhcp13-14 może ozna-

czać stację o adresie kończącym

się na oktetach 13.14 i przypisywa-

nym z serwera DHCP, bud01II122-01

– pierwszy komputer umieszczony

w budynku nr 1 na II piętrze w po-

koju 122.). To bardzo wygodne i uła-

twia faktycznie administrowanie sie-

cią, lecz pozostawia dużo niepo-

trzebnych informacji dla potencjalne-

go intruza. Czasami zdarza się na-

hakin9 Nr 3/2006

www.hakin9.org

Blazej Kantak - Zbieranie_informacji_do_testow_penetracyjnych.pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: