Monday, October 16, 2017

Footprinting အပိုင္း - ၂


(အဆက္)
ကြ်န္ေတာ္တို႔ ေရွ႕မွာ ေဆြးေႏြးခဲ့သလိုပါပဲ။ Footprinting ဆိုတာ information gathering လုပ္ငန္းစဥ္ကို လုပ္ေဆာင္ရတာျဖစ္ပါတယ္။ ထိုသို႔ အခ်က္အလက္ရွာေဖြ စုေဆာင္းတဲ့ေနရာမွာ Active လည္းျဖစ္ႏိုင္သလို Passive လည္း ျဖစ္ႏိုင္ပါတယ္။ ႏွစ္ခုလံုးလည္း ျဖစ္ႏိုင္ပါတယ္။
.
ဒါဆိုရင္ ဘယ္ကေန စတင္မလဲ။ target ရဲ႕ public website  ကေန အရင္ စတင္ပါမယ္။ target website ကို သြားေရာက္ေလ့လာရင္ Organization အေၾကာင္း နားလည္မယ္။ ထို organization ရဲ႕လိပ္စာေတြ၊ key person ေတြယ contact details ေတြ ရႏိုင္ပါတယ္။ အခ်ိဳ႕ေသာ organization ေတြမွာဆိုရင္ သူတို႔ရဲ႕ Organization Chart ေတြကိုပါဂုဏ္ယူစြာ တင္ျပထားေလ့ရွိတာမို႔ ဒါေတြကလည္း လိုအပ္တဲ့ အခ်က္အလက္ေတြကို ရရွိေစမွာျဖစ္ပါတယ္။ ဒါ့ျပင္ potential customer ေတြအေၾကာင္း၊ အသံုးျပဳေနတဲ့ နည္းပညာေတြအေၾကာင္း စတဲ့ အေရးပါတဲ့ အခ်က္အလက္ေတြကိုလည္းပဲ ထို public website ကေနတစ္ဆင့္ ရရွိႏိုင္ပါေသးတယ္။
.
Initial information gathering သည္ အလြန္ အေရးႀကီးပါတယ္။ အခ်က္အလက္ ေကာင္းေကာင္းစုေဆာင္းႏိုင္ေလေလ ထို system ကို  hack (or) pen-test ျပဳလုပ္တဲ့အခါ ေအာင္ျမင္မႈ ပိုရႏိုင္ေလေလပါပဲ။ Company website, news, public financial information, Social Media (e.g. Facebook Page), စတဲ့ေနရာေတြကေနလည္း အသံုးဝင္တဲ့ အခ်က္ေတြ ရရွိႏိုင္သလို company တြင္းမွာ မိမိထက္ေအာက္လူက မိမိထက္ ရာထူးတိုးသြားလို႔ မေက်နပ္တဲ့သူမ်ိဳးေတြ၊ အလုပ္ထြက္ကာစ လူမ်ိဳးေတြဆီကေနလည္း အခ်က္အလက္ေကာင္းေတြ ရရွိႏိုင္ပါတယ္။ Social Engineering ကိုအသံုးျပဳျပီးေပါ့။ ကြ်န္ေတာ္တို႔အေနနဲ႔ target ထားခ်ဥ္းကပ္သူက victim network  ရဲ႕ အေရးပါတဲ့သူတစ္ေယာက္သာျဖစ္ခဲ့ရင္ေတာ့ အဲသည္ေနရာမွာတင္ ကြ်န္ေတာ္တို႔အတြက္ သိခ်င္တာေတြ သိလာႏိုင္ပါတယ္။
.
ေနာက္တစ္ဆင့္ လုပ္ေဆာင္ရမွာက network ေတြနဲ႔ port ေတြကို scan ျပဳလုပ္ႏိုင္ေစဖို႔ IP address range ကို ရွာေဖြဖို႔ ႀကိဳးစားရမွာျဖစ္ပါတယ္။ ထိုသို႔ေသာ အေသးစိတ္အခ်က္အလက္ေတြကို WHOIS database, arin net, စတာေတြကေန တစ္ဆင့္ ရရွိႏိုင္ပါတယ္။ (အေသးစိတ္ကို သက္ဆိုင္ရာ က႑ေတြမွာ ထည့္သြင္းေဆြးေႏြးေဖာ္ျပသြားပါမယ္)
.
ခု ကြ်န္ေတာ္တို႔မွာ initial information ေတြ၊ IP address range  ေတြ ရွိေနျပီဆိုပါေတာ့။ ေနာက္တစ္ဆင့္ network ေပၚမွာ ရွိေနတဲ့ Active Machine ေတြကို ရွာေဖြပါမယ္။ Attack တစ္ခု မျပဳလုပ္မီ ဘယ္ machine ေတြကေတာ့ alive ျဖစ္ေနတယ္ဆိုတာကို သိရွိဖို႔ လိုအပ္ပါတယ္။ machine တစ္ခုသည္ active ျဖစ္ မျဖစ္ ping လုပ္ၾကည့္ႏိုင္ပါတယ္။ TCP/IP running လုပ္ေနတဲ့ မည္သည့္ system မွာမဆို ping ျပဳလုပ္ႏိုင္မွာျဖစ္ျပီီးေတာ့ Organization အေတာ္မ်ားမ်ားကေတာ့ ဒါကို restrict လုပ္ထားၾကပါတယ္။ Ping သည္ system ထံ echo request ေတြ ေပးပို႔ျပီးေတာ့ response ကို ျပန္ေစာင့္ပါတယ္။ response လက္ခံရရွိမႈ ရွိ မရွိေပၚ မူတည္ျပီး system သည္ alive ျဖစ္ မျဖစ္ ဆံုးျဖတ္ႏိုင္ပါတယ္။
.
Active machine ေတြရဲ႕ detail ရရွိျပီဆိုပါေတာ့။ ေနာက္တစ္ဆင့္ ဘာလုပ္မလဲ။ ေနာက္တစ္ဆင့္အေနနဲ႔ open port & access point ေတြကို ရွာေဖြ  identify လုပ္ဖို႔ လိုအပ္ပါတယ္။ Open port ေတြသည္ attacker ကို အကူအညီမ်ားစြာ ေပးႏိုင္ပါတယ္။ ဒါကို ကာကြယ္ႏိုင္ဖို႔အတြက္ firewall ေတြကို အသံုးျပဳထားႏိုင္တာပဲ လို႔ ထင္ေကာင္းထင္ပါလိမ့္မယ္။ ဒါေပမယ့္ ဒါဟာ အျမဲတမ္းမွန္ကန္တာေတာ့ မဟုတ္ပါဘူး။ Firewall ကို ေရွာင္တိမ္းျပီး portေတြဆီ ေရာက္ေအာင္ ေက်ာ္ျဖတ္ႏိုင္မယ့္ program ေတြ မ ်ားစြာ ရွိေနလို႔ ျဖစ္ပါတယ္။
.
Port ေတြနဲ႔ Access point ေတြကို သိျပီဆိုရင္ေတာ့ Operating system  နဲ႔ version ေတြကို သိေအာင္ ႀကိဳးစားရမွာပါ။ ဒါေတြကို သိျပီဆိုရင္ေတာ့ standard database ေတြမွာ ထို OS ရဲ႕  version အလိုက္ vulnerability ေတြကို ရွာေဖြႏိုင္ပါတယ္။ ထို vulnerability ေတြကို ေျဖရွင္းမယ့္ patch ေတြကို apply လုပ္မထားဘူးဆိုရင္ေတာ့ entry point ေတြကို အလြယ္တကူ ရရွိမွာ ျဖစ္ပါတယ္။ (မွတ္ခ်က္။    ။ ကြ်န္ေတာ္တို႔ ႏိုင္ငံမွာေတာ့ patch management ပိုင္း လုပ္ေဆာင္တဲ့ ကြန္ပ်ဴတာေတြ အေတာ္ ရွားပါတယ္။ ဟုတ္ မဟုတ္ သိရေအာင္ ကိုယ့္ကိုယ္ကိုယ္ ျပန္ေမးၾကည့္ႏိုင္ပါတယ္။ ေမးရမယ့္ ေမးခြန္းေလးက ကြ်န္ေတာ္တို႔ သံုးတဲ့ windows မွာ windows တင္ျပီးရင္ system upgrade ေတြ လုပ္ေလ့ရွိပါသလား၊ patch ေတြကိုေရာ သံုးဖူးပါသလားဆိုတာေလးပါ။ အေျဖက ၉၉% မသံုးဖူးဘူးလို႔ ထြက္ႏိုင္ပါတယ္)
.
Operating system ကို fingerprint လုပ္ႏိုင္မယ့္ နည္းလမ္း ႏွစ္ခု ရွိပါတယ္။ Passive (or) Active ပါ။ (လာျပန္ျပီ Active & passive လို႔ေတာ့ မထင္ပါနဲ႔ 😄 )
Active fingerprinting  မွာေတာ့ response ရဖို႔အတြက္ အထူးဖန္တီးထားတဲ့ packet ေတြကို ေပးပို႔ ပါတယ္။ response ျပန္ရျပီဆိုရင္ေတာ့ OS fingerprint ကို figure out လုပ္ႏိုင္ျပီျဖစ္ပါတယ္။ ျပီးေတာ့ ဒါဟာ passive ထက္လည္း ပိုမို တိက် မွန္ကန္ေစပါတယ္။
Passive fingerprinting မွာေတာ့ packet ကို sniff လုပ္ဖို႔ ႀကိဳးစားရမွာျဖစ္ျပီး OS နဲ႔ သူ႔ရဲ႕ version ကို ခန္႔မွန္းရမွာျဖစ္ပါတယ္။  passive fingerprinting က active ေလာက္ accurate မျဖစ္ေပမယ့္ သူ႔ရဲ႕ အားသာခ်က္ကေတာ့ intrusion detection system (ကာကြယ္ေရးစနစ္) ေတြကေန မသိရွိေအာင္ လုပ္ေဆာင္ႏိုင္ျခင္းျဖစ္ပါတယ္။ Active နဲ႔ လုပ္ေဆာင္မယ္ဆိုရင္ေတာ့ logs ထဲမွာ က်န္ေနခဲ့မွာျဖစ္ပါတယ္။ (ကြ်န္ေတာ္သိသေလာက္ေတာ့ system log ေတြကို ျပန္လည္စစ္ေဆးျခင္းလည္း အေတာ္ အားနည္းပါေသးတယ္။ system administrator ေတြ သတိထားေစခ်င္လို႔ပါ။)
.
ဒီအဆင့္ျပီးျပီဆိုပါေတာ့။ ေနာက္တစ္ဆင့္ လုပ္ေဆာင္ရမွာက Telnet တို႔၊ netcat တို႔လို tool ေတြကို သံုးျပီး banner grab ျပဳလုပ္ႏိုင္ပါတယ္။ ဘယ္ service ေတြ ဘယ္ port ေတြဆိုတာကို အဓိက သိရွိဖို႔လိုအပ္ျပီး အဲသည္အခ်က္အလက္ေတြေပၚမွာ attack ေတြကို launch လုပ္ႏိုင္ဖို႔ ႀကိဳးစားရမွာျဖစ္ပါတယ္။
.
အဲလိုလုပ္ေဆာင္ႏိုင္ဖို႔အတြက္ေတာ့ ကြ်န္ေတာ္တို႔မွာ default information နဲ႔ system behavior ေတြကို သိရွိနားလည္ဖို႔လည္း လိုအပ္ပါတယ္။ ဥပမာအေနနဲ႔ port 80 ပြင့္ေနတယ္ဆိုရင္ IIS 6.0 running လုပ္ေနတယ္ဆိုတာမ်ိဳး၊ port 25 ပြင့္ေနတယ္ဆိုရင္ Linux system running  လုပ္ေနတယ္ဆိုတာမ်ိဳးပါ။ ဒါေပမယ့္ ဒါဟာ ထင္ျမင္ယူဆခ်က္မ်ိဳးသာ ျဖစ္ျပီး လက္ေတြ႔မွာ ကြဲလြဲမႈလည္း ရွိေနႏိုင္တာကို သတိထားရပါမယ္။
Nmap, Superscan တို႔လို tool ေတြကို အသံုးျပဳျပီး open port  ေတြနဲ႔ ဆက္ႏြယ္ပတ္သက္တဲ့ service ေတြကို သိရွိေအာင္ ႀကိဳးစားႏိုင္ပါေသးတယ္။
.
ရရွိလာတဲ့ information ေတြကို အသံုးျပဳျပီး Target ရဲ႕ network ကို mapping ျပဳလုပ္ႏိုင္ပါတယ္။ ခုေဆြးေႏြးခဲ့တာေတြက အပိုင္း ၁ မွာ ေဆြးေႏြးခဲ့တဲ့ 7 steps ကို အက်ယ္ ျပန္ေဆြးေႏြးရံုသာ ရွိပါေသးတယ္။ အဆင့္ ၇ ဆင့္ကိုေရာ မွတ္မိၾကေသးလားဗ်။
  1. gathering initial information
  2. determining network range
  3. identifying active machines
  4. finding open ports and access points
  5. OS fingerprinting
  6. fingerprinting services
  7. mapping the network စတာေတြ ျဖစ္ပါတယ္။
အထက္ပါ အဆင့္ ၇ ဆင့္မွာ ၁ နဲ႔ ၂ ကို Passive footprinting လို႔ ေခၚဆိုပါတယ္။ 3,4,5,6 တို႔ကိုေတာ့ Active Footprinting လို႔ ေခၚဆိုပါတယ္။ ေနာက္ဆံုးအခ်က္ ၇ ကိုေတာ့ enumeration လို႔ ေခၚဆိုပါတယ္ခင္ဗ်။
ဒီေတာ့ 7steps အားလံုးကို information gathering လို႔ ေခၚတယ္။ Footprinting မွာက်ေတာ့ Active & Passive ဆိုတာရွိျပီး ႏွစ္ခုေပါင္းမွ ၆ ဆင့္သာပါဝင္ပါတယ္။ Footprinting မွာ enumeration ဆိုတာ မပါဝင္ေသးပါဘူး။ ဒါေၾကာင့္ Information Gathering = Footprinting + Enumeration လို႔ ရရွိမွာျဖစ္ပါတယ္။ (စာေမးပြဲေျဖလိုသူေတြအတြက္ေတာ့ မတူတဲ့အခ်က္ေတြကို ဂရုျပဳ မွတ္သားထားဖို႔ လိုအပ္ပါတယ္)
.
Knowledge Check
1. What are the three major groupings you can have in information gathering?
A. ​Passive footprinting
​B. ​Active footprinting/Scanning
​C. ​Enumeration
D. ​Footprinting


2. What information is gathered during passive footprinting?
A. ​Initial information about the organization is collated. Kind ​of business it does, organization, partners, people, etc.
B. ​WHOIS database queried to get the network IP addresses
​C. ​Network and systems are scanned to collect information about ​networks and ports
D. ​Use banner grabbing to know the services running
အေျဖေတြကို အရင္မၾကည့္ခင္ အထက္ပါ ေမးခြန္းနဲ႔ အေျဖေတြထဲကေန အရင္ဆံုး စဥ္းစားပါဦးဗ်။
အေျဖေတြကို ေအာက္မွာ ၾကည့္ႏိုင္ပါတယ္။
1. What are the three major groupings you can have in information gathering?
A. ​Passive footprinting
​B. ​Active footprinting/Scanning
​C. ​Enumeration
D. ​Footprinting
Answer: A, B, and C
The first two steps in information gathering is otherwise known as passive footprinting, and the next four steps are otherwise known as active footprinting or scanning. Enumeration is, the third group, where you prepare the security map of the target network.
We have classified footprinting into two categories based on how it is used.

2. What information is gathered during passive footprinting?
A. ​Initial information about the organization is collated. Kind ​of business it does, organization, partners, people, etc.
B. ​WHOIS database queried to get the network IP addresses
​C. ​Network and systems are scanned to collect information about ​networks and ports
D. ​Use banner grabbing to know the services running
Answer: A, B
You can gather initial information about the organization. 
It could be about the organization structure, it could be on the nature of business, or the key contacts.
WHOIS database is queried to get the IP address range, operating system, etc. You will not be detected in either of these cases Network and system are not scanned during the passive footprinting stage, nor will banner grabbing be used. These are considered active footprinting.
သက္ဆိုင္တဲ့ မူရင္းေမးခြန္းနဲ႔ မူလအေျဖေတြပါ။ ဘာတစ္ခုမွ ေျပာင္းမထားဘဲ ျပန္မွ်ေဝေပးလိုက္ပါတယ္ခင္ဗ်ာ။
.
ဒီေန႔ေတာ့ ဒီေလာက္ေလးနဲ႔ ရပ္နားပါရေစဦးဗ်ာ။ ေနာက္ေန႔ ေဆာင္းပါးမွာ Footprinting Hierarchy ကို ဆက္ျပီး ေဆြးေႏြးေပးသြားပါ့မယ္ခင္ဗ်ာ
.
အပိုင္း ၃ ဖတ္ရန္ ဒီေနရာကို ႏွိပ္ပါ



⇶⇶⇶⇶⇶ ဒီ website ေလးမွာ တင္ထားတဲ့ အေၾကာင္းအရာေတြကို ေရြးခ်ယ္ၾကည့္ရႈရန္ ဒီေနရာကို ႏွိပ္ပါ ⬱⬱⬱⬱⬱⬱⬱




အားလံုး အဆင္ေျပ ေပ်ာ္ရႊင္ၾကပါေစခင္ဗ်ာ


Khit Minnyo


0 comments:

Post a Comment