OS Fingerprint หรือระบบเราจะมีรอยนิ้วมือ

ห่างหายไปนานมาครั้งนี้แวะเอาเรื่อง Security มาฝากกันครับ

.

ในการทำ Auditing หรือการทดสอบระบบโดยการลองแฮกเข้าไปนั้น ขั้นตอนแรกที่ทุกคนจะต้องทำ (ในกรณีที่ไม่รู้ข้อมูลใดๆมาก่อนเลย) ก็คือ Information Gathering

Information Gathering คือการรวบรวมข้อมูลเกี่ยวกับเป้าหมายให้มากที่สุดเท่าที่จะมากได้ อย่างไรก็ดีข้อมูลที่รวบรวมหากเป็นไปได้ควรเลือกมานิดจะดีมาก เพราะมีหลายกรณีเหมือนกันที่เป้าหมายมีข้อมูลใน Public Website เยอะมาก เช่น ผู้ใช้ในองค์กรเล่นเน็ตกระจาย เอาเมลองค์กรไปใช้ซะทุกเว็บที่ตนเข้า ข้อมูลเหล่านี้แม้จะมีประโยชน์มากในกรณีที่จะต้องทำ Social Engineering แต่ปัจจุบันคงต้องยอมรับกันตรงๆว่าองค์กรหลายๆแห่งยังไม่มีความต้องการทดสอบในส่วน Social Engineering เท่าใดนัก ดังนั้นความพยายามในการรวบรวมข้อมูลส่วนนี้ที่มากจนเกินไปอาจจะก่อให้เกิดการเสียเวลาได้เหมือนกัน

นอกจากข้อมูลประเภท DNS Record, IP Block แล้วอีกสิ่งหนึ่งที่ควรจะหามาให้ได้นั้นคงหนีไม่พ้น Operating System หรือ Application ที่ติดตั้งอยู่ เพราะเมื่อรู้แล้วก็จะทำการต่อไปได้ไม่ยาก การทำงานในส่วนนี้เราจะเรียกว่าการหา Fingerprint หรือรอยนิ้วมือของ OS นั่นเอง

ในกรณี Web Server เรามีวิธีการมากมายเลยที่จะดูว่า Web Server นี้ใช้ซอฟท์แวร์ใด วิธีง่ายที่สุดคงหนีไม่พ้นการ Sniff ข้อมูลและดูในส่วนของ HTTP Header ซึ่งก็จะมีรายละเอียดของ Application (IIS, Apache) รวมทั้ง OS (Windows, Linux, etc.) ส่งมาให้พร้อมศัพท์

แต่ปัจจุบันผู้ดูแลระบบหลายๆท่านได้ตัดฟิลด์ที่ว่านี้ใน HTTP Header ทิ้งไปเรียบร้อย แต่ก็ยังไม่พ้นการใช้เทคนิค OS Fingerprint จากซอฟท์แวร์ประเภท OS Detection อยู่ดีครับ เพราะซอฟท์แวร์ประเภทนี้จะตรวจสอบรายละเอียดที่มากกว่า HTTP Header เช่น การตรวจสอบในส่วนของ TCP/IP Paremeter ต่างๆ

อย่างไรก็ดีเรายังสามารถจะปลอม OS Fingerprint ของเราได้โดยการ Modify TPC/IP Parameter แต่ควรทำอย่างระมัดระวังเนื่องจากการเปลี่ยนแปลงในส่วนนี้อาจจะมีส่วนไปทำให้ Application มี Performance ต่ำลงไปครับ

.

สำหรับวันนี้ต้องขอตัวก่อนนะครับ พบกันใหม่โอกาสหน้าครับ

.

.

ปล วันเสาร์นี้มีสอน Network Infrastructure นะครับ (ไม่วายขายยา)