Сбор критических данных без вторжения

В этой статье речь пойдёт о методах поиска технической информации, относящейся к конкретной системе, не привлекающих внимания IDS и администратора системы. Статья может оказаться полезной в ходе планирования испытаний на проникновение (penetration testing), а также содержит советы по предотвращению утечки критической информации, заслуживающие внимания системных администраторов.

О методах сбора информации написано немало, однако в основном рекомендации сводятся либо к соединениям с системой с исследованием сообщений от сервисов (banner-grabbing), либо к использованию социальной инженерии. Оба эти метода в большинстве случаев эффективны, однако, при наличии мало-мальски разумной политики безопасности, насторожат администратора.

Описанные ниже методы сбора информации отличаются как легальностью (даже простые подключения к портам могут быть расценены как неавторизованная деятельность - ведь в результате расходуется некое количество машинного времени), так и "прозрачностью" - без дополнительной "контрразведки" такая деятельность практически незаметна, и не может послужить "триггером" для принятия контрмер.

Будем исходить из минимального набора исходных сведений - IP адрес системы и её хостнэйм. Естественно, все интересующиеся IT-безопасностью имеют представление о whois, DNS lookup, finger, traceroute, и так далее. В то же время, нет никакой необходимости делать запросы непосредственно со своей машины - существует ряд онлайн-инструментов, реализованных как CGI или PHP скрипты, с помощью которых можно осуществить запрос с разнообразных удалённых и от "мишени", и от "стрелка" серверов. С перспективы "прозрачной разведки" весь интернет можно представить одним распределённым инструментом для сбора информации - в нашем случае, информации, раскрытие которой может оказаться критическим для безопасности системы.

Естественно, использование онлайн-скриптов - не новость, и является только первым этапом рассматриваемой стратегии. На этом этапе мы получаем первый блок информации, абсолютно безвредной , но в то же время - это та самая печка, от которой уже можно плясать: e-mail администратора, название организации, название хостинга, адреса DNS и так далее.

Следующий этап - сбор информации о конфигурации системы. Опять-таки с помощью онлайн-инструментов можно получить информацию об используемой операционной системе. В случае наличия веб-сервера лишний раз проверить полученную информацию можно, используя просто браузер Netscape или Mozilla - в его кэше сохраняется запись вроде

Apache/1.3.28 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.2 PHP/4.3.3 FrontPage/5.0.2.2634 mod_ssl/2.8.15 OpenSSL/0.9.7a

На сайте хостинга нередко можно найти техническую информацию о сервере - вплоть до топологии сети.

На этой иллюстрации, находившейся в открытом доступе, удалена идентифицирующая конкретную сеть информация. Как можно видеть, опубликованы даже модели оборудования.

Здесь начинается разведка как таковая - мы берём *каждый* кусочек полученной информации и проводим поиск этого сочетания - например, e-mail администратора, его имя, хостнэйм системы и так далее - это ключ к серьёзному объёму информации. Так, в ходе консультации, проводимой мной для некой весьма известной компании, поиск по взятому с whois адресу администратора местного филиала показал его пост в форуме крупного IT-security портала Neophasis, где на приличном английском излагались его проблемы с конфигурацией защитных средств, и подробно описывалось используемое ПО. Поиск по хостнэйму может привести к логам прокси-серверов, нередко содержащим полезную информацию.

Системным администраторам можно посоветовать включить следующие меры в политику безопасности:

• не использовать один и тот же адрес для регистрации домена, и в открытом для посторонних глаз обсуждении технических деталей;
• в обсуждениях с посторонними специалистами через интернет, которые, несомненно, могут стать чрезвычайно продуктивными, безопаснее использовать "аватар", или "альтернативную личность", не раскрывая своего подлиного имени и места работы;
• модифицировать баннеры сервисов; так, администратор известного затяжными сражениями с хакерами сайта RIAA.org изменил баннер Microsoft IIS 6.0 на TST-SECURE-OS (другое дело, что при этом каталог /admin не был защищён должным образом).

В заключение - конкретный пример "прозрачной разведки", проведённой специально для этой статьи. Так как не ставилась задача выявить все уязвимости или получить на системе привилегии, предприняты шаги исключительно демонстрационного характера. В примере я использую хостнэйм, присланный мне спаммерами - laserjet.ru. Коль скоро господа, управляющие этим сайтом, прибегают к невостребованной переписке от недостатка общения, логично будет предположить, что они не имеют ничего против некоторой известности :)

Итак, laserjet.ru

IP: 69.56.138.130

Веб-сервер: Apache/1.3.29 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.2 PHP/4.3.3 FrontPage/5.0.2.2634 mod_ssl/2.8.16 OpenSSL/0.9.7a

ОС: Linux (точнее определить можно с помощью средств passive OS fingerprinting)

Из ответа nslookup: email: root.laserjet.ru

Вот и логин - root. Доверчиво вбив адрес, какой не жалко, в форму на сайте, получаем с ответным письмом ещё один логин, info, а также видим в заголовке: Received: from 69.56.138.130 (EHLO mustang.ipaska.net)

Следующим шагом узнаём о хостинге ipaska.com и читаем об его сервисах, в частности: ....Network Operation Centers use industry-standard SNMP... ....All critical services/ports are monitored, including FTP, HTTP, SMTP, HTTPS, SSH and POP3.

mustang.ipaska.net:21 PureFTPd 1.0.12 (разрешён анонимный доступ)

whois laserjet.ru: org: Suntor Limited e-mail: jhnsmith50@hotmail.com

Поиск по двум последним строкам показал ещё один домен с такими же регистрационными данными - pointer.ru. Любопытный домен, надо отметить, особенно субдомены:

ad.pointer.ru		195.161.119.193 
icq.pointer.ru		195.161.119.193 
mail.pointer.ru		81.176.69.152 
mail2.pointer.ru	195.161.119.193
ms.pointer.ru		195.161.119.193  
ns.pointer.ru		81.176.69.152  
ns2.pointer.ru		195.161.119.193 
popup.pointer.ru	195.161.119.193

195.161.119.193 также определяется как virtual193.damochka.ru

Веб-сервер: Apache/1.3.29 (Unix) mod_gzip/1.3.19.1a mod_perl/1.27 PHP/4.3.4RC1

ОС: FreeBSD

логин: info (логично предположить, что раз у laserjet.ru существуют логины root и info, то здесь такая же ситуация, и существует логин root).

Так как мы видим mail.pointer.ru и mail2.pointer.ru, можно отправить письмо несуществующему пользователю spammustdie@pointer.ru, и видим в ответе об ошибке:

Remote-MTA: dns; mail.pointer.ru (81.176.69.152|25|....)

То есть имеется SMTP-сервер на порту 25. В план дальнейшего исследования можно включить, в частности, получение списка логинов через SMTP командой expn. В принципе, обращения к SMTP-серверу уже несколько выходят за рамки данной статьи.

ns.pointer.ru - DNS-сервер. ad.pointer.ru и popup.pointer.ru могут пополнить собой банлисты средств борьбы с онлайн-рекламой :) Несколько озадачили icq.pointer.ru (крайне бессвязно наполненный, с точки зрения контента; с маркетинговой перспективы - всё понятно) и ms.pointer.ru - редирект на microsoft.com. Microsoft прибегает к услугам спаммеров? index этого сайта - копия заглавной страницы microsoft.com.

Поиском обнаружен также адрес popup.pointer.ru:8080 - предположительно прокси-сервер :) Суммарно: исходя из хостнэйма laserjet.ru, из открытых источников получены:

• laserjet.ru: 2 логина, тип OC, HTTP и FTP серверов, краткий список используемых хостером сервисов;
• 9 принадлежащих той же компании хостнэймов *.pointer.ru;
• pointer.ru: логин (предположительно - 2), наличие SMTP и proxy на определённых портах, тип OC и веб-сервера, информация о "странных" icq.pointer.ru и ms.pointer.ru. Собранная информация теоретически может быть использована как сетевым активистом для легального преследования спаммеров и затруднения их деятельности, так и хакером для получения повышенных привилегий на указанных системах - любой sсriptkiddie в состоянии найти эксплойт, зная тип и версию ПО.

Твитнуть