Сетевая разведка — получение и обработка данных об информационной системе клиента, ресурсов информационной системы, используемых устройств и программного обеспечения и их уязвимостях , средств защиты, а также о границе проникновения в информационную систему.

Суть явления

Сетевая разведка проводится в форме запросов DNS , (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И, наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате добывается информация, которую можно использовать для взлома.

Классификация

Современная сетевая разведка в зависимости от целей деятельности, масштаба, и характера, поставленных для выполнения задач делится на:

• стратегическую;
• тактическую (оперативную).

Тактическая разведка обеспечивает действия атакующих. К ним относятся как злоумышленники , так и специалисты, проводящие тестирование информационной системы . Тактическая разведка выявляет данные о:

• технической оснастке;
• программном оснащении;
• уязвимости почтовых серверов ;
• сервисах и почтовых клиентах ;
• границах сегментов сети;
• используемых каналах связи (тип, пропускная способность );
• государственной (географической, коммерческой) принадлежности сети и/или сервера, что облегчает принятие оптимальных решений по планированию и проведению атаки на информационные системы.

Эти сведения добываются перехватом информации, передаваемой радиоэлектронными средствами.

Этапы несанкционированного взлома

• Выбор исследуемой сети/сервера/информационного пространства;
• Сканирование , тестирование, сбор информации о цели;
• Обработка данных, выбор уязвимой точки для проникновения;
• Эксплуатация уязвимости, проникновение в систему.

Далее действия хакера зависят от задачи, поставленной им, будь то изменения информации, кража, повышение полномочий и удержание системы.

Сетевая разведка сервиса электронной почты

Возможные пути получения данных:

• получение информации от whois-серверов ;
• просмотр информации DNS серверов исследуемой сети для выявления записей, определяющих маршруты электронной почты (MX записи);
• информация об электронной почте , представленные на сайте исследуемой компании. К ней относятся адреса электронной почты для связи, опубликованные вакансии для системных администраторов и администраторов электронной почты, в которых зачастую есть информация о типах используемых почтовых серверов;
• информация об электронной почте (адресах) и вакансиях сохранившиеся в поисковых системах ( google.com , yandex.ru ), так и в базах компаний, запоминающих состояния веб-ресурсов на определенный срок.

После определения границ атаки атакующие переходят к получению данных о целевой почтовой системе. Для этого используются чаще всего:сканирование портов (сервисов) на выявленных внешних серверах.

Проводится с целью определить:

• доступность сервиса из различных подсетей, расположенных по всему миру;
• выявление почтовых сервисов на нестандартных портах;
• получение и анализ информации, выдаваемой почтовыми сервисами при соединении. — так этот метод принято называть среди специалистов по сетевой разведке;
• активная проверка сервиса ( SMTP , POP3 , POP3pw, IMAP ) для определения типа и версии, допуская возможность, что администратор системы изменил информацию, выдаваемую сервисами, или сервис не выводит информацию о своем типе и версии;
• отправка писем на несуществующие почтовые адреса для получения NDR (non delivery report) и информации о пути прохождения письма.

Противодействие

Полностью избавиться от сетевой разведки невозможно. Если, к примеру, отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах , можно избавиться от эхо-тестирования, но при этом теряются данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно без предварительного эхо-тестирования. Это займет больше времени, так как сканировать придется и несуществующие IP-адреса . Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которого установлена система.

См. также

• Электронные методы и средства разведки
• Уязвимость (компьютерная безопасность)
• Информационная безопасность
• Хакерская атака

Литература

1. Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д. В. Информационная безопасность открытых систем. В 2-х тт.
2. Том 1. Угрозы, уязвимости, атаки и подходы к защите. М.: Горячая Линия — Телеком, 2006. — 536 с. — ISBN 5-93517-291-1 , ISBN 5-93517-319-0 .
3. Том 2. Средства защиты в сетях. М.: Горячая Линия — Телеком, 2008. — 560 с. — ISBN 978-5-9912-0034-9 .
4. Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с. — ISBN 978-5-8041-0378-2 .
5. Журнал "Хакер" 14.04.2008