Droga druga - WARDRMNG

Droga ta zbliżona jest do drogi tradycyjnej - rozpoznania z Internetu. Różnica polega na tym, że znacznie prościej jest kontrolować dostęp do czegoś, co widać - połączenia przewodowego. W przypadku sieci bezprzewodowych sprawa się komplikuje.

Dzieje się tak z kilku powodów: ceny wielu bezprzewodowych punktów dostępowych spadły poniżej 200 zł, co zwiększa ich popularność wśród użytkowników indywidualnych; urządzenia te są małe i łatwo je ukryć przed wzrokiem przełożonego; ich zasięg może obejmować nawet kilka kilometrów; wreszcie - większość takich access pointów działa na domyślnych ustawieniach (plug and play), tj. standardowy login i hasło administratora (np. admin/admin w popularnych urządzeniach firmy D-Link), brak szyfrowania, rozgłaszanie SSID (identyfikatora punktu dostępowego) itd.

Zobacz również:

• Testy penetracyjne systemów IT - czy warto w nie zainwestować?
• Bezpieczeństwo w chmurze publicznej nadal priorytetowe

Szczególną uwagę należy zwrócić właśnie na takie "dzikie" punkty dostępowe, z których istnienia nieuważny administrator nie zdaje sobie sprawy. Korporacyjne punkty dostępowe są z reguły dość dobrze skonfigurowane, gdyż oficerowie bezpieczeństwa zdają sobie sprawę z łatwości, z jaką można wykorzystać kiepsko dostrojony punkt dostępowy. Często dostęp bezprzewodowy zabezpieczony jest również kanałem VPN pomiędzy klientem i punktem dostępowym, co dodaje dodatkową warstwę ochrony.

Posiadając podstawowy sprzęt, tj. laptopa, kartę WiFi umożliwiającą podłączenie zewnętrznej anteny i darmowe oprogramowanie można z powodzeniem udać się na przejażdżkę w okolice badanej firmy. Pod ręką warto mieć kilka aplikacji. Przyda się windowsowy Net Stumbler - (http://stumbler.net ). Pozwoli on na wstępne rozpoznanie punktów dostępowych w okolicy. Jego wadą jest to, że nie "widzi" tych, które mają wyłączone rozgłaszanie SSID.

Takiej wady nie ma "kultowy" już Kismet (http://www.kismetwireless.net ) dostępny pod Iinuksa. Po znalezieniu punktu dostępowego musimy spróbować pokonać jego zabezpieczenia, jeżeli w ogóle jakieś są. W zastraszającej liczbie przypadków access point zwyczajnie pozwoli nam się do siebie podłączyć dając nam adres IP z serwera DHCP. Jeżeli tak się stanie, to wiemy co robić dalej...

Jeżeli punkt dostępowy jest zabezpieczony, to przeważnie w dalszym ciągu stosowany jest standard WEP (Wireless Encryption Protocol). W chwili obecnej zapewnia on minimalny poziom bezpieczeństwa i - jak dowiodły liczne testy (np. przeprowadzone przez Chrisa Devine'a) - wystarczy kilka minut, aby go złamać i otrzymać klucz potrzebny do nawiązania połączenia. W tym celu zestaw wardrivera powiększamy o kilka dodatkowych narzędzi - airodump, aireplay, aircrack i już możemy wstrzykiwać pakiety i łamać klucz. Przełamywanie kluczy WEP to odrębne zagadnienie - dociekliwi z łatwością mogą znaleźć przepisy w przepastnym Internecie.

Droga trzecia, trochę staromodna - WARDIALING

Można powiedzieć staromodna, ponieważ droga ta to wejście poprzez zapomniane linie telefoniczne. Ten sposób wejścia do sieci jest często lekceważony zarówno przez administratorów, jak i przez użytkowników.

Gros routerów w oddziałach terenowych firmy korzysta właśnie z linii telefonicznych jako łącza zapasowego na wypadek awarii kanału podstawowego.

To tylko część problemu. Podobnie jak w przypadku punktów dostępowych pomysłowość użytkowników nie zna granic. Zawsze będą szukać sposobu na obejście przeszkód, żeby tylko uzyskać dostęp do prywatnej poczty, komunikatora czy domowego komputera. Od czego modem? Jeżeli w organizacji znajdzie się jakieś niepilnowane gniazdko telefoniczne z wyjściem "na miasto", to tylko kwestia czasu, kiedy ktoś coś do niego podłączy. Niekiedy okazuje się, że firma korzysta z trzech numerów telefonów, a pozostałe trzy zostały podłączone kiedyś na "wszelki wypadek".

W tzw. międzyczasie zmienił się administrator i nikt już nie pamięta, że takie wolne linie dostępne są gdzieś przy biurku pani Ani z księgowości. Z tego właśnie względu ta "staromodna" technika w dalszym ciągu cieszy się sporym poważaniem i daje zaskakujące rezultaty.

Najprostszym sposobem przeskanowania organizacji pod kątem dostępności modemów jest skorzystanie z gotowych narzędzi - wardialerów. Oprogramowanie to dzwoni pod określone wcześniej zakresy numerów telefonicznych i sprawdza obecność modemu po drugiej stronie.

Skąd wziąć numery telefonów? Przecież już je mamy... Podczas wstępnego rozpoznania zdobyliśmy sporo informacji na stronie WWW naszej firmy. Bardzo często firma zamawia u operatora numery telefonów w następującej po sobie kolejności (np. 741-06-90, -91, -92 itd.). Nie znamy jednak wszystkich numerów, zatem poszerzamy ich pulę o kilka w dół i kilka w górę.

Najbardziej znane pakiety narzędzi dla wardialera to THC Scan (http://www.thc.org ) oraz ToneLoc. Programy te zostały stworzone dość dawno temu, ale w dalszym ciągu nadają się do użytku. Ich skonfigurowanie to jednak sporo pracy. Łatwiej skorzystać z windowsowego narzędzia ModemScan (http://www.wardial.net ).

Po zlokalizowaniu dostępnego połączenia modemowego scenariusz postępowania nie odbiega od tego, który stosowaliśmy dotychczas - rozpoznanie hostów, usług i ich rodzajów itp. Modemy, które używane są jako urządzenia zapasowe do łączy podstawowych, mają jeszcze jedną wadę. Wysyłając odpowiednio spreparowane sygnały, można wywołać atak DoS odcinając łączność organizacji.

Na deser

Przyszedł wreszcie czas porządkowania wszystkich zebranych informacji. Podczas testów mogło np. okazać się, że firewall przepuszcza część pakietów i nie analizuje całej treści pakietów, że kilka serwisów opiera się na nieco przestarzałym oprogramowaniu, że w pomieszczeniu dla gości na parterze można bez wzbudzania podejrzeń podłączyć komputer do gniazdka i szpiegować zasoby firmy, że w dziale marketingu ni stąd, ni zowąd znajduje się punkt dostępowy, że u wspomnianej pani Ani działa modem, o którym nikt nie wie itp., itd.

Przykłady można mnożyć. Co zrobić dalej? Część odkrytych luk można wykorzystać i dostać się do zasobów, tak jak uczyniłby to potencjalny napastnik. W ten sposób ostatecznie potwierdzimy niedomagania w konkretnych miejscach.

I tutaj po raz kolejny ta sama uwaga: o metodach wykorzystywania luk można napisać kilka książek. Tak więc w skrócie - jeżeli nie chcemy zbytnio się natrudzić, skorzystajmy z gotowych narzędzi. Genialnym kombajnem jest Nessus (http://www.nessus.org ). Oprogramowanie to może być zarówno grzecznym chłopcem pokazującym jedynie luki w usługach, ale równie dobrze może pokazać pazur i bez ceregieli wykorzystać podatność i spowodować realną awarię. Dlatego też należy używać go z rozwagą. To tylko przykład.

Narzędzi tego typu jest wiele, choć trudno znaleźć bardziej wszechstronne. Innym wspaniałym narzędziem w rękach pentestera jest platforma Metasploit Framework (http://www.metasploit.com ). Służy ona do budowania, sprawdzania i wykorzystywania eksploitów na oprogramowaniu dotkniętym podatnościami. Platforma ta jest ciągle rozwijana, a liczba dostępnych dla niej eksploitów szybko rośnie. O jej skuteczności można było przekonać się całkiem niedawno, kiedy pojawiła się podatność w silniku Microsoft Windows WMF. Wykorzystując ją można za pośrednictwem niewinnie wyglądającego zdjęcia w załączniku poczty lub obrazka na stronie WWW wywołać dowolny kod, np. zażądać dostępu do linii poleceń.

Wykorzystując takie narzędzia i dokładnie opisując rezultaty naszej pracy oraz jej przebieg, w sposób niepodlegający wątpliwości możemy udowodnić niedomagania systemów lub w idealnych warunkach ich brak. Takie jest przecież zadanie pentestera.

Miejmy świadomość, że to co zostało opisane powyżej, to tylko ułamek możliwych do przeprowadzenia testów. Metodologia zależy od wielu czynników: poczynając od rodzaju badanego obszaru (wielka korporacja, mały lokalny oddział, tylko usługi WWW tylko poczta itp.), dokładności testów, dostępnego czasu, no i funduszy.

Każdy powinien opracować własny, oparty na spostrzeżeniach i zmieniających się warunkach styl prowadzenia testów, który stale będzie ewoluował. Przeprowadzenie dobrze "skrojonych" testów penetracyjnych wymaga rozległej wiedzy o wielu aspektach bezpieczeństwa i nie jest zadaniem szablonowym. Nabranie wprawy wymaga lat praktyki i godzin spędzonych nad książkami. Jeżeli gdzieś w głębi czujemy się wiecznymi studentami, ciągle żądnymi wiedzy, a pokonywanie przeszkód traktujemy jak zjedzenie płatków na śniadanie, to z pewnością polubimy również testy. A więc do roboty!