L'ANALISI DELLA VITTIMA

                                         PRIMA DELL'ATTACCO: L'ANALISI DELLA VITTIMA


Una delle cose più importanti da fare prima di hackerare un sistema è
cercare di raccogliere
più informazioni possibili. Questa fase è spesso sottovaluta dai
principianti che il più delle
volte si limitano a fare un semplice portscanning e poi a cercare un exploit
che sfrutti un bug
nei programmi che girano nella macchina.
Quando però i sistemi da hackerare sono più complessi e più sicuri, un
semplice portscanning non
basta, ma bisogna scoprire tutte le info possibili sul target.

--- Passo 1. Il sito web

Il punto di partenza per la raccolta di informazioni è naturalmente (quando
presente!) il sito
internet dell'obbiettivo (per esempio un azienda). Prima di tutto
controllate l'estensione della
pagine web. Se è .asp quasi sicuramente si tratta di un sistema WinNT, se
invece sono presenti
pagine php o script cgi si tratta di un sistema *nix. Controllate anche il
codice sorgente delle
pagine alla ricerca di eventuali commenti inseriti dai webmaster. A volte
contengo informazioni
sull'O.S. e sul web server che gira sul server vittima.

--- Passo 2. Indagine sul dominio

Dopo aver settacciato il sito web della vittima, bisogna cercare di recupare
più informazioni
possibili sul dominio di questa. Per far questo bisogna interrogare i
database InterNIC gestito
da Network Solutions (www.networksolutions.com) e ARIN (www.arin.net).
Questi due database
contengo informazioni su tutti i domini internazionali (.com .net .org.
.edu) registrati. Per interrogare questi database esistono
diversi metodi, i più importanti sono: attraverso l'interfaccia web o usando
dei software specifici.
Se si sceglie il primo metodo basta andare sul loro sito, se invece si vuole
usare un software
specifico io consiglio Ws Ping PRoPack che si può trovare su
www.ipswitch.com
Le informazioni più importanti che fornisco questi database sono: i dati del
registrante
(nome e cognome) e gli indirizzi del DNS usato dalla macchina. Ricordate che
questi due
database contengo informazioni solo sui domini internazionali, x gli altri
indirizzi nazionali, dovete andare
sul sito web delle aziende che gestisco le registrazioni.

-- Passo 3. Traceroute

Quando avrete scoperto più informazioni possibili sul dominio della vittima
occorre fare un analisi
accurata del percorso che i pacchetti fanno per raggiungere il server della
vittima. Per questo
scopo esistono diversi programmi, per windows è disponibile già un'utility
tracert (per avviarlo
scrivete tracert hostvittima.com su esegui), se invece utilizzate linux è
presente anche qui un utility
simile che potete avviare scrivendo traceroute hostvittima.com da una
shell). Il risultato sarà una
cosa del tipo:

  1   109 ms   102 ms   100 ms  Fe0-0-0.NAS-RM-1.tiscali.it [195.130.232.51]
  2   106 ms   109 ms    97 ms  Fe0-0.GW206-RM.tiscali.it [195.130.232.49]
  3   112 ms   110 ms   115 ms  Ser3-1-0.GWS505-RM.tiscali.it
[195.130.235.141]

  4   117 ms   107 ms   108 ms  Ge3-0.GWGSR-MI.tiscali.it [195.130.254.82]
  5   108 ms   110 ms   143 ms  infostrada-mix.mix-it.net [217.29.66.9]
  6   110 ms   112 ms   116 ms  192.94.212.189
  7   114 ms   106 ms   108 ms  192.94.212.125
  8   155 ms   119 ms   125 ms  192.94.212.146
  9   121 ms   119 ms   118 ms  151.5.206.74
10   127 ms   123 ms   119 ms  151.5.148.82
11   150 ms   147 ms   149 ms  151.5.149.2
12   156 ms   150 ms   148 ms  gw15.dada.it [195.110.97.48]
13   163 ms   160 ms   157 ms  vittima.it [195.110.99.208]

Rilevazione completata.

Ogni singolo host (in tutto sono 13) rappresente un Hop cioè un salto che il
paccheto deve fare
prima di arrivare all'ultimo host il 13. Dove possibile tracerout risolve
anche il nome dell'host.
A volte può capitare che un HOP non venga indicato, cioè succede
probabilmente perchè dall'altra
parte c'è un firewall che blocca i pacchetti UDP che usa traceroute. Per
risolvere questo
inconviente si può, solo sotto linux, utilizzare l'opzione -S -p53, in
questo modo si indica a
traceroute di utilizzare la porta 53 (quella dei DNS) per sondare gli HOP.

-- Passo 4. Scansione delle porte

A questo punto dopo aver raccolto ulteriori informazioni con traceroute,
passiamo ad una delle
tecniche più importanti per ottenere informazioni sul computer della
vittima: il port scanning.
Il port scanning consiste nella connessione alle porte TCP e UDP presenti
nel sistema scelto
come obbiettivo per stabilire quali servizi girano. Per fare il port
scanning esistono 2 metodi
principali:
1) connettersi manualmente a ogni porta per sapere se è attiva (lungo e
noglioso, sconsigliato)
2) usare un software apposito detto port scanner (consigliato)
In giro per la rete sono presenti centinai di port scanner quindi non avrete
problemi a trovarne
uno. Io consglio di usare il 7th Sphere Portscan per windows e NMAP per
linux. I port scanner
lavorano utilizzando diverse tecniche di scansione:
1)TCP CONNECT SCAN : ovvero il port scanner si collega alla porta
dell'obbiettivo con una connessione
  a tre fasi. E' facilmente intercettabile.
2)TCP SYN SCAN: ovvero il port scanner non esegue una connessione completa
con l'obbiettivo. Più
  difficile da rilevare della precedente.
3)TCP FIN SCAN: ovvero il port scanner invia un pacchetto FIN sulla porta.
Funziona solo sui sistemi
  UNIX
La più diffusa è la prima tecnica, mentre la secondo è più raffinata e
discreta.
Il risultato di una scansione delle porte è in genere di questo tipo.

PORTSCAN READY
SCANNING HOST:vittima.it
SCAN BEGUN ON PORT:1 SCAN HALTED ON PORT:354
21   :CONNECT 220 FTP server (SunOS 5.8) ready.
22   :CONNECT SSH-1.99-OpenSSH_2.3.0p1
25   :CONNECT 220 ESMTP Postfix
80   :CONNECT
111  :CONNECT

Come si vede dalla scansione sul sistema vittima è montato un sistema *NIX
(SunOS 5.8) e alcuni
servizi. Avrete quindi capito che una delle informazioni più importanti che
può fornire un
port scanning è il sistema operativo (N.B. non sempre si è così fortunati
;-)