В первую очередь требуется определить виды деятельности, которые будут осуществляться при сборе информации. К примеру, требуется ответить на вопрос, планируете ли вы собрать данные обо всей сети организации или же ограничитесь только определенными ее сегментами (к примеру, сетью главного офиса)? В некоторых ситуациях собрать данные обо всей организации может выясниться затруднительным. К радости, в Internet есть большое число ресурсов, при помощи которых возможно сузить область деятельности, и получить открытую информацию об организации и ее служащих.
Поиск по открытым источникам
В первую очередь начните с Web-страницы организации (если, естественно, она есть). Чаще всего оказывается, что на этих Web-страницах есть информация, которая может помочь взломщику. Как-то раз нам даже довелось увидеть на одном Web-узле конфигурационные характеристики, которые применялись для настройки системы защиты этой организации при помощи брандмауэра. К иным данным, которые возможно получить и которые могут представлять интерес, относятся следующие.
В· Адреса и места расположения офисов и подразделений.
В· Деловые партнеры и поставщики.
В· Вести о слиянии или приобретении.
В· Номера телефонов.
В· Контактная информация и адреса электронной почты.
В· Требования к сотрудникам и посетителям по обеспечению безопасности, по которым возможно судить об применяемых механизмах защиты.
В· Ссылки на иные Web-узлы, имеющие отношение к организации.
Более того, попробуйте просмотреть комментарии, содержащиеся в HTML-коде Web-страниц. Чаще всего в коде HTML есть интересные, с позиции взломщика, комментарии, подобные как "<", "!" и "--", которые не отображаются на экране при открытии страницы в окошке броузера. Просмотр исходного кода Web-страницы в автономном режиме позволит всерьез эффективнее трудиться в интерактивном режиме. Так что чаще всего полезно сохранить полный образ всего Web-узла для дальнейшего просмотра. Впоследствии эту локальную копию возможно применять для поиска комментариев или иных важных данных программным способом и, т.о., серьезно увеличить эффективность процесса сбора информации. Для создания образа всего Web-узла в системе UNIX возможно воспользоваться утилитой Wget (ftp://gnjilux.cc.fer.hr/pub/unix/util/wget/), а в системе Windows - утилитой Teleport Pro (http://www.tenmax.com/teleport/home.htm). После изучения Web-страниц возможно поискать данные об организации в открытых источниках. Опубликованные статьи, сообщения для печати и так дальше могут дать представление о происходящих в организации событиях и принятой в ней политике безопасности. На этих Web-узлах, как finance.yahoo.com или www.companysleuth.com, содержится большое множество подобной информации. Если вы собираете данные о компании, значительная часть деятельности которой выполняется ч/з Internet, то довольно покопаться как нужно в прессе, чтоб узнать, что у подобной компании часто появляются трудности, связанные с нарушением безопасности. Для того чтоб отыскать подобный материал, достаточно поискового сервера. Хотя для таких целей возможно применять и более мощные средства и критерии поиска, позволяющие получить дополнительную информацию. Одним из наших любимых средств подобного класса является набор поисковых средств FERRETPRO компании FERRETSOFT (http://www.ferretsoft.com). Средство поиска в Web WEBFERRETPRO позволяет исполнять поиск тут же на некоторого количества поисковых серверах. Более того, иные средства этого комплекта позволяют исполнять поиск по заданному критерию в каналах IRC, системе USENET, сообщениях электронной почты, и в базах данных. Если вам требуется бесплатное средство, позволяющее исполнять поиск одновременно по нескольким критериям, обратитесь по адресу http: //www.dogpile.com. Поиск в системе USENET сообщений, отправленных из интересующего вас домена (вида @targetdomain.com), часто позволяет получить полезную информацию. Как-то раз в одной из групп вестей мы наткнулись на сообщение от системного администратора, в коем он жаловался на трудности, возникшие у него после установки новой офисной АТС. Для передачи этого сообщения он воспользовался собственной служебной учетной записью. Он просил поддержки, так как не знал, как выключить установленный изначально режим доступа по паролю. Непросто даже предположить, сколько фрикеров (phreak - эксплуатацию познаний об устройстве АТС для осуществления звонков за чужой счет) воспользовалось "услугами" этой организации. По этой причине конечно, что, изучая сообщения, отправляемые служащими организации, возможно серьезно увеличить собственную осведомленность в ее внутреннем устройстве и уровне технической подготовки ее работников.
Наконец, возможно просто воспользоваться средствами расширенного поиска некоторых ведущих поисковых серверов, таких как ALTAVISTA или Hotbot. Многие из них позволяют отыскать все Web-страницы, на которых есть ссылки на домен интересующей вас организации. На I-х взгляд эта возможность не представляет собою ничего интересного, однако не торопитесь с выводами! Предположим, кто-то из работников организации решил сделать свой Web-узел дома или во внутренней сети организации. Вполне возможно, что такой Web-узел будет иметь недостаточный уровень защиты или, также, он может оказаться создан без ведома руководства. Как показано на рис. 1.1, обнаружить такой Web-узел возможно именно при помощи описанного способа. Как известно из рис. 1.1, в итоге поиска получен перечень узлов, на Web-страницах которых обнаружены ссылки на домен www.10pht.com, и слово "hacking". С такой же легкостью возможно получить перечень узлов, содержащих ссылки на любой иной требуемый домен. Иной пример (рис. 1.2) демонстрирует, как ограничиться поиском на определенном узле. В рассматриваемом примере показаны результаты поиска на узле http://www.l0pht.com страниц, содержащих слово mudge. Подобный запрос возможно применять и для поиска любой иной информации. Понятно, что приведенные примеры не исчерпывают всех возможностей, предоставляемых средствами поиска, так что проявляйте изобретательность. Порой весьма важную информацию есть только после использования вполне необычных критериев.
Поиск в базе данных EDGAR
Для поиска информации о компании, представляющей собою открытое акционерное общество (publicly traded company), возможно воспользоваться базой данных EDGAR, поддерживаемой Комиссией по безопасности и обмену данными (SEC - Securities and Exchange Commission), находящейся по адресу http: //www. sec. gov
Одной из наиболее крупных проблем, с которыми сталкиваются большие компании, - это управление соединениями с Internet, в особенности если они вовлечены в активную деятельность по приобретению иных фирм или сами являются объектами приобретения. По этой причине так важно обращать внимание на информацию о не слишком давно купленных компаниях. Из документов комиссии SEC возможно подчеркнуть 2 в особенности важных: 10-Q и 10-К. Документ 10-Q представляет собою краткую сводку о деятельности организации за последний квартал. За исключением всей остальной информации в этом отчете тоже указывается число акций фирм, купленных организацией за отчетный период, или число акций организации, купленных за этот же период другими компаниями. Отчет 10-К содержит аналогичную информацию, хотя он обновляется 1 раз в г.. По этой причине сведения, приведенные в нем, могут утратить актуальность. Возможно, к примеру, поискать в таких документах слова subsidiary (дочерняя) или subsequent events (последующие события). В итоге вы можете получить представление о не слишком давно купленных компаниях или планирующихся слияниях. Чаще всего организации подключают сети купленных ими фирм, забывая о требованиях безопасности. По этой причине вероятность того, что вы сможете проникнуть в сеть родительской компании, прорвав защиту новоприобретенного подразделения, достаточно высока. Это еще раз доказывает, что взломщики являются приверженцами хаоса и анархии, т.к. они постоянно не преминут воспользоваться неразберихой, царящей в организации в ходе объединении сетей. Осуществляя поиск в базе данных EDGAR, не забывайте о том, что в качестве критериев требуется применять наименования организаций и компаний, отличающихся от наименования родительской компании. Это окажется в особенности важным при выполнении дальнейших этапов, когда вы будете обращаться с организационными запросами whois к различным базам данных (см. раздел "Этап 2. Инвентаризация Сети").
Контрмеры: обеспечение безопасности общедоступных баз данных
Большая часть приведенных выше сведений обязана быть общедоступной. В особенности это касается открытых акционерных обществ. Хотя в то же время весьма важно оценить и классифицировать типы подобной информации. Для исполнения подобного анализа может выясниться полезным руководство по обеспечению безопасности узла (Site Security Handbook, документ RFC2196). Его есть по адресу http://ietf.org/rfc/rfc2196.txt. И наконец, если на Web-страницах вашего узла есть хоть какая-нибудь информация, которая может помочь взломщику в проникновении в вашу сеть, удалите ее, если лишь это не является жизненно необходимым.
Главная 