X

Actueel

16okt

To footprint or not to footprint?

Een collega van me had onlangs een stelling waar ik het niet helemaal mee eens ben. Hij is gedetacheerd mij een bedrijf wat een concurrent van ons een "internet scan" liet uitvoeren. De testers hadden de opdracht om te kijken wat ze van de systemen van de klant konden vinden op het internet, en wilden tussentijds verifiëren bij mijn collega of hun lijst met gevonden domeinnamen en IP adressen klopte. Mijn collega bestempelde dat als een teken van slecht werk, of wellicht een poging tot social engineering.

Ik ben geneigd om het voor onze concurrent op te nemen. Natuurlijk, als expliciet het doel is om footprinting te doen vanuit het perspectief van een kwaadwillende buiten de organisatie, dan snap ik dat tussentijds om feedback vragen daar niet bij hoort. Als echter het doel is om je internetkoppelvlakken zo goed mogelijk in kaart te brengen en vervolgens te testen op kwetsbaarheden, werk dan alsjeblieft samen!

Ik bespeur bij sommige mensen een bepaalde combinatie van nieuwsgierigheid en weerstand als het gaat om security testing. Het zijn vaak de meer technisch aangelegde mensen die wel eens willen zien wat een hacker kan vinden in een pure black box situatie, dus zelfs zonder een volledige scope omschrijving. Ik begrijp dat dat interessant is voor het aanvalsscenario waarin een vastberaden aanvaller geen andere voorkennis heeft dan de naam van de aan te vallen organisatie... en hij/zij slechts een paar dagen de tijd heeft voor een aanval. De werkelijkheid is dat de gemiddelde aanvaller meer dan een paar dagen ter beschikking heeft, of het helemaal niet specifiek op een organisatie voorzien heeft. Ik geloof dat je beter er van uit kan gaan dat kwaadwillenden uiteindelijk je systemen zullen vinden, dan dat je vertrouwt op security through obscurity.

Een goed voorbeeld van een situatie waarbij het inefficiënt is om als pentester footprinting te doen is een webserver in de Amazon cloud waarop een virtual host is geconfigureerd onder een domeinnaam die alleen intern wordt gebruikt. De gebruikelijke checks geven dan geen uitsluitsel over het bestaan van een mogelijke webapplicatie op die webserver:
- Als een aanvaller al het IP adres kan achterhalen van de virtuele server, staat in het whois record van dat IP adres niets over de "huurder" van de VPS.
- PTR records zijn optioneel, en kunnen slechts naar één domeinnaam verwijzen. Een reverse DNS query levert dus maximaal één nuttig resultaat op terwijl er potentieel duizenden virtual hosts per IP adres kunnen worden geconfigureerd.
- Zoeken naar SSL/TLS certificaten met matchende tekst via bijvoorbeeld https://censys.io/ levert alleen resultaten op als de betreffende virtual host al eens is geïndexeerd, en een SSL/TLS certificaat heeft.
- DNS zone transfers zijn bij de meeste standaardconfiguraties van DNS servers niet meer mogelijk.
- Subdomein brute forcing is haalbaar in korte tijd tot ongeveer 6 karakters.
- Bij voldoende discipline of bij lage interesse zal je geen links naar webapplicaties vinden op het internet.
- Bij professionele hosting partijen mag je een niveau van isolatie van virtuele omgevingen verwachten waarbij klanten elkaars domeinnamen niet kunnen zien in bestandsstructuren of logging.
- Banners van andere services horen geen ontoepasselijke domeinnamen te vermelden.
- Domain squatters en een wereldwijd gebrek aan inspiratie zorgen voor veel false positives bij het zoeken naar domeinnamen met alternatieve top-level domeinen.
(Als ik een techniek mis, laat het me alsjeblieft weten.)

Footprinting kan ontzettend leuk zijn om te doen, en heel nuttig om de dode hoek van je asset management bloot te leggen. Een goed ingerichte CMDB levert echter dezelfde informatie (zonder false positives en false negatives) als uren of dagen van footprinting. Als je begrijpt dat alle systemen die via het internet bereikbaar zijn uiteindelijk gevonden gaan worden door aanvallers, en als het tijdsverspilling is om zoekwerk uit te besteden, leg dan de nadruk op het inzichtelijk maken van de echte kwetsbaarheden. Werk dan samen met security testers en geef ze een volledig en up-to-date overzicht van IP adressen en bijbehorende domeinnamen of URL's.

Related

OWASP top 10

OWASP top 10

Soms krijgen we de vraag om een OWASP top 10 test te doen. Maar die test bestaat niet...

Read More >
Vest in tv-programma RTL Z How It's Done: Bekijk hier het fragment

Vest in tv-programma RTL Z How It's Done: Bekijk hier het fragment

Bekijk het How It's Done-fragment waarin Vest-oprichter en directeur Marc Hullegie aan het woord...

Read More >
Een datalek zit in een klein hoekje

Een datalek zit in een klein hoekje

De mogelijke effecten van het lekken van gevoelige gegevens kunnen inderdaad tegenwoordig flink verg...

Read More >
De CMDB voor persoonsgegevens

De CMDB voor persoonsgegevens

Eerder hebben we op onze website aandacht besteed aan het nut en de noodzaak van een CMDB. In het li...

Read More >
Eat, sleep, learn.... repeat

Eat, sleep, learn.... repeat

De “nieuwe” wet Algemene Verordening Gegevensbescherming bestaat al enige tijd en voor veel organi...

Read More >
Senior Security Consultant gezocht!

Senior Security Consultant gezocht!

Wil jij graag verschil maken en je passie voor security in je dagelijks werk uitvoeren? Wil jij same...

Read More >

Op de hoogte blijven van ons laatste nieuws?

Regelmatig delen onze Business Area Managers nieuws vanuit hun domein van expertise. Wilt u op de hoogte gehouden worden van deze nieuwsitems? Schrijf u dan nu in voor onze nieuwsbrief.