Enumeration

L’enumeration è quella tecnica che ci permette di capire che tipo di servizi e che risorse compongono l’infrastruttura che stiamo analizzando. Come si può immaginare una LAN può essere composta da molti apparati e da molte macchine server più o meno vulnerabili a seconda dell’accortezza e della cura nella gestione da parte del team security . Quali sono i dati che dovremmo raccogliere in questa fase?

1. Sistemi operativi che interoperano nella rete LAN
2. Servizi che girano sulle stazioni all’interno della LAN target
3. Versioni dei servizi

Requisiti

Per portare a termine questa fase abbiamo bisogno di alcune informazioni che abbiamo raccolto e ci siamo appuntati nelle precedenti fasi  della nostra “raccolta dati”, se vi siete persi qualche post sulle parti precedenti vi consiglio di dargli un occhiata prima di continuare a leggere. Quindi i dati importanti che dovremmo utilizzare in questa fase sono:

• Indirizzi IP
• Entry del DNS specifiche di un web server, Sip server etc.
• Porte aperte trovate sull’host/s target.

Arrivati a questo punto non ci rimane che identificare (nome e versione) dei processi in esecuzione su un determinata macchina, capire se vi sono delle remote procedure call (RPC) attive, che tipo di sistema operativo viene utilizzato (Fingerprint) e fare in modo di non essere rilevati dagli IDS (Intrusion Detection System).

Accenni teorici

Service Identification È quella metodologia che ci permette, con le porte aperte che abbiamo raccolto tramite la tecnica di scanning, di carpire informazioni utili tramite i banner che compaiono a video. Questi banner molte volte indicano che tipo di servizio e che versione stia girando sulla macchina target. In questa fase bisogna stare molto attenti ai falsi, in quanto un amministratore potrebbe avere taroccato ad-hoc queste informazioni per farci prendere lucciole per lanterne, depistandoci e portandoci sulla strada sbagliata. RPC (Remote Procedure Call) Le RPC sono chiamate a funzioni remote messe a disposizione da web services che offrono un determinato servizio.

Fingerprint Tecnica grazie alla quale riusciamo a rilevare il tipo e la versione di sistema operativo che sta girando sull’host vittima. Esistono due tipologie di tecniche: scansione passiva o attiva. La differenza tra attiva e passiva può essere riassunta nel modo seguente: la tecnica attiva si serve dei protocolli TCP e ICMP per compiere la propria analisi e rilevare il sistema operativo mentre quella passiva si occupa di analizzare il traffico di un servizio pubblico senza inviare alcuna richiesta o pacchetto ICMP/TCP, molto utilizzato in ambito di rete locale in cui vi è la possibilità di sniffare il traffico in transito. Concentrandoci sui metodi attivi, che sono quelli maggiormente utilizzati, approfondiamo un pò meglio il processo di fingerprint. Se viene utilizzato il protocollo TCP vuoldire che viene settato un flag all’interno dell’header che una volta ricevuto dall’host target, a seconda del sistema operativo, esso risponde in modo particolare. Dopo che sono stati inviati un pò di pacchetti vengono comparate le risposte con alcuni fingerprint conosciuti e determinato l’OS.

ICMP al contrario invia meno pacchetti del suo rivale TCP, quindi ci permette di avere una maggiore invisibilità e di conseguenza ci permette di essere meno rintracciabili.

Video

Parte I

Parte II

Parte III

Parte IV

Per le parti n. 5,6, 7, 8 ,9,10 seguire i link riportati di seguito:

1. Parte n. 5 – Enumeration
2. Parte n. 6 – Enumeration
3. Parte n. 7 – Enumeration
4. Parte n. 8 – Enumeration
5. Parte n. 9 – Enumeration
6. Parte n. 10 – Enumeration

Nel prossimo articolo vedremo e analizzeremo i principali strumenti utilizzabili per poter individuare in maniera abbastanza affidabile il sistema operativo e la relativa versione presente sul nostro sistema target.

Una poca attenzione nello strutturare le fasi di information gathering e enumeration scanning porta alla riduzione delle possibilità di successo del testing. Detto questo addentriamoci meglio nei dettagli.

Scanning

Durante questa fase, bisogna cercare di reperire più informazioni possibili riguardo il nostro target, all’inizio cerchermo di concentrarci specialmente su:

• che tipo di porte comunicano con l’esterno e che servizi sono attivi su quest’ultime.
• che tipo di sistema operativo ( o firmware) è presente sul nostro target.

Sono due punti importanti che meritano di essere sviscerati nel migliore dei modi, inoltre è indispensabile tenere bene a mente che il “tempo è denaro” quindi dev’essere utilizzato nel migliore dei modi concentrandosi solo su host che sono disponibili e che offrono servizi verso l’esterno. In fin dei conti non ci pagano per giocare ma per fornire un report dettagliato su quelle che sono le possibili vulnerabilità.

Come lavora uno scanner di rete

Uno scanner lavora scandagliando una rete e cercando di capire quali host sono attivi e rispondono a “stimoli esterni”. Un modo per sapere se un host è attivo e può essere raggiunto dall’esterno è quello di usare pacchetti ICMP, questo perchè molte volte nelle aziende di piccolo e medio calibro il protocollo ICMP non viene disabilitato in quanto utile per testare eventuali anomalie di comunicazione da parte degli host facenti parte della rete. Naturalmente non tutti i  team di rete applicano questo tipo di politica, quindi molte delle volte lo sfruttare questa tipologia di scansione non porta a risultati sperati. A questo punto se ci accorgiamo che ICMP è bloccato si può ovviare al problema utilizzando pacchetti TCP ACK, si sollecita l’host target con TCP ACK e si aspetta un TCP RST, solitamente questa tecnica permette di capire se l’host è attivo anche se nel mezzo vi sono dei firewall in quanto tendenzialmente il flusso su questa porta non viene bloccato. A questo punto dovreste aver segnato tutti gli host che hanno risposto alle vostre richieste e quindi poter sapere chi sono attivi e rispondono e chi invece sono inattivi e/o non raggiungibili.

Port Scanning

Esistono diversi tipi di port scanning, quello più utilizzato ma non esente da falsi positivi ( vuol dire che viene rilevato un servizio o un sistema operativo che non sono quelli installati sul host target) è il SYN SCAN.

Il SYN SCAN funziona in questo modo: si inoltra un pacchetto con il flag SYN impostato all’host target e si aspetta una risposta. A questo punto possono verificarsi due cose: riceviamo come risposta un pacchetto con i flag SYN/ACK settatti che indica che la porta e quindi il servizio in ascolto sono attivi e raggiungibili mentre la seconda può essere un pacchetto di ritorno con settato il flag RST, indica che la porta contattata non risponde. Questo tipo di tecnica e molto veloce e abbastanza invisibile ai log di sistema in quanto non termina la fase di handshaking (inzio di una comunicazione bidirezionale tra due host).

Altre tecniche, che analizzeremo più avanti, utilizzate per la scansione di un sistema possono essere realizzate settando ad arte i  flag FIN, PUSH, URG etc. Nel prossimo articolo parleremo meglio di come poter sfruttare nmap, uno degli scanner di rete più utilizzati, per capire quali servizi e quali porte sono disponibili su un host target.

Quali sono i passi da seguire per portare a termine e stilare un report di vulnerabilità al termine del penetration testing?

• Information Gathering
• Fingerprinting oppure Footprinting
• Network Surveying / Network mapping
• Port Scanning e Services Identification
• Evading Firewall Rules
• Automated Vulnerability Scanning
• Exploiting Services ( Conoscenza delle vulnerabilità)
• Exploiting Web-Based Authorization
• Password Cracking o tecniche di Brute Forcing
• Test of Denial of Services (DoS)
• Escalation of Privileges

Questa lista sono i punti chiavi estrapolati dalle linee guida Owasp e adattate al mio modus operandi durante l’analisi di vulnerabilità di una infrastruttura.

A questo punto non ci rimane che addentrarci meglio nell’argomento di questo post che è anche il primo punto della nostra lista che andremo con il tempo a sviluppare.

Cos’è l’informations Gathering?

L’informations Gathering è quella fase in cui cerchiamo di conoscere più informazioni possibili sul nostro target, dai semplici nomi d’impiegati fino ad arrivare a capire come sia strutturata la rete interna della società. Carpire e raccogliere i dati è una delle fasi più importanti ecco perchè bisogna compierla con accuratezza evitando di tralasciare informazioni importanti. Anche delle semplici fotocopie buttate in un cestino possono dirci molto. Ad esempio una volta mi è capitato di avere a che fare con una società che nella sua sede principale aveva una sala dove vi erano alcune fotocopiatrici e naturalmente un contenitore cartesio della raccolta di carta, secondo voi possono trovarsi dei dati interessanti? Se si che tipo di dati potremmo trovare? Nel mio caso frugando un pochino sono venuto a conoscenza, mentre aspettavo il responsabile della sicurezza, di alcuni interni e nominativi di impiegati che ho prontamente appuntato sul mio taccuino.

Che tipo di informazioni dovremmo procurarci prima di iniziare la nostra operazione di testing?

• Indirizzo ip dell’azienda.
• Il suo host name, il nominativo del responsabile it dell’azienda e/o l’ufficio it.
• Le versioni dei software usati.
• Cercare di capire che tipo di regole e restrizioni adottano sui loro firewall.
• Numeri di telefono e i dati personali degli impiegati.

L’approccio personale che utilizzo nello scovare questi dati è  “Che tipo di informazioni gli altri possono vedere della società?” A questa domanda cerco di rispondere compiendo alcune ricerche prima sul sito internet della società, oramai quasi tutte le aziende ne posseggono almeno uno dopodichè provo ad impostare delle ricerche su motori di ricerca come google, yahoo, altavista etc …

Su che tipo di informazioni focalizzo la mia attenzione?

Solitamente la mia ricerca incomincia con il trovare i nomi e cognomi degli impiegati it dell’azienda con i relativi contatti email e numeri di telefono interni. Dopodichè focalizzo la mia attenzione sull’azienda e sui dati che la riguardano ad esempio date importanti, fusioni con aziende del settore ( chi si è fuso con chi) , report di bilancio e tutti i documenti, molte volte anche riservati, visibili sui motori di ricerca per incuria nel custodirli. Ad esempio utilizzando google potremmo personalizzare le ricerche di informazioni nel seguente modo:

site: www.dominio.it keywords da ricercare site: www.dominio.it filetype:pdf (oltre ai file pdf, potete orientarvi su file doc, pps, txt, xls etc …)

Per quanto ho già accennato precedentemente è molto utile poter analizzare con calma il sito web della società ecco perchè risulta molto comodo utilizzare tool come BlackWidow, httptrack che permettono di clonare in locale il sito web target della nostra analisi. Altri dati potremmo ricavarli portando a termine un interrogazione whois tramite la shell di linux  oppure per mezzo di servizi online tipo:

• www.networksolutions.com
• www.registerfly.com
• whois.nic.gov
• www.arin.net/whois/index.html
• www.ripe.net/db/whois

Se preferite invece uno strumento desktop potete ricorrere a SamSpade è un ottimo tool e anche il mio preferito.

Che informazioni possiamo estrapolare da un interrogazione Whois?

Si possono conoscere molte informazioni: ad esempio chi ha registrato il dominio e  i contatti di chi si occupa di gestirlo. Il tipo servizio mail utilizzato Email Exchanger o Mx record. Vi riporto un esempio di interrogazione whois effettuata sul dominio www.wikipedia.org:

Domain ID:D51687756-LROR Domain Name:WIKIPEDIA.ORG Created On:13-Jan-2001 00:12:14 UTC Last Updated On:08-Jun-2007 05:48:52 UTC Expiration Date:13-Jan-2015 00:12:14 UTC Sponsoring Registrar:GoDaddy.com, Inc. (R91-LROR) Status:CLIENT DELETE PROHIBITED Status:CLIENT RENEW PROHIBITED Status:CLIENT TRANSFER PROHIBITED Status:CLIENT UPDATE PROHIBITED Registrant ID:GODA-09495921 Registrant Name:DNS Admin Registrant Organization:Wikimedia Foundation, Inc. Registrant Street1:P.O. Box 78350 Registrant Street2: Registrant Street3: Registrant City:San Francisco Registrant State/Province:California Registrant Postal Code:94107-8350 Registrant Country:US Registrant Phone:+1.4158396885 Registrant Phone Ext.: Registrant FAX:+1.4158820495 Registrant FAX Ext.: Registrant Email:dns-admin@wikimedia.org ….. ( Altri dati ) Tech Email:dns-admin@wikimedia.org Name Server:NS0.WIKIMEDIA.ORG Name Server:NS1.WIKIMEDIA.ORG Name Server:NS2.WIKIMEDIA.ORG

Un altro valido aiuto durante questi test ci viene da google groups (groups.google.com) il quale raccoglie dal 1981 tutti i messaggi lasciati dalle persone, richieste d’aiuto, problematiche da risolvere, soluzioni dei problemi più svariati. Basterà fare una rapida ricerca per capire che molte volte gli stessi amministratori di rete o chi si occupa della sicurezza dell’azienda lascia all’interno dei gruppi messaggi con informazioni che un attaccante può sfruttare. Nel prossimo articolo continueremo a parlare di Gathering informations e come poter automatizzare la raccolta di informazioni tenendo bene a mente che i tools non possono risolverci ogni problema e che la nostra testa e la nostra esperienza fanno la differenza. Inoltre ho pensato di raccogliere questi articoli e quelli che non riuscirò a trattare sul blog in un ebook, se vi interessa saperne di più contattatemi al seguente indirizzo email: hackwebsw@scanews.org

Materiale aggiuntivo:

• Hacking Tutorial – Impariamo le basi del Penetration Testing
• Owasp – the free and open application security community

• La prima si chiama Vulnerabilitlity Assessment (VA)
• La seconda si chiama Penetration Testing (Pa)

Vulnerability Assessment (Va)

In questa fase l’attore, colui che compie il test sulla sicurezza ha come supporto solamente le informazioni che ricava dalla  scansione delle vulnerabilità del server o delle relative applicazioni a questi dati và aggiunta la possibilità che possano essere corrotti in quanto i sistemisti potrebbero averli creati ad-hoc per deviare l’attaccante. Concludendo in questa fase si devono ottenere più dati possibili sulle policy di sicurezza interne ed esterne, se vi sono o meno pericoli di DOS (Denial of Service) o di Buffer Overfflow etc … Tutti questi test possono essere effettuati grazie a dei tool come Nessus, Retina etc.. che ci permettono di scansionare il nostro target.

Penetration Testing (PT)

In questa fase l’attore dovrà preoccuparsi di trovare una via di accesso al sistema dopo che ha carpito il maggior numero di informazioni, derivanti dall’esecuzione della precedente fase. Arrivati a questo punto è doveroso fare un altro tipo di classificazione, visto considerato che esistono altri due tipi di categorie:

• Black Box Penetration Testing
• White Box Penetration Testing

Nel Black Box Penetration Testing il tester non avrà nessuna conoscenza riguardo l’infrastruttura di rete che si andrà ad analizzare. Conosce solamente il nome della compagnia ed eventualmente il loro indirizzo ip. Con questo tipo di approccio si simula in maniera reale una possibile minaccia proveniente dall’esterno della rete. Nel secondo caso (White Box Penetration Testing) il tester avrà conoscenze più approfondite dell’architettura e della topologia dell’infrastruttura, degno di un corso di HTML e Javascript, arrivando ad avere informazioni tipo: che apparati di rete vengono usati, i dettagli sul tipo di web server utilizzato, sulla versione e la piattaforma del DBMS, se vi è un Load Balancers o un Firewall etc.. Come si può intuire questo tipo di approccio è meno realistico ma più veloce e semplice da analizzare.

Scopo del Penetration Testing

Esistono due scopi principali per cui si fa un penetration testing, il primo e capire se vi sono dati sensibili della società che sono esposti ad un pericolo reale, il secondo è se sono al sicuro e su che tipo di affidabilità possono contare. Nel prossimo articolo parleremo del primo passo importante nell’esecuzione di un penetration testing che riguarda la raccolta d’informazioni (anche chiamata Gathering Information) essenziale per poter sviluppare una strategia di attacco. Rimanete sintonizzati.