LU.NET.UA - Захист інформації в інтернеті

:: Меню ::

Головна
Введення

Частина I.
Вивчення мети

1. Попередній збір даних
2. Сканування
3. Інвентаризація

Частина II.
Уразливість систем

4. Уразливість Windows 95/98/me
5. Уразливість Windows NT
6. Уразливість Windows 2000

Частина III.
Уразливість мереж

9. Уразливість видалених з'єднань, РВХ, Voicemail і віртуальних приватних мереж
10. Мережеві пристрої
11. Брандмауери
12. Атаки DOS

   Частина IV.
Уразливість програмного забезпечення

13. Вади засобів видаленого управління
14. Розширені методи
15. Уразливість в Web
16. Атаки на користувачів Internet
 Братани
Карта сайту
Добавити у вибране

:: Друзі ::

--

:: Статистика ::

 

 

 

 

 


Етап 1. Визначення видів діяльності

Перш за все необхідно визначити види діяльності, які здійснюватимуться при зборі інформації. Наприклад, потрібно відповісти на питання, чи плануєте ви зібрати дані про всю мережу організації або ж обмежитеся лише певними її сегментами (наприклад, мережею головного офісу)? В деяких випадках зібрати дані про всю організацію може виявитися скрутним. На щастя, в Internet можна знайти безліч ресурсів, за допомогою яких можна звузити область діяльності, а також отримати відкриту інформацію про організацію і її службовців.

Пошук за відкритими джерелами


Перш за все почніть з Web-страницы організації (якщо, звичайно, вона існує). Часто виявляється, що на таких Web-страницах присутня інформація, яка може допомогти зломщикові. Одного разу нам навіть довелося побачити на одному Web-узле конфігураційні параметри, які використовувалися для налаштування системи захисту цієї організації за допомогою брандмауера. До інших даних, які можна отримати і які можуть представляти інтерес, відносяться наступні.

  •  Адреси і місця розташування офісів і підрозділів.
  •  Ділові партнери і постачальники.
  •  Новини про злиття або придбання.
  •  Номери телефонів.
  •  Контактна інформація і адреси електронної пошти.
  •  Вимоги до співробітників і відвідувачів по забезпеченню безпеки, по яких можна судити про вживані механізми захисту. 
  •  Посилання на інші Web-узлы, що мають відношення до організації.
Крім того, спробуйте проглянути коментарі, що містяться в HTML-коде Web-страниц. Часто в коді HTML можна знайти інтересниє, з погляду зломщика, коментарі, такі як "<" "!" і "--", які не відображаються на екрані при відкритті сторінки у вікні броузера. Проглядання початкової коди Web-страницы в автономному режимі дозволить набагато ефективніше працювати в інтерактивному режимі. Отже часто корисно зберегти повний образ всього Web-узла для подальшого перегляду. Згодом цю локальну копію можна використовувати для пошуку коментарів або інших важливих даних програмним способом і, таким чином, значно підвищити ефективність процесу збору інформації. Для створення образу всього Web-узла в системі UNIX можна скористатися утилітою Wget (ftp://gnjilux.cc.fer.hr/pub/unix/util/wget/), а в системі Windows — утилітою Teleport Pro (http://www.tenmax.com/teleport/home.htm).
Після вивчення Web-страниц можна пошукати дані про організацію у відкритих джерелах. Опубліковані статті, повідомлення для друку і так далі можуть дати уявлення про події, що відбуваються в організації, і прийняту в ній політику безпеки. На таких Web-узлах, як finance.yahoo.com або www.companysleuth.com міститься величезна кількість подібної інформації. Якщо ви збираєте дані про компанію, значна частина діяльності якої виконується через Internet, то досить попорпатися як слід в пресі, щоб з'ясувати, що у такої компанії нерідко виникають проблеми, пов'язані з порушенням безпеки. Для того, щоб знайти такий матеріал, цілком достатньо пошукового сервера. Проте для цих цілей можна використовувати і могутніші засоби і критерії пошуку, що дозволяють отримати додаткову інформацію.
Одним з наших улюблених засобів такого класу є комплект пошукових засобів FERRETPRO компанії Ferretsoft (http://www.ferretsoft.com). Засіб пошуку в Web Webferretpro дозволяє виконувати пошук відразу на декількох пошукових серверах. Крім того, інші засоби цього комплекту дозволяють виконувати пошук по заданому критерію в каналах IRC, системі USENET, повідомленнях електронної пошти, а також в базах даних. Якщо вам потрібний безкоштовний засіб, що дозволяє виконувати пошук одночасно по декількох критеріях, звернетеся за адресою http: //www.dogpile.com.
Пошук в системі USENET повідомлень, відправлених з домена, що цікавить вас (вигляду @targetdomain.com), дуже часто дозволяє отримати корисну інформацію. Одного разу в одній з груп новин ми наткнулися на повідомлення від системного адміністратора, в якому він скаржився на проблеми, що виникли у нього після установки нової офісної АТС. Для передачі цього повідомлення він скористався своїм робочим обліковим записом. Він просив допомоги, оскільки не знав, як відключити встановлений за умовчанням режим доступу по паролю. Важко навіть припустити, скільки фрікеров (phreak — використання знань про пристрій АТС для здійснення дзвінків за чужий рахунок) скористалося "послугами" цієї організації. Тому природно, що, вивчаючи повідомлення, що відправляються службовцями організації, можна значно підвищити свою обізнаність в її внутрішньому устрої і рівні технічної підготовки її співробітників.



Мал. 1.1. За допомогою директиви link: tar getdomain.com механізму пошуку Altavista можна отримати список всіх вузлів, які містять посилання на заданий домен

Нарешті, можна просто скористатися засобами розширеного пошуку деяких ведучих пошукових серверів, таких як Altavista або Hotbot. Багато хто з них дозволяє знайти всі Web-страницы, на яких є посилання на домен організації, що цікавить вас. На перших поглядом ця можливість не є нічого цікавого, але не поспішаєте з виводами! Допустимо, хтось із співробітників організації вирішив створити власний Web-узел будинку або у внутрішній мережі організації. Мабуть, що такий Web-узел матиме недостатній рівень захисту або, більш того, він може бути створений без відома керівництва. Як показано на мал. 1.1, виявити такий Web-узел можна саме за допомогою описаного методу.
Як видно з мал. 1.1, в результаті пошуку отриманий список вузлів, на Web-страницах яких виявлені посилання на домен www.10pht.com, а також слово "hacking". З такою ж легкістю можна отримати список вузлів, що містять посилання на будь-який інший необхідний домен.
Інший приклад (мал. 1.2) демонструє, як обмежитися пошуком на певному вузлі. У даному прикладі показані результати пошуку на вузлі http://www.l0pht.com сторінок, що містять слово mudge. Подібний запит можна використовувати і для пошуку будь-якої іншої інформації.
Очевидно, що приведені приклади не вичерпують всіх можливостей, що надаються засобами пошуку, так що проявляйте винахідливість. Іноді дуже важливу інформацію можна знайти лише після застосування вельми незвичайних критеріїв.

Пошук в базі даних EDGAR


Для пошуку інформації про компанію, що є відкритим акціонерним суспільством (publicly traded company), можна скористатися базою даних EDGAR, підтримуваною Комісією з безпеки і обміну даними (SEC — Securities and Exchange Commission), що знаходиться за адресою http: //www. sec. gov (мал. 1.3).



Мал. 1.2. За допомогою директиви host: targetdomain.com механізму пошуку Altavista можна отримати список сторінок вузла targetdomain, що містять, заданий рядок (в даному випадку mudge)



Мал. 1.3. База даних EDGAR дозволяє отримати відкриті документи, які можуть містити важливу інформацію про структуру організації

Одній з найбільших проблем, з якими стикаються крупні компанії, — це управління з'єднаннями з Internet, особливо якщо вони залучені в активну діяльність по придбанню інших компаній або самі є об'єктами придбання. Саме тому так важливо звертати увагу на інформацію про недавно придбані компанії. Серед документів комісії SEC можна відзначити два особливо важливих: 10-q і 10-к. Документ 10-q є коротким зведенням про діяльність організації за останній квартал. Окрім решти всієї інформації в цьому звіті також указується кількість акцій компаній, придбаних організацією за звітний період, або кількість акцій організації, придбаних за цей же період іншими компаніями. Звіт 10-к містить аналогічну інформацію, проте він оновлюється один раз в рік. Тому відомості, приведені в нім, можуть втратити актуальність. Можна, наприклад, пошукати в цих документах слова subsidiary (дочерняя) або subsequent events (наступні події). В результаті ви можете отримати уявлення про недавно придбані компанії або злиття, що планується. Часто організації підключають мережі придбаних ними компаній, забуваючи про вимоги безпеки. Тому вірогідність того, що ви зможете проникнути в мережу батьківської компанії, прорвавши захист новопридбаного підрозділу, досить висока. Це зайвий раз доводить, що зломщики є прихильниками хаосу і анархії, оскільки вони завжди не забудуть скористатися плутаниною, що панує в організації в час об'єднанні мереж.
Здійснюючи пошук в базі даних EDGAR, не забувайте про те, що як критерії потрібно використовувати назви компаній і організацій, що відрізняються від назви батьківської компанії. Це виявиться особливо важливим при виконанні подальших етапів, коли ви поводитиметеся з організаційними запитами whois до різних баз даних (див. розділ "Етап 2. Інвентаризація Мережі").

Контрзаходи: забезпечення безпеки загальнодоступних баз даних


Велика частина приведених вище відомостей має бути загальнодоступною. Особливо це стосується відкритих акціонерних суспільств. Проте в той же час дуже важливо оцінити і класифікувати типи такої інформації. Для виконання такого аналізу може виявитися корисним керівництво по забезпеченню безпеки вузла (Site Security Handbook, документ Rfc2196). Його можна знайти за адресою http://ietf.org/rfc/rfc2196.txt. І нарешті, якщо на Web-страницах вашого вузла є хоч яка-небудь інформація, яка може допомогти зломщикові в проникненні у вашу мережу, видалите її, якщо тільки це не є життєво необхідним.




:: Реклама ::

>Страница статей


:: Посилання ::

-


:: Рекомендуємо ::

-


 

 

 

 


Copyright © Klab-F 2008