Próba szczelności serwera webowego

Kradzież numerów kart kredytowych

Podczas audytu wykorzystano usterki IIS związane z UniCode i niedoskonałości systemu operacyjnego Windows do zdobycia wiedzy o tym, jakie pliki są dostępne na serwerze, oraz przeszukiwania zawartości tych plików i ich skopiowania. Następnie ustalono, jakie hasła chronią przed nieautoryzowanym dostępem do serwera. Stwierdzono, że niedbale administrowane hasła nie stanowią większej przeszkody dla hakera.

Whisker, Brutus i Entry bardzo szybko odgadły hasła będące imionami lub datami urodzin. Narzędzia te mogą także odgadywać hasła oparte na kombinacjach prostych haseł.

Po odgadnięciu hasła dla maszyny z systemem Windows ominięto oprogramowanie IIS, Apache czy Netscape. Ponieważ współdzielenie plików i druku jest domyślnie aktywne na serwerze webowym Windows, potrzebne było jedynie wydanie prostej komendy za pośrednictwem powłoki komend CMD.EXE w celu uzyskania dostępu do plików: NET USE F:\\ServerName\ShareName password.

Nawet po wyłączeniu współdzielenia plików i druku, można było wykorzystać narzędzie Teleport Pro do swobodnego kopiowania plików serwera na inną maszynę. Potrzebna była jedynie znajomość hasła logowania na konto z dostatecznym poziomem uprawnień dostępu do plików. Odgadnięcie hasła nie było zbyt trudne, gdy użyto narzędzi do generowania haseł drogą permutacji pozycji z listy słów. Narzędzia te działają imponująco szybko. Zależnie od czynników, takich jak pasmo, opóźnienia i szybkość CPU, narzędzie do łamania haseł może wysyłać do 30 tys. próbek haseł na minutę.

Dobre narzędzie do łamania haseł działa nie tylko szybko, ale i jest elastyczne. Zanim uruchomiono program Brutus do generowania haseł metodą permutacji pozycji z listy słów, dostarczono plik zawierający taką listę, ukierunkowujący program w poszukiwaniach. Można również specyfikować, które próbki haseł powinny być zmieniane w kombinacjach liter wielkich i małych, cyfr i innych znaków graficznych. Mogą także być podane minimalne i maksymalne długości ciągów znaków stanowiących próbki haseł.

Zanim ustalono większe ograniczenia dotyczące stosowanych haseł, narzędzia do ich łamania zdołały szybko wykryć wiele haseł na serwerze webowym. W jednej z prób kombinacja narzędzi Brutus i Teleport Pro stosunkowo łatwo doprowadziła do odkrycia symulowanego pliku z danymi kart kredytowych. Taki plik czy też baza danych mogą zawierać inne poufne informacje biznesowe, które mogą być wykorzystane do różnych celów.

Ustanowienie dostępu przy użyciu haseł może utrudnić włamanie do serwera webowego, ale jedynie wtedy, gdy hasła te nie są łatwe do odgadnięcia. Zaleca się więc wdrażanie korporacyjnych reguł dotyczących haseł, określających ich minimalną długość, nakładających wymóg stosowania także innych niż litery znaków i okresową zmianę haseł, a także wykluczanie haseł opartych na imionach i datach urodzin.

Podsumowanie

W podjętej próbie szczelności ośrodka webowego ustalono, że hakerzy, używając niewłaściwie sformatowanych URL i innych sposobów, mogą dość łatwo uzyskać dostęp do i plików w sieci. Aby obronić się przed próbami wejścia do sieci, można ustanowić kilka prostych procedur. Obejmują one stałą troskę o aktualność zainstalowanych łatek związanych z bezpieczeństwem, okresowe kontrole plików logu do identyfikowania prób włamań i stałe śledzenie biuletynów bezpieczeństwa. Należy też wprowadzić procedurę okresowych ataków kontrolnych jako stały element zapewnienia bezpieczeństwa w sieci.

Pliki logów

Poniższe pliki logów pokazują próby uzyskania dostępu do sieci poprzez użycie niewłaściwie sformatowanego URL, aby zmylić ośrodek webowy. W tych logach wszystkie zlecenia GET dotyczą portu 80.

Próba szczelności serwera webowego

Proste sondy. Druga próba, zakończona pomyślnie, to uruchomienie CMD.EXE w celu otrzymania listy katalogów na serwerze webowym

Próba szczelności serwera webowego

Kolejne złożone sondy. Należy zwrócić uwagę na próbę wywołania tftp w zdarzeniach: drugim, trzecim i czwartym oraz użycia %2f jako znaku specjalnego

Próba szczelności serwera webowego

Bardziej złożone sondy. Należy zwrócić uwagę na użycie %5c jako znaku specjalnego w zdarzeniu piątym i szóstym. Sonda szósta - pomyślna

Próba szczelności serwera webowego

Zdarzenia związane z sondami po zainstalowaniu narzędzia ochronnego Microsoft Urlscan


TOP 200