Buďte na pozoru, s ANTI vás dostane každý

Již dříve jsme vás informovali o aplikaci ANTI – Android Network Toolkit. Začátkem roku byla uvolněna v ostré verzi pro Android a iOS, a základní verzi aplikace, která je zdarma, lze stáhnout na stránkách Zimperia. Aplikaci nejlépe vystihuje jeden ze sloganů – penetrační testování stiskem jednoho tlačítka. Je nutné podotknout, že byla oceněna v prestižním The Hacker News Hacking Awards 2011 jako nejlepší hackerský nástroj.  Hlavní funkcí aplikace je penetrační testování sítí. V recenzi se tedy podíváme na to co aplikace umí a jak dopadlo částečné testování její funkčnosti.

Nejdřive trochu teorie z oblasti počítačové bezpečnosti. Penetrační testování je odborné označení pro hledání bezpečnostních chyb a zranitelností, které lze využít pro proniknutí do systému čí páchání další neplechy na síti. Důležité ale je, že ten kdo provádí testování musí mít svolení od vlastníka dané sítě/systému, neděje se tedy nic nezákonného. Odhalené zranitelnosti a chyby mohou být následně odstraněny, čímž se zvýší úroveň zabezpečení.

Aplikace tedy umožňuje testování LAN (Local Area Network) sítí, do kterých je připojena prostřednictvím Wi-Fi adaptéru telefonu. Aplikace nemá k dispozici žádné funkce pro prolamování zabezpečení Wi-Fi sítí, jak by si někdo na první pohled mohl myslet. Pro započetí testování musíte být už připojeni do nějaké sítě, kterou chcete otestovat. V aplikaci se nachází Wi-Fi monitor, který umožňuje přepínání připojení mezi různými sítěmi, pokud tedy od nich máte přístupová hesla.

Díky následujícímu videu si můžete snadno udělat představu o základních funkcích. Jedná se o propagační video, které je v angličtině.

Funkce aplikace:

• Scanování (ping, nmap a další skripty)
• Detekce OS
• Traceroute
• Připojení na otevřené porty
• Monitor Wi-Fi
• HTTP server
• Man in the Middle útok
• Remote Exploits (vzdálené ovládnutí zařízení prostřednictvím různých zranitelností)

Funkce aplikace se odemykají podle verze, kterou máte zakoupenou. Hlavní funkce jako je využití zranitelnosti k útoku nebo odeslání reportu o provedeném scanu emailem stojí kredity. Počet těchto kreditů máte v levém horním rohu aplikace a pokud zvolíte nějakou funkci. Aplikace vždy upozorní na to zda opravdu chcete kredit utratit. V základní verzi, která je zdarma, jsou k dispozici všechny funkce až po HTTP server. Jako bonus za registraci získáte 2 kredity. Stříbrná verze obsahuje všechny funkce, ale v ceně 10 $ není zahrnuta podpora. Zlatá verze stojí 50 $, dostanete 200 kreditů a podporu. Platinová verze stojí 250 $, za které dostanete 1500 kreditů.

Seznam funkcí přesně kopíruje postup při provádění penetračního testování. Nejprve se provede scan sítě. Dojde ke zjištění ip adres připojených zařízení, dále se zjistí otevřené porty každého zařízení a otestují se nejznámější zranitelnosti. Způsob scanování lze vybrat z většího počtu různých skriptů – automaticky se používá nmap. Po provedení základního scanu se aplikace zeptá, zda má provést tzv. intrusive scan, kdy přímo zkouší provést různé exploity. Při scanu se dá samozřejmě zjistit i operační systém daného zařízení. Po dokončení scanu je k dispozici report, který je si možné odeslat za 1 kredit. V aplikaci jsou uložené scany všech sítí, které jste dělali pokud je nevymažete, takže si můžete zaslat i nějaké starší výsledky. Po kliknutí na ikonu zprávy vyberete síť, o které si chcete nechat zaslat report a potvrdíte. Následně se otevře intent odesílání e-mailu ve vašem nastaveném poštovním klientu a report si můžete poslat. Pozor, jakmile report vygenerujete dojde ke strhnutí kreditu, takže nezapomeňte na to ho odeslat. V reportu se u nalezených problémů nachází i návod k řešení.

Pro představu přikládám e-mail s reportem, který jsem si zaslal:

Anti Scan results
Below you will find the results of your security scan and vulnerability assessment.If there were open ports or other information that may pose a risk, they will show up below.
1 networks are included in this report.

Wifi Network ssid:
MAC Address: xx:xx:xx:xx:xx:xx
Number of devices on network: 4
1. IP=10.0.0.2, MAC=[xx:xx:xx:xx:xx:xx], Type=Windows Desktop
6 Open Ports:
[135/msrpc] – Opened port found.
[139/netbios-ssn] – Opened port found.
[445/microsoft-ds] – Recommended to block this port in firewall. Start->Run->firewall.cpl. Important tip : Run Windows update!
[554/rtsp] – Opened port found.
[5357/wsdapi] – Opened port found.
[49157/unknown] – Opened port found.

2. IP=10.0.0.3, MAC=[xx:xx:xx:xx:xx:xx], Type=Linux or Android Device
1 Open Ports:
[5432/postgresql] – Opened port found.

3. IP=10.0.0.4, MAC=[- me -], Type=Unknown Device
No opened ports found!
4. IP=10.0.0.138, MAC=[xx:xx:xx:xx:xx:xx], Type=Unknown Device
3 Open Ports:
[21/ftp] – Opened port found.
[23/telnet] – Opened port found.
[80/http] – Make sure you’re using latest HTTP Server.

For a more comprehensive assessment, you may consult zImperium consultation team. Contact us at zImperium.com
Copyright© 2011 Anti / zImperium.com

MAC adresy svých zařízení jsem vyretušoval. Po odeslání reportu se aplikace rovnou zeptá, zda nemáte zájem o provedení konkrétnějšího penetračního testování přímo hackery ze společností Zimperium. Musíte vyplnit krátký formulář s informacemi o společnosti a typu požadovaných testů.

Tyto funkce aplikace se v zásadě nedají přímo zneužít, a poskytnou nám jakýsi obraz o zabezpečení naší sítě. Dále si ale můžeme vybrat konkrétní cíl a použít řadu dalších funkcí, které umožňují dělat zajímavější věci:

• Scan – podrobnější scan zařízení
• Connect – připojení na otevřené porty
• Sniffer – odposlouchávání komunikace
• DoS – Denial of Service
• MITM – útok Man in the Middle
• Cracker – lámání hesel
• Attack – ovládnutí zranitelného počítače
• Replace Image – aplikace nahradí všechny obrázky, které se zobrazují na webových stránkách, logem společnosti Zimperium
• CSE Penetration – provede zároveň MITM útok a použití exploitu ke zjištění, zda počítáč obsahuje zranitelné verze různého softwaru, např. verze Javy atd.

Aktuálně testovaná verze aplikace je označována jako ANTI3. Tým stále aplikaci vylepšuje a aktualizuje, přidává nové exploity a typy útoků.

Osobně jsem si zakoupil verzi silver, ve které je dostupná téměř veškerá funkcionalita aplikace. Cracker jsem testoval na svém domácím routeru. K dispozici je cca 6 slovníků, ale v silver verzi lze použít jen malý slovník, který obsahuje kombinace Admin/admin atp. pro zařízení od různých výrobců. Lze použít i vlastní, či inkrementální slovník, ale ty jsou dostupné až ve zlaté verzi.
Další velmi zajímavou funkcí je použití Snifferu, tedy odposlouchávání provozu na síti, to se dá provádět se zaměřením na jedno konkrétní zařízení. Odposlechnuté informace jsou děleny do 4 kategorií: odkazy, obrázky, přihlašovací údaje, cookies. Pokud tedy někdo poslouchá na vaší síti a vy se někde přihlašujete bez využití https, dobrovolně odevzdáváte heslo případnému útočníkovi.

Aplikaci jsem testoval hlavně na mé malé domácí síti a nepodařilo se mi nalézt zranitelné zařízení. Do vědomého odzáplatovávání počítače s Windows XP jsem se nepouštěl. Ověřil jsem funkčnosti DoS útoku a MITM útoku. U MITM útoku jsem vyzkoušel i možnost přepnutí veškerého provozu z https na http. DoS útok odřízne připojení k internetu u zařízení, na který je útok veden. Vše bylo funkční. Replace Image jsem také testoval, ale spíše se mi připojení na počítači chovalo podobně jako při DoS.

CSE Penetration jsem nezkoušel, protože je nutné znát nějakou konkrétní zranitelnost browseru/pluginu. Při spuštění tohoto typu útoku aplikace čeká na request, aby mohla použít injekci a ovládnout zařízení. Počítač je poté označen jako zranitelný a report je aktualizován. Zranitelný počítač je pak možné ovládnout. Možnosti, které aplikace nabízí, jsou screenshot obrazovky zařízení, vysunutí CD, přístup do příkazové řádky, výpis běžících procesů a další. Další přidanou hodnotou je vlastní http server, na kterém můžete např. zveřejňovat soubory. Poslední funkcí je Traceroute sloužící ke zjištění cesty paketu, používající Google maps, k odhadnutí polohy jednotlivých zařízení na základě jejich ip adresy, případně veřejné ip adresy.

Podmínky, se kterými musíte souhlasit, abyste mohli aplikaci používat,  jsou opravdu zajímavé. Zimperium se samozřejmě zříká jakékoliv odpovědnosti za to, co s aplikací provádíte, tedy i s případnými napáchanými škodami ať by se týkaly vašeho telefonu, či zneužití aplikace k neoprávněnému napadání. Zajímavá je věková hranice 18 let, zákaz reverzního inženýrství a odkazování se  na společnost Zimperium. Firma pochází z Izraele a dozvíte se také, že pokud se prohřešíte, budete souzeni v Tel Avivu a nikoli mezinárodním soudem. Potvrzení je samozřejmě jenom formální záležitostí.

Aplikace občas spadla, ale nestávalo se to nijak často a dá se říct, že mě to ani nějak zvlášt neomezovalo. Problémy byly spojeny zejména s větším vytížením – při generování reportů ze sítě s více zařízeními atp. Jedná se ale o velmi sofistikovanou aplikaci, která přináší člověku neznalému problematiky snadnou cestu pro testování vlastní sítě. Veškeré popsané funkce nejsou nic co by se nedalo zvládnout s notebookem, vhodnými aplikacemi a pár skripty, ale to je mnohem složitější. Na druhou stranu tato jednoduchost použití, jak již bylo řečeno “na jedno kliknutí”, představuje nebezpečí, protože možností jak tuto aplikaci zneužít je opravdu mnoho. Proto dávejte při připojení nejen do bezdrátových sítí na svá data velký pozor.

Zdroje: zimperium.com,https://thehackernews.com/2012/01/android-network-toolkit-anti-review.html