چگونه يک آزمون قانوني نفوذ به شبکه را ترتيب دهيم (1)
همانند هر پروژه ي ديگري در زمينه ي امنيت يا IT، هک اخلاقي نيز به برنامه ريزي نياز دارد. مسائل استراتژيکي و تاکتيکي در فرآيند هک اخلاقي، بايستي تعيين شده و مورد توافق قرار گيرند. براي اطمينان از موفقيت تلاش هاي خود، زمان کافي را به برنامه ريزي کارها اختصاص دهيد. برنامه ريزي براي هر حجمي از آزمايش ها (از يک آزمايش ساده password-cracking تا يک آزمايش نفوذ کامل بر روي يک نرم افزار کاربردي وب) از اهميت بالائي برخوردار است. اگر تصميم گرفته ايد در طول آزمايش هاي خود و يا براي کسب يک ديدگاه مستقل، يک متخصص تست نفوذ را استخدام کنيد، نکات ديگري وجود دارند که بايستي آنها را نيز در نظر داشته باشيد.
اگر آزمايش هايي را بر روي سيستم هاي خودتان اجرا مي کنيد، کسب اجازه مي تواند به سادگي يک يادداشت داخلي يا يک email از کارفرمايتان باشد. اگر آزمايش ها را براي يک مشتري انجام مي دهيد، بايد يک قرارداد تهيه کنيد که پشتيباني و اجازه مشتري در آن تصريح شده باشد. در اولين فرصت ممکن، تائيديه مکتوب اين حمايت را بگيريد تا وقت يا تلاش هاي شما تلف نشوند. اگر کسي از شما در مورد کاري که انجام مي دهيد بازخواست کرده و يا بدتر، اگر اولياي امور شما را احضار کنند، اين مستندات کارت آزادي شما از زندان خواهند بود.
يک لغزش مي تواند سيستم هاي شما را از کار بيندازد و اين الزاماً چيزي نيست که کسي به آن علاقمند باشد. شما به يک برنامه ي مشروح نياز داريد، اما اين بدان معني نخواهد بود که شما به انبوهي از رويه هاي آزمايش احتياج خواهيد داشت. يک ديدگاه کاملاً تعريف شده، شامل اطلاعات زير است:
- سيستم هاي خاصي که قرار است آزمايش شوند: هنگام انتخاب سيستم ها براي آزمايش، کار را با حساس ترين سيستم ها و رويه ها (يا آنهائيکه احساس مي کنيد آسيب پذيرترين موارد هستند)، آغاز کنيد. براي نمونه، شما مي توانيد کلمات عبور کامپيوترها يا يک سايت وب را آزمايش کنيد و يا حملات مهندسي اجتماعي را پيش از بررسي عميق تمام سيستم هاي خود، انجام دهيد.
- خطرات موجود: بهتر است يک طرح احتمالي را براي مواقعي که اتفاق پيش بيني نشده اي در طول فرآيند هک اخلاقي شما روي مي دهد، تهيه کنيد. چه اتفاقي خواهد افتاد اگر فايروال يا نرم افزار کاربردي وب شما درست زمانيکه مشغول ارزيابي آن هستيد، از کار بيفتد؟ اين وضعيت مي تواند به عدم دسترس پذيري سيستم منتهي گردد که باعث کاهش عملکرد آن و يا بازدهي کارکنان مي شود. حتي بدتر، اين وضعيت مي تواند باعث از دست رفتن سلامتي داده ها، از دست رفتن خود داده ها و حتي نابودي شهرت يک مؤسسه گردد.
حملات DoS و مهندسي اجتماعي را با دقت زيادي انجام دهيد. تعيين کنيد که آنها چگونه مي توانند بر سيستمي که در حال آزمايش آن هستيد و کل سازمان شما تأثير بگذارند.
- زمان اجراي آزمايش: تعيين اين مسئله که آزمايش ها چه زماني انجام مي شوند، نکته اي است که شما بايد با دقت و بردباري در مورد آن فکر کرده و تصميم بگيريد. آيا آزمايش ها را در طول ساعت کار عادي انجام مي دهيد؟ آيا مي توانيد آنها را در اواخر شب يا ابتداي صبح اجرا کنيد تا بر سيستم هاي توليدي تأثيري نداشته باشند؟ با ديگران مشورت کنيد تا مطمئن شويد که آنها نيز با زمانبندي شما موافق هستند.
بهترين شيوه، يک حمله نامحدود است که در آن، هر نوع آزمايشي در هر زمان از روز قابل اجرا باشد. آدم هاي بد، در يک محدوده ي زماني خاص به سيستم هاي شما حمله نمي کنند، پس چرا شما بايد اينکار را انجام دهيد؟ بعضي از استثناءها در اين زمينه عبارتند از حملات DoS، مهندسي اجتماعي و آزمايش هاي امنيت فيزيکي.
- پيش از آغاز آزمايش، چقدر در مورد سيستم ها اطلاعات داريد: شما به اطلاعات گسترده اي در مورد سيستم هايي که آزمايش مي کنيد، نياز نخواهيد داشت و تنها يک شناخت مقدماتي از آنها کافي است. اين شناخت مقدماتي به محافظت از خودتان و سيستم هاي مورد آزمايش، کمک خواهد کرد.
اگر در حال هک سيستم هاي داخلي خودتان هستيد، شناخت سيستم هاي مورد آزمايش شما چندان دشوار نخواهد بود. اگر در حال آزمايش سيستم هاي يک مشتري هستيد، بايد نگاه عميق تري به آنها بيندازيد. در واقع، بعيد به نظر مي رسد که يک مشتري از شما بخواهد يک ارزيابي کور را انجام دهيد. اکثر مديران IT و ساير مسئولين امنيتي، از اينگونه ارزيابي ها هراس دارند. نوع آزمايش هايي که انجام خواهيد داد را براساس نيازهاي سازمان و يا مشتريانتان تعيين کنيد.
- در صورت کشف يک آسيب پذيري عمده، چه اقداماتي صورت خواهد گرفت: پس از پيدا کردن يک حفره ي امنيتي، کار را متوقف نکنيد. اين کار مي تواند يک احساس کاذب در مورد ايمني را ايجاد کند. به کار خود ادامه دهيد تا ببينيد که آيا موارد ديگري را نيز کشف مي کنيد يا خير. ما نمي گوييم که کار را تا ابد و يا تا زمانيکه تمام سيستم هاي خود را از کار بيندازيد، ادامه دهيد. صرفاً به مسير خود ادامه دهيد تا جائيکه ديگر نتوانيد آن را هک کنيد. اگر هيچگونه آسيب پذيري را پيدا نکرده ايد، با جديّت کافي جستجو نکرده ايد.
ممکن است يکي از اهداف شما، انجام آزمايش ها بدون شناسائي شدن باشد. براي مثال، ممکن است آزمايش هاي خود را بر روي سيستم هاي دور يا يک دفتر کاري دور انجام دهيد تا کاربران از آنچه انجام مي دهيد، اطلاع نداشته باشند. در غير اينصورت ممکن است کاربران با ديدن شما، بهترين رفتارهاي خود را نشان دهند نه رفتارهاي معمولي.
اگر اين آزمايش ها را بر روي سيستم هاي خودتان انجام مي دهيد، کسب مجوز مي تواند به سادگي يک يادداشت داخلي يا e-mail از حامي پروژه ي شما باشد. اگر آزمايش ها را براي يک مشتري اجرا مي کنيد، بايد يک قرارداد امضاء شده در اختيار داشته باشيد که پشتيباني و کسب مجوز از مشتري را اثبات نمايد. در اولين فرصت، تائيديه کتبي را تهيه کنيد تا مطمئن شويد که تلاش ها و وقت شما به هدر نخواهد رفت. اگر کسي در مورد کاري که انجام مي دهيد اعتراض داشته باشد، اين مستندات مي توانند ضامن امنيت و يا کليد رهائي شما از زندان باشند.
اگر شما يک مشاور مستقل هستيد و يا يک بنگاه تجاري با تيمي از هکرهاي اخلاقي داريد، بهتر است به فکر تهيه ي بيمه ي تعهدات شغلي از يک نماينده ي بيمه که در زمينه ي پوشش بيمه هاي تجاري تخصص دارد، باشيد. اين نوع بيمه مي تواند نسبتاً گران باشد، اما اگر با مشکل پيش بيني نشده اي برخورد کرده و به محافظت نياز داشته باشيد، کاملاً ارزشمند خواهد بود.
- اهداف مشخص تري را تعيين کرده و اين اهداف را با مقاصد تجاري خود تطبيق دهيد.
- يک برنامه ي زمانبندي ويژه با تاريخ هاي آغاز و پايان و همچنين زمان انجام آزمايش هاي خود تهيه کنيد. اين تاريخ ها و زمان ها، مؤلفه هاي حياتي طرح کلي شما هستند.
پيش از آنکه هر نوع هک اخلاقي را آغاز کنيد، قطعاً و يقيناً نياز داريد که تمام موارد مربوطه مکتوب شده و به امضاء برسد. همه چيز را مستند کرده و مديريت مؤسسه را در اين فرآيند دخالت دهيد. بهترين هم پيمان شما در تلاش هاي هک اخلاقي، مديري است که از آنچه انجام مي دهيد پشتيباني مي کند.
هنگامي که در حال تعيين اهداف طرح هک اخلاقي خود هستيد، پرسش هاي زير مي توانند آغازگر مسير باشند:
1- آيا هک اخلاقي از مأموريت بنگاه تجاري مورد نظر و بخش هاي IT و امنيت آن پشتيباني مي کند؟
2- کدام اهداف تجاري با انجام هک اخلاقي مطابقت دارند؟
اين اهداف مي توانند شامل موارد زير باشند:
- کسب آمادگي براي يک استاندارد امنيتي پذيرفته شده بصورت بين المللي (نظير ISO/IEC 17799:2007)، يک مميزي SAS70 و يا يک نشان امنيتي نظير SysTrust يا WebTrust.
- انطباق با قوانين فدرال نظير GLBA، HIPAA يا Sarbanes-Oxley
- انطباق با ملزومات قراردادي مشتريان و يا شرکاي تجاري
- تقويت سطح اعتبار شرکت
3- هک اخلاقي چگونه باعث بهبود امنيت IT و تجاري شرکت خواهد شد؟
4- شما در حال محافظت از چه اطلاعاتي هستيد؟
اين اطلاعات مي توانند شامل دارايي هاي غيرمادي، اطلاعات محرمانه مشتريان و يا اطلاعات خصوصي کارکنان شرکت باشند.
5- شما و مؤسسه تان حاضر به صرف چه مقدار هزينه، زمان و کار براي انجام هک اخلاقي هستيد؟
6- چه موارد قابل تحويل (deliverable) خاصي وجود دارند؟
موارد قابل تحويل مي توانند شامل هر چيزي از گزارشات ارائه شده به مديران اجرائي سطح بالا تا گزارش هاي فني مشروح و مکتوبات مربوط به آزمايش هاي انجام شده به همراه نتايج آزمايش هاي شما باشند. مي توانيد اطلاعات خاصي را تحويل دهيد که در طول آزمايش هايتان جمع آوري شده اند (نظير کلمات عبور و يا ساير اطلاعات محرمانه).
7- شما به دنبال چه نتايج خاصي هستيد؟
نتايج مطلوب مي توانند شامل توجيه استخدام و يا Outsource نمودن پرسنل امنيتي، افزايش بودجه امنيتي و يا ارتقاء سيستم هاي امنيتي باشند.
ممکن است افراد داخل مؤسسه ي شما تلاش کنند تا از اجراي طرح هاي هک اخلاقي شما جلوگيري نمايند. بهترين پادزهر براي اين مشکل، آموزش است. نشان دهيد که هک اخلاقي چگونه به نفع همه از تجارت پشتيباني مي کند.
پس از آنکه اهداف خود را شناختيد، گام هاي لازم براي رسيدن به آنها را مستند نماييد. براي مثال، اگر توسعه يک ميت رقابتي براي حفظ مشتري هاي موجود و جذب مشتريان جديد يکي از اهداف شما است، پاسخ پرسش هاي زير را بدست آوريد:
- آيا هک اخلاقي شما «کور» خواهد بود (به معناي آنکه شما هيچ چيزي درباره سيستم هاي مورد آزمايش خود نمي دانيد) و يا مبتني بر «آشنايي قبلي» است (به معناي آنکه شما اطلاعات خاصي نظير آدرسهاي IP، نام ميزبان ها و حتي نامهاي کاربري و کلمات عبور را درباره ي سيستم هاي مورد آزمايش خود در اختيار داريد).
- آيا اين آزمايش داراي طبيعت فني خواهد بود و با ارزيابي هاي امنيتي فيزيکي و حتي مهندسي اجتماعي سر و کار خواهد داشت؟
- آيا شما عضو يک تيم هک اخلاقي بزرگتر (که گاهي اوقات تحت عنوان Tiger Team يا Red Team شناخته مي شود) هستيد؟
- آيا شما مشتريان خود را از آنچه که انجام مي دهيد آگاه خواهيد نمود؟ اگر اينکار را انجام مي دهيد، چگونه؟
آگاه سازي مشتري، يک مسئله ي حياتي است. بسياري از مشتريان درک مي کنند که شما در حال برداشتن گام هايي جهت محافظت از اطلاعات آنها هستيد. آزمايش خود را در يک مسير قطعي و مثبت هدايت نماييد. هيچ وقت به مشتريان خود نگوييد که «ما به سيستم هاي شما نفوذ مي کنيم تا ببينيم که چه اطلاعاتي در برابر هکرها آسيب پذير هستند»، حتي اگر اين همان کاري است که در حال انجام آن هستيد. در مقابل، مي توانيد براي آنها توضيح دهيد که مشغول ارزيابي امنيت کلي سيستم هايشان هستيد تا اطلاعات از بالاترين امنيت ممکن در برابر هکرهاي خارجي و پرسنل Rogue داخلي برخوردار باشند.
- چگونه متوجه خواهيد شد که مشتريان به اين موضوع اهميت مي دهند يا خير؟
- چگونه به مشتريان خود اطلاع مي دهيد که مؤسسه شما در حال برداشتن گام هايي براي ارتقاء امنيت اطلاعات آنها است؟
- چه معيارهايي مي توانند تضمين کنند که اين تلاش ها نتيجه بخش هستند؟ تعيين اهداف آزمايش ها قطعاً وقتگير خواهد بود، اما نبايد از آن صرفنظر نمائيد. اين اهداف، نقشه ي مسير شما به حساب مي آيند. اگر در هر موردي نگراني داشتيد، مي توانيد به اين اهداف مراجعه کرده و مطمئن شويد که هنوز در مسير صحيح قرار داريد.
هک اخلاقي تا حدود زيادي به آزمايش هاي بتاي يک نرم افزار شباهت دارد. با يک تفکر منطقي به کالبدشکافي و تعامل با تمام مؤلفه هاي شبکه بپردازيد تا ببينيد که آنها چگونه کار مي کنند. غالباً اطلاعات را در قطعات بسيار کوچکي جمع آوري کرده و سپس قطعات پازل را در کنار يکديگر قرار مي دهيد. شما کار خود را از نقطه A و با در نظر گرفتن چند هدف آغاز مي کنيد، به هک سيستم مي پردازيد (و در اين مسير، بسياري از مراحل را تکرار مي کنيد) و جلو مي رويد تا جائيکه آسيب پذيري هاي امنيتي را در نقطه B کشف مي نماييد.
فرآيندي که هک اخلاقي براساس آن صورت مي گيرد، اساساً با فرآيندي که يک مهاجم بدانديش از آن استفاده مي کند يکسان است. در واقع تفاوت اين دو فرآيند به اهداف شما و نحوه ي دستيابي به آنها مربوط مي شود. بعلاوه، شما بعنوان يک هکر اخلاقي نهايتاً تلاش خواهيد کرد تا تمام آسيب پذيري هاي مرتبط با امنيت اطلاعات را مورد ارزيابي قرار داده و احتمالاً آنها را برطرف نمائيد، نه اينکه صرفاً يک بهره برداري ساده را ترتيب داده و يا به تعداد کمي از سيستم ها حمله کنيد. امروزه حملات مي توانند از هر زاويه اي و بر عليه هر سيستمي اجرا شوند، نه صرفاً از محدوده ي شبکه شما و اينترنت (چيزي که در گذشته شما آن را بصورت شرطي باور کرده بوديد). هر نقطه ي ورودي احتمالي نظير شبکه هاي شرکاي تجاري، فروشندگان، مشتريان و همچنين کاربران خانگي، LANهاي بي سيم و مودم ها را آزمايش کنيد. هر ماهيت انساني، سيستم کامپيوتري و يا مؤلفه فيزيکي که از سيستم هاي کامپيوتري شما محافظت مي کند (چه در داخل و چه در خارج از ساختمان شما)، مي تواند يک نقطه مناسب براي انجام آزمايش ها باشد.
هنگاميکه کار هک اخلاقي خود را آغاز مي کنيد، يک گزارش از هر آزمايش خود و ابزارهاي مورد استفاده در آن، سيستم هاي مورد آزمايش و بالاخره نتايجي که بدست آورده ايد را تهيه کنيد. اين اطلاعات مي توانند در انجام موارد زير به شما کمک کنند:
- پيگيري کارهاي انجام شده در آزمايش هاي قبلي و دلايل آن
- کمک به اثبات اين موضوع که شما هيچگونه هک بدخواهانه اي را بر روي سيستم ها انجام نداده ايد.
- مربوط نمودن آزمايش هاي شما با سيستم هاي تشخيص نفوذ (intrusion detection) و ساير فايل هاي گزارش (Log) در شرايطي که مشکل يا پرسش هايي بوجود آمده باشد.
علاوه بر تهيه ي يادداشت هاي کلي، بهتر است حتي الامکان Screen-Captureهايي را نيز از نتايج خود تهيه کنيد. در صورتيکه بعداً نياز داشته باشيد آنچه روي داده است را اثبات نماييد و همچنين در هنگام آماده سازي گزارش نهايي، اين موارد مي توانند براي شما بسيار مفيد باشند. همچنين، بر حسب آنکه از چه ابزاري استفاده مي کنيد، اين Screen-Captureها در هنگام تهيه گزارش نهايي مي توانند تنها شواهد شما براي اثبات وجود آسيب پذيري ها باشند.
وظيفه ي اصلي شما، شبيه سازي فرآيندهاي جمع آوري اطلاعات و تسليم نمودن سيستم ها است که توسط يک هکر واقعي انجام مي شوند.اين وضعيت مي تواند يک حمله ي نيمه تمام بر روي يک کامپيوتر واحد و يا يک حمله ي فراگير بر عليه تمام سازمان باشد. بطور کلي، شما در جستجوي همان چيزي هستيد که افراد نفوذي داخلي و هکرهاي واقعي مي بينند. شما مي خواهيد به سيستم هاي داخلي (فرآيندها و رويه هايي که با کامپيوترها، افراد و زير ساختارهاي فيزيکي سر و کار دارند) دسترسي پيدا کنيد. به جستجوي آسيب پذيري ها بپردازيد و ببينيد که تمام سيستم هاي شما چگونه با هم ارتباط برقرار مي کنند يا اينکه سيستم ها و اطلاعات خصوصي چگونه در برابر عناصر غير قابل اعتماد محافظت مي شوند (يا نمي شوند).اگر مشغول اجراي هک اخلاقي براي يک مشتري هستيد، احتمالاً يک مسير ارزيابي کور را در پيش رو خواهيد داشت و در هنگام آغاز کار تنها از نام شرکت آگاهي داريد (نه هيچگونه اطلاعاتي که برايتان مفيد باشد). اين شيوه ارزيابي کور به شما امکان مي دهد تا کار خود را از اولين نقطه آغاز کرده و درک بهتري از اطلاعات و سيستم هايي که مهاجمين بدخواه آشکارا مي توانند به آنها دسترسي پيدا کنند را در اختيار شما قرار مي دهد. با اينحال، بايد اين نکته را در نظر بگيريد که چنين آزمايشي مي تواند بسيار طولاني تر شود و از سوي ديگر، شانس بيشتري وجود دارد که شما يک يا صدها سيستم را ناديده بگيريد.
بعنوان يک هکر اخلاقي، ممکن است شما در مورد پاکسازي ردپاهاي خود و يا گريز از «سيستم هاي شناسايي نفوذ»، نگراني چنداني نداشته باشيد زيرا تمام کارهايي که انجام مي دهيد قانوني هستند. اما در اينجا نيز ممکن است يکي از اهداف شما، آزمايش سيستم بصورت مخفيانه باشد. ما تکنيک هاي مورد استفاده هکرها براي پنهان کردن اقداماتشان را در قسمت هاي بعدي تشريح خواهيم کرد (و البته به اقدامات متقابل در برابر آنها نيز اشاره خواهيم کرد).
نحوه جمع آوري اطلاعات، عبارت است از:
- کار را با استفاده از يک مرورگر وب براي جستجوي اطلاعات مرتبط با سازمان خود (بر روي وب) آغاز کنيد. با توجه به حضور منابع قابل دسترسي بر روي اينترنت، شما مي توانيد تا ابد به جمع آوري اطلاعات ادامه دهيد.
- اسکن هاي مختلف شبکه را اجرا کرده، درگاه ها را بازرسي نموده و آسيب پذيري ها را ارزيابي کنيد تا اطلاعات کاملاً اختصاصي را درباره ي سيستم خود بدست آوريد. بعنوان يک فرد داخلي، شما مي توانيد از اسکنرهاي درگاه (Port Scanner) و ابزارهاي Share-Finder (نظير GFI LANguard Network Security Scanner) استفاده کرده و ببينيد که چه چيزي قابل دسترسي مي باشد.
خواه در حال انجام يک جستجوي کلي باشيد و يا مشغول يک بازرسي فني تر، نهايتاً بايستي اطلاعات بدست آمده را برحسب آنکه چه چيزي براي شما منطقي است، محدود کنيد. ممکن است شما يک ساعت، يک روز و يا يک هفته را براي جمع آوري اين اطلاعات صرف کنيد. اين موضوع به بزرگي مؤسسه ي مورد نظر شما و پيچيدگي سيستم هاي اطلاعاتي آن بستگي دارد.
هر کسي مي تواند از تکنيک هاي زير براي جمع آوري ارتباط در مورد سازمان شما استفاده نمايد:
- نام کارکنان و اطلاعات تماس با آنها
- تاريخ هاي مهم براي شرکت
- سوابق همکاري ها (براي شرکت هاي خصوصي)
- سوابق SEC (براي شرکت هاي عمومي)
-خبرهاي منتشر شده درباره ي اقدامات، تغييرات سازماني و محصولات جديد
-ادغام ها و تغييرات مالکيت
- حق امتيازها و نام هاي تجاري
- مقالات، توضيحات و Webcastها
Google، ابزار محبوب ما (و ابزار محبوب بسياري از هکرها) است. اين موتور جستجوي قدرتمند به استخراج اطلاعات (از اسناد واژه پردازي گرفته تا فايل هاي گرافيکي) بر روي هر کامپيوتري که بطور عمومي قابل دسترسي باشد، مي پردازد. در عين حال، اين ابزار کاملاً رايگان است و کتاب هاي متعددي درباره استفاده از آن نوشته شده اند. بنابراين، زمانيکه نوبت به استفاده از اين ابزار مفيد مي رسد، بايد انتظار داشته باشيد که هر هکري (اخلاقي يا بدخواه) کاملاً از ورزيدگي بالايي برخوردار باشد.
با استفاده از Google، شما مي توانيد جستجو در اينترنت را به شيوه هاي مختلفي انجام دهيد:
- با تايپ عبارات کليدي: اين شيوه غالباً چندين و در بعضي از موارد صدها صفحه از اطلاعات (نظير فايل ها، شماره تلفن ها و آدرس ها) را آشکار مي کند که شما هيچگاه نمي توانستيد حدس بزنيد که دسترسي به آنها تا اين حد آسان باشد.
- با اجراي جستجوهاي پيشرفته وب: گزينه اي Advanced Search سايت Google، قادر است سايت هايي را بيابد که به سايت وب شرکت شما لينک داده اند. اين نوع جستجو غالباً مي تواند انبوهي از اطلاعات را درباره شرکاي تجاري، فروشندگان، مشتريان و ساير روابط سازمان شما آشکار نمايد.
- با استفاده از سوئيچ ها براي کاوش عميق تر يک سايت وب: براي مثال، اگر شما بخواهيد يک عبارت يا فايل معين را بر روي سايت وب سازمان خود بيابيد، کافي است خطي شبيه به يکي از موارد زير را در Google وارد کنيد:
site:www.your_domain.com keyword
site:www.your_domain.com filename
- پيکربندي و چيدمان کلي سايت وب
- دايرکتوري هاي حاوي فايل ها که به شکل ديگري قابل دسترسي نخواهند بود
- کد مرجع HTML صفحات وب
- فيلدهاي توضيحات (Comments)
اين فيلدها، حاوي اطلاعات مفيدي نظير نام ها و آدرس هاي e-mail برنامه نويسان و پرسنل IT داخل شرکت، نام سرورها، نسخه هاي نرم افزاري و الگوهاي آدرس دهي داخلي سايت شما هستند.
1- سايت هاي وب تجاري و دولتي:
- www.hoovers.com و http://finance.yahoo.com، اطلاعات مشروحي را درباره شرکت هاي عمومي تأمين مي کنند.
- www.sec.gov/edgar.shtml، سوابق SEC شرکت هاي عمومي را نمايش مي دهد.
- www.uspto.gov، حق امتيازها و نام هاي تجاري ثبت شده را در اختيار شما قرار مي دهد.
2- بررسي سوابق و ساير اطلاعات شخصي:
-ChoicePoint
-USSearch
براي هک اخلاقي، Whois مي تواند اطلاعات زير را فراهم نمايد که يک نقطه شروع مناسب براي يک حمله ي مهندسي اجتماعي يا اسکن يک شبکه را در اختيار يک هکر قرار مي دهد:
- اطلاعات نام دامنه ي اينترنت، نظير نام ها و آدرس هاي تماس
- سرورهاي DNS مسئول دامنه ي شما
شما مي توانيد اطلاعات Whois را در يکي از مکان هاي زير جستجو کنيد:
-Whois.org
- يک سايت ثبت کننده ي دامنه نظير www.networksolutions.com
-صفحه ي پشتيباني فني ISP خودتان
DNSstuff.com، يکي از ابزارهاي Whois محبوب ما است. شما مي توانيد از سايت وب آن استفاده کرده و يا ابزار مبتني بر ويندوز آن را بارگذاري نماdيد. مي توانيد جستجوهاي DNS را مستقيماً از سايت مذکور انجام دهيد تا:
- اطلاعات کلي ثبت دامنه براي شما نمايش داده شود.
- ببينيد که کدام ميزبان، مسئوليت اداره e-mail را براي يک دامنه بر عهده دارد.
- محل قرارگيري ميزبان هاي مشخص را تعيين کنيد.
- تعيين کنيد که آيا ميزبان مورد نظر بر روي تعداد معيني از Spam-Blacklistها فهرست شده است يا خير.
گروه هاي Google Usenet در http://groups.google.com مي توانند اطلاعات عمومي شگفت آوري را در مورد شبکه ي شما آشکار نمايند. به جستجوي اطلاعاتي نظير FQDNها (fully qualified domain names)، آدرس هاي IP و نام هاي کاربري سازمان خود بپردازيد. شما مي توانيد صدها ميليون پست Usenet که از سال 1981 بطور عمومي ارسال شده اند و غالباً حاوي اطلاعات کاملاً خصوصي هستند را جستجو نماييد.
ممکن است اطلاعاتي نظير موارد زير را در جستجوهاي خود بيابيد که حتي تصور نمي کرديد در دسترسي عموم قرار داشته باشند:
- يک پيام پشتيباني فني (يا مشابه آن) که اطلاعات بسياري را درباره ي سيستم هاي شما فاش مي کند. بسياري از افرادي که اقدام به ارسال پيام بر روي Usenet مي کنند، هنوز متوجه نشده اند که پيام هايشان با تمام دنيا به اشتراک گذاشته مي شوند و براي مدت بسيار طولاني نگهداري خواهند شد.
- اطلاعات محرمانه شرکت که توسط کارکنان يا مشتريان ناراضي شرکت ارسال شده اند.
اگر متوجه شديد که اطلاعات محرمانه اي در رابطه با سازمان شما به صورت Online ارسال شده است، ممکن است بتوانيد آنها را حذف کنيد. براي بدست آوردن جزئيات بيشتر در اين مورد، مي توانيد صفحه Help گروه هاي Google(http://groups.google.com/support) را مطالعه کنيد.
مطمئن شويد افرادي که اين خط مشي ها را مي نويسند (غالباً وکلاي فاقد اطلاعات فني و يا مديران بازاريابي)، جزئيات مربوط به زيرساختار امنيتي اطلاعات شما را فاش نمي کنند. يکبار يک تاجر اينترنتي مبتدي با ما درباره ي فرصت هاي تجاري تماس گرفت. در طول صحبت، او شديداً به سيستم هاي امنيتي شرکت خود که حريم خصوصي اطلاعات مشتريانش را تضمين مي کردند، مي باليد. ما سري به سايت وب او زديم تا وضعيت خط مشي هاي محرمانگي آن را بررسي نماييم و با تعجب فراوان متوجه شديم که او حتي نام تجاري و مدل فايروال مورد استفاده خود را به همراه ساير اطلاعات فني مربوط به شبکه اش ذکر کرده است. اين به هيچوجه يک ايده منطقي به حساب نمي آيد.
منبع: ماهنامه ي کامپيوتري بزرگراه رايانه، شماره ي 131.
ادامه دارد...
تعريف پروسه ي آزمون
اگر آزمايش هايي را بر روي سيستم هاي خودتان اجرا مي کنيد، کسب اجازه مي تواند به سادگي يک يادداشت داخلي يا يک email از کارفرمايتان باشد. اگر آزمايش ها را براي يک مشتري انجام مي دهيد، بايد يک قرارداد تهيه کنيد که پشتيباني و اجازه مشتري در آن تصريح شده باشد. در اولين فرصت ممکن، تائيديه مکتوب اين حمايت را بگيريد تا وقت يا تلاش هاي شما تلف نشوند. اگر کسي از شما در مورد کاري که انجام مي دهيد بازخواست کرده و يا بدتر، اگر اولياي امور شما را احضار کنند، اين مستندات کارت آزادي شما از زندان خواهند بود.
يک لغزش مي تواند سيستم هاي شما را از کار بيندازد و اين الزاماً چيزي نيست که کسي به آن علاقمند باشد. شما به يک برنامه ي مشروح نياز داريد، اما اين بدان معني نخواهد بود که شما به انبوهي از رويه هاي آزمايش احتياج خواهيد داشت. يک ديدگاه کاملاً تعريف شده، شامل اطلاعات زير است:
- سيستم هاي خاصي که قرار است آزمايش شوند: هنگام انتخاب سيستم ها براي آزمايش، کار را با حساس ترين سيستم ها و رويه ها (يا آنهائيکه احساس مي کنيد آسيب پذيرترين موارد هستند)، آغاز کنيد. براي نمونه، شما مي توانيد کلمات عبور کامپيوترها يا يک سايت وب را آزمايش کنيد و يا حملات مهندسي اجتماعي را پيش از بررسي عميق تمام سيستم هاي خود، انجام دهيد.
- خطرات موجود: بهتر است يک طرح احتمالي را براي مواقعي که اتفاق پيش بيني نشده اي در طول فرآيند هک اخلاقي شما روي مي دهد، تهيه کنيد. چه اتفاقي خواهد افتاد اگر فايروال يا نرم افزار کاربردي وب شما درست زمانيکه مشغول ارزيابي آن هستيد، از کار بيفتد؟ اين وضعيت مي تواند به عدم دسترس پذيري سيستم منتهي گردد که باعث کاهش عملکرد آن و يا بازدهي کارکنان مي شود. حتي بدتر، اين وضعيت مي تواند باعث از دست رفتن سلامتي داده ها، از دست رفتن خود داده ها و حتي نابودي شهرت يک مؤسسه گردد.
حملات DoS و مهندسي اجتماعي را با دقت زيادي انجام دهيد. تعيين کنيد که آنها چگونه مي توانند بر سيستمي که در حال آزمايش آن هستيد و کل سازمان شما تأثير بگذارند.
- زمان اجراي آزمايش: تعيين اين مسئله که آزمايش ها چه زماني انجام مي شوند، نکته اي است که شما بايد با دقت و بردباري در مورد آن فکر کرده و تصميم بگيريد. آيا آزمايش ها را در طول ساعت کار عادي انجام مي دهيد؟ آيا مي توانيد آنها را در اواخر شب يا ابتداي صبح اجرا کنيد تا بر سيستم هاي توليدي تأثيري نداشته باشند؟ با ديگران مشورت کنيد تا مطمئن شويد که آنها نيز با زمانبندي شما موافق هستند.
بهترين شيوه، يک حمله نامحدود است که در آن، هر نوع آزمايشي در هر زمان از روز قابل اجرا باشد. آدم هاي بد، در يک محدوده ي زماني خاص به سيستم هاي شما حمله نمي کنند، پس چرا شما بايد اينکار را انجام دهيد؟ بعضي از استثناءها در اين زمينه عبارتند از حملات DoS، مهندسي اجتماعي و آزمايش هاي امنيت فيزيکي.
- پيش از آغاز آزمايش، چقدر در مورد سيستم ها اطلاعات داريد: شما به اطلاعات گسترده اي در مورد سيستم هايي که آزمايش مي کنيد، نياز نخواهيد داشت و تنها يک شناخت مقدماتي از آنها کافي است. اين شناخت مقدماتي به محافظت از خودتان و سيستم هاي مورد آزمايش، کمک خواهد کرد.
اگر در حال هک سيستم هاي داخلي خودتان هستيد، شناخت سيستم هاي مورد آزمايش شما چندان دشوار نخواهد بود. اگر در حال آزمايش سيستم هاي يک مشتري هستيد، بايد نگاه عميق تري به آنها بيندازيد. در واقع، بعيد به نظر مي رسد که يک مشتري از شما بخواهد يک ارزيابي کور را انجام دهيد. اکثر مديران IT و ساير مسئولين امنيتي، از اينگونه ارزيابي ها هراس دارند. نوع آزمايش هايي که انجام خواهيد داد را براساس نيازهاي سازمان و يا مشتريانتان تعيين کنيد.
- در صورت کشف يک آسيب پذيري عمده، چه اقداماتي صورت خواهد گرفت: پس از پيدا کردن يک حفره ي امنيتي، کار را متوقف نکنيد. اين کار مي تواند يک احساس کاذب در مورد ايمني را ايجاد کند. به کار خود ادامه دهيد تا ببينيد که آيا موارد ديگري را نيز کشف مي کنيد يا خير. ما نمي گوييم که کار را تا ابد و يا تا زمانيکه تمام سيستم هاي خود را از کار بيندازيد، ادامه دهيد. صرفاً به مسير خود ادامه دهيد تا جائيکه ديگر نتوانيد آن را هک کنيد. اگر هيچگونه آسيب پذيري را پيدا نکرده ايد، با جديّت کافي جستجو نکرده ايد.
ممکن است يکي از اهداف شما، انجام آزمايش ها بدون شناسائي شدن باشد. براي مثال، ممکن است آزمايش هاي خود را بر روي سيستم هاي دور يا يک دفتر کاري دور انجام دهيد تا کاربران از آنچه انجام مي دهيد، اطلاع نداشته باشند. در غير اينصورت ممکن است کاربران با ديدن شما، بهترين رفتارهاي خود را نشان دهند نه رفتارهاي معمولي.
کسب موافقت براي انجام تست نفوذ
اگر اين آزمايش ها را بر روي سيستم هاي خودتان انجام مي دهيد، کسب مجوز مي تواند به سادگي يک يادداشت داخلي يا e-mail از حامي پروژه ي شما باشد. اگر آزمايش ها را براي يک مشتري اجرا مي کنيد، بايد يک قرارداد امضاء شده در اختيار داشته باشيد که پشتيباني و کسب مجوز از مشتري را اثبات نمايد. در اولين فرصت، تائيديه کتبي را تهيه کنيد تا مطمئن شويد که تلاش ها و وقت شما به هدر نخواهد رفت. اگر کسي در مورد کاري که انجام مي دهيد اعتراض داشته باشد، اين مستندات مي توانند ضامن امنيت و يا کليد رهائي شما از زندان باشند.
اگر شما يک مشاور مستقل هستيد و يا يک بنگاه تجاري با تيمي از هکرهاي اخلاقي داريد، بهتر است به فکر تهيه ي بيمه ي تعهدات شغلي از يک نماينده ي بيمه که در زمينه ي پوشش بيمه هاي تجاري تخصص دارد، باشيد. اين نوع بيمه مي تواند نسبتاً گران باشد، اما اگر با مشکل پيش بيني نشده اي برخورد کرده و به محافظت نياز داشته باشيد، کاملاً ارزشمند خواهد بود.
تعيين اهداف طرح
- اهداف مشخص تري را تعيين کرده و اين اهداف را با مقاصد تجاري خود تطبيق دهيد.
- يک برنامه ي زمانبندي ويژه با تاريخ هاي آغاز و پايان و همچنين زمان انجام آزمايش هاي خود تهيه کنيد. اين تاريخ ها و زمان ها، مؤلفه هاي حياتي طرح کلي شما هستند.
پيش از آنکه هر نوع هک اخلاقي را آغاز کنيد، قطعاً و يقيناً نياز داريد که تمام موارد مربوطه مکتوب شده و به امضاء برسد. همه چيز را مستند کرده و مديريت مؤسسه را در اين فرآيند دخالت دهيد. بهترين هم پيمان شما در تلاش هاي هک اخلاقي، مديري است که از آنچه انجام مي دهيد پشتيباني مي کند.
هنگامي که در حال تعيين اهداف طرح هک اخلاقي خود هستيد، پرسش هاي زير مي توانند آغازگر مسير باشند:
1- آيا هک اخلاقي از مأموريت بنگاه تجاري مورد نظر و بخش هاي IT و امنيت آن پشتيباني مي کند؟
2- کدام اهداف تجاري با انجام هک اخلاقي مطابقت دارند؟
اين اهداف مي توانند شامل موارد زير باشند:
- کسب آمادگي براي يک استاندارد امنيتي پذيرفته شده بصورت بين المللي (نظير ISO/IEC 17799:2007)، يک مميزي SAS70 و يا يک نشان امنيتي نظير SysTrust يا WebTrust.
- انطباق با قوانين فدرال نظير GLBA، HIPAA يا Sarbanes-Oxley
- انطباق با ملزومات قراردادي مشتريان و يا شرکاي تجاري
- تقويت سطح اعتبار شرکت
3- هک اخلاقي چگونه باعث بهبود امنيت IT و تجاري شرکت خواهد شد؟
4- شما در حال محافظت از چه اطلاعاتي هستيد؟
اين اطلاعات مي توانند شامل دارايي هاي غيرمادي، اطلاعات محرمانه مشتريان و يا اطلاعات خصوصي کارکنان شرکت باشند.
5- شما و مؤسسه تان حاضر به صرف چه مقدار هزينه، زمان و کار براي انجام هک اخلاقي هستيد؟
6- چه موارد قابل تحويل (deliverable) خاصي وجود دارند؟
موارد قابل تحويل مي توانند شامل هر چيزي از گزارشات ارائه شده به مديران اجرائي سطح بالا تا گزارش هاي فني مشروح و مکتوبات مربوط به آزمايش هاي انجام شده به همراه نتايج آزمايش هاي شما باشند. مي توانيد اطلاعات خاصي را تحويل دهيد که در طول آزمايش هايتان جمع آوري شده اند (نظير کلمات عبور و يا ساير اطلاعات محرمانه).
7- شما به دنبال چه نتايج خاصي هستيد؟
نتايج مطلوب مي توانند شامل توجيه استخدام و يا Outsource نمودن پرسنل امنيتي، افزايش بودجه امنيتي و يا ارتقاء سيستم هاي امنيتي باشند.
ممکن است افراد داخل مؤسسه ي شما تلاش کنند تا از اجراي طرح هاي هک اخلاقي شما جلوگيري نمايند. بهترين پادزهر براي اين مشکل، آموزش است. نشان دهيد که هک اخلاقي چگونه به نفع همه از تجارت پشتيباني مي کند.
پس از آنکه اهداف خود را شناختيد، گام هاي لازم براي رسيدن به آنها را مستند نماييد. براي مثال، اگر توسعه يک ميت رقابتي براي حفظ مشتري هاي موجود و جذب مشتريان جديد يکي از اهداف شما است، پاسخ پرسش هاي زير را بدست آوريد:
- آيا هک اخلاقي شما «کور» خواهد بود (به معناي آنکه شما هيچ چيزي درباره سيستم هاي مورد آزمايش خود نمي دانيد) و يا مبتني بر «آشنايي قبلي» است (به معناي آنکه شما اطلاعات خاصي نظير آدرسهاي IP، نام ميزبان ها و حتي نامهاي کاربري و کلمات عبور را درباره ي سيستم هاي مورد آزمايش خود در اختيار داريد).
- آيا اين آزمايش داراي طبيعت فني خواهد بود و با ارزيابي هاي امنيتي فيزيکي و حتي مهندسي اجتماعي سر و کار خواهد داشت؟
- آيا شما عضو يک تيم هک اخلاقي بزرگتر (که گاهي اوقات تحت عنوان Tiger Team يا Red Team شناخته مي شود) هستيد؟
- آيا شما مشتريان خود را از آنچه که انجام مي دهيد آگاه خواهيد نمود؟ اگر اينکار را انجام مي دهيد، چگونه؟
آگاه سازي مشتري، يک مسئله ي حياتي است. بسياري از مشتريان درک مي کنند که شما در حال برداشتن گام هايي جهت محافظت از اطلاعات آنها هستيد. آزمايش خود را در يک مسير قطعي و مثبت هدايت نماييد. هيچ وقت به مشتريان خود نگوييد که «ما به سيستم هاي شما نفوذ مي کنيم تا ببينيم که چه اطلاعاتي در برابر هکرها آسيب پذير هستند»، حتي اگر اين همان کاري است که در حال انجام آن هستيد. در مقابل، مي توانيد براي آنها توضيح دهيد که مشغول ارزيابي امنيت کلي سيستم هايشان هستيد تا اطلاعات از بالاترين امنيت ممکن در برابر هکرهاي خارجي و پرسنل Rogue داخلي برخوردار باشند.
- چگونه متوجه خواهيد شد که مشتريان به اين موضوع اهميت مي دهند يا خير؟
- چگونه به مشتريان خود اطلاع مي دهيد که مؤسسه شما در حال برداشتن گام هايي براي ارتقاء امنيت اطلاعات آنها است؟
- چه معيارهايي مي توانند تضمين کنند که اين تلاش ها نتيجه بخش هستند؟ تعيين اهداف آزمايش ها قطعاً وقتگير خواهد بود، اما نبايد از آن صرفنظر نمائيد. اين اهداف، نقشه ي مسير شما به حساب مي آيند. اگر در هر موردي نگراني داشتيد، مي توانيد به اين اهداف مراجعه کرده و مطمئن شويد که هنوز در مسير صحيح قرار داريد.
تعيين بستر
هک اخلاقي تا حدود زيادي به آزمايش هاي بتاي يک نرم افزار شباهت دارد. با يک تفکر منطقي به کالبدشکافي و تعامل با تمام مؤلفه هاي شبکه بپردازيد تا ببينيد که آنها چگونه کار مي کنند. غالباً اطلاعات را در قطعات بسيار کوچکي جمع آوري کرده و سپس قطعات پازل را در کنار يکديگر قرار مي دهيد. شما کار خود را از نقطه A و با در نظر گرفتن چند هدف آغاز مي کنيد، به هک سيستم مي پردازيد (و در اين مسير، بسياري از مراحل را تکرار مي کنيد) و جلو مي رويد تا جائيکه آسيب پذيري هاي امنيتي را در نقطه B کشف مي نماييد.
فرآيندي که هک اخلاقي براساس آن صورت مي گيرد، اساساً با فرآيندي که يک مهاجم بدانديش از آن استفاده مي کند يکسان است. در واقع تفاوت اين دو فرآيند به اهداف شما و نحوه ي دستيابي به آنها مربوط مي شود. بعلاوه، شما بعنوان يک هکر اخلاقي نهايتاً تلاش خواهيد کرد تا تمام آسيب پذيري هاي مرتبط با امنيت اطلاعات را مورد ارزيابي قرار داده و احتمالاً آنها را برطرف نمائيد، نه اينکه صرفاً يک بهره برداري ساده را ترتيب داده و يا به تعداد کمي از سيستم ها حمله کنيد. امروزه حملات مي توانند از هر زاويه اي و بر عليه هر سيستمي اجرا شوند، نه صرفاً از محدوده ي شبکه شما و اينترنت (چيزي که در گذشته شما آن را بصورت شرطي باور کرده بوديد). هر نقطه ي ورودي احتمالي نظير شبکه هاي شرکاي تجاري، فروشندگان، مشتريان و همچنين کاربران خانگي، LANهاي بي سيم و مودم ها را آزمايش کنيد. هر ماهيت انساني، سيستم کامپيوتري و يا مؤلفه فيزيکي که از سيستم هاي کامپيوتري شما محافظت مي کند (چه در داخل و چه در خارج از ساختمان شما)، مي تواند يک نقطه مناسب براي انجام آزمايش ها باشد.
هنگاميکه کار هک اخلاقي خود را آغاز مي کنيد، يک گزارش از هر آزمايش خود و ابزارهاي مورد استفاده در آن، سيستم هاي مورد آزمايش و بالاخره نتايجي که بدست آورده ايد را تهيه کنيد. اين اطلاعات مي توانند در انجام موارد زير به شما کمک کنند:
- پيگيري کارهاي انجام شده در آزمايش هاي قبلي و دلايل آن
- کمک به اثبات اين موضوع که شما هيچگونه هک بدخواهانه اي را بر روي سيستم ها انجام نداده ايد.
- مربوط نمودن آزمايش هاي شما با سيستم هاي تشخيص نفوذ (intrusion detection) و ساير فايل هاي گزارش (Log) در شرايطي که مشکل يا پرسش هايي بوجود آمده باشد.
علاوه بر تهيه ي يادداشت هاي کلي، بهتر است حتي الامکان Screen-Captureهايي را نيز از نتايج خود تهيه کنيد. در صورتيکه بعداً نياز داشته باشيد آنچه روي داده است را اثبات نماييد و همچنين در هنگام آماده سازي گزارش نهايي، اين موارد مي توانند براي شما بسيار مفيد باشند. همچنين، بر حسب آنکه از چه ابزاري استفاده مي کنيد، اين Screen-Captureها در هنگام تهيه گزارش نهايي مي توانند تنها شواهد شما براي اثبات وجود آسيب پذيري ها باشند.
وظيفه ي اصلي شما، شبيه سازي فرآيندهاي جمع آوري اطلاعات و تسليم نمودن سيستم ها است که توسط يک هکر واقعي انجام مي شوند.اين وضعيت مي تواند يک حمله ي نيمه تمام بر روي يک کامپيوتر واحد و يا يک حمله ي فراگير بر عليه تمام سازمان باشد. بطور کلي، شما در جستجوي همان چيزي هستيد که افراد نفوذي داخلي و هکرهاي واقعي مي بينند. شما مي خواهيد به سيستم هاي داخلي (فرآيندها و رويه هايي که با کامپيوترها، افراد و زير ساختارهاي فيزيکي سر و کار دارند) دسترسي پيدا کنيد. به جستجوي آسيب پذيري ها بپردازيد و ببينيد که تمام سيستم هاي شما چگونه با هم ارتباط برقرار مي کنند يا اينکه سيستم ها و اطلاعات خصوصي چگونه در برابر عناصر غير قابل اعتماد محافظت مي شوند (يا نمي شوند).اگر مشغول اجراي هک اخلاقي براي يک مشتري هستيد، احتمالاً يک مسير ارزيابي کور را در پيش رو خواهيد داشت و در هنگام آغاز کار تنها از نام شرکت آگاهي داريد (نه هيچگونه اطلاعاتي که برايتان مفيد باشد). اين شيوه ارزيابي کور به شما امکان مي دهد تا کار خود را از اولين نقطه آغاز کرده و درک بهتري از اطلاعات و سيستم هايي که مهاجمين بدخواه آشکارا مي توانند به آنها دسترسي پيدا کنند را در اختيار شما قرار مي دهد. با اينحال، بايد اين نکته را در نظر بگيريد که چنين آزمايشي مي تواند بسيار طولاني تر شود و از سوي ديگر، شانس بيشتري وجود دارد که شما يک يا صدها سيستم را ناديده بگيريد.
بعنوان يک هکر اخلاقي، ممکن است شما در مورد پاکسازي ردپاهاي خود و يا گريز از «سيستم هاي شناسايي نفوذ»، نگراني چنداني نداشته باشيد زيرا تمام کارهايي که انجام مي دهيد قانوني هستند. اما در اينجا نيز ممکن است يکي از اهداف شما، آزمايش سيستم بصورت مخفيانه باشد. ما تکنيک هاي مورد استفاده هکرها براي پنهان کردن اقداماتشان را در قسمت هاي بعدي تشريح خواهيم کرد (و البته به اقدامات متقابل در برابر آنها نيز اشاره خواهيم کرد).
تعيين محدوده ي Footprinting
نحوه جمع آوري اطلاعات، عبارت است از:
- کار را با استفاده از يک مرورگر وب براي جستجوي اطلاعات مرتبط با سازمان خود (بر روي وب) آغاز کنيد. با توجه به حضور منابع قابل دسترسي بر روي اينترنت، شما مي توانيد تا ابد به جمع آوري اطلاعات ادامه دهيد.
- اسکن هاي مختلف شبکه را اجرا کرده، درگاه ها را بازرسي نموده و آسيب پذيري ها را ارزيابي کنيد تا اطلاعات کاملاً اختصاصي را درباره ي سيستم خود بدست آوريد. بعنوان يک فرد داخلي، شما مي توانيد از اسکنرهاي درگاه (Port Scanner) و ابزارهاي Share-Finder (نظير GFI LANguard Network Security Scanner) استفاده کرده و ببينيد که چه چيزي قابل دسترسي مي باشد.
خواه در حال انجام يک جستجوي کلي باشيد و يا مشغول يک بازرسي فني تر، نهايتاً بايستي اطلاعات بدست آمده را برحسب آنکه چه چيزي براي شما منطقي است، محدود کنيد. ممکن است شما يک ساعت، يک روز و يا يک هفته را براي جمع آوري اين اطلاعات صرف کنيد. اين موضوع به بزرگي مؤسسه ي مورد نظر شما و پيچيدگي سيستم هاي اطلاعاتي آن بستگي دارد.
جمع آوري اطلاعات عمومي
هر کسي مي تواند از تکنيک هاي زير براي جمع آوري ارتباط در مورد سازمان شما استفاده نمايد:
جستجوي وب
- نام کارکنان و اطلاعات تماس با آنها
- تاريخ هاي مهم براي شرکت
- سوابق همکاري ها (براي شرکت هاي خصوصي)
- سوابق SEC (براي شرکت هاي عمومي)
-خبرهاي منتشر شده درباره ي اقدامات، تغييرات سازماني و محصولات جديد
-ادغام ها و تغييرات مالکيت
- حق امتيازها و نام هاي تجاري
- مقالات، توضيحات و Webcastها
Google، ابزار محبوب ما (و ابزار محبوب بسياري از هکرها) است. اين موتور جستجوي قدرتمند به استخراج اطلاعات (از اسناد واژه پردازي گرفته تا فايل هاي گرافيکي) بر روي هر کامپيوتري که بطور عمومي قابل دسترسي باشد، مي پردازد. در عين حال، اين ابزار کاملاً رايگان است و کتاب هاي متعددي درباره استفاده از آن نوشته شده اند. بنابراين، زمانيکه نوبت به استفاده از اين ابزار مفيد مي رسد، بايد انتظار داشته باشيد که هر هکري (اخلاقي يا بدخواه) کاملاً از ورزيدگي بالايي برخوردار باشد.
با استفاده از Google، شما مي توانيد جستجو در اينترنت را به شيوه هاي مختلفي انجام دهيد:
- با تايپ عبارات کليدي: اين شيوه غالباً چندين و در بعضي از موارد صدها صفحه از اطلاعات (نظير فايل ها، شماره تلفن ها و آدرس ها) را آشکار مي کند که شما هيچگاه نمي توانستيد حدس بزنيد که دسترسي به آنها تا اين حد آسان باشد.
- با اجراي جستجوهاي پيشرفته وب: گزينه اي Advanced Search سايت Google، قادر است سايت هايي را بيابد که به سايت وب شرکت شما لينک داده اند. اين نوع جستجو غالباً مي تواند انبوهي از اطلاعات را درباره شرکاي تجاري، فروشندگان، مشتريان و ساير روابط سازمان شما آشکار نمايد.
- با استفاده از سوئيچ ها براي کاوش عميق تر يک سايت وب: براي مثال، اگر شما بخواهيد يک عبارت يا فايل معين را بر روي سايت وب سازمان خود بيابيد، کافي است خطي شبيه به يکي از موارد زير را در Google وارد کنيد:
site:www.your_domain.com keyword
site:www.your_domain.com filename
Web- crawling
- پيکربندي و چيدمان کلي سايت وب
- دايرکتوري هاي حاوي فايل ها که به شکل ديگري قابل دسترسي نخواهند بود
- کد مرجع HTML صفحات وب
- فيلدهاي توضيحات (Comments)
اين فيلدها، حاوي اطلاعات مفيدي نظير نام ها و آدرس هاي e-mail برنامه نويسان و پرسنل IT داخل شرکت، نام سرورها، نسخه هاي نرم افزاري و الگوهاي آدرس دهي داخلي سايت شما هستند.
سايت هاي وب
1- سايت هاي وب تجاري و دولتي:
- www.hoovers.com و http://finance.yahoo.com، اطلاعات مشروحي را درباره شرکت هاي عمومي تأمين مي کنند.
- www.sec.gov/edgar.shtml، سوابق SEC شرکت هاي عمومي را نمايش مي دهد.
- www.uspto.gov، حق امتيازها و نام هاي تجاري ثبت شده را در اختيار شما قرار مي دهد.
2- بررسي سوابق و ساير اطلاعات شخصي:
-ChoicePoint
-USSearch
نقشه برداري از شبکه
Whois
براي هک اخلاقي، Whois مي تواند اطلاعات زير را فراهم نمايد که يک نقطه شروع مناسب براي يک حمله ي مهندسي اجتماعي يا اسکن يک شبکه را در اختيار يک هکر قرار مي دهد:
- اطلاعات نام دامنه ي اينترنت، نظير نام ها و آدرس هاي تماس
- سرورهاي DNS مسئول دامنه ي شما
شما مي توانيد اطلاعات Whois را در يکي از مکان هاي زير جستجو کنيد:
-Whois.org
- يک سايت ثبت کننده ي دامنه نظير www.networksolutions.com
-صفحه ي پشتيباني فني ISP خودتان
DNSstuff.com، يکي از ابزارهاي Whois محبوب ما است. شما مي توانيد از سايت وب آن استفاده کرده و يا ابزار مبتني بر ويندوز آن را بارگذاري نماdيد. مي توانيد جستجوهاي DNS را مستقيماً از سايت مذکور انجام دهيد تا:
- اطلاعات کلي ثبت دامنه براي شما نمايش داده شود.
- ببينيد که کدام ميزبان، مسئوليت اداره e-mail را براي يک دامنه بر عهده دارد.
- محل قرارگيري ميزبان هاي مشخص را تعيين کنيد.
- تعيين کنيد که آيا ميزبان مورد نظر بر روي تعداد معيني از Spam-Blacklistها فهرست شده است يا خير.
گروه هاي Google Usenet در http://groups.google.com مي توانند اطلاعات عمومي شگفت آوري را در مورد شبکه ي شما آشکار نمايند. به جستجوي اطلاعاتي نظير FQDNها (fully qualified domain names)، آدرس هاي IP و نام هاي کاربري سازمان خود بپردازيد. شما مي توانيد صدها ميليون پست Usenet که از سال 1981 بطور عمومي ارسال شده اند و غالباً حاوي اطلاعات کاملاً خصوصي هستند را جستجو نماييد.
ممکن است اطلاعاتي نظير موارد زير را در جستجوهاي خود بيابيد که حتي تصور نمي کرديد در دسترسي عموم قرار داشته باشند:
- يک پيام پشتيباني فني (يا مشابه آن) که اطلاعات بسياري را درباره ي سيستم هاي شما فاش مي کند. بسياري از افرادي که اقدام به ارسال پيام بر روي Usenet مي کنند، هنوز متوجه نشده اند که پيام هايشان با تمام دنيا به اشتراک گذاشته مي شوند و براي مدت بسيار طولاني نگهداري خواهند شد.
- اطلاعات محرمانه شرکت که توسط کارکنان يا مشتريان ناراضي شرکت ارسال شده اند.
اگر متوجه شديد که اطلاعات محرمانه اي در رابطه با سازمان شما به صورت Online ارسال شده است، ممکن است بتوانيد آنها را حذف کنيد. براي بدست آوردن جزئيات بيشتر در اين مورد، مي توانيد صفحه Help گروه هاي Google(http://groups.google.com/support) را مطالعه کنيد.
خط مشي هاي محرمانگي
مطمئن شويد افرادي که اين خط مشي ها را مي نويسند (غالباً وکلاي فاقد اطلاعات فني و يا مديران بازاريابي)، جزئيات مربوط به زيرساختار امنيتي اطلاعات شما را فاش نمي کنند. يکبار يک تاجر اينترنتي مبتدي با ما درباره ي فرصت هاي تجاري تماس گرفت. در طول صحبت، او شديداً به سيستم هاي امنيتي شرکت خود که حريم خصوصي اطلاعات مشتريانش را تضمين مي کردند، مي باليد. ما سري به سايت وب او زديم تا وضعيت خط مشي هاي محرمانگي آن را بررسي نماييم و با تعجب فراوان متوجه شديم که او حتي نام تجاري و مدل فايروال مورد استفاده خود را به همراه ساير اطلاعات فني مربوط به شبکه اش ذکر کرده است. اين به هيچوجه يک ايده منطقي به حساب نمي آيد.
منبع: ماهنامه ي کامپيوتري بزرگراه رايانه، شماره ي 131.
ادامه دارد...
/ج