Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Kolekcjonowanie dowodów: recon a zrzuty ekranowe stron w sieci [OSINT hints]
Popularne stwierdzenie zawarte w tytule staje się jeszcze bardziej adekwatne w momencie, kiedy zdamy sobie sprawę, że strona, którą kiedyś odwiedziliśmy już nie istnieje, w archiwum typu Wayback Machine nie została zarchiwizowana, my akurat zapomnieliśmy zrobić zrzutu ekranu lub już nie jesteśmy w stanie przypomnieć sobie, jak doszliśmy do aktualnie otwartej jednej z kilkudziesięciu zakładek w przeglądarce. Sam proces tworzenia screenshotów potrafi także zajmować dużą porcję cennego czasu i uwagi. Więc czemu tego nie zautomatyzować?
WMN_screenshooter
Jakiś czas temu pisałem o narzędziu, które służy do wyszukiwania profili o konkretnym loginie na ponad 280 serwisach: w mediach społecznościowych, na popularnych forach internetowych czy innych stronach – WhatsMyName (autorstwa WebBreachera). Jeśli chcecie dodatkowo mieć widoki wszystkich stron, na których znaleziono użytkownika o poszukiwanej nazwie, możecie skorzystać z bazującego na WhatsMyName skryptu autorstwa swedishmike’a – WMN_screenshooter. Instalacja sprowadza się standardowo do ściągnięcia repozytorium z GitHuba i zainstalowaniu zależności. Dodatkowo należy wskazać bazę stron do przeszukiwania z narzędzia WhatsMyName (w pliku .json), przy czym potrzebny jest nam tylko ten jeden plik, a nie całe narzędzie.
Po znalezieniu stron, na których konto poszukiwanego użytkownika istnieje, skrypt robi zrzuty ekranów i wrzuca je do indywidualnego katalogu dla danego wyszukiwania. Minusem tego rozwiązania jest jego stabilność, bo niestety w przypadku pewnej liczby przeszukiwanych serwisów pojawiają się błędy, które często uniemożliwiają przeprowadzenie pełnego skanowania. Ratunkiem w moim przypadku była jedynie ręczna modyfikacja pliku json i usuwanie wpisów powodujących błędne działanie.
Eyewitness
Drugim z narzędzi, które można „zaprzęgnąć” do robienia zrzutów ekranu podczas rekonesansu jest Eyewitness, przy czym jego możliwości wykraczają znacznie poza screenshoty. Zasilony danymi z pliku tekstowego z listą adresów (po jednym na linię) lub pliku xml wygenerowanego z nmap-a czy nessusa, wykonuje weryfikację możliwości połączenia, zrzuca aktualny wygląd strony i podstawowe informacje o hoście, przy czym bada nie tylko strony (http/https), ale i dostęp po RDP czy VNC (w tym drugim przypadku tylko w ustawieniu bez uwierzytelnienia).
Dodatkowo może to robić poprzez proxy, zmieniać rodzaj urządzenia/oprogramowania, które próbuje się łączyć (manipulacja polem User-Agent), a także wykonywać próby logowania w celu wykrycia danych logowania. Żeby było jeszcze przyjemniej, należy dodać, że narzędzie jest dostępne nie tylko na systemy linuksowe (Kali/Debian 7+), ale także w wersji do samodzielnej kompilacji pod Windows – otrzymujemy wtedy ten sam program w formie pliku .exe.
Fragment raportu z Eyewitness ze zrzutem strony i danymi o hoście
Dodatki
Jeśli już jesteśmy przy archiwizacji stanu przeglądanych stron internetowych, warto wspomnieć też o wtyczkach do przeglądarek. Jednym z lepiej działających dodatków / wtyczek / rozszerzeń, jest moim zdaniem FireShot (jest wersja dla Firefox, dla Chrome, Edge i innych przeglądarek), który nawet w darmowej wersji pozwala na przechwycenie całej strony jednym skrótem klawiszowym (przy okazji – pamiętajcie, żeby nie ufać dodatkom do przeglądarek i weryfikować ich pochodzenie przed instalacją). Dużo opcji oferuje także dodatek Nimbus (dla Firefox i Chrome).
Co ciekawe, funkcje zapisu całych stron do obrazka czy PDF-a powoli stają się częścią samych przeglądarek – Firefox ma od jakiegoś czasu opcję „Wykonaj zrzut ekranu” w menu kontekstowym, a w Edge pod skrótem Ctrl+Shift+S mamy opcję (dostępną także z menu) „Przechwycenie sieci Web”, która wbrew nazwie służy jedynie do wykonywania zrzutu ekranu i umożliwia dodawanie późniejszych adnotacji i zapisywanie go jako obrazka, podobnie do funkcji „Wycinek i szkic” w Windowsie.
Przeglądarkowe, darmowe narzędzia wymagają niestety interakcji użytkownika – jeśli chcemy mieć narzędzie, które będzie podążało za naszymi działaniami w sieci, to warto pomyśleć o opcjach płatnych, jak na przykład Hunchly, które jest jednym z najpopularniejszych narzędzi do wspomagania i archiwizacji śledztw OSINT-owych (chociaż trzeba zaznaczyć, że nie współpracuje z Firefoksem).
Na koniec jeszcze kilka słów o zapisywaniu ekranu w formie nieco bardziej dynamicznej – do tworzenia filmików ze swoich działań, sprawdźcie Screenity – rozszerzenie do Chrome, które nagrywa ekran, pozwala wprowadzać dodatkowe opisy i rysować na ekranie, wskazywać kliknięcia, dodawać dźwięk i eksportować filmy.
Krzysztof Wosiński (@SEINT_pl), prowadzi szkolenia OSINT master #1 oraz OSINT master #2
Fajne mini-kompendium – dzieki!
Mam pytanie do zdania: „przy okazji – pamiętajcie, żeby nie ufać dodatkom do przeglądarek i weryfikować ich pochodzenie przed instalacją”.
Wiadomo, ze jesli instaluję dodatek spoza serwisu przegladarki, to na wlasna odpowiedzialnosc… Jak mozna probowac zweryfikowac samemu? Czy jest szansa, ze virustotal.com bedzie mial wiedze o „wrogim” dodatku? (Nie wiem, czy programy AV sprawdzaja tez dodatki).
A jesli instaluję dodatek z serwisu przegladarki, to czy rozsadnie mozna zalozyc, ze producent przegladarki sprawdzil ten dodatek?
Było coś takiego jak Chrome Extension Source Viewer, który pozwala zajrzeć do kodu dodatku. Ogólnie chodzi o zweryfikowanie czy nie ma w manifeście polityki 'unsafe-eval’, co oznacza, że dodatek będzie chciał uruchamiać kod na naszym komputerze. Mozilla nie dopuszcza w ogóle dodatków próbujących uruchamiać zdalny kod.
Warto oczywiście też sprawdzić komentarze i oceny + informacje o tym dodatku w sieci, to zawsze jakiś poziom oceny bezpieczeństwa.
Czasami pomaga też sama świadomość, że np. zapis „instant upload” w funkcjonalnościach dodatku wskazuje na funkcjonalność, której nie chcielibyśmy pozwolić działać w naszej przeglądarce.