Social engineering με το Maltego

Οι πλατφόρμες για pen-testing διαθέτουν δεκάδες εργαλεία που αξιοποιούν τις ευπάθειες των δικτυακών πρωτοκόλλων και υπηρεσιών. Λογικό, θα σκεφτεί κανείς. Ποιες άλλες αδυναμίες θα μπορούσαν να αξιοποιούν, δηλαδή; Εκείνες που απορρέουν από την αφέλεια ή την άγνοια του εκάστοτε χρήστη, ίσως; Ακριβώς. Υπάρχει μια πλατφόρμα που κάνει ακριβώς αυτό: Περιλαμβάνει εργαλεία για την εύκολη περισυλλογή προσωπικών δεδομένων, τα οποία θα μπορούσαν να αξιοποιηθούν σε επιθέσεις social engineering!

Maltego thumb

Η καθημερινότητα ενός pen-tester, είτε πρόκειται για επαγγελματία είτε για απλό χομπίστα, περιλαμβάνει την αδιάκοπη αναζήτηση –γνωστών και μη– ευπαθειών στα συστήματα που μας περιβάλλουν. Τις περισσότερες φορές, βέβαια, πρόκειται για γνωστές ευπάθειες που ξεφυτρώνουν διαρκώς, αν κι έχουν μελετηθεί σε βάθος προ πολλού. Έτσι, η δουλειά του pen-tester περιλαμβάνει την επανάληψη αρκετών χρονοβόρων εργασιών, που τσεκάρουν την ύπαρξη “κλασικών” ευπαθειών. Ακριβώς γι’ αυτό το λόγο υπάρχουν πλατφόρμες όπως το γνωστό (κι αγαπημένο μας) Metasploit, που αυτοματοποιούν όλο το ανιαρό κομμάτι της δουλειάς. Σε αυτό το άρθρο θα ασχοληθούμε με μια πλατφόρμα του είδους, η οποία ωστόσο δεν αφορά στις ευπάθειες με τις οποίες συνήθως ασχολούμαστε. Ο λόγος γίνεται για το Maltego, που ενσωματώνει ένα σύνολο ισχυρών εργαλείων για τον εντοπισμό εν δυνάμει χρήσιμων πληροφοριών.

Τo Maltego χρησιμοποιεί τη μέθοδο OSINT (Open-Source Intelligence) και συλλέγει πληροφορίες που βρίσκονται διάσπαρτες σε κοινωνικά δίκτυα ή και σε άλλες δικτυακές υπηρεσίες. Αναφερόμαστε σε προσωπικά δεδομένα που δημοσιεύτηκαν είτε από αφέλεια είτε ακούσια, όπως, είναι οι λογαριασμοί email, τα URL, οι “φίλοι” στα κοινωνικά δίκτυα και τα αρχεία (εικόνες, τραγούδια, βίντεο κ.λπ.) που έχει προσπελάσει κάποιος χρήστης. Στα δεδομένα που συλλέγει το Maltego μπορούμε να προσθέσουμε και δικές μας εγγραφές, με στοιχεία που γνωρίζουμε ήδη για το χρήστη-στόχο. Όλα αυτά τα δεδομένα παρουσιάζονται με έναν εξαιρετικά έξυπνο τρόπο, που μας επιτρέπει να διαχειριστούμε το μεγάλο τους όγκο. Το Maltego ενσωματώνει κι ένα εργαλείο που επιτρέπει σε απομακρυσμένους χρήστες να ανταλλάσσουν τα στοιχεία που έχουν συγκεντρώσει. Επιπρόσθετα, επιτρέπει τη συνεργασία σε πραγματικό χρόνο, μέσω του πρωτοκόλλου XMPP.

Πίσω από το Maltego βρίσκεται η εταιρία Paterva, η οποία έχει δημιουργήσει δύο εκδοχές της πλατφόρμας: Την εμπορική, που προορίζεται για χρήση στα εταιρικά δίκτυα μεγάλων επιχειρήσεων και συνοδεύεται από ένα τσουχτερό κόστος, όπως επίσης και την αποκαλούμενη Community, που διατίθεται δωρεάν για προσωπική χρήση. Σημειώστε ότι το Maltego είναι γραμμένο σε Java και μπορεί να τρέξει σε οποιοδήποτε σύστημα έχουμε εγκαταστήσει το JVM. Μπορείτε να κατεβάσετε τη δωρεάν εκδοχή της πλατφόρμας ή να χρησιμοποιήσετε το Kali Linux, στο οποίο βρίσκεται εγκατεστημένη εξ ορισμού. Εμείς κάναμε το δεύτερο.

Read the whole article at deltaHacker 038 (November 2014 issue).

deltaHacker magazine is completely digital (PDF format). Learn about the extraordinary prices of the subscrition packs, and purchase now  from the relevant form.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s