Dnes vám ukážu techniky používané ke shromažďování informací z cíle v síti, budete moci ověřit, že jsou informace dostupné všem a že mnoho společností a lidí usnadňuje práci tím, že nejsou opatrní. V tomto tutoriálu si tedy povíme stopa Y otisky prstů, tyto techniky se používají před provedením útoku.
PoznámkaJediným cílem tutoriálu je, abyste věděli, co lze získat z internetu, a abyste zkontrolovali svá data a mohli je skrýt.
1. Stopy
Je právní technika, pomocí kterého jde o získání všech možných informací o systému, o síti nebo cílovém uživateli. Za tímto účelem si můžeme pomoci se všemi veřejnými informacemi, které existují, s dokumenty, které mají metadata, sociální sítě, média atd. Tato sbírka informací je v poslední době známá jako OSINT.
Hledat informace můžeme
- Používání vyhledávačů, pokročilé vyhledávání na Googlu (Google hacking) nebo používání shodan, což je konkrétnější vyhledávač.
- Pomocí nástrojů můžete vyhledávat metadata, můžete se podívat na Foca.
- Získejte informace z domény, stránka, která pomáhá, je dnsstuff.
- Rozhraní API sociálních médií, která umožňují automatizaci shromažďování.
Uveďme příklad s vyhledávači:
Pomocí google můžeme zjistit, že stránka obsahuje soubory password.txt, a proto hledáme:
intitle: ”rejstřík” “Rejstřík /” heslo.txt
Co obsahuje fotografie, můžeme vidět, jak existují osobní fotografie, společnosti atd. K tomu hledáme:
index.of.dcim
Existuje mnoho dalších možností, to jsou jen 2 příklady, a pokud hledáme shodan pro slovo webová kamera, najdeme dostupné kamery, které může vidět kdokoli, jsou samozřejmě také dobře pojištěni.
ZVĚTŠIT
Pokud jde o metadata, jsou to také veřejné informace nalezené v dokumentech, fotografiích, … proto tyto věci, které jsou zveřejněny bez ochrany, mohou pomoci vědět, kde žijete, kde pracujete, vaše jméno atd. Můžete se podívat na tento návod, kde mluvím o získávání informací na fotografiích.
Některé nástroje, které by vás mohly zajímat
- Maltego
- GooScan
- Metagoofil
Zde ukončujeme vyhledávání veřejných a právních informací.
2. Otisky prstů
Tato technika sPoužívá se ke shromažďování konkrétnějších informací a není veřejný, takže to už lze považovat za zločin. Tyto informace mohou být stav portu, existující chyby zabezpečení, verze softwaru, operační systém atd.
Můžeme použít následující techniky
PhishingTechnika, která si hraje s pravděpodobností, spolehlivé informace jsou odesílány hromadně a požadují požadované informace (obvykle se to provádí e -mailem). Další informace naleznete v následujícím článku.
Sociální inženýrstvíK získávání informací se používají sociální dovednosti a psychologické techniky, obvykle se to provádí na neškoleném personálu nebo nespokojených lidech. Existují pasivní techniky, jako je pouhé pozorování, a aktivní techniky (které mohou být tváří v tvář, například prohledávání odpadků (ne vše musí být online), a nikoli tváří v tvář, telefonicky nebo e-mailem ). Jeden z nejslavnějších hackerů byl skutečným specialistou v této oblasti: Kevin Mitnick.
ČicháníTato technika nám umožňuje zachytit provoz, který koluje sítí, ne vždy má škodlivé účely. K provedení tohoto úkolu existují nástroje: Wirehark, ettercap …
SnímáníZde jde o získání informací o otevřených portech (můžete použít Nmap) nebo zranitelnostech (dobrým nástrojem je Nessus).
Vidíme, že existuje mnoho technik pro shromažďování neveřejných informací, musíme to zkomplikovat, protože až budou mít všechny informace a znají zranitelnosti, které máme, dalším krokem bude útok.
Doufám, že tímto tutoriálem pochopíte, že citlivé informace nemusí být veřejné nebo snadno dostupné pro kohokoli, kdo je chce konzultovat, pokud se jedná o informace od společnosti, může upřednostňovat konkurenci, pokud jde o osobní údaje, může vás negativně ovlivnit . Dnes jsou informace velmi silné, takže od nynějška (pokud si nejste vědomi) své informace chráníte a ne je prozrazujete.
Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod