Doc. Ing. Arnošt Katolický, CSc

AKADEMIE MANAGEMENTU AKA-KONZULT

HOME

KONTAKT

Poradenství, vzdělávání a zpravodajství

SOUDNÍ ZNALEC

A K A   M O N I T O R


ČASOPISY
 

 

Návštěvnost
v měsíci
květnu 2006
249.023
přístupů

 

RECENZE

 

MAPA

 
aaa

K N I H Y - R E C E N Z E   2001 - 2006

 

Google HACKING
(Google Hacking for Pcnetratíon Testers)

Johnny Long
 


 

 
       Kniha Johnny Longa ukazuje všem pracovníkům, kteří jsou ve firmě zodpovědni za bezpečnost, podrobné postupy, jak mohou řádně ochránit své servery od mnohokrát přehlíženého a velmi nebezpečného druhu úniku informací.
       Autor knihy, Johnny Long, provedl aktivní síťové a fyzické ohodnocení bezpečnosti pro stovky vládních a komerčních klientů.  Jeho web – v současné době nejrozsáhlejší internetový depozitář hackerských technik – lze najít na adrese: http://johnny.ihackstuff.com.
       Struktura 450-ti stránkové knihy, plné rad, tipů, ukázek a příkladů, je následující:
1 -   Základy vyhledávání Googlem
2 -   Pokročilé operátory
3 -   Základy hackingu Googlem
4 -   Předběžná obhlídka
5 -   Mapování sítě
6 -   Pátrání po exploitech a nalézání cílů
7 -   Deset fukčních hledání týkajících se bezpečnosti
8 -   Vystopování webových serverů, přihlašovacích portálů, síťového hardwaru
9 -   Uživatelská jména, hesla a utajované informace
10 - Obrušování dokumentů, kutání v databázích
11 - Chráníme se před hackery Googlu
12 - Automatizace vyhledávání Googlem
Kniha obsahuje i dva dodatky, velmi cenné pro praxi
Dodatek A - Profesionální testování bezpečnosti
Dodatek B - Úvod do bezpečnosti webových aplikací
       Nebudu daleko od pravdy, když budu tipovat, že mnohý čtenář poté, co si prohlédne názvy kapitol a dodatků - zamíří ze všeho nejdříve do dodatku B, nazvaného  "Úvod do bezpečnosti webových aplikací ". K tomuto tvrzení mne opravňuje nejen název kapitoly, ale i dílčí osnova této části knihy:
- Co rozumíme bezpečností webových aplikací
- Unikátnosti ohledně bezpečností webové aplikace
- Zranitelnosti webové aplikace
- Meze hackingu vyhledávací enginou
- Informace a zranitelnosti v obsahu
- Hrajeme si s pakety
- Zranitelnosti v kódu webových aplikací
       Ve snaze o maximální možné přiblížení přístupu autora k danému tématu, využívám v recenzi kombinaci vlastních postřehů a hodnocení obsahu společně s volnou citací vybraných částí knihy
       Není pochyb o tom, že příchod Internetu (konkrétné jeho služby World Wide Web - WWW) způsobil revoluci ve způsobu sdílení informací. Toto komunikační médium, které představuje patrné největší technologickou inovaci od vynálezu knihtisku, uchovává "tlusté svazky" informací o prakticky každém předmětu, který si jenom dokážete vymyslet. A právě tato výhoda je současně jeho největší slabinou - informace jsou plně k dispozici, zbývá jeden detail - vyhledat je. V roce 2004, kdy vznikala kniha J. Longa, existovalo cca 54 miliónů webů a vyhledávací enginy se stávaly pro uživatele více a více nezbytnějšími. Na tom, jak kvalitně jsou naprogramovány, a na tom, jak s nimi uživatelé umí pracovat, záleží hodně. Záleží na tom to, zdali budou uživatelé vůbec schopni nalézt požadované informace.
       Téma knihy je velmi náročné. Čtenáři si proto budou vážit způsobu podání obsahu knihy. Pomocí při studiu knihy je přijatý standard vnitřní struktury kapitol. Každá kapitola začíná srozumitelným úvodem, specifikujícím cíl kapitoly. Na závěr každé kapitoly je uvedeno výstižné shrnutí podané látky, stručná rekapitulace hlavních poznatků, přehled odkazů na webové stránky s podpůrným obsahem a pečlivě vybrané a neméně pečlivě vysvětlené časté otázky.
       Pro přiblížení zvoleného přístupu k tématu uvádím výběr dílčích témat, která mne v knize nejvíce zaujala:
- Probádání webového rozhraní Google
- Zlatá pravidla při vyhledávání v Googlu
- Kolidující operátory a špatné techniky při hledání
- Pátráme po výpisech adresářů
- Prekérní situace: techniky traverzování
- Zásady pro dohled nad intranetem
- Metodologie mapování sítě
- Zacílení na síťová zařízení s webovým rozhraním
- Jak vypátráme veřejné weby s exploity
- Pátrání po zranitelných cílech
- Deset funkčních hledání týkajících se bezpečnosti
- Vystopování webových serverů. přihlašovacích portálů, síťového hardwaru
- Pátrání po přihlašovacích portálech
- Obrušování dokumentů, kutání v databázích
- Dobrá, solidní bezpečnostní politika
- Mechanismy pro ochranu hesel
- Automatické googlování podle Googlu
- Co jsou útočné knihovny Googlu
- Profesionální testování bezpečnosti, metodologie
- Zranitelnosti webové aplikace
- Jak uloupit sezení (session hijacking)
- Vykonání příkazu: injektáž SQL
- Odhalení schéma databáze
       Na webu jsou umístěny citlivé informace a Google je umí najít. Sotva existuje nějaká hranice ohraničující skupinu informací, které lze vypátrat - bývá to jen otázka nalezení správného dotazu. Na Internetu je vše - uživatelská jména, různá hesla, čísla kreditních karet a sociálního pojištění nebo informace o finanční situaci konkrétního jednotlivce.
       Profesionální testování bezpečnosti si žádá metodologii. Nejčastěji používanou metodologií je Open Source Security Testing Methodology Manuál od ISECOM, ve které se promítá dobrovolné úsilí tisíců lidí z mnoha zemí. Manuál poskytuje výsledky ve třech ohledech: jako provozní bezpečnost (operational securitý), preventivní prvky proti ztrátám (loss controls), a skutečná bezpečnost (actual security), což je aktuální stav provozní bezpečnosti a účinnosti preventivních prvků proti ztrátám.
       Hacking pomocí vyhledávací enginy byl poprvé zdokumentován Símplem Nomadem ke konci roku 1997, který publikoval několik prací o tom, jak používat v té dobé nejoblíbenější vyhledávací server (AltaVista). Přestože se od této doby používané vyhledávací enginy změnily, jejich používání za účelem nalezení bezpečnostních chyb ve webech je stále námětem na román, "protože Google proleze všechno" - v dobrém i zlém smyslu. Pokud umíme zformulovat dotaz na nějakou konkrétní bezpečnostní chybu, je dost velká šance, že ji Google dokáže najít ve své databázi.
       I ti nejpokročilejší uživatelé Googlu, které název knihy především připoutá,  se při většině svých každodenních dotazů stále spoléhají na webové rozhraní Googlu. Výklad je přesto zahájen charakteristikou základů vyhledávání Googlem a to včetně popisu různých parametrů vyhledávací URL Googlu. Přínosem pro každého náročnějšího uživatele je seznam několika populárních vyhledávacích nástrojů Googlu. Výklad pokračuje uvedením základních pravidel pro práci s pokročilými operátory, včetně několika ukázek platných dotazů.
       Rozsáhlou část knihy věnuje autor technikám, které budou používat "zlobiví hoši", aby vypátrali citlivé informace. Předvádí je proto, aby "bezpečáci" byli lépe informováni o jejich motivech, a mohli tak lépe ochránit sami sebe a možná i své zákazníky.
       Následuje podrobné pojednání věnované archivu Googlu a výpisům adresářů. Tuto část problematiky autor uzavírá přiblížením techniky, která začala být známá pod názvem traversing (traverzováni).  Jde o traverzování po adresářích, expanzi při hledání čísel  a lovení přípon (extension trolling), což jsou všechno techniky, které autor považuje za druhou přirozenost každého "slušného hackera - i hodných hochů, kteří se proti nim brání."  Některé techniky traverzování se dají využít při skutečném napadání serverů, protože mohou útočníkovi otevřít bránu k průniku na příslušný server.  V následující části se kniha věnuje technice shromažďování informací za účelem předběžné obhlídky, formálněji předběžného ohodnocení (pre-assessment).  Pokračuje diskuzí o způsobech, jimiž může Google vypomoci ve fázi prozkoumávání sítě při externí obhlídce naslepo. Je to významná dovednost pro každého auditora. Jsou uváděny konkrétní způsoby, jimiž může Google s procesem objevování vypomoci. Výklad vede dále na způsoby, jak lze přes Google objevit a exploitovat různá síťová zařízení s webovým rozhraním. Pokračuje prozkoumáváním metod, jimiž se pátrá po kódu nástrojů exploit, a po potenciálně zranitelných cílech. Autor upozorňuje na chyby, kterých se dopouštějí pen-testéři, neboli "bezpečáci" , kteří se často považují za hackery-profesionály, protože se de facto vloupávají do sítí svých zákazníků, když se pokoušejí vypátrat, zdokumentovat a nakonec pomoci opravit chyby v bezpečnosti nějakého systému nebo sítě. Vysvětluje v čem se pen-testéři od hackerú (v mnoha ohledech) liší. Jsou popisovány techniky, které se každodenně používají při propátrávání a prozkoumávání systémů a sítí připojených k Internetu. Autor se věnuje podrobné charakteristice toho, jak se tyto techniky používají. Činí tak s cílem usnadnit pochopení toho, co vše je "obnaženo" (co se prozrazuje), a jak řádně a co nejlépe všechny takové informace schovat (zabránit prozrazení).
       Techniky, které jsou prozkoumány, se používají k pátrání po front-end systémech na síti připojené k internetu a k jejich následné analýze. Uvádí se způsoby, jakými může útočník získat profil webového serveru pomocí zdánlivě nevýznamných záchytných bodů, které najde pomocí dotazů Googlu. Výklad pokračuje přehledem metod, jimiž se pátrá po přihlašovacích portálech, což jsou doslova vstupní dveře do většiny webů. Tato část knihy je uzavřena ukázkou technik, jimiž se dají vypátrat všemožná síťová zařízení - firewally, routery, síťové tiskárny, a dokonce i webové kamery! Nechybí pozornost vybraným dotazům, které se dají použít pro odkrytí uživatelských jmen, dotazům, které byly navrženy tak, aby zobrazily hesla, odhalily zašifrovaná nebo zakódovaná hesla, dotazy, které umějí odhalit hesla existující v podobě čistého textu, atd. 
       Za centrální téma knihy považuji kapitolu 11, nazvanou "Chráníme se před hackery Googlu". Autor volí způsob výkladu, díky kterému  přesně ukazuje, co všechno může útočník vybavený vyhledávacím systémem typu Google dokázat.  Uvádí zcela konkrétně, jak zabránit danému typu úniku informací, nebo jak ochránit  web zákazníka před útoky tohoto druhu.
Význam této části výkladu vyjadřuje i dílčí osnova kapitoly:
- Dobrá, solidní bezpečnostní politika
- Ochranná opatření webového serveru
- Hackněte svůj vlastní web
- Získávání nápovědy z Googlu
       Podobně jako je tomu téměř u všech ostatních odvétvi s vysokou technologickou úrovní, i odvětví "bezpečností informací" si postupné osvojuje používání vyspělých algoritmů, pomocí kterých je možné nalézt požadované informace. Expertní systémy, umělá inteligence, dynamické aplikace založené na databázích, profilace - to jsou jenom čtyři z mnoha iniciativ, které v současné době popohánějí bezpečnostní aplikace na vyšší úroveň automatizovaných výpočtů. Významnou část knihy proto tvoří kapitola 12 , pojednávající o "Automatizaci vyhledávání Googlem". Součástí této části knihy je výklad na téma, (které bude soustem zejména pro zkušené programátory),  jak vytvářet "korektní" automatizované skenovací aplikace, přístup tvorby aplikace pro page-scraping z perspektivy "způsobného hackera".
       Dodatek A , nazvaný "Profesionální testování bezpečnosti" mne zaujal hned z několika hledisek. Jde především o zajímavý přístup k obsahu v této části knihy, svědčící o pestrosti motivů vedoucích k pozornosti tématu knihy. Nejlépe to objasní citát:
"Někdy vyhráváte, někdy prohráváte, jindy vám jde pouze o to, abyste si dobře zahráli. Testování bezpečnosti je právě o tom posledním - dobře si zahrát.  Aniž bychom si vypůjčovali příliš mnoho ze sportu, je opravdu hlavní se zúčastnit a být přitom. Jde o tu chvíli, kdy se vám data sama odhalují, projíždíte jimi snadněji než horký nůž máslem - všechny systémy se před vámi uctivě klaní, jako byste přicházeli po červeném koberci vyhrazeném pro státní návštěvy. A když se začnete potulovat, všude tam, kam se podíváte, se před vámi otevírají dveře dokořán. A až doplachtíte do cíle a ohlédnete se zpět, pak uvidíte, jak budou veškeré slabiny celého stávajícího zabezpečení před vámi jasně svítit, perfektně strukturované a uspořádané, jako rozsvícená okna mrakodrapu po setmění. "
       Úplné spektrum zranitelností webových aplikací je vskutku velmi široké a teprve v posledních letech se mu dostává takové pozornosti, jaké si zaslouží. Když nejsou řádně zabezpečené webové aplikace, je bezpečnost webového serveru či sítě vzhledem k webům irelevantní, protože aplikace samotná tuto hranici rozšiřuje.     
       Na závěr informací o obsahu knihy uvádím upravený citát z knihy.
Autor čtenářům z řad těch, kteří mají pečovat o bezpečnost webového obsahu, vzkazuje:
a) Měli byste dobře porozumět tomu, jak bude server webového softwaru fungovat, pokud se vyskytne nějaká neočekávaná událost. Výpisy adresářů, chybějící indexové soubory, či specifické chybové zprávy - to může všem otevírat dveře dokořán pro shromažďování informací pro potřeby pozdějšího útoku.
b) Abyste udrželi webové roboty stranou od konkrétních oblastí vašeho webu, mohou vám v tom pomoci soubory robots.txt, jednoduché ověřování totožnosti pomocí hesla a efektivní práce se značkami META.
c) Přestože se data na webu všeobecně považují za veřejná, pamatujte si, že váš web může vzbudit nežádoucí pozornost hackerů Googlu, jestliže se objeví ve výsledcích nějakého všeobecného hackerského hledání.
d) Jako ukazatele toho, že v pozadí webu je nízká úroveň odborného know-how, mohou posloužit výchozí stránky, adresáře a programy. Právě na servery, které obsahují tyto typy výchozích informací, se hackeři zaměřují.
e) Dejte si práci s tím, abyste zjistili, co přesné potřebuje vyhledávací server vědět o vašem webu, aby vás uživatelé internetu mohli najít, aniž by tím vaše stránka přitahovala nežádoucí pozornost nebo vystavovala příliš mnoho. Možné úniky informací z vašeho webu při hledání Googlu prověřte různými dostupnými nástroji, jako jsou Gooscan, Athéna, Wikto či SiteDigger.
f) Vypátráte-li nějakou stránku, která by neměla být veřejně dostupná, vyhoďte ji z databáze Googlu pomocí odstraňovačích nástrojů Googlu.
       Téma bezpečnosti webového serveru je příliš rozsáhlé na to, aby se vešlo do jediné knihy.  Existuje příliš mnoho různých požadavků, navíc v kombinaci s mnoha různými typy softwaru webového serveru, aplikačního softwaru a softwaru operačního systému.  Několik všeobecných principů, uvedených v knize, by mělo pomoci, aby se zabránilo devastujícím účinkům, které by mohl zasadit webu, jehož ochranou jste byli pověřeni, hacker Googlu se zlými úmysly.
Ve snaze o zajištění bezpečí svých serverů nejsme osamoceni. Google provozuje skvělou webovou stránku, která pomáhá se zodpovězením některých nejčastěji kladených otázek z hlediska webmastera. Tato stránka pojmenovaná jako "Google Information for Webmasters" je umístěna na webové adrese www.google.com/webmasters.
       Podle data podpisu předmluvy ke knize ( listopad 2004) je zřejmé, že Google od té doby prošel řadou vývojových změn. Přesto se domnívám, že kniha J. Longa, která vyšla v českém překladu v roce 2005, neztratila příliš na svém významu. Určitě by se našla místa, která by měla být doplněna nebo upravena. Základní smysl však kniha neztratila.  Účelem knihy je pomoci pochopit taktické manévry, které by mohl proti nám podnikat hacker Googlu, abychom mohli sebe i své zákazníky ochránit před často zdánlivě neškodnou hrozbou.
       Autor určitě počítal s tím, že jeho kniha může být považována za návod pro "zlé hochy", jak je v knize J. Long nazývá. Položme si však otázku: jak jinak mohl autor upozornit ochránce severů na metody a techniky škůdců, než tak, že o jejich metodách napsal?.
Když jsem dokončil první čtení knihy, měl jsem chuť svoji recenzi na knihu "Google Hacking" nazvat "Kupte si knihu a pojďte se se mnou bát!".  Obrana proti "zlým hochům" není a nikdy nebude snadnou, ale pokud nás povedou v boji proti nim zkušenosti autora typu J. Longa, máme šanci.  Proto si myslím, že jde o knihu velmi užitečnou
     
Doc. Ing. Arnošt Katolický, CSc.
Doc.aka@akamonitor.cz

10. června 2006.
 

ROZCESTNÍK WEBLOGÚ AKA
 
ZDE

 

Odkaz na "INTERNET pro ekonomy"
www.akamonitor.cz/iproek/

 

Seriál článků na téma management znalostí

 

 

 

   Webmaster: doc.aka@akamonitor.cz - KONTAKT - 728-218877