Глава 5. Поиск уязвимостей протокола

Распушение (фаззинг) - это то, что называется тестированием чёрного ящика, но прежде чем мы углубимся в детали, давайте разберёмся с тестированием чёрного ящика, белого ящика и серого ящика.

Тестирование белого ящика, также носящего название открытого ящика, или тестирование стеклянной коробки, это тестирование, которое осуществляется когда мы получаем все необходимые сведения по исследуемой системе, включая архитектуру программного обеспечения, модули, исходный код и тому подобное. Тестирование белого ящика обычно применяется для проверок программного обеспечения и не входит в сферу данной книги.

Тестирование чёрного ящика это когда вы знаете что тестируемые устройство и/ или программное обеспечение находятся там, но больше у вас нет никаких дальнейших сведений о них. Вы контролируете те входные данные, которые в отправляете в это устройство, вы можете наблюдать тот вывод, который приходит, однако у вас нет никаких знаний о его внутренней архитектуре и программном обеспечении данного устройства.

Тестирование серого ящика это когда у вас имеются частичные знания о внутреннем построении и коде системы, скажем, когда у вас имеются сведения об архитектуре данного устройства, но не о самом его коде и мы тестируем данное устройство в качестве некого зарегистрировавшегося в этой системе пользователя, а не как тестировщик программного обеспечения, как в случае с тестированием белой коробки.

Когда мы говорим о тестировании безопасности, при проверке проникновений в чёрный ящик сам тестировщик не снабжается никакими сведениями об имеющихся сетевых структуре и устройствах, а потому тестировщику приходится начинать с чистого листа, составлять карту целевой сети и пытаться выявить в ней уязвимости.

В этой книге мы сосредоточимся на том как защищать свои сеть и сетевые устройства. В этом плане мы рассмотрим как применять тестирование пухом и распушение (фаззинг), технику тестирования, которая подаёт на вход в исследуемое в отношении атаки устройство данные, ожидая один из следующих результатов:

Хотя классическое применение средств распушения (распыления) состоит в тестировании программного обеспечения, в данной главе мы рассмотрим особую его сторону, при которой мы пользуемся им для прорыва в устройства взаимодействия, их крушения и манипуляции ими.

Другой важной проблемой является то, что в отличие от серверов, оборудование взаимодействия соединяет сетевые среды и VLAN (Virtual Local Area Networks, локальные сети) и тем самым обычно обладает несколькими интерфейсами, которые соединены с несколькими VLAN и/ или с несколькими сетевыми средами. Риски могут происходить из одной из них, а потому тестирование следует осуществлять из различных мест по разным физическим портам.

Сетевые устройства могут настраиваться на приём или для отвержения конкретных запросов из определённых интерфейсов. Скажем, доступ через SNMP (Simple Network Management Protocol) может допускаться только со станции управления организацией, что определяется её IP адресом, протокол маршрутизации OSPF (Open Shortest Path First) может быть разрешён с определённых маршрутизаторов, регистрация Telnet или SSH (Secure Shell) могут позволяться из вашей внутренней сети и так далее. Сам процесс распушения должен выполняться через первичное сканирование самой сетевой среды и поиска открытых портов, а затем перехода на следующий уровень и применения средств распушения для манипуляции самим пребывающим под атакой устройством через прослушиваемые им порты TCP (Transport Control Protocol) и UDP (User Datagram Protocol).

В корпоративных сетевых средах, как видно из Рисунка 5.1, нам надлежит выполнять такое тестирование:

В сетевых средах поставщиков, как поставщики мобильной связи или соединений наземной линией связи, вся сетевая среда обычно делится на плоскость данных и плоскость управления. Как видно из Рисунка 5.2, существуют два прохода - проход данных и проход сигналов. В данном примере мобильная сеть соединена как с Интернетом, так и с нашей корпоративной сетью. Подключение к Интернету через мобильную сеть это то, что все мы осуществляем ежедневно (и ежечасно); подключение к нашей корпоративной сети требует выделенных VPN (Virtual Private Network, виртуальной частной сети) или n мобильных определений APN (Access Point Name, имён точек доступа), которые допускают подключение к ним. На нашей следующей схеме мы можем видеть саму структуру и все основные компоненты мобильной сети:

Мобильные сети составляются из двух типов устройств и проходов:

Когда мы подключаемся при помощи своего сотового телефона в соответствующей сетевой среде, в данном примере сотовая сеть 4G, наши данные проходят через прогон данных, а потому наши сведения проходят через соответствующий aGW, который содержит маршрутизаторы sGW и pGW, которыми являются маршрутизаторы сотовой сети. Короче говоря, sGW (Serving Gateway, обслуживающий шлюз) это подключённый к сотовой площадке маршрутизатор (eNodeB), который пересылает пакеты к пользователю и от него, в то время как PDN (Packet Data Network) Gateway (pGW, шлюз сети пакетов данных) это маршрутизатор, который отвечает за политику и улучшение качества обслуживания, фильтрацию пакетов и прочие функциональные возможности. Такой термин aGW (Access Gateway, шлюз доступа) относится к функциональным возможностям двух устройств - sGW и pGW. Проход сигналов, который содержит сотовые базы данных и серверы управления выходит из нашей зоны.

Хотя собственно сетевые компоненты в сотовых сетях 5G носят название функций, они обладают некой аналогией с 4G - сама сетевая площадка, которая имела название eNodeB становится gNodeB, необходимые функции sGW в 5G реализуются AMF (Access and Mobility Management Function, функциями доступа и мобильности), pGW реализуется SMF (Session Management Function, функциями управления сеансом) и UPF (User Plane Function, функциями плоскости пользователя) и так далее. Самым важным моментом является то, что всегда будут иметься маршрутизаторы, которые переносят необходимые пакеты пользователя, причём эти маршрутизаторы обязаны быть защищёнными.

В качестве поставщика сотовых услуг, такие серверы также пребывают под нашим контролем и обязаны подвергаться тестированию как и прочие устройства в нашей сетевой среде. Теперь давайте взглянем на различные фазы распушения.

Распушение это очень гибкий процесс. Он зависит от самой целевой системы, от применяемых вами инструментов и от ваших навыков в программировании и написании сценариев, однако в любом случае, вам надлежит следовать таким этапам:

Давайте окунёмся в подробности и рассмотрим некоторые примеры.

 

Этап 1 - идентификация цели распушения

На данном этапе мы определяем где находится наша цель (IP адрес), какие службы в ней открыты (порты TCP/ UDP) и что представляет собой эта цель (характерные признаки ОС или прежние данные).

 

Этап 2 - определение возможных входных данных

На этом этапе мы проверяем что можно отправлять в нашу цель. Эксплуатируемые уязвимости обычно обнаруживаются запущенными в атакуемой цели процессами, которые принимают от внешних устройств данные без проверки и удостоверяются в их источнике, а также в правомерности и применимости процедур обоснованности. Отправляемые нами в целевое устройство входные данные носят название входных векторов.

В нашем следующем примере мы можем наблюдать образец Nmap (Network Mapper), применяемого для сканирования удалённого межсетевого экрана при помощи команды nmap -O -A <target-system> (по очевидным причинам адрес межсетевого экрана затёрт):

Из данного сканирования мы видим, что у нас имеется контрольная точка межсетевого экрана, мы можем наблюдать открытые порты TCP (80, 264, 443 и 500), мы можем видеть что там запущена операционная система OpenBSD версии 4.0 или 4.3 Unix/Linux, а относительно типа устройства, мы можем наблюдать что это версия программного обеспечения NGX.

Из этих сведений мы способны вывести базу данных уязвимостей и определить выявленные в этом типе устройства уязвимости.

Например, в https://www.securityfocus.com/vulnerabilities, вы можете обнаружить различные уязвимости в оборудовании производителей (в нашем случае не так много) и вы способны начать наблюдать направления для тестов распыления:

Как мы видели на Рисунке 5.3, воспользовавшись NMAP, мы обнаружили в изучаемом межсетевом экране такие открытые порты TCP:

 

Этап 3 - выработка и исполнение данных распушения

На этом этапе мы создаём данные, которые будут отправляться в нашу тестируемую систему. Это могут быть предварительно определённые строки (скажем, заранее заданные сценарии NMAP), обычно применяемые таким устройством данные, тем не менее, изменённые, либо просто случайные данные, такие как пакеты SYN TCP, выбранные случайным образом команды HTTP и тому подобное.

 

Этап 4 - выполнение и наблюдение за результатами

На этом этапе мы отправляем свои сведения в тестируемую нами систему и наблюдаем за получаемыми результатами. Делаем выводы и размышляем о последующих замерах. Всегда есть ещё что- то.

Итак, давайте проследуем далее и обсудим некоторые распространённые уязвимости.

Для сетевых протоколов мы ссылаемся на протоколы Уровней 2 - 7 OSI. На следующей схеме вы можете найти напоминание эталонной модели OSI и её функциональных возможностей:

Вот подробности этой эталонной модели OSI:

Вооружившись имеющимися уровнями мы можем рассмотреть приводимые далее уязвимости каждого из них.

В протоколах канального уровня присутствуют уязвимости, например в проводном и беспроводном Ethernet. Поиск по базе данных https://cve.mitre.org/cve/search_cve_list.html для Ethernet снабдит вас длинным перечнем уязвимостей.

Здесь вы можете обнаружить уязвимости в адаптерах Ethernet, такие как:

В протоколах сетевого уровня, таких как протокол IP, имеются уязвимости, в том числе уязвимости в DHCP (Dynamic Host Configuration Protocol), ICMP (Internet Control Message Protocol), протоколах маршрутизации и протоколах группового обмена. Поиск для IP, ICMP, OSPF, BGP или DHCP снабдит вас большим числом проблем, обсуждаемым в системах различных производителей, включая лидирующих. Имеющиеся тут проблемы содержат такие моменты как:

В протоколах транспортного уровня, таких как TCP, UDP, QUIC, GQUIC или SCTP существуют уязвимости, способные приводить к крушениям систем и допускают взлом соединений и прочие атаки. Вот некоторые примеры:

В протоколах уровня сеанса, например, RPC, Telnet, SSH и прочих, присутствуют уязвимости. Вот некоторые образцы:

В протоколах уровня представления, которые определяют структуры и представления данных, таких как HTML, XML, протоколах шифрования и других, существуют уязвимости. Здесь имеется большое число проблем. Большинство из них заключено в веб приложениях, приложениях конференций и кооперации, таких как Webex и Zoom, доступе к веб браузерам и прочие выходящие за пределы этой книги проблемы. Вот некий пример:

На уровня приложения имеются уязвимости, а в контексте протоколов взаимодействия существуют проблемы доступа HTTP во взаимодействующих устройствах, уязвимости в серверах VoIP и серверах электронной почты, уязвимости DNS и многие прочие проблемы. Вот некоторые образцы:

Давайте рассмотри какие средства могут применяться для поиска таких уязвимостей.

При тестировании безопасности сетевых протоколов и устройств для ряда целей может применяться распыление:

Давайте окунёмся в подробности.

В основе распыления может быть простая отправка данных в устройство и просмотр того что происходит. Для этого имеется ряд вариантов.

 

Windows

Для Windows/ Linux вы можете пользоваться функциональными возможностями NMAP, например, сканированием адресов IP, сканированием портов TCP и различными инструментами сценариев. NMAP для Windows обсуждался в разделе Инструменты получения сведений и анализа пакетов из Главы 4, Применение инструментов, сценариев и кода сетевой безопасности).

 

Linux

В Linux вы можете применять такие простые средства как Netcat. В приводимом далее примере вы можете наблюдать сценарий Netcat, который случайным образом производит обмен и отправляет его в <target-host> <target-port>:

while [ 1 ]; do cat /dev/urandom | nc -v <target-host> <targetport>; done
 	   

Что тут у нас есть:

Эта простая команда для моего домашнего маршрутизатора, 10.0.0.138, как вы можете наблюдать на приводимом ниже снимке экрана, оказалась достаточной для того чтобы мой маршрутизатор забуксовал. Вы можете наблюдать это из индикаций Wireshark [TCP Window Full] по отправляемому от 10.0.0.23 (мой ноутбук Linux) к 10.0.0.138 (целевой маршрутизатор).

Отсюда вы можете заключить, что домашний маршрутизатор может быть перегружен простым сценарием, и это ещё до того как мы испробовали какие бы то ни было искушённые сценарии. Для реальной сетевой среды мы, естественно, испробуем нечто более жёсткое.

Для взлома имён пользователей и паролей в Windows мы всё ещё можем пользоваться NMAP или любым вариантом из меню 4 - Password Attach в Kali Linux. В своём следующем примере мы обнаружим некоторые распространённые средства для Windows и Linux.

Взлом паролей в целом выполняется через их предугадывание. Имеются различные механизмы для действенного осуществления этого, но в целом, когда у нас имеется хорошая отправная точка, процесс угадывания будет быстрее, а следовательно, нам требуется список слов. Некий список слов, также именуемый словарём паролей это текстовый файл, который обладает перечнем возможных паролей, которые применяются в процессе угадывания.

Применение перечней слов превращает процесс взлома в намного более быстрый. Списки слов вы можете найти на вебсайте John the Ripper, в GitHub и в прочих местах, а кроме того, вы можете писать их самостоятельно. Чем лучше ваш список паролей, тем быстрее вы будете способны взломать своё целевое устройство. Имеются два предварительно заданных перечня, которыми вы можете воспользоваться. Эти файлы находятся в /usr/share/wordlists.

Имеется большое число сосредоточенных на этом вопросе площадок и это выходит за раки данной книги.

 

Windows

В Windows вы можете воспользоваться для взлома перебором вариантом NMAP (в закладке Scripting меню Profile, New Profile или Command, или Edit Selected Profile). На нашем следующем снимке экрана вы можете наблюдать атаку перебором на 10.0.0.138 с применением сценариев NMAP:

Для более интеллектуального взлома вы можете воспользоваться дополнительными средствами, такими как John the Ripper, которые можно найти на John the Ripper, Hydra и прочими. Вы также можете применять версию с графическим интерфейсом, Johnny. Файлы для её установки можно получить с johnny#Features.

 

Linux

Для взлома паролей в Linux имеются различные средства, включая NMAP, John the Ripper, Ncrack, Hydra, Crunch и иные. Давайте в качестве примера применим для взлома Telnet к 10.0.0.138 Hydra:

sudo hydra -l user -P /usr/share/wordlists/rockyou.txt telnet://10.0.0.138
 	   

Здесь мы применяем следующее:

Давайте рассмотрим как пользоваться этими инструментами.

Существует два пути атак на сетевые протоколы и устройства:

В наших последующих разделах мы рассмотрим некоторые средства Windows и Linux, которые могут применяться для распушения протокола взаимодействия.

 

Инструменты Windows

Существует ряд ситуаций, в которых вы можете пользоваться NMAP для распушения сетевых протоколов и среди них dns-fuzz, который может применяться для атак на серверы DAN (не так успешно, могу сообщить), команду http-form-fuzzer, применяемую для найденных в вебсайте форм. Позднее в данной книге мы будем применять сценарии NMAP, когда будем обсуждать безопасность протоколов взаимодействия.

 

Инструменты Linux

Для сетевых протоколов в Linux мы будем пользоваться средством Spike с предопределёнными или с пользовательскими сценариями.

Spike это инструмент создания распыления, который может создавать персонализированные распушения для сетевых протоколов с применением языка программирования C. Spike определяет несколько примитивов, которые можно применять при помощи C, что позволяет ему строить сообщения распушения с названием экземпляров SPIKE, которые могут отправляться в сетевые службы для тестирования.

В /usr/share/spike/audits имеется большое число предварительно определённых сценариев Spike. Это файлы с расширением .spk. Для их нахождения наберите команду locate .spk.

Собственно команды spike расположены в /usr/bin. Мы сосредоточимся на таких командах:

Generic_send_tcp
Generic_send_udp
 	   

Вы можете исполнять эту команду следующим образом:

cd /usr/bin
./generic_send_tcp  <destination-port> <file-name> 0 0
 	   

Здесь мы применяем следующее:

Вот реальный пример:

cd /usr/bin
./generic_send_tcp 10.0.0.138 80 /usr/share/spike/audits/SSL/ssl.spk 0 0
 	   

Здесь вы можете воспользоваться предварительно определёнными сценариями Kali Linux, выгрузить сценарии из Интернета или написать их самостоятельно. Давайте посмотрим некоторые образцы:

cd /usr/bin
./generic_send_tcp 10.0.0.16 139 usr/share/spike/audits/CIFS.netbios1.spk 0 0
 	   

Наш предыдущий пример распыляет протокол CIFS по порту 139 в 10.0.0.16.

Приводимая ниже команды будет делать то же самое с портом 137:

cd /usr/bin
./generic_send_tcp 10.0.0.16 137 usr/share/spike/audits/CIFS.netbios1.spk 0 0
 	   

В данном разделе мы обсудили какие средства применять и что отправлять в тестируемые устройства. Теперь мы рассмотрим что мы делаем с этими результатами.

Наиболее распространённый способ отчёта о уязвимости системы состоит в его публикации у соответствующего производителя и проверке того, что они опубликовали его с тем, чтобы все потенциально подвергающиеся ей пользователи смогут выгружать исправление для неё, когда оно будет опубликовано. Основная проблема здесь заключается в том, что не все производители имеют установленную методологию относительно того как они исправляют такую уязвимость, публикуют его и уведомляют своих потребителей.

Не все производители настолько организованы. Некоторые из них исправляют ошибки втихую, причём не уведомляя об этом своих потребителей. Некоторые из них будут игнорировать вас, а некоторые попытаются оставлять вас неозвученными.

Вы также можете публиковать ошибки в таких местах как Zero Day Initiative (ZDI) или на прочих площадках, которые вознаграждают исследователей безопасности за поиск ошибок (на верхнем уровне вы можете получать до десятков тысяч долларов США). Например, Google заплатил исследователям безопасности и хакерам более 21 миллиона долларов вознаграждения за обнаружение ошибок, причём 6.5 миллионов долларов только в 2019 году. Microsoft заплатила исследователям безопасности и хакерам 13.7 миллионов долларов в качестве поощрения за выявление ошибок только за один год, аналогично Facebook и многие прочие.

В этой главе мы обсудили специальные средства, которые применяются для взлома сетевых среди сетевых протоколов, а также то какие из них надлежит применять в каждом из уровней эталонной модели OSI. Знакомство с применением каждого из этих инструментов позднее поможет вам понимать где какой именно инструмент применять.

В своих следующих главах мы начнём погружаться в конкретные протоколы, начиная с Уровня 2, Wi-Fi и Ethernet, и продолжим с IP, TCP/ UDP и протоколами и приложениями верхних уровней.