Идентификация сервисов и приложений.

Обновлено 06.12.2025 08:05

Мы рассмотрели вопросы, связанные с определением работающих в сети узлов, отслеживанием маршрутов, а также со сканированием портов. Соответственно, мы разобрали и те средства защиты, которые могут быть предприняты и способами их обхода. Теперь нам необходимо определить как можно точнее те операционные системы, сервисы и приложения, которые используются в исследуемой сети. И вот тут будут очень полезны те материалы, которые удалось собрать с помощью социальной инженерии ранее.

Начнем с идентификации ТСР-служб. Стоит отметить, что значительная часть уязвимостей относится к уровню приложений, поэтому точная идентификация сервисов очень важна. На основе информации, собранной на данном этапе, можно без особых проблем подобрать нужные уязвимости и эксплойты к ним.

Мы уже провели сканирование портов и обнаружили, что открыто на исследуемых узлах. Номера открытых портов являются косвенным свидетельством использования определенных сетевых служб, например открытый порт 25 - это, скорее всего, служба SMTP, а 80 - это веб. Узнав, какая служба используется на узле, далее необходимо установить, какое именно программное обеспечение реализует данный функционал.

Начнем с самого простого.

Анализ «баннеров».

Это наиболее распространенный метод сбора информации о запущенных на сканируемом узле службах. Данный метод заключается в анализе приветствий, выводимых службами при подключении на заданный порт. Часто «баннеры» содержат информацию об используемой службе вплоть до номера версии. Тут стоит отметить, что далеко не все сетевые службы являются абсолютно переносимыми, и это вдобавок дает возможность делать предположения об используемой операционной системе. Например, если в баннере присутствует IIS, то сервер работает под Windows, а если SSH, то, скорее всего, перед нами Unix.

Далее несколько примеров.

Вот как выглядит отклик моего файлового сервера Synology USB Station 2

telnet 192.168.1.2 5000:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

<title>302 Found</title>

</head><body>

<h1>Found</h1>

<p>The document has moved

<hr>

<address>Apache/2.2.16 (Unix) Server at * Port 5000</address>

</body></html>

Судя по строке Apache/2.2.16 (Unix) Server, на этом устройстве используются веб-сервер Apache определенной версии и специально собранная версия Unix.

А вот так выглядит отклик на аналогичный запрос одного бюджетного маршрутизатора:

HTTP/1.0 400 Bad Request

Server: WL520 gc/ httpd

Date: Thu, 05 Apr 2012 21:10:25 GMT

Content-Type: text/html

Connection: close

<HTML><HEAD><TITLE>400 Bad Request</TITLE></HEAD>

<BODY BGCOLOR="#cc9999"><H4>400

Bad Request</H4>

Can't parse request.

</BODY></HTML>

Казалось бы, это устройство менее «разговорчиво», в отклике нет ни имени, ни версии веб-сервера или операционной системы. Однако стоит обратить внимание на WL520 gc. Можно, конечно, предположить, что это всего лишь сетевое имя устройства и никакой смысловой нагрузки оно не несет. А можно спросить у Google и узнать, что за модель устройства скрывается под данным набором символов.

Обращение к почтовому серверу приведет к следующему отклику:

telnet smtp.ru 25

220 smtp.ru ESMTP Sendmail 11 8.11 2/8 11 2, Thu, 10 Jan 2011 18 34:19 +0400

У приведенного метода анализа баннеров есть несколько недостатков. Прежде всего многие службы позволяют администратору произвольным образом редактировать свои баннеры-приветствия, то есть существует определенная вероятность, что служба совсем не та, за кого она себя выдает.

Читатели моего блога наверняка обратили внимание, что в первых двух приведенных мной примерах показаны аппаратные файл-сервер и маршрутизатор. В таких устройствах все жестко прописано в прошивку и изменить что-либо бываеточень сложно и не всегда вообще возможно, поэтому в подобных устройствах отклик достаточно правдив. А вот в последнем примере все не так просто. Администратор может без труда поправить настройки почтовой службы, чтобы отклик был не совсем правдивым.

Во-вторых, есть риск, что ОС сканируемого узла работает в какой-нибудь среде эмуляции (например, VMWare). Это может оказать влияние на проверки, основанные на особенностях реализации стека ТСР/IР. Аппаратные решения опять же лишены этого «недостатка».

Вот здесь уместным будет вспомнить социальную инженерию, в частности сбор информации посредством анализа требований в объявлениях и возможного собеседования. Если было выяснено, что в корпоративной сети все работает под Windows, а баннерный анализ показывает, что SMTP использует Sendmail, то что-то с баннером не чисто и необходимо использовать другие методы определения сервисов. Аналогично, если в процессе собеседования администраторы активно интересовались вопросами виртуализации и говорили, что все службы виртуализируются, то вполне можно предположить, что целевые сервисы также работают в данной среде. Это может внести существенные правки в стратегию дальнейшего взлома.

Говоря об анализе баннеров, не стоит забывать и об SNMP. В случае если при сканировании портов было выявлено устройство с открытым портом 161 по протоколу UDP, скорее всего, на нем работает служба SNMP (Simple Network Management Protocol). SNMP использует MIB (Management Information Bases), представляющую собой иерархическую структуру настроек устройства. Помимо прочих параметров, там содержится и вся информация об используемой операционной системе и установленных пакетах обновлений. По умолчанию многие устройства активируют данный сервис для community public в режиме чтения. И хотя в режиме read only внести какие-либо изменения нельзя, собрать полезную для взлома информацию вполне можно.

Как уже упоминалось, этот протокол применяет на транспортном уровне UDP, поэтому воспользоваться telnet не получится. Для подключения по SNMP и навигации по базе MIB можно воспользоваться MIB-браузерами, которые входят в состав Back-Track. Также можно воспользоваться бесплатным iReasoning MIB browser.

Но в целом стоит отметить, что эти недостатки не позволяют использовать только такой метод для идентификации служб. Необходимо применять и другие методы.

Сетевые протоколы и их реализация в различных службах и приложениях позволяют более точно идентифицировать приложения.

Петухов Олег, юрист в области международного права и защиты персональных данных, специалист в области информационной безопасности, защиты информации и персональных данных.

Телеграм-канал: https://t.me/zashchitainformacii

Группа в Телеграм: https://t.me/zashchitainformacii1

Сайт: https://legascom.ru

Электронная почта: online@legascom.ru

#защитаинформации #информационнаябезопасность

Identification of services and applications.

We have reviewed issues related to the identification of nodes operating in the network, route tracking, and port scanning. Accordingly, we have analyzed the means of protection that can be taken and ways to circumvent them. Now we need to identify as precisely as possible the operating systems, services, and applications that are used in the network under study. And here the materials that were collected earlier with the help of social engineering will be very useful.

Let's start with the identification of TCP services. It is worth noting that a significant part of the vulnerabilities relate to the application layer, so accurate identification of services is very important. Based on the information collected at this stage, you can easily find the necessary vulnerabilities and exploits for them.

We have already done a port scan and found out what is open on the nodes under investigation. The open port numbers are indirect evidence of the use of certain network services, for example, open port 25 is most likely the SMTP service, and 80 is the web. After finding out which service is used on the node, next you need to determine which software implements this functionality.

Let's start with the simplest.

Analysis of "banners".

This is the most common method of collecting information about services running on the scanned node. This method consists in analyzing the greetings output by the services when connected to a given port. Often, "banners" contain information about the service being used, up to and including the version number. It is worth noting here that not all network services are completely portable, and this also makes it possible to make assumptions about the operating system used. For example, if IIS is present in the banner, then the server runs under Windows, and if SSH, then most likely we are looking at Unix.

Here are some examples.

This is what the response of my Synology USB Station 2 file server looks like

telnet 192.168.1.2 5000:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

<title>302 Found</title>

</head><body>

<h1>Found</h1>

<p>The document has moved

<hr>

<address>Apache/2.2.16 (Unix) Server at * Port 5000</address>

</body></html>

Judging by the Apache/2.2.16 (Unix) Server line, this device uses an Apache web server of a certain version and a specially built Unix version.

And this is what the response to a similar request from one budget router looks like:

HTTP/1.0 400 Bad Request

Server: WL520 gc/ httpd

Date: Thu, 05 Apr 2012 21:10:25 GMT

Content-Type: text/html

Connection: close

<HTML><HEAD><TITLE>400 Bad Request</TITLE></HEAD>

<BODY BGCOLOR="#cc9999"><H4>400

Bad Request</H4>

Can't parse request.

</BODY></HTML>

It would seem that this device is less "talkative", there is no name or version of the web server or operating system in the response. However, it is worth paying attention to the WL520 gc. Of course, we can assume that this is just the network name of the device and it does not carry any semantic load. Or you can ask Google and find out what kind of device model is hidden under this set of characters.

Accessing the mail server will result in the following response:

telnet smtp.ru 25

220 smtp.ru ESMTP Sendmail 11 8.11 2/8 11 2, Thu, 10 Jan 2011 18 34:19 +0400

The above method of banner analysis has several disadvantages. First of all, many services allow the administrator to edit their greeting banners in any way, meaning there is a certain possibility that the service is not at all who it claims to be.

Readers of my blog have probably noticed that the first two examples I've given show a hardware file server and router. In such devices, everything is rigidly written into the firmware and it can be very difficult and not always possible to change anything, so in such devices the response is quite truthful. But in the last example, everything is not so simple. The administrator can easily adjust the settings of the mail service so that the response is not entirely truthful.

Secondly, there is a risk that the OS of the scanned node is running in some kind of emulation environment (for example, VMware). This may have an impact on checks based on the specifics of the TCP/IP stack implementation. Hardware solutions, again, are devoid of this "disadvantage".

Here it would be appropriate to recall social engineering, in particular, the collection of information through the analysis of requirements in ads and a possible interview. If it was found out that everything on the corporate network runs under Windows, and banner analysis shows that SMTP uses Sendmail, then something is wrong with the banner and other methods of identifying services must be used. Similarly, if during the interview the administrators were actively interested in virtualization issues and said that all services are virtualized, then it is quite possible to assume that the target services also work in this environment. This may make significant changes to the strategy of further hacking.

Speaking of banner analysis, do not forget about SNMP. If the port scan revealed a device with an open port 161 using the UDP protocol, most likely, the SNMP (Simple Network Management Protocol) service is running on it. SNMP uses MIB (Management Information Bases), which is a hierarchical structure of device settings. Among other parameters, it contains all the information about the operating system used and the installed service packs. By default, many devices activate this service for community public in read mode. And although it is impossible to make any changes in the read only mode, it is quite possible to collect information useful for hacking.

As already mentioned, this protocol uses UDP at the transport layer, so you will not be able to use telnet. To connect via SNMP and navigate through the MIB database, you can use the MIB browsers that are included in the Back-Track. You can also use the free iReasoning MIB browser.

But in general, it is worth noting that these disadvantages do not allow using only this method to identify services. Other methods should also be used.

Network protocols and their implementation in various services and applications allow for more accurate identification of applications.

Oleg Petukhov, lawyer in the field of international law and personal data protection, information security specialist security, protection of information and personal data.

Telegram channel: https://t.me/protectioninformation

Telegram Group: https://t.me/informationprotection1

Website: https://legascom.ru

Email: online@legascom.ru

#informationprotection #informationsecurity

Identifizieren von Diensten und Anwendungen.

Wir haben uns mit der Identifizierung von Knoten im Netzwerk befasst, mit der Verfolgung von Routen und mit dem Port-Scan befasst. Dementsprechend haben wir auch die Schutzmittel, die unternommen werden können, und die Art und Weise, wie sie umgangen werden können, analysiert. Jetzt müssen wir die Betriebssysteme, Dienste und Anwendungen, die im untersuchten Netzwerk verwendet werden, so genau wie möglich identifizieren. Und hier werden die Materialien, die zuvor mit Hilfe von Social Engineering gesammelt wurden, sehr nützlich sein.

Beginnen wir mit der Identifizierung von TSR-Diensten. Es ist erwähnenswert, dass ein großer Teil der Schwachstellen auf der Anwendungsebene liegt, daher ist die genaue Identifizierung von Diensten sehr wichtig. Basierend auf den Informationen, die in diesem Stadium gesammelt werden, können Sie die erforderlichen Schwachstellen und Exploits für sie problemlos auswählen.

Wir haben bereits einen Port-Scan durchgeführt und festgestellt, was an den untersuchten Knoten geöffnet ist. Offene Portnummern sind ein indirekter Hinweis auf die Verwendung bestimmter Netzwerkdienste, z. B. offener Port 25 ist höchstwahrscheinlich ein SMTP-Dienst und 80 ist ein Web. Nachdem Sie erfahren haben, welcher Dienst auf dem Host verwendet wird, müssen Sie als Nächstes festlegen, welche Software diese Funktionalität implementiert.

Beginnen wir mit dem Einfachsten.

Analyse von "Bannern".

Dies ist die gängigste Methode zum Sammeln von Informationen über Dienste, die auf dem gescannten Knoten ausgeführt werden. Bei dieser Methode werden die Begrüßungen analysiert, die von Diensten ausgegeben werden, wenn sie eine Verbindung zu einem bestimmten Port herstellen. Häufig enthalten »Banner" Informationen über den verwendeten Dienst bis zur Versionsnummer. Es ist erwähnenswert, dass nicht alle Netzwerkdienste absolut portabel sind und dies zusätzlich die Möglichkeit bietet, Annahmen über das verwendete Betriebssystem zu treffen. Wenn zum Beispiel IIS im Banner vorhanden ist, läuft der Server unter Windows, und wenn SSH, ist es wahrscheinlich, dass wir Unix vor uns haben.

Als nächstes ein paar Beispiele.

So sieht die Reaktion meines Synology USB Station 2-Dateiservers aus

telnet 192.168.1.2 5000:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

<title>302 Found</title>

</head><body>

<h1>Found</h1>

<p>The document has moved

<hr>

<address>Apache/2.2.16 (Unix) Server at * Port 5000</address>

</body></html>

Gemessen an der Zeile Apache /2.2.16 (Unix) Server verwendet dieses Gerät einen Apache-Webserver einer bestimmten Version und eine speziell zusammengestellte Unix-Version.

Aber so sieht die Antwort auf eine ähnliche Anfrage eines Budgetrouters aus:

HTTP/1.0 400 Bad Request

Server: WL520 gc/ httpd

Date: Thu, 05 Apr 2012 21:10:25 GMT

Content-Type: text/html

Connection: close

<HTML><HEAD><TITLE>400 Bad Request</TITLE></HEAD>

<BODY BGCOLOR="#cc9999"><H4>400

Bad Request</H4>

Can't parse request.

</BODY></HTML>

Es scheint, dass dieses Gerät weniger «gesprächig» ist, es gibt weder einen Namen noch eine Version des Webservers oder Betriebssystems in der Antwort. Es lohnt sich jedoch, auf den WL520 gc zu achten. Man kann natürlich davon ausgehen, dass dies nur der Netzwerkname des Geräts ist und es keine semantische Last trägt. Oder Sie können Google fragen und herausfinden, welches Gerätemodell sich unter diesem Zeichensatz verbirgt.

Der Zugriff auf den Mailserver führt zu der folgenden Antwort:

telnet smtp.ru 25

220 smtp.ru ESMTP Sendmail 11 8.11 2/8 11 2, Thu, 10 Jan 2011 18 34:19 +0400

Die obige Methode zur Analyse von Bannern hat einige Nachteile. Vor allem erlauben viele Dienste dem Administrator, seine Begrüßungsbanner willkürlich zu bearbeiten, dh es besteht eine gewisse Wahrscheinlichkeit, dass der Dienst überhaupt nicht der ist, für den er sich ausgibt.

Die Leser meines Blogs haben sicherlich bemerkt, dass die ersten beiden Beispiele, die ich zitiert habe, Hardware-Dateiserver und Router zeigen. Bei solchen Geräten ist alles in der Firmware fest geschrieben und es ist sehr schwierig, etwas zu ändern und es ist nicht immer möglich, daher ist die Antwort bei solchen Geräten ziemlich wahr. Aber im letzten Beispiel ist alles nicht so einfach. Der Administrator kann die Einstellungen des E-Mail-Dienstes problemlos anpassen, damit die Antwort nicht ganz korrekt ist.

Zweitens besteht das Risiko, dass das Betriebssystem des zu scannenden Knotens in einer Emulationsumgebung (z. B. VMware) ausgeführt wird. Dies kann sich auf Überprüfungen auswirken, die auf den Implementierungen des TSR/IP-Stapels basieren. Hardware-Lösungen sind wieder frei von diesem »Mangel".

Hier ist es angebracht, sich an Social Engineering zu erinnern, insbesondere das Sammeln von Informationen durch die Analyse von Anforderungen in Anzeigen und ein mögliches Vorstellungsgespräch. Wenn festgestellt wurde, dass im Unternehmensnetzwerk alles unter Windows funktioniert und die Banneranalyse zeigt, dass SMTP Sendmail verwendet, ist etwas mit dem Banner nicht sauber und es ist notwendig, andere Methoden zur Definition von Diensten zu verwenden. Wenn sich Administratoren während des Interviews aktiv für Virtualisierungsfragen interessierten und sagten, dass alle Dienste virtualisiert wurden, kann man durchaus davon ausgehen, dass die Zieldienste auch in dieser Umgebung ausgeführt werden. Dies kann wesentliche Änderungen an der Strategie für weitere Einbrüche vornehmen.

Wenn wir über die Analyse von Bannern sprechen, vergessen Sie nicht SNMP. Wenn beim Port-Scan ein Gerät mit offenem Port 161 über UDP erkannt wurde, wird wahrscheinlich der SNMP-Dienst (Simple Network Management Protocol) auf dem Gerät ausgeführt. SNMP verwendet MIB (Management Information Bases), eine hierarchische Struktur der Geräteeinstellungen. Neben anderen Einstellungen enthält es auch alle Informationen über das verwendete Betriebssystem und die installierten Service Packs. Standardmäßig aktivieren viele Geräte diesen Dienst im Lesemodus für Community public. Obwohl es im Read only-Modus nicht möglich ist, Änderungen vorzunehmen, ist es durchaus möglich, Informationen zu sammeln, die zum Hacken nützlich sind.

Wie bereits erwähnt, wird dieses Protokoll auf der Transportschicht von UDP verwendet, daher kann Telnet nicht verwendet werden. Sie können die MIB-Browser verwenden, die im Back-Track enthalten sind, um eine SNMP-Verbindung herzustellen und durch die MIB-Datenbank zu navigieren. Sie können auch den kostenlosen iReasoning MIB Browser nutzen.

Im Allgemeinen ist es jedoch erwähnenswert, dass diese Nachteile nicht zulassen, dass nur diese Methode verwendet wird, um Dienste zu identifizieren. Andere Methoden müssen angewendet werden.

Mithilfe von Netzwerkprotokollen und deren Implementierung in verschiedenen Diensten und Anwendungen können Sie Anwendungen genauer identifizieren.

Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.

Telegramm-Kanal: https://t.me/datenschutzmit

Die Gruppe im Telegramm: https://t.me/datenschutzmit1

Website: https://legascom.ru

E-Mail: online@legascom.ru

#informationssicherheit #informationssicherheit

Identification des services et des applications.

Nous avons examiné les problèmes liés à l'identification des nœuds du réseau, au suivi des itinéraires et à l'analyse des ports. En conséquence, nous avons démonté les moyens de protection qui peuvent être tentés et les moyens de les contourner. Maintenant, nous devons identifier aussi précisément que possible les systèmes d'exploitation, les services et les applications utilisés sur le réseau étudié. Et ici, les matériaux qui ont pu être collectés avec l'aide de l'Ingénierie sociale plus tôt seront très utiles.

Commençons par identifier les services TSR. Il convient de noter qu'une grande partie des vulnérabilités sont au niveau de l'application, de sorte que l'identification précise des services est très importante. Sur la base des informations recueillies à ce stade, vous pouvez facilement identifier les vulnérabilités et les exploits nécessaires.

Nous avons déjà effectué des analyses de port et avons constaté qu'il était ouvert sur les nœuds étudiés. Les numéros de port ouverts sont une indication indirecte de l'utilisation de certains services réseau, par exemple, le port ouvert 25 est probablement un service SMTP et 80 est un service Web. Après avoir découvert quel service est utilisé sur l'hôte, vous devez ensuite déterminer quel logiciel implémente cette fonctionnalité.

Commençons par le plus simple.

Analyse des "bannières".

Il s'agit de la méthode la plus courante pour collecter des informations sur les services en cours d'exécution sur l'hôte analysé. Cette méthode consiste à analyser les messages d'accueil émis par les services lorsqu'ils se connectent à un port donné. Souvent, les» bannières " contiennent des informations sur le service utilisé jusqu'au numéro de version. Il convient de noter ici que tous les services réseau ne sont pas absolument portables, ce qui permet en outre de faire des hypothèses sur le système d'exploitation utilisé. Par exemple, si IIS est présent dans la bannière, le serveur fonctionne sous Windows, et si SSH, alors, très probablement, Unix est devant Nous.

Voici quelques exemples.

Voici à quoi ressemble la réponse de mon serveur de fichiers Synology USB Station 2

telnet 192.168.1.2 5000:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

<title>302 Found</title>

</head><body>

<h1>Found</h1>

<p>The document has moved

<hr>

<address>Apache/2.2.16 (Unix) Server at * Port 5000</address>

</body></html>

À en juger par la ligne Apache/2.2.16 (Unix) Server, ce périphérique utilise un serveur Web Apache d'une version spécifique et une version spécialement compilée d'Unix.

Et voici à quoi ressemble la réponse à une demande similaire d'un routeur budgétaire:

HTTP/1.0 400 Bad Request

Server: WL520 gc/ httpd

Date: Thu, 05 Apr 2012 21:10:25 GMT

Content-Type: text/html

Connection: close

<HTML><HEAD><TITLE>400 Bad Request</TITLE></HEAD>

<BODY BGCOLOR="#cc9999"><H4>400

Bad Request</H4>

Can't parse request.

</BODY></HTML>

Il semblerait que cet appareil soit moins «bavard», il n'y a ni nom ni version du serveur Web ou du système d'exploitation dans la réponse. Cependant, il convient de prêter attention au WL520 gc. Vous pouvez, bien sûr, supposer que ce n'est qu'un nom de réseau de l'appareil et qu'il ne porte aucune charge sémantique. Et vous pouvez demander à Google et savoir quel modèle d'appareil se cache sous ce jeu de caractères.

L'accès au serveur de messagerie entraîne la réponse suivante:

telnet smtp.ru 25

220 smtp.ru ESMTP Sendmail 11 8.11 2/8 11 2, Thu, 10 Jan 2011 18 34:19 +0400

La méthode d'analyse des bannières ci-dessus présente plusieurs inconvénients. Tout d'abord, de nombreux services permettent à l'administrateur de modifier arbitrairement ses bannières de bienvenue, c'est-à-dire qu'il y a une certaine probabilité que le service ne soit pas du tout ce qu'il prétend être.

Les lecteurs de mon blog ont sûrement remarqué que les deux premiers exemples que j'ai donnés montrent le serveur de fichiers matériel et le routeur. Dans de tels appareils, tout est codé en dur dans le firmware et il est très difficile de changer quoi que ce soit et pas toujours possible, donc dans de tels appareils, la réponse est assez vraie. Mais dans le dernier exemple, tout n'est pas si simple. L'administrateur peut facilement modifier les paramètres du service de messagerie afin que la réponse ne soit pas tout à fait vraie.

Deuxièmement, il existe un risque que le système d'exploitation du nœud analysé fonctionne dans un environnement d'émulation (par exemple, VMWare). Cela peut avoir un impact sur les vérifications basées sur les spécificités de l'implémentation de la pile TCP/IP. Les solutions matérielles sont à nouveau dépourvues de ce «défaut».

Ici, il sera approprié de rappeler l'Ingénierie sociale, en particulier la collecte d'informations par l'analyse des exigences dans les annonces et un éventuel entretien d'embauche. S'il a été découvert que tout fonctionne sous Windows sur le réseau d'entreprise et que l'analyse de la bannière montre que SMTP utilise Sendmail, quelque chose avec la bannière n'est pas propre et il est nécessaire d'utiliser d'autres méthodes pour définir les services. De même, si, au cours de l'entretien, les administrateurs se sont beaucoup intéressés à la virtualisation et ont déclaré que tous les services étaient virtualisés, il est probable que les services ciblés fonctionnent également dans cet environnement. Cela peut apporter des modifications importantes à la stratégie de piratage.

En parlant de l'analyse des bannières, n'oubliez pas SNMP. Si l'analyse des ports détecte un périphérique avec le port UDP 161 ouvert, il est probable qu'il exécute le service SNMP (Simple Network Management Protocol). SNMP utilise MIB (Management Information Bases), qui est une structure hiérarchique des paramètres du périphérique. Entre autres paramètres, il contient toutes les informations sur le système d'exploitation utilisé et les service packs installés. Par défaut, de nombreux appareils activent ce service pour community public en mode lecture. Et bien qu'il soit impossible d'apporter des modifications en mode lecture seule, il est tout à fait possible de collecter des informations utiles pour le piratage.

Comme déjà mentionné, ce protocole s'applique à la couche de transport UDP, donc vous ne pouvez pas utiliser telnet. Pour vous connecter via SNMP et naviguer dans la base de données MIB, vous pouvez utiliser les navigateurs MIB inclus dans Back-Track. Vous pouvez également utiliser le navigateur iReasoning MIB gratuit.

Mais dans l'ensemble, il convient de noter que ces lacunes ne permettent pas d'utiliser uniquement une telle méthode pour identifier les services. D'autres méthodes doivent être utilisées.

Les protocoles réseau et leur implémentation dans différents services et applications permettent une identification plus précise des applications.

Petukhov Oleg, avocat en droit international et protection des renseignements personnels, spécialiste de l'information sécurité, protection de l'information et des données personnelles.

Canal Telegram: https://t.me/protecciondelainformacion

Groupe au Télégramme: https://t.me/securiteinformatique2

Site: https://legascom.ru

Courriel: online@legascom.ru

#sécuritéinformations #informationsécurité

Identification des services et des applications.

Commençons par identifier les services TSR. Il est à noter qu'une grande partie des vulnérabilités se trouvent au niveau de l'application, de sorte que l'identification précise des services est très importante. Sur la base des renseignements recueillis à ce stade, vous pouvez facilement identifier les vulnérabilités et les exploits nécessaires.

Nous avons déjà effectué des analyses de port et avons constaté qu'il était ouvert sur les nœuds étudiés. Les numéros de ports ouverts sont une indication indirecte de l'utilisation de certains services réseau, par exemple, le port ouvert 25 est probablement un service SMTP et 80 est un service Web. Après avoir découvert quel service est utilisé sur l'hôte, vous devez ensuite déterminer quel logiciel implémente cette fonctionnalité.

Commençons par le plus simple.

Analyse des "bannières".

Il s'agit de la méthode la plus courante pour recueillir des renseignements sur les services en cours d'exécution sur l'hôte analysé. Cette méthode consiste à analyser les messages d'accueil émis par les services lorsqu'ils se connectent à un port donné. Souvent, les « bannières » contiennent des informations sur le service utilisé jusqu'au numéro de version. Il convient de noter ici que tous les services réseau ne sont pas absolument portables, ce qui permet en outre de faire des hypothèses sur le système d'exploitation utilisé. Par exemple, si IIS est présent dans la bannière, le serveur fonctionne sous Windows, et si SSH, alors, très probablement, Unix est devant Nous.

Voici quelques exemples.

Voici à quoi ressemble la réponse de mon serveur de fichiers Synology USB Station 2

telnet 192.168.1.2 5000:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

<title>302 Found</title>

</head><body>

<h1>Found</h1>

<p>The document has moved

<hr>

<address>Apache/2.2.16 (Unix) Server at * Port 5000</address>

</body></html>

À en juger par la ligne Apache/2.2.16 (Unix) Server, cet appareil utilise un serveur Web Apache d'une version spécifique et une version spécialement compilée d'Unix.

Et voici à quoi ressemble la réponse à une demande similaire d'un routeur budgétaire:

HTTP/1.0 400 Bad Request

Server: WL520 gc/ httpd

Date: Thu, 05 Apr 2012 21:10:25 GMT

Content-Type: text/html

Connection: close

<HTML><HEAD><TITLE>400 Bad Request</TITLE></HEAD>

<BODY BGCOLOR="#cc9999"><H4>400

Bad Request</H4>

Can't parse request.

</BODY></HTML>

Il semblerait que cet appareil soit moins « bavard », il n'y a ni nom ni version du serveur Web ou du système d'exploitation dans la réponse. Cependant, il faut porter attention au WL520 gc. Vous pouvez, bien sûr, supposer que ce n'est qu'un nom de réseau de l'appareil et qu'il ne porte aucune charge sémantique. Et vous pouvez demander à Google et savoir quel modèle d'appareil se cache sous cet ensemble de caractères.

L'accès au serveur de courriel entraîne la réponse suivante:

telnet smtp.ru 25

220 smtp.ru ESMTP Sendmail 11 8.11 2/8 11 2, Thu, 10 Jan 2011 18 34:19 +0400

Les lecteurs de mon blogue ont sûrement remarqué que les deux premiers exemples que j'ai donnés montrent le serveur de fichiers matériel et le routeur. Dans de tels appareils, tout est codé en dur dans le micrologiciel et il est très difficile de changer quoi que ce soit et pas toujours possible, donc dans de tels appareils, la réponse est assez vraie. Mais dans le dernier exemple, tout n'est pas si simple. L'administrateur peut facilement modifier les paramètres du service de courriel afin que la réponse ne soit pas tout à fait vraie. Deuxièmement, il existe un risque que le système d'exploitation du nœud analysé fonctionne dans un environnement d'émulation (par exemple, VMWare). Cela peut avoir un impact sur les vérifications basées sur les spécificités de l'implémentation de la pile TCP/IP. Les solutions matérielles sont encore une fois dépourvues de ce «défaut».

Ici, il sera approprié de rappeler l'ingénierie sociale, en particulier la collecte d'informations par l'analyse des exigences dans les annonces et un éventuel entretien d'embauche. S'il a été découvert que tout fonctionne sous Windows sur le réseau d'entreprise et que l'analyse de la bannière montre que SMTP utilise Sendmail, quelque chose avec la bannière n'est pas propre et il est nécessaire d'utiliser d'autres méthodes pour définir les services. De même, si, au cours de l'entrevue, les administrateurs se sont beaucoup intéressés à la virtualisation et ont déclaré que tous les services étaient virtualisés, il est probable que les services ciblés fonctionnent également dans cet environnement. Cela peut apporter des changements importants à la stratégie de piratage.

En parlant de l'analyse des bannières, n'oubliez pas SNMP. Si l'analyse des ports détecte un périphérique avec le port UDP 161 ouvert, il est probable qu'il exécute le service SNMP (Simple Network Management Protocol). SNMP utilise MIB (Management Information Bases), qui est une structure hiérarchique des paramètres du périphérique. Parmi les autres paramètres, il contient toutes les informations sur le système d'exploitation utilisé et les services packs installés. Par défaut, plusieurs appareils activent ce service pour communauté publique en mode lecture. Et bien qu'il soit impossible d'apporter des modifications en mode lecture seule, il est tout à fait possible de recueillir des renseignements utiles pour le piratage.

Comme déjà mentionné, ce protocole s'applique à la couche de transport UDP, donc vous ne pouvez pas utiliser telnet. Pour vous connecter via SNMP et naviguer dans la base de données MIB, vous pouvez utiliser les navigateurs MIB inclus dans Back-Track. Vous pouvez aussi utiliser le navigateur iReasoning MIB gratuit.

Mais dans l'ensemble, il convient de noter que ces lacunes ne permettent pas d'utiliser uniquement une telle méthode pour identifier les services. D'autres méthodes doivent être utilisées.

Les protocoles réseau et leur implémentation dans différents services et applications permettent une identification plus précise des applications.

Petukhov Oleg, avocat en droit international et protection des renseignements personnels, spécialiste de l'information sécurité, protection de l'information et des données personnelles.

Canal Telegram: https://t.me/protecciondelainformacion

Groupe au Télégramme: https://t.me/securiteinformatique2

Site: https://legascom.ru

Courriel: online@legascom.ru

#sécuritéinformations #informationsécurité

Identificación de servicios y aplicaciones.

Examinamos los problemas relacionados con la identificación de nodos que operan en la red, el seguimiento de rutas y el escaneo de puertos. En consecuencia, hemos desmantelado los medios de protección que se pueden tomar y las formas de eludirlos. Ahora necesitamos identificar con la mayor precisión posible los sistemas operativos, servicios y aplicaciones que se utilizan en la red que estamos investigando. Y aquí serán muy útiles los materiales que se han podido reunir con la ayuda de la ingeniería social anteriormente.

Comencemos con la identificación de los servicios de TSR. Vale la pena señalar que una gran parte de las vulnerabilidades se encuentran en el nivel de la aplicación, por lo que la identificación precisa de los servicios es muy importante. Sobre la base de la información recopilada en esta etapa, puede elegir fácilmente las vulnerabilidades y exploits necesarios para ellas.

Ya hemos realizado escaneos de puertos y hemos encontrado lo que está abierto en los nodos que estamos investigando. Los números de puerto abiertos son evidencia indirecta del uso de ciertos servicios de red, por ejemplo, el puerto abierto 25 es probablemente un Servicio SMTP y el 80 es web. Después de saber qué Servicio se utiliza en el host, a continuación, debe establecer qué software implementa esta funcionalidad.

Comencemos con lo más simple.

Análisis de "banners".

Este es el método más común para recopilar información sobre los servicios que se ejecutan en el nodo que se está escaneando. Este método consiste en analizar los saludos que emiten los servicios cuando se conectan a un puerto determinado. A menudo, los "banners" contienen información sobre el Servicio utilizado hasta el número de versión. Vale la pena señalar que no todos los servicios de red son absolutamente portátiles, y esto, además, permite hacer suposiciones sobre el sistema operativo utilizado. Por ejemplo, si IIS está presente en el banner, entonces el servidor se ejecuta en Windows, y si SSH, lo más probable es que Unix esté frente a nosotros.

A continuación algunos ejemplos.

Así es como se ve la respuesta de mi servidor de archivos Synology USB Station 2

telnet 192.168.1.2 5000:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

<title>302 Found</title>

</head><body>

<h1>Found</h1>

<p>The document has moved

<hr>

<address>Apache/2.2.16 (Unix) Server at * Port 5000</address>

</body></html>

A juzgar por la línea Apache/2.2.16 (Unix) Server, este dispositivo utiliza un servidor web Apache de una versión específica y una versión de Unix especialmente ensamblada.

Y así es como se ve la respuesta a una solicitud similar de un enrutador de presupuesto:

HTTP/1.0 400 Bad Request

Server: WL520 gc/ httpd

Date: Thu, 05 Apr 2012 21:10:25 GMT

Content-Type: text/html

Connection: close

<HTML><HEAD><TITLE>400 Bad Request</TITLE></HEAD>

<BODY BGCOLOR="#cc9999"><H4>400

Bad Request</H4>

Can't parse request.

</BODY></HTML>

Parecería que este dispositivo es menos "conversacional", no hay nombre ni versión del servidor web o sistema operativo en la respuesta. Sin embargo, vale la pena prestar atención al WL520 gc. Por supuesto, se puede suponer que este es solo el nombre de la red del dispositivo y no lleva ninguna carga significativa. Y puede preguntar a Google y averiguar qué tipo de modelo de dispositivo se esconde debajo de este conjunto de caracteres.

Llamar al servidor de correo dará como resultado la siguiente respuesta:

telnet smtp.ru 25

220 smtp.ru ESMTP Sendmail 11 8.11 2/8 11 2, Thu, 10 Jan 2011 18 34:19 +0400

El método anterior de análisis de banners tiene varios inconvenientes. En primer lugar, muchos servicios permiten al administrador editar arbitrariamente sus banners de bienvenida, es decir, existe una cierta posibilidad de que el Servicio no sea lo que dice ser.

Los lectores de mi blog seguramente notaron que los dos primeros ejemplos que he dado muestran el servidor de archivos de hardware y el enrutador. En tales dispositivos, todo está escrito rígidamente en el firmware y cambiar algo es muy difícil y no siempre es posible, por lo que en tales dispositivos la respuesta es bastante verdadera. Pero en el último ejemplo, las cosas no son tan simples. El administrador puede ajustar fácilmente la configuración del Servicio de correo electrónico para que la respuesta no sea del todo veraz.

En segundo lugar, existe el riesgo de que el sistema operativo del nodo escaneado se ejecute en algún entorno de emulación (por ejemplo, VMWare). Esto puede tener un impacto en las comprobaciones basadas en las características de implementación de la pila TCP/IP. Las soluciones de hardware nuevamente carecen de este "inconveniente".

Aquí es donde es apropiado recordar la ingeniería social, en particular la recopilación de información a través del análisis de los requisitos en los anuncios y una posible entrevista. Si se descubrió que todo se ejecuta en Windows en una red corporativa, y el análisis del banner muestra que SMTP usa Sendmail, entonces algo con el banner no está limpio y es necesario usar otros métodos para definir servicios. Del mismo modo, si durante la entrevista, los administradores se interesaron activamente en la virtualización y dijeron que todos los servicios se estaban virtualizando, entonces es bastante probable que los servicios de destino también funcionen en el entorno dado. Esto puede hacer cambios significativos en la estrategia de una mayor piratería.

Hablando de análisis de banners, no se olvide de SNMP. Si se detecta un dispositivo con un puerto UDP 161 abierto durante el escaneo de puertos, es probable que esté ejecutando SNMP (protocolo de administración de red Simple). SNMP utiliza MIB (Management Information Bases), que es una estructura jerárquica de configuración del dispositivo. Entre otras opciones, contiene toda la información sobre el sistema operativo utilizado y los paquetes de Servicio instalados. De forma predeterminada, muchos dispositivos habilitan este Servicio para community public en modo de lectura. Y aunque no se pueden realizar cambios en el modo read only, es posible recopilar información útil para la piratería.

Como ya se mencionó, este protocolo se usa en la capa de transporte UDP, por lo que no funcionará usar telnet. Para conectarse al software SNMP y navegar por la base de datos MIB, puede usar los navegadores MIB que forman parte de Back-Track. También puede utilizar el navegador gratuito iReasoning MIB.

Pero, en general, vale la pena señalar que estas deficiencias no permiten que solo este método se use para identificar servicios. Es necesario aplicar otros métodos.

Los protocolos de red y su implementación en varios servicios y aplicaciones permiten una identificación más precisa de las aplicaciones.

Oleg Petukhov, abogado en el campo del derecho internacional y la protección de datos personales, especialista en información seguridad, protección de la información y datos personales.

Canal de Telegram: https://t.me/protecciondelainformacion1

Grupo de Telegramas: https://t.me/protecciondelainformacion2

Sitio web: https://legascom.ru

Correo electrónico: online@legascom.ru

#proteccióndelainformación #seguridaddelainformación

Identificação de serviços e aplicativos.

Abordamos questões relacionadas à identificação de nós em execução na rede, rastreamento de rotas e escaneamento de portas. Assim, nós desmantelamos os meios de proteção que podem ser tomadas e como contorná-los. Agora, precisamos identificar com a maior precisão possível os sistemas operacionais, serviços e aplicativos usados na rede em estudo. E é aqui que os materiais que foram coletados com a ajuda da engenharia social anteriormente serão muito úteis.

Vamos começar com a identificação dos serviços TCP. Vale a pena notar que uma grande parte das vulnerabilidades está na camada de aplicativos, portanto, a identificação precisa dos serviços é muito importante. Com base nas informações coletadas nesta fase, é possível identificar facilmente as vulnerabilidades e os exploits necessários para elas.

Já fizemos varreduras de portas e descobrimos o que está aberto nos nós de pesquisa. Os números de portas abertas são uma indicação indireta do uso de certos serviços de rede, por exemplo, a porta aberta 25 é provavelmente um serviço SMTP e a porta 80 é a web. Depois de saber qual serviço está sendo usado no nó, você precisa determinar qual software implementa essa funcionalidade.

Vamos começar com o mais simples.

Análise de "banners".

Este é o método mais comum para coletar informações sobre serviços em execução em um nó que está sendo escaneado. Esse método analisa as saudações que os serviços enviam quando se conectam a uma porta especificada. Muitas vezes, os" banners " contêm informações sobre o serviço usado até o número da versão. Vale a pena notar que nem todos os Serviços de rede são completamente Portáteis, e isso também torna possível fazer suposições sobre o sistema operacional usado. Por exemplo, se o banner contém IIS, o servidor é executado no Windows, e se SSH, provavelmente estamos diante do Unix.

Seguem-se alguns exemplos.

Aqui está a resposta do meu servidor de arquivos Synology USB Station 2

telnet 192.168.1.2 5000:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

<title>302 Found</title>

</head><body>

<h1>Found</h1>

<p>The document has moved

<hr>

<address>Apache/2.2.16 (Unix) Server at * Port 5000</address>

</body></html>

A julgar pela linha Apache / 2.2.16 (Unix) Server, Este dispositivo usa um servidor web Apache de uma versão específica e uma versão especialmente montada do Unix.

E é assim que a resposta a uma solicitação semelhante de um roteador de orçamento parece:

HTTP/1.0 400 Bad Request

Server: WL520 gc/ httpd

Date: Thu, 05 Apr 2012 21:10:25 GMT

Content-Type: text/html

Connection: close

<HTML><HEAD><TITLE>400 Bad Request</TITLE></HEAD>

<BODY BGCOLOR="#cc9999"><H4>400

Bad Request</H4>

Can't parse request.

</BODY></HTML>

Parece que este dispositivo é menos "falador", na resposta não há nome, nem versão do servidor web ou sistema operacional. No entanto, vale a pena prestar atenção ao WL520 gc. Você pode, é claro, assumir que este é apenas o nome de rede do dispositivo e não carrega nenhum significado. Ou você pode perguntar ao Google e descobrir qual modelo de dispositivo está escondido sob esse conjunto de caracteres.

Acessar o servidor de E-mail resultará na seguinte resposta:

telnet smtp.ru 25

220 smtp.ru ESMTP Sendmail 11 8.11 2/8 11 2, Thu, 10 Jan 2011 18 34:19 +0400

O método de análise de banners acima tem várias desvantagens. Em primeiro lugar, muitos serviços permitem que um administrador edite arbitrariamente seus banners de boas-vindas, o que significa que há uma certa probabilidade de que o serviço não seja quem diz ser.

Os leitores do meu blog devem ter notado que os dois primeiros exemplos que dei mostram um servidor de arquivos de hardware e um roteador. Em tais dispositivos, tudo é rigidamente escrito no firmware e mudar algo é muito difícil e nem sempre é possível, portanto, em tais dispositivos, a resposta é bastante verdadeira. No último exemplo, não é tão simples. O administrador pode facilmente ajustar as configurações do serviço de E-mail para que a resposta não seja totalmente verdadeira.

Em segundo lugar, existe o risco de que o sistema operacional do nó que está sendo digitalizado esteja sendo executado em algum ambiente de emulação (por exemplo, VMWare). Isso pode ter um impacto nas verificações baseadas na implementação específica da pilha TCP/IP. As soluções de hardware são novamente desprovidas dessa "falha".

Aqui é apropriado lembrar a engenharia social, em particular a coleta de informações por meio da análise de requisitos em anúncios e possíveis entrevistas. Se você descobriu que tudo na rede corporativa funciona no Windows, e a análise de banner mostra que o SMTP usa o Sendmail, então algo com o banner não é limpo e outros métodos de definição de serviços devem ser usados. Da mesma forma, se os administradores se interessaram ativamente pela virtualização durante a entrevista e disseram que todos os Serviços são virtualizados, é possível supor que os Serviços de destino também estão sendo executados nesse ambiente. Isso pode fazer mudanças significativas na estratégia de invasão.

Quando se trata de análise de banners, não se esqueça do SNMP. Se o scan de portas revelar um dispositivo UDP de porta 161 aberta, é provável que ele esteja executando o Simple Network Management Protocol (SNMP). O SNMP usa MIB (Management Information Bases), que é uma estrutura hierárquica de configurações de dispositivos. Entre outras opções, ele contém todas as informações sobre o sistema operacional usado e os service packs instalados. Por padrão, muitos dispositivos ativam esse serviço para o community public no modo de leitura. Embora não seja possível fazer alterações no modo read only, é possível coletar informações úteis para hackear.

Como já mencionado, este protocolo é usado na camada de transporte UDP, portanto, não será possível usar o telnet. Você pode usar os navegadores MIB que fazem parte do Back-Track para conectar SNMP e navegar pelo banco de dados MIB. Você também pode usar o gratuito iReasoning MIB browser.

Mas, em geral, vale a pena notar que essas falhas não permitem que esse método seja usado apenas para identificar serviços. Outros métodos também devem ser aplicados.

Os protocolos de rede e sua implementação em vários serviços e aplicativos permitem uma identificação mais precisa dos aplicativos.

Petukhov Oleg, advogado de Direito Internacional e proteção de dados pessoais, especialista em informação segurança, proteção de informações e dados pessoais.

Canal do Telegram: https://t.me/protecaodaInformacao

Grupo em Telegram: https://t.me/protecaodaInformacao1

Site: https://legascom.ru

Correio eletrónico: online@legascom.ru

#segurançadaInformação #Segurançadainformação

Identificação de serviços e aplicativos.

Revisamos questões relacionadas à identificação de nós que operam na rede, rastreamento de rotas e varredura de portas. Nesse sentido, analisamos os meios de proteção que podem ser tomados e as formas de contorná-los. Agora precisamos identificar com a maior precisão possível os sistemas operacionais, serviços e aplicativos que são utilizados na rede em estudo. E aqui os materiais que foram coletados anteriormente com a ajuda da engenharia social serão muito úteis.

Vamos começar com a identificação dos serviços TCP. Vale ressaltar que uma parte significativa das vulnerabilidades está relacionada à camada de aplicação, portanto, a identificação precisa dos serviços é muito importante. Com base nas informações coletadas nesta fase, você pode facilmente encontrar as vulnerabilidades e explorações necessárias para eles.

Já fizemos uma varredura de portas e descobrimos o que está aberto nos nós sob investigação. Os números de porta aberta são evidências indiretas do uso de determinados Serviços de rede, por exemplo, a porta aberta 25 é provavelmente o serviço SMTP e 80 é a web. Depois de descobrir qual serviço é usado no nó, em seguida, você precisa determinar qual software implementa essa funcionalidade.

Vamos começar pelo mais simples.

Análise de "banners".

Esse é o método mais comum de coletar informações sobre serviços em execução no nó verificado. Este método consiste em Analisar a saída de saudações pelos serviços quando conectados a uma determinada porta. Muitas vezes, os "banners" contêm informações sobre o serviço que está sendo utilizado, até e incluindo o número da versão. Vale ressaltar aqui que nem todos os Serviços de rede são totalmente Portáteis, e isso também possibilita fazer suposições sobre o sistema operacional utilizado. Por exemplo, se o IIS estiver presente no banner, o servidor será executado no Windows e, se SSH, provavelmente estamos olhando para o Unix.

Veja alguns exemplos.

É assim que fica a resposta do meu servidor de arquivos Synology USB Station 2

telnet 192.168.1.2 5000:

<!DOCTYPE HTML PUBLIC "- //IETF//DTD HTML 2.0 / / EN">

<title>302 encontrado< / title>

< / head><body>

<h1>encontrado< / h1>

<p>o documento foi movido

<hr>

< address>servidor Apache/2.2.16 (Unix) na * porta 5000< / address>

< / body>< / html>

A julgar pela linha de servidores Apache/2.2.16 (Unix), este dispositivo usa um servidor web Apache de uma determinada versão e uma versão Unix especialmente construída.

E é assim que se parece a resposta a uma solicitação semelhante de um roteador de Orçamento:

HTTP / 1.0 400 Bad Request

Servidor: WL520 gc/ httpd

Data: qui, 05 abr 2012 21:10: 25 GMT

Content-Type: text / html

Conexão: fechar

<HTML><HEAD><TITLE>400 Solicitação inválida< / TITLE>< / HEAD>

<BODY BGCOLOR= "#cc9999 " ><H4>400

Solicitação Ruim< / H4>

Não é possível analisar a solicitação.

< / BODY>< / HTML>

Parece que este dispositivo é menos "falador", não há nome ou versão do servidor web ou sistema operacional na resposta. No entanto, vale a pena prestar atenção ao WL520 gc. Claro, podemos supor que este é apenas o nome da rede do dispositivo e não carrega nenhuma carga semântica. Ou você pode perguntar ao Google e descobrir que tipo de modelo de dispositivo está oculto sob esse conjunto de caracteres.

Acessar o servidor de E-mail resultará na seguinte resposta:

telnet smtp.ru 25

220 smtp.ru ESMTP Sendmail 11 8.11 2/8 11 2, Qui, 10 Jan 2011 18 34:19 +0400

O método acima de análise de banner tem várias desvantagens. Em primeiro lugar, muitos serviços permitem que o administrador edite seus banners de saudação de qualquer forma, o que significa que há uma certa possibilidade de que o serviço não seja quem afirma ser.

Os leitores do meu blog provavelmente notaram que os dois primeiros exemplos que dei mostram um servidor de arquivos de hardware e um roteador. Nesses dispositivos, tudo é rigidamente escrito no firmware e pode ser muito difícil e nem sempre é possível alterar nada, portanto, nesses dispositivos, a resposta é bastante verdadeira. Mas no último exemplo, nem tudo é tão simples. O administrador pode ajustar facilmente as configurações do serviço de E-mail para que a resposta não seja totalmente verdadeira.

Em segundo lugar, existe o risco de que o sistema operacional do nó verificado esteja sendo executado em algum tipo de ambiente de emulação (por exemplo, VMware). Isso pode ter um impacto nas verificações com base nas especificidades da implementação da pilha TCP/IP. As soluções de Hardware, novamente, são desprovidas dessa"desvantagem".

Aqui seria apropriado relembrar a engenharia social, em particular, a coleta de informações por meio da análise de requisitos em anúncios e uma possível entrevista. Se foi descoberto que tudo na rede corporativa é executado no Windows e a análise de banner mostra que o SMTP usa o Sendmail, então algo está errado com o banner e outros métodos de identificação de serviços devem ser usados. Da mesma forma, se durante a entrevista os administradores se interessaram ativamente por questões de virtualização e disseram que todos os Serviços são virtualizados, então é bem possível supor que os Serviços de destino também funcionem nesse ambiente. Isso pode fazer mudanças significativas na estratégia de mais hackers.

Falando em análise de banner, não se esqueça do SNMP. Se a varredura de porta revelou um dispositivo com uma porta aberta 161 usando o protocolo UDP, provavelmente, o serviço SNMP (Simple Network Management Protocol) está sendo executado nele. O SNMP usa o MIB (bases de informações de gerenciamento), que é uma estrutura hierárquica de Configurações do dispositivo. Entre outros parâmetros, contém todas as informações sobre o sistema operacional utilizado e os service packs instalados. Por padrão, muitos dispositivos ativam esse serviço para o público da Comunidade no modo de leitura. E embora seja impossível fazer qualquer alteração no modo somente leitura, é bem possível coletar informações úteis para hackers.

Como já mencionado, este protocolo usa UDP na camada de transporte, portanto, você não poderá usar o telnet. Para conectar através do SNMP e navegar através do Base de dados MIB, você pode usar os navegadores MIB que são incluídos no Back-Track. Você também pode usar o navegador gratuito iReasoning MIB.

Mas, em geral, vale ressaltar que essas desvantagens não permitem utilizar apenas esse método para identificar serviços. Outros métodos também devem ser utilizados.

Os protocolos de rede e sua implementação em vários serviços e aplicativos permitem uma identificação mais precisa dos aplicativos.

Petukhov Oleg, advogado de Direito Internacional e proteção de dados pessoais, especialista em informação segurança, proteção de informações e dados pessoais.

Canal do Telegram: https://t.me/protecaodaInformacao

Grupo em Telegram: https://t.me/protecaodaInformacao1

Site: https://legascom.ru

Correio eletrónico: online@legascom.ru

#segurançadaInformação #Segurançadainformação

Identificazione di servizi e applicazioni.

Abbiamo esaminato i problemi relativi all'identificazione dei nodi in esecuzione nella rete, al tracciamento dei percorsi e alla scansione delle porte. Di conseguenza, abbiamo smontato quei mezzi di protezione che possono essere intrapresi e come aggirarli. Ora dobbiamo identificare nel modo più preciso possibile quei sistemi operativi, servizi e applicazioni che vengono utilizzati nella rete in esame. E qui saranno molto utili quei materiali che sono stati raccolti con l'aiuto dell'ingegneria sociale in precedenza.

Iniziamo identificando i servizi TCP. Vale la pena notare che una parte significativa delle vulnerabilità è a livello di applicazione, quindi l'identificazione accurata dei servizi è molto importante. Sulla base delle informazioni raccolte in questa fase, è possibile trovare facilmente le vulnerabilità e gli exploit giusti per loro.

Abbiamo già eseguito una scansione delle porte e scoperto ciò che è aperto sui nodi in esame. I numeri di porta aperti sono prove indirette dell'uso di alcuni servizi di rete, ad esempio la porta aperta 25 è molto probabilmente un servizio SMTP e 80 è web. Dopo aver appreso quale servizio viene utilizzato sul nodo, è necessario stabilire quale software implementa questa funzionalità.

Iniziamo con il più semplice.

Analisi dei "banner".

Questo è il metodo più comune per raccogliere informazioni sui servizi in esecuzione sull'host scansionato. Questo metodo consiste nell'analizzare i messaggi di saluto emessi dai servizi quando ci si connette a una determinata porta. Spesso, i "banner" contengono informazioni sul servizio utilizzato fino al numero di versione. Vale la pena notare che non tutti i servizi di rete sono assolutamente portatili e questo consente inoltre di fare ipotesi sul sistema operativo utilizzato. Ad esempio, se IIS è presente nel banner, il server viene eseguito su Windows e, se SSH, molto probabilmente Unix è di fronte a noi.

Di seguito sono riportati alcuni esempi.

Ecco come appare la risposta del mio file server Synology USB Station 2

telnet 192.168.1.2 5000:

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

<title>302 Found</title>

</head><body>

<h1>Found</h1>

<p>The document has moved

<hr>

<address>Apache/2.2.16 (Unix) Server at * Port 5000</address>

</body></html>

Sulla base della riga Apache / 2.2.16 (Unix) Server, Questo dispositivo utilizza un server Web Apache di una versione specifica e una versione Unix appositamente assemblata.

Ed ecco come appare la risposta a una richiesta simile di un router economico:

HTTP/1.0 400 Bad Request

Server: WL520 gc/ httpd

Date: Thu, 05 Apr 2012 21:10:25 GMT

Content-Type: text/html

Connection: close

<HTML><HEAD><TITLE>400 Bad Request</TITLE></HEAD>

<BODY BGCOLOR="#cc9999"><H4>400

Bad Request</H4>

Can't parse request.

</BODY></HTML>

Sembrerebbe che questo dispositivo sia meno "loquace", non c'è nome o versione del server Web o del sistema operativo nella risposta. Tuttavia, vale la pena prestare attenzione al GC WL520. Si può, naturalmente, presumere che questo sia solo il nome di rete del dispositivo e non sopporti alcun carico semantico. Oppure puoi chiedere a Google e scoprire quale modello di dispositivo si nasconde sotto questo set di caratteri.

Una chiamata al server di posta comporterà la seguente risposta:

telnet smtp.ru 25

220 smtp.ru ESMTP Sendmail 11 8.11 2/8 11 2, Thu, 10 Jan 2011 18 34:19 +0400

Il metodo di analisi dei banner fornito presenta diversi svantaggi. Prima di tutto, molti servizi consentono all'amministratore di modificare arbitrariamente i propri banner di benvenuto, ovvero c'è una certa possibilità che il servizio non sia affatto quello che dice di essere.

I lettori del mio blog hanno sicuramente notato che i primi due esempi che ho fornito mostrano un file server hardware e un router. In tali dispositivi, tutto è hardcoded nel firmware e cambiare qualcosa è molto difficile e non sempre possibile, quindi in tali dispositivi la risposta è abbastanza vera. Ma nell'ultimo esempio, tutto non è così semplice. L'amministratore può facilmente modificare le impostazioni del servizio di posta elettronica in modo che la risposta non sia del tutto vera.

In secondo luogo, c'è il rischio che il sistema operativo del nodo scansionato sia in esecuzione in un ambiente di emulazione (come VMWare). Questo può avere un impatto sui controlli in base alle caratteristiche di implementazione dello stack TCP/IP. Le soluzioni hardware sono ancora una volta prive di questo «difetto».

È qui che sarà opportuno ricordare l'ingegneria sociale, in particolare la raccolta di informazioni attraverso l'analisi dei requisiti negli annunci e un possibile colloquio. Se è stato scoperto che tutto è in esecuzione su Windows nella rete aziendale e l'analisi del banner mostra che SMTP utilizza Sendmail, allora qualcosa con il banner non è pulito e devono essere utilizzati altri metodi per determinare i servizi. Allo stesso modo, se durante il processo di intervista gli amministratori erano attivamente interessati ai problemi di virtualizzazione e dicevano che tutti i servizi erano virtualizzati, allora si può presumere che anche i servizi di destinazione funzionino in un determinato ambiente. Ciò può apportare modifiche significative alla strategia di ulteriore hacking.

Parlando di analisi dei banner, non dimenticare SNMP. Se durante la scansione delle porte è stato identificato un dispositivo con porta UDP aperta 161, è probabile che sia in esecuzione il servizio SNMP (Simple Network Management Protocol). SNMP utilizza MIB (Management Information Bases), che è una struttura gerarchica delle impostazioni del dispositivo. Tra gli altri parametri, contiene tutte le informazioni sul sistema operativo in uso e sui Service Pack installati. Per impostazione predefinita, molti dispositivi attivano questo servizio per community public in modalità di lettura. E sebbene non sia possibile apportare modifiche in modalità Leggi solo, è del tutto possibile raccogliere informazioni utili per l'hacking.

Come accennato, questo protocollo utilizza UDP a livello di trasporto, quindi non sarà possibile utilizzare telnet. Per connettersi tramite SNMP e navigare nel database MIB, è possibile utilizzare i browser MIB inclusi nel back-Track. È inoltre possibile utilizzare il browser iReasoning MIB gratuito.

Ma in generale, vale la pena notare che questi svantaggi non consentono solo un tale metodo per identificare i servizi. È necessario applicare altri metodi.

I protocolli di rete e la loro implementazione in vari servizi e applicazioni consentono un'identificazione più accurata delle applicazioni.

Oleg Petukhov, avvocato nel campo del diritto internazionale e della protezione dei dati personali, specialista nel campo dell'informazione sicurezza, protezione delle informazioni e dei dati personali.

Canale Telegram: https://t.me/protezionedelleinformazioni

Gruppo in telegramma: https://t.me/protezionedelleinformazioni1

Sito: https://legascom.ru

E-mail: online@legascom.ru

#protezionedelleInformazioni #sicurezzadelleinformazioni

Написать нам...