Blazej Kantak - Zbieranie_informacji_do_testow_penetracyjnych.pdf

(2018 KB) Pobierz
18253658 UNPDF
Zbieranie informacji do testów
penetracyjnych
Błażej Kantak
Artykuł w formie elektronicznej pochodzi z magazynu hakin9 Nr 3/2006 . Wszelkie prawa zastrzeżone.
Rozpowszechnianie artykułu bez zgody Software Wydawnictwo Sp. z o.o. Zabronione.
Magazyn hakin9 , Software-Wydawnictwo, ul. Piaskowa 3, 01-067 Warszawa , pl@hakin9.org
18253658.016.png
Zbieranie informacji
do testów penetracyjnych
Praktyka
Błażej Kantak
stopień trudności
Podanie do publicznej wiadomości zbyt dużej ilości informacji
może naruszyć zasad polityki bezpieczeństwa, a tym samym
ułatwić atak na system informatyczny przedsiębiorstwa lub
organizacji. Zobaczmy, gdzie i w jaki sposób łatwo znajdziemy
cenne dane, które mogą posłużyć do kompromitacji systemu
irmowych zabezpieczeń.
ne hasło w prasie branżowej. Dla wie-
lu osób, które swą wiedzę opierają na
ilmach typu The Hackers, gdzie włamanie
do systemu informatycznego polega na lata-
niu w rzeczywistości wirtualnej pomiędzy pół-
przeźroczystymi, świecącymi wieżami, pente-
sty to istna czarna magia . Okazuje się, że dia-
beł nie taki straszny.. . Wystarczy znajomość kil-
ku narzędzi i metod pracy, aby, przy odrobinie
szczęścia, doprowadzić do kompromitacji wy-
brany system zabezpieczeń.
W artykule nie mam zamiaru wykładać ani
teorii hackingu, ani pisać o etyce, którą kieruje
się i której przestrzega prawdziwy hacker. Arty-
kuł ten nie będzie również prostym przewodni-
kiem po narzędziach, ani listą typu TODO. Za-
mierzam pokazać, jak wiedza, którą posiada
lub może zdobyć większość obytych z kompu-
terami i siecią użytkowników, odpowiednio sko-
relowana i zebrana może posłużyć do złamania
systemu zabezpieczeń dużej części obecnych
w Internecie irm i instytucji.
Postaram się pokazać, co można zrobić
przy pomocy przeglądarki, krzesła, muzyki
i oczywiście... własnej głowy, bez której
wszystko inne, nawet to, co zawarte jest w tym
tekście, pozostaje bezużyteczne. Celowo nie
podam wszystkich szczegółów technicznych,
aby Czytelnik mógł sam, na własną rękę po-
eksperymentować i poczuć satysfakcję z faktu,
że coś może w końcu się udać .
Tekst ten skierowany jest przede wszystkim
do użytkowników początkujących w dziedzinie
bezpieczeństwa informatycznego, ale obytych z
komputerami i Internetem. A zatem zaczynamy.
Jak sobie pościelesz...
Na początku napomknąłem o czynnikach wa-
runkujących, w większości przypadków, końco-
Z artykułu dowiesz się...
• Jak wygląda pierwsza faza testów penetracyj-
nych,
• Jak należy się bronić przed pasywnym zbiera-
niem informacji.
Powinieneś wiedzieć...
• powinieneś umieć korzystać z przeglądarki in-
ternetowej,
• powinieneś znać model sieci TCP/IP,
36
hakin9 Nr 3/2006
www.hakin9.org
P entesty. To ostatnio bardzo popular-
18253658.017.png 18253658.018.png 18253658.019.png 18253658.001.png
Pasywne zbieranie informacji
Testy penetracyjne
Testy penetracyjne (audyt zabezpieczeń) to proces sprawdzania systemu zabez-
pieczeń infrastruktury informatycznej przez grupę wykwaliikowanych i upoważnio-
nych osób, poprzez symulowanie różnych działań i akcji, które mogą zostać podję-
te przez potencjalnego intruza. Celem testów jest zatem przeprowadzenie kontrolo-
wanego ataku na systemy produkcyjne, wykrycie luk i ich eliminacja, a w końcowym
rozrachunku podniesienie poziomu bezpieczeństwa informatycznego danego pod-
miotu (irmy bądź instytucji).
Ze względu na zasoby wiedzy, jaką może posiadać zespół pentestowy, testy
dzieli się na tzw. black box testing, czyli zerowa wiedza o audytowanym obiekcie
i white box testing – wgląd we wszystkie szczegóły techniczne (koniguracje, dostęp
do baz danych, kodu źródłowego itd.). Istnieje również podział ze względu na lokali-
zację audytorów, a więc testy zewnętrzne, przeprowadzane spoza badanego obiek-
tu (np. sieci) i wewnętrzne – z punktu widzenia np.: Pracownika.
Każdy test penetracyjny dzieli się na fazy:
li konsultanta ds. bezpieczeństwa,
który otrzymał zlecenie zebrania jak
największej ilości informacji o irmie
(którą nazwiemy Nietykalni S.A.), nie
zdradzając jednocześnie, że takowe
informacje są zbierane.
Pomijamy tutaj zagadnienie, kto
jest ewentualnym zleceniodawcą (mo-
że być to sama zainteresowana irma
Nietykalni S.A ., bądź jej konkurencja).
Jest to element kompletnie nie związa-
ny z samym zleceniem – my skupimy
się wyłącznie na jego realizacji.
Low hanging fruits
Od czego zaczniemy? Niektórzy od ra-
zu odwiedziliby witrynę www.nietykal-
nisa.com , co kłóci się z naszym pod-
stawowym postulatem – pozostawać
w ukryciu. Jest w sieci wiele miejsc,
w których można odnaleźć całe mnó-
stwo interesujących informacji o na-
szym obiekcie. Najczęściej są to ser-
wisy, które powstały dawno temu i słu-
żyć miały ułatwieniu pracy użytkow-
nikom korzystającym z sieci Internet.
Jednakże, jak to często ma miejsce
w całej historii ludzkości, okazało się,
że kij ma dwa końce . Informacje ta-
kie, zebrane i właściwie zanalizowane,
mogą pokazać dość wyraźny obraz
tego, co się dzieje w irmie X, jaka jest
jej struktura, z jakich dostawców ko-
rzysta, kto nią zarządza, kiedy pracu-
je itd. Można wymieniać bardzo długo.
Oczywiście, nie w każdym przypadku
uda się ustalić te wszystkie szczegó-
ły, ale pomimo tego warto przynajm-
niej spróbować, ponieważ są to tzw.
low hanging fruits , czyli coś, co można
uzyskać bez większego wysiłku.
A więc dobrze. Zacznijmy od usta-
lenia, gdzie znajduje się irma Niety-
kalni S.A. , kiedy jest otwarta, jaki jest
• Pasywne zbieranie informacji – proces wyszukiwania i zbierania danych dotyczą-
cych badanego obiektu w sposób pasywny, a więc nie dostarczając testowane-
mu celowi (np. irmie) żadnych przesłanek, że jest on inwigilowany;
• Skanowanie i mapowanie sieci – badanie tras ruchu, badanie reguł irewalla
(ang. irewalking);
• Fingerprinting – identyikacja rodzajów i wersji systemów informatycznych uży-
wanych w sieci;
• Wykrywanie luk i słabości koniguracyjnych – analiza zebranych danych i okre-
ślenie potencjalnych wektorów ataku;
• Włamanie – wykorzystanie słabości i przełamanie systemu zabezpieczeń;
• Eskalacja uprawnień – zdobywanie uprawnień w poszczególnych systemach in-
formatycznych;
• Raportowanie – zebranie wszystkich danych do postaci raportu, przeanalizowa-
nie ich wraz z kierownictwem oraz działem technicznym badanego celu (np. ir-
my) i wskazanie potencjalnych metod poprawienia stanu bezpieczeństwa infra-
struktury IT.
Pentesty doczekały się, już jako metodologia, własnego standardu: OSSTMM ( The
Open Source Security Testing Methodology Manual ) Instytutu ISECOM ( The Institu-
te for Security and Open Methodologies ). Więcej informacji na ten temat można zna-
leźć pod adresem: http://www.isecom.org/osstmm/.
wy sukces. Podstawą wszystkich pen-
testów jest wygodne i dobrze dosto-
sowane do indywidualnych potrzeb
środowisko. Dla mnie jego integralną
(wręcz niezbędną) częścią jest ulu-
biona przeglądarka ( Firefox ), dobra
(czyt. relaksująca) muzyka, ołówek,
notes (z dużą ilością kartek) oraz wy-
godne krzesło lub fotel, w którym au-
dytor spędza mnóstwo czasu. Czas
to ostatni z elementów tej całej ukła-
danki i jego odpowiednia ilość może
przesądzić, bardziej niż inne elementy,
o ostatecznym wyniku naszych dzia-
łań. Dla wygody przyjmijmy, że nasz
horyzont czasowy wynosi nieskoń-
czoność (więcej czasu nie powinniśmy
potrzebować). To pozwoli na skupienie
się na bardziej istotnych kwestiach.
Po zapewnieniu sobie przyjazne-
go środowiska pracy, możemy za-
brać się do konkretnej pracy. Nasze
działania będą dotyczyły najwcze-
śniejszej fazy testów penetracyjnych,
a mianowicie pasywnego (względ-
nie) zbierania informacji o potencjal-
nym celu (ang. Passive Information
Gathering – zobacz w ramce Testy
penetracyjne). Postawimy się w ro-
Rysunek 1. Witryna RIPE bazy WHOIS
www.hakin9.org
hakin9 Nr 3/2006
37
 
18253658.002.png 18253658.003.png
 
Praktyka
adres witryny oraz pozyskajmy ewen-
tualnie numery telefonów kontakto-
wych. Zatem potrzebujemy książ-
ki telefonicznej. Ponieważ akurat nie
musimy mieć pod ręką takowej (choć
na najbliższej poczcie zapewne jest),
w sieci dostępnych jest kilka witryn,
które takie informacje podają: np. Pol-
skie Książki Telefoniczne ( www.pkt.pl ),
Panorama Firm ( www.pf.p l) czy też
YellowPages ( www.yellowpages.com ).
Jeśli chcemy znaleźć lokalizację geo-
graiczną wystarczy np. www.pilot.pl,
maps.google.com lub www.multi-
map.com .
Warto zanotować wszystko to, co
udało się ustalić. Przykładowo: nume-
ry telefonów kontaktowych mogą póź-
niej posłużyć do ataków socjotech-
nicznych (jeśli będą wymagane) lub
wardialingu , stosując podany przed-
rostek numeru. Adresy email pokazu-
ją, jaki jest stosowany format adresu
(np.: jas.fasola@nietykalnisa.com ).
Jeśli nasz obiekt (irma Nietykalni
S.A. ) jest notowany na giełdzie, moż-
na pokusić się o sprawdzenie, jakie
informacje są udostępnione na witry-
nie Giełdy Papierów Wartościowych
( www.gpw.com.pl ) lub portalach
inansowych (np.: www.bankier.pl,
www.money.pl itp.).
Po zebraniu podstawowych infor-
macji o naszej irmie sprawdźmy, co
można odnaleźć w kilku innych miej-
scach. Zaczniemy od serwisu Whois.
Listing 1. Wyniki odpytania bazy WHOIS o nazwę irmy
nietykalnisa.com
% This is the RIPE Whois query server # 2 .
% The objects are in RPSL format .
%
% Note : the default output of the RIPE Whois server
% is changed . Your tools may need to be adjusted . See
% http : // www . ripe . net / db / news / abuse - proposal - 20050331. html
% for more details .
%
% Rights restricted by copyright .
% See http : // www . ripe . net / db / copyright . html
% The object shown below is NOT in the RIPE database .
% It has been obtained by querying a remote server :
% ( whois . snd . pl ) at port 43 .
% To see the object stored in the RIPE database
% use the - R lag in your query
%
Domain object :
domain : nietykalnisa . com
registrant ' s handle : msk9999 ( CORPORATE )
nservers : ns2 . nietykalnisa . com . [ 10.14 . 86.33 ]
ns1 . nietykalnisa . com . [ 10.14 . 86.32 ]
created : 1999.12 . 02
last modiied : 2005.12 . 13
registrar : MLASK
ul . Og ó rkowa 133
00 - 442 S ł upsk
Polska / Poland
+ 48.22 5003333
help @ snd . pl
option : the domain name has not option
Subscribers Contact object :
company : NIETYKALNI S . A .
street : ALEJA PAW Ł A I GAW Ł A 150
city : 23 - 232 Oborkowo
location : PL
handle : msk9999
last modiied : 2000.10 . 19
registrar : MLASK
ul . Og ó rkowa 133
00 - 442 S ł upsk
Polska / Poland
+ 48.22 5003333
help @ snd . pl
Whois database last updated : 2006.01 . 10
%% REFERRAL END
Kto jest kto...
Whois jest bazą (patrz. Ramka Ser-
wis WHOIS ) o zarejestrowanych pod-
miotach internetowych i została stwo-
rzona z myślą o dostarczaniu informa-
cji kontaktowych dla tych, którzy ta-
kich informacji potrzebują (np. przy ko-
nieczności skontaktowania się z admi-
nistratorem danej sieci). Ponieważ my
również należymy do tej grupy (pomi-
mo tego, że nie chcemy się z nikim
kontaktować z irmy Nietykalni S.A. ),
sprawdźmy, co w trawie piszczy.
W tym celu możemy skorzystać
z popularnego narzędzia o nazwie
whois, dostępnego w większości sys-
temów linuxowych lub odpytać ba-
zę WHOIS bezpośrednio z poziomu
przeglądarki web (w naszym wypad-
ku rejestr RIPE – http://www.ripe.net/
– patrz Rysunek 1). Postawimy na
drugą opcję, ponieważ jest ona bar-
dziej uniwersalna i nie determinuje ko-
nieczności używania konkretnego sys-
temu operacyjnego.
W zaznaczonym polu wpisać na-
leży nazwę domeny (np.: nietykalni-
sa.com ), nazwę konkretnego hosta
(np.: http://www.nietykalnisa.com/ )
lub adres IP tego hosta.
My na początek zapytamy o do-
menę nietykalnisa.com .
Na Listingu 1 pokazano re-
kord dotyczący naszej irmy. Jak
widać, Nietykalni S.A. korzystają
z dwóch serwerów DNS o adresach
10.14.86.32 i 10.14.86.33, są zareje-
strowani w MLASKu oraz mieszczą
się w Oborkowie, co powinno pokry-
wać się z danymi, które uzyskaliśmy
w pierwszym kroku. Jeśli nie, to naj-
prawdopodobniej siedziba irmy ule-
gła zmianie, połączyła się z inną lub
jest to adres jednego z oddziałów,
odpowiedzialnego za IT. Warto ten
fakt zanotować.
Adresy serwerów DNS posłużą
nam jako drugie zapytanie (o adres:
10.14.86.32 lub 10.14.86.33) do bazy
WHOIS (Listing 2).
38
hakin9 Nr 3/2006
www.hakin9.org
18253658.004.png
 
18253658.005.png
 
18253658.006.png
 
18253658.007.png 18253658.008.png
 
18253658.009.png
 
Praktyka
I cóż otrzymujemy? Po pierw-
sze, jaki blok adresów IP został przy-
dzielony na potrzeby badanej irmy
(10.14.86.0/24), kto jest osobą kon-
taktową (Jaś Fasola – kod JF6969-RI-
PE), adres, telefon, email oraz numer
AS (AS12345). Ten ostatni wskazuje,
czy Nietykalni S.A. mają zarejestro-
wany własny system autonomiczny,
czy też korzystają z innego (w naszym
przypadku podłączeni są do sieci WA-
RIA.PL). Każda z tych informacji może
zostać sprawdzona w bazie WHOIS
i dostarczyć kolejnych, równie inte-
resujących danych. I tu właśnie, dro-
gi Czytelniku, zadanie dla Ciebie
– sprawdź co można jeszcze wycisnąć
z bazy RIPE (a jest tego trochę).
Ponieważ WHOIS nie jest jedy-
nym miejscem, gdzie znajdziemy ni-
sko wiszące owoce , nasz następny
przystanek to znany wszystkim in-
ternautom serwis DNS, który może
wprowadzić dużo zamieszania.
Serwis WHOIS
Głównym zadaniem serwisu WHOIS jest dostarczenie informacji kontaktowych i reje-
stracyjnych danego podmiotu (irmy, instytucji, organizacji). Dzieli się on na dwie czę-
ści – pierwsza odpowiada za informacje związane z danym zakresem adresów IP
(tzw. Network Service-based ), druga – z nazwami domenowymi (tzw. Name Servi-
ce-based ). Baza WHOIS zawiera m.in. adresy IP przydzielone do danego podmiotu,
numer systemu autonomicznego (AS – wykorzystywanego do routingu BGP), dane
osób odpowiedzialnych za utrzymanie wpisu oraz kilka innych.
Baza WHOIS została podzielona pomiędzy cztery Regionalne Rejestry (ang. Re-
gional Internet Regestries ):
• APNIC – Azja i Pacyik ( Asia-Paciic Network Information Center ) – http://
www.apnic.net/
• ARIN – Ameryka Płn. ( American Registry for Internet Numbers ) – http://
www.arin.net/
• LACNIC – Ameryka Łacińska i Karaiby ( Latin American and Caribbean Internet
Address Registry ) – http://www.lacnic.net/
• RIPE NCC – Europa ( Réseaux IP Européens Network Coordination Centre )
http://www.ripe.net/
wet, że zewnętrzny serwer DNS tłu-
maczy nazwy komputerów znajdują-
cych się w chronionej sieci!
Przy testach DNSa warto mieć
pod ręką jakieś wygodne narzędzie.
Pod systemem Linux standardowo do-
stępnych jest ich kilka ( dig, nslookup,
host ), pod Microsoft Windows stan-
dardowo mamy do dyspozycji tylko
jedno ( nslookup ). Pamiętajmy jednak,
że mamy pozostawać w ukryciu. Dla-
tego lepiej jest użyć jakiejś witryny in-
ternetowej, która odpyta serwer DNS
i zwróci nam wyniki bez konieczno-
ści wysyłania jakiegokolwiek pakietu
w stronę obiektu naszych badań. Moż-
na w tym celu wykorzystać np. serwis
http://www.network-tools.com/ , któ-
ry oferuje zaawansowane opcje od-
pytywania (Listing 2). Prześledźmy,
co zwraca serwer DNS, gdy go odpo-
wiednio zapytamy o domenę nietykal-
nisa.com .
Pierwsza rzecz, która rzuca się
w oczy to fakt, iż serwerem admini-
struje Wiktor Burak (widoczny w polu
email: rekordu SOA) oraz, że podsta-
wowym serwerem DNS jest serwer
o hucznej nazwie Brodacz. Po prze-
analizowaniu całego zapisu okazuje
się, że serwer ten to nic innego jak
NS1, zwrócony z bazy WHOIS oraz,
że jego partner – NS2 – to Lysy , któ-
ry jednocześnie jest serwerem pocz-
towym (rekord MX). To bardzo waż-
ne informacje, ponieważ, jeśli serwe-
ry, które udostępniają tego typu usłu-
gi znajdują się na tej samej izycznej
maszynie, to wykryliśmy znaczące
naruszenie zasad bezpieczeństwa.
Skompromitowanie serwera poczto-
wego i zdobycie uprawnień jego su-
perużytkownika jednocześnie ozna-
cza przejęcie kontroli nad serwerem
DNS, a to prowadzić może do bardzo
poważnych konsekwencji!
Oczywiście, możliwe jest rów-
nież, że pod tym samym adresem IP
kryją się dwa różne izyczne syste-
my. Może być to osiągnięte przez za-
stosowanie np.: loadbalancingu lub
innego systemu przekierowującego
zapytania do różnych usług.
Z jednego z rekordów TXT, któ-
ry zawiera informacje tekstowe, mo-
żemy dowiedzieć się, że numer kon-
taktowy zmienił się (5005550). Może
to oznaczać, że ktoś popełnił literów-
kę w czasie wpisywania danych do
rekordu, co jest raczej mało prawdo-
podobne zważywszy, że cyfra 5 nie
znajduje się w sąsiedztwie 0 , lub jest
to numer do działu technicznego na-
szej irmy. I prawdopodobnie pracu-
ją tam: Jaś Fasola i Wiktor Burak. To
nowe dane dla ewentualnego ataku
socjotechnicznego.
Wracając do DNSa. Na stronie
http://www.ip-plus.net/tools/dns_
check_set.en.html/ dostępne jest
narzędzie, które w czasie odpytywa-
nia DNSa próbuje również ściągnąć
cały plik strefy. Dziś bardzo niewie-
le serwerów jest podatnych na tego
A Pan się zowie...
DNS to nic innego jak zbiór systemów
serwujących odwzorowanie adresów
IP na nazwy i odwrotnie. A więc tłu-
maczy zrozumiałe i łatwiejsze do za-
pamiętania przez człowieka nazwy
na adresy numeryczne, wymagane
w komunikacji w sieciach opartych na
protokole IP. Co to dla nas oznacza?
Umysł ludzki jest czasami przewidy-
walny i często kieruje się schematami
lub przyzwyczajeniami. Przykładowo
nazwa serwera WWW zaczynać się
będzie od przedrostka www, irewal-
le często nazywane są fw, DNSy ns ,
poczta – mail itp.
Administratorzy często posługują
się zbiorem nazw wywodzących się
z jednego korzenia, np. z mitologii,
z astronomii (np. nazwy planet i ich
księżyców) lub z przyjętego sche-
matu (np. dhcp13-14 może ozna-
czać stację o adresie kończącym
się na oktetach 13.14 i przypisywa-
nym z serwera DHCP, bud01II122-01
– pierwszy komputer umieszczony
w budynku nr 1 na II piętrze w po-
koju 122.). To bardzo wygodne i uła-
twia faktycznie administrowanie sie-
cią, lecz pozostawia dużo niepo-
trzebnych informacji dla potencjalne-
go intruza. Czasami zdarza się na-
40
hakin9 Nr 3/2006
www.hakin9.org
18253658.010.png
 
18253658.011.png
 
18253658.012.png
 
18253658.013.png 18253658.014.png
 
18253658.015.png
 
Zgłoś jeśli naruszono regulamin