Professional Documents
Culture Documents
PRZYKADOWY ROZDZIA
SPIS TRECI
KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG
TWJ KOSZYK
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK
CZYTELNIA
FRAGMENTY KSIEK ONLINE
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
Spis treci
Sowo wstpne ................................................................................ 11
Przedmowa...................................................................................... 13
Wprowadzenie ................................................................................. 19
Rozdzia 1. Wamania do systemw stan na dzie dzisiejszy ........................... 23
Rozdzia 2. Okrelenie hakera............................................................................ 29
2.1. Poziomy umiejtnoci hakerw .................................................................................30
2.1.1. Hakerzy pierwszorzdni....................................................................................30
2.1.2. Hakerzy drugorzdni.........................................................................................30
2.1.3. Hakerzy trzeciorzdni .......................................................................................31
2.2. Konsultanci do spraw zabezpiecze...........................................................................32
2.3. Mity o hakerach..........................................................................................................33
2.4. Mity o zabezpieczaniu informacji ..............................................................................34
Spis treci
5
7.3. Informacje o systemie NT ........................................................................................101
7.4. Unix..........................................................................................................................104
7.5. Poszukiwanie narzdzi ataku ...................................................................................105
7.6. Analiza ruchu w sieci ...............................................................................................106
7.7. Zdalne instalowanie zestawu narzdzi .....................................................................108
7.8. Skanowanie w poszukiwaniu sabych punktw .......................................................109
Studium przypadku: Sprawdzanie komputera stacjonarnego .........................................109
Spis treci
7
16.17. SRVINFO.............................................................................................................265
16.18. AuditPol ...............................................................................................................266
16.19. REGDMP .............................................................................................................267
16.20. Somarsoft DumpReg ............................................................................................268
16.21. Remote .................................................................................................................270
16.22. Netcat ...................................................................................................................271
16.23. SC .........................................................................................................................273
16.24. AT.........................................................................................................................274
16.25. FPipe.....................................................................................................................275
Studium przypadku: Sabe hasa .....................................................................................276
Studium przypadku: Wewntrzna penetracja systemu Windows ...................................281
Spis treci
9
23.5. Dochodzenia komputerowe....................................................................................398
23.6. Regulacje prawne ...................................................................................................399
23.7. Techniki wama ....................................................................................................400
23.8. Profilaktyka ............................................................................................................401
23.9. Ubezpieczenia od skutkw przestpstw komputerowych......................................401
Rozdzia 5.
66
67
Rysunek 5.1.
Polecenie whois
dla domeny
klevinsky.com
68
69
Podczas wykonywania przesania informacji o strefie naley pamita, e czsto serwer DNS nie posiada penego listingu wszystkich komputerw docelowej sieci. Kilka
komputerw moe korzysta z protokou DHCP, a przedsibiorstwo moe uywa
odrbnych serwerw nazw domeny dla odrbnych domen. Dodatkowo, serwer DNS
moe nie obsugiwa da przesania informacji o strefie od nieuwierzytelnionych
komputerw, zezwalajc na to tylko tym, ktre pochodz z zapasowych serwerw nazw
w danej organizacji. Dlatego te naley wykonywa przesanie informacji o strefie dla
wszystkich zidentyfikowanych serwerw nazw domeny sieci docelowej. Jeden z nich
moe przynajmniej udostpni czciowy listing.
Spotkalimy rwnie przedsibiorstwa korzystajce z zewntrznej obsugi funkcji nazw
domeny lub uywajce serwera DNS swego dostawcy usug internetowych. Z naszego
dowiadczenia wynika, e wykonywanie przesania informacji o strefie wobec serwera DNS lub innego urzdzenia, nalecego do dostawcy usug internetowych lub strony niezalenej, zazwyczaj nie spotyka si ze zrozumieniem tej strony trzeciej. W takim
przypadku najczciej pomijamy ten etap, chyba e uzyskalimy pisemn zgod zarwno badanej organizacji, jak i strony trzeciej. Jeli taka sytuacja ma miejsce, naley upewni si, e warunki prowadzenia testw penetracyjnych wyranie okrelaj, czy takie
systemy s objte testowaniem.
Z drugiej strony, urzdzenia DNS, ktre nale do organizacji klienta, ale nie mieszcz si w zakresie adresw IP, powinny by uwzgldniane w zadaniu testowania (jeli
tylko istnieje jaka szansa na to, e takie urzdzenie DNS moe udostpni informacje
o domenie bdcej obiektem ataku), poniewa s potencjalnym celem przesania informacji o strefie. Penetracja z internetu bazuje bowiem na wykorzystaniu oglnie dostpnych informacji.
Tak na og bywa, gdy cel ataku obejmuje jedn lub kilka domen w duej organizacji.
Gwny serwer DNS tej organizacji prawdopodobnie bdzie posiada czciowy listing
komputerw w docelowej domenie, nawet jeli znajduje si poza t domen.
W przeciwiestwie do polecenia , danie przesania informacji o strefie wyranie wskazuje na dziaanie hakera, gdy przecitnemu uytkownikowi takie wiadomoci nie s do niczego potrzebne. Dlatego te osoba korzystajca z takiego polecenia
moe by od razu traktowana jak potencjalny wamywacz. Zalecane jest, aby przed
rozpoczciem tego typu dziaa dobrze oceni sytuacj, bo personel moe odebra to
jak rozpoczcie testw penetracyjnych.
70
W ostatnim czasie organizacje coraz skuteczniej blokuj polecenie ping, a rodki zaradcze s coraz powszechniejsze. Mona z du doz prawdopodobiestwa zaoy, e
komputer, wysyajcy potwierdzenie na danie ICMP, jest czynny, jednak fakt, e
komputer nie wysya takiego potwierdzenia, wcale nie musi oznacza, e jest wyczony. Moe by wyczony, ale moe mie rwnie miejsce filtrowanie ruchu ICMP
do tego komputera i polecenie ping po prostu do niego nie dociera. Urzdzenia zabezpieczajce mog rwnie wysya faszywe odpowiedzi na danie potwierdzenia.
W zalenoci od zakadanego stopnia wykorzystania narzdzia ping, mona uy rnych metod, aby fakt posugiwania si nim ukry przed systemem wykrywania wama,
ktry moe monitorowa ruch w sieci. Metody te omwimy dokadnie w rozdziale 12.,
w czci powiconej narzdziu Nmap, warto jednak ju teraz wspomnie, e przydatne
jest losowe wybieranie kolejnoci adresw IP, zmienianie czasu midzy wysyaniem
kolejnych pakietw ping, jak rwnie dzielenie adresw IP na grupy (jest to najbardziej
uyteczne w przypadku duej liczby komputerw, powyej 100).
Program ping mona znale w wikszoci systemw operacyjnych i moe by uruchamiany przy uyciu wielu narzdzi. Jednym z najpopularniejszych jest Nmap, w zwizku
z jego konfiguracj, atwoci uywania oraz szeregiem innych funkcji, jakie posiada
(ping TCP, skanowanie portw, rozpoznawanie systemw operacyjnych). W rodowisku Windows dobrymi narzdziami sucymi do tego celu s Pinger i Ws PingPro Pack
(opracowywana jest rwnie wersja Nmap). Pinger suy wycznie do wykonywania
operacji ping, natomiast Ws PingPro Pack oferuje jeszcze dodatkowe funkcje.
Korzystanie z narzdzia ping zazwyczaj nie jest traktowane jako przejaw zych intencji, majcych na celu wamanie do systemu. Jednak naduywanie tego narzdzia moe
by bardzo irytujce lub nawet szkodliwe. Wystarczy wysya to polecenie do kadego
urzdzenia w sieci klasy C co 30 sekund przez 8 godzin, aby zobaczy, jak bardzo
wpywa to na przepustowo.
71
reprezentowa rutery, zapory sieciowe lub inne bramy. Jeli przed kilkoma komputerami wystpuje taki sam przeskok, prawdopodobnie oznacza to ruter lub zapor. Jeli
za jakim wsplnym komputerem pakiety ICMP nie s widoczne, take moe to oznacza istnienie zapory lub rutera filtrujcego. Wsplny komputer przed zestawem serwerw WWW moe by rwnie urzdzeniem wyrwnywania obcienia lub serwerem sucym do readresowania odwoa WWW.
Jeli zauwaymy, e niektre pakiety podaj do pewnych komputerw inn drog,
moe to oznacza, e odkrylimy nowe bramy do sieci. Dosy czsto si zdarza, e segmenty sieci maj kilka pocze z internetem o czym nie wiedz osoby zarzdzajce
t sieci. Poczenia mogy zosta utworzone przy testowaniu sieci lub dla jakiej aplikacji, a potem o tym zapomniano. Takie cieki czsto s powodem infiltracji systemu.
72
73
Unix mona rwnie uzyska po przejrzeniu pliku /etc/services. Mona take stworzy
list portw obsugujcych aplikacj, ktrej sabe strony znamy i chcemy wykorzysta,
na przykad FTP, telnet i RealSecure (odpowiednio: porty 21, 23 i 2998). Wikszo
skanerw umoliwia skanowanie zarwno portw TCP, jak i UDP. Porty UDP s czsto
ignorowane, poniewa nie s tak powszechne, ale one rwnie mog by naraone na
ataki. W zwizku z tym, e UDP jest protokoem bezpoczeniowym, wyniki skanowania tych portw s uwaane za mniej wiarygodne.
Mona take stworzy list portw, z ktrych wygodnie korzysta si nam w rnych
sieciach i modyfikowa j w sposb odpowiedni dla sieci, ktrej skanowanie przewidujemy. Przykadowo, moemy utworzy ogln list portw i w przypadku badania
sieci Unix usun porty typowe dla NT. Nmap jest rozprowadzany z list zawierajc
kilka znanych portw, co moe stanowi pocztek listy oglnej (dodatkowe listy
portw mona znale na rnych hakerskich witrynach patrz rozdzia 22.). Do listy
oglnej moemy nastpnie dodawa kolejne porty, w miar jak dowiadujemy si, e
s skojarzone z aplikacj posiadajc znane nam sabe miejsca lub luk, z ktrej moemy skorzysta. Z listy naley usun porty, ktre nie s zwizane ze sabymi punktami
systemu, lukami czy zbieraniem informacji. Utrzymywanie takiej listy wymaga cigego testowania, jednak im wicej prb skanowania portw bdziemy wykonywa,
tym bardziej przydatne wiadomoci uzyskamy.
Jak ju wczeniej wspomnielimy, w rodowisku uniksowym Nmap jest najlepszym
narzdziem do skanowania portw, jak rwnie wiarygodnym narzdziem do rozpoznawania systemw operacyjnych. Odpowiednimi skanerami portw w systemie NT
s SuperScan i 7th Sphere, ale nie umoliwiaj rozpoznawania systemw operacyjnych
(jak wspomnielimy, Nmap dla Windows jest w trakcie opracowywania).
W rozdziale 13. dokadnie omawiamy zastosowanie tych narzdzi, dlatego te nie
bdziemy si tu powtarza. Przedstawimy jedynie wyniki uzyskane za pomoc narzdzia Nmap podczas skanowania portw TCP i UDP w pojedynczym komputerze z systemem Linux rysunek 5.2.
Rysunek 5.2.
Przykadowe wyniki
po uyciu narzdzia
Nmap
Zazwyczaj przed skanowaniem skanery portw wykonuj polecenie ping i skanuj tylko
te komputery, ktre odpowiedz na to polecenie. Jeli mamy jakie podejrzenia, dotyczce
wynikw funkcji ping, mona ustawi skanery w takich sposb, aby skanoway rwnie
komputery, ktre nie reaguj na ping. Skanowanie bdzie jednak trwa duej.
74
75
Zalet programu Whats Running jest to, e banner jest umieszczany w oknie, z ktrego
mona go skopiowa do pliku lub edytowa.
76
Bardzo popularn metod jest przeprowadzanie ataku na serwer WWW. Jest to coraz
powszechniej stosowana metoda przeniknicia do atakowanej sieci. Jednym z czsto
uywanych narzdzi ataku jest Microsoft IIS MDAC/RDS, suce do wykorzystania
serwera WWW IIS za pomoc pliku msadc.cll oraz usugi RDS (ang. Remote Data
Service). Narzdzie to pozwala wamywaczowi na wykonanie w atakowanym komputerze pojedynczego polecenia. Z tego polecenia mona skorzysta ponownie wwczas,
kiedy chcemy zastosowa seri pojedynczych polece, ktre razem mog by uyte dla
osignicia rnych celw, takich jak pobranie poufnych plikw z atakowanego komputera i ustanowienie poczenia z innymi komputerami. Uycie dodatkowo polecenia
ntuser pozwala uytkownikowi na uzyskanie miejsca w lokalnej grupie administratorw.
Do zdalnego wykorzystania tego sabego miejsca moe posuy powszechnie dostpny
skrypt napisany w Perlu, msdacExploit.pl (plik ten nie jest jedynym, ktry do tego suy),
kodowany przez hakera rain-forest puppy. Aby zastosowa omawiany skrypt, wystarczy wyda nastpujce polecenie (nie musimy by na dysku C):
(*+,%
-./)/%#
& %#01&2
'32
%$&
,
77
przypadku moemy mie kopoty, gdy badany komputer bdzie odsya graficzny interfejs uytkownika do naszego komputera i interfejs zostanie zablokowany przez zapor
sieciow lub przez sam komputer. Badany komputer moe ponadto czasami wywietla
ten interfejs na ekranie i uytkownik bdzie ostrzegany o naszych poczynaniach.
Zestaw narzdzi mona skopiowa za pomoc protokou FTP lub TFTP. Po zainstalowaniu zestawu moemy rozpocz testowanie kolejnych komputerw. Od tego momentu
testowanie przebiega podobnie jak w przypadku testowania systemu od wewntrz,
poniewa ju znajdujemy si w badanej sieci. W rozdziale 7. zamiecilimy wicej informacji o tym, jak postpowa przy testowaniu dodatkowych systemw.
Wrd narzdzi, ktre powinnimy umieci w zestawie, s sniffery i narzdzia suce
do odczytywania znakw wprowadzanych z klawiatury, pomocne w przechwytywaniu
ruchu w sieci. Poszukujemy zwaszcza nazw uytkownikw i hase, umoliwiajcych
uzyskanie dostpu do innych komputerw, systemw modemowych i czekajcych na
sygna usug w sieci. Sniffery s szerzej opisane w rozdziale 14.
Warto wyprbowa rwnie narzdzia zdalnego sterowania, ktre mog pomc w sterowaniu systemem. Po przejciu jednego komputera otwieraj si przed nami rozlege
moliwoci dalszej penetracji sieci. Moemy przechwyci plik hase Unix (wraz z zapasowym plikiem hase) lub rejestr systemu Windows (czsto dziki wersji przechowywanej w katalogu zawierajcym informacje naprawcze) w celu uzyskania hase
wszystkich uytkownikw urzdzenia lub nawet konta administratora, co prawdopodobnie umoliwi nam uzyskanie dostpu do innych komputerw w sieci. Narzdzia
zdalnego sterowania i ich zastosowanie zostay opisane w rozdziale 18.
Instalujemy zatem wszystkie narzdzia, ktre mog nam by pomocne w wykorzystaniu
zaatakowanego systemu jako platformy do atakowania innych systemw. Naley jednak
pamita, co i gdzie umieszczamy, aby po zakoczeniu testw mona byo przywrci
system do stanu wyjciowego.
Studium przypadku:
Komputery doczone jednoczenie
do dwch sieci
Jak ju wspomnielimy w rozdziale 4., komputery doczone jednoczenie do dwch
sieci mog by przyczyn powstania powanej luki w zabezpieczeniach sieci, poniewa
mog pozwoli uytkownikom, posiadajcym prawo dostpu i uprawnienia w jednej
sieci lub domenie, na uzyskanie praw i uprawnie, jakich nie powinni mie w innej
domenie. Taka sytuacja moe zaistnie wwczas, gdy komputer stacjonarny jest podczony do wewntrznej sieci LAN i rwnoczenie poczony jest przez modem do lokalnego dostawcy usug internetowych. W przypadku takiej konfiguracji istnieje moliwo
uzyskania dostpu do sieci przedsibiorstwa z internetu przez poczenie telefoniczne.
Ten rodzaj podatnoci na atak moe jednak wystpi rwnie przy innych konfiguracjach.
78
Przykadowo, naszym klientem by kiedy dostawca usug internetowych, ktry prowadzi rwnie serwery WWW dla kilku tysicy przedsibiorstw. Korzysta do tego z setek
komputerw z systemem Unix, o identycznej konfiguracji, na ktrych dziaay serwery
Netscape.
Dostawca usug internetowych nie prowadzi penego zarzdzania, jego zadaniem bya
obsuga komputerw, natomiast serwerami WWW zarzdzali sami klienci.
Pakiet usugi obejmowa jzyk skryptowy tcl, umoliwiajcy zdalne zarzdzanie serwerami WWW. Dostawca usug internetowych nie zdawa sobie sprawy z tego, e wykorzystujc jzyk skryptowy tcl, dobrze zorientowani klienci, a nawet osoby odwiedzajce witryny WWW, mog prowadzi dziaalno, do ktrej z pewnoci nie powinny
by uprawnione. Wykorzystanie serwera WWW, dziaajcego z uprawnieniami uytkownika root, umoliwiao uzyskanie dostpu z takimi uprawnieniami do komputerw
za pomoc rnych specjalnie opracowanych adresw URL. Jest to przykad ataku na
serwer WWW, polegajcy na wykorzystaniu niepenej lub niewaciwej weryfikacji
wprowadzanych danych.
Taki ukad doprowadzi do infiltracji komputera centralnego. Podobne skutki moe
wywoa nieodpowiednie skonfigurowanie serwera Microsoft IIS.
Okazao si jednak, e wyej opisana moliwo infiltracji komputera nie bya najwiksz
luk w badanej sieci.
Po udanym ataku na komputer w sieci zawierajcej serwery WWW (na przykad po
uzyskaniu dostpu uytkownika root) mona byo zainstalowa w tym komputerze
odpowiedni zestaw narzdzi, a wrd nich narzdzia do amania hase. Gdy ju uzyskalimy dostp uytkownika root w jednym komputerze, moglimy zaobserwowa,
e sie bya poczona z inn sieci, uywan do obsugi rnych systemw handlowych przedsibiorstwa dostawcy usug internetowych. Co wicej, odkrylimy, e niektrzy uytkownicy sieci z serwerami WWW mieli konta rwnie w tej drugiej sieci
i korzystali z tych samych hase.
W tym momencie nie byo adnych problemw z uzyskaniem dostpu do drugiej sieci,
poniewa istniay konta z t sam nazw uytkownika i tym samym hasem w obu
sieciach, dziki czemu mona byo ponownie skopiowa i zainstalowa zestaw narzdzi.
Nastpnie odkrylimy, e jeden z komputerw w tej drugiej sieci by poczony z trzeci sieci. Bya to sie wewntrzna, uywana do obsugi ksigowoci, utrzymywania
bazy danych klientw i innych bardzo cennych informacji. Ta sie miaa funkcjonowa
jako niezalena sie wewntrzna. Przez pomyk by do niej podczony jeden komputer. Udao si go odnale dziki odkryciu, e mia dwie karty NIC z adresami IP
nalecymi do dwch rnych zakresw adresw. Dlatego te konta uytkownika
(i konto uytkownika root) tego komputera uprawniay do dziaania w obu sieciach. Jak
mona si byo spodziewa, konto uytkownika root miao to samo haso we wszystkich komputerach drugiej sieci, w zwizku z czym uzyskalimy dostp uytkownika
root do wewntrznej, gwnej sieci organizacji.
79
Wniosek
Niejednokrotnie spotkalimy si z sytuacjami, w ktrych pewne organizacje nie byy
wiadome tego, e istniay w nich komputery podczone do dwch sieci lub e celowo
uywano podwjnego poczenia jako atwego rozwizania, pozwalajcego unikn
kopotw z komunikacj (realizowan przez zapory sieciowe) midzy pewnymi aplikacjami. Z opisanego powyej przykadu wyranie wida, e naley bardzo dokadnie
sprawdza architektur sieci. Po projektowaniu i wdraaniu bezpiecznej architektury,
obejmujcej zarwno konfiguracj komputerw, jak i caociow topologi sieci,
wszelkie wprowadzane zmiany musz by kontrolowane przez odpowiedni mechanizm, aby unikn powstawania takich bdw, jak istnienie komputerw o podwjnym
poczeniu, umoliwiajcych wamanie si do sieci.