Один день из жизни сисадмина – Admin-Day

Блог системного администратора об it индустрии и околокомпьютерных тем. Жизненный опыт и истории в статьях и заметках. Один день из жизни сисадмина

Что такое “след”? Справочник по идентификации личности в интернете

Справочник по идентификации личности в интернетеАдмины выбрались на природу и,  рассаживаясь вокруг костра, начинают рассказывать страшные истории про хакеров. Вам интересно, как начинает работать хакер? Что такое след заголовка?

В российских реалиях этот вид деятельности, изначально подготовленный к атаке или аудиту безопасности, называется сетевой разведкой или поиском следов (следа) по названию.

Говоря простым языком, это набор действий, выполняемых аудитором-хакером, которые направлены на сбор как можно большего количества информации об атакованном сервере, организации или компьютере жертвы. Часто такие действия называют белым интеллектом, то есть OSINT.

Информация, которая может быть полезна хакеру:

  • список веб-сайтов (и whois-доменов) жертвы и опубликованных на них данных, а также их структура (включая скрытые файлы и папки), информация о скриптах на сервере;
  • целевой IP и MAC-адреса;
  • версии систем, на которых работает жертва или сервер;
  • всевозможная информация о пользователях и сотрудниках системы;
  • информация о системах предотвращения вторжений (IDS);
  • физическое построение внутренней сети жертвы;
  • запуск сетевых сервисов (программ) и их версий на сервере или компьютере жертвы;

Большой объем информации необходимо получать вручную путем поиска в различных поисковых системах интернета, а также путем сканирования структуры страниц жертвы с помощью словаря или методом грубой силы (поиск скрытых файлов, которые могут скрывать интересную или секретную информацию). Часто на хостинге скрыты конфигурационные файлы, файлы паролей, проприетарные административные панели, незащищенные загрузчики файлов и интересные фотографии администраторов.

Для этих целей используются следующие интересные инструменты:

  • команды поисковой системы Google – этот тип атак с использованием доступной информации в интернете часто называют взломом Google. Информацию о готовых командах для поиска потенциально уязвимых сайтов стоит поискать в интернете, такие списки часто называют “гугл-придурками”. Также есть такие инструменты, как SiteDigger 3.0. Еще стоит использовать специализированную поисковую систему для устройств, потенциально уязвимых для атак Shodan (http://www.shodanhq.com/);
  • вы можете использовать инструмент IndirScanner (требуется интерпретатор Perl), а также отличный инструмент от OWASP под названием DirBuster для изучения скрытой структуры веб-сайта (файлов и папок, размещенных на сервере без ссылок из любой точки интернета). Еще один интересный инструмент – Burp Spider. С помощью этих инструментов мы можем искать на веб-сайте данные, скрытые для пользователей без специальных знаний (это тоже следы);

Если мы уже затронули тему исследования веб-сайтов, стоит также позаботиться об идентификации установленных скриптов на веб-сайте (например, определение версии CMS). Что это позволяет нам делать? Поиск доступных эксплойтов в сети и атаки.
Интересный инструмент для определения скриптов (CMS) www это:
– инструмент WhatWeb – скрипты идентификации CMS,
– плагин для Firefox и Chrome Wappalyzer.

Много информации об авторе страницы также можно найти в исходном коде страницы. Обратите особое внимание на комментарии, размещенные в html-коде.
Помните, что информация на веб-сайте чаще всего актуальна, поэтому стоит использовать такие механизмы, как Google Catche (старая копия веб-сайта), чтобы просмотреть старые версии веб-сайта. Там же можно найти интересную проиндексированную информацию. Дополнительно стоит воспользоваться архивом веб-сайта Web Archive.

Частные – информация о социальной инженерии, следы

Мы должны помнить, что большая часть этой информации, полученной с помощью вышеупомянутых действий по отслеживанию следов, может быть использована для использования в социально-технических атаках. Вы можете найти это удивительным, но многие пароли и странные бреши хакеры получают,… разговаривая с жертвой.

Чаще всего они пытаются получить информацию, позволяющую сбросить пароли или авторизоваться на сервере. Конечно, проявите изобретательность, вы сможете заставить жертву настроить систему таким образом, чтобы вы могли войти в систему. Примеры включают включение telnet, ssh, добавление учетной записи на ftp / хостинг и, конечно же, многое другое. Не забывайте о самых важных инструментах, настоящей полицейской базе: Facebook, VK и даже “Одноклассники”. Это мощные хранилища данных о жертвах – стоит и их просмотреть. Знаете ли вы, что таким способом часто можно угадать секретный вопрос для восстановления пароля к почтовому ящику или другому типу услуг?

Последними интересными источниками данных (настоящие инструменты разведки) могут быть Google Maps и Google Street. Мы можем виртуально гулять по улице жертвы, собирая информацию о ней. Это может помочь нам с социально-технической атакой (делая как бы достоверным, что мы знаем жертву лично (таинственный соблазнитель :-))).

Информацию о регистраторе домена можно найти на таких веб-сайтах, как WHOIS, а информацию о DNS-сервере веб-сайта жертвы часто можно получить с помощью инструмента nslookup, доступного как для Windows, так и для Linux. В сети также имеется служебная программа firece, которая автоматизирует сбор информации DNS.

Кроме того, в качестве любопытства и дополнения, я добавлю, что из многих фотографий jpeg (даже с цензурой, сделанной в графической программе) вы можете извлечь исходную фотографию из мета тегов EXIF (миниатюра без цензуры) и даже определить координаты GPS, где было сделано фото. Проявите творческий подход!

Для более ощутимой атаки мы можем использовать:

– инструмент ping (для проверки активности хостов в сети),
– tool host – утилита поиска DNS,
– утилита traceroute (для Windows tracert) для проверки пути к пакету (мы можем проверить, является ли жертва нашим соседом : D),
– nmap (network mapper) или графический интерфейс zenmap для проверки запущенных служб на сервере или компьютере жертвы (поиск потенциальных LUK!),
– telnet / netcat – чтобы исследовать, что находится на данном порту.

Резюме сбора информации

В сети так много инструментов для создания посадочных мест и доступных руководств по ним, что нет смысла описывать их здесь все вместе. Просто ищите.

Статья должна была описать только первый этап подготовки хакера к атаке – сбор информации. Вы должны понимать, что этот тип сбора информации является незаменимым элементом взлома и проведения аудитов безопасности веб-сайтов. Основываясь на собранной информации, стоит поискать в базах данных эксплойтов, используемые в настоящее время.

И помните, что вся информация предоставлена исключительно в ознакомительных целях. Автор не несет ответственности за любой возможный вред, причиненный материалами данной статьи.

Поделиться ссылкой:

4 комментария для “Что такое “след”? Справочник по идентификации личности в интернете

  1. Стоит добавить, что реальные инструменты, используемые хакерами, находятся в свободном доступе – а именно в дистрибутивах Линукс

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Пролистать наверх
Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
Принять