Rozdział 11.
TigerSuite
kompletny pakiet narzędzi
do badania
i ochrony sieci
W niniejszym rozdziale przedstawimy pakiet narzędzi pomocny w analizie
zabezpieczeń pozwalający badać, testować i zabezpieczać komputery i sieci przed
ró\nymi lukami w mechanizmach ochronnych. Po poznaniu ich technologia
zabezpieczeń nie powinna ju\ być tak tajemnicza, czy to dla specjalisty IT, czy te\
zainteresowanego amatora. TigerSuite stanowić ma kompletny zestaw narzędzi
przeznaczonych dla osób prywatnych, firm, administratorów i mened\erów
zainteresowanych bezpieczeństwem swoich sieci. Wzięto pod uwagę zarówno
zagro\enia zewnętrzne, jak i tworzone przez pracowników firmy (lub osoby mające
dostęp od wewnątrz ). W chwili pisania tego tekstu TigerSuite jest pierwszą próbą
zebrania tak całościowego zestawu narzędzi bezpieczeństwa sieciowego.
Terminologia
Zanim rozpoczniemy omówienie działania pakietu, powinieneś zapoznać się z
kilkoma definicjami.
Rozpoczniemy od pojęcia tiger team dru\yna tygrysa 1. Początkowo określano
w ten sposób grupę specjalistów wynajętych do zbadania ochrony granic systemu oraz
testowania i analizy wewnętrznych zasad bezpieczeństwa w firmie. Ich zadaniem było
włamywanie się do systemów komputerowych, telefonicznych i sejfów wszystko
to w celu ukierunkowania dalszych modyfikacji struktury zabezpieczeń.
1
Warto tak\e zajrzeć na http://info.astrian.net/jargon/terms/t/tiger_team.html
D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc 605
606 Hack Wars. Tom 1. Na tropie hakerów
Określenie to obecnie wyewoluowało i u\ywane jest w odniesieniu do wszelkich
oficjalnych grup, przeprowadzajÄ…cych audyty i inne operacje zwiÄ…zane z
zabezpieczeniami przedsiębiorstw. Jedynie część spośród nich tworzą profesjonalni
hakerzy i crackerzy, badający implementacje systemów komputerowych właśnie w
drodze włamań, których celem jest sieć lub inne zabezpieczane kanały
komunikacyjne. Tiger team wzywa się równie\ do badania spójności kodu
programów. Wiele firm produkujących oprogramowanie zatrudnia zewnętrzne firmy i
specjalistów, aby przeprowadziły testy ich produktów, zanim trafią na rynek.
Wraz ze wzrostem gęstości otaczających nas sieci coraz większe jest zagro\enie, \e
konkurent, szpieg, rozczarowany pracownik czy rozbrykany nastolatek posunie siÄ™ do
kradzie\y poufnych danych albo mniej lub bardziej przemyślanego sabota\u. Internet
i WWW otwarły du\e pole do popisu osobom pragnącym włamać się do lokalnych
sieci przedsiębiorstw. Z doświadczenia autora wynika, \e około 85 procent
przyłączonych do Internetu sieci jest wra\liwych na takie ataki. Ciągły postęp
technologiczny jedynie zwiększa niebezpieczeństwo. Krótko mówiąc, włamanie do
sieci lokalnej jest jak najbardziej realnym zagro\eniem dla ka\dej korzystajÄ…cej z Å‚Ä…czy
WAN firmy.
Stąd właśnie wzięły się, stosowane zarówno przez hakerów, jak i członków tiger
teams, zestawy TigerBox komputery wyposa\one w kolekcje narzędzi do
monitorowania, podrabiania adresów, łamania haseł, skanowania i analizowania
podatności na włamania. Mają one pomagać w wykryciu wszelkich luk
umo\liwiających przeprowadzenie skutecznego włamania do systemu.
Najwa\niejszym elementem TigerBox sÄ… systemy operacyjne. Dobrze przygotowany
zestaw TigerBox pozwala pracować zarówno w środowisku UNIX, jak i Windows.
Zbiory odpowiednich narzędzi przeznaczonych dla okienek wcią\ nie są tak
popularne, jak dla systemu UNIX. Platforma Microsoftu staje siÄ™ przez to jeszcze
bardziej interesujÄ…ca. Jak wiadomo, UNIX to system operacyjny o du\ych
mo\liwościach, opracowany w AT&T Bell Laboratories pod kątem środowisk
naukowych, in\ynierskich i akademickich. Z natury jest to system wielozadaniowy,
przystosowany do wielu u\ytkowników, a zarazem elastyczny i przenośny .
Zapewnia obsługę poczty elektronicznej, pracę w sieci, narzędzia do tworzenia
programów, przetwarzania tekstu i wspomagające pracę naukową. W ciągu wielu lat
rozwoju najró\niejszych odmian systemu wykształciły się jego dwie podstawowe
rodziny: UNIX System V firmy AT&T i Berkeley Software Distribution (BSD) z
University of California w Berkeley. Silny jest równie\ trend rozwojowy Linuksa,
bardzo często stosowanego właśnie jako platforma dla ró\nych zestawów TigerBox.
Zapewnia bezpośredni dostęp do wiersza poleceń systemu i swobodę doboru
kompilowanych składników. Większość przedstawionych w tej ksią\ce przykładów
mo\na skompilować w Linuksie.
606 D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc
Rozdział 11. f& TigerSuite kompletny pakiet narzędzi do badania i ochrony sieci 607
f&
f&
f&
Współcześnie system Linux spotkać mo\na w najró\niejszych dystrybucjach oferowany
przez ró\ne firmy. Jako najbardziej znane zestawy dystrybucyjne wyró\nić mo\na:
RedHat Linux (www.redhat.com), Slackware (www.slackware.org), Debian
(www.debian.org), TurboLinux (www.turbolinux.com), Mandrake (www.linux-mandrake.
com), SuSe (www.suse.com), Trinux (www.trinux.org), MkLinux (www.mklinux.org),
LinuxPPC (www.linuxppc.org), SGI Linux (http://oss.sgi.com/projects/sgilinux11),
Caldera OpenLinux (www.caldera.com), Corel Linux (http://linux.corel.com) i Stampede
Linux (www.stampede.org).
Zainstalowanie boot-managera umo\liwia uruchamianie na jednym komputerze
w zale\ności od potrzeb jednego z dwóch lub więcej systemów operacyjnych (warto
pamiętać, \e Windows wygodniej będzie zainstalować jako pierwszy). W czasie
pisania tego tekstu najbardziej stabilnymi i wszechstronnymi wersjami Windows sÄ…
Windows 98 Second Edition i Windows ME (Windows 2000 jest jeszcze w fazie
testów). Najwy\sze oceny w kręgu systemów Linux zbiera RedHat Linux
(www.redhat.com). W prosty sposób mo\na więc przygotować konfigurację, w której
inicjalizacja z dysku twardego prowadzi do uruchomienia Windows, a z dyskietki
Linuksa.
U\ytkownicy mniej doświadczeni powinni zaopatrzyć się w dodatkowy program,
ułatwiający korzystanie z wielu systemów operacyjnych i wyposa\ony w interfejs
graficzny, na przykład BootMagic firmy PowerQuest (www.powerquest.com/products/
index.html).
Wymagania sprzętowe komputera, na którym zainstalujemy TigerBox, zale\ą od
tego,0w jakim zakresie system będzie wykorzystywany. Czy będziemy tworzyć
programy? Czy korzystamy z gier? Jako wymagania minimalne, wystarczajÄ…ce w
większości zastosowań, wskazać mo\na:
Procesor: Pentium 160+.
RAM: 64 MB.
HDD: 8 GB.
Karta graficzna i monitor: rozdzielczość co najmniej 1024×768.
Sieć: dwie karty sieciowe, z których przynajmniej jedna obsługuje tryb pasywny
lub odbierania (w trybie odbierania jawnie nakazujemy przechwytywanie
wszystkich pakietów w sieci bez względu na to, kto jest ich adresatem).
Inne: mysz trójklawiszowa, CD-ROM, stacja dyskietek.
Wprowadzenie
Opracowany z u\yciem zastrze\onych technologii pakiet TigerSuite jest kompletnym
zestawem narzędzi niezbędnych do przeprowadzenia profesjonalnej analizy
zabezpieczeń rozumianej jako ataki, w których przeprowadzamy rozpoznawanie,
D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc 607
608 Hack Wars. Tom 1. Na tropie hakerów
skanowanie, penetrację, przejęcie kontroli, szpiegowanie, zalewanie, podrabianie
adresów, przechwytywanie pakietów, zara\anie, raportowanie, monitorowanie i inne
podobne czynności. W porównawczym teście wydajności z września 2000,
przeprowadzonym przez ValCom Engineers (www.pccval.com), gdzie wzięte zostały
pod uwagę ró\norodne komercyjne programy do rozpoznawania i skanowania
portów, w prostym skanowaniu 1000 portów, Tiger Tools osiągnęły wynik krótszy ni\
1 minuta, podczas gdy średni czas pozostałych narzędzi wynosił 35 minut. W
podsumowaniu wyników autorzy testu określają Tiger Tools jako budzące respekt .
608 D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc
Rozdział 11. f& TigerSuite kompletny pakiet narzędzi do badania i ochrony sieci 609
f&
f&
f&
Prawne implikacje korzystania z TigerBox
O ile mi wiadomo, pierwszym aktem prawnym, który jawnie zabrania włamań
do systemów komputerowych, jest Federal Fraud and Computer Abuse Act
z roku 1986, wprowadzony ze względu na istniejące wcześniej luki legislacyjne.
Ju\ z pierwszej części tego dokumentu dowiemy się, \e świadomy dostęp do
komputera bez upowa\nienia i uzyskiwanie informacji z zamiarem szkodzenia
Stanom Zjednoczonym lub czerpania korzyści dla innego kraju jest cię\kim
przestępstwem. Chroniona jest tu ka\da informacja, którą inna ustawa lub
rozporządzenie określa jako kluczową dla bezpieczeństwa państwa lub stosunków
międzynarodowych. Dodatkowo, w dalszych punktach zabroniony jest równie\
nieuprawniony dostęp do informacji agencji finansowych i badania rynku,
gdy w operacji wykorzystywany jest komputer zwiÄ…zany z rzÄ…dem federalnym.
Pierwszym zakończonym skazaniem procesem opartym na tej ustawie była
sprawa United States vs. Robert Tappan Morris (nr 774, sygn. 90-1336,
Sąd Apelacyjny Stanów Zjednoczonych, Obwód Drugi, 4.12.1990-7.03.1991).
Dotyczył on typowego włamania i spowodowanych nim szkód.
Skazanie oparte zostało na wspomnianej sekcji (a) ustawy, czyniącej cię\kie
przestępstwo z zamierzonego i nieuprawnionego dostępu do ka\dego komputera
zwiÄ…zanego z rzÄ…dem federalnym oraz modyfikowania i niszczenia informacji,
a tak\e utrudniania dostępu uprawnionego, gdy czynności te prowadzą do strat
o wartości co najmniej 1000 dolarów.
Jesienią 1988 roku Morris był studentem pierwszego roku informatycznych
studiów doktoranckich na Cornell University. W trakcie wcześniejszych studiów
na Harvard University, jak równie\ pracując, zdobył znaczne doświadczenie
i umiejętności. Wraz z przyjęciem do Cornell University uzyskał konto
na wydziale informatyki, co dało mu prawo korzystania z komputerów
uniwersyteckich. Następnie prowadził wiele rozmów z innymi studentami
na temat bezpieczeństwa sieci i mo\liwości jej penetracji.
W pazdzierniku 1988 roku Morris rozpoczÄ…Å‚ pracÄ™ nad programem
komputerowym, znanym pózniej jako robak czy te\ wirus internetowy.
Jego celem było wykazanie braków w obecnych systemach bezpieczeństwa
sieci komputerowych. Miało do tego prowadzić włamanie oparte na wykrytych
przez Morrisa lukach. Robak miał rozpowszechnić się na wszystkich
komputerach w sieciach komputerowych USA, poczynajÄ…c od jednej tylko
lokalizacji pierwotnej. Trafił ostatecznie do Internetu i kilku sieci krajowych,
Å‚Ä…czÄ…cych komputery uniwersyteckie, rzÄ…dowe i wojskowe. AÄ…cza sieciowe
umo\liwiły jego szerokie rozpowszechnienie.
Dą\eniem Morrisa było samo rozpowszechnienie programu, bez przyciągania
nań uwagi. Miał wykorzystywać minimalną ilość czasu procesora i nie utrudniać
normalnego u\ytkowania komputera. Wprowadzone zostały odpowiednie
zabezpieczenia przed wykryciem i odczytaniem kodu robaka . Autor zadbał
równie\ o to, aby program nie zara\ał ponownie komputera ju\ raz zdobytego
ułatwiałoby to wykrycie i utrudniało korzystanie z systemu. Stąd te\
przesyłane do ka\dego kolejnego komputera pytanie , czy jest ju\ zara\ony,
D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc 609
610 Hack Wars. Tom 1. Na tropie hakerów
Prawne implikacje korzystania z TigerBox (ciÄ…g dalszy)
czy nie. Warunkowało ono przenoszenie kodu. Morris obawiał się jednak,
\e inni programiści łatwo zabiją jego dzieło, przygotowując komputery,
aby zawsze odpowiadały tak . Zapewniałoby to ochronę przed przyjęciem
robaka . Rozwiązaniem miało być kopiowanie programu na co siódmy
komputer, który odpowiedział tak . Jak się okazało, Morris znacznie nie
docenił liczby namno\eń. Współczynnik 1:7 nie uchronił przed gromadzeniem
się wielu kolejnych wersji w jednym systemie. Nie uchroniła przed tym nawet
funkcja autodestrukcji podczas zamykania systemu. I ona miała zabezpieczać
przed akumulacją robaka w komputerach obsługujących sieć.
Morris ustalił cztery drogi robaka do kolejnych systemów w sieci: pierwszą
przez lukę w programie sendmail, słu\ącym do przesyłania poczty
elektronicznej między komputerami; drugą przez lukę w programie demona
usługi Finger, umo\liwiającego uzyskiwanie informacji o u\ytkownikach
innego komputera; trzecią dzięki funkcji stacji zaufanych (trusted hosts),
umo\liwiającej u\ytkownikowi o określonych uprawnieniach na jednym
komputerze, korzystać z równowa\nych na innym; czwartą dzięki procedurze
odgadywania haseł, próbującej wykorzystać ró\ne kombinacje znaków w
nadziei, \e jedna z nich oka\e się hasłem u\ytkownika.
2. listopada 1988 roku Morris wprowadził robaka na komputer
w Massachusetts Institute of Technology, co miało oczywiście ukryć jego
pochodzenie z Cornell University. Szybko stwierdził, \e robak namna\a się
i zara\a wielokrotnie komputery ze znacznie większą szybkością ni\
przewidywana. Komputery w całych Stanach Zjednoczonych zaczęły zawieszać
się lub znacznie zmniejszyły mo\liwości przetwarzania. Widząc co się dzieje,
Morris skontaktował się ze swoim kolegą z Harvardu, aby omówić problem.
Wynikiem było rozesłanie z Harvard University anonimowej wiadomości
z instrukcjami dla programistów, jak niszczyć robaka i zabezpieczać komputery
przed ponownymi infekcjami. Sieć była ju\ jednak przecią\ona i wiadomość
została rozesłana zbyt pózno, aby spełnić swoje zadanie. Zara\one zostały
komputery w najró\niejszych ośrodkach w USA, łącznie z największymi
uniwersytetami, instalacjami wojskowymi i naukowymi placówkami
medycznymi. W ka\dym z nich koszt walki z robakiem oceniono na kwotÄ™
od 200 do 53 000 dolarów.
Morris został uznany za winnego na podstawie ustępu (a)(5)(A) wspomnianej
ustawy i skazany na trzy lata wyroku w zawieszeniu, 400 godzin słu\by
publicznej, grzywnę wysokości 10 050 dolarów oraz pokrycie kosztów sądowych.
Proces był demonstracją zdolności systemu prawnego USA do ścigania
naruszających interes państwa przestępstw komputerowych.
W kolejnych latach rząd federalny USA niechętnie ju\ korzystał z tej ustawy,
prawdopodobnie dlatego, \e większość stanów równie\ dopasowała swoje
ustawodawstwo i Kongres rozwa\a przeniesienie jurysdykcji przestępstw
komputerowych do sądów stanowych. Mo\e być więc wskazane, aby zapoznać
się z lokalnym stanem prawnym i tym, jak traktowane są ró\nego rodzaju badania
konfiguracji systemów, włamania czy analiza zabezpieczeń.
610 D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc
Rozdział 11. f& TigerSuite kompletny pakiet narzędzi do badania i ochrony sieci 611
f&
f&
f&
Instalacja
Z TigerSuite korzystać mo\na na dwa sposoby: po zainstalowaniu pakietu na dysku
twardym lub bez instalacji, uruchamiając wersję przenośną . W pierwszym
przypadku wykorzystywany jest program instalacyjny z dysku CD-ROM, który
kopiuje pliki i uzupełnia menu Start. Wersja przenośna uruchamiana jest
bezpośrednio z dysku optycznego poleceniem TSmobile.EXE. Pozwoliło na to
wykorzystanie techniki przenośnej modularyzacji bibliotek. Jest to wygodna cecha,
nie wymaga bowiem zmiany konfiguracji PC i nie zajmuje miejsca na dysku.
Instalowanie pakietu na dysku
Zainstalowanie TigerSuite na dysku zajmuje tylko kilka minut. Program instalacyjny
(załączony na CD-ROM-ie) automatycznie instaluje, konfiguruje i inicjalizuje wersję
próbną pakietu.
Minimalne wymagania instalacji opisujemy poni\ej.
System operacyjny: Windows NT Workstation 4.0, Windows NT Server 4.0,
Windows 95, Windows 98, Windows ME lub Windows 2000.
Service Pack: dowolny.
Procesor: Pentium lub lepszy.
Pamięć: 16 MB lub więcej.
Miejsce na dysku twardym: 10 MB.
Połączenie sieciowe/internetowe: 10Base-T, 100Base-T, Token Ring, ATM,
xDSL, ISDN, modem kablowy lub zwykłe połączenie modemowe korzystające
z protokołu TCP/IP.
Procedurę instalacji podzielić mo\na na 6 kroków.
1. Uruchamiamy TSsetup.EXE. Program instalacyjny rozpoczyna pracÄ™ od
rozpakowania i weryfikacji plików. Je\eli wykryta zostanie zainstalowana
wcześniej wersja TigerSuite, starsze pliki zostaną automatycznie zastąpione.
Wyświetlany jest ekran powitalny (patrz rysunek 11.1).
Rysunek 11.1.
Ekran powitalny
pakietu TigerSuite
D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc 611
612 Hack Wars. Tom 1. Na tropie hakerów
2. Klikamy Next (Dalej).
3. PrzeglÄ…damy umowÄ™ licencyjnÄ…. Wymagana jest zgoda na warunki umowy,
którą potwierdza kliknięcie Yes. Kliknięcie No spowoduje przerwanie instalacji.
Oto fragment:
Niniejsze oprogramowanie sprzedawane jest wyłącznie dla celów
informacyjnych. Zawiera informacje i narzędzia słu\ące do przeprowadzania
profesjonalnych audytów zabezpieczeń. Autorzy i dystrybutorzy nie ponoszą
odpowiedzialności za sposób ich wykorzystania. Oprogramowanie i towarzyszące
mu pliki sprzedawane sÄ… w stanie takim, w jakim znajdujÄ… siÄ™ w chwili
sprzeda\y, bez gwarancji dotyczących poprawności działania lub u\yteczności,
jak równie\ jakichkolwiek innych, jawnych lub niejawnych. Mimo \e podjęte
zostały wszelkie wysiłki, aby przedstawiane informacje były dokładne
i aktualne, nie bierzemy odpowiedzialności za dokładność, aktualność czy
kompletność danych i u\ytkownik nie powinien traktować ich jako pewne.
KorzystajÄ…c z oprogramowania, u\ytkownik zgadza siÄ™, \e zawarte w nim
informacje i usługi dostarczone zostały w stanie takim, w jakim znajdowały
się w chwili sprzeda\y i w zakresie w jakim były dostępne, bez gwarancji
jawnych lub niejawnych, i korzysta z nich na własne ryzyko. Korzystając
z dowolnej części oprogramowania, u\ytkownik zgadza się nie rozpowszechniać
\adnych zawartych w nim informacji. Nie ponosimy odpowiedzialności
za \adne szkody lub koszty wynikajÄ…ce z u\ycia oprogramowania czy
w jakikolwiek sposób z nim związane. U\ytkownik zgadza się, \e \aden
z autorów lub dystrybutorów oprogramowania, jak równie\ \adna strona
biorąca udział w jego tworzeniu lub dostarczaniu, nie ponosi odpowiedzialności
za bezpośrednie, pośrednie, przypadkowe lub prawnie karane szkody związane
z informacjami, oprogramowaniem i treścią zawartą w oprogramowaniu lub
w inny sposób uzyskaną za pośrednictwem tego oprogramowania.
4. Wprowadzamy informacje o u\ytkowniku (patrz rysunek 11.2). Podajemy
nazwisko i (lub) nazwÄ™ firmy i klikamy Next (Dalej).
Rysunek 11.2.
Wprowadzanie
informacji
o u\ytkowniku
5. Sprawdzamy ście\kę docelową instalacji (patrz rysunek 11.3). Aby zmienić
lokalizacjÄ™, klikamy Browse i wybieramy odpowiadajÄ…cy nam katalog. Klikamy
Next (Dalej).
612 D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc
Rozdział 11. f& TigerSuite kompletny pakiet narzędzi do badania i ochrony sieci 613
f&
f&
f&
Rysunek 11.3.
Wybieranie
lokalizacji docelowej
6. Potwierdzamy gotowość do kopiowania plików. Program instalacyjny zgromadził
niezbędne informacje i jest gotowy do kopiowania plików pakietu. Wyświetlane
jest podsumowanie zebranych we wcześniejszych krokach danych. Aby zmienić
dowolne z nich, klikamy Back (Wstecz). Kliknięcie Next (Dalej) spowoduje
rozpoczęcie kopiowania plików. W trakcie operacji monitorowany jest jej
postęp oraz zasoby systemu (patrz rysunek 11.4). W przypadku pojawienia się
problemów wyświetlany jest odpowiedni komunikat.
Rysunek 11.4.
Monitorowanie
kopiowania plików
Po zakończeniu pracy instalatora TigerSuite mo\na uruchomić zgodnie ze
wskazówkami zawartymi w podrozdziale pt. Uruchamianie wersji przenośnej .
D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc 613
614 Hack Wars. Tom 1. Na tropie hakerów
Uruchamianie wersji przenośnej
Aby uruchomić TigerSuite bezpośrednio z dysku CD, postępujemy następująco.
1. Uruchamiamy TS.EXE z katalogu Mobile. Program rozpoczyna pracÄ™
i funkcjonuje tak samo jak w sytuacji, gdy został wcześniej zainstalowany
(patrz rysunek 11.5). W przypadku gdy program jest zainstalowany na dysku
twardym, korzystamy z polecenia menu Start | Programs (Programy) |
TigerSuite | TS. Po wykonaniu procedur inicjalizacyjnych TigerSuite
pozostaje w pamięci jako aplikacja tła, sygnalizowana ikoną na pasku zadań.
2. Klikamy ikonę TigerSuite na pasku zadań (znajdziemy ją koło zegara
systemowego). Wyświetlane jest menu (patrz rysunek 11.6). Uwaga: zamknięcie
wszystkich otwartych wcześniej modułów pakietu nie powoduje zamknięcia
TigerSuite; zamknięte zostają jedynie poszczególne moduły i praca funkcji
monitorowania. Aby całkowicie zakończyć pracę TigerSuite, konieczne jest
zamknięcie przy u\yciu polecenia Exit and Unload TigerSuite, dostępnego
w menu ikony na pasku zadań.
Rysunek 11.5.
Inicjalizowanie
pakietu TigerSuite
Rysunek 11.6.
Uruchamianie
modułów TigerSuite
Moduły
Na zestaw modułów pakietu składają się narzędzia do monitorowania stanu systemu
i połączeń sieciowych, zapewniające dostarczenie danych i statystyk związanych
z urządzeniami, systemem operacyjnym i pracą sieciową pomocnych zarówno przed,
614 D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc
Rozdział 11. f& TigerSuite kompletny pakiet narzędzi do badania i ochrony sieci 615
f&
f&
f&
jak i po przeprowadzeniu analizy zabezpieczeń. Są równie\ bezcennym
uzupełnieniem (opisywanego dalej) zestawu TigerBox Toolkit, wspomagając
kompleksowe i profesjonalne audyty zabezpieczeń.
Moduły grupy System Status
Moduły System Status (Stan systemu) aktywujemy kliknięciem ikony TigerSuite na
pasku zadań, a następnie odpowiedniej pozycji menu System Status (patrz rysunek
11.7).
Rysunek 11.7.
Uruchamianie
modułów
System Status
Moduły grupy Hardware
Kategoria Hardware (Sprzęt) (patrz rysunek 11.8) zawiera następujące moduły: Cmos
Contents, Drives (Disk Space i Volume Info), Memory, Power i Processor. W kategorii
Internetworking znajdziemy statystyczne analizatory komunikacji sieciowej: IP, ICMP,
Network Parameter, TCP i UDP.
Rysunek 11.8.
Moduły informacji
o urzÄ…dzeniach
Oto krótkie opisy modułów grupy Hardware.
CMOS Contents (Zawartość pamięci CMOS).Widoczny na rysunku 11.9
moduł dostarcza kluczowych informacji z pamięci CMOS (nieulotnej pamięci
RAM, CMOS to skrót od complementary metal oxide semiconductor i jest nazwą
technologii półprzewodników stosowanej w układach scalonych komputerów).
W pamięci tej znajdziemy istotne przy rozwiązywaniu problemów informacje,
głównie związane z charakterystyką urządzeń i wykorzystywanymi przez nie
adresami pamięci oraz numerami IRQ. Mogą one być potrzebne równie\ przed
zainstalowaniem docelowego systemu operacyjnego.
Drives: Disk Space i Volume Info (Dyski: Dostępne miejsce, Informacje
o woluminach). Przedstawione na rysunku 11.10 moduły dostarczają istotnych
informacji statystycznych o bie\Ä…cym stanie dysku oraz konfiguracji woluminu.
Dzięki nim uzyskamy komplet danych o partycjach komputera.
D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc 615
616 Hack Wars. Tom 1. Na tropie hakerów
Rysunek 11.9.
Moduł Cmos Contents
Rysunek 11.10.
Moduły informacji
o dyskach
Memory Status (Dane pamięci), Power Stats (Informacje o zasilaniu)
i Processor Info (Informacje o procesorze). Moduły przedstawione
na rysunku 11.11 dostarczają ogólnych informacji o pamięci, systemie zasilania
i procesorze, u\ytecznych na ka\dym etapie analizy zabezpieczeń i praktycznego
sprawdzania odporności systemu. Na podstawie uzyskanych w ten sposób danych
ustalić mo\na dopuszczalne obcią\enie systemu: liczbę wątków skanujących
lub modułów rozpoznawania systemów czy liczbę sprawdzanych jednocześnie
adresów sieciowych.
616 D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc
Rozdział 11. f& TigerSuite kompletny pakiet narzędzi do badania i ochrony sieci 617
f&
f&
f&
Rysunek 11.11.
Moduły informacji
o pamięci i procesorze
Moduły grupy Internetworking
Moduły dostarczające danych o pracy sieci otwieramy, korzystając z podmenu
widocznego na rysunku 11.12. Jest to zestaw snifferów, czyli analizatorów
komunikacji sieciowej, narzędzi bezcennych przy badaniu problemów z siecią.
Pozwalają one uzyskać informacje o tym, jakiego rodzaju pakiety faktycznie są
między węzłami sieci przesyłane. Ka\de z tego zestawu prostych narzędzi
przechwytuje z przyłącza sieciowego (karty lub modemu) wszelkie dane
przychodzÄ…ce i wychodzÄ…ce, przedstawiajÄ…c ich zestawienie w postaci tabeli.
Rysunek 11.12.
Uruchamianie
modułów analizy
komunikacji
sieciowej
Oto opisy modułów.
IP Stats (Statystyki IP). Zestawienia statystyczne reprezentujące obsługę tras IP,
wymianę datagramów, stosowanie fragmentacji, powtórne łączenie pakietów
oraz błędy w nagłówkach (patrz rysunek 11.13). Przypomnijmy, zadaniem
protokołu IP jest łączenie sieci w sposób pozwalający na wymianę pakietów
w całym obszarze Internetu. Składają się nań dane adresowe i sterujące,
decydujące o wyborze odpowiednich tras czy te\ marszrut pakietów.
Wyposa\enie realizujące obsługę pakietów IP odczytuje ich nagłówki, których
zawartość decyduje o dalszej wędrówce danych. W trakcie jej trwania nagłówki
są równie\ modyfikowane. Datagram IP to podstawowa jednostka danych
w Internecie, jednak dla zapewnienia obsługi łączy o ró\nych jednostkach
przesyłania wymagany mo\e być jej dalszy podział, po którym zawsze musi
nastąpić ponowne zestawienie datagramu w całość. W skład pakietu wchodzą
dane sterujÄ…ce (specyfikacja trasy) oraz dane u\ytkownika. Informacje te mogÄ…
zostać skopiowane, zmodyfikowane lub zastąpione fałszywymi.
D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc 617
618 Hack Wars. Tom 1. Na tropie hakerów
Rysunek 11.13.
Moduł statystyk IP
ICMP Stats (Statystyki ICMP). Zestawienia, które reprezentują przychodzące
(In) i wychodzÄ…ce (Out) komunikaty ICMP (patrz rysunek 11.14). SÄ… one
najczęściej wykorzystywane w atakach związanych z przecią\aniem pakietami
(flooding) i podrabianiem adresów (spoofing). Internetowy protokół informacji
sterujących słu\y do przesyłania komunikatów o błędach i innych istotnych
dla funkcjonowania sieci informacji na adres wyró\nionej stacji gromadzącej
dane lub zródła \ądania ICMP. Stacje i wyposa\enie sieciowe wykorzystują
protokół do wymiany ró\norodnych informacji sterujących, związanych
z przetwarzaniem pakietów IP. Kapsułkowanie komunikatów ICMP przebiega
dwuetapowo: komunikaty umieszczane sÄ… w datagramach IP, a te z kolei
w przesyłanych przez sieć ramkach. Komunikacja ICMP podlega podobnym
ograniczeniom niezawodności co komunikacja datagramowa komunikaty
błędów ICMP mogą więc ulegać duplikowaniu lub zagubieniu.
Rysunek 11.14.
Moduł statystyk ICMP
618 D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc
Rozdział 11. f& TigerSuite kompletny pakiet narzędzi do badania i ochrony sieci 619
f&
f&
f&
Network Parameters (Parametry sieci). W tym module znajdziemy skrót
podstawowych informacji, u\ytecznych podczas sprawdzania poprawności
konfiguracji podrabiania adresów oraz aktualnych ustawień sieci i routingu.
TCP Stats (Statystyki TCP). Protokół IP ma wiele słabych stron, z których
jako podstawową wymienić nale\y zawodność dostarczania pakietów (mogą
one zostać odrzucone w wyniku błędów transmisji, niewłaściwych tras czy
obni\enia przepustowości). Protokół TCP pozwala zaradzić tego rodzaju
problemom, zapewniajÄ…c gwarantowanÄ… komunikacjÄ™ opartÄ… na strumieniach
danych. Ten właśnie protokół, uzupełniający funkcje protokołu IP, określić
mo\na jako rdzeń całej rodziny TCP/IP. Wyznacza on sposób ustanawiania
połączeniowej komunikacji między dwoma stacjami sieci. Dane strumienia
TCP zliczane sÄ… i porzÄ…dkowane w oparciu o 32-bitowy numer sekwencyjny
(SEQ). Jest on zapisany w pierwszym bajcie ka\dego pakietu TCP. Ostatnim
bajtem jest ACK numer potwierdzenia. Wysoką wydajność transmisji
strumieniowej zapewnia mechanizm okien przesuwnych (sliding windows).
Pozwalają one wysyłać grupę pakietów bez oczekiwania na odbiór potwierdzenia
dostarczenia ka\dej pojedynczej jednostki danych. PrzeciÄ…\anie bufora odbioru
TCP (TCP flooding) nale\y do typowych form zakłócania pracy sieci. Moduł
danych statystycznych (patrz rysunek 11.15) pomaga monitorować i weryfikować
skuteczność tego rodzaju działań.
Rysunek 11.15.
Moduł statystyk TCP
UDP Stats (Statystyki UDP). Dla protokołu UDP charakterystyczne jest
multipleksowanie i demultipleksowanie jednostek informacji na styku protokołów
sieciowych i oprogramowania aplikacyjnego. Multipleksowanie to termin
oznaczający przesyłanie wielu sygnałów w pojedynczym strumieniu,
przesyłanym pojedynczym kanałem komunikacyjnym. Demultipleksowanie
jest procesem odwrotnym, pozwalającym na drugim końcu strumienia rozdzielić
dane. Operacje te w protokole UDP ściśle wią\ą się z portami. Przed przesłaniem
datagramu UDP aplikacja musi uzgodnić numer portu docelowego. Strona
odbierająca datagram wyszukuje w nagłówku numer portu docelowego i zestawia
go z listą wykorzystywanych (otwartych) portów. Transmisja dochodzi do skutku,
D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc 619
620 Hack Wars. Tom 1. Na tropie hakerów
gdy z odpowiednim portem powiązana została obsługująca go aplikacja.
W pozostałych przypadkach datagram jest odrzucany, generowany jest natomiast
komunikat ICMP. PrzeciÄ…\anie datagramami UDP jest kolejnÄ… standardowÄ…
techniką ataków sieciowych. Moduł monitorujący (patrz rysunek 11.16)
pozwala przeprowadzać analizę takich ataków i sprawdzać ich skuteczność.
Rysunek 11.16.
Moduł statystyk UDP
TigerBox Tookit
Zestaw narzędzi TigerBox dostępny będzie po kliknięciu ikony TigerSuite na pasku
zadań, rozwinięciu menu TigerBox Toolkit, a następnie Tools (Narzędzia), co widać na
rysunku 11.17.
Rysunek 11.17.
Uruchamianie
narzędzi
TigerBox Toolkit
TigerBox Tools
Przedstawione na kolejnych stronach narzędzia TigerBox pozwalają przeprowadzać
kompleksowe rozpoznawanie sieci. Nale\ą do nich moduły generujące zapytania Finger,
DNS, Hostname, NS lookup, Traceroute i Whois. Zapewnić mają mo\liwość
nawiązania komunikacji z dowolnym routerem, mostem, przełącznikiem,
koncentratorem, komputerem osobistym, stacją roboczą lub serwerem. Szczegółowe
raporty, zgodne z formatem przeglądarek WWW, pozwalają wykorzystać narzędzia
równie\ w analizowaniu konfiguracji sieci i zarządzaniu nią. Jak pisaliśmy ju\
wcześniej, narzędzia tego rodzaju są kluczowym elementem fazy rozpoznania sieci,
niezbędnej w ka\dym profesjonalnym audycie zabezpieczeń.
Finger Query (Zapytanie Finger). Moduł klienta przesyłający zapytanie
do demona usługi Finger (fingerd), która ujawniać mo\e istotne informacje
o kontach, przede wszystkim imiÄ™ i nazwisko u\ytkownika oraz datÄ™ i godzinÄ™
ostatniego logowania. Demon Finger pozostaje często aktywny w domenach
620 D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc
Rozdział 11. f& TigerSuite kompletny pakiet narzędzi do badania i ochrony sieci 621
f&
f&
f&
.edu, .net i .org. Zazwyczaj jednak zasady bezpieczeństwa nakazują wyłączenie
usługi. Powiązanie obecności demona Finger z NIS czyni system szczególnie
podatnym na ataki DoS.
DNS Query (Zapytanie DNS). Mechanizm DNS (patrz rysunek 11.18) u\ywany
jest przede wszystkim do tłumaczenia nazw domen na adresy IP, sterowania
dostarczaniem poczty internetowej oraz przekierowywania zapytań HTTP
i odwołań do domen. Na usługę katalogową DNS składają się dane, serwery
oraz protokoły internetowe, pozwalające pobierać dane z serwerów. Rekordy
w katalogu DNS rozdzielone są pomiędzy pewną liczbę plików, nazywanych
strefami. Te z kolei rozmieszczone są na serwerach w całym Internecie, które
odpowiadają na sformułowane zgodnie z wymaganiami protokołu DNS
zapytania. Większość serwerów pełni funkcje autorytatywnych dla pewnych
stref i jednocześnie buforujących dane uzyskane o pozostałych. Moduł DNS
generuje zapytania pozwalające uzyskać niezbędne dla hakera informacje ju\
w pierwszych krokach. Poni\ej przedstawiamy listę typów rekordów
zasobowych DNS.
Rysunek 11.18.
Moduł zapytań DNS
Nazwa skrócona Typ Nazwa typu Nr RFC
A 1 Adres. 1035
AAAA 28 Adres IPv6. 1886
AFSDB 18 Lokalizacja bazy danych AFS. 1183
CNAME 5 Nazwa kanoniczna. 1035
GPOS Poło\enie geograficzne (wycofany). 1712
HINFO 13 Dane stacji. 1035
ISDN 20 Integrated Services Digital Network. 1183
KEY Klucz publiczny. 2065
KX Wymiennik kluczy. 2230
D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc 621
622 Hack Wars. Tom 1. Na tropie hakerów
Nazwa skrócona Typ Nazwa typu Nr RFC
LOC Lokalizacja. 1876
MB 7 Skrzynka pocztowa. 1035
MD Lokalizacja docelowa poczty (wycofany). 1035
MF Przekaznik poczty (wycofany). 1035
MG 8 Członek grupy pocztowej. 1035
MINFO 14 Dane skrzynki pocztowej lub listy wysyłkowej. 1035
MR 9 Przemianowanie domeny skrzynki pocztowej. 1035
MX 15 Przekaznik poczty. 1035
NS 2 Serwer nazw. 1035
NSAP Adres punktu dostępowego usługi sieciowej. 1348, 1637, 1706
NSAP-PTR Protokół dostępowy usługi sieciowej (wycofany). 1348
NULL 10 Rekord pusty. 1035
NXT Następny. 2065
PTR 12 Wskaznik. 1035
PX Wskaznik do danych X.400/RFC822. 1664
RP 17 Osoba odpowiedzialna. 1183
RT 21 Trasować przez (u\ywany z rekordami X.25 i ISDN). 1183
SIG Sygnatura szyfrowania. 2065
SOA 6 Początek strefy uprawnień. 1035
SRV Serwer. 2052
TXT 16 Tekst. 1035
WKS 11 Usługa powszechna (well-known service). 1035
X.25 19 X.25. 1183
Przykładowe zapytanie DNS, dotyczące jednej z najpopularniejszych wyszukiwarek
internetowych, Yahoo (www.yahoo.com), zwraca następujące dane:
->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13700
;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 3, ADDITIONAL:
19
;; yahoo.com, type = ANY, class = IN
yahoo.com. 12h44m31s IN NS NS3.EUROPE.yahoo.com.
yahoo.com. 12h44m31s IN NS NS1.yahoo.com.
yahoo.com. 12h44m31s IN NS NS5.DCX.yahoo.com.
yahoo.com. 23m3s IN A 204.71.200.243
yahoo.com. 23m3s IN A 204.71.200.245
yahoo.com. 3m4s IN MX 1 mx2.mail.yahoo.com.
yahoo.com. 3m4s IN MX 0 mx1.mail.yahoo.com.
yahoo.com. 12h44m31s IN NS NS3.EUROPE.yahoo.com.
yahoo.com. 12h44m31s IN NS NS1.yahoo.com.
yahoo.com. 12h44m31s IN NS NS5.DCX.yahoo.com.
NS3.EUROPE.yahoo.com. 1h13m23s IN A 194.237.108.51
NS1.yahoo.com. 7h18m19s IN A 204.71.200.33
NS5.DCX.yahoo.com. 1d2h46m6s IN A 216.32.74.10
mx2.mail.yahoo.com. 4m4s IN A 128.11.23.250
mx2.mail.yahoo.com. 4m4s IN A 128.11.68.213
622 D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc
Rozdział 11. f& TigerSuite kompletny pakiet narzędzi do badania i ochrony sieci 623
f&
f&
f&
mx2.mail.yahoo.com. 4m4s IN A 128.11.68.139
mx2.mail.yahoo.com. 4m4s IN A 128.11.68.144
mx2.mail.yahoo.com. 4m4s IN A 128.11.23.244
mx2.mail.yahoo.com. 4m4s IN A 128.11.23.241
mx2.mail.yahoo.com. 4m4s IN A 128.11.68.146
mx2.mail.yahoo.com. 4m4s IN A 128.11.68.158
mx1.mail.yahoo.com. 4m4s IN A 128.11.68.218
mx1.mail.yahoo.com. 4m4s IN A 128.11.68.221
mx1.mail.yahoo.com. 4m4s IN A 128.11.23.238
mx1.mail.yahoo.com. 4m4s IN A 128.11.68.223
mx1.mail.yahoo.com. 4m4s IN A 128.11.68.100
mx1.mail.yahoo.com. 4m4s IN A 128.11.23.198
mx1.mail.yahoo.com. 4m4s IN A 128.11.23.250
mx1.mail.yahoo.com. 4m4s IN A 128.11.23.224
IP/Hostname Finder (Wyszukiwarka IP/nazw stacji). Jest to prosty moduł
pozwalający wysłać zapytanie o adres IP (dla nazwy stacji) lub nazwę stacji
(dla adresu IP). UÅ‚atwia on szybkie uzyskanie tych prostych danych w trakcie
badania sieci. Jak widać na rysunku 11.19 wprowadzamy nazwę stacji
i klikamy Get IP Address.
Rysunek 11.19.
Moduł IP/Hostname
Finder zamieni
adres IP na nazwÄ™
stacji po zaznaczeniu
pola wyboru
NS Lookup (Zapytanie NS). Moduł ten jest zaawansowaną odmianą opisanego
powy\ej IP/Hostname Finder. Wyszukuje dodatkowe adresy stacji powiÄ…zane
z podanÄ… nazwÄ… (patrz rysunek 11.20).
Rysunek 11.20.
Moduł NS Lookup
Telnet Session (Sesja Telnet). Zanim jeszcze pojawiły się przeglądarki WWW,
a nawet sama światowa pajęczyna , komunikacja komputerów przyłączonych
D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc 623
624 Hack Wars. Tom 1. Na tropie hakerów
do Internetu opierała się bardzo często na protokole Telnet, wierszu poleceń
i przesyłaniu dokumentów tekstowych. W ogólnym zarysie końcówka sieci
(terminal) połączona była bezpośrednio z du\ym systemem głównym (host
system). Stosowana obecnie forma klienta usługi Telnet to emulator końcówki
sieciowej symuluje terminal przyłączony bezpośrednio do stacji głównej.
Faktycznie w komunikacji pośredniczy Internet. Zwyczajowo stosowany jest
port TCP 23. Przypomnijmy sobie wcześniejszy opis komunikacji z wirtualnym
przyłączem administracyjnym routera. Moduł Telnetu pomocny będzie w fazie
rozpoznania sieci zarówno w komunikacji z routerami, jak i portami SMTP
oraz POP serwerów i wieloma innymi.
Trace Route (Śledzenie trasy). Narzędzie Trace Route (patrz rysunek 11.21)
wyświetla informacje o trasie, którą dane wędrują pomiędzy węzłem
wysyłającym a docelowym. Obejmują one kolejne przeskoki (pomiędzy
kolejnymi routerami lub serwerami) i czas ich trwania. Jest to pomocne narzędzie
w trakcie rozwiązywania problemów z łącznością między sieciami. Hakerowi
pozwala dowiedzieć się, jakie sieci łączą jego komputer ze stacją docelową.
Umo\liwia równie\ ustalenie lokalizacji zapory firewall.
Rysunek 11.21.
Åšledzenie tras
WhoisQuery (Zapytanie Whois). Narzędzie Whois (rysunek 11.22) słu\y
do wyszukiwania rekordów w bazie danych ośrodków rejestracyjnych NSI.
Ka\dy rekord w bazie charakteryzuje unikatowy identyfikator, nazwa, typ
rekordu i ró\norodne dalsze pola. Aby uzyskać informacje o domenie, wystarczy
w oknie programu wpisać jej nazwę. Je\eli odpowiednie zapisy nie zostaną
odnalezione w ośrodku, do którego zapytanie jest bezpośrednio kierowane,
zapytanie Whois u\yje rejestru wspólnego (Shared Registry System). Informacji
o domenie dostarczy wówczas jeden z pozostałych ośrodków rejestracyjnych.
624 D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc
Rozdział 11. f& TigerSuite kompletny pakiet narzędzi do badania i ochrony sieci 625
f&
f&
f&
Rysunek 11.22.
Moduł zapytań Whois
TigerBox Scanners
Podstawowym celem skanowania jest zgromadzenie informacji o mo\liwie największej
ilości portów i wyró\nienie tych, na których prowadzony jest nasłuch i które mogą być
w danej sytuacji u\yteczne. Program skanujący podaje listę portów aktywnych, które
mo\na następnie wykorzystać w badaniu czy te\ atakowaniu systemu. Włączone do
pakietu moduły skanujące zapewnić mają mo\liwość przeprowadzania skanowań
zaawansowanych i niewidocznych . Lista modułów obejmuje: Ping Scanner, IP
Range Scan, IP Port Scanner, Network Port Scanner, Site Query Scan i Proxy
Scanner.
Narzędzia uruchamiamy, klikając ikonę TS na pasku zadań TigerBox Toolkit/Scanners
i wybierajÄ…c odpowiedniÄ… pozycjÄ™ (patrz rysunek 11.23).
Rysunek 11.23.
Uruchamianie
skanerów TigerBox
We wszystkich narzędziach tej grupy dostępne jest pomocnicze menu, dostępne po
kliknięciu prawym przyciskiem adresu IP w polu danych wyjściowych (patrz rysunek
11.24). Ułatwia ono szybkie wywoływanie podstawowych narzędzi w odniesieniu do
wybranego adresu.
D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc 625
626 Hack Wars. Tom 1. Na tropie hakerów
Rysunek 11.24.
Wywoływanie
narzędzi po kliknięciu
prawym klawiszem
Oto opisy modułów skanujących.
Ping Scanner (Skaner Ping). Dla przypomnienia polecenie Ping wysyła
pakiet do stacji zdalnej lub lokalnej, \ądając przesłania prostej odpowiedzi
( echa ). Potwierdza ona aktywność stacji, a zarazem jej podatność na ataki
DoS wykorzystujące port usługi Echo. Brak odpowiedzi oznaczać mo\e:
niedostępność stacji, problemy z sieciami pośredniczącymi w komunikacji lub
obecność urządzenia filtrującego, które blokuje pracę usługi Echo. Ping jest
więc przede wszystkim narzędziem diagnostycznym, słu\ącym do weryfikowania
łączności między stacjami. Z technicznego punktu widzenia przesyła pakiet
Echo Request protokołu ICMP i wyświetla informacje o ka\dym odebranym
pakiecie Echo Reply. Standardowo pakiety wysyłane są co sekundę i ka\demu
z nich odpowiada jeden wiersz danych wyjściowych. Przed zakończeniem
pracy programu podawane jest krótkie podsumowanie informacji o czasie
wędrówki pakietów (w obie strony) i ilości pakietów utraconych. Moduł
skanera Ping umo\liwia przeprowadzanie skanowania Ping o samodzielnie
dobranych parametrach oraz skanowania półcichego (half-stealth). Dobierać
mo\na limit czasowy oczekiwania, rozmiar i liczbę wysyłanych pakietów.
IP Range Scan (Skanowanie zakresu IP). Rozbudowana wersja skanera Ping
(patrz rysunek 11.25). Przegląda całość określonego zakresu adresów i dostarcza
informacji o tym, które z nich są aktywne. Tego rodzaju operacja jest zazwyczaj
jednym z pierwszych kroków w gromadzeniu informacji o sieci docelowej.
IP Port Scanner (Skaner portów IP) i Network Port Scanner (Skaner portów
sieci) (patrz rysunek 11.26). Moduły wykonujące skanowanie portów
pojedynczego adresu IP (IP Port Scanner) lub całego zakresu (Network Port
Scanner). W porównaniu wydajności TigerSuite i popularnego oprogramowania
skanującego, opartym na 10 000 portów w sieci klasy C, TigerSuite uzyskał
w 9 minut dane, na których zebranie inne programy potrzebowały średnio
65 minut.
626 D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc
Rozdział 11. f& TigerSuite kompletny pakiet narzędzi do badania i ochrony sieci 627
f&
f&
f&
Rysunek 11.25.
Moduł skanowania
zakresu adresów IP
Rysunek 11.26.
Moduły skanowania
portów
Site Query Scan (Skanowanie ośrodka) i Proxy Scanner (Skaner proxy).
Moduły te mają za zadanie zgromadzić informacje o oprogramowaniu badanego
węzła. Korzystając z podanego adresu lub nazwy stacji, wykonują serię zapytań
zwracane dane obejmują typ i wersję systemu operacyjnego oraz demonów
FTP, HTTP, SMTP, POP3, NNTP, DNS, Socks, Proxy, Telnet, IMAP, Samba,
SSH i Finger. Pozwala to uniknąć samodzielnego wykonywania serii czynności
stanowiÄ…cych istotny element analizy celu ataku.
TigerBox Penetrators
Praktyczny przeglÄ…d luk w zabezpieczeniach systemu lub sieci jest jedynÄ… drogÄ…
uzyskania potwierdzenia, \e zasady bezpieczeństwa i programy ochronne funkcjonują
właściwie. Moduły penetracyjne TigerSuite zapewnić mają mo\liwość
przeprowadzenia dopracowanych ataków, skutecznie identyfikując istniejące w
systemie luki. Dzięki nim uzyskamy szczegółowy przegląd potencjalnych zagro\eń
zarówno zewnętrznych, jak i wewnętrznych.
D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc 627
628 Hack Wars. Tom 1. Na tropie hakerów
Narzędzia penetracyjne uruchamiamy, klikając ikonę TS na pasku zadań i wybierając
TigerBox Toolkit | Penetrators. Wyświetlane jest wówczas menu przedstawione na
rysunku 11.27. Lista modułów obejmuje: Buffer Overloader, FTP Cracker, FTP Flooder,
HTTP Cracker, HTTP Flooder, Mail Bomber, Mail Cracker, Password Crackers,
Ping Flooder, Server-Side Crasher, Spammer, TigerBreach Penetrator i WinCrasher.
Rysunek 11.27.
Uruchamianie
narzędzi
penetracyjnych
TigerBox Simulators
TigerSim Virtual Server Simulator skróci czas nauki stosowania technik penetracyjnych.
Pozwala on symulować wybrane demony serwerów sieciowych (pocztowych, HTTP,
Telnet, FTP i innych).
Narzędzie symulacyjne uruchamiamy po kliknięciu ikony TS na pasku zadań i
wybraniu TigerBox Toolkit | Simulators. Wyświetlane jest wówczas menu
(przedstawione na rysunku 11.28), z którego wybieramy pozycję TigerSim Virtual
Server Simulator.
Rysunek 11.28.
Uruchamianie
narzędzia
symulacyjnego
Wymagania symulatora są takie same jak całości pakietu TigerSuite.
Procesor: Pentium 160+.
RAM: 64 MB.
HDD: 8 GB.
Karta graficzna i monitor: co najmniej 1024 x 768 x 16 K.
Sieć: dwie karty sieciowe, z których co najmniej jedna obsługuje tryb pasywny
lub odbierania.
Inne: trójklawiszowa mysz, CD-ROM i stacja dyskietek.
628 D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc
Rozdział 11. f& TigerSuite kompletny pakiet narzędzi do badania i ochrony sieci 629
f&
f&
f&
Po uruchomieniu symulatora poszczególne serwery wirtualne uaktywniamy
bezpośrednio z głównego okna programu. Na rysunku 11.29 przedstawiony został
demon serwera HTTP, z którym nawiązał połączenie program klienta firmy Netscape.
Rysunek 11.29.
TigerSim Virtual
Server Simulator
Session sniffer, czyli analizator sesji, umo\liwia śledzenie przebiegu transakcji
komunikacyjnych od strony serwera WWW. Ułatwia to monitorowanie prób penetracji,
sprawdzanie efektów technik podrabiania pakietów, rejestrowanie śladów włamania i
wiele innych czynności. Pole Script pozwala generować odpowiedzi, ładować skrypty i
przekazywać inne dane do stacji, z której prowadzone jest włamanie (patrz rysunek
11.30).
Rysunek 11.30.
Analizator sesji
Przykładowy scenariusz włamania
W rozdziałach od 4. do 8. opisywaliśmy techniki związane z pierwszymi fazami audytu
zabezpieczeń na przykładzie firmy XYZ, Inc. Teraz uzyskamy analogiczne dane przy
u\yciu TigerSuite i przejdziemy do kolejnych etapów badania wra\liwości na włamania.
D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc 629
630 Hack Wars. Tom 1. Na tropie hakerów
Dane uzyskane w trakcie przedstawionej analizy zostały całkowicie zmienione, aby nie
ujawniać prawdziwej nazwy firmy i informacji o jej sieci.
W przykładzie wykorzystamy komputer z uruchomionych pakietem TigerSuite,
innymi opisywanymi w ksią\ce narzędziami, dostępem do Internetu oraz sieć firmy
docelowej (XYZ, Inc.).
Krok 1. Badanie celu
W fazie badania celu wykorzystamy następujące techniki: wyszukiwanie w
Internecie, zapytanie Whois, przeglÄ…d witryny WWW firmy w celu uzyskania
nazwisk pracowników i (lub) ich adresów e-mail oraz przegląd zasobów Underground
w poszukiwaniu gotowych schematów włamań, łamania zabezpieczeń i wskazówek
zwiÄ…zanych z naszym celem.
W rozdziale 4. opisaliśmy procedury Whois, podkreślając przy tym wagę ich
przeprowadzenia. Teraz uprościmy je, korzystając z modułu Whois Query.
Rozpoczynamy jednak od określenia domeny docelowej przy u\yciu znanych
wyszukiwarek internetowych: Yahoo (www.yahoo.com), Lycos (www.lycos.com),
AltaVista (www.altavista.com), Excite (www.excite.com), InfoSeek (infoseek.go.com),
LookSmart (www.looksmart.com), Thunderstone (search.thunderstone.com) i Netscape
(search.netscape.com). Ilustruje to rysunek 11.31.
Rysunek 11.31.
Badanie celu przy
u\yciu wyszukiwarek
internetowych
Gdy ju\ znamy domenÄ™ docelowÄ… (www.xyzinc.net), klikamy ikonÄ™ TigerSuite na
pasku zadań i wybieramy z menu TigerBox Toolkit | Tools | Whois Query. Program
ten pozwoli nam uzyskać informacje o domenie, dostępne w Network Solutions
(firmie odpowiedzialnej za ich utrzymywanie w zakresie obszaru Ameryki
Północnej). Jego działanie przedstawiamy na rysunku 11.32.
630 D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc
Rozdział 11. f& TigerSuite kompletny pakiet narzędzi do badania i ochrony sieci 631
f&
f&
f&
Rysunek 11.32.
Zapytanie Whois
Jak łatwo zauwa\yć, znaczącymi informacjami są tu: adres e-mail administratora i dane
serwerów domeny:
Administrative Contact, Technical Contact: hostmaster@xyzinc.net
Domain servers listed in order:
NS1.XYZINC.NET 206.0.139.2
NS2.XYZINC.NET 206.0.139.4
Wykorzystamy je w dalszych krokach.
Kolejną częścią analizy celu ataku będzie szczegółowy przegląd witryny WWW
domeny. Zadaniem hakera jest odnalezienie, uzupełniających dane, nadu\yć
informacyjnych . Nale\Ä… do nich: elementy diagramu sieci, wzmianki o platformie
serwera, osobiste adresy e-mail, lokalizacje centrów danych, prefiksy numerów
telefonów itp. Jest doprawdy zadziwiające, jak wiele powa\nych firm lekkomyślnie
udostępnia informacje o stosowanych platformach systemowych i zaporach
sieciowych. Wywołujemy więc www.xyz.com i szukamy prezentów . (patrz rysunek
11.33).
Rysunek 11.33.
Poszukiwanie
dodatkowych
wskazówek
w witrynie WWW
D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc 631
632 Hack Wars. Tom 1. Na tropie hakerów
W naszej przykładowej analizie wykorzystamy luki typowe, obecne w większości
współcześnie stosowanych rozwiązań. Strona przedstawiona na rysunku 11.33 jest
takim standardem, ujawniajÄ…cym zarazem trzy istotne informacje: imiÄ™ i nazwisko,
adres e-mail oraz prawdopodobny typ demona WWW.
Hakerzy wykorzystują w badaniu celu ataków wiele wymyślnych praktyk. Wiedzę
o nich z powodzeniem ugruntować mo\na, przeszukując ośrodek grupy Underground
za pośrednictwem niesławnego portalu AstaLaVista (www.astalavista.com), którego
stronę główną przedstawiamy na rysunku 11.34. AstaLaVista to jeden ze znanych
oficjalnych pająków , obejmujących swoim zasięgiem ośrodek Undergroundu.
Rysunek 11.34.
Przeszukiwanie
ośrodka Underground
Krok 2. Rozpoznanie
Kolejnym krokiem w naszej przykładowej analizie będzie rozpoznanie. W oparciu o
cenne informacje, zgromadzone na etapie badania celu, w tej fazie przeprowadzimy
skanowanie adresów IP i portów oraz prześlemy zapytania do usług serwerów. Zanim
jednak rozpoczniemy, przyjrzyjmy się danym, które ju\ mamy:
adres administratora (techniczny):
hostmaster@xyzinc.net
serwery domeny, kolejno:
NS1.XYZINC.NET 206.0.139.2
NS2.XYZINC.NET 206.0.139.4
632 D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc
Rozdział 11. f& TigerSuite kompletny pakiet narzędzi do badania i ochrony sieci 633
f&
f&
f&
adres kontaktowy firmy:
Tom Friedman z działu Public Relations
Email: pr@xyz.inc.net
prawdopodobna wersja demona serwera WWW:
Microsoft Internet Information Server (IIS)
Rozpoczniemy od odwzorowania nazwy domeny docelowej do adresu IP. U\yjemy
narzędzia TigerSuite o nazwie IP/Hostname Finder (patrz rysunek 11.35).
Rysunek 11.35.
Odwzorowanie nazwy
stacji
Poniewa\ adresy IP serwerów nale\ą do tej samej sieci, mo\emy zało\yć, \e granice
sieci docelowej wyznacza klasa C adresów 206.0.139.0/24. Na tej podstawie dalsze
moduły rozpoznawcze uruchamiać mo\emy w zasadzie w dowolnej kolejności.
Odwołamy się przede wszystkim do narzędzia TigerSuite SiteQuery Scan (patrz
rysunek 11.36).
Rysunek 11.36.
Site Query Scan
Tak jak się spodziewaliśmy, demonem serwera WWW jest IIS, wersja 4, pracująca na
serwerze NT i korzystająca z protokołu HTTP w wersji 1.1. Przypomnijmy sobie
teraz słabe punkty IIS, opisywane w rozdziale 8. ich u\ycie pozwoli praktycznie
ocenić zagro\enie złamania strony WWW.
D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc 633
634 Hack Wars. Tom 1. Na tropie hakerów
Przechodzimy z kolei do skanowania portów. W narzędziu IP Range Scan podajemy
początkowy i końcowy adres sieci klasy C. Program wyszuka dla nas dalsze aktywne
węzły (patrz rysunek 11.37).
Rysunek 11.37.
Przeszukiwanie sieci
Na podstawie zebranych danych haker określiłby administratora sieci w XYZ, Inc
jako lamera , zle przygotowanego lub mało doświadczonego specjalistę, którego
posada jest ju\ zagro\ona, o ile tylko wykryte węzły zawierają dalsze luki w
zabezpieczeniach. Zapisujemy:
Adres IP Nazwa DNS
206.0.139.8 mtopel.xyzinc.net
206.0.139.89 kflippel.xyzinc.net
Mo\na oczekiwać, \e nazwy te pochodzą od nazw u\ytkowników, prawdopodobnie
informatyków firmy, którzy otwarli dla swoich węzłów porty zapory. Istnieją więc
prawdopodobnie dalsze adresy e-mail: mtopel@xyzinc.net i kflippel.xyzinc.net.
Narzucającym się więc kolejnym krokiem będzie wywołanie kolejnego modułu
TigerSuite: IP Port Scanner. Na rysunku 11.38 przedstawiamy skrót uzyskanych
informacji.
Wyraznie widać, \e administratorzy odpowiedzialni za bezpieczeństwo sieci przeoczyli
dziury wręcz monumentalne. Zobaczmy, co przyniesie kolejny krok.
Krok 3. Socjotechnika
We wcześniejszych rozdziałach opisaliśmy ró\ne postacie socjotechniki, powszechnie
stosowanych przez hakerów na całym świecie. W tym przykładzie ujawniliśmy ju\
dość luk, aby wywołać klęskę \ywiołową w bezbronnej sieci xyzinc.net. Mimo to, dla
634 D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc
Rozdział 11. f& TigerSuite kompletny pakiet narzędzi do badania i ochrony sieci 635
f&
f&
f&
uzupełnienia naszego ćwiczenia, zagłębimy się jeszcze w najprzebieglejszą z technik
pracy z ludzmi : spam z koniem trojańskim (backdoor mail spam).
Rysunek 11.38.
Wyniki skanowania
Atak tego rodzaju pozwoli w prosty sposób uzyskać, utrzymać i ukryć dostęp do
systemu docelowego. Korzystając z narzędzia TigerSuite Penetrator Spammer lub
innych, wymienionych w rozdziale 7. i dołączonych do ksią\ki na CD-ROM-ie,
wysyłamy odpowiednio spreparowaną wiadomość e-mail z załącznikiem na adresy:
hostmaster@xyz.inc.net
pr@xyzinc.net
mtoppel@xyzinc.net
kflippel@xyzinc.net
Na ka\dy z nich wysyłamy wersje konia trojańskiego dla systemów UNIX i Windows
nawet, je\eli dwie z badanych stacji na pewno pracują pod kontrolą Uniksa (co widać
po wynikach skanowania portów). Wiadomości powinny mieć tytuły w rodzaju
Narzędzie uaktualniania (wysłane przez producenta oprogramowania) lub Biuletyn
D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc 635
636 Hack Wars. Tom 1. Na tropie hakerów
informacyjny (z presti\owej firmy PR). Wszystko, czego oczekujemy, to
uruchomienie załącznika przez jednego z adresatów.
Krok 4. Atak
Przed rozpoczęciem korzystania z penetratorów TigerSuite lub przeprowadzeniem
ataków opisanych w poprzednich rozdziałach, dobrze jest poćwiczyć z symulatorem
TigerSim Virtual Server Simulator, jak równie\ z modułami monitorującymi (patrz
rysunek 11.39). Pozwoli to ustalić odpowiedni poziom wykorzystania zasobów i
optymalny sposób korzystania z narzędzi.
Rysunek 11.39.
Proaktywne
monitorowanie
zasobów
Podsumowanie
Temat bezpieczeństwa sieci przyciąga ostatnio wiele uwagi mediów, zwłaszcza ze
względu na potwierdzenia udanych włamań do ośrodków CIA, FBI i Białego Domu.
Najnowsze badania donoszą, \e włamania sieciowe kosztują podatników
amerykańskich setki tysięcy dolarów. Co to oznacza?
Nawet osoba niezwiązana z komputerami zauwa\y, \e konsekwencją mo\liwości
przeprowadzenia skutecznych włamań do agencji rządowych jest realne zagro\enie
włamaniami do sieci prywatnych. Informacje o sposobach zabezpieczania sieci
przedsiębiorstw są szeroko dostępne, jednak niewiele osób naprawdę umie z nich
korzystać. Jedynie największe i najbogatsze firmy mogą pozwolić sobie na
636 D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc
Rozdział 11. f& TigerSuite kompletny pakiet narzędzi do badania i ochrony sieci 637
f&
f&
f&
zatrudnianie ekspertów i inspektorów zabezpieczeń, którzy przeprowadzą
profesjonalną analizę stosowanych procedur bezpieczeństwa danych. Potrzeba
upowszechniania wiedzy w tym obszarze jest paląca i nie ma wątpliwości co do tego,
\e administratorzy sieci i osoby odpowiedzialne za przechowywanie kluczowych
danych firm powinny lepiej znać technologie, techniki i narzędzia wykorzystywane do
uzyskiwania nieuprawnionego dostępu do sieci. Kluczem do walki z włamywaczami
jest poznanie ich środowiska.
Jak wspominałem we wstępie, niniejsza ksią\ka napisana została z myślą o
administratorach oraz innego rodzaju specjalistach IT. Umo\liwić ma dokładne
zapoznanie siÄ™ z komunikacjÄ… i zabezpieczeniami sieciowymi nie dla samego
ujawniania sekretów hakowania , ale przede wszystkim dla stworzenia solidnej
podstawy wiedzy o naturze zagro\eń.
Ksią\ka niniejsza przyczynić się powinna do wzrostu świadomości. Włamania
sieciowe są zjawiskiem codziennym, które nie mo\e być dłu\ej ignorowane czy
traktowane lekcewa\ąco. Zbyt wielu administratorów doświadcza trudnych do
wyjaśnienia anomalii w działaniu sieci. Awarie serwerów, tracone wiadomości
pocztowe, tracone dane, ataki wirusów i inne zakłócenia kosztują wiele
roboczogodzin i wcią\ pozostawiają pytania, które domagają się odpowiedzi. Przerwa
w pracy sieci jest zmorą, której widmo prześladuje ka\dą współczesną firmę.
Jedną z przyczyn tego rodzaju sytuacji jest włamanie sieciowe. Jak firma zabezpiecza
się przed włamaniami sieciowymi? Wprowadzając jasne i przemyślane zasady
bezpieczeństwa sieci oraz uzupełniające ich stosowanie narzędzia. Niestety, wiele firm
nie posiada odpowiedniej wiedzy, zasobów lub mo\liwości wprowadzenia takich
zasad. W niniejszej ksią\ce prezentujemy dynamiczne podejście do zagadnień
bezpieczeństwa, posługując się opisami znanych, ale wcią\ aktualnych, technik
omijania mechanizmów ochronnych.
W tym momencie, drogi Czytelniku, chciałbyś ju\ zapewne przejść do kolejnego
stadium problemu skutecznej obrony przed zakusami hakerów. Tym tematem, jak
równie\ wieloma innymi, zajmiemy się w tomie drugim, Administrator
kontratakuje . Do zobaczenia.
D:\KISIU\PDFy\Chudy\KsiÄ…\ki\Hack_Wars_Tom_1\Hack_Wars_Tom_1\11.doc 637
Wyszukiwarka
Podobne podstrony:
m chat narzędzie do badania autyzmunarzędzia do badania RBQpl(2)narzędzia do badania RBQplNarzedzia do badania umiejętności emocjonalnychnarzędzia do badania RBQpl (2)Eksploatowanie narzędzi, maszyn i urządzeń do nawożenia i ochrony roślinnarzedzia do zarzadzania dyskamiNarzedzia do biznesu w siecinowe narzedzia do zarzadzania?za5 najlepszych narzędzi do testowania sprzętu5 3 1 10 Lab Użycie IOS CLI do badania tablicy adresów MAC przełącznikaNarzędzia do malowania 2więcej podobnych podstron