Rozdział 11.
TigerSuite
— kompletny pakiet narzędzi do badania
i ochrony sieci

W niniejszym rozdziale przedstawimy pakiet narzędzi pomocny w analizie zabezpieczeń — pozwalający badać, testować i zabezpieczać komputery i sieci przed różnymi lukami w mechanizmach ochronnych. Po poznaniu ich technologia zabezpieczeń nie powinna już być tak tajemnicza, czy to dla specjalisty IT, czy też zainteresowanego amatora. TigerSuite stanowić ma kompletny zestaw narzędzi przeznaczonych dla osób prywatnych, firm, administratorów i menedżerów zainteresowanych bezpieczeństwem swoich sieci. Wzięto pod uwagę zarówno zagrożenia zewnętrzne, jak i tworzone przez pracowników firmy (lub osoby mające dostęp „od wewnątrz”). W chwili pisania tego tekstu TigerSuite jest pierwszą próbą zebrania tak całościowego zestawu narzędzi bezpieczeństwa sieciowego.

Terminologia

Zanim rozpoczniemy omówienie działania pakietu, powinieneś zapoznać się z kilkoma definicjami.

Rozpoczniemy od pojęcia tiger team — „drużyna tygrysa”. Początkowo określano w ten sposób grupę specjalistów wynajętych do zbadania ochrony granic systemu oraz testowania i analizy wewnętrznych zasad bezpieczeństwa w firmie. Ich zadaniem było włamywanie się do systemów komputerowych, telefonicznych i sejfów — wszystko to w celu ukierunkowania dalszych modyfikacji struktury zabezpieczeń.

Określenie to obecnie wyewoluowało i używane jest w odniesieniu do wszelkich oficjalnych grup, przeprowadzających audyty i inne operacje związane z zabezpieczeniami przedsiębiorstw. Jedynie część spośród nich tworzą profesjonalni hakerzy i crackerzy, badający implementacje systemów komputerowych właśnie w drodze włamań, których celem jest sieć lub inne zabezpieczane kanały komunikacyjne. Tiger team wzywa się również do badania spójności kodu programów. Wiele firm produkujących oprogramowanie zatrudnia zewnętrzne firmy i specjalistów, aby przeprowadziły testy ich produktów, zanim trafią na rynek.

Wraz ze wzrostem gęstości otaczających nas sieci coraz większe jest zagrożenie, że konkurent, szpieg, rozczarowany pracownik czy rozbrykany nastolatek posunie się do kradzieży poufnych danych albo mniej lub bardziej przemyślanego sabotażu. Internet i WWW otwarły duże pole do popisu osobom pragnącym włamać się do lokalnych sieci przedsiębiorstw. Z doświadczenia autora wynika, że około 85 procent przyłączonych do Internetu sieci jest wrażliwych na takie ataki. Ciągły postęp technologiczny jedynie zwiększa niebezpieczeństwo. Krótko mówiąc, włamanie do sieci lokalnej jest jak najbardziej realnym zagrożeniem dla każdej korzystającej z łączy WAN firmy.

Stąd właśnie wzięły się, stosowane zarówno przez hakerów, jak i członków tiger teams, zestawy TigerBox — komputery wyposażone w kolekcje narzędzi do monitorowania, podrabiania adresów, łamania haseł, skanowania i analizowania podatności na włamania. Mają one pomagać w wykryciu wszelkich luk umożliwiających przeprowadzenie skutecznego włamania do systemu.

Najważniejszym elementem TigerBox są systemy operacyjne. Dobrze przygotowany zestaw TigerBox pozwala pracować zarówno w środowisku UNIX, jak i Windows. Zbiory odpowiednich narzędzi przeznaczonych dla „okienek” wciąż nie są tak popularne, jak dla systemu UNIX. Platforma Microsoftu staje się przez to jeszcze bardziej interesująca. Jak wiadomo, UNIX to system operacyjny o dużych możliwościach, opracowany w AT&T Bell Laboratories pod kątem środowisk naukowych, inżynierskich i akademickich. Z natury jest to system wielozadaniowy, przystosowany do wielu użytkowników, a zarazem elastyczny i „przenośny”. Zapewnia obsługę poczty elektronicznej, pracę w sieci, narzędzia do tworzenia programów, przetwarzania tekstu i wspomagające pracę naukową. W ciągu wielu lat rozwoju najróżniejszych odmian systemu wykształciły się jego dwie podstawowe rodziny: UNIX System V firmy AT&T i Berkeley Software Distribution (BSD) z University of California w Berkeley. Silny jest również trend rozwojowy Linuksa, bardzo często stosowanego właśnie jako platforma dla różnych zestawów TigerBox. Zapewnia bezpośredni dostęp do wiersza poleceń systemu i swobodę doboru kompilowanych składników. Większość przedstawionych w tej książce przykładów można skompilować w Linuksie.

Współcześnie system Linux spotkać można w najróżniejszych dystrybucjach oferowany przez różne firmy. Jako najbardziej znane zestawy dystrybucyjne wyróżnić można: RedHat Linux (www.redhat.com), Slackware (www.slackware.org), Debian (www.debian.org), TurboLinux (www.turbolinux.com), Mandrake (www.linux-mandrake. com), SuSe (www.suse.com), Trinux (www.trinux.org), MkLinux (www.mklinux.org), LinuxPPC (www.linuxppc.org), SGI Linux (http://oss.sgi.com/projects/sgilinux11), Caldera OpenLinux (www.caldera.com), Corel Linux (http://linux.corel.com) i Stampede Linux (www.stampede.org).

Zainstalowanie boot-managera umożliwia uruchamianie na jednym komputerze w zależności od potrzeb jednego z dwóch lub więcej systemów operacyjnych (warto pamiętać, że Windows wygodniej będzie zainstalować jako pierwszy). W czasie pisania tego tekstu najbardziej stabilnymi i wszechstronnymi wersjami Windows są Windows 98 Second Edition i Windows ME (Windows 2000 jest jeszcze w fazie testów). Najwyższe oceny w kręgu systemów Linux zbiera RedHat Linux (www.redhat.com). W prosty sposób można więc przygotować konfigurację, w której inicjalizacja z dysku twardego prowadzi do uruchomienia Windows, a z dyskietki — Linuksa.

Użytkownicy mniej doświadczeni powinni zaopatrzyć się w dodatkowy program, ułatwiający korzystanie z wielu systemów operacyjnych i wyposażony w interfejs graficzny, na przykład BootMagic firmy PowerQuest (www.powerquest.com/products/ index.html).

Wymagania sprzętowe komputera, na którym zainstalujemy TigerBox, zależą od tego,0w jakim zakresie system będzie wykorzystywany. Czy będziemy tworzyć programy? Czy korzystamy z gier? Jako wymagania minimalne, wystarczające w większości zastosowań, wskazać można:

• Procesor: Pentium 160+.

• RAM: 64 MB.

• HDD: 8 GB.

• Karta graficzna i monitor: rozdzielczość co najmniej 1024×768.

• Sieć: dwie karty sieciowe, z których przynajmniej jedna obsługuje tryb pasywny lub odbierania (w trybie odbierania jawnie nakazujemy przechwytywanie wszystkich pakietów w sieci bez względu na to, kto jest ich adresatem).

• Inne: mysz trójklawiszowa, CD-ROM, stacja dyskietek.

Wprowadzenie

Opracowany z użyciem zastrzeżonych technologii pakiet TigerSuite jest kompletnym zestawem narzędzi niezbędnych do przeprowadzenia profesjonalnej analizy zabezpieczeń — rozumianej jako ataki, w których przeprowadzamy rozpoznawanie, skanowanie, penetrację, przejęcie kontroli, szpiegowanie, zalewanie, podrabianie adresów, przechwytywanie pakietów, zarażanie, raportowanie, monitorowanie i inne podobne czynności. W porównawczym teście wydajności z września 2000, przeprowadzonym przez ValCom Engineers (www.pccval.com), gdzie wzięte zostały pod uwagę różnorodne komercyjne programy do rozpoznawania i skanowania portów, w prostym skanowaniu 1000 portów, Tiger Tools osiągnęły wynik krótszy niż 1 minuta, podczas gdy średni czas pozostałych narzędzi wynosił 35 minut. W podsumowaniu wyników autorzy testu określają Tiger Tools jako „budzące respekt”.

Prawne implikacje korzystania z TigerBox O ile mi wiadomo, pierwszym aktem prawnym, który jawnie zabrania włamań do systemów komputerowych, jest Federal Fraud and Computer Abuse Act z roku 1986, wprowadzony ze względu na istniejące wcześniej luki legislacyjne. Już z pierwszej części tego dokumentu dowiemy się, że świadomy dostęp do komputera bez upoważnienia i uzyskiwanie informacji z zamiarem szkodzenia Stanom Zjednoczonym lub czerpania korzyści dla innego kraju jest ciężkim przestępstwem. Chroniona jest tu każda informacja, którą inna ustawa lub rozporządzenie określa jako kluczową dla bezpieczeństwa państwa lub stosunków międzynarodowych. Dodatkowo, w dalszych punktach zabroniony jest również nieuprawniony dostęp do informacji agencji finansowych i badania rynku, gdy w operacji wykorzystywany jest komputer związany z rządem federalnym. Pierwszym zakończonym skazaniem procesem opartym na tej ustawie była sprawa „United States vs. Robert Tappan Morris” (nr 774, sygn. 90-1336, Sąd Apelacyjny Stanów Zjednoczonych, Obwód Drugi, 4.12.1990-7.03.1991). Dotyczył on typowego włamania i spowodowanych nim szkód. Skazanie oparte zostało na wspomnianej sekcji (a) ustawy, czyniącej ciężkie przestępstwo z zamierzonego i nieuprawnionego dostępu do każdego komputera związanego z rządem federalnym oraz modyfikowania i niszczenia informacji, a także utrudniania dostępu uprawnionego, gdy czynności te prowadzą do strat o wartości co najmniej 1000 dolarów. Jesienią 1988 roku Morris był studentem pierwszego roku informatycznych studiów doktoranckich na Cornell University. W trakcie wcześniejszych studiów na Harvard University, jak również pracując, zdobył znaczne doświadczenie i umiejętności. Wraz z przyjęciem do Cornell University uzyskał konto na wydziale informatyki, co dało mu prawo korzystania z komputerów uniwersyteckich. Następnie prowadził wiele rozmów z innymi studentami na temat bezpieczeństwa sieci i możliwości jej penetracji. W październiku 1988 roku Morris rozpoczął pracę nad programem komputerowym, znanym później jako „robak” czy też „wirus” internetowy. Jego celem było wykazanie braków w obecnych systemach bezpieczeństwa sieci komputerowych. Miało do tego prowadzić włamanie oparte na wykrytych przez Morrisa lukach. „Robak” miał rozpowszechnić się na wszystkich komputerach w sieciach komputerowych USA, poczynając od jednej tylko lokalizacji pierwotnej. Trafił ostatecznie do Internetu i kilku sieci krajowych, łączących komputery uniwersyteckie, rządowe i wojskowe. Łącza sieciowe umożliwiły jego szerokie rozpowszechnienie. Dążeniem Morrisa było samo rozpowszechnienie programu, bez przyciągania nań uwagi. Miał wykorzystywać minimalną ilość czasu procesora i nie utrudniać normalnego użytkowania komputera. Wprowadzone zostały odpowiednie zabezpieczenia przed wykryciem i odczytaniem kodu „robaka”. Autor zadbał również o to, aby program nie zarażał ponownie komputera już raz „zdobytego” — ułatwiałoby to wykrycie i utrudniało korzystanie z systemu. Stąd też przesyłane do każdego kolejnego komputera „pytanie”, czy jest już zarażony, Prawne implikacje korzystania z TigerBox (ciąg dalszy) czy nie. Warunkowało ono przenoszenie kodu. Morris obawiał się jednak, że inni programiści łatwo „zabiją” jego dzieło, przygotowując komputery, aby zawsze odpowiadały „tak”. Zapewniałoby to ochronę przed przyjęciem „robaka”. Rozwiązaniem miało być kopiowanie programu na co siódmy komputer, który odpowiedział „tak”. Jak się okazało, Morris znacznie nie docenił liczby namnożeń. Współczynnik 1:7 nie uchronił przed gromadzeniem się wielu kolejnych wersji w jednym systemie. Nie uchroniła przed tym nawet funkcja autodestrukcji podczas zamykania systemu. I ona miała zabezpieczać przed akumulacją „robaka” w komputerach obsługujących sieć. Morris ustalił cztery drogi „robaka” do kolejnych systemów w sieci: pierwszą przez lukę w programie sendmail, służącym do przesyłania poczty elektronicznej między komputerami; drugą przez lukę w programie demona usługi Finger, umożliwiającego uzyskiwanie informacji o użytkownikach innego komputera; trzecią dzięki funkcji „stacji zaufanych” (trusted hosts), umożliwiającej użytkownikowi o określonych uprawnieniach na jednym komputerze, korzystać z równoważnych na innym; czwartą dzięki procedurze odgadywania haseł, próbującej wykorzystać różne kombinacje znaków w nadziei, że jedna z nich okaże się hasłem użytkownika. 2. listopada 1988 roku Morris wprowadził „robaka” na komputer w Massachusetts Institute of Technology, co miało oczywiście ukryć jego pochodzenie z Cornell University. Szybko stwierdził, że „robak” namnaża się i zaraża wielokrotnie komputery ze znacznie większą szybkością niż przewidywana. Komputery w całych Stanach Zjednoczonych zaczęły zawieszać się lub znacznie zmniejszyły możliwości przetwarzania. Widząc co się dzieje, Morris skontaktował się ze swoim kolegą z Harvardu, aby omówić problem. Wynikiem było rozesłanie z Harvard University anonimowej wiadomości z instrukcjami dla programistów, jak niszczyć „robaka” i zabezpieczać komputery przed ponownymi infekcjami. Sieć była już jednak przeciążona i wiadomość została rozesłana zbyt późno, aby spełnić swoje zadanie. Zarażone zostały komputery w najróżniejszych ośrodkach w USA, łącznie z największymi uniwersytetami, instalacjami wojskowymi i naukowymi placówkami medycznymi. W każdym z nich koszt walki z „robakiem” oceniono na kwotę od 200 do 53 000 dolarów. Morris został uznany za winnego na podstawie ustępu (a)(5)(A) wspomnianej ustawy i skazany na trzy lata wyroku w zawieszeniu, 400 godzin służby publicznej, grzywnę wysokości 10 050 dolarów oraz pokrycie kosztów sądowych. Proces był demonstracją zdolności systemu prawnego USA do ścigania naruszających interes państwa przestępstw komputerowych. W kolejnych latach rząd federalny USA niechętnie już korzystał z tej ustawy, prawdopodobnie dlatego, że większość stanów również dopasowała swoje ustawodawstwo i Kongres rozważa przeniesienie jurysdykcji przestępstw komputerowych do sądów stanowych. Może być więc wskazane, aby zapoznać się z lokalnym stanem prawnym i tym, jak traktowane są różnego rodzaju badania konfiguracji systemów, włamania czy analiza zabezpieczeń.

Instalacja

Z TigerSuite korzystać można na dwa sposoby: po zainstalowaniu pakietu na dysku twardym lub bez instalacji, uruchamiając wersję „przenośną”. W pierwszym przypadku wykorzystywany jest program instalacyjny z dysku CD-ROM, który kopiuje pliki i uzupełnia menu Start. Wersja przenośna uruchamiana jest bezpośrednio z dysku optycznego poleceniem TSmobile.EXE. Pozwoliło na to wykorzystanie techniki przenośnej modularyzacji bibliotek. Jest to wygodna cecha, nie wymaga bowiem zmiany konfiguracji PC i nie zajmuje miejsca na dysku.

Instalowanie pakietu na dysku

Zainstalowanie TigerSuite na dysku zajmuje tylko kilka minut. Program instalacyjny (załączony na CD-ROM-ie) automatycznie instaluje, konfiguruje i inicjalizuje wersję próbną pakietu.

Minimalne wymagania instalacji opisujemy poniżej.

• System operacyjny: Windows NT Workstation 4.0, Windows NT Server 4.0, Windows 95, Windows 98, Windows ME lub Windows 2000.

• Service Pack: dowolny.

• Procesor: Pentium lub lepszy.

• Pamięć: 16 MB lub więcej.

• Miejsce na dysku twardym: 10 MB.

• Połączenie sieciowe/internetowe: 10Base-T, 100Base-T, Token Ring, ATM, xDSL, ISDN, modem kablowy lub zwykłe połączenie modemowe korzystające z protokołu TCP/IP.

Procedurę instalacji podzielić można na 6 kroków.

1. Uruchamiamy TSsetup.EXE. Program instalacyjny rozpoczyna pracę od rozpakowania i weryfikacji plików. Jeżeli wykryta zostanie zainstalowana wcześniej wersja TigerSuite, starsze pliki zostaną automatycznie zastąpione. Wyświetlany jest ekran powitalny (patrz rysunek 11.1).

Rysunek 11.1. Ekran powitalny pakietu TigerSuite

2. Klikamy Next (Dalej).

3. Przeglądamy umowę licencyjną. Wymagana jest zgoda na warunki umowy, którą potwierdza kliknięcie Yes. Kliknięcie No spowoduje przerwanie instalacji. Oto fragment:

Niniejsze oprogramowanie sprzedawane jest wyłącznie dla celów informacyjnych. Zawiera informacje i narzędzia służące do przeprowadzania profesjonalnych audytów zabezpieczeń. Autorzy i dystrybutorzy nie ponoszą odpowiedzialności za sposób ich wykorzystania. Oprogramowanie i towarzyszące mu pliki sprzedawane są w stanie takim, w jakim znajdują się w chwili sprzedaży, bez gwarancji dotyczących poprawności działania lub użyteczności, jak również jakichkolwiek innych, jawnych lub niejawnych. Mimo że podjęte zostały wszelkie wysiłki, aby przedstawiane informacje były dokładne i aktualne, nie bierzemy odpowiedzialności za dokładność, aktualność czy kompletność danych i użytkownik nie powinien traktować ich jako pewne. Korzystając z oprogramowania, użytkownik zgadza się, że zawarte w nim informacje i usługi dostarczone zostały w stanie takim, w jakim znajdowały się w chwili sprzedaży i w zakresie w jakim były dostępne, bez gwarancji jawnych lub niejawnych, i korzysta z nich na własne ryzyko. Korzystając z dowolnej części oprogramowania, użytkownik zgadza się nie rozpowszechniać żadnych zawartych w nim informacji. Nie ponosimy odpowiedzialności za żadne szkody lub koszty wynikające z użycia oprogramowania czy w jakikolwiek sposób z nim związane. Użytkownik zgadza się, że żaden z autorów lub dystrybutorów oprogramowania, jak również żadna strona biorąca udział w jego tworzeniu lub dostarczaniu, nie ponosi odpowiedzialności za bezpośrednie, pośrednie, przypadkowe lub prawnie karane szkody związane z informacjami, oprogramowaniem i treścią zawartą w oprogramowaniu lub w inny sposób uzyskaną za pośrednictwem tego oprogramowania.

4. Wprowadzamy informacje o użytkowniku (patrz rysunek 11.2). Podajemy nazwisko i (lub) nazwę firmy i klikamy Next (Dalej).

Rysunek 11.2. Wprowadzanie informacji o użytkowniku

5. Sprawdzamy ścieżkę docelową instalacji (patrz rysunek 11.3). Aby zmienić lokalizację, klikamy Browse i wybieramy odpowiadający nam katalog. Klikamy Next (Dalej).

Rysunek 11.3. Wybieranie lokalizacji docelowej

6. Potwierdzamy gotowość do kopiowania plików. Program instalacyjny zgromadził niezbędne informacje i jest gotowy do kopiowania plików pakietu. Wyświetlane jest podsumowanie zebranych we wcześniejszych krokach danych. Aby zmienić dowolne z nich, klikamy Back (Wstecz). Kliknięcie Next (Dalej) spowoduje rozpoczęcie kopiowania plików. W trakcie operacji monitorowany jest jej postęp oraz zasoby systemu (patrz rysunek 11.4). W przypadku pojawienia się problemów wyświetlany jest odpowiedni komunikat.

Rysunek 11.4. Monitorowanie kopiowania plików

Po zakończeniu pracy instalatora TigerSuite można uruchomić zgodnie ze wskazówkami zawartymi w podrozdziale pt. „Uruchamianie wersji przenośnej”.

Uruchamianie wersji przenośnej

Aby uruchomić TigerSuite bezpośrednio z dysku CD, postępujemy następująco.

1. Uruchamiamy TS.EXE z katalogu Mobile. Program rozpoczyna pracę i funkcjonuje tak samo jak w sytuacji, gdy został wcześniej zainstalowany (patrz rysunek 11.5). W przypadku gdy program jest zainstalowany na dysku twardym, korzystamy z polecenia menu Start | Programs (Programy) | TigerSuite | TS. Po wykonaniu procedur inicjalizacyjnych TigerSuite pozostaje w pamięci jako aplikacja tła, sygnalizowana ikoną na pasku zadań.

7. Klikamy ikonę TigerSuite na pasku zadań (znajdziemy ją koło zegara systemowego). Wyświetlane jest menu (patrz rysunek 11.6). Uwaga: zamknięcie wszystkich otwartych wcześniej modułów pakietu nie powoduje zamknięcia TigerSuite; zamknięte zostają jedynie poszczególne moduły i praca funkcji monitorowania. Aby całkowicie zakończyć pracę TigerSuite, konieczne jest zamknięcie przy użyciu polecenia Exit and Unload TigerSuite, dostępnego w menu ikony na pasku zadań.

Rysunek 11.5. Inicjalizowanie pakietu TigerSuite
Rysunek 11.6. Uruchamianie modułów TigerSuite

Moduły

Na zestaw modułów pakietu składają się narzędzia do monitorowania stanu systemu i połączeń sieciowych, zapewniające dostarczenie danych i statystyk związanych z urządzeniami, systemem operacyjnym i pracą sieciową pomocnych zarówno przed, jak i po przeprowadzeniu analizy zabezpieczeń. Są również bezcennym uzupełnieniem (opisywanego dalej) zestawu TigerBox Toolkit, wspomagając kompleksowe i profesjonalne audyty zabezpieczeń.

Moduły grupy System Status

Moduły System Status (Stan systemu) aktywujemy kliknięciem ikony TigerSuite na pasku zadań, a następnie odpowiedniej pozycji menu System Status (patrz rysunek 11.7).

Rysunek 11.7. Uruchamianie modułów System Status

Moduły grupy Hardware

Kategoria Hardware (Sprzęt) (patrz rysunek 11.8) zawiera następujące moduły: Cmos Contents, Drives (Disk Space i Volume Info), Memory, Power i Processor. W kategorii Internetworking znajdziemy statystyczne analizatory komunikacji sieciowej: IP, ICMP, Network Parameter, TCP i UDP.

Rysunek 11.8. Moduły informacji o urządzeniach

Oto krótkie opisy modułów grupy Hardware.

• CMOS Contents (Zawartość pamięci CMOS).Widoczny na rysunku 11.9 moduł dostarcza kluczowych informacji z pamięci CMOS (nieulotnej pamięci RAM, CMOS to skrót od complementary metal oxide semiconductor i jest nazwą technologii półprzewodników stosowanej w układach scalonych komputerów). W pamięci tej znajdziemy istotne przy rozwiązywaniu problemów informacje, głównie związane z charakterystyką urządzeń i wykorzystywanymi przez nie adresami pamięci oraz numerami IRQ. Mogą one być potrzebne również przed zainstalowaniem docelowego systemu operacyjnego.

• Drives: Disk Space i Volume Info (Dyski: Dostępne miejsce, Informacje o woluminach). Przedstawione na rysunku 11.10 moduły dostarczają istotnych informacji statystycznych o bieżącym stanie dysku oraz konfiguracji woluminu. Dzięki nim uzyskamy komplet danych o partycjach komputera.

Rysunek 11.9. Moduł Cmos Contents
Rysunek 11.10. Moduły informacji o dyskach

• Memory Status (Dane pamięci), Power Stats (Informacje o zasilaniu) i Processor Info (Informacje o procesorze). Moduły przedstawione na rysunku 11.11 dostarczają ogólnych informacji o pamięci, systemie zasilania i procesorze, użytecznych na każdym etapie analizy zabezpieczeń i praktycznego sprawdzania odporności systemu. Na podstawie uzyskanych w ten sposób danych ustalić można dopuszczalne obciążenie systemu: liczbę wątków skanujących lub modułów rozpoznawania systemów czy liczbę sprawdzanych jednocześnie adresów sieciowych.

Rysunek 11.11. Moduły informacji o pamięci i procesorze

Moduły grupy Internetworking

Moduły dostarczające danych o pracy sieci otwieramy, korzystając z podmenu widocznego na rysunku 11.12. Jest to zestaw snifferów, czyli analizatorów komunikacji sieciowej, narzędzi bezcennych przy badaniu problemów z siecią. Pozwalają one uzyskać informacje o tym, jakiego rodzaju pakiety faktycznie są między węzłami sieci przesyłane. Każde z tego zestawu prostych narzędzi przechwytuje z przyłącza sieciowego (karty lub modemu) wszelkie dane przychodzące i wychodzące, przedstawiając ich zestawienie w postaci tabeli.

Rysunek 11.12. Uruchamianie modułów analizy komunikacji sieciowej

Oto opisy modułów.

• IP Stats (Statystyki IP). Zestawienia statystyczne reprezentujące obsługę tras IP, wymianę datagramów, stosowanie fragmentacji, powtórne łączenie pakietów oraz błędy w nagłówkach (patrz rysunek 11.13). Przypomnijmy, zadaniem protokołu IP jest łączenie sieci w sposób pozwalający na wymianę pakietów w całym obszarze Internetu. Składają się nań dane adresowe i sterujące, decydujące o wyborze odpowiednich tras czy też marszrut pakietów. Wyposażenie realizujące obsługę pakietów IP odczytuje ich nagłówki, których zawartość decyduje o dalszej wędrówce danych. W trakcie jej trwania nagłówki są również modyfikowane. Datagram IP to podstawowa jednostka danych w Internecie, jednak dla zapewnienia obsługi łączy o różnych jednostkach przesyłania wymagany może być jej dalszy podział, po którym zawsze musi nastąpić ponowne zestawienie datagramu w całość. W skład pakietu wchodzą dane sterujące (specyfikacja trasy) oraz dane użytkownika. Informacje te mogą zostać skopiowane, zmodyfikowane lub zastąpione fałszywymi.

Rysunek 11.13. Moduł statystyk IP

• ICMP Stats (Statystyki ICMP). Zestawienia, które reprezentują przychodzące (In) i wychodzące (Out) komunikaty ICMP (patrz rysunek 11.14). Są one najczęściej wykorzystywane w atakach związanych z przeciążaniem pakietami (flooding) i podrabianiem adresów (spoofing). Internetowy protokół informacji sterujących służy do przesyłania komunikatów o błędach i innych istotnych dla funkcjonowania sieci informacji na adres wyróżnionej stacji gromadzącej dane lub źródła żądania ICMP. Stacje i wyposażenie sieciowe wykorzystują protokół do wymiany różnorodnych informacji sterujących, związanych z przetwarzaniem pakietów IP. Kapsułkowanie komunikatów ICMP przebiega dwuetapowo: komunikaty umieszczane są w datagramach IP, a te z kolei w przesyłanych przez sieć ramkach. Komunikacja ICMP podlega podobnym ograniczeniom niezawodności co komunikacja datagramowa — komunikaty błędów ICMP mogą więc ulegać duplikowaniu lub zagubieniu.

Rysunek 11.14. Moduł statystyk ICMP

• Network Parameters (Parametry sieci). W tym module znajdziemy skrót podstawowych informacji, użytecznych podczas sprawdzania poprawności konfiguracji podrabiania adresów oraz aktualnych ustawień sieci i routingu.

• TCP Stats (Statystyki TCP). Protokół IP ma wiele słabych stron, z których jako podstawową wymienić należy zawodność dostarczania pakietów (mogą one zostać odrzucone w wyniku błędów transmisji, niewłaściwych tras czy obniżenia przepustowości). Protokół TCP pozwala zaradzić tego rodzaju problemom, zapewniając gwarantowaną komunikację opartą na strumieniach danych. Ten właśnie protokół, uzupełniający funkcje protokołu IP, określić można jako rdzeń całej rodziny TCP/IP. Wyznacza on sposób ustanawiania połączeniowej komunikacji między dwoma stacjami sieci. Dane strumienia TCP zliczane są i porządkowane w oparciu o 32-bitowy numer sekwencyjny (SEQ). Jest on zapisany w pierwszym bajcie każdego pakietu TCP. Ostatnim bajtem jest ACK — numer potwierdzenia. Wysoką wydajność transmisji strumieniowej zapewnia mechanizm okien przesuwnych (sliding windows). Pozwalają one wysyłać grupę pakietów bez oczekiwania na odbiór potwierdzenia dostarczenia każdej pojedynczej jednostki danych. Przeciążanie bufora odbioru TCP (TCP flooding) należy do typowych form zakłócania pracy sieci. Moduł danych statystycznych (patrz rysunek 11.15) pomaga monitorować i weryfikować skuteczność tego rodzaju działań.

Rysunek 11.15. Moduł statystyk TCP

• UDP Stats (Statystyki UDP). Dla protokołu UDP charakterystyczne jest multipleksowanie i demultipleksowanie jednostek informacji na styku protokołów sieciowych i oprogramowania aplikacyjnego. Multipleksowanie to termin oznaczający przesyłanie wielu sygnałów w pojedynczym strumieniu, przesyłanym pojedynczym kanałem komunikacyjnym. Demultipleksowanie jest procesem odwrotnym, pozwalającym na drugim końcu strumienia rozdzielić dane. Operacje te w protokole UDP ściśle wiążą się z portami. Przed przesłaniem datagramu UDP aplikacja musi uzgodnić numer portu docelowego. Strona odbierająca datagram wyszukuje w nagłówku numer portu docelowego i zestawia go z listą wykorzystywanych (otwartych) portów. Transmisja dochodzi do skutku, gdy z odpowiednim portem powiązana została obsługująca go aplikacja. W pozostałych przypadkach datagram jest odrzucany, generowany jest natomiast komunikat ICMP. Przeciążanie datagramami UDP jest kolejną standardową techniką ataków sieciowych. Moduł monitorujący (patrz rysunek 11.16) pozwala przeprowadzać analizę takich ataków i sprawdzać ich skuteczność.

Rysunek 11.16. Moduł statystyk UDP

TigerBox Tookit

Zestaw narzędzi TigerBox dostępny będzie po kliknięciu ikony TigerSuite na pasku zadań, rozwinięciu menu TigerBox Toolkit, a następnie Tools (Narzędzia), co widać na rysunku 11.17.

Rysunek 11.17. Uruchamianie narzędzi TigerBox Toolkit

TigerBox Tools

Przedstawione na kolejnych stronach narzędzia TigerBox pozwalają przeprowadzać kompleksowe rozpoznawanie sieci. Należą do nich moduły generujące zapytania Finger, DNS, Hostname, NS lookup, Traceroute i Whois. Zapewnić mają możliwość nawiązania komunikacji z dowolnym routerem, mostem, przełącznikiem, koncentratorem, komputerem osobistym, stacją roboczą lub serwerem. Szczegółowe raporty, zgodne z formatem przeglądarek WWW, pozwalają wykorzystać narzędzia również w analizowaniu konfiguracji sieci i zarządzaniu nią. Jak pisaliśmy już wcześniej, narzędzia tego rodzaju są kluczowym elementem fazy rozpoznania sieci, niezbędnej w każdym profesjonalnym audycie zabezpieczeń.

• Finger Query (Zapytanie Finger). Moduł klienta przesyłający zapytanie do demona usługi Finger (fingerd), która ujawniać może istotne informacje o kontach, przede wszystkim imię i nazwisko użytkownika oraz datę i godzinę ostatniego logowania. Demon Finger pozostaje często aktywny w domenach .edu, .net i .org. Zazwyczaj jednak zasady bezpieczeństwa nakazują wyłączenie usługi. Powiązanie obecności demona Finger z NIS czyni system szczególnie podatnym na ataki DoS.

• DNS Query (Zapytanie DNS). Mechanizm DNS (patrz rysunek 11.18) używany jest przede wszystkim do tłumaczenia nazw domen na adresy IP, sterowania dostarczaniem poczty internetowej oraz przekierowywania zapytań HTTP i odwołań do domen. Na usługę katalogową DNS składają się dane, serwery oraz protokoły internetowe, pozwalające pobierać dane z serwerów. Rekordy w katalogu DNS rozdzielone są pomiędzy pewną liczbę plików, nazywanych strefami. Te z kolei rozmieszczone są na serwerach w całym Internecie, które odpowiadają na sformułowane zgodnie z wymaganiami protokołu DNS zapytania. Większość serwerów pełni funkcje „autorytatywnych” dla pewnych stref i jednocześnie buforujących dane uzyskane o pozostałych. Moduł DNS generuje zapytania pozwalające uzyskać niezbędne dla hakera informacje już w pierwszych krokach. Poniżej przedstawiamy listę typów rekordów zasobowych DNS.

Rysunek 11.18. Moduł zapytań DNS

Nazwa skrócona	Typ	Nazwa typu	Nr RFC
A	1	Adres.	1035
AAAA	28	Adres IPv6.	1886
AFSDB	18	Lokalizacja bazy danych AFS.	1183
CNAME	5	Nazwa kanoniczna.	1035
GPOS		Położenie geograficzne (wycofany).	1712
HINFO	13	Dane stacji.	1035
ISDN	20	Integrated Services Digital Network.	1183
KEY		Klucz publiczny.	2065
KX		Wymiennik kluczy.	2230

Nazwa skrócona	Typ	Nazwa typu	Nr RFC
LOC		Lokalizacja.	1876
MB	7	Skrzynka pocztowa.	1035
MD		Lokalizacja docelowa poczty (wycofany).	1035
MF		Przekaźnik poczty (wycofany).	1035
MG	8	Członek grupy pocztowej.	1035
MINFO	14	Dane skrzynki pocztowej lub listy wysyłkowej.	1035
MR	9	Przemianowanie domeny skrzynki pocztowej.	1035
MX	15	Przekaźnik poczty.	1035
NS	2	Serwer nazw.	1035
NSAP		Adres punktu dostępowego usługi sieciowej.	1348, 1637, 1706
NSAP-PTR		Protokół dostępowy usługi sieciowej (wycofany).	1348
NULL	10	Rekord pusty.	1035
NXT		Następny.	2065
PTR	12	Wskaźnik.	1035
PX		Wskaźnik do danych X.400/RFC822.	1664
RP	17	Osoba odpowiedzialna.	1183
RT	21	Trasować przez (używany z rekordami X.25 i ISDN).	1183
SIG		Sygnatura szyfrowania.	2065
SOA	6	Początek strefy uprawnień.	1035
SRV		Serwer.	2052
TXT	16	Tekst.	1035
WKS	11	Usługa powszechna (well-known service).	1035
X.25	19	X.25.	1183

Przykładowe zapytanie DNS, dotyczące jednej z najpopularniejszych wyszukiwarek internetowych, Yahoo (www.yahoo.com), zwraca następujące dane:

->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13700

;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 3, ADDITIONAL: 19

;; yahoo.com, type = ANY, class = IN

yahoo.com. 12h44m31s IN NS NS3.EUROPE.yahoo.com.

yahoo.com. 12h44m31s IN NS NS1.yahoo.com.

yahoo.com. 12h44m31s IN NS NS5.DCX.yahoo.com.

yahoo.com. 23m3s IN A 204.71.200.243

yahoo.com. 23m3s IN A 204.71.200.245

yahoo.com. 3m4s IN MX 1 mx2.mail.yahoo.com.

yahoo.com. 3m4s IN MX 0 mx1.mail.yahoo.com.

yahoo.com. 12h44m31s IN NS NS3.EUROPE.yahoo.com.

yahoo.com. 12h44m31s IN NS NS1.yahoo.com.

yahoo.com. 12h44m31s IN NS NS5.DCX.yahoo.com.

NS3.EUROPE.yahoo.com. 1h13m23s IN A 194.237.108.51

NS1.yahoo.com. 7h18m19s IN A 204.71.200.33

NS5.DCX.yahoo.com. 1d2h46m6s IN A 216.32.74.10

mx2.mail.yahoo.com. 4m4s IN A 128.11.23.250

mx2.mail.yahoo.com. 4m4s IN A 128.11.68.213

mx2.mail.yahoo.com. 4m4s IN A 128.11.68.139

mx2.mail.yahoo.com. 4m4s IN A 128.11.68.144

mx2.mail.yahoo.com. 4m4s IN A 128.11.23.244

mx2.mail.yahoo.com. 4m4s IN A 128.11.23.241

mx2.mail.yahoo.com. 4m4s IN A 128.11.68.146

mx2.mail.yahoo.com. 4m4s IN A 128.11.68.158

mx1.mail.yahoo.com. 4m4s IN A 128.11.68.218

mx1.mail.yahoo.com. 4m4s IN A 128.11.68.221

mx1.mail.yahoo.com. 4m4s IN A 128.11.23.238

mx1.mail.yahoo.com. 4m4s IN A 128.11.68.223

mx1.mail.yahoo.com. 4m4s IN A 128.11.68.100

mx1.mail.yahoo.com. 4m4s IN A 128.11.23.198

mx1.mail.yahoo.com. 4m4s IN A 128.11.23.250

mx1.mail.yahoo.com. 4m4s IN A 128.11.23.224

• IP/Hostname Finder (Wyszukiwarka IP/nazw stacji). Jest to prosty moduł pozwalający wysłać zapytanie o adres IP (dla nazwy stacji) lub nazwę stacji (dla adresu IP). Ułatwia on szybkie uzyskanie tych prostych danych w trakcie badania sieci. Jak widać na rysunku 11.19 — wprowadzamy nazwę stacji i klikamy Get IP Address.

Rysunek 11.19. Moduł IP/Hostname Finder zamieni adres IP na nazwę stacji po zaznaczeniu pola wyboru

• NS Lookup (Zapytanie NS). Moduł ten jest zaawansowaną odmianą opisanego powyżej IP/Hostname Finder. Wyszukuje dodatkowe adresy stacji powiązane z podaną nazwą (patrz rysunek 11.20).

Rysunek 11.20. Moduł NS Lookup

• Telnet Session (Sesja Telnet). Zanim jeszcze pojawiły się przeglądarki WWW, a nawet sama „światowa pajęczyna”, komunikacja komputerów przyłączonych do Internetu opierała się bardzo często na protokole Telnet, wierszu poleceń i przesyłaniu dokumentów tekstowych. W ogólnym zarysie „końcówka sieci” (terminal) połączona była bezpośrednio z dużym „systemem głównym” (host system). Stosowana obecnie forma klienta usługi Telnet to „emulator końcówki sieciowej” — symuluje terminal przyłączony bezpośrednio do stacji głównej. Faktycznie w komunikacji pośredniczy Internet. Zwyczajowo stosowany jest port TCP 23. Przypomnijmy sobie wcześniejszy opis komunikacji z wirtualnym przyłączem administracyjnym routera. Moduł Telnetu pomocny będzie w fazie rozpoznania sieci zarówno w komunikacji z routerami, jak i portami SMTP oraz POP serwerów i wieloma innymi.

• Trace Route (Śledzenie trasy). Narzędzie Trace Route (patrz rysunek 11.21) wyświetla informacje o trasie, którą dane wędrują pomiędzy węzłem wysyłającym a docelowym. Obejmują one kolejne przeskoki (pomiędzy kolejnymi routerami lub serwerami) i czas ich trwania. Jest to pomocne narzędzie w trakcie rozwiązywania problemów z łącznością między sieciami. Hakerowi pozwala dowiedzieć się, jakie sieci łączą jego komputer ze stacją docelową. Umożliwia również ustalenie lokalizacji zapory firewall.

Rysunek 11.21. Śledzenie tras

• WhoisQuery (Zapytanie Whois). Narzędzie Whois (rysunek 11.22) służy do wyszukiwania rekordów w bazie danych ośrodków rejestracyjnych NSI. Każdy rekord w bazie charakteryzuje unikatowy identyfikator, nazwa, typ rekordu i różnorodne dalsze pola. Aby uzyskać informacje o domenie, wystarczy w oknie programu wpisać jej nazwę. Jeżeli odpowiednie zapisy nie zostaną odnalezione w ośrodku, do którego zapytanie jest bezpośrednio kierowane, zapytanie Whois użyje rejestru wspólnego (Shared Registry System). Informacji o domenie dostarczy wówczas jeden z pozostałych ośrodków rejestracyjnych.

Rysunek 11.22. Moduł zapytań Whois

TigerBox Scanners

Podstawowym celem skanowania jest zgromadzenie informacji o możliwie największej ilości portów i wyróżnienie tych, na których prowadzony jest nasłuch i które mogą być w danej sytuacji użyteczne. Program skanujący podaje listę portów aktywnych, które można następnie wykorzystać w badaniu czy też atakowaniu systemu. Włączone do pakietu moduły skanujące zapewnić mają możliwość przeprowadzania skanowań zaawansowanych i „niewidocznych”. Lista modułów obejmuje: Ping Scanner, IP Range Scan, IP Port Scanner, Network Port Scanner, Site Query Scan i Proxy Scanner.

Narzędzia uruchamiamy, klikając ikonę TS na pasku zadań TigerBox Toolkit/Scanners i wybierając odpowiednią pozycję (patrz rysunek 11.23).

Rysunek 11.23. Uruchamianie skanerów TigerBox
		We wszystkich narzędziach tej grupy dostępne jest pomocnicze menu, dostępne po kliknięciu prawym przyciskiem adresu IP w polu danych wyjściowych (patrz rysunek 11.24). Ułatwia ono szybkie wywoływanie podstawowych narzędzi w odniesieniu do wybranego adresu.
Rysunek 11.24. Wywoływanie narzędzi po kliknięciu prawym klawiszem

Oto opisy modułów skanujących.

• Ping Scanner (Skaner Ping). Dla przypomnienia — polecenie Ping wysyła pakiet do stacji zdalnej lub lokalnej, żądając przesłania prostej odpowiedzi („echa”). Potwierdza ona aktywność stacji, a zarazem jej podatność na ataki DoS wykorzystujące port usługi Echo. Brak odpowiedzi oznaczać może: niedostępność stacji, problemy z sieciami pośredniczącymi w komunikacji lub obecność urządzenia filtrującego, które blokuje pracę usługi Echo. Ping jest więc przede wszystkim narzędziem diagnostycznym, służącym do weryfikowania łączności między stacjami. Z technicznego punktu widzenia przesyła pakiet Echo Request protokołu ICMP i wyświetla informacje o każdym odebranym pakiecie Echo Reply. Standardowo pakiety wysyłane są co sekundę i każdemu z nich odpowiada jeden wiersz danych wyjściowych. Przed zakończeniem pracy programu podawane jest krótkie podsumowanie informacji o czasie wędrówki pakietów (w obie strony) i ilości pakietów utraconych. Moduł skanera Ping umożliwia przeprowadzanie skanowania Ping o samodzielnie dobranych parametrach oraz skanowania „półcichego” (half-stealth). Dobierać można limit czasowy oczekiwania, rozmiar i liczbę wysyłanych pakietów.

• IP Range Scan (Skanowanie zakresu IP). Rozbudowana wersja skanera Ping (patrz rysunek 11.25). Przegląda całość określonego zakresu adresów i dostarcza informacji o tym, które z nich są aktywne. Tego rodzaju operacja jest zazwyczaj jednym z pierwszych kroków w gromadzeniu informacji o sieci docelowej.

• IP Port Scanner (Skaner portów IP) i Network Port Scanner (Skaner portów sieci) (patrz rysunek 11.26). Moduły wykonujące skanowanie portów pojedynczego adresu IP (IP Port Scanner) lub całego zakresu (Network Port Scanner). W porównaniu wydajności TigerSuite i popularnego oprogramowania skanującego, opartym na 10 000 portów w sieci klasy C, TigerSuite uzyskał w 9 minut dane, na których zebranie inne programy potrzebowały średnio 65 minut.

Rysunek 11.25. Moduł skanowania zakresu adresów IP
Rysunek 11.26. Moduły skanowania portów

• Site Query Scan (Skanowanie ośrodka) i Proxy Scanner (Skaner proxy). Moduły te mają za zadanie zgromadzić informacje o oprogramowaniu badanego węzła. Korzystając z podanego adresu lub nazwy stacji, wykonują serię zapytań — zwracane dane obejmują typ i wersję systemu operacyjnego oraz demonów FTP, HTTP, SMTP, POP3, NNTP, DNS, Socks, Proxy, Telnet, IMAP, Samba, SSH i Finger. Pozwala to uniknąć samodzielnego wykonywania serii czynności stanowiących istotny element analizy celu ataku.

TigerBox Penetrators

Praktyczny przegląd luk w zabezpieczeniach systemu lub sieci jest jedyną drogą uzyskania potwierdzenia, że zasady bezpieczeństwa i programy ochronne funkcjonują właściwie. Moduły penetracyjne TigerSuite zapewnić mają możliwość przeprowadzenia dopracowanych ataków, skutecznie identyfikując istniejące w systemie luki. Dzięki nim uzyskamy szczegółowy przegląd potencjalnych zagrożeń zarówno zewnętrznych, jak i wewnętrznych.

Narzędzia penetracyjne uruchamiamy, klikając ikonę TS na pasku zadań i wybierając TigerBox Toolkit | Penetrators. Wyświetlane jest wówczas menu przedstawione na rysunku 11.27. Lista modułów obejmuje: Buffer Overloader, FTP Cracker, FTP Flooder, HTTP Cracker, HTTP Flooder, Mail Bomber, Mail Cracker, Password Crackers, Ping Flooder, Server-Side Crasher, Spammer, TigerBreach Penetrator i WinCrasher.

Rysunek 11.27. Uruchamianie narzędzi penetracyjnych

TigerBox Simulators

TigerSim Virtual Server Simulator skróci czas nauki stosowania technik penetracyjnych. Pozwala on symulować wybrane demony serwerów sieciowych (pocztowych, HTTP, Telnet, FTP i innych).

Narzędzie symulacyjne uruchamiamy po kliknięciu ikony TS na pasku zadań i wybraniu TigerBox Toolkit | Simulators. Wyświetlane jest wówczas menu (przedstawione na rysunku 11.28), z którego wybieramy pozycję TigerSim Virtual Server Simulator.

Rysunek 11.28. Uruchamianie narzędzia symulacyjnego

Wymagania symulatora są takie same jak całości pakietu TigerSuite.

• Procesor: Pentium 160+.

• RAM: 64 MB.

• HDD: 8 GB.

• Karta graficzna i monitor: co najmniej 1024 x 768 x 16 K.

• Sieć: dwie karty sieciowe, z których co najmniej jedna obsługuje tryb pasywny lub odbierania.

• Inne: trójklawiszowa mysz, CD-ROM i stacja dyskietek.

Po uruchomieniu symulatora poszczególne serwery wirtualne uaktywniamy bezpośrednio z głównego okna programu. Na rysunku 11.29 przedstawiony został demon serwera HTTP, z którym nawiązał połączenie program klienta firmy Netscape.

Rysunek 11.29. TigerSim Virtual Server Simulator

Session sniffer, czyli analizator sesji, umożliwia śledzenie przebiegu transakcji komunikacyjnych od strony serwera WWW. Ułatwia to monitorowanie prób penetracji, sprawdzanie efektów technik podrabiania pakietów, rejestrowanie śladów włamania i wiele innych czynności. Pole Script pozwala generować odpowiedzi, ładować skrypty i przekazywać inne dane do stacji, z której prowadzone jest włamanie (patrz rysunek 11.30).

Rysunek 11.30. Analizator sesji

Przykładowy scenariusz włamania

W rozdziałach od 4. do 8. opisywaliśmy techniki związane z pierwszymi fazami audytu zabezpieczeń na przykładzie firmy XYZ, Inc. Teraz uzyskamy analogiczne dane przy użyciu TigerSuite i przejdziemy do kolejnych etapów badania wrażliwości na włamania.

Dane uzyskane w trakcie przedstawionej analizy zostały całkowicie zmienione, aby nie ujawniać prawdziwej nazwy firmy i informacji o jej sieci.

W przykładzie wykorzystamy komputer z uruchomionych pakietem TigerSuite, innymi opisywanymi w książce narzędziami, dostępem do Internetu oraz sieć firmy docelowej (XYZ, Inc.).

Krok 1. Badanie celu

W fazie badania celu wykorzystamy następujące techniki: wyszukiwanie w Internecie, zapytanie Whois, przegląd witryny WWW firmy w celu uzyskania nazwisk pracowników i (lub) ich adresów e-mail oraz przegląd zasobów Underground w poszukiwaniu gotowych schematów włamań, łamania zabezpieczeń i wskazówek związanych z naszym celem.

W rozdziale 4. opisaliśmy procedury Whois, podkreślając przy tym wagę ich przeprowadzenia. Teraz uprościmy je, korzystając z modułu Whois Query. Rozpoczynamy jednak od określenia domeny docelowej przy użyciu znanych wyszukiwarek internetowych: Yahoo (www.yahoo.com), Lycos (www.lycos.com), AltaVista (www.altavista.com), Excite (www.excite.com), InfoSeek (infoseek.go.com), LookSmart (www.looksmart.com), Thunderstone (search.thunderstone.com) i Netscape (search.netscape.com). Ilustruje to rysunek 11.31.

Rysunek 11.31. Badanie celu przy użyciu wyszukiwarek internetowych

Gdy już znamy domenę docelową (www.xyzinc.net), klikamy ikonę TigerSuite na pasku zadań i wybieramy z menu TigerBox Toolkit | Tools | Whois Query. Program ten pozwoli nam uzyskać informacje o domenie, dostępne w Network Solutions (firmie odpowiedzialnej za ich utrzymywanie w zakresie obszaru Ameryki Północnej). Jego działanie przedstawiamy na rysunku 11.32.

Rysunek 11.32. Zapytanie Whois

Jak łatwo zauważyć, znaczącymi informacjami są tu: adres e-mail administratora i dane serwerów domeny:

Administrative Contact, Technical Contact: hostmaster@xyzinc.net

Domain servers listed in order:

NS1.XYZINC.NET 206.0.139.2

NS2.XYZINC.NET 206.0.139.4

Wykorzystamy je w dalszych krokach.

Kolejną częścią analizy celu ataku będzie szczegółowy przegląd witryny WWW domeny. Zadaniem hakera jest odnalezienie, uzupełniających dane, „nadużyć informacyjnych”. Należą do nich: elementy diagramu sieci, wzmianki o platformie serwera, osobiste adresy e-mail, lokalizacje centrów danych, prefiksy numerów telefonów itp. Jest doprawdy zadziwiające, jak wiele poważnych firm lekkomyślnie udostępnia informacje o stosowanych platformach systemowych i zaporach sieciowych. Wywołujemy więc www.xyz.com i szukamy „prezentów”. (patrz rysunek 11.33).

Rysunek 11.33. Poszukiwanie dodatkowych wskazówek w witrynie WWW

W naszej przykładowej analizie wykorzystamy luki typowe, obecne w większości współcześnie stosowanych rozwiązań. Strona przedstawiona na rysunku 11.33 jest takim standardem, ujawniającym zarazem trzy istotne informacje: imię i nazwisko, adres e-mail oraz prawdopodobny typ demona WWW.

Hakerzy wykorzystują w badaniu celu ataków wiele wymyślnych praktyk. Wiedzę o nich z powodzeniem ugruntować można, przeszukując ośrodek grupy Underground za pośrednictwem niesławnego portalu AstaLaVista (www.astalavista.com), którego stronę główną przedstawiamy na rysunku 11.34. AstaLaVista to jeden ze znanych oficjalnych „pająków”, obejmujących swoim zasięgiem ośrodek Undergroundu.

Rysunek 11.34. Przeszukiwanie ośrodka Underground

Krok 2. Rozpoznanie

Kolejnym krokiem w naszej przykładowej analizie będzie rozpoznanie. W oparciu o cenne informacje, zgromadzone na etapie badania celu, w tej fazie przeprowadzimy skanowanie adresów IP i portów oraz prześlemy zapytania do usług serwerów. Zanim jednak rozpoczniemy, przyjrzyjmy się danym, które już mamy:

adres administratora (techniczny):

hostmaster@xyzinc.net

serwery domeny, kolejno:

NS1.XYZINC.NET 206.0.139.2

NS2.XYZINC.NET 206.0.139.4

adres kontaktowy firmy:

Tom Friedman z działu Public Relations

Email: pr@xyz.inc.net

prawdopodobna wersja demona serwera WWW:

Microsoft Internet Information Server (IIS)

Rozpoczniemy od odwzorowania nazwy domeny docelowej do adresu IP. Użyjemy narzędzia TigerSuite o nazwie IP/Hostname Finder (patrz rysunek 11.35).

Rysunek 11.35. Odwzorowanie nazwy stacji

Ponieważ adresy IP serwerów należą do tej samej sieci, możemy założyć, że granice sieci docelowej wyznacza klasa C adresów — 206.0.139.0/24. Na tej podstawie dalsze moduły rozpoznawcze uruchamiać możemy w zasadzie w dowolnej kolejności. Odwołamy się przede wszystkim do narzędzia TigerSuite SiteQuery Scan (patrz rysunek 11.36).

Rysunek 11.36. Site Query Scan

Tak jak się spodziewaliśmy, demonem serwera WWW jest IIS, wersja 4, pracująca na serwerze NT i korzystająca z protokołu HTTP w wersji 1.1. Przypomnijmy sobie teraz słabe punkty IIS, opisywane w rozdziale 8. — ich użycie pozwoli praktycznie ocenić zagrożenie „złamania” strony WWW.

Przechodzimy z kolei do skanowania portów. W narzędziu IP Range Scan podajemy początkowy i końcowy adres sieci klasy C. Program wyszuka dla nas dalsze aktywne węzły (patrz rysunek 11.37).

Rysunek 11.37. Przeszukiwanie sieci

Na podstawie zebranych danych haker określiłby administratora sieci w XYZ, Inc jako „lamera”, źle przygotowanego lub mało doświadczonego specjalistę, którego posada jest już zagrożona, o ile tylko wykryte węzły zawierają dalsze luki w zabezpieczeniach. Zapisujemy:

Adres IP Nazwa DNS

206.0.139.8 mtopel.xyzinc.net

206.0.139.89 kflippel.xyzinc.net

Można oczekiwać, że nazwy te pochodzą od nazw użytkowników, prawdopodobnie informatyków firmy, którzy otwarli dla swoich węzłów porty zapory. Istnieją więc prawdopodobnie dalsze adresy e-mail: mtopel@xyzinc.net i kflippel.xyzinc.net. Narzucającym się więc kolejnym krokiem będzie wywołanie kolejnego modułu TigerSuite: IP Port Scanner. Na rysunku 11.38 przedstawiamy skrót uzyskanych informacji.

Wyraźnie widać, że administratorzy odpowiedzialni za bezpieczeństwo sieci przeoczyli „dziury” wręcz monumentalne. Zobaczmy, co przyniesie kolejny krok.

Krok 3. Socjotechnika

We wcześniejszych rozdziałach opisaliśmy różne postacie socjotechniki, powszechnie stosowanych przez hakerów na całym świecie. W tym przykładzie ujawniliśmy już dość luk, aby wywołać klęskę żywiołową w bezbronnej sieci xyzinc.net. Mimo to, dla uzupełnienia naszego ćwiczenia, zagłębimy się jeszcze w najprzebieglejszą z technik „pracy z ludźmi”: spam z koniem trojańskim (backdoor mail spam).

Rysunek 11.38. Wyniki skanowania

Atak tego rodzaju pozwoli w prosty sposób uzyskać, utrzymać i ukryć dostęp do systemu docelowego. Korzystając z narzędzia TigerSuite Penetrator Spammer lub innych, wymienionych w rozdziale 7. i dołączonych do książki na CD-ROM-ie, wysyłamy odpowiednio spreparowaną wiadomość e-mail z załącznikiem na adresy:

• hostmaster@xyz.inc.net

• pr@xyzinc.net

• mtoppel@xyzinc.net

• kflippel@xyzinc.net

Na każdy z nich wysyłamy wersje konia trojańskiego dla systemów UNIX i Windows nawet, jeżeli dwie z badanych stacji na pewno pracują pod kontrolą Uniksa (co widać po wynikach skanowania portów). Wiadomości powinny mieć tytuły w rodzaju „Narzędzie uaktualniania” (wysłane przez producenta oprogramowania) lub „Biuletyn informacyjny” (z prestiżowej firmy PR). Wszystko, czego oczekujemy, to uruchomienie załącznika przez jednego z adresatów.

Krok 4. Atak

Przed rozpoczęciem korzystania z penetratorów TigerSuite lub przeprowadzeniem ataków opisanych w poprzednich rozdziałach, dobrze jest poćwiczyć z symulatorem TigerSim Virtual Server Simulator, jak również z modułami monitorującymi (patrz rysunek 11.39). Pozwoli to ustalić odpowiedni poziom wykorzystania zasobów i optymalny sposób korzystania z narzędzi.

Rysunek 11.39. Proaktywne monitorowanie zasobów

Podsumowanie

Temat bezpieczeństwa sieci przyciąga ostatnio wiele uwagi mediów, zwłaszcza ze względu na potwierdzenia udanych włamań do ośrodków CIA, FBI i Białego Domu. Najnowsze badania donoszą, że włamania sieciowe kosztują podatników amerykańskich setki tysięcy dolarów. Co to oznacza?

Nawet osoba niezwiązana z komputerami zauważy, że konsekwencją możliwości przeprowadzenia skutecznych włamań do agencji rządowych jest realne zagrożenie włamaniami do sieci prywatnych. Informacje o sposobach zabezpieczania sieci przedsiębiorstw są szeroko dostępne, jednak niewiele osób naprawdę umie z nich korzystać. Jedynie największe i najbogatsze firmy mogą pozwolić sobie na zatrudnianie ekspertów i inspektorów zabezpieczeń, którzy przeprowadzą profesjonalną analizę stosowanych procedur bezpieczeństwa danych. Potrzeba upowszechniania wiedzy w tym obszarze jest paląca i nie ma wątpliwości co do tego, że administratorzy sieci i osoby odpowiedzialne za przechowywanie kluczowych danych firm powinny lepiej znać technologie, techniki i narzędzia wykorzystywane do uzyskiwania nieuprawnionego dostępu do sieci. Kluczem do walki z włamywaczami jest poznanie ich środowiska.

Jak wspominałem we wstępie, niniejsza książka napisana została z myślą o administratorach oraz innego rodzaju specjalistach IT. Umożliwić ma dokładne zapoznanie się z komunikacją i zabezpieczeniami sieciowymi — nie dla samego ujawniania sekretów „hakowania”, ale przede wszystkim dla stworzenia solidnej podstawy wiedzy o naturze zagrożeń.

Książka niniejsza przyczynić się powinna do wzrostu świadomości. Włamania sieciowe są zjawiskiem codziennym, które nie może być dłużej ignorowane czy traktowane lekceważąco. Zbyt wielu administratorów doświadcza trudnych do wyjaśnienia anomalii w działaniu sieci. Awarie serwerów, tracone wiadomości pocztowe, tracone dane, ataki wirusów i inne zakłócenia kosztują wiele roboczogodzin i wciąż pozostawiają pytania, które domagają się odpowiedzi. Przerwa w pracy sieci jest zmorą, której widmo prześladuje każdą współczesną firmę.

Jedną z przyczyn tego rodzaju sytuacji jest włamanie sieciowe. Jak firma zabezpiecza się przed włamaniami sieciowymi? Wprowadzając jasne i przemyślane zasady bezpieczeństwa sieci oraz uzupełniające ich stosowanie narzędzia. Niestety, wiele firm nie posiada odpowiedniej wiedzy, zasobów lub możliwości wprowadzenia takich zasad. W niniejszej książce prezentujemy dynamiczne podejście do zagadnień bezpieczeństwa, posługując się opisami znanych, ale wciąż aktualnych, technik omijania mechanizmów ochronnych.

W tym momencie, drogi Czytelniku, chciałbyś już zapewne przejść do kolejnego stadium problemu — skutecznej obrony przed zakusami hakerów. Tym tematem, jak również wieloma innymi, zajmiemy się w tomie drugim, „Administrator kontratakuje”. Do zobaczenia.

Warto także zajrzeć na http://info.astrian.net/jargon/terms/t/tiger_team.html

634 Hack Wars. Tom 1. Na tropie hakerów

Rozdział 11. ♦ TigerSuite — kompletny pakiet narzędzi do badania i ochrony sieci 635

634 C:\Biezace\Hack Wars\hack wars 1\9-1 makieta\11.doc

C:\Biezace\Hack Wars\hack wars 1\9-1 makieta\11.doc 635

C:\Biezace\Hack Wars\hack wars 1\9-1 makieta\11.doc 605

---