Сбор критических данных без вторжения

ALiEN Assault Cбор критических данных без вторжения 6-е место на конкурсе Bugtraq 3/4
опубликовано без ведома автора в издании Сетевые решения
    В  этой  статье  речь  пойдет  о  методах  поиска  технической  информации,
относящейся к конкретной системе, не привлекающих внимания IDS и администратора
системы.  Статья  может  оказаться  полезной  в  ходе планирования испытаний на
проникновение  (penetration testing), а также содержит советы по предотвращению
утечки     критической    информации,    заслуживающие    внимания    системных
администраторов.
    О  методах сбора информации написано немало, однако в основном рекомендации
сводятся  либо  к  соединениям с системой с исследованием сообщений от сервисов
(banner-grabbing),  либо к использованию социальной инженерии. Оба эти метода в
большинстве  случаев  эффективны,  однако,  при  наличии  мало-мальски разумной
политики безопасности, насторожат администратора.
    Описанные  ниже  методы  сбора информации отличаются как легальностью (даже
простые   подключения  к  портам  могут  быть  расценены  как  неавторизованная
деятельность  —  ведь  в  результате  расходуется  некое  количество  машинного
времени),  так  и  *прозрачностью*  —  без дополнительной *контрразведки* такая
деятельность  практически  незаметна,  и  не  может  послужить  *триггером* для
принятия контрмер.

    Будем  исходить из минимального набора исходных сведений — IP адрес системы
и   ее   хостнэйм.   Естественно,  все  интересующиеся  IT-безопасностью  имеют
представление  о  whois,  DNS  lookup, finger, traceroute, и так далее. В то же
время, нет никакой необходимости делать запросы непосредственно со своей машины
— существует ряд онлайн-инструментов, реализованных как CGI- или PHP-скрипты, с
помощью  которых  можно  осуществить  запрос  с  разнообразных  удаленных  и от
*мишени*,  и  от  *стрелка*  серверов. С перспективы *прозрачной разведки* весь
интернет   можно   представить  одним  распределенным  инструментом  для  сбора
информации  —  в  нашем  случае,  информации, раскрытие которой может оказаться
критическим для безопасности системы.
    Естественно,  использование онлайн-скриптов — не новость, и является только
первым  этапом рассматриваемой стратегии. На этом этапе мы получаем первый блок
информации,  абсолютно  безвредной  , но в то же время — это та самая печка, от
которой   уже  можно  плясать:  e-mail  администратора,  название  организации,
название хостинга, адреса DNS и так далее.
Следующий этап — сбор информации о конфигурации системы. Опять-таки с помощью 
онлайн-инструментов можно получить информацию об используемой операционной 
системе. В случае наличия веб-сервера лишний раз проверить полученную информацию 
можно, используя просто браузер Netscape или Mozilla — в его кэше сохраняется 
запись вроде


Apache/1.3.28 (Unix) mod_auth_passthrough/1.8 
mod_log_bytes/1.2 mod_bwlimited/1.2 PHP/4.3.3 FrontPage/5.0.2.2634 
mod_ssl/2.8.15 OpenSSL/0.9.7a 



На сайте хостинга нередко можно найти техническую информацию о сервере — вплоть 
до топологии сети.


Рис. 1.

На иллюстрации, находившейся в открытом доступе, удалена 
идентифицирующая конкретную сеть информация. Как можно видеть, опубликованы даже 
модели оборудования.  
    Здесь  начинается разведка как таковая — мы берем каждый кусочек полученной
информации и проводим поиск по этой строке, например, по e-mail администратора,
его  имени,  хостнэйму  системы  и  так  далее.  Это  ключ  к серьезному объему
информации.  Так,  в  ходе  консультации,  проводимой  мной  для  некой  весьма
известной  компании,  поиск  по  взятому с whois адресу администратора местного
филиала  показал  его пост в форуме крупного IT-security портала Neophasis, где
на  приличном  английском  излагались  его  проблемы  с  конфигурацией защитных
средств и подробно описывалось используемое ПО.

Поиск по хостнэйму может привести к логам прокси-серверов, нередко содержащим 
полезную информацию.
  Системным администраторам можно посоветовать включить следующие требования в
политику безопасности:
• не использовать один и тот же адрес для регистрации домена и в открытом для 
посторонних глаз обсуждении технических деталей;
• в обсуждениях с посторонними специалистами через Интернет, которые, 
несомненно, могут стать чрезвычайно продуктивными, безопаснее использовать 
*аватар*, или *альтернативную личность*, не раскрывая своего подлиного имени и 
места работы;
• модифицировать баннеры сервисов; так, администратор известного затяжными 
сражениями  с хакерами сайта RIAA.org и зменил баннер Microsoft IIS 6.0 на 
TST-SECURE-OS (другое дело, что при этом каталог /admin не был защищен должным 
образом ☻.

    А  теперь — конкретный пример *прозрачной разведки*, проведенной специально
для  этой  статьи.  Так  как  не  ставилась  задача  выявить все уязвимости или
получить    на    системе    привилегии,    предприняты    шаги   исключительно
демонстрационного  характера.  В  примере  я использую хостнэйм, присланный мне
спаммерами   —  laserjet.ru.  Коль  скоро  господа,  управляющие  этим  сайтом,
прибегают  к  невостребованной  рассылке  (видимо,  от  недостатка  общения ☻),
логично   будет   предположить,  что  они  не  имеют  ничего  против  некоторой
известности ☻

Итак, laserjet.ru:
IP-адрес: 69.56.138.130;
Веб-сервер: Apache/1.3.29 (Unix) mod_auth_passthrough/1.8 
mod_log_bytes/1.2 mod_bwlimited/1.2 PHP/4.3.3 FrontPage/5.0.2.2634 
mod_ssl/2.8.16 OpenSSL/0.9.7a;
ОС: Linux (точнее определить можно с помощью средств passive OS 
fingerprinting 

    Из ответа nslookup узнаем email администратора DNS: root.laserjet.ru
/*  не  все  заполняют это поле реальными данными, еще более немногие следят за
актуальностью  данных  в  этом  поле  —  прим.  ред. "Сетевых решений" */ Вот и
логин:  root.  Доверчиво  вбив  адрес, какой не жалко, в форму на сайте,
получаем  с  ответным  письмом еще один логин, info, а также видим в заголовке:
Received:  from 69.56.138.130 (EHLO mustang.ipaska.net). Следующим шагом узнаем
о  хостинге  ipaska.com  и  читаем  об  его  сервисах, в частности: «...Network
Operation Centers use industry-standard SNMP... ....All critical services/ports
are monitored, including FTP, HTTP, SMTP, HTTPS, SSH and POP3.”
Вот и ftp-сервер: mustang.ipaska.net:21 PureFTPd 1.0.12 (разрешен 
анонимный доступ).
Теперь «зайдем с другого боку»: 
whois laserjet.ru: org: Suntor Limited e-mail: jhnsmith50@hotmail.com

Поиск по двум последним строкам показал еще один домен с такими же 
регистрационными данными — pointer.ru. Любопытный домен, надо отметить, особенно
субдомены:
ad.pointer.ru    195.161.119.193
icq.pointer.ru   195.161.119.193
mail.pointer.ru  81.176.69.152
mail2.pointer.ru 195.161.119.193
ms.pointer.ru    195.161.119.193
ns.pointer.ru    81.176.69.152
ns2.pointer.ru   195.161.119.193
popup.pointer.ru 195.161.119.193

195.161.119.193 также определяется как virtual193.damochka.ru

Веб-сервер: Apache/1.3.29 (Unix) mod_gzip/1.3.19.1a mod_perl/1.27 
PHP/4.3.4RC1
ОС: FreeBSD
логин: info (логично предположить, что раз у laserjet.ru существуют 
логины root и info, то здесь такая же ситуация и существует логин root).
Так как мы видим mail.pointer.ru и mail2.pointer.ru, можно отправить письмо 
несуществующему пользователю spammustdie@pointer.ru. В ответе-сообщении об 
ошибке видим:

Remote-MTA: dns; mail.pointer.ru (81.176.69.152|25|....) 

То есть имеется SMTP-сервер на порту 25. В план дальнейшего исследования можно 
включить, в частности, получение списка логинов через SMTP командой EXPN. В 
принципе, обращения к SMTP-серверу уже несколько выходят за рамки данной статьи.
DNS-сервер: ns.pointer.ru.

    Хосты  ad.pointer.ru  и  popup.pointer.ru  могут  пополнить  собой банлисты
средств  борьбы с онлайн-рекламой ☻ Несколько озадачили icq.pointer.ru (крайне
бессвязно  наполненный, с точки зрения контента; с маркетинговой точки зрения —
все понятно) и ms.pointer.ru — редирект на microsoft.com. Microsoft прибегает к
услугам  спаммеров? index этого сайта — копия заглавной страницы microsoft.com.
Поиском   обнаружен   также   адрес  popup.pointer.ru:8080  —  предположительно
прокси-сервер  ☻  Суммарно:  исходя  из  хостнэйма  laserjet.ru,  из  открытых
источников получены:
    laserjet.ru:  2  логина,  тип  OC,  HTTP  и  FTP  серверов,  краткий список
используемых  хостером  сервисов,  9  принадлежащих  той же компании хостнэймов
*.pointer.ru;
  pointer.ru:  логин  (предположительно  2),  наличие  SMTP- и
proxy-сервисов  на  определенных  портах,  тип  OC  и веб-сервера, информация о
*странных*  icq.pointer.ru  и  ms.pointer.ru. Собранная информация теоретически
может  быть  использована  как  сетевым активистом для легального преследования
спаммеров и затруднения их деятельности, так и хакером для получения повышенных
привилегий  на  указанных  системах  —  любой  sсriptkiddie  в  состоянии найти
эксплойт, зная тип и версию ПО.

Послесловие редакции "Сетевых решений"

    If  you  are paranoid, are you paranoid ENOUGH? Эта расхожая фраза запросто
могла  бы быть эпиграфом для данной статьи. Но, поскольку мне кажется несколько
некорректным  присобачивать  эпиграфы  к чужим статьям, пусть это будет эпиграф
для  послесловия  ☻ /* рипать статьи без спросу куда корректнее - прим. автора */
    Эта   прекрасная,   на   мой  взгляд,  статья  содержит  корректную  как  с
технической, так  и  с  логической точки зрения информацию, но в ней есть вещи,
которые меня очень и очень настораживают.
    Во-первых,  ремарка «даже простые подключения к портам могут быть расценены
как  неавторизованная  деятельность  —  ведь  в  результате  расходуется  некое
количество машинного времени». 
    Ситуация:  некий  хост выведен в Интернет, на нем работают сервисы. Если на
нем  эти сервисы работают — значит это кому-то нужно, иначе зачем они там, huh?
И  что  же  это получается: если мы кликаем на ссылку «послать письмо» на сайте
компании и посылаем письмо на данный хост (используем, стало быть, сервис SMTP)
— мы «хорошие» и «авторизованные», а если мы запросто так лезем телнетом на тот
же  25  порт,  скажем,  посмотреть версию демона или отправить письмо «вручную»
(например, postmaster’у) — то мы уже «хакеры».
    IMHO  если  кто-то  выставил  хост  во всемирную глобальную, он должен быть
готов  к  расходу  «некого  количества машинного времени». А уж если это «некое
количество»   не  удовлетворяет  хозяина  хоста,  он  должен  принять  меры  по
сокращению  своих  затрат  в  этой  области, а никак не перекладывать с большой
головы  на  здоровую:  «я не планировал, что вы будете обращаться к моей машине
так-то и так-то, значит такое обращение противозаконно».
Во-вторых, совершенно опечалил, я бы даже сказала — обескуражил меня следующий  абзац:
    «Естественно,  все  интересующиеся  IT-безопасностью  имеют представление о
whois,  DNS lookup, finger, traceroute, и так далее. В то же время, нет никакой
необходимости  делать  запросы  непосредственно со своей машины...» /* ph3ar
diz    -  прим.  автора  */  Упс,  приехали:  стандартные утилиты и методы
сетевого   анализа   (мало  относящиеся  к  сфере  IT-безопасности)  постепенно
переползают в сферу недозволенного? И такие вещи уже не рекомендуется исполнять
со  своей  машины?  То  бишь,  если  моя  сеть (хост) А не имеет доступа к сети
(хосту) Б, мне следует обратиться к саппорту своего провайдера, сложить ручки и
смиренно ждать, пока «починют» или сообщат причину «бессвязности» сетей? Да уж,
любой  тоталитарный режим позавидовал бы ущемлению свобод, которое пользователи
Интернет творят над собой своими же собсвенными руками.
    Кстати,  кроме  восстановления  связности  сетей, диангостические утилиты и
методики  могут  использоваться  и для исследовательской работы. Netcraft ведет
учет  популярности  веб-серверного  ПО,  кого-то  может  заинтересовать процент
почтовых  систем,  поддерживающих  тот  или иной функционал. Могут быть и очень
частные  исследования:  например,  обманывает ли потенциального клиента реклама
сервис-провайдера  (обладает ли он заявленными мощностями) или что представляет
собой тот или иной Интернет-проект, откуда там «ноги растут», где хостится, кто
им владеет, и, стало быть, стоит ли с ними иметь дело.
    Кто-то  из  гуру  в  области  IT-безопасности  как-то  заметил, что если ты
разглядываешь  витрину  магазина — это не значит, что ты готовишь ограбление. С
другой  стороны,  если  ты  боишься,  что в твое окно будут пялиться прохожие —
повесь шторы. И это правильно.
    Автор  статьи  показывает, какими методами можно пользоваться для получения
информации  о  вас,  вы  можете  сделать соответсвующие выводы и, если считаете
нужным, противостоять «негласному съему информации».
    Мне  же  просто  хотелось  обратить  внимание  общественности  на  то,  что
деятельность  исследовательская !== злоумышленная деятельность. Перечисленные в
статье  методы,  равно  как  и  многие  другие (скажем, сканирование портов или
active  OS fingerprinting) не должны получать статус недозволенных — ни де юре,
ни  де  факто.  Не  хотелось  бы через пару десятков лет оказаться перед фактом
существования вокруг нас Всемирного Виртуального Третьего Рейха ☻
P.S.: мое мнение противоречит некоторым пунктам документа OFISP-008 'Нормы 
пользования сетью'. Я, в общем-то, этого никогда и не скрывала ☻  

Alice D. Saemon

Сайт создан в системе uCoz