CEH – Footprinting e Reconnaissance – Parte 1

Fala galera! No post de hoje, dando continuidade a série CEH, iremos começar a ver o segundo domínio de conhecimento exigido, eu queria abordar esse domínio em um único post, mas iria ficar gigantesco, então decidi dividi-lo. Vale lembrar que a certificação é 100% teórica, por isso os posts serão bem mais voltados para o lado teórico também. Estou tentando deixar os posts da forma mais completa possível, mas sempre tem algo que podemos melhorar um pouco e para isso eu conto com a colaboração de vocês. Os comentários sempre são bem vindos 🙂

Caso você ainda não tenha visto os outros posts da série CEH, recomendo fortemente a leitura antes de continuar aqui. Já falamos sobre a certificação como um todo e falamos também sobre o primeiros domínio de conhecimento exigido (Ethical Hacking). Para checar acesse:

CEH – Visão Geral

CEH – Ethical Hacking – Parte 1

CEH – Ethical Hacking – Parte 2

Conceitos sobre footprinting

O footprinting é o nome dado ao ato de realizar ações contra o alvo com objetivo de recolher informações tais como, sistema operacional usado, portas abertas, sistema de defesa usado, entre outras informações. Para realizar o footprinting você deve usar todas as ferramentas e comandos que seu SO disponibiliza. Footprint é a organização de ideias como um todo para criar o melhor perfil do alvo a ser atacado. O intuito é criar um perfil do alvo para descobrir falhas que possam ser exploradas. Algumas das técnicas normalmente utilizadas são:

  • DNS queries
  • Network enumeration
  • Network queries
  • Operating system identification
  • Organizational queries
  • Ping sweeps
  • Point of contact queries
  • Port Scanning
  • Registrar queries (WHOIS queries)
  • SNMP queries
  • World Wide Web spidering
Tipos de footprinting

É importante conhecer a terminologia base utilizada no footprinting. Estes termos ajudam a entender o conceito de footprinting e suas estruturas.

Passive information gathering – Coleta de informação passiva ou open source é a maneira mais fácil de recolher informações sobre o alvo. Refere-se ao processo de coleta de informações de fontes abertas, ou seja, fontes disponíveis publicamente. Isso não requer nenhum contato direto com o alvo. Fontes abertas podem incluir jornais, televisão, redes sociais, blogs, etc.

Com isso, você pode reunir informações como endereço IP, sistemas operacionais, software do servidor web, protocolos, serviços em cada um dos sistemas, mecanismos de controle de acesso, sistemas de detecção de intrusão e assim por diante.

Active information gathering – Na coleta de informação ativa o processo tomado pelo atacante incide essencialmente em interagir com o alvo através de ferramentas e técnicas que visam coletar mais informações sobre o algo que não foram possíveis ser coletadas através do footprinting passivo.

Anonymous footprinting – Refere-se ao processo de coleta de informações de fontes anônimas para que as atividades realizadas não possam ser rastreadas.

Internet footprinting – Internet footprinting refere-se ao processo de coleta de informações sobre a conexão de internet do alvo.

Objetivos do footprinting

Tomando como base os conceitos explicados acima, vimos que o processo de footprinting é basicamente enumerar o máximo de informações possíveis, criando com isso um perfil do nosso alvo. Eu gosto bastante da palavra perfil, pense como um perfil de um usuário em uma rede social por exemplo, o footprint é o processo tomado para coletar as informações pedidas nesse perfil. As informações mais comuns que são coletadas nessa etapa do pentesting são:

 

Metodologia de footprinting

Agora que você está familiarizado com os conceitos de footprinting, vamos discutir a metodologia. A metodologia de footprinting é uma forma processual de recolher informações sobre o alvo de todas as fontes disponíveis. Trata-se de reunir informações determinando URL, localização, características diversas, número de empregados, nomes de domínio e informações de contato. Essas informações podem ser recolhidas a partir de várias fontes, tais como motores de busca, bases de dados whois, etc.

Os motores de busca são as principais fontes de informação onde você pode encontrar informações valiosas sobre o seu alvo. Portanto, em primeiro lugar, vamos discutir o footprinting através de motores de busca. Aqui nós vamos discutir como e quais informações podemos recolher através de motores de busca.

Footprinting através de motores de busca

As atacantes utilizam motores de busca para extrair informações sobre um alvo, tais como tecnologias de plataforma, detalhes de empregados, páginas de login, portais de intranet e etc que ajudam na realização de engenharia social e outros tipos de ataques. Os caches dos motores de busca podem fornecer informações sensíveis que já foram removidas da internet. Um motor de busca é projetado para procurar informações em páginas que já foram indexadas. No mundo atual, muitos motores de busca permitem que você extraia diversas informações de um alvo.

Usando essas informações, um atacante pode construir uma estratégia para invadir a rede do alvo e pode realizar outros tipos de ataques mais avançados. Uma busca no Google poderia revelar perguntas em fóruns feitas pelo pessoal de segurança que revelam as marcas de firewalls ou software antivírus em uso no alvo por exemplo. Às vezes até mesmo diagramas de rede são encontrados, o que pode orientar um ataque.

Por exemplo, considere uma organização, a XPTO. Digite XPTO em um motor de busca e ele irá mostrar todos os resultados contendo informações sobre a XPTO. Visitar esses resultados pode fornecer informações críticas, como endereço físico, os serviços oferecidos, número de funcionários e etc que podem revelar-se uma fonte valiosa para a atividade de hacking.

Como um hacker ético, se você encontrar qualquer informação sensível de sua empresa nas páginas de resultado, você deve remover essa informação. Embora se você remover as informações sensíveis, elas ainda podem estar disponíveis no cache do motor de busca. Portanto, você também deve verificar o cache do motor de busca para garantir que os dados sensíveis foram removidos de forma permanente.

A Netcraft é uma empresa de serviços de internet sediada em Bath, Inglaterra. A Netcraft oferece análise de quota de mercado para mercados de hospedagem de sites e de servidores web, incluindo detecção do sistema operacional e do servidor web. Em alguns casos, dependendo do sistema operacional do servidor consultado, o serviço é capaz de controlar uptimes. O acompanhamento do desempenho do uptime é comumente utilizado como fator de determinação da confiabilidade de um provedor de hospedagem na web.

A Netcraft também oferece testes de segurança e publica notícias sobre o estado das diversas redes que compõem a internet. É conhecida também por sua barra de ferramentas anti-Phishing para os navegadores Firefox e o Internet Explorer. A partir da versão 9.5, a base de filtro anti-Phishing do navegador Opera utiliza os mesmos dados, como a barra de ferramentas do Netcraft, eliminando a necessidade de uma barra instalada separadamente.

Um estudo encomendado pela Microsoft elegeu a barra de ferramentas do Netcraft como um dos instrumentos mais eficazes para combater o Phishing na internet, embora esta posição tenha sido conquistada pelo Internet Explorer 7 com filtro de Phishing da Microsoft, possivelmente como resultado da concessão de licenças de dados da Netcraft.

Hoje em dia todo mundo provavelmente associa a internet mais a perder tempo do que a poupá-lo. Mas enquanto ficamos cada vez mais preguiçosos, inventamos jeitos de usar a internet para fazer coisas como conectar nossa porta da garagem à internet, ajustar a temperatura da nossa geladeira, desligar automaticamente nossos roteadores wireless e controlar todos os elementos da vida doméstica com um simples aplicativo de celular. Todos esses aparelhos precisam estar conectados à internet para funcionar e o Shodan (um mecanismo de busca desenvolvido de maneira privada) vem tentando “farejar” todos eles.

O software rastreia a internet para encontrar cada aparelho conectado. Juntamente como geladeiras e roteadores, o Shodan também já encontrou painéis de controle de usinas de energia, serviços públicos, equipamentos científicos voláteis, crematórios e até de uma barragem na França. O que significa que, com o know-how sádico correto, alguém pode muito bem rastrear esses aparelhos, acessá-los e cortar a energia de uma cidade, inundar outra ou provocar um derretimento numa usina de energia com um simples clique.

Encontrar uma backdoor nos aparelhos conectados à internet não é algo novo. Não muito tempo atrás, um cara chamado Adrian Hayter orgulhosamente deu ao mundo um site que reunia um feed de câmeras de circuito fechado conectadas online. Mas as descobertas do Shodan podem ser potencialmente mais destrutivas do que questões de privacidade.

A função específica do SHODAN é realizar uma varredura por toda a rede mundial de computadores em busca de equipamentos como  roteadores, switches, servidores, webcams, celulares, tablets, telefones VOIP e etc em busca de configurações padrões como senhas por exemplo. Enfim qualquer dispositivo que possibilita uma conexão com a internet e que possua configurações padrões pode ser registrado pelo SHODAN. Entre a base do SHODAN estão equipamentos/serviços publicados com as portas: HTTP (80), FTP (21), SSH (22) Telnet (23), SNMP (161), SIP (5060) entre outros serviços.

Os atacantes podem obter informações valiosas sobre o sistema operacional, versões de software, detalhes de infraestrutura da empresa e o esquema de banco de dados de uma organização. Dependendo dos requisitos destacados para vagas de emprego, os atacantes podem ser capazes de estudar o hardware, informações relacionadas com a rede e tecnologias utilizadas pela empresa. A maioria dos sites das empresas tem uma lista de funcionários/setores chave com os respectivos endereços de e-mail.

Footprinting usando google hacking

Google hacking é a atividade de usar recursos dos motores de busca para atacar ou proteger melhor as informações de uma empresa. As informações disponíveis nos servidores web da empresa provavelmente estarão nas bases de dados dos motores de busca. Um servidor mal configurado pode expor diversas informações da empresa. Não é difícil conseguir acesso à arquivos de base de dados de sites através dos motores de busca.

O Google possui diversos recursos que podem ser utilizados durante um teste de invasão e justamente por isso é considerada a melhor ferramenta para os atacantes, pois permite acesso a todo e qualquer tipo de informação que esteja desprotegida. Podemos usar como exemplo, o recurso de “cache” dos motores de busca, onde o mesmo armazena versões mais antigas de todos os sites que um dia já foram indexados por seus robôs.

Esse recurso permite que tenhamos acesso às páginas que já foram tiradas do ar, desde que ainda existam na base de dados dos motores de busca. Vamos imaginar que em algum momento da história do site de uma organização, uma informação mais sensível estivesse disponível. Depois de um tempo, o webmaster tendo sido alertado retirou tal informação do site. No entanto, se a página do site já tiver sido indexada pelo motor de busca, é possível que mesmo tendo sido alterada, ou retirada, ainda possamos acessá-la utilizando o recurso de cache.

Eu não vou me aprofundar nas tags e dorks do google hacking aqui nesse post pois ainda vou fazer um artigo dedicado para esse tema, mas vou explicar os comandos mais básicos aqui.

intitle, allintitle – Busca conteúdo no título (tag title) da página. Quando utilizamos o comando intitle, é importante prestar atenção à sintaxe da string de busca, posto que a palavra que segue logo após o comando intitle é considerada como a string de busca. O comando allintitle quebra essa regra, dizendo ao Google que todas as palavras que seguem devem ser encontradas no title da página, por isso, esse último comando é mais restritivo.

inurl, allinurl – Encontra texto em uma URL. Como explicado no operador intitle, pode parecer uma tarefa relativamente simples utilizar o operador inurl sem dar maior atenção ao mesmo. Mas devemos ter em mente que uma URL é mais complicada do que um simples title, e o funcionamento do operador inurl pode ser igualmente complexo. Assim como o operador intitle, inurl também possui um operador companheiro, que é o allinurl, que funciona de maneira idêntica e de forma restritiva, exibindo resultados apenas em que todas as strings foram encontradas.

Filetype – Busca por um arquivo de determinado tipo. O Google pesquisa mais do que apenas páginas web. É possível pesquisar muitos tipos diferentes de arquivos, incluindo PDF (Adobe Portable Document Format) e Microsoft Office. O operador filetype pode ajudá-lo na busca de tipo de arquivos específicos. Mais especificamente, podemos utilizar esse operador para pesquisas de páginas que terminam em uma determinada extensão.

Allintext – Localiza uma string dentro do texto de uma página. O operador allintext é talvez o mais simples de usar, pois realiza a função de busca mais conhecida como: localize o termo no texto da página. Embora este operador possa parecer genérico para ser utilizado, é de grande ajuda quando sabe que a string de busca apenas poderá ser encontrada no texto da página. Utilizar o operador allintext também pode servir como um atalho para “encontrar esta string em qualquer lugar, exceto no title, URL e links”.

Site – Direciona a pesquisa para o conteúdo de um determinado site. Apesar de ser tecnicamente uma parte da URL, o endereço (ou nome de domínio) de um servidor pode ser mais bem pesquisada com o operador site. Site permite que você procure apenas as páginas que estão hospedadas em um servidor ou domínio específico.

Exemplos:

site:com.br ext:SQL
inurl:e-mail filetype:mdb
"Apache/1.3.20 server at" intitle:index.of
allinurl:".php?site="
"Active Webcam Page" inurl:8080
inurl:intranet + intext:"telefone"
Footprinting através redes sociais

O footprint através de redes sociais parece ser similar ao footprint através de engenharia social, entretanto, existem algumas diferenças. No footprint através de engenharia social, o atacante manipula a vítima revelando informações que foram obtidas no footprint usando as redes sociais. Os atacantes criam perfis falsos em redes sociais e depois usam a identidade falsa para manipular os funcionários e fazer com que eles passem as informações desejadas.

Funcionários podem postar informações pessoais, tais como data de aniversário, nível de graduação, experiência profissional e informações sobre a organização, tais como clientes em potenciais, parceiros de negócios, projetos em andamento, sites, notícias não divulgadas, aquisições e etc.

As pessoas costumam manter perfis em redes sociais a fim de fornecer informações básicas sobre eles e para se conectar com os outros. O perfil geral contém informações como nome, informações de contato (número de celular e e-mail), amigos “informações sobre membros da família, os seus interesses, atividades e etc”. As redes sociais também permitem que as pessoas compartilhem fotos e vídeos com seus amigos. Se as pessoas não definirem as configurações de privacidade para os seus álbuns, os atacantes podem ver as fotos e vídeos compartilhados pela vítima.

Os usuários podem participar de grupos de jogos ou partilhar as suas opiniões e interesses. Os atacantes podem coletar as informações sobre os interesses da vítima acompanhando seus grupos e depois pode persuadir a vítima para revelar mais informações.

Os usuários podem criar eventos para notificar outros usuários do grupo sobre as próximas ocasiões, com esses eventos, os atacantes podem revelar as atividades da vítima. Como os indivíduos, as organizações também usam as redes sociais para se conectar com as pessoas, promover os seus produtos e para obter feedback sobre seus produtos ou serviços.

Footprinting em websites

É possível um atacante construir um mapa detalhado da estrutura de um site sem gerar alertas pelo IDS (Sistema de Detecção de Intrusão) ou despertar alguma suspeita no administrador do sistema. Isso pode ser feito através da ajuda de ferramentas de footprint avançadas ou somente com as ferramentas básicas que vem junto com o sistema operacional, tais como telnet e um browser.

Usando a ferramenta Netcraft você pode reunir informações do site como endereço IP, nome registrado e endereço do proprietário do domínio, host e etc. Mas esta ferramenta não vai dar todos os detalhes desejados, pra obter esses dados você deve acessar o site alvo e navegar em toda sua estrutura de diretórios. Navegando no site você irá coletar as seguintes informações:

Software utilizado e sua versão: Você pode obter não só o software em uso, mas facilmente também a versão no site.

Sistema operacional utilizado: Normalmente, o sistema operacional também pode ser determinado.

Subdiretórios e parâmetros: Você pode revelar os subdiretórios e parâmetros fazendo uma nota de todas as URLs enquanto navega o site de destino.

Nome do arquivo, caminho, nome de campo de banco de dados ou consulta: Você deve analisar qualquer coisa que se pareça com um nome de arquivo, caminho, nome de campo de banco de dados ou consulta com cuidado para verificar se ele oferece oportunidades para injeção de SQL.

Plataforma de script: Com a ajuda de extensões de arquivo como .php, .asp, .jsp, etc. você pode facilmente determinar a plataforma que o site está usando.

Detalhes de contato e detalhes do CMS: As páginas de contato geralmente oferecem detalhes como nomes, números de telefone, endereços de email e locais de administração ou suporte de pessoas. Você pode usar esses detalhes para realizar um ataque de engenharia social.

Examine os códigos fonte das páginas HTML, siga os comentários que são criados pelos sistemas de CMS ou inseridos manualmente. Esses comentários podem fornecer pistas que ajudam a entender o que está sendo executado no background. Isso pode fornecer detalhes de contato do administrador web ou desenvolvedor. Observe todos os links e imagens com o objetivo de mapear a estrutura do sistema de arquivos. Isso permite revelar a existência de arquivos e diretórios escondidos. Insira também dados falsos para ver como os scripts funcionam.

Além de fazer toda essa análise online, nós temos a opção da análise offline, onde o atacante faz uma cópia do site alvo para analisá-lo em um segundo momento. Isso pode ser feito com a ajuda de ferramentas de clonagem de sites. Essas ferramentas permitem baixar o site alvo para seu diretório local. Algumas ferramentas de clonagem de sites são:

Footprinting em email

O rastreamento de e-mail é um método que ajuda a monitorar, bem como acompanhar os e-mails de um usuário específico. Este tipo de acompanhamento é possível através dos registros de time stamp que revelam a hora e data em um e-mail em particular, no qual foi recebido ou aberto pelo destinatário.

Várias ferramentas de rastreamento de email estão disponíveis no mercado, com o qual você pode coletar informações como endereços IP, servidores de correio e prestador de serviços a partir da origem do e-mail. Exemplos de ferramentas de rastreamento de e-mail incluem: eMailTrackerPro e Paraben E-mail Examiner. Ao usar ferramentas de monitoramento de e-mail você pode reunir as seguintes informações sobre a vítima:

Geolocalização: Estima e exibe a localização do destinatário no mapa e pode até mesmo calcular a distância de sua localização.

Duração de leitura: A duração do tempo gasto pelo destinatário ao ler o e-mail enviado pelo remetente.

Detecção de proxy: Fornece informações sobre o tipo de servidor usado pelo destinatário.

Links: Permite analisar se os links enviados para o destinatário por e-mail foram verificados ou não.

Sistema operacional: Revela informações sobre o tipo de sistema operacional usado pelo destinatário. O invasor pode usar esta informação para executar um ataque, encontrando brechas nesse sistema operacional em particular.

Forward email: Se ou não o e-mail enviado para você é encaminhado para outra pessoa.

Um cabeçalho de email é a informação que viaja com cada email pela internet. Ele contém os detalhes do remetente, informações de rotas, datas, assuntos e o destinatário. Ferramentas de rastreamento de e-mails permitem rastrear um email e coletar informações tais como identidade do remetente, servidor de email, endereço IP do remetente e etc. O atacante pode utilizar as informações extraídas para atacar o sistema do alvo enviando um email malicioso. As seguintes ferramentas listadas são as mais utilizadas:

Questionário
1. Discovering a target's system architecture corresponds to which step in a hacker's methodology?

a)Gaining access
b)Scanning and enumeration
c)Reconnaissance
d)Footprinting
2. What is the process that gathers, analyzes, and distributes intelligence about products, customers, competitors, and technologies using the Internet called?

a)Corporate espionage
b)Competitive intelligence
c)DNS Footprinting
d)Commercial advantage
3. Social engineering is considered to be a part of which hacking stage?  

a)Reconnaissance  
b)Covering tracks  
c)Gaining access  
d)Maintaining access
4. Social engineering attacks are part of the CEH scanning methodology.

a)FALSE
b)TRUE
5. DNS zone transfer relies on:

a)UDP 53 port
b)TCP 55 port
c)TCP 53 port
d)UDP 55 port
6. Choose the correct sequence of hacking phases.

a)Scanning, reconnaissance, gaining access, maintaining access, clearing tracks
b)Reconnaissance, scanning, gaining access, maintaining access, clearing tracks
c)Reconnaissance, gaining access, maintaining access, scanning, clearing tracks
d)Gaining access, reconnaissance, scanning, maintaining access, clearing tracks

As respostas do questionário do post anterior são: 1. A / 2. A / 3. C / 4. B / 5. A / 6. A

Bem pessoal é isso ai, espero que tenham curtido. No próximo post da série eu vou passar as respostas do questionário de hoje e dar continuação ao post de hoje, abraços. Não esqueçam de curtir nossas páginas nas redes sociais, FacebookG+ e seguir o Guia do Ti no Twitter. Compartilhem e comentem esse artigo, isso é muito importante para divulgação do nosso trabalho.

Referências
CEH v9: Certified Ethical Hacker Version 9 Study Guide
CEH v9: Certified Ethical Hacker Version 9 Practice Tests
https://en.wikipedia.org/wiki/Information_security
https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o
https://en.wikipedia.org/wiki/White_hat_%28computer_security%29
https://www.sans.org/reading-room/whitepapers/auditing/footprinting-it-it-why-62
https://en.wikipedia.org/wiki/Footprinting
https://mywebclasses.wordpress.com/category/ceh/ceh-02-footprinting-and-reconnaissance/
https://dnsdumpster.com/footprinting-reconnaissance/
http://www.certiology.com/computing/certified-ethical-hacker/ethical-hacking-study-guide/footprinting-and-reconnaissance.html
[https://www.cybrary.it/0p3n/footprinting-and-reconnaissance/]
https://securitydocs.com/certified-ethical-hacker-part-2-footprinting-and-reconnaissance/38571/
https://www.greycampus.com/opencampus/ethical-hacking/footprinting-methodology
https://www.greycampus.com/opencampus/ethical-hacking/objectives-of-footprinting
https://chrislazari.com/ethical-hacking-reconnaissance-plan-active-footprinting/

 

Ricardo Galossi
Siga me

Ricardo Galossi

É um apaixonado por segurança da informação, atua profissionalmente há mais de 7 anos na área de tecnologia da informação, onde é focado em análise de vulnerabilidades e testes de invasão.Criou o blog Guia do TI para compartilhar conhecimento, ajudar os mais novos, incentivar debates e manter a comunidade atualizada com as principais notícias da área de TI.
Ricardo Galossi
Siga me

Últimos posts por Ricardo Galossi (exibir todos)

Ricardo Galossi

É um apaixonado por segurança da informação, atua profissionalmente há mais de 7 anos na área de tecnologia da informação, onde é focado em análise de vulnerabilidades e testes de invasão. Criou o blog Guia do TI para compartilhar conhecimento, ajudar os mais novos, incentivar debates e manter a comunidade atualizada com as principais notícias da área de TI.

Deixe seu comentário