Pillole di #penetrationtest

theHarvester è il più noto strumento automatico open source per realizzare semplicemente, ma efficacemente, la fase di information gathering, ed in particolare la Open Source Intelligence (OSINT) Gathering.

Questo strumento aiuta nella ricerca da fonti aperte di email, nomi di persone, sottodomini, indirizzi IP e URL, che caratterizzano la esposizione della azienda oggetto di penetration test su Internet (la sua "superficie di attacco non tecnica").

theHarvester arriva installato in Kali abile ad eseguire ricerche su motori di ricerca esclusivamente "aperti" (vedi google, duckduckgo, ecc).

Ma theHarvester supporta oltre 30 motori di ricerca, alcuni dei quali prevedono una chiave di accesso alla loro API, chiave di accesso che si ottiene solo previa registrazione.

Molti di questi motori "con chiave" possono essere in realtà ricchi di informazioni utili; sono: www.bing.com, www.github.com, www.hunter.io, www.intelx.io, https://pentest-tools.com, www.securitytrails.com, www.shodanhq.com, https://spyse.com.

La distro Kali (bontà sua) pre-registra una sola chiave per intelx, ma gli altri rimangono assolutamente non utilizzati fino a che non si provveda a registrare un proprio account su tali motori, acquisendone una chiave da porre nel file /etc/theHarvester/api-keys.yaml, semplicemente compiandola dopo la parola chiave "key:" corrispondente al motore di ricerca.

Pillole di #penetrationtest

Molti sono stati gli attacchi sviluppati contro il protocollo SSL e il suo successore TLS; ricordiamo LOGJAM,FREAK,BEAST,SWEET32,POODLE,Heartbleed e altri ancora.

Tutti sono stati a vario titolo orientati contro il sistema crittografico.
In ogni caso, il problema non è come questo sia stato possibile, ma come questo sia evitabile.

Molti di questi attacchi sono possibili, ovvero possono essere evitati, semplicemente attraverso la configurazione del servizio che utilizzi SSL/TLS.

Per difendere un servizio è sufficiente utilizzare solo protocollo e crittografia non (ancora) violate.

Verificare questa configurazione è un nostro compito come pentester.

Possiamo agilmente verificare la configurazione di un servizio utilizzande SSL/TLS mediante uno script di nmap per la verifica della cipher suite (l'insieme degli algoritmi crittografici disponibili e selezionabili durante la contrattazione client/server).

Lo script è "ssl-enum-ciphers" ed è attivabile semplicemente e puntualmente (sul servizio e host specifico) mediante:

nmap -v -p 443 --script ssl-enum-ciphers mio.dominio.net

Pillole di #penetrationtest

Molti che utilizzano nmap, quando pensano all'host discovery, pensando ad un traffico ICMP.

Attenendosi al manuale, altri sanno inoltre che ICMP viene integrato con TCP SYN alla porta 443 e TCP ACK alla porta 80 per sopperire all'eventuale negazione del traffico ICMP da parte di sistemi di difesa.

Tutto giusto, tranne il fatto che questo comportamento di "default" di nmap (ossia senza opzioni specificate) non è quello che nmap compie realmente in una rete locale: sebbene posto nel mezzo di un più ampio discorso, il manuale indica invero qualcosa di più, ma che spesso sfugge l'attenzione del lettore.

All'interno di una rete locale, per scelta di efficienza, nmap applica di "default" l'ARP/Neighbor Discovery, ossia usa il solo protocollo ARP (richiede chi possiede il dato IP, e la risposta ARP gli è più che sufficiente): questo indipendentemente da quale opzione -P* si espliciti per scegliere una tipologia di traffico ICMP.

Unico modo per generare un "ping sweep" (ICMP) in rete locale con nmap è applicare l'opzione --disable-arp-ping (inversa della -PR che è dunque il vero default in una rete locale).