Datoteke na direktorijih skupne rabe
Pri izvajanju varnostnih testiranj notranjega omrežja se izkaže, da so mape (direktoriji) skupne rabe (Local network Windows share), eden najbolj kritičnih elementov in pogosto pravi zlati rudnik različnih dokumentov in informacij, ki jih napadalci lahko zlorabijo. V to kategorijo spadajo tako direktoriji skupne rabe na strežnikih, kot tudi direktoriji na delovnih postajah.
Pomanjkljivosti se običajno pokažejo na dveh področjih. Prvo področje je osnovno upravljanje sistema skupne rabe, kjer preko uporabniških imen in skupin, dodeljujemo dostopne pravice do posameznih direktorijev skupne rabe. Sistem upravljanja je v osnovi močno orodje, ki zahteva kvalitetno upravljanje uporabniških imen in skupin, kar pa je v marsikaterem okolju v določenih elementih pomanjkljivo. Uporabniška imena se pojavljajo v napačnih skupinah (ljudje zapuščajo podjetje ali odhajajo na drugo delavno mesto, kar se vedno ne odraža v dostopnih pravicah), dostop do skupnih direktorijev preko "Everyone, full control" nastavitev in podobno, pozabljeni direktoriji na UNIX SAMBA sistemu in tiskalnikih…vse to so običajne pomanjkljivosti v marsikaterem okolju.
Drugo področje, ki je običajno še bolj kritično, pa je vsebina datotek, ki se nahajajo v okviru skupne rabe. Še tako dober sistem dodeljevanja dostopnih pravic ne more vplivati na to, kaj potem uporabniki prepisujejo na skupne lokacije. Običajen scenarij v okoljih je strežnik, ki ima oznako "skupni" in je namenjen shranjevanju in izmenjavi datotek. Poleg privatnih map se običajno najde polno začasnih lokacij (ki kasneje postanejo stalne) za izmenjavo datotek, ki imajo dovoljen dostop vsem domenskim uporabnikom. In tukaj se potem začnejo nabirati različne datoteke. Mnoge izmed njih vsebujejo kopico kritičnih informacij, kot so različne zbirke osebnih podatkov, nastavitvene datoteke, log datoteke, skripte, certifikati itd. Včasih se človek vpraša zakaj okolje uporabljaja različne direktorije skupne rabe in dostopne pravice, ko pa ima lokacijo na kateri najdeš vse.
Revizija sistema skupne rabe bi moral biti v okoljih stalen proces. Dostopne pravice je načeloma enostavno prilagajati stanju (znan mora biti postopek dodeljevanja in kasneje disciplina pri upravljanju), nadzor nad datotekami pa zna biti prava mala nočna mora. In kako se lotiti težave?
Sam pri varnostnih testiranjih uporabljam za odkrivanje skupnih direktorijev in datotek dve brezplačni orodji podjetja SoftPerfect Research. Prvo orodje je njihov SoftPerfect Network Scanner, ki poleg klasičnih port scan funkcij omogoča odkrivanje direktorijev skupne rabe.
Program je enostaven za uporabo, omogoča detekcijo skupnih direktorijev pod različnimi uporabniškimi imeni (uporabno za testiranje različnih tipov uporabnikov), odkriva tudi skrite in sistemske direktorije in omogoča shranjevanje rezultatov v HTML, XML,CVS in TXT obliko.
Drugo orodje LAN Search Pro pa omogča iskanje datotek na sistemih skupne rabe v lokalnem omrežju. Iščemo lahko po različnih atributih kot so ime, tip ali celo iščemo besedilo (recimo ZAUPNO, STROGO ZAUPNO, INTERNO itd). Ko odpremo LAN Search Pro preprosto vpišemo ime datoteke ali tip (v primeru spodnje slike *.mdb), kliknemo na zeleni gumb in iskanje se prične.
Poleg osnovnega iskanja, program omogoča veliko naprednih funkcij. S klikom na ikono OPTIONS se nam v prvem zavihku pokaže opcija omejevanja iskanja po datumu in velikosti in kateri elementi odkritih datotek naj se prikažejo v oknu rezultatov. Pomembna opcija je tudi izbira ENABLE TEXT SEARCH funkcije, ki omogoča iskanje besedila v okviru izbranih datotek (v spodnjem primeru iščemo bsesedo EMŠO v MDB Access datotekah).
Naslednji zavihek NET SEARCH omogoča izbiro IP omrežja, ki bo vključen v iskanje datotek. Osnovno iskanje išče datoteke v okviru celotne domene, tukaj pa lahko iskanje omejimo na posamezen računalnik ali skupino računalnikov in IP nabor izbranega omrežja. Uporabna je tudi HIDDEN FOLDERS opcija, ki omogoča, da v okvir izbranih direktorijev vključimo tudi skrite direktorije (sistemke in posamezni disk na sistemu). Bo pa omenjena izbira pomenili seveda daljši čas za iskanje in vključila veliko količinio datotek v iskalni nabor.
Zelo uporabna je tudi funkcija PASSWORD MANAGER, kjer vpisujemo nabor uporabniških imen in gesel, ki jih bomo uporabili pri iskanju datotek. Ta funkcija je odlična za testiranje dostopov različni tipov uporabnikov. Tako lahko simuliramo nepriviligiranega uporabnika domene, kaj lahko vidi in katere datoteke so mu dosegljive ali pa kot administrator domene preverimo datoteke na vseh strežnikih in lokacijah skupne rabe.
Tudi LAN Search Pro omogoča izvoz rezultatov v HTML,XML,CVS in TXT obliko, kar omogoča kasnejšo obdelavo v drugih programih. In katere datoteke želimo odkrivati? Izbor je seveda vaš, spodaj je nekaj mojih osnovnih poizvedb:
- MDB, XLS, SQL - pogosto uporabljene za zbirke podatkov
- INI,CONF,REG - konfiguracijske datoteke, register zapisi
- LOG – log datoteke različnih aplikacij
- BAT,CMD,SH,PHP – skripte
- CER,PFX – cerifikati
- DOC, PDF,ODF – standardni dokumenti iskanje besed ZAUPNO, INTERNO itd.