Footprinting se nanaša na postopek zbiranja informacij o ciljnem sistemu. To je prvi korak napada, v katerem se skuša čim več naučiti o cilju, da bi našel način za vdor v sistem.
Obstajata dve vrsti odtisa nog:
Pasivni odtis pomeni zbiranje informacij brez neposredne interakcije s ciljem. Ta vrsta odtisa se uporablja, kadar cilj ne sme zaznati zbiranja informacij.
Aktivni odtis pomeni zbiranje informacij z neposrednim interakcijo s ciljem. Pri tej vrsti odtisa nog obstaja možnost, da se tarča zaveda zbiranja informacij.
Napadalci z odtisom stopala zbirajo naslednje informacije:
Cilji odtisa so:
Naučite se varnostne drže Analizirajte varnostno držo cilja, poiščite vrzeli in ustvarite načrt napada.
Določite območje fokusa Z različnimi orodji in tehnikami zožite obseg naslovov IP.
Poiščite ranljivosti Zbrane informacije uporabite za prepoznavanje šibkosti ciljne varnosti.
Zemljevid omrežja Grafično predstavite ciljno omrežje in ga uporabite kot vodilo med napadom.
Obstaja veliko orodij in spletnih virov, s katerimi lahko zbiramo informacije o našem cilju.
Iskalniki se lahko uporabljajo za pridobivanje informacij o ciljni organizaciji. Rezultati iskanja lahko vključujejo informacije o zaposlenih v ciljni organizaciji, intranet, strani za prijavo in druge informacije, ki bi lahko bile koristne napadalcem.
Eden od načinov zbiranja informacij z uporabo iskalnikov je uporaba tehnik vdiranja v Google.
Googlovo vdiranje je tehnika, ki jo napadalci uporabljajo za zapleteno iskanje in pridobivanje pomembnih informacij o svojih ciljih. Vključuje uporabo nabora iskalnih operatorjev in ustvarjanje zapletenih poizvedb. Operaterji, ki se uporabljajo pri Googlovih vdorih, se imenujejo dorks.
Whois se nanaša na protokol za poizvedbe in odzive, ki se uporablja za pridobivanje informacij o dodeljenih internetnih virih.
Podatkovne baze Whois vsebujejo osebne podatke lastnikov domen in jih vzdržujejo regionalni spletni registri.
Obstajata dve vrsti podatkovnih modelov:
Debel Whois vsebuje vse podatke vseh registrarjev za določen nabor podatkov. Tanek Whois vsebuje omejene informacije o določenem naboru podatkov.
Rezultati poizvedbe Whois običajno vključujejo:
Regionalni internetni registri, ki vzdržujejo baze podatkov whois, vključujejo:
Geolokacija IP pomaga najti informacije o lokaciji o cilju, kot so država, mesto, poštna številka, ponudnik internetnih storitev itd. S temi informacijami lahko hekerji izvajajo napade socialnega inženiringa na tarčo.
Odtis DNS se nanaša na zbiranje informacij o podatkih o območju DNS, kar vključuje informacije o ključnih gostiteljih v omrežju.
Orodja za zaslišanje DNS pomagajo napadalcem, da izvedejo odtis DNS. Z uporabo teh orodij lahko napadalci pridobijo informacije o vrstah strežnikov in njihovih lokacijah.
Odtis elektronske pošte se nanaša na zbiranje informacij iz e-pošte s spremljanjem dostave e-pošte in pregledovanjem glav.
Informacije, zbrane prek odtisa po e-pošti, vključujejo:
Glave e-poštnih sporočil vsebujejo informacije o pošiljatelju, zadevi in prejemniku. Vse te informacije so dragocene za hekerje, ko načrtujejo napad na svojo tarčo.
Informacije v glavah e-pošte vključujejo:
E-poštnim sporočilom je mogoče slediti tudi z različnimi orodji za sledenje. Orodja za sledenje e-poštnim sporočilom imajo možnost sledenja e-poštnim sporočilom in pregledovanja njihovih glav za pridobivanje koristnih informacij. Pošiljatelj je obveščen o e-pošti, ki jo prejme in odpre prejemnik.
Odtis spletnega mesta je tehnika, pri kateri se informacije o cilju zbirajo s spremljanjem ciljne spletne strani. Hekerji lahko preslikajo celotno spletno stran cilja, ne da bi jih opazili.
Odtis spletnega mesta daje informacije o:
S pregledom glav spletnega mesta je mogoče dobiti informacije o naslednjih glavah:
Dodatni načini za zbiranje informacij so prek izvorne kode HTML in pregleda piškotkov. S preučitvijo izvorne kode HTML lahko iz komentarjev v kodi izvlečete informacije in pridobite vpogled v strukturo datotečnega sistema z opazovanjem povezav in slikovnih oznak.
Tudi piškotki lahko razkrijejo pomembne informacije o programski opremi, ki se izvaja na strežniku, in njenem vedenju. Tudi z pregledovanjem sej je mogoče prepoznati skriptne platforme.
Obstajajo programi, zasnovani za pomoč pri odtisu spletnih strani. Ti programi se imenujejo spletni pajki in v iskanju določenih informacij sistematično brskajo po spletnem mestu. Tako zbrani podatki lahko napadalcem pomagajo pri napadih na socialni inženiring.
Zrcaljenje ali kloniranje spletnih strani se nanaša na postopek podvajanja spletnega mesta. Zrcaljenje spletnega mesta pomaga pri brskanju po spletu brez povezave, iskanju ranljivosti in iskanju dragocenih informacij.
Spletna mesta lahko shranjujejo dokumente drugačne oblike, ki lahko vsebujejo skrite informacije in metapodatke, ki jih je mogoče analizirati in uporabiti pri napadu. Te metapodatke je mogoče pridobiti z različnimi orodji za pridobivanje metapodatkov in pomagati napadalcem pri izvajanju napadov socialnega inženiringa.
Odtis omrežja se nanaša na postopek zbiranja informacij o ciljnem omrežju. Med tem postopkom napadalci zbirajo podatke o območju omrežja in jih uporabljajo za preslikavo ciljnega omrežja.
Obseg omrežja daje napadalcem vpogled v to, kako je omrežje strukturirano in kateri stroji pripadajo omrežju.
Nmap je orodje za odkrivanje omrežij. Uporablja neobdelane pakete IP za določanje razpoložljivih gostiteljev v omrežju, storitev, ki jih ponujajo ti gostitelji, operacijskih sistemov, ki jih izvajajo, vrst uporabljenih požarnih zidov in drugih pomembnih značilnosti.
Funkcije Nmap vključujejo zmožnost skeniranja velikih omrežij in kartiranje omrežij.
Programi Traceroute se uporabljajo za odkrivanje usmerjevalnikov, ki so na poti do ciljnega gostitelja. Te informacije pomagajo pri izvajanju napadov človek v sredini in drugih s tem povezanih napadov.
Traceroute za odkrivanje poti uporablja protokol ICMP in polje TTL v glavi IP. Zapisuje naslove IP in imena DNS odkritih usmerjevalnikov.
Rezultati sledilne poti pomagajo napadalcem pri zbiranju informacij o topologiji omrežja, zaupanja vrednih usmerjevalnikih in lokacijah požarnega zidu. To lahko uporabijo za ustvarjanje mrežnih diagramov in načrtovanje napadov.
Nekateri protiukrepi za odtis vključujejo:
Poročila o odtisu morajo vsebovati podrobnosti o izvedenih preskusih, uporabljenih tehnikah in rezultatih preskusov. Vključevati mora tudi seznam ranljivosti in kako jih je mogoče odpraviti. Ta poročila je treba hraniti zelo zaupno, da ne bodo prišla v napačne roke.