Pentesting2022
h5 - Miska Kytö
x) Bellingcat OSINT-opas: How to track illegal funding campaigns via cryptocurrency
Bellingcat on internetissä toimiva tutkivan journalismin verkosto, joka on OSINT:in eli avoimista lähteistä saatavalla tiedolla tehtävän tiedustelun edelläkävijä. Järjestö julkaisee myös sivuillaan monia oppaita tiedusteluun. Itse valitsin oppaan, jossa opetetaan seuraamaan laitonta rahaliikennettä rikollisiin toimiin kryptovaluutoilla.
Rahaliikennettä voidaan seurata seuraavilla työkaluilla:
- Blockexplorer/WalletExplorer
- Palveluita, joiden kautta voidaan analysoida julkisia tietoja bitcoinin lohkoketjusta.
- Voidaan selvittää, mitkä osoitteet ovat liitettyinä samoihin lompakkoihin, tai mistä rahat tulevat.
- BitcoinWhosWho
- Palvelu, johon käyttäjät voivat kerätä Bitcoin-osoitteita, jotka ovat liitettyinä laittomiin huijauksiin tai muuhun toimintaan.
- Google-haku
- Google-haku voi löytää sivuja, uutisartikkeleja tai muuta sisältöä, joka on yhdistetty haettavaan bitcoin-osoitteeseen.
Tiedustelu etenee seuraavasti:
- Haetaan bitcoin-osoite, joka on liitetty laittomaan toimintaan.
- Käydään läpi jokainen transaktio, ja osoitteet jotka ovat liitettyinä niihin.
- Analysoidaan näiden käyttäjien kaikki transaktiot yllämainituilla työkaluilla, löydökset on hyvä kerätä esim. excel-taulukkoon.
- Tutkintatyökalujen kanssa voidaan selvittää, onko jokin osoite liitettävissä esim. tiettyyn toimijaan, tai vaikka kryptovaluutan kauppapaikkoihin.
Tiedustelu vaatii paljon työtä, mutta lohkoketjujen avoimuuden takia se voi olla erittäinkin tehokasta ja hyödyllistä.
y) SuomiOsint
Yleiset OSINT-lähteet maailmanlaajuisesti pätevät myös Suomeen, kuten esimerkiksi sosiaalisen median palvelut.
Lisäksi voidaan hyödyntää myös joitain palveluita, jotka eivät ole niin yleisiä:
- Suomalaiset tai suomalaisten suosimat verkkopalvelut
- Vanhempaa tietoa saattaa löytää esim IRC-galleriasta, tai Ask.FM -palvelusta, jotka ovat olleet suomalaisten suosiossa.
- Suomi24 on suomalaisille suunnattu keskustelupalsta, jossa on paljon tietoa suomalaisista henkilöistä.
- Suomalaiset valtionrekisterit
- Esimerkiksi yritysten rekisterit ovat Suomessa julkista tietoa. YTJ:n palvelusta voidaan hakea yritysten perustamis- ja muutostiedot, sekä niiden yhteystiedot ja hallituksen jäsenet.
- Verohallinto julkaisee tuloverotuksen julkiset tiedot vuosittain, ja näitä tietoja voidaan pyytää verohallinnolta.
A) ZAP
Asenna OWASP ZAP ja surffaile webissä, näytä miltä liikenne näyttää proxyssä.
Päätin itse asentaa OWASP ZAP -työkalun käyttämällä Snap-pakettia. Snap on Ubuntun kehittäjän Canonicalin kehittämä universaali Linuxin ohjelmistopakkaus- ja käyttöönottojärjestelmä, jonka avulla samaa paketin asennusjärjestelmää voidaan käyttää kaikilla Linux-jakeluilla.
Owasp Zapin asentaminen Snapilla onnistui seuraavasti:
sudo snap install zaproxy
Tämän jälkeen voimme käynnistää ohjelman komennolla:
zaproxy
Ohjelman alapalkista näemme, että proxy on auki localhost-osoitteessa portissa 8081. Voimme nyt avata selaimemme ja ohjata liikenteen tämän proxyn läpi, että ZAP voi muokata sitä.
Käytän Firefox-selaimessa ilmaista FoxyProxy-lisäosaa, joka mahdollistaa nopean proxyjen vaihtamisen. Ilman tätä lisäosaa, joutuisin aina joko sammuttamaan proxyn, tai vaihtamaan sitä Firefoxin asetuksista. Tämä lisäosa tekee siitä paljon helpompaa.
Lisäosan asetuksissa lisäsin uuden asetuksen ZAP:ille, johon syötin osoitteen ja portin.
Nyt jos selaamme nettiä, näemme miten ZAP kerää historiaa liikenteestä, joka proxyn läpi kulkee.
B) ZAP Certificate
Suurin osa sivuista kuitenkin estää heti sivujen avaamisen, sillä ZAP ohjaa liikenteensä proxyn läpi, ja yrittää allekirjoittaa sivun SSL-sertifikaatin. Tämä kuitenkin epäonnistuu, jos ZAP:in sertifikaattia ei ole lisätty selaimen luotettuihin sertifikaatteihin.
Tämä sertifikaatti voidaan tallentaa ZAP:in asetuksista Network-kohdasta:
Jonka jälkeen se voidaan tallentaa selaimeen Firefoxin asetuksista:
Nyt myös SSL-suojatut sivut voidaan avata ZAP:in kanssa.
C) Mitmproxy
Mitmproxy on toinen proxytyökalu, joka toisin kuin ZAP tai Burp toimii komentorivillä. Tämä tekee siitä välillä nopeamman käyttää kuin muut työkalut. Mitmproxy myös perustuu avoimeen lähdekoodiin.
Mitmproxy on jo asennettuna Kali Linuxissa, joten voidaan ottaa se käyttöön sopivalla portilla seuraavalla komennolla:
sudo mitmproxy -p 8082
Valitsin portiksi 8082, ja lisäsin sen FoxyProxyn asetuksiin, kuten ZAP:inkin.
Sen jälkeen pystyin avaamaan sivuja, ja mitmproxy tallensi liikenteen.
D) Mitmproxy Certificate
Mitmproxy tarjoaa hyvät ohjeet SSL-sertifikaatin asentamiseen, kun navigoi proxy päällä osoitteeseen http://mitm.it. Tämä sivu tarjoaa ohjeet sertifikaatin asentamiseen eri selaimille ja käyttöjärjestelmille. Omassa tapauksessani asensin sertifikaatin Firefoxin asetuksista, kuten ZAP:in tapauksessa.
Tämän asennuksen jälkeen SSL-liikenne kulki myös mitmproxyn läpi.
E) WebGoat + Burp
Ratkaistaan SSRF-tehtävä WebGoatista käyttäen apuna Burpsuite proxya.
Tässä tehtävässä pitää vaihtaa sivun lataama URL, jotta sivu lataa oikean kuvan. Tämä onnistuu vaihtamalla URL-parametrin “image” arvoa.
Arvoa voidaan helposti tarkastella burpsuiten kautta, sillä proxy pysäyttää liikenteen.
Löydämme parametrin, jota voidaan muokata tom.png:stä jerry.png:ksi:
Sitten voimme lähettää pyynnön eteenpäin, ratkaisten tehtävän.
