Hakerske tajne

MIKRO KNJIGA - PRIKAZ KNJIGE

Hakerske tajne: zatita mrenih sistema ranjiv 1. Podloan fizikom ili emocionalnom povreivanju. 2. Podloan napadu: "Ranjavaju nas i voda i zemlja, bez flote ili armije." (Alexander Hamilton) 3. Koji se moe napadati ili kritikovati. 4. Povodljiv, podloan ubeivanju ili iskuenju.

ilo da ste toga svesni li ne, kada se od kue ili s posla poveete na Internet, veoma ste ranjivi. U stvari, kada se poveete na Internet, postajete (voljno ili prisilno) lan zajednice korisnika

jednog ogromnog sistema - sistema koji prevazilazi znaaj pojedinca i u kome vreme i prostor gotovo nita ne znae. Povezanost Interneta dovodi sve uesnike u blizak kontakt. Va prvi sused tako moe biti zlonamerni haker iz neke daleke zemlje ili nadareni klinac iz komiluka koji pretrauje va sistem iz iste radoznalosti.

Kao i u svakoj drugoj zajednici, ni ovde nisu svi njeni lanovi ugledni. Vie ne moete da otvorite novine a da vas svakodnevno ne zasipaju skandalima ili aferama iz inae mirnog dela drutva. Isto je i u kibernetskoj zajednici na Internetu. U irom sveta povezanoj mrei, gde je gas uvek "do daske", dogaaji iz "crne hronike" smenjuju se velikom brzinom. Najtunije je to to se u mrenoj zajednici nalaze i veoma bistre osobe koje svoj izuzetan talenat i slobodno vreme radije koriste za injenje zla nego za dobrobit drugih.

Ne treba da istraujete istoriju Interneta da biste uoili neverovatan "napredak" u zloupotrebi raunara. Verujem, u stvari, da brzina kojom se ranjive take otkrivaju i zloupotrebljavaju daleko prevazilazi brzinu rasta snage raunara prema Murovom zakonu. Moda bi i korisnici Interneta koji brinu o bezbednosti sistema trebalo da formuliu sopstveni zakon: "Napadai na Internetu odmah e otkriti i zloupotrebiti svaku ranjivu taku. to je ciljni sistem primamljiviji, napad e se bre dogoditi." Naalost, korisnici Interneta uglavnom ne misle da su upravo oni zanimljivi ciljevi, to nije tano. U to moe da se uveri svako ko na kunom raunaru instalira zatitnu barijeru. Mnogo u lake izbrojati zemlje iz kojih ne pokuavaju da se poveu s mojim raunarom nego one iz kojih to ine. Svakoga dana, barem desetak osoba pokuava da uspostavi komunikaciju s mojim raunarom, sluei se nekom dobro poznatom trojanskom aplikacijom i slinim softverom. Zato ti ljudi, dan za danom, pokuavaju da upadnu u moj sistem? Odgovor je jednostavan - zato to esto uspevaju da prona?u ranjiv raunar koji e zatim zloupotrebiti.

Hakerisanjem i zloupotrebom tuih sistema nekada se bavio relativno mali broj dobro potkovanih strunjaka. Danas, me?utim, postoje alatke tipa "pokai i pritisni", "uitaj i pokreni", "prevedi i izvri", koje u rukama zlonamernika postaju ubojito oruje. Nije proteklo mnogo vremena od trenutka kada smo shvatili da su skeniranje signalom ping i SYN poplave osnovne metode za uskraivanje usluga. Ubrzo je uskraivanje usluga napredovalo toliko da je napad poeo da se izvodi distribuirano, posredstvom "nedunih" UNIX raunara. Ova tehnika je smesta preneta na drugu platformu, koja se mogla jo lake zloupotrebiti - na Windows, u kom rade hiljade korisnika povezanih kablovski ili preko digitalne pretplatnike linije (DSL). Dobar primer ubrzanog razvoja zloupotrebe jeste tehnologija programskog "crva", pomou koje se trojanski programi rasprostiru mreom bez posredovanja korisnika. Od kraja 2000. do sredine 2001, suoili smo se sa crvima Bymer, Linux Ramen, Lion, SADMIND, Leave i Code Red. Crv Code Red verovatno je dosad naneo najveu tetu - procenjuje se da direktna teta, uveana za trokove ienja sistem, prelazi nekoliko milijardi dolara. Ovakvo "hakerisanje pomou automatskog pilota" viestruko uveava mo napadaa i istovremeno mu tedi vreme, pa su anse za uspeh napada mnogo vee. Bez obzira na razliite tehnike kojima se slue dananji virusi, svima je zajedniko sledee: ako obezbedite ranjive take koje oni zloupotrebljavaju, nee moi da vam nanesu nikakvu tetu. U ovoj knjizi opisane su te ranjive take i predloene mere pomou kojih moete da ih zatitite.

Bezbednost kao trini pokazatelj U industriji je konkurencija velika i bezbednost se vie ne smatra samo garancijom za pravilno obavljanje usluga ve postaje i trini pokazatelj. Vremenom e objavljeni sluajevi naruavanja bezbednosti poeti znaajno da utiu na kretanje berzanskih akcija i uskomeae korporacijske slube za odnose s javnou. Situacija je jasna: opasnost od napada s Interneta bie sve vea, ali e i pored toga kompanije sve vie transakcija pokuavati da obave preko Interneta. Prkosei riziku, kompanije e biti sve vidljivije na Internetu. Zato je to tako? Zato to je Internet prepun pogodnosti koje su za njih ivotno znaajne. Zbog svega toga, kompanije moraju biti na oprezu, uvek spremne da se suoe s panjom koju e im posvetiti zlonamerni pojedinci. Iako postoje brojni rizici kada poslujete preko Interneta, verovatno je najgore ako izgubite ugled. Naruavanje ugleda iz bezbednosnih razloga najbri je nain da izgubite poverenje potroaa i poslovnih partnera. Ako zbog naruavanja bezbednosti u javnost procure poverljive informacije, bilo vae bilo vaih klijenata, va posao moe katastrofalno da se zavri. Nijedna poslovna aktivnost to ne moe da izbegne.

;ak i na mreama kompanija koje pomno vode rauna o bezbednosti postoje ranjive take i zbog toga kompanije neprestano moraju da budu na oprezu kako bi smanjile rizik od napada. Prvi korak je sticanje znanja, a sa znanjem dolazi i prilika da se sazri i odraste. Knjiga u vaim rukama jedna je od najmonijih alatki koja e vam pomoi da uveate svoje znanje iz oblasti bezbednosti. itajte je, prelistavajte, koristite. Veoma cenim autore ove knjige, jer od njih godinama traim i dobijam odline savete. Hakerske tajne je svojevrsna Biblija o ranjivim takama sistema i merama za njihovu zatitu. Nadam se da e informacije koje u njoj naete pomoi da bolje obezbedite svoju kompaniju. U budunosti e najbolji ugled na tritu imati kompanije koje investiraju u vredne i nadarene saradnike, elastine tehnologije koje se lako prilagoavaju novim bezbednosnim rizicima i u procese koji doprinose neprekidnom poboljavanju sistema. Kompanije koje to ne prihvate verovatno e se nai na prvim stranama dnevnih listova - i to ne radi pohvale.

Pete Murphy

Uprava za zatitu sistema

Bank of America

4.8.2001.

Peter F. Murphy je potpredsednik za bezbednost Uprave za zatitu sistema banke Bank of America. Uprava ima tim za odgovaranje na upade u raunarske sisteme, a u njene aktivnosti spadaju i otkrivanje upada, utvr?ivanje ranjivosti, obrada napada, krivina istraga i odravanje regionalnih centara za oporavljanje sistema. Poseban tim je zaduen za planiranje i testiranje nepredvienih situacija u raunarskoj mrei.

Pete ve sedamnaest godina radi na razvoju sistema, preispitivanju tehnologija i obezbeivanju podataka za potrebe banaka i finansijskih institucija. On je lan udruenja za proveru bezbednosti i kontrolu informacija (engl. Information Systems Audit and Control Association). Ima diplomu nadzornika za informacione sisteme, sarauje u radnoj grupi za otkrivanje ranjivosti sistema, delu Komisije za zatitu vanih infrastruktura (engl. Commission on Critical Infrastructure Protection) predsednika SAD, i sarauje u grupi za razmenu bezbednosnih informacija u mrei (engl. Network

Security Information Exchange, NSIE) kao delu predsednikovog Saveta za bezbednost nacionalnih komunikacija (engl. National Security Telecommunications Advisory Council, NSTAC).


Hakerske tajne: zatita mrenih sistema

O autorima Stuart McClure

Stuart McClure, jedan od koautora nedavno objavljene knjige Hacking Exposed Windows 2000, u ovo, tree izdanje knjige Hakerske tajne: zatita mrenih sistema unosi deceniju svog iskustva u oblasti informacionih tehnologija i bezbednosti. Skoro tri godine Stuart je saraivao u nedeljnoj rubrici Security Watch (http://www.infoworld.com/security) mrenog asopisa InfoWorld, posveenog prioritetnim problemima obezbeenja, napadima na sisteme i njihovim ranjivim

takama.

Pre nego to je sa saradnicima osnovao Foundstone, Stuart je u kompaniji Ernst & Young bio vii rukovodilac u grupi za ispitivanje sistema bezbednosti koja se bavila upravljanjem projektima, utvrivanjem anatomije napada i upada u sisteme i proverom tehnologije. Stuart je prethodno bio analitiar bezbednosti u Centru za testiranje asopisa InfoWorld, gde je proverio gotovo to mrea i bezbednosnih programa, a specijalizovao se za zatitne barijere, programe za nadziranje bezbednosti i za otkrivanje upada u sisteme i infrastrukturu javnog kljua (PKI). Pre nego to je doao u InfoWorld, Stuart je kao strunjak za mree, sisteme i bezbednost radio za mnoge organizacije koje se bave informacionim tehnologijama i odravao razliite platforme (Novell, NT, Solaris, AIX, AS/400).

Stuart je diplomirao na Univerzitetu drave Kolorado u Bulderu, a stekao je i brojne druge diplome, ukljuujui CISSP organizacije ISC2, CNE od Novella i CCSE od Check Pointa.

Joel Scambray Joel Scambray, koautor knjige Hacking Exposed Windows 2000, doprineo je da izdanja iz serije Hakerske tajne postanu bestseleri. Joel pie na osnovu dugogodinjeg iskustva savetnika za bezbednost. Tokom godina, on je sakupio i u praksi proverio obilje bezbednosnih tehnologija, a projektovao je i analizirao bezbednosnu arhitekturu najrazliitijih aplikacija i proizvoda. Joel dri predavanja o bezbednosti Windowsa 2000 u mnogim organizacijama, pa i u Institutu za raunarsku bezbednost (CSI), Institutu za

obuku MIS-a, organizacijama SANS, ISSA, ISACA i u velikim korporacijama, a u Foundstoneu vodi kurs o vrhunskom hakerisanju Windowsa. On je direktor firme Foundstone, Inc. (http://www.foundstone.com), a prethodno je bio jedan od rukovodilaca kompanije Ernst & Young, glavni analitiar InfoWorldovog Centra za testiranje i direktor sektora za informacione tehnologije velike agencije za promet nekretnina. Joel je zavrio postdiplomske kurseve na Kalifornijskom univerzitetu (UCLA) u Dejvisu i Los An?elesu, a ima i diplomu strunjaka za bezbednost informacionih sistema (CISSP).

George Kurtz George Kurtz je izvrni direktor Foundstonea (http://www.foundstone.com), kompanije koja nudi najsavremenija reenja za obezbeivanje raunarskih sistema. G. Kurtz je meunarodno priznat strunjak za bezbednost i u svojoj uspenoj karijeri proverio je na stotine zatitnih barijera, mrea i lokacija za elektronsku trgovinu. On ima veliko

iskustvo u otkrivanju upada i radu s zatitnim barijerama, postupcima odbrane odnapada i reenjima za daljinski pristup. Kao izvrni direktor i suosniva Foundstonea, George objedinjuje izuzetnu poslovnu pronicljivost i poznavanje tehnikih aspekata bezbednosti. Te njegove osobine oblikuju strategiju Foundstonea, ali istovremeno pomau klijentima da shvate kako (ne)obezbeivanje sistema moe da utie na njihove poslove. Preduzetni Georgeov duh doveo je Foundstone u sam vrh organizacija koje nude "ista" reenja za probleme bezbednosti. On je koautor nedavno objavljene knjige Hacking Linux Exposed, a redovno uestvuje na skupovima posveenim bezbednosti i esto je citiran (The Wall Street Journal, InfoWorld, USA Today, Associated Press). On je, tako?e, nezaobilazan sagovornik u razgovorima o incidentima iz oblasti bezbednosti, naroito na televiziji (CNN, CNBC, NBC, FOX i ABC).

Saradnici Christopher Abad, inenjer za istraivanje i razvoj u Foundstoneu, studira matematiku na Kalifornijskom univerzitetu, a ima veliko iskustvo u kriptografiji, obezbeivanju mrea i programiranju. Dao je znaajne doprinose na polju bezbednosti, a posebno je zapaeno njegovo pionirsko istraivanje koncepta pasivnog mapiranja mree, o emu je odrao niz prezentacija na mnogim skupovima posveenim bezbednosti.

Stephan Barnes je pomonik direktora prodaje u Foundstoneu. Stephan je prethodno radio kao vii rukovodilac za bezbednost elektronske trgovine kompanije Ernst & Young, a pre toga je bio rukovodilac grupe za obezbeivanje raunarskih sistema Arthura Andersena. Pored iskustva koje je stekao na obezbeivanju Interneta i elektronske trgovine, Stephan se tokom deset godina rada specijalizovao za daljinske napade pomou programa za automatsko pozivanje i za sisteme modemskog prijavljivanja i govorne pote - tehnika neophodnih pri proveravanju spoljnog bezbednosnog profila bilo kojeg savremenog preduzea. Stephanove ekspertize obuhvataju proveru bezbednosti firmi iz oblasti finansija, telekomunikacija, osiguranja, proizvodnje, distribucije, javnih slubi i visoke tehnologije. On je uesnik mnogih skupova posveenih bezbednosti i predava u brojnim srodnim organizacijama. Stephan je ve 20 godina poznat pod pseudonimom M4phr1k. Njegova Web strana nalazi se na adresi http://www.m4phr1k.com.

Marshall Beddoe je inenjer za istraivanje i razvoj u firmi Foundstone. Istraivao je pasivno mapiranje mrea, otkrivanje daljinskih napada, operativni sistem FreeBSD i nove tehnike napada, u saradnji s vie neprofitnih grupa za bezbednost. Marshall je za Vojsku SAD i za nekoliko velikih kompanija osmislio i odrao kurseve o naprednim tehnikama upada u sisteme.

Erik Pace Birkholz (CISSP, MSCE) glavni je savetnik Foundstonea, specijalizovao se za testiranje napada i upada u sisteme, kao i za projektovanje bezbednosne arhitekture. Erik dri poznate Foundstoneove kurseve: "Ultimate Hacking: Hands On" i "Ultimate NT/2000 Security: Hands On". Pre Foundstonea je, kao rukovodilac tima za proveru, radio za West Coast Consulting Group u okviru firme Internet Security System (ISS). Prethodno je radio kod Ernsta & Younga, u njihovoj slubi za usluge u elektronskoj trgovini. Bio je i lan National Attack and Penetration team i instruktor na kursu "Extreme Hacking". Erik je dve godine radio i kao istraiva analitiar Nacionalnog udruenja za bezbednost raunara (NSCA). On je predavao na konferenciji Black Hat i na Konferenciji za bezbednost Interneta (TISC). Objavljivao je lanke u asopisima The Journal of the National Computer Security Association i Foundstoneovom Digital Battlefield. Erik je saraivao u pisanju knjige Hacking Exposed Windows 2000 i drugog izdanja knjige Hakerske tajne: zatita mrenih sistema.

Yen-Ming Chen (CISSP, MCSE) glavni je izvrni savetnik Foundstonea i rukovodilac savetovalita za bezbednost. Yen-Ming ima etvorogodinje iskustvo u administriranju UNIX i Internet servera. On veoma dobro poznaje i oblasti beinog umreavanja, kriptografije, otkrivanja upada i oporavka sistema. ;lanke je objavljivao u asopisima SysAdmin, UnixReview i slinim tehnikim

publikacijama. Pre Foundstonea, Yen-Ming je radio u Centru za kibernetsku bezbednost (CMRI, CMU), na sistemu za otkrivanje upada zasnovanom na korienju programskog agenta. Aktivno je saraivao i na razvoju sistema za otkrivanje upada u mree, snort. Yen-Ming je diplomirao matematiku na Nacionalnom univerzitetu na Tajvanu, a magistrirao na Odseku za informacione umreene sisteme na univerzitetu Carnegie Mellon.

Clinton Mugge (CISSP), tako?e jedan od glavnih savetnika Foundstonea koji radi u konsultantskoj slubi za bezbednost klijenata, specijalizovao se za proveru bezbednosti mrea, testiranje proizvoda i arhitekture sistema bezbednosti. On ima sedmogodinje iskustvo u obezbeivanju (ukljuujui i fiziko obezbeivanje raunara) arhitekture mrea i ispitivanju sluajeva pijunae. Saraivao je s vladinim agencijama i korporacijama koje se bave informacionim tehnologijama, na pripremi odgovora na napade i proveravanju bezbednosti mrea. Pre nego to je doao u Foundstone, i on je radio za Ernsta & Younga, a jo pre toga bio je kontraobavetajni agent u vojsci SAD. G. Mugge uestvuje na strunim skupovima, pie za rubrike u asopisima i tehniki je recenzent knjige Incident Response (Osborne/McGraw-Hill, 2001). On je magistar menadmenta, a diplomirao je marketing. Njegova elektronska adresa je [email protected].

David Wong je strunjak za bezbednost raunara i jedan je od savetnika u Foundstoneu. On je testirao mnoge alatke za obezbeivanje raunara, kao i za simuliranje napada, odnosno otkrivanje upada u sisteme. David je prethodno bio softverski inenjer u velikoj telekomunikacionoj kompaniji, gde je usavravao programe za ispitivanje i nadgledanje mrea.

Melanie Woodruff (MCSE) savetnik je za bezbednost u Foundstoneu i specijalizovala se za procenjivanje napada iz perspektive Interneta, intraneta i modemskog pristupanja. Ga Woodruff ima bogato iskustvo u pruanju konsultantskih usluga iz oblasti bezbednosti klijentima iz finansijskih, upravnih i trgovinskih organizacija. Pre nego to je dola u Foundstone, bila je savetnik za informatiku bezbednost konsultantske firme Big Five. Ga Woodruff je diplomirala na Odseku za informacione sisteme i upravljanje na Univerzitetu Sinsinati u Ohaju.

Tehniki saradnici Tom Lee (MCSE) rukovodi sektorom za informacione tehnologije u Foundstoneu. On se trudi da Foundstoneov sistem odri u radnom stanju, da ga sauva od uljeza i - to je mnogo izazovnije - od zaposlenih. Tom ima desetogodinje iskustvo u administriranju sistema i mrea, i radio je na obezbeivanju najrazliitijih sistema, od Novella i Windowsa NT/2000 do Solarisa, Linuxa i BSD-a. Pre dolaska u Foundstone, bio je rukovodilac za informacione tehnologije na Kalifornijskom univerzitetu u Riversajdu.

Eric Schultze se bavio informacionim tehnologijama i bezbednou poslednjih devet godina, uglavnom proveravajui i obezbeujui Microsoftove tehnologije i platforme. On aktivno uestvuje na skupovima posveenim bezbednosti (NetWorld+Interop, Usenix, BlackHat, SANS, MIS) i povremeno predaje u Institutu za raunarsku bezbednost. G. Schultze je o strunim temama govorio i na televiziji (NBC, CNBC) i pisao u mnogim publikacijama (TIME, ComputerWorld i The Standard). Ericovi prethodni poslodavci bili su Foundstone, SecurityFocus.com, Ernst & Young, Price Waterhouse, Bealls i Salomon Brothers. On je bio saradnik na prvom izdanju knjige Hakerske tajne, a sada je rukovodilac za bezbednost u korporaciji Microsoft.



Neznanje je neprijatelj "Posmatraj neprijatelja jer e on prvi otkriti tvoje greke."

Antisten, atinski filozof, 440. p.n.e.

dvajkada smo se oslanjali na znanja i iskustva naih starijih; njihovo usmeravanje i voenje sauvali su nas od nebrojenih nesrea koje su pretile da nas unite. Meutim, u dananjem

vanzemaljskom svetu raunarske bezbednosti koji se neprestano menja, malo je sedih mudraca u korporacijama. Digitalni ratnici dananjice nemaju ak ni priblinu putnu mapu obezbeenja, a kamoli utvr?enu strategiju kojom bi se suprotstavili tajnovitom neprijatelju.

Ako elite da poboljate svoju bezbednost i da pobedite neprijatelja, morate ga poznavati, s njim se druiti i od njega uiti. Hakeri su isuvie veti i uporni da bismo ih olako shvatali. Oni se, po samoj svojoj prirodi, neprekidno usavravaju i pronalaze nove tehnike, i esto kao duhovi neprimetno promaknu kibernetskim pejzaem. Slino virusu, oni se stalno preobraavaju i prilagoavaju, tako da ih je izuzetno teko pratiti.

Dananji svet lii na haotino digitalno bojno polje. Tehnologija i raunari svakoga trena zaposedaju nova podruja naeg svakodnevnog ivota, nudei nam jednostavnije i efikasnije ivljenje, a pri tome skrivaju mranu tajnu koja ugroava njihovu egzistenciju. ice kojima se kreu milijarde elektrona na Internetu uvaju ogromnu tajnu, koju smo tek nazreli i poeli da izvlaimo na svetlost dana: svet zlonamernih hakera. Ako budete itali knjige kao to je Hakerske tajne, posmatrali hakere i uili od njih, poeete da razumevate njihove napade, kako rade, ta rade i zbog ega to rade. Takva saznanja su i najjae oruje profesionalaca iz domena bezbednosti koji se spremaju da im se suprotstave.

Oslobodite se iluzija Hakeri mogu da pronau va raunar na Internetu za pola sata. Svakoga trenutka, celog bojeg dana, zli hakeri lutaju digitalnim predelima u potrazi za slabim i lakim plenom. Potencijalnih rtava je mnogo, jer malo ko razume probleme bezbednosti, a jo manje je onih koji umeju da smanje rizik od napada. Jeste li znali da se svake godine obelodani preko 800 propusta u raunarskim sistemima? Koliko takvih slabih mesta vi znate?

O tom mranom podzemnom svetu malo se zna, a donedavno gotovo da i nije bilo potkovanih strunjaka koji bi mogli da razmatraju taktike hakera na javnom forumu kao to je ovaj. Na tradicionalnom bojnom polju, neprijatelja moete da vidite i dodirnete, neprijatelja koji se vlada po pravilima rata i razuma - kvaliteti koji su nepoznati u dananjoj kibernetskoj anarhiji. Kao profesionalci za bezbednost, treba da ocenimo opseg napada, da pomognemo kompanijama da se oporave od njega i da sprovedemo konkretne mere za odbranu raunarskih sistema. Ali, kako emo se odbraniti ako ne upoznamo neprijatelja?

Naredna poglavlja nisu prazne prie koje su izmislili studenti Fakulteta dramskih umetnosti. To su istinske tehnike i prie sa stvarnog digitalnog ratita na kome se nalazimo. Neprijatelj je pred vratima, vidljiv samo malom broju strunjaka za bezbednost. Unutar korica ove knjige sakupljeni su saveti tih strunjaka. Morate saznati nain razmiljanja i motivacije neprijatelja, nauiti njegove tehnike i, najvanije od svega, shvatiti kako da ga pobedite.

ta je novo u treem izdanju ove knjige Digitalni svet se menja bre nego i sama misao. Izgleda kao da svakoga sata isplivavaju na povrinu nove hakerske alatke, tehnike i metode. Prikupiti ih, obavestiti svet o njima, prevesti ih na razumljiv jezik - pravi je izazov. Kao u prethodnim izdanjima, i u ovom smo dali sve od sebe da biste dobili najsveije tehnoloke i tehnike novosti.

Obilje novog sadraja

Nabrojaemo samo neke od novih tema koje su uvrene u tree izdanje:

Novi napadi na beine mree 802.11.

1. Analiza crva Code Red. 2. Novi napadi na Windows, naroito na Windows 2000 i Windows XP/.NET Server. 3. Aurirane hakerske metodologije za elektronsku trgovinu. 4. Razrada novih alatki i trikova za distribuiran napad radi odbijanja vrenja usluga (distributed

denial of service, DDoS). 5. Nova ranjiva taka na znakovnom nizu za formatiranje, otkrivena u Windowsu i UNIX-u, koja

preti da e preuzeti neslavni primat od napada prelivanjem bafera. 6. Novootkriveni sluajevi upada na poetku svakog dela knjige. 7. Auriran opis napada na bezbednost sistema Windows 9x, Millennium Edition (ME),

Windows NT/2000/XP/.NET Server, UNIX, Linux, NetWare i desetinu drugih platformi, zajedno s odgovarajuim merama zatite.

8. Revidirano i obnovljeno poglavlje o napadima iz daljine, s novim saznanjima o PBX hakerisanju i hakerisanju preko sistema govornih poruka, kao i auriran VPN odeljak.

9. Pratea Web lokacija http://www.hackingexposed.com s vezama ka svim alatkama i izvorima na Internetu koji se pominju u knjizi.

10. Kompakt disk s odabranim alatkama za sprovo?enje vrhunske bezbednosti koje ekaju da ih instalirate, vezama ka Web lokacijama na kojima moete da na?te najnovije verzije alatki za uspostavljanje bezbednosti koje se pominju u knjizi, i bazom podataka s podrazumevanim lozinkama koja sadri uobiajeno koriene lozinke.

Olakano snalaenje u knjizi, poboljane slike, procenjivanje rizika

Uz nesebinu pomo naeg izdavaa, kompanije Osborne/McGraw-Hill, i tree izdanje Hakerskih tajni objavili smo u poznatom formatu:

Tehnika svakog napada istaknuta je odgovarajuom sliicom na margini:

Ova sliica oznaava napad

Kada je vidite, znajte da tu opisujemo alatku ili metodologiju za prodiranje u sistem.

z Svakom napadu moe se parirati sprovoenjem praktinih, primerenih i isprobanih mera koje su takoe oznaene posebnom sliicom:

Ova sliica oznaava mere zatite

Ona stoji pored saveta kako da reite problem.

z Odluili smo da oznakama:

z obeleimo delove teksta koji skreu panju na detalje koje esto previamo. z Temeljno smo preistili i sav kd koji se nalazi u listinzima, na snimcima ekrana i u

dijagramima, i pri tome smo vodili rauna da u listinzima polucrnim slovima istaknemo ono to unosi korisnik.

z Uz svaku vrstu napada naveden je i stepen rizika, zasnovan na procenjivanju tri komponente i zdruenom iskustvu autora knjige:

Poruka itaocima

Potrudili smo se da vam prenesemo pravovremene, tane i izuzetno korisne informacije o hakerskim tehnikama i alatkama, i da vas istovremeno naoruamo znanjem za odbranu od hakera. Nadamo se da ete u ovoj knjizi nai i neto vrednije od trikova i igraaka - na primer, da ete razumeti potrebu da obezbeujete svoje vredne informacije, jer svetom haraju mnogi zlonamernici. Srean rad!

Popularnost: Uestalost korienja u lovu na ive mete, pri emu 1 oznaava najre?u a 10 najiru primenu.

Jednostavnost: Vetina potrebna za izvo?enje napada, pri emu 1 oznaava iskusnog programera sistema bezbednosti, a 10 korisnika s malo ili nimalo iskustva.

Uticaj: Potencijalna teta prouzrokovana uspenim izvo?enjem napada, pri emu 1 oznaava otkrivanje nevanih informacija o cilju, a 10 preuzimanje naloga administratora sistema ili ekvivalentnu tetu.

Stepen rizika: Dobija se kao prosek vrednosti tri navedene komponente.



Sluaj iz prakse: odavanje tajni Uzbueni ste jer je va blistavi server s najnovijim i najboljim hardverom upravo stigao iz prodavnice, tako nalickan da samo to ne progovori. Pre nego to ste ga i naruili, od prodavca ste kapriciozno zahtevali da na njega instalira Windows 2000. Osim toga, naglasili ste mu da server napuni svim moguim aplikacijama za elektronsku trgovinu. "Ba je to zgodno", mislite, "mogu da naruim ta god hou i da server postavim u naem raunskom centru, a pri tome ne moram nita da konfiguriem." ivot je zaista lep.

Raunski centar dobija nov server i sledi vae uputstvo da zameni zastareli NT server novim. Vi ih zduno uveravate kako je prodavac hardvera briljivo konfigurisao sistem, zadajui ak i IP adresu. Zamena raunara prolazi bez tekoa. Razmiljate kako ovo prilago?avanje sistema po narudbini podie tehnologiju "utakni i koristi" na vii nivo. Naalost, takav postupak podie i hakerisanje na vii nivo.

Va superserver je, u stvari, pravo sito kroz koje cure informacije - kao da ekaju da ih pokupi neki haker koji se tu sluajno zadesi. Ako su prikljuci 139 i 445 irom otvoreni, to e biti dovoljno i hakeru poetniku. Kratka anonimna veza s vaim serverom otkrie mu obilje informacija iz kojih moe da utvrdi koji korisnici imaju administratorska ovlaenja, kada se poslednji korisnik prijavio na sistem, gde su skriveni deljeni podaci, kada je poslednji put menjana lozinka, kao i to da li je za prijavljivanje uopte potrebna lozinka. Sve ove informacije moe da prikupi - ili kako mi to kaemo, popie - preko anonimne sesije i nekoliko otvorenih prikljuaka koje e otkriti opipavanjem vaeg okruenja. Skeniranje i popisivanje (engl. enumerating ) dve su osnovne tehnike koje e veina hakera upotrebiti da bi ustanovili jesu li vai sistemi ranjivi. Kada odate ove podatke, gotovi ste!

Prema naem iskustvu, ovakav scenario je vie nego realan i odluni hakeri mu posveuju najvie vremena. to vie obavetenja napada prikupi, vee su mu anse da prodre kroz obezbeenje. Iako mediji oboavaju senzacionalistike izvetaje o osvajanju sistema "pritiskom na dugme", vet i motivisan napada e moda mesecima opipavati i popisivati ciljno okruenje pre nego to ga stvarno napadne. Mnogi korisnici ovakvu situaciju dodatno pogoravaju jer naivno veruju da e prodavac raunara dovoljno obezbediti sistem. ;ast pojedinim prodavcima koji tu i tamo iskljue poneku uslugu, ali veina novih sistema samo eka da ih neko napadne. Ne uljuljkujte se iluzijom da je va sistem bezbedan samo zato to je fabriki konfigurisan. Takve konfiguracije su po pravilu usmerene na to da korisnik ne zatrai odmah tehniku pomo od proizvoaa, a ne da zaustave hakere.

Dobro obratite panju na tehnike koje opisujemo u prva tri poglavlja. Opipajte sopstveni sistem pre nego to to uine zlonamernici!

aker mora da proe kroz tri neophodne faze pre nego to stvarno pone da se zabavlja. U ovom poglavlju razmotriemo prvu fazu - snimanje sistema (engl. footprinting), vetinu

prikupljanja podataka o cilju. Kada lopovi odlue da opljakaju banku, oni ne uleu bezglavo u nju zahtevajui novac (barem ne oni pametniji), nego mukotrpno prikupljaju podatke o njoj - kojim putem prolazi blindirano vozilo, tano vreme transporta novca, raspored video kamera, broj alterskih slubenika, gde su izlazi za beanje, i sve ostalo to moe da utie na uspean ishod poduhvata.

Isto vai i za uspenog napadaa na raunare. On mora da prikupi obilje informacija kako bi mogao

da izvede usredsreen i hirurki precizan napad (koji nee biti lako otkriven). Zbog toga e napada sakupiti sva mogua obavetenja o svim aspektima sistema bezbednosti raunara odreene organizacije. Kao rezultat "opipavanja", hakeri stvaraju jedinstven snimak (engl. footprint) ili profil prisustva rtve na Internetu, intranetu/ekstranetu ili sistemu za daljinski pristup. Postupajui po strukturiranoj metodologiji, napada moe sistematski da izvlai podatke iz najrazliitijih izvora i da napravi snimak bilo koje organizacije.

ta je snimanje sistema? Metodino opipavanje neke organizacije omoguava napadaima da sastave potpun profil njenog sistema obezbeenja. Sluei se razliitim alatkama i tehnikama, napadai mogu da svedu nepoznatu veliinu (npr. prikljuak na Internet ciljne kompanije) na odre?enu oblast imena domena, mrenih blokova i pojedinanih IP adresa sistema koji su direktno povezani na Internet. Iako postoje mnoge tehnike snimanja sistema, sve su uglavnom usmerene na otkrivanje informacija o sledeim okruenjima: Internetu, intranetu, daljinskom pristupu i ekstranetu. U tabeli 1 su nabrojana sva ova okruenja, zajedno s izuzetno vanim podacima koje napada eli da otkrije.

Zato je snimanje sistema neophodno? Snimanjem sistema se sistematino prikupljaju i identifikuju svi delii informacija o pomenutim tehnologijama. Bez dobre metodologije za sprovoenje opisanog istraivanja, sva je prilika da ete propustiti kljune podatke koji se odnose na odreenu tehnologiju ili organizaciju. Snimanje sistema je esto najmunija faza razotkrivanja sistema bezbednosti, ali je to istovremeno i najvanija faza. Ono se mora sprovesti precizno i prema prethodno utvrenom planu.

Snimanje Internet sistema Iako su mnoge tehnike snimanja bezbednosnog sistema u razliitim tehnologijama (Internet i intranet) sline, u ovom poglavlju emo se ograniiti na snimanje Internet veza neke organizacije. Pristup s daljine detaljnije emo analizirati u poglavlju 9.

Tabela 1-1. Okruenja i kritini podaci koje napada moe da otkrije

Tehnologija Identifikuje Internet Ime domena Mrene blokove Specifine IP adrese sistema dostupnih preko Interneta TCP i UDP usluge koje rade na svakom identifikovanom sistemu Arhitekturu sistema (na primer, SPARC ili X86)

Mehanizme upravljanja pristupom i odgovarajue liste za kontrolu pristupanja (ACL liste) Sisteme za otkrivanje upada (IDS sisteme)

Sistemske podatke (korisnika imena i imena grupa, sistemska zaglavlja, tabele putanja, SNMP informacije) intranet Koriene mrene protokole (na primer, IP, IPX, DecNET i slino) Interna imena domena Mrene blokove Specifine IP adrese sistema dostupnih preko intraneta TCP i UDP usluge koje rade na svakom identifikovanom sistemu

Teko je dati detaljno uputstvo za snimanje bezbednosnog sistema jer vas ta aktivnost moe odvesti razliitim putevima. Zato emo u ovom poglavlju skicirati osnovne korake koji bi trebalo da vam omogue detaljno analiziranje snimka. Mnoge tehnike koje emo opisati mogu da se primene i na druge pomenute tehnologije.

Prvi korak: odre?ivanje opsega vaih aktivnosti Najpre utvrdite opseg svojih aktivnosti tokom snimanja sistema. elite li da opipate itavu organizaciju ili da se ograniite na odre?ene lokacije (na itavu korporaciju ili samo na njene ogranke, na primer)? U nekim sluajevima je vrlo teko identifikovati sve delove ciljne organizacije. Sreom, Internet obiluje mogunostima za suavanje opsega tih aktivnosti i istovremeno omoguava izvestan uvid u vrstu i koliinu javno dostupnih informacija o izabranoj organizaciji i njenim radnicima.

Pretraivanje javnih izvora

Ako organizacija ima Web stranu, poite od nje. esto se na Web strani organizacije nalazi neverovatna koliina informacija koje mogu da pomognu napadau. Na Web serverima organizacija viali smo i bezbednosne opcije za konfigurisanje njihove zatitne barijere (engl. firewall ). Od drugih zanimljivih stavki, tamo moete nai:

adrese

z srodne kompanije i delove preduzea z vesti o integrisanju ili promeni vlasnika z telefonske brojeve z imena i elektronske adrese za stupanje u vezu z pravila za zatitu privatnosti ili bezbednosna pravila iz kojih se moe izvesti zakljuak o

Arhitekturu sistema (na primer, SPARC ili X86)

Mehanizme upravljanja pristupom i odgovarajue liste za kontrolu pristupanja (ACL liste) Sisteme za otkrivanje upada (IDS sisteme)

Sistemske podatke (korisnika imena i imena grupa, sistemski natpisi, tabele putanja, SNMP informacije) Daljinski prstup Brojeve analognih/digitalnih telefona

Vrstu sistema za daljinski pristup Mehanizam autorizacije VPN i srodne protokole (IPSEC, PPTP) Ekstranet Poetak i odredite prikljuka Vrstu prikljuka Mehanizam upravljanja pristupom

Popularnost: 9 Jednostavnost: 9 Uticaj: 2 Stepen rizika: 7

primenjenom sistemu obezbeenja

veze ka drugim Web serverima koje koristi data organizacija.

Osim toga, u izvornom HTML kodu Web strane treba potraiti komentare. Mnoge stavke koje nisu za javno prikazivanje zakopane su u HTML oznakama za komentare, kao to su

U rezultatu pretraivanja vidite sve lokacije koje se povezuju s lokacijom http://www.10pht.com i istovremeno sadre re "hacking". Dakle, takvu mogunost pretraivanja lako moete da iskoristite za pronalaenje lokacija povezanih sa ciljnim domenom.

Primer sa slike 1-2 prikazuje ograniavanje pretraivanja na odre?enu lokaciju. Pretraivali smo lokaciju http://10pht.com traei sve pojave rei "mudge". Upit iz primera se lako moe prilagoditi za traenje stavki koje vas zanimaju.

Ovi primeri, oigledno, ne mogu da vas poue ta sve treba da traite na svojim putovanjima - razmiljajte kreativno. Ponekad i najudnovatiji upit prui korisne rezultate.

Pretraivanje baze EDGAR

Kada osmatrate kompanije ijim deonicama se javno trguje, koristite bazu podataka EDGAR na adresi http://www.sec.gov (slika 1-3). Nju odrava amerika Komisija za promet novca i hartija od vrednosti (Securities and Exchange Commission, SEC).

Jedan od najveih problema svih kompanija jeste odravanje njihovih prikljuaka s Internetom, naroito ako aktivno preuzimaju druge firme ili se udruuju s njima. Prema tome, treba obratiti panju na firme koje su nedavno ule u sastav kompanije. Dve najbolje publikacije koje izdaje pomenuta Komisija jesu 10-Q i 10-K. Prva od njih, 10-Q, objavljuje kratak pregled aktivnosti organizacije u poslednjem tromeseju. Ovaj dokument se neprekidno aurira, a sadri i podatke o kupovini, odnosno prodaji drugih firmi. Dokument 10-K je godinji izvetaj o aktivnostima kompanije i nije sve kao 10-Q. Dobro je da u ovim dokumentima potraite kljune rei "subsidiary" (podre?ena organizacija, filijala) ili "subsequent events" (naredne aktivnosti). Tako moete da do?ete do obavetenja o firmama koje je kompanija nedavno preuzela. Kompanije esto previe urno ukljuuju raunarski sistem preuzetih firmi u mreu korporacije, pa ne vode dovoljno rauna o bezbednosti. Zbog toga ete verovatno moi da na?ete slabu taku u bezbednosnom sistemu preuzete firme koja e vam omoguiti da prodrete u glavnu kompaniju. Napadai su oportunisti i rado e iskoristiti zbrku koja se obino javlja prilikom spajanja mrea.

Kada pretraujete bazu podataka EDGAR, tragajte za imenima firmi koja se razlikuju od imena glavne kompanije, jer je to sutinski vano za naredne faze, u kojima ete pretraivati organizaciju postavljajui upite bazama o vlasnicima domena. (O tome e biti rei u odeljku "Drugi korak: popisivanje mree".)

Protivmera: obezbeivanje javnih podataka

Veina podataka o kojima smo govorili mora da bude dostupna javnosti; to posebno vai za kompanije ijim se deonicama javno trguje. Meutim, treba vrednovati i klasifikovati vrstu podataka koja se izlae javnosti na uvid. Prirunik za obezbeivanje lokacije (Site Security Handbook, RFC 2196), nalazi se na adresi http://www.ietf.org/rfc/rfc2196.txt; to je odlino tivo u kome su obra?eni mnogi problemi u vezi s pravilima bezbednosti. Na kraju, preporuka: sa svojih Web strana izbacite sve nepotrebne podatke koji bi napadau olakali pristupanje vaoj mrei.

Drugi korak: popisivanje mree

Popularnost: 9 Jednostavnost: 9 Uticaj: 5

Prvi korak u popisivanju mree jeste otkrivanje imena domena i mrea pridruenih odre?enoj organizaciji. Imena domena svedoe o prisustvu organizacije na Internetu i najee podseaju na ime kompanije, npr. "AAAAFasade.com" ili "DobraKapljica.com".

Da biste popisali ove domene i pronali mree koje su s njima povezane, morate da proeljate Internet. Postoji vie baza podataka o domenima koje mogu da vam ponude obilje informacija o svakoj organizacionoj jedinici koju elite da ispitate. Do pred kraj 1999. godine, monopol na glavni registar imena domena (com, net, edu i org) imala je kompanija Network Solutions, koja je takve podatke uvala na svojim "whois" serverima. Danas postoji nekoliko akreditovanih registara domena (http://www.internic.net/alpha.html). Postojanje ovih novih registara malo oteava istraivanje (pogledajte odeljak "Pretraivanje registara domena", kasnije u ovom poglavlju). Da bismo nali podatke, treba da pretraujemo pravi registar.

Baze s podacima o domenima mogu se pretraivati razliitim postupcima (tabela 1-2). Bez obzira na razliitost postupaka, trebalo bi da uvek dobijete iste podatke. Za domene mimo uobiajenih com, net, edu ili org, itaoce upuujemo na servere navedene u tabeli 1-3. Jo jedan koristan izvor, naroito za pronalaenje whois servera izvan SAD, jeste adresa http://www.allwhois.com. To je jedna od najpotpunijih kolekcija servera s informacijama o domenima na Internetu.

Svaki upit moe da vam prui drugaije podatke. Sledeim vrstama upita pronalazi se najvei deo podataka potrebnih hakerima da bi zapoeli napad:

Pretraivanje registara dobijaju se specifini podaci o registru i whois serverima

z Pretraivanje organizacija dobijaju se svi podaci koji se odnose na odre?enu organizaciju

Stepen rizika: 8

Tabela 1-2. Tehnike pretraivanja podataka o domenima i izvori informacija

Mehanizam Izvor Platforma

Web lokacija http://www.networksolutions.com/ Bilo koja platforma s itaem Weba http://www.arin.net Whois klijent Whois se isporuuje s veinom verzija UNIX-a UNIX

Fwhois je napravio Chris Cappuccio

WS_Ping ProPack http://www.ipswitch.com/ Windows 95/NT/2000

Sam Spade http://www.samspade.org/ssw Windows 95/NT/2000 Web verzija Sam Spade http://www.samspade.org

Bilo koja platforma s Web klijentom

Alatke Netscan http://www.netscantools.com/nstpromain.html Windows 95/NT/2000

Xwhois http://c64.org/~nr/xwhois/ UNIX sa X-om i GTK+ grafika biblioteka Tabela 1-3. Zvanini, vojni i me?unarodni izvori o bazama s informacijama o domenima

Whois server Adresa Dodeljivanje IP adresa za Evropu http://www.ripe.net Dodeljivanje IP adresa za pacifiki deo Azije http://whois.apnic.netArmija SAD http://whois.nic.mil Vlada SAD http://whois.nic.gov

z Pretraivanje domena dobijaju se svi podaci koji se odnose na odreen domen z Pretraivanje mree dobijaju se svi podaci koji se tiu odreene mree ili jedinstvene IP adrese

Pretraivanje osoba za kontakt (Point of contact, POC) dobijaju se podaci o odre?enoj osobi, najee licu zaduenom za kontakte

Pretraivanje registara domena

Otkad su se pojavili deljeni registri (tj. sistem s vie registara), obavezno se od servera whois.crsnic.net mora zatraiti lista domena koji eventualno odgovaraju izabranom cilju i podaci o registrima koji se odnose na te domene. Neophodno je da utvrdimo vaei registar kako bismo u sledeim koracima mogli da poaljemo detaljne upite odgovarajuim bazama podataka. U primeru emo kao ciljnu organizaciju koristiti "Acme Networks", a upit poslati iz UNIX-ovog (Red Hat 6.2) komandnog okruenja. U verziji komande whois koju emo koristiti, opcija @ omoguava da zadamo alternativnu bazu podataka. U nekim whois klijentima zasnovanim na BSD tehnologiji (na primer, OpenBSD ili FreeBSD) moe se upotrebiti opcija -a za zadavanje alternativne baze podataka. Upotrebite komandu man whois da biste saznali vie o tome kako se alju upiti iz vaeg whois klijenta.

Pri ovakvom pretraivanju preporuujemo da koristite dokere, jer ete tako dobiti vie rezultata pretrage. Taka (.) iza rei "acme" dae listu svih domena koji poinju na "acme", a ne samo onih koji odgovaraju iskljuivo rei "acme". Isto tako, u dokumentu na adresi http://www.networksolutions.com/en_US/help/whoishelp.html potraite dodatna obavetenja o zadavanju sloenih upita. Saveti koje ete nai u tom dokumentu pomoi e vam da sprovedete mnogo preciznije pretraivanje.

[bash]$ whois "acme."@whois.crsnic.net

[whois.crsnic.net]

Whois Server Version 1.1

Domain names in the .com, .net, and .org domains can now be registered with many different competing registrars. Go to http://www.internic.net for detailed information.

ACMETRAVEL.COM

ACMETECH.COM

ACMES.COM

ACMERACE.NET

ACMEINC.COM

ACMECOSMETICS.COM

ACME.ORG

ACME.NET

ACME.COM

ACME-INC.COM

Ako nas posebno zanima, na primer, organizacija acme.net, detaljnije pretraivanje moemo da ponovimo da bismo pronali odgovarajui registar.

[[bash]$ whois "acme.net"@whois.crsnic.net

Whois Server Version 1.1

Domain names in the .com, .net, and .org domains can now be registered with many different competing registrars. Go to http://www.internic.net for detailed information.

Domain Name: ACME.NET

Registrar: NETWORK SOLUTIONS, INC.

Whois Server: whois.networksolutions.com

Referral URL: www.networksolutions.com

Name Server: DNS1.ACME.NET

Name Server: DNS2.ACME.NET

Vidimo da je Network Solutions registar za ovu organizaciju, to je bilo sasvim uobiajeno i za sve druge organizacije na Internetu pre usvajanja sistema deljenih registara. U narednim pretraivanjima emo upite morati da uputimo bazi podataka odgovarajueg registra, jer se detaljni podaci koje traimo tamo nalaze.

Pretraivanje organizacija

Poto identifikujemo registar, moemo da potraimo i organizaciju. U ovom pretraivanju pretreemo odreeni registar traei ime organizacije, to je ira pretraga nego kad traimo samo ime domena. Moramo da upotrebimo rezervisanu re "name" (ime) i da upit poaljemo registru Network Solutions.

[bash]$ whois "name Acme Networks"@whois.networksolutions.com

Acme Networks (NAUTILUS-AZ-DOM) NAUTILUS-NJ.COM

Acme Networks (WINDOWS4-DOM) WINDOWS.NET

Acme Networks (BURNER-DOM) BURNIER.COM

Acme Networks (ACME2-DOM) ACME.NET

Acme Networks (RIGHTBABE-DOM) RIGHTBABE.COM

Acme Networks (ARTS2-DOM) ARTS.ORG

Acme Networks (HR-DEVELOPMENT-DOM) HR-DEVELOPMENT.COM

Acme Networks (NTSOURCE-DOM) NTSOURCE.COM

Acme Networks (LOCALNUMBER-DOM) LOCALNUMBER.NET

Acme networks (LOCALNUMBERS2-DOM) LOCALNUMBERS.NET

Acme Networks (Y2MAN-DOM) Y2MAN.COM

Acme Networks (Y2MAN2-DOM) Y2MAN.NET

Acme Networks for Christ Hospital (CHOSPITAL-DOM) CHOSPITAL.ORG

Iz rezultata pretrage vidimo da su sa organizacijom Acme Networks povezani mnogi domeni. Meutim, jesu li mree zaista povezane s ovim domenima ili su samo registrovane za buduu upotrebu, odnosno radi ouvanja zatitnog znaka? Moramo nastaviti da kopamo sve dok ne prona?emo "ivu" mreu.

Kada ovakvim postupkom pretraivanja ispitujete veliku organizaciju, moda ete kao rezultat dobiti na stotine zapisa. Pre nego to su zloupotrebe postale izuzetno uestale, sa servera kompanije Network Solutions mogli ste da preuzmete itav domen com. Danas su whois serveri sistema Network Solutions podeeni tako da daju samo prvih 50 rezultata.

Pretraivanje domena

Na osnovu rezultata pretraivanja organizacija, kandidat koji najvie obeava jeste domen Acme.net, budui da se organizacija zove Acme Networks. (Naravno, sva imena i reference su izmiljeni.)

[bash]$ whois [email protected]

[whois.networksolutions.com]

Registrant:

Acme Networks (ACME2-DOM)

11 Town Center Ave.

Einstein, AZ 21098

Domain Name: ACME.NET

Administrative Contact, Technical Contact, Zone Contact:

Boyd, Wooody [Network Engineer] (WB9201) [email protected]

201-555-9011 (201)555-3338 (FAX) 201-555-1212

Record last updated on 13-Sep-95

Record created on 30-May-95

Database last updated on 14-Apr-99 13:20:47 EDT.

Domain servers in listed order:

DNS.ACME.NET 10.10.10.1

DNS2.ACME.NET 10.10.10.2

Ova vrsta pretraivanja daje rezultate koji se odnose na:

registrovanu organizaciju

z ime domena z slubene kontakte z vreme nastajanja i auriranja zapisa

primarni i sekundarni server imena domena (DNS servere).

Sada u vama treba da se probudi detektiv. Analizirajte rezultate i pronaite nain koji e vam obezbediti vie informacija. Viak ili curenje informacija esto zovemo "mamac", jer napadaa mame da bolje usredsredi napad. Pogledajmo detaljnije o emu se tu radi.

Pregledom podataka o registrovanoj organizaciji (registrantu) moemo da utvrdimo da li taj domen pripada organizaciji koju elimo da snimimo. Znamo da je sedite kompanije Acme Networks u Arizoni, pa je opravdana pretpostavka da se dobijeni podaci mogu iskoristiti za nau analizu snimka. Imajte na umu da sedite registranta ne mora da se poklapa sa geografskim odreditem firme. Mnoge organizacije se prostiru na vie geografskih podruja i svaki takav deo ima sopstveni prikljuak na Internet, ali svi delovi mogu da budu registrovani na ime jedinstvene organizacije. Najbolje je da posetite tu Web lokaciju i da utvrdite da li se stvarno radi o eljenoj organizaciji.

Podaci za stupanje u slubenu vezu s organizacijom veoma su vani, jer iz njih moete da saznate ime osobe zaduene za povezivanje na Internet ili za odravanje zatitne barijere. Tu su i broj telefona, odnosno faksa. Oni su od neprocenjive vrednosti kada isprobavate upad u sistem s daljine - samo pokrenite program za automatsko pozivanje, i na dobrom ste putu da otkrijete brojeve modema. Osim toga, uljezi se esto predstavljaju kao slubenici zadueni za kontakte i zloupotrebljavaju poverenje obinih korisnika u organizaciji. Napada e nesmotrenom korisniku ak poslati, u ime administratora, struno "nacifranu" poruku. Prosto je neverovatno koliko e se korisnika upecati i promeniti lozinku u bilo ta to im predloite, sve dok veruju da takav zahtev alje slubenik tehnike podrke.

Iz datuma nastanka i izmene zapisa moe se suditi o tanosti podataka. Ako je zapis nastao pre pet godina i od tada nije auriran, velike su anse da su neki podaci (npr. podaci za stupanje u slubenu

vezu) zastareli.

Poslednja grupa podataka otkriva zvanine servere imena domena. Prvi je primarni DNS server, a zatim slede sekundarni, tercijarni itd. Ti podaci bie nam potrebni za ispitivanje DNS-a, o emu e biti rei kasnije u ovom poglavlju. Osim toga, moemo pokuati da iskoristimo navedenu mrenu oblast kao polaznu taku za pretraivanje mrea u bazi podataka ARIN.

Kada uz HST zapis koji je dobijen whois upitom upotrebite naredbu server , moi ete da otkrijete i druge domene pridruene istom DNS serveru. Sledei postupak pokazuje kako to da uradite.

Pretraite domene na prethodno opisan nain.

1. Prona?ite prvi DNS server. 2. Izvrite whois pretraivanje o tom DNS serveru:

whois "HOST 10.10.10.1"@whois.networksolutions.com

1. Locirajte HST zapis za DNS server. 2. Izvrite whois pretraivanje uz naredbu server, koristei odgovarajui HST zapis:

whois "SERVER NS9999-HST"@whois.networksolutions.com

Pretraivanje mrea

Ameriki registar Internet brojeva (American Registry for Internet Numbers, ARIN) jo je jedna baza podataka koju moemo da upotrebimo za pronalaenje mrea koje su povezane s ciljnim domenom. U ovoj bazi podataka uvaju se informacije o mrenim blokovima i njihovim vlasnicima. Vrlo je vano da se istraivanjem utvrdi da li ciljna organizacija stvarno poseduje sistem ili ga pak deli s drugom organizacijom, odnosno iznajmljuje od davaoca usluga Interneta (ISP).

U naem primeru, pokuaemo da identifikujemo sve mree koje poseduje kompanija "Acme Networks". Pretraivanje baze podataka ARIN obino je plodonosno, jer se ona ne ograniava na prikazivanje samo 50 rezultata kao Network Solutions. Obratite panju na upotrebu dokera ".".

[bash]$ whois "Acme Net."@whois.arin.net

[whois.arin.net]

Acme Networks (ASN-XXXX) XXXX 99999

Acme Networks (NETBLK) 10.10.10.0 - 10.20.129.255

Mree moemo i detaljnije pretraiti ako iskoristimo odre?eni mreni blok (10.10.10.0):

[bash]$ whois [email protected]

[whois.arin.net]

Major ISP USA (NETBLK-MI-05BLK) 10.10.0.0 - 10.30.255.255

ACME.NETWORKS, INC. (NETBLK-MI-10-10-10) CW-10-10-10

10.10.10.0 - 10.20.129.255

ARIN obezbe?uje zgodan mehanizam pretraivanja na Webu (slika 1-4). Analizirajui rezultat, utvrujemo da je davalac usluga Interneta "Major ISP USA" povezan na okosnicu Mree i da je organizaciji Acme Networks dodelio mreu klase A (potpuno objanjenje protokola TCP/IP nai ete u knjizi Richarda Stevensa TCP/IP Illustrated Volume 1). Prema tome, zakljuujemo da se radi o mrei koju poseduje Acme Networks.

Pretraivanje informacija o osobama za kontakt

Poto jedna osoba moe da administrira domene za vie organizacija, preporuljivo je da se pretrae informacije o osobama za kontakt (POC) prema korisnikom nalogu za pristup bazi podataka (engl. user's database handle). Traimo nalog "WB9201", dobijen prethodnim pretraivanjem domena. Tako moete da otkrijete domen za koji i ne znate da postoji.

[bash]$ whois "HANDLE WB9201"@whois.networksolutions.com

Boyd, Woody [Network Engineer] (WB9201) [email protected]

BIG ENTERPRISES

11 TOWN CENTER AVE

EINSTEIN, AZ 20198

201-555-1212 (201)555-1212 (FAX) 201-555-1212

Mogli smo potraiti i @Acme.net i dobiti listing elektronskih adresa osoba za kontakt. Od rezultata prikazujemo samo poetak listinga:

[bash]$ whois "@acme.net"@whois.networksolutions.net

Smith, Janet (JS9999) [email protected] (201) 555-9211

(FAX) (201) 555-3643

Benson, Bob (BB9999) [email protected] (201) 555-1988

Manual, Eric (EM9999) [email protected] (201) 555-8484

(FAX) (201) 555-8485

Bxon, Rob (RB9999) [email protected] (201) 555-8072

Protivmera: obezbe?ivanje javne baze podataka

Veliki deo informacija sadranih u bazama podataka koje smo dosad pominjali, namenjen je javnosti. Kada organizacija eli da registruje domen na Internetu, neophodni su podaci za uspostavljanje slubene veze, podaci o registrovanim mrenim blokovima i o zvaninom serveru imena domena. Me?utim, sve to treba na odgovarajui nain obezbediti da bi se uljezima to vie oteao posao.

;esto se deava da osoba zaduena za slubene veze napusti organizaciju, ali da i dalje ima mogunost da menja podatke o domenu organizacije. Zbog toga najpre treba obezbediti da podaci u bazi podataka budu aurni. Ako treba, aurirajte podatke koji se odnose na uspostavljanje administrativne, tehnike i finansijske slubene veze. Proverite i navedene telefonske brojeve i adrese. Oni mogu da budu polazna taka za daljinski upad ili za lano predstavljanje (engl. social engineering). Razmislite o tome da li bi bezbednosti doprinelo ako biste se opredelili da koristite besplatne telefonske brojeve ili brojeve izvan telefonske centrale vae organizacije. Uzgred, neke organizacije koriste lane administratore, radi zavo?enja eventualnih napadaa. Ako bilo koji slubenik primi elektronsku poruku ili telefonski poziv od lanog administratora, to moe da bude alarm za slubu obezbeenja mree.

Prilikom registrovanja domena postoji jo jedna opasnost, koja potie od naina na koji neki registri omoguavaju auriranje. Na primer, tekua realizacija servera Network Solutions dozvoljava automatsko menjanje podataka koji se odnose na domen. Ovaj server potvr?uje identitet registranta pomou tri metode: polja FROM iz poruka e-pote, lozinke i PGP-kljua. Zapanjujue je to je polje FROM iz poruke e-pote podrazumevana metoda identifikovanja. Posledice ovakvog izbora po bezbednost su nesagledive. Gotovo svako, i to "malim prstom leve ruke", moe da krivotvori adresu elektronske pote i da promeni podatke koji se odnose na va domen, to je postupak poznatiji kao otimanje domena (engl. domain hijacking). Upravo se to, kako je 16. oktobra 1998. objavio Washington Post, dogodilo velikom davaocu Internet usluga America Online. Neko se predstavio kao slubenik AOL-a i promenio AOL-ove podatke o domenu, tako da je sav mreni saobraaj bio preusmeren na adresu autonete.net. AOL se od ovog incidenta brzo oporavio, ali incident pokazuje ranjivost organizacije na Internetu. Treba se odluiti za bezbednije reenje, npr. lozinku ili PGP identifikaciju, da bi se omoguilo menjanje podataka o domenu. Naglasimo i to da je za identifikovanje putem obrasca Contact Form koji koristi server Network Solutions neophodno da se prethodno uspostavi administrativna ili tehnika veza.

Trei korak: ispitivanje DNS-a Poto otkrijete sve pridruene domene, ponite da pretraujete server imena domena (DNS). DNS je distribuirana baza podataka koja se koristi za preslikavanje IP adresa u imena raunara i obrnuto. Ako DNS server nije bezbedno konfigurisan, od njega se mogu dobiti informacije koje "otkrivaju" organizaciju.

Prenosi zona

Jedan od najozbiljnijih propusta u konfiguraciji koje administrator sistema moe da naini jeste da omogui neovlaenim korisnicima Interneta da prenesu zone DNS-a.

Prenos zone (engl. zone transfer) dozvoljava sekundarnom serveru da svoju bazu podataka sa zonama aurira s primarnog servera. Tako se postie da sistem nastavi da radi ako primarni DNS server otkae. Prenos DNS zone u naelu treba da obavljaju samo sekundarni serveri. Mnogi serveri imena domena su, me?utim, loe podeeni, pa omoguavaju prenose zona svakome ko to zatrai. To ne mora obavezno da bude loe ako se dostupne informacije odnose samo na sisteme povezane na Internet, iako olakava napadaima da pronau potencijalne ciljeve. Stvarni problem nastaje kada organizacija ne razdvaja spoljne od unutranjih, privatnih DNS servera. U tom sluaju, interna imena raunara i njihove IP adrese izloeni su pogledima napadaa. Kada informacije o internim IP adresama date u ruke korisniku Interneta koji za takve podatke nije ovlaen, to je isto kao da ste mu dali plan ili mapu interne mree organizacije.

Isprobajmo nekoliko metoda za prenos zona i analizirajmo podatke koje moemo na taj nain da prikupimo. Iako se mnogim alatkama moe izvesti prenos zone, razmatranje emo ograniiti na nekoliko najee korienih.

Jednostavan nain da prenesete zonu jeste da upotrebite program nslookup , koji se isporuuje s veinom UNIX i NT sistema. Komandu nslookup moemo da upotrebimo interaktivno:

[bash]$ nslookup

Default Server: dns2.acme.net

Address: 10.10.20.2

>> server 10.10.10.2

Default Server: [10.10.10.2]

Address: 10.10.10.2

>> set type=any

>> ls -d Acme.net. >> /tmp/zone_out

Najpre pokreemo nslookup u interaktivnom reimu. Kada se pokrene, program e ispisati podrazumevani server imena koji on koristi, to je po pravilu DNS server organizacije ili DNS davaoca usluga Interneta. Me?utim, na server imena domena (10.10.20.2) nije ovlaen za ciljni domen, tako da nema sve DNS zapise koje traimo. Zbog toga moramo programu nslookup runo da zadamo DNS server koji treba da pretrauje. U ovom primeru hoemo da upotrebimo primarni server imena domena za Acme Networks (10.10.10.2). Setite se da smo taj podatak nali ranije na


whois serveru.

Posle toga, za vrstu zapisa biramo vrednost any . To e omoguiti da preuzmemo svaki raspoloivi DNS zapis i dobijemo potpunu listu ( man nslookup ).

Na kraju, koristimo opciju ls da bismo izlistali sve povezane zapise u domenu. Parametar -d omoguava izlistavanje svih zapisa domena. Na kraj smo dodali taku (.) da naznaimo potpuno ime domena, iako najee moete da je izostavite. Osim toga, rezultat smo preusmerili u datoteku /tmp/zone_out da bismo ga mogli koristiti i kasnije.

Poto zavrimo prenos zone, pregledaemo datoteku i u njoj potraiti informacije koje bi nam eventualno mogle pomoi da se usmerimo na odre?ene sisteme. Pogledajmo rezultat:

[bash]$ more zone_out

acct18 1D IN A 192.168.230.3

1D IN HINFO "Gateway2000" "WinWKGRPS"

1D IN MX 0 acmeadmin-smtp

1D IN RP bsmith.rci bsmith.who

1D IN TXT "Location:Telephone Room"

ce 1D IN CNAME aesop

au 1D IN A 192.168.230.4

1D IN HINFO "Aspect" "MS-DOS"

1D IN MX 0 andromeda

1D IN RP jcoy.erebus jcoy.who

1D IN TXT "Location: Library"

acct21 1D IN A 192.168.230.5

1D IN HINFO "Gateway2000" "WinWKGRPS"

1D IN MX 0 acmeadmin-smtp

1D IN RP bsmith.rci bsmith.who

1D IN TXT "Location:Accounting"

Neemo detaljno analizirati svaki zapis, ve emo izdvojiti glavne tipove. Vidimo da za svaku odrednicu imamo po jedan zapis tipa A koji oznaava IP adresu imena sistema na desnoj strani. Osim toga, svaki umreeni raunar ima zapis HINFO koji identifikuje platformu ili tip aktivnog operativnog sistema (pogledajte RFC 952). Zapisi HINFO nisu nuni za korienje DNS-a, a napadaima pruaju obilje informacija. Poto smo snimili rezultate prenosa zone u datoteku, moemo da ih obradimo pomou UNIX-ovih programa kao to su grep , sed , awk ili perl .

Pretpostavimo da smo strunjaci za sistem SunOS ili sistem Solaris. Mogli bismo pomou programa da prona?emo IP adrese koje su u zapisu HINFO povezane sa SPARC-om, Sunom ili Solarisom.

[bash]$ grep -i solaris zone_out |wc -1

388

Vidimo da imamo 388 potencijalnih zapisa koji sadre re "Solaris". Oigledno, imamo mnogo ciljeva.

Recimo da elimo da pronaemo probne sisteme, omiljenu metu napadaa. Zato? Prosto zato to takvi sistemi obino nisu bogzna kako obezbeeni, njihove lozinke se lako provaljuju, a administratori ne brinu mnogo o tome ko im pristupa. To je savren plen za svakog napasnika. Probne sisteme emo potraiti na sledei nain:

[bash]$ grep -i test /tmp/zone_out |wc -1

96

Dobili smo 96 odrednica u datoteci zone koje sadre re "test". To bi znailo da u zoni postoji prilian broj probnih sistema. Veina uljeza e razgledati i prevrtati ove podatke da bi nali posebne vrste sistema s poznatom ranjivou.

Imajte nekoliko stvari na umu. Opisanim postupkom moete da pretraujete samo po jedan server imena. To znai da postupak morate ponoviti za svaki server imena koji je ovlaen za ciljni domen. Osim toga, pretraivali smo samo domen Acme.net. Ako postoje poddomeni (na primer, greenhouse.Acme.net), svaki bismo morali da pretraimo na isti nain. Konano, moda ete dobiti poruku da ne moete da izlistate domen ili da se zahtev za prenos odbija. U tom sluaju, server je podeen tako da neovlaenim korisnicima ne dozvoljava prenos zone. Zbog toga ne biste ni mogli da prenesete zonu s tog servera. Me?utim, ako postoji vie servera imena domena, moda ete nai neki koji e vam dozvoliti da prenesete zonu.

Poto smo vas uputili u runu varijantu postupka, znajte da postoji mnogo alatki koje postupak ubrzavaju, a me?u njima su host , Sam Spade, axfr i dig .

Alatka host postoji na veini UNIX sistema. Evo nekoliko jednostavnih naina njene primene:

host -1 Acme.net

ili

host -1 -v -t any Acme.net

Ako IP adrese elite samo da sprovedete u skript komandnog okruenja, naredbom cut moete da izdvojite samo IP adrese iz rezultata komande host :

host -1 acme.net |cut -f 4 -d" " >> /tmp/ip_out

Sisteme ne morate da snimate samo iz UNIX-a. Mnogi Windowsovi programi obezbe?uju iste funkcije (slika 1-5).

Najzad, moete da upotrebite jednu od najboljih alatki za prenoenje zone, Gaiusov program axfr (http://ftp.cdit.edu.cn/pub/linux/www.trinux.org/src/netmap/axfr-0.5.2.tar.gz). Taj usluni program e rekurzivno prenositi informacije o zoni i napraviti komprimovanu bazu podataka zone i datoteka koje se odnose na raunare za svaki pretraivani domen. Moete da mu prosledite i domene najvieg nivoa, kao to su com i edu, i da dobijete sve domene povezane s domenima com , odnosno edu . To se, meutim, ne preporuuje. Axfr pokreete na sledei nain:

[bash]$ axfr Acme.net

axfr: Using default directory: /root axfrdb

Found 2 name servers for domain 'Acme.net':

Text deleted.

Received XXX answers (XXX records).

Da biste u bazi podataka koju je napravio program axfr pronali traene informacije, upiite:

[bash]$ axfrcat Acme.net

Pronalaenje zapisa sistema za razmenu pote (MX)

Prepoznavanje mesta na kome se rukuje potom dobra je polazna taka za pronalaenje zatitne barijere mree ciljne organizacije. ;esto se u komercijalnom okruenju potom rukuje na istom sistemu na kome se nalazi i zatitna barijera ili barem u istoj mrei. Tada moemo da upotrebimo komandu host i da prikupimo dodatne informacije.

[bash]$ host Acme.net

Acme.net has address 10.10.10.1

Acme.net mail is handled (pri=22) by smtp-forward.Acme.net

Acme.net mail is handled (pri=10) by gate.Acme.net

Ako se komanda host upotrebi samo uz ime domena, bez ikakvih parametara, prvo e pokuati da razrei zapise tipa A, a onda zapise tipa MX. Navedeni rezultati se slau s podacima koji su ranije dobijeni whois pretraivanjem i s podacima iz baze ARIN. Prema tome, moemo da smatramo da smo pronali mreu koju treba da ispitujemo.

Protivmera: bezbednost DNS servera

Server imena domena sadri obilje informacija koje napadai mogu da iskoriste, pa zato treba smanjiti koliinu informacija dostupnih preko Interneta. Kada je re o serveru, prenos zone se sme odobriti samo ovlaenim serverima. Savremene verzije BIND-a se mogu podesiti komandom allow-transfer u datoteci named.conf. Ako elite da ograniite prenos zona Microsoftovog DNS servera, upotrebite opciju Notify. (Vie o tome potraite na adresi http://support.microsoft.com/support/kb/articles/q193/8/37.asp.) U sluaju ostalih servera imena, pregledajte dokumentaciju i utvrdite kako se moe ograniiti ili spreiti prenos zone.

S druge strane, na mrei moete da postavite zatitnu barijeru ili usmeriva koji filtrira pakete tako da uskrauje pristup svim dolaznim zahtevima ka TCP prikljuku 53. Poto zahtevi za traenje imena koriste protokol UDP, a zona se prenosi protokolom TCP, predloenom protivmerom kri se RFC pravilo koje trai da se zahtevi vei od 512 bajtova upuuju protokolom TCP. Po pravilu, zahtevi za DNS pretraivanje i nisu dui od 512 bajtova. Bolje reenje bi bilo da se uvede ifrovano potpisivanje transakcija (Transaction Signatures, TSIG) i tako prenos zone dopusti samo raunarima koji za to imaju dozvolu. Primer u kome se realizovanje bezbednosnih TSIG mera objanjava korak po korak nai ete na adresi http://romana.ucd.ie/james/tsig.html.

Ograniavanjem prenosa zone produavate vreme koje e napadaima biti potrebno da ispitaju IP adrese i imena raunara. Meutim, poto je pretraivanje imena jo uvek mogue, napadai mogu runo da pretrae sve IP adrese odreenog mrenog bloka. Zato podesite spoljne servere imena tako da pruaju obavetenja samo o sistemima koji su direktno povezani s Internetom. Spoljni serveri imena ne smeju da odaju informacije o internoj mrei. To moe da lii na preterivanje, ali verujte da smo videli loe podeene servere imena iz kojih smo mogli da izvuemo ak 16.000 internih IP adresa i odgovarajuih imena umreenih raunara. I na kraju, ne preporuujemo da koristite zapise tipa HINFO. Kao to ete videti u narednim poglavljima, operativni sistem ciljnog raunarskog sistema moete da identifikujete s velikom preciznou. Zapisi tipa HINFO omoguavaju napadaima da pomou automatizovanih alatki lake pronau potencijalno ranjive sisteme.

etvrti korak: upoznavanje mree Poto smo identifikovali mree nae rtve, pokuajmo da utvrdimo njihovu topologiju i potencijalne puteve pristupanja.

Otkrivanje putanje


Za ovaj posao moemo da upotrebimo program traceroute (ftp://ftp.ee.lbl.gov/traceroute.tar.gz) kojipostoji u varijantama UNIX-a, a ima ga i u Windowsu NT. U Windowsu NT se on iz istorijskih razloga zove tracert .

Traceroute je dijagnostika alatka koju je Van Jacobson prvobitno napravio za praenje puta IP paketa od jednog do drugog raunara u mrei. Program traceroute koristi opciju vremena preivljavanja paketa (engl. time-to-live , TTL) da bi sa svakog mrenog usmerivaa (engl. router ) izazvao slanje ICMP poruke TIME_EXCEEDED. Svaki usmeriva koji obra?uje paket istovremeno umanjuje vrednost TTL polja za jedinicu, pa TTL polje postaje svojevrstan broja skokova. Program traceroute moemo da upotrebimo da bismo utvrdili tanu putanju paketa. Kao to smo pomenuli, traceroute pomae da otkrijete topologiju ciljne mree, i identifikuje mehanizme za kontrolu pristupa (programski izvedenu zatitnu barijeru ili usmeriva za filtriranje paketa) koji moda filtriraju saobraaj.

Razmotrimo to na jednom primeru.

[bash]$ traceroute Acme.net

traceroute to Acme.net (10.10.10.1), 30 hops max, 40 byte packets

1 gate2 (192.168.10.1) 5.391 ms 5.107 ms 5.559 ms

2 rtr1.bigisp.net (10.10.12.13) 33.374 ms 33.443 ms 33.137 ms


4 hssitrt.bigisp.net (10.11.31.14) 43.030 ms 43.941 ms 43.244 ms

5 gate.Acme.net (10.10.10.1) 43.803 ms 44.041 ms 47.835 ms

Vidimo putanju paketa koji naputa usmeriva (mreni prolaz) i do odredita stie u tri (2-4) skoka. Paketi putuju kroz razne sisteme bez blokiranja. Iz naeg prethodnog istraivanja znamo da MX zapis za Acme.net ukazuje na gate.acme.net. Stoga pretpostavljamo da je to aktivan mreni raunar i da se prethodni skok (4) odnosi na usmeriva na obodu organizacije. Skok 4 moe da bude programska zatitna barijera ili jednostavan ureaj za filtriranje paketa - to jo ne znamo. Kada na mrei naletite na aktivan sistem, ispred njega se obino nalazi ure?aj za preusmeravanje (na primer, usmeriva ili zatitna barijera).

Prethodni primer je veoma uproen. U sloenom okruenju moe da bude vie putanja, odnosno ureaja za usmeravanje s vie mrenih veza (na primer, serijska skretnica Cisco 7500). tavie, svaka veza moe da ima drugaiju listu za kontrolu pristupa (engl. access control list , ACL). Mnoge veze e propustiti zahtev programa traceroute , ali e ga druge odbiti zato to imaju drugaiju ACL listu. Zbog toga je neophodno da programom traceroute ispitate celu mreu. Poto traceroute primenite na sve sisteme u mrei, ponite da sastavljate dijagram mree koji treba da odslika arhitekturu mrenog prolaza na Internet i lokaciju mehanizama pomou kojih se kontrolie pristup. Taj dijagram se naziva dijagram putanja za pristup (engl. access path diagram).

Treba znati da veina varijanti programa traceroute u UNIX-u, pakete podrazumevano alje protokolom UDP (User Datagram Protocol), uz opciju korienja protokola ICMP (Internet Control Messaging Protocol) koja se aktivira opcijom -I . U Windowsu NT, meutim, podrazumevano se alje ICMP paket sa zahtevom za eho (engl. echo request packet). Prema tome, duina vae putanje moe da varira, u zavisnosti od toga da li lokacija blokira protokol UDP ili protokol ICMP. Druga zanimljiva opcija programa traceroute aktivira se parametrom -g. Njome se korisniku omoguava da zada priblino usmeravanje sa izvora. Dakle, ako mislite da e mreni prolaz ciljnog raunara

prihvatiti pakete koji su usmereni ve na izvoru (to je smrtni greh), pokuajte da aktivirate ovu opciju uz odgovarajue pokazivae na skokove (vie detalja o tome dobiete ako u UNIX-u zadate komandu man traceroute ).

Treba da objasnimo jo nekoliko opcija koje e vam moda pomoi da zaobiete mehanizme za kontrolu pristupa dok pokuavate da snimite sistem. Opcija -p n programa traceroute omoguava da zadate poetni broj UDP prikljuka ( n ) koji e se poveati za jedinicu nakon to poaljete probni paket. Dakle, neemo moi da koristimo fiksne brojeve prikljuaka ukoliko ne podesimo program traceroute . Sreom, Michael Schiffman je napravio zakrpu (http://www.packetfactory.net/Projects/firewalk/traceroute.diff) za verziju 1.4a5 programa traceroute (ftp. cerias.purdue.edu/pub/tools/unix/netutils/traceroute/old/) kojom se dodaje parametar -S da bi se spreilo uveavanje broja prikljuka. Kada je primenite, svaki paket koji poaljete imae fiksni broj prikljuka i moete da se nadate da e mehanizam za kontrolu pristupa takve pakete proputati. Dobra polazna taka je UDP prikljuak 53 (slui za DNS upite). Poto mnoge lokacije dozvoljavaju ulazne pakete koji pretrauju DNS server, velike su anse da e mehanizam za kontrolu pristupa propustiti na sondani paket.

[bash]$ traceroute 10.10.10.2

traceroute to (10.10.10.2), 30 hops max, 40 byte packets

1 gate (192.168.10.1) 11.993 ms 10.217 ms 9.023 ms




5 * * *

6 * * *

Vidimo da je nae sondiranje programom traceroute (koji standardno alje UDP pakete) blokirano zatitnom barijerom.

Poaljimo sada sondu s fiksiranim prikljukom UDP 53, to izgleda kao DNS upit:

[bash]$ traceroute 10.10.10.2

traceroute to (10.10.10.2), 30 hops max, 40 byte packets

1 gate (192.168.10.1) 10.029 ms 10.027 ms 8.494 ms




5 10.10.10.2 (10.10.10.2) 50.449 ms 56.213 ms 65.627 ms

Poto ureaj za kontrolu pristupa (korak 4) sada ne moe da na?e manu paketima, on ih proputa.

Prema tome, sistem iza ureaja za kontrolu pristupa moemo da ispitamo samo tako to emo poslati pakete s odredinim prikljukom UDP 53. Ukoliko sondirate sistem sa aktivnim UDP prikljukom 53, neete primiti uobiajenu povratnu ICMP poruku o nedostupnosti, pa neete videti ni informaciju o raunaru kada paket stigne na odredite.

Sve to smo dosad radili s programom traceroute uglavnom je bilo sa komandne linije. Oni koji vie vole grafiko okruenje, za otkrivanje putanja mogu da koriste VisualRoute (http://www.visualroute.com) ili NeoTrace (http://www.neotrace.com/). Program VisualRoute grafiki prikazuje svaki mreni skok i spaja ga s rezultatima whois pretraivanja. Ovaj program, prikazan na slici 1-6, deluje zanimljivo, ali ne radi dobro s velikim mreama.

Postoje dodatne tehnike ijom primenom moete da do?ete do vaeih ACL lista odreenih ureaja za kontrolu pristupa. Skeniranje protokola zatitne barijere (engl. firewall protocol scanning) jedna je od takvih tehnika, a objasniemo je u poglavlju 11.

Protivmera: onemoguavanje pokuaja upoznavanja mree

U ovom poglavlju smo se samo dotakli tehnika koje se koriste za upoznavanje mree. U sledeim poglavljima emo obraditi mnogo radikalnije tehnike. Postoji, me?utim, nekoliko mera koje moemo preduzeti da bismo identifikovali i spreili ulazak opisanih sondi u sistem. Mnogi komercijalni sistemi za otkrivanje upada (engl. network intrusion detection system, NIDS) uspee da uhvate ovu vrstu pokuaja upoznavanja mree. Takvu aktivnost moe da otkrije i jedan od najboljih besplatnih NIDS programa, snort (http://www.snort.org/) autora Martyja Roescha. Ako ste voljni da krenete u ofanzivu kada primetite da vas neko snima, pomoi e vam program RotoRouter koji je razvio Humble iz grupe Rhino9 (http://packetstorm.securify.com/UNIX/loggers/rr-1.0.tgz). Taj usluni program belei pristigle zahteve programa traceroute i generie lane odgovore na njih. U zavisnosti od naina rada vaeg sistema obezbe?enja, moda ete mrene usmerivae na obodu moi tako da podesite da saobraaj ICMP i UDP paketa ogranie na odre?ene sisteme, i tako smanjite svoju izloenost spoljnom neprijatelju.

Saetak Kao to ste videli, napadai mogu da upoznaju i snime vau mreu na mnogo naina. Namerno smo ovu raspravu ograniili na uobiajene alatke i tehnike. Imajte na umu, meutim, da se svakoga dana

razvijaju nove alatke. Pri objanjavanju snimanja sistema koristili smo sasvim jednostavan primer. esto ete se suoiti s herkulovskim zadatkom da identifikujete i snimite desetine i stotine domena. Zbog toga, kad god se to moe, treba automatizovati aktivnosti, kombinujui skriptove komandnog okruenja i program expect , odnosno programe pisane na jeziku perl . Postoje mnogi napadai koji nikada nisu bili otkriveni, s bogatim iskustvom u prepoznavanju mrea i dobro opremljeni. Prema tome, uvek nastojte da smanjite koliinu i vrstu informacija koje cure zbog vaeg prisustva na Internetu i pomno nadgledajte saobraaj usmeren ka vaem sistemu.



Skeniranje ko snimanje sistema uporedimo sa otkrivanjem mesta na kome se informacije nalaze, skeniranje moemo da shvatimo kao kuckanje po zidovima da bismo utvrdili gde se nalaze

vrata i prozori. Snimanjem dobijamo spisak mrenih i IP adresa pomou upita tipa whois i prenosa zone. Tim tehnikama napadai dobijaju dragocene podatke: imena zaposlenih i brojeve telefona, opsege IP adresa, DNS i potanske servere i sl. Sada treba da utvrdimo koji su sistemi ivi i dostupni s Interneta, a za to emo koristiti razliite alatke i tehnike kao to su automatsko skeniranje mree signalom ping, skeniranje prikljuaka i alatke za automatsko otkrivanje.

Naglaavamo da IP adrese koje su otkrivene prilikom prenosa zone ne moraju da budu dostupne s Interneta. Moraemo da proverimo svaki ciljni sistem da bismo utvrdili da li je iv i preko kojih prikljuaka oslukuje, ukoliko takvi prikljuci uopte postoje. Videli smo mnoge ravo podeene servere imena domena koji dozvoljavaju izlistavanje IP adresa privatnih mrea (na primer, 10.10.10.0). Poto se ovim adresama ne moe pristupiti s Interneta, uzalud ete se muiti ako to pokuate. U dokumentu RFC 1918 potraite vie obavetenja o tome koji se opsezi IP adresa smatraju nedostupnim (http://www.ietf.org/rfc/rfc1918.txt).

Pre?imo sada na sledeu fazu prikupljanja informacija - skeniranje.

Otkrivanje ivih sistema Jedan od osnovnih koraka pri mapiranju mree jeste izvo?enje automatskog skeniranja opsega IP adresa i mrenih blokova signalom ping (engl. ping sweep) da bi se utvrdilo jesu li pojedini sistemi aktivni. Komanda ping obino se koristi za slanje ICMP paketa ECHO (tipa 8) ciljnom sistemu u nadi da e on uzvratiti ICMP paketom ECHO_REPLY (tipa 0), to bi znailo da je iv. Premda je ova komanda prihvatljiva za odreivanje broja ivih sistema u malim i srednjim mreama, ona nije dovoljno efikasna u korporacijskim mreama. Skeniranje mree klase A moe da potraje satima, ako ne i danima. Morate znati da otkrivate ive sisteme na vie naina, i zato u narednom odeljku predoavamo izbor raspoloivih tehnika.

Skeniranje mree signalom ping

Za automatsko skeniranje signalom ping moete da upotrebite mnoge alatke koje postoje i u UNIX-u i u Windowsu NT. Jedna od takvih tehnika, oprobana u UNIX-u, jeste korienje programa fping (http://packetstorm.securify.com/Exploit_Code_Archive/fping.tar.gz). Za razliku od uobiajenih uslunih programa koji ekaju odgovor svakog sistema pre nego to pre?u na sledei, fping e poslati opti zahtev za odgovor, slino cirkularnom pismu. Tako e fping proveriti skup IP adresa znatno bre nego ping . On se moe koristiti na dva naina: bilo tako to mu se IP adrese alju sa standardnog ulaza, ili tako to ih oitava iz datoteke. Oitavanje adresa iz datoteke je jednostavno -

Popularnost: 10 Jednostavnost: 9 Posledice: 3 Procena rizika: 7

samo napravite datoteku sa IP adresama smetenim u uzastopne redove:

192.168.51.1

192.168.51.2

192.168.51.3

...

192.168.51.253

192.168.51.254

Tada parametrom -f oitajte datoteku:

[tsunami]$ fping -f in.txt

192.168.51.254 is alive

192.168.51.227 is alive

192.168.51.224 is alive

...

192.168.51.3 is alive

192.168.51.2 is alive

192.168.51.1 is alive

192.168.51.190 is alive

Opcija -a komande fping prikazae samo ive sisteme. Moemo je kombinovati s opcijom -d da bismo razreili imena raunara. Najee koristimo opciju -a sa skriptovima komandnog okruenja, a opciju -d kada nas zanimaju sistemi koji imaju jedinstvena imena. Druge opcije kojima se podaci itaju iz datoteke, kao to je opcija -f, mogu da pomognu kada sastavljate skript za automatsko skeniranje. Komandom fping -h dobiete potpun spisak raspoloivih opcija. Drugi usluni program koji se pominje u celoj knjizi jeste Fyodorov nmap (www.insecure.org/nmap), ali njega emo detaljnije razmotriti u nastavku poglavlja i zasad samo pominjemo da se pomou njegove opcije -sP moe izvesti i automatsko skeniranje signalom ping.

[tsunami] nmap -sP 192.168.1.0/24

Starting nmap V. 2.53 by [email protected] (www.insecure.org/nmap/)

Host (192.168.1.0) seems to be a subnet broadcast

address (returned 3 extra pings).

Host (192.168.1.1) appears to be up.








Host (192.168.1.255) seems to be a subnet broadcast

address (returned 3 extra pings).

Nmap run completed -- 256 IP addresses (10 hosts up) scanned

in 21 seconds

Za korisnike Windowsa, besplatan program Pinger (slika 2-1) grupe Rhino9 (http://www.nmrc.org/files/snt/ jedan je od najbrih raspoloivih programa za automatsko skeniranje. Slino programu fping, i on istovremeno alje vie ICMP paketa ECHO, a zatim eka odgovore. Pinger takoe omoguava da razreite imena raunara i da rezultat snimite u datoteku. S Pingerom se po brzini moe meriti komercijalni proizvod Ping Sweep firme SolarWinds (www.solarwinds.net). Ping Sweep moe da bude brz kao munja, jer omoguava da uzastopno aljete pakete sa zadatim vremenskim intervalom izmeu dva slanja. Kada vrednost tog intervala postavite na 0 ili 1, moi eteda skenirate mreu klase C i da razreite imena raunara za manje od sedam sekundi. Paljivo koristite ove alatke jer lako moete da zaguite vezu, kao to je ISDN linija od 128 K ili Frame Relay (da ne pominjemo satelitske ili IR veze).

Od ostalih uslunih programa za automatsko skeniranje signalom ping iz Windowsa pomenimo

WS_Ping ProPack (www.ipswitch.com) i NetScanTools (www.nwpsw.com). Te alatke su dobre za skeniranje malih mrea, ali rade znatno sporije od programa Pinger ili Ping Sweep. Iako su zbog grafikog radnog okruenja ugodniji za oko, WS_Ping ProPack i NetScanTools imaju ograniene mogunosti skriptovanja i automatizovanja.

ta se dogaa ako ciljna lokacija blokira protokol ICMP? Nije retkost da nai?ete na lokaciju o ijoj bezbednosti se vodi rauna i zato je protokol ICMP blokiran na spoljnom mrenom usmerivau ili na zatitnoj barijeri. Iako je protokol ICMP blokiran, postoje alatke i tehnike pomou kojih ipak moete da utvrdite da li su sistemi iza barijere ivi. One, meutim, nisu precizne ni efikasne kao uobiajeni postupak automatskog skeniranja signalom ping.

Kada je saobraaj koji se odvija protokolom ICMP blokiran, prva tehnika koju ete upotrebiti da biste utvrdili jesu li raunari ivi bie skeniranje prikljuaka (engl. port scanning). (Skeniranje prikljuaka emo detaljnije objasniti u nastavku poglavlja.) Skeniranjem svih uobiajenih prikljuaka na potencijalnim IP adresama moemo da prona?emo ive raunare ukoliko na ciljnom sistemu moemo da otkrijemo otvorene prikljuke, odnosno one koji oslukuju. Opisana tehnika je spora i ne daje uvek nedvosmislen rezultat. Jedna od alatki koja se koristi za ovakvo skeniranje prikljuaka jeste program nmap. Ranije smo pomenuli da nmap podrava ICMP skeniranje. Meutim, on ima i napredniju opciju, TCP ping scan (TCP skeniranje). Ona se aktivira parametrom -PT i brojem prikljuka, a najee je to 80, jer se obino doputa prolaz od spoljnih usmerivaa ili kroz glavnu zatitnu barijeru do tog prikljuka sistema u demilitarizovanoj zoni (DMZ). Ova opcija e omoguiti slanje paketa TCP ACK ka ciljnoj mrei i ekati paket RST koji oznaava da je raunar iv. Pretpostavlja se da e ACK paketi lake proi kroz zatitnu barijeru koja ne uva informacije o stanju sesije.

[tsunami] nmap -sP -PT80 192.168.1.0/24

TCP probe port is 80

Starting nmap V. 2.53



Host shadow (192.168.1.10) appears to be up.








Nmap run completed (10 hosts up) scanned in 5 seconds

Kao to vidite, ova metoda efikasno utvruje da li je sistem iv ak i kada su blokirani ICMP paketi. Dobro je pokuati skeniranje uobiajenih prikljuaka kao to su SMTP (25), POP (110), AUTH (113), IMAP (143), ali i drugih prikljuaka koji su jedinstveni za ciljnu lokaciju.

Hping (http://www.kyuzz.org/antirez/) jo je jedan usluni program za TCP skeniranje, a ima vie TCP mogunosti od programa nmap . Hping korisniku omoguava da upravlja specifinim opcijama TCP paketa i da paket tako podesi da pro?e kroz odre?ene ure?aje za kontrolu pristupa. Kada odredini prikljuak zadate uz opciju -p, moi ete da zaobi?ete izvesne ureaje za kontrolu pristupa, to je slino tehnici koja se izvodi pomou programa traceroute (opisan je u poglavlju 1). Hping se moe upotrebiti za automatsko TCP skeniranje, a usitnjeni paketi koje alje mogu da zaobiu pojedine ureaje za kontrolu pristupa.

[tsunami] hping 192.168.1.2 -S -p 80 -f

HPING 192.168.1.2 (eth0 192.168.1.2): S set, 40 data bytes

60 bytes from 192.168.1.2: flags=SA seq=0 ttl=124 id=17501 win=0 time=46.5

60 bytes from 192.168.1.2: flags=SA seq=1 ttl=124 id=18013 win=0 time=169.1

U izvesnim sluajevima, jednostavni ureaji za kontrolu pristupa ne mogu pravilno da obrade usitnjene pakete, pa ih proputaju i tako im omoguavaju da utvrde da li je ciljni sistem iv. Obratite panju na to da se, kad god je prikljuak otvoren, vraaju indikatori TCP SYN (S) i TCP ACK (A). Hping se lako moe integrisati u skriptove komandnog okruenja pomou opcije za brojanje paketa -cN, gde N oznaava broj paketa koji se alju pre nego to se nastavi. Iako ova metoda nije brza kao neke metode automatskog ICMP skeniranja koje smo ranije opisali, moda ete morati da je primenite zbog specifinosti konfiguracije ciljne mree. O programu hping vie rei bie u poglavlju 11.

Poslednja alatka koju emo analizirati jeste icmpenum firme Simple Nomad (http://www.nmrc.org/files/sunix/icmpenum-1.1.1.tgz). To je zgodan programi za ICMP popisivanje koji omoguava da brzo identifikujete ive sisteme tako to alje uobiajene ICMP pakete ECHO, ali i ICMP zahteve TIME STAMP, odnosno ICMP zahteve INFO. Ako obodni usmeriva ili zatitna barijera spree ulazak paketa ICMP ECHO, jo uvek moemo da identifikujemo sistem pomou drugih ICMP tipova:

[shadow] icmpenum -i2 -c 192.168.1.0

192.168.1.1 is up

192.168.1.10 is up

192.168.1.11 is up

192.168.1.15 is up

192.168.1.20 is up

192.168.1.103 is up

U ovom primeru smo izlistali celu mreu 192.168.1.0 klase C koristei ICMP zahtev TIME STAMP. Meutim, prava snaga programa icmpenum je u tome to on moe da identifikuje sisteme aljui im maskirane pakete koji izmiu otkrivanju. To je mogue zato to on podrava maskiranje paketa opcijom -s i pasivno oslukuje odgovore pomou parametra -p.

Ukratko, ovaj korak nam omoguava da ive sisteme otkrijemo slanjem ICMP paketa ili selektivnim skeniranjem prikljuaka. Od 255 moguih adresa unutar opsega klase C, utvrdili smo da je nekoliko raunara ivo i njih emo detaljno ispitati. Na taj nain smo prilino smanjili ciljni skup, utedeli vreme i suzili fokus naih aktivnosti.

Zatita od automatskog skeniranja signalom ping

Iako automatsko skeniranje moe da vam lii na bezopasno dosa?ivanje, veoma je vano da takvu aktivnost otkrijete ukoliko se dogodi. U zavisnosti od strategije vaeg sistema bezbednosti, moda ete automatsko skeniranje hteti i da blokirate. U nastavku razmatramo obe opcije.

Otkrivanje Kao to smo naglasili, mapiranje mree automatskim skeniranjem proverena je metoda upoznavanja mree pre stvarnog napada. Zbog toga je otkrivanje te aktivnosti presudno za prepoznavanje potencijalnog napadaa i vremena mogueg napada. Osnovnu metodu za otkrivanje automatskog skeniranja nude programi za otkrivanje upada kao to je snort (http://www.snort.org).

Na raunarima takve napade moe da otkrije i zabelei nekoliko UNIX-ovih uslunih programa. Ako prepoznate ICMP pakete ECHO koji stiu iz odre?enog sistema ili mree, to moe da znai da neko pokuava da upozna mreu vae lokacije. Posvetite toj aktivnosti dunu panju jer uskoro moe da usledi pravi napad.

Windowsovi programi za otkrivanje skeniranja signalom ping prilino su retki. Me?utim, postoji erverski/besplatan program Genius, vredan panje. Aktuelna verzija je 3.1 i moe se nai na adresi http://www.indiesoft.com. Genius ne otkriva skeniranje sistema ICMP paketima ECHO, nego skeniranje odreenog TCP prikljuka. Komercijalno reenje za otkrivanje TCP skeniranja prikljuka jeste program BlackICE, firme Network ICE (www.networkice.com). Taj proizvod je mnogo vie od pukog detektora TCP skeniranja prikljuka, ali se moe upotrebiti i u tu svrhu. U tabeli 2-1 pobrojane su i druge alatke za otkrivanje skeniranja pomou kojih moete uspenije da nadgledate svoj sistem.

Spreavanje Premda je otkrivanje automatskog skeniranja signalom ping neophodan korak, njegovo spreavanje - koliko god je mogue - jo je bolje. Preporuujemo da paljivo odmerite koju ete vrstu ICMP saobraaja dozvoliti u svojim mreama ili na odre?enim sistemima. Postoji vie tipova ICMP paketa - ECHO i ECHO_REPLY su samo dva od njih. Mnogim lokacijama nisu potrebne sve vrste ICMP saobraaja ka svim sistemima koji su direktno povezani na Internet. Iako skoro svaka zatitna barijera moe da sprei prolazak ICMP paketa, iz organizacionih razloga moe da bude neophodno da se omogui prolaz izvesnim paketima. Ako takva potreba postoji, paljivo razmotrite kojim ete vrstama ICMP paketa odobriti prolazak. Minimalistiki pristup bi podrazumevao da u demilitarizovanu zonu mree propustite samo ICMP pakete ECHO_REPLY, HOST_UNREACHABLE i TIME_EXCEEDED. Ukoliko ICMP saobraaj moe pomou lista za kontrolu pristupa da se ogranii samo na specifine IP adrese vaeg dobavljaa usluga Interneta, to reenje je jo bolje. Time ete dobavljau omoguiti da proverava povezivanje, a u izvesnoj meri

Tabela 2-1. Neke od UNIX-ovih alatki za otkrivanje skeniranja signalom ping

Program Izvor Scanlogd http://www.openwall.com/scanlogd Courtney 1.3 http://packetstorm.securify.com/UNIX/audit/courtney-1.3.tar.Z Ippl 1.4.10 http://pltplp.net/ippl/

Protolog 1.0.8 http://packetstorm.securify.com/UNIX/loggers/ protolog-1.0.8.tar.gz

ete obeshrabriti pokuaje ICMP skeniranja sistema direktno povezanih s Internetom.

ICMP je moan protokol za dijagnostikovanje problema na mrei, ali se lako moe i zloupotrebiti. Omoguavanje neometanog ICMP saobraaja kroz vae granine mrene prolaze dozvoljava zlonamernicima da izvedu tzv. napad radi uskraivanja usluga (na primer, Smurf). Jo je gore to e napadai, ako stvarno ugroze jedan od vaih sistema, moi da se na mala vrata uvuku u operativni sistem i u njega ubace maskirane podatke unutar ICMP paketa ECHO, sluei se programom kao to je loki. Vie detalja o programu loki potraite u asopisu Phrack Magazine, tom 7, broj 51 od 1. septembra 1997. lanak 06 (http://www. phrack.org/show.php?p=51&a=6).

Druga zanimljiva ideja, koju je razvio Tom Ptacek a u Linuxu realizovao Mike Shiffman, jeste korisnika usluga pingd. Ona obrauje sav saobraaj ICMP paketa ECHO

Documents

Hakerske tajne