ในการทำ Auditing หรือการทดสอบระบบความปลอดภัยนั้น ขั้นตอนแรกที่ทุกคนจะต้องทำ (ในกรณีที่ไม่รู้ข้อมูลใดๆมาก่อนเลย) ก็คือ Information Gathering
Information Gathering คือการรวบรวมข้อมูลเกี่ยวกับเป้าหมายให้มากที่สุดเท่าที่จะมากได้ อย่างไรก็ดีข้อมูลที่รวบรวมหากเป็นไปได้ควรเลือกมานิดจะดีมาก เพราะมีหลายกรณีเหมือนกันที่เป้าหมายมีข้อมูลใน Public Website เยอะมาก เช่น ผู้ใช้ในองค์กรเล่นเน็ตกันเป็นอาชีพหลัก ทำงานเป็นอาชีพรอง ส่งข้อมูลจริงของตัวเองไปซะแทบจะทุกเว็บที่เล่น เช่น ตำแหน่งหน้าที่การงาน รายได้ นิสัยของหัวหน้า ตลอดจนอื่นๆที่ไม่อาจคาดคิดได้ ข้อมูลเหล่านี้มีประโยชน์มากในกรณีของ Social Engineering แต่หลายๆครั้งก็ไม่ใช่ข้อมูลที่สำคัญอะไรนัก
ในการ Auditing ของผมที่ผ่านมานั้น องค์กรหลายๆแห่งยังไม่มีความต้องการทดสอบในส่วน Social Engineer เพราะบุคคลากรของตนเองยังไม่มีความพร้อมมากพอ แต่ในโลกแห่งความเป็นจริงนั้น Social Engineer นี่ล่ะที่แฮกเกอร์หรือผู้ร้ายจะนำมาจัดการกับองค์กรของเราได้
ข้อมูลอีกอย่างที่สำคัญนั้นคงหนีไม่พ้น Operating System หรือ Application ที่ติดตั้งอยู่ เพราะเมื่อรู้แล้วก็จะทำการต่อไปได้ไม่ยาก การทำงานในส่วนนี้เราจะเรียกว่าการหา Fingerprint หรือรอยนิ้วมือของ OS นั่นเอง
ในกรณี Web Server เรามีวิธีการมากมายเลยที่จะดูว่า Web Server นี้ใช้ซอฟท์แวร์ใด วิธีง่ายที่สุดคงหนีไม่พ้นการ Sniff ข้อมูลและดูในส่วนของ HTTP Header ซึ่งก็จะมีรายละเอียดของ Application (IIS, Apache) รวมทั้ง OS (Windows, Linux, etc.) ส่งมาให้อย่างพร้อมเพรียง
แต่ปัจจุบันผู้ดูแลระบบหลายๆท่านได้ตัดฟิลด์ที่ว่านี้ใน HTTP Header ทิ้งไปเรียบร้อย แต่ก็ยังไม่พ้นการใช้เทคนิค OS Fingerprint จากซอฟท์แวร์ประเภท OS Detection อยู่ดีครับ เพราะซอฟท์แวร์ประเภทนี้จะตรวจสอบรายละเอียดที่มากกว่า HTTP Header เช่น การตรวจสอบในส่วนของ TCP/IP Paremeter ต่างๆ
อย่างไรก็ดีเรายังสามารถจะปลอม OS Fingerprint ของเราได้โดยการ Modify TPC/IP Parameter แต่ควรทำอย่างระมัดระวังเนื่องจากการเปลี่ยนแปลงในส่วนนี้อาจจะมีส่วนไปทำให้ Application มี Performance ต่ำลงไปครับ
Categories: Story