Отпечатъкът се отнася до процеса на събиране на информация за целева система. Това е първата стъпка от атака, при която нападателят се опитва да научи възможно най-много за целта, за да намери начин за проникване в системата.
Има два вида отпечатъци:
Пасивен отпечатък означава събиране на информация без директно взаимодействие с целта. Този тип отпечатък се използва, когато събирането на информация не трябва да бъде открито от целта.
Активен отпечатък означава събиране на информация чрез директно взаимодействие с целта. При този тип отпечатък има шанс целта да осъзнае събирането на информация.
Нападателите използват отпечатъци за събиране на следната информация:
Целите на отпечатъка са:
Научете позицията за сигурност Анализирайте позицията за сигурност на целта, намерете вратички и създайте план за атака.
Идентифицирайте зоната на фокуса Използвайки различни инструменти и техники, стеснете обхвата на IP адресите.
Намерете уязвимости Използвайте събраната информация, за да идентифицирате слабости в сигурността на целта.
Картирайте мрежата Графично представете мрежата на целта и я използвайте като ориентир по време на атаката.
Има много инструменти и онлайн ресурси, които можем да използваме за събиране на информация за нашата цел.
Търсачките могат да се използват за извличане на информация за целевата организация. Резултатите от търсенето могат да включват информация за служителите на целевата организация, интранет, страници за вход и друга информация, която може да бъде полезна за нападателите.
Един от начините за събиране на информация с помощта на търсачките е чрез използване на техники за хакерство в Google.
Google хакерството е техника, която нападателите използват, за да извършат комплексно търсене и да извлекат важна информация за своите цели. Включва използването на набор от оператори за търсене и изграждане на сложни заявки. Операторите, които се използват при хакване на Google, се наричат dorks.
Whois се отнася до протокол за заявки и отговори, който се използва за извличане на информация за зададени интернет ресурси.
Базите данни Whois съдържат лична информация на собствениците на домейни и се поддържат от Регионалните интернет регистри.
Съществуват два типа модели на данни:
Дебел Whois съдържа цялата информация от всички регистратори за посочения набор от данни. Тънкият Whois съдържа ограничена информация за посочения набор от данни.
Резултатите от заявки за Whois обикновено включват:
Регионалните регистри в Интернет, които поддържат базите данни whois, включват:
Геолокацията на IP помага да се намери информация за местоположението за цел, като държава, град, пощенски код, ISP и т.н. С тази информация хакерите могат да извършват атаки за социално инженерство върху целта.
DNS отпечатък се отнася до събиране на информация за данни на DNS зони, което включва информация за ключови хостове в мрежата.
DNS инструментите за разпит помагат на нападателите да извършват DNS отпечатъци. Използвайки тези инструменти, нападателите могат да получат информация за типовете сървъри и техните местоположения.
Отпечатването на имейл се отнася до събиране на информация от имейли чрез наблюдение на доставката на имейли и проверка на заглавията.
Информацията, събрана чрез отпечатване на имейл, включва:
Заглавията на имейлите съдържат информация за подателя, темата и получателя. Цялата тази информация е ценна за хакерите, когато планират да атакуват целта си.
Информацията, съдържаща се в заглавията на имейли, включва:
Също така е възможно да проследявате имейли с помощта на различни инструменти за проследяване. Инструментите за проследяване на имейли имат способността да проследяват имейли и да проверяват заглавията им, за да извлекат полезна информация. Подателят се уведомява за изпратеното имейл и се отваря от получателя.
Отпечатването на уебсайта е техника, при която информацията за целта се събира чрез наблюдение на уебсайта на целта. Хакерите могат да картографират целия уебсайт на целта, без да бъдат забелязани.
Отпечатването на уебсайта дава информация за:
Чрез изследване на заглавията на уебсайта е възможно да се получи информация за следните заглавки:
Допълнителни начини за събиране на информация е чрез HTML изходен код и проверка на бисквитките. Чрез изследване на HTML изходния код е възможно да се извлече информация от коментарите в кода, както и да се получи представа за структурата на файловата система, като се наблюдават връзките и маркерите на изображенията.
Бисквитките също могат да разкрият важна информация за софтуера, който се изпълнява на сървъра, и неговото поведение. Също така, чрез инспектиране на сесиите, е възможно да се идентифицират платформите за скриптове.
Има програми, предназначени да помогнат при отпечатването на уебсайтове. Тези програми се наричат уеб паяци и те методично разглеждат уебсайт в търсене на конкретна информация. Информацията, събрана по този начин, може да помогне на нападателите да извършват атаки за социално инженерство.
Огледално копиране на уебсайт или клониране на уебсайт се отнася до процеса на дублиране на уебсайт. Отразяването на уебсайт помага при разглеждането на сайта офлайн, търсенето на уязвимости в уебсайта и откриването на ценна информация.
Уебсайтовете могат да съхраняват документи от различен формат, които от своя страна могат да съдържат скрита информация и метаданни, които могат да бъдат анализирани и използвани при извършване на атака. Тези метаданни могат да бъдат извлечени с помощта на различни инструменти за извличане на метаданни, както и да помогнат на нападателите да извършат атаки за социално инженерство.
Мрежовият отпечатък се отнася до процеса на събиране на информация за целевата мрежа. По време на този процес нападателите събират информация за обхвата на мрежата и я използват за картографиране на мрежата на целта.
Обхватът на мрежата дава на хакерите представа за това как е структурирана мрежата и кои машини принадлежат към мрежата.
Nmap е инструмент, използван за откриване на мрежа. Той използва сурови IP пакети, за да определи наличните хостове в мрежата, услугите, предлагани от тези хостове, операционните системи, които те изпълняват, използваните типове защитни стени и други важни характеристики.
Функциите на Nmap включват възможността за сканиране на големи мрежи, както и картографиране на мрежи.
Програмите Traceroute се използват за откриване на маршрутизатори, които са по пътя към целевия хост. Тази информация помага при извършване на атаки човек-в-средата и други свързани атаки.
Traceroute използва протокола ICMP и полето TTL в IP заглавката, за да открие маршрута. Той записва IP адреси и DNS имена на откритите рутери.
Резултатите от трасето помагат на нападателите да събират информация за мрежовата топология, надеждни рутери, както и местоположенията на защитната стена. Те могат да използват това, за да създават мрежови диаграми и да планират своите атаки.
Някои от мерките за отпечатък включват:
Отчетите за отпечатъци трябва да включват подробности за извършените тестове, използваните техники и резултатите от тестовете. Той също така трябва да включва списък на уязвимости и как те могат да бъдат отстранени. Тези доклади трябва да се пазят като поверителни, за да не попаднат в грешни ръце.