נושא: סיקור מספר סורקי אבטחה.

נשלח בתאריך: 27 January 2006 בשעה 03:06 | IP רשוּם

עשיתי סיקור קצר על כל מני סורקי אבטחה, ההיתרונות והחסרונות שלהם.

מקווה שזה יעזור למישהו.


NMap/NMapWin:
NMAP, (הגירסא למערכת NIX* היא NMap, ולמערכות Win32 היא NMapWin), אחד הסורקים אבטחה המוצלחים ולכן גם המוכרים ביותר שקיימים היום

באינטרנט, הסורק נכתב ע"H החברה של Insecure, התוכנה הנ"ל היא בעצם סורק פורטים אשר משתמשת במספר רב מאוד של אופציות, כגון parallel port

scanning (ידוע גם כPPScan), וגם בTCP SYN scan, TCP connect() scan, UDP scans (פועל בשלושה תצורות: DNS,

SNMP, ו- DHCP), וגם סריקות כגון:
Null scan / FIN scan / Xmas scan, סירקות מהסוג של TCP Maimon scan או Custom TCP scan ועוד הרבה אחרות.

כמובן שאפשר לבצע שילוב בין הסריקות וכך לקבל מיפוי גדול יותר של הרשת/מטרה, מה גם שאפשר להשתמש בפרוקסי (או בHalf-Scan) וככה להיות אנונימי.

עוד מעלה של הסורק זה שהוא ינסה להשיג כמה שיותר מידע על המערכת שאותה סרקנו, בלי קשר לאבטחה, הוא ינסה לאתר את השירותים שפתוחים בו, את סוג המערכת ואת

הגירסא שלה (לרב ע"י ניתוח של הTTL)

את שני ההצפות (WIn32/*Nix) אפשר להוריד מפה:
http://www.insecure.org/nmap/index.html


Nikto:
Nitko, אחד הסורקים שאני יותר אוהב, נכתב ע"י Cirt, חברה מאוד מוכשרים, חיסרון אחד שלו, זה שהוא לא יכול לעבוד בצורה "שקטה", זאת אומרת שאם

תסרוק שרת או אתר עם פיירוואל, רב הסיכוי שהפיירוואל יקפוץ, אבל זה לא מפריע ברב המקרים, הסורק נכתב בPerl, ולכן הוא קוד פתוח, מה שאומר שאפשר לערוך

אותו או לשנות את ההגדרות כל שתרצו, את תצורות הסריקה שלו הוא טוען מתוך קבצים, ככה שאפשר ללמוד המון מקריאה של אותם הקבצים, במהלך הסריקה הסורק פולט את

הדברים שהוא מצא ומפרט על החורים, כך שגם אם נתקלת בחור שאתה לא הכי מכיר- Nikto יפנה אותך למקורות, יסביר ויפרט על החור ועל דרכי הניצול/תיקון שלו.

אפשר להוריד את הקוד שלו מפה:
http://www.cirt.net/code/nikto.shtml


SAINT:
ראשי תיבות של המילים: Security Administrator’s Integrated Network Tool, הסורק נכתב ע"י Wwdsilx /SaintCorporation והוא מסוגל לפעול בכמה סוגים של מצבים.
במצב הבסיסי, הוא פשוט סורק את השירותים הרגילים מבלי להסתבך בכל מני אפלקציות מיותרים, מדובר על שירותים כגון:
finger, NFS, NIS, ftp/tftp, rexd, statd וכו’, אתכל המידע שהוא מצליח להשיג מהסריקה הוא מצליב ומנסה לנחש איפה יכולים להיות

הכשלי אבטחה (המוכרים) ומציג אותם למשתמש.

במצבים היותר מתקדמים הוא מסוגל גם לפעול כRemote (מצב שבו אתה יכול להתקין אותו על שרת מסויים ולשגת אליו מרחוק), או לסרוק שירותים מתקדמים יותר ולבצע סריקות ספציפיות יותר ויותר.

עוד דבר הוא, שיצאה לפני כמה זמן קופסא בשם "SAINTbox", פשוט מחברים אותה לרשת והיא מתחילה לסרוק ולהציג את החורי אבטחה, מבלי שום צורך בהפעלה, אפשר גם לתת לה לנהל את הרשת ולהגדיר בעזרתה את אגדרותיה של הרשת.

אפשר למצוא את הסורק ב:
http://wwdsilx.wwdsi.com/saint/


Nessus:
כלי חזק מאוד, נכתב למערוכת Nix*, ע"י Nessus, זהו אחד הכלים השמישים ביותר בנושא, הוא יצא ב1998 ע"י אדם בשם ראנוד דריסון, רך בשנת 2002

הפרוייקט רק התחיל להפתח בגלל מספר גורמים, מ2002.

מאחורי הפרוייקט עומד אתר אבטחה גדול שעוקב אחרי חורי האבטחה והטלאים החדשים שיוצאים לשוק דואג לעדכן את המד נתונים של הסורק.
הסורק לא רק פולט לך את המידע שהוא השיג לאחר הסריקה, הוא גם שולח אותך למקורות שבהם יש הסברים על החורים, אם יש דרכי תיקון- הוא יפרט גם עליהם,
והוא גם ידרג את רמת הפירצה מ"פירצה קלה" ועד ל"פירצה מסוכנת ביותר".

את רשימת האייטמים שNessus סורק אפשר לראות פה:
http://www.nessus.org/plugins/index.php?view=all

קיימת גם גירסא למערכות win32 בשם NessusWX והוא פועלת בצורה מקבילה ביותר לאפלקציה הלינוקסאית.

את הסורק, אפשר להוריד מפה:
http://www.nessus.org


ISS:
ראשי תיבות של: Internet Security Scanner, נכתב לראשונה ע"י קריסטופר קלאוס אבל לאחר מכן שופר ונכתב מחדש ע"י כל כך הרבה אנשים..
הסורק נועד לסרוק רק מערכות Unix, הוא מקיף מספר רק מאוד של חורי אבטחה במערכות אלה, אבל שוב- הוא נועד רק למערוכת Unix, מה שגורם לו להיות בכלל לא

פופולארי בקרב משתמשי המערכות האחרות, בכל אופן, אם אתם משתמשים במערכת Unix, זהו אחד הסורקים המומלצים ביותר, הוא מסוגל לסרוק ולדווח ע"י מני באגים

שנוצרים מקונפיגורציות לקויות בשירותי הSendmail או מערכת שיתוף הקבצים NFS.

אפשר למצוא אותו כאן:
ftp://ftp.iss.net/pub/iss ואם הלינק לא פעיל אז מכאן: ftp://ftp.iss.net/pub/products/internet_scanner/


SATAN:
ראשי תיבות של: System Administrator Tool for Analyzing Networks, הסורק הכתב ע"י דן פרמר ועוד אדם שאני לא זוכר את שמו,

הסורק פשוט מתחבר לאותה הרשת, מחפש כמה שיותר מידע על אופי הרשת (מערכת הפעלה, שרתים וכו’) ואחרי שהוא השיג את המידע הבסיסי, הוא
מתחיל להריץ כלי סריקה ספציפים לאותה הרשת, הכלים האלה מריצים סוגים שונים של אקספלויטים מסוג PoC (שלא נועדו לפרוץ אלה רק לברר האם החוסר קיים ואפשר לנצל

אותו), ועל כל ממצא שהוא מוצא- הוא מדווח ושולח את המשתמש לטקסט שיסביר לו על אותו הבאג ואיך לתקן אותו.

הסורק נכתב בהתחלה ע"י האנשים של fish, אבל משום מה (אין לי מושג מה הסיבה) לאחר זמן-מה (לא קצר כל כך), הפרוייקט נסגר ואין לי מושג מה עלה בגורל

הפרוייקט הזה.

אפשר למצוא אותו ב:
http://www.google.co.il/search?hl=iw&q=SATAN%2BSECURITY+ SCANNER&meta=


Urlscan:
הוא גם סורק חמוד, אבל מוגבל ביותר, הוא נכתב ע"י Microsoft (ולכן הוא הוא נועד לסרוק רק שרתי IIS), הוא סורק את השרת ומדווח על כל מני בעיות אבטחה

באפשר לנצל ע"י HTTP Attacks.

אפשר למצוא אותו ב:
http://www.microsoft.com/technet/treeview/default.asp?

url=/technet/security/tools/tools/urlscan.asp


Whisker:
Whisker הוא אחד הסורקי CGI הטובים ביותר שיש כיום (אם לא הטוב ביותר לדעתי), הוא נכתב ע"י Wiretrip, אבל בשנת 2003 בערך חיברו אותו ביחד עם

הסורק Nikto וכיום הם פועלים ביחד, את הקוד שלו עדיין אפשר למצוא פה:
http://www.wiretrip.net/rfp/lw.asp

מומלץ ביותר לעבור על הקוד, מפני שהוא מלמד הרבה מאוד על דרך הכתיבה של אפלקציות מסוג זה.


Sara:
Sata הן ראשי תיבות של: Security Auditor’s Research Assistan, והסורק נכתב ע"י חברה בשם ARC להרבה מאוד פלטפורמות, כגון
Nix*, MAC OS/X ובעזרת CoLinux אפשר גם להשתמש בו דרך Windows, אחד המעלות הגדולות של Sara הוא שהוא משתמש בכל מני אפשרויות
לסרוק מעבר לתוכנות פיירוואל (כמו לדוגמא Half-TCPScan כמו בNmap), אופן השימוש בSara פשוט ונח (אני אישית לא נתקלתי בGUI בשבילו, ולכן כל

השימושים שלי היו דרך השורת פקודה בלינוקס), הוא די מזכיר את Nmap רק יותר קטן, אך בכל אופן, ראיתי לנכון להזכיר אותו במסמך הנ"ל.

עוד פעולה נחמדה הוא שהיה אפשר לשלב את הגירסאות הראשונות (שנת 2000 בערך) בפעולה יחד עם הסורק Satan, פעולה זאת אומם מקטינה את המהירות עבודה בשל

צורך הסינכרון בין האפלקציות, אבל התוצאות שוות.

עד לאחרונה (אמצע 05) העידכונים באתר היו די מאסיבים, אבל משום מה לאחרונה אין הרבה התקדמויות.

עמוד הבית של Sara:
http://www-arc.com/sara



.cp77fk4r - שלכם תמיד, באש ובמים



|--------MADE BY cp77fk4r aka 3gGDr0pp3r aka Pi4n0w1rE aka Empty0pagE--------|

נשלח בתאריך: 28 January 2006 בשעה 21:26 | IP רשוּם

כל הכבוד סיפי.

תודה .

נשלח בתאריך: 29 January 2006 בשעה 18:28 | IP רשוּם

כן, פרסמתי את זה גם בפורום אבטחת מידע ברד-בורד.

בבקשה, ובבקשה חברה, אל תגיבו הודעת כמו "תודה", זה מחמם את הלב, אבל זה גורם לספאם, אתם יכולים לשלוח הודעה פרטית לאנשים שאתם רוצים להודות להם על דברים.

נשלח בתאריך: 07 February 2006 בשעה 13:28 | IP רשוּם

אתה צודק, אני יכול רק להניח, כי לא יצא לי להשתמש בגירסא החלונאית של Nmap על XP עם Sp2, אבל כן, זה ידוע שמייקרוסופט חסמו את הRawSockets ככה שאין ספק שאתה צודק.

תודה על התיקונים