Sadržaj

Recon tehnike

Sažetak

Seminar pruža uvid u pasivne i aktivne tehnike izviđanja, istražujući njihove karakteristike, metode primjene te važnost u kontekstu istraživanja koje se provode kao dio računalne forenzike. Pasivne tehnike, poput Open-Source Intelligence (OSINT) i analize DNS-a, omogućuju prikupljanje informacija bez izravne interakcije, dok aktivne tehnike, uključujući port scanning i socijalni inženjering, zahtijevaju direktnu interakciju s ciljanim sustavom. Kroz istraživanje ključnih strategija prevencije i detekcije, poput upotrebe Honeypota i implementacije stroge politike pristupa, u seminaru je naglašena važnost razumijevanja tehnika izviđanja u svrhu boljeg provođenja istraga.

Uvod

Tehnike izviđanja predstavljaju skup postupaka čija je svrha prikupljanje ključnih informacija o računalnim sustavima i mrežama. Ove tehnike, često prva faza napada, omogućuju napadačima da stvore precizan profil ciljanog sustava, identificirajući potencijalne slabosti ili ranjivosti koje mogu iskoristiti. Sposobnost suptilnog prikupljanja informacija čini izviđanje ključnim korakom u planiranju i izvođenju napada, često ostavljajući minimalne tragove koji bi ukazivali na prisutnost napadača.

Unutar ovog konteksta, pasivne i aktivne tehnike izviđanja postaju ključni instrumenti u arsenalu napadača koji žele steći dublji uvid u svoje mete. Sofisticirani napadi na sustav prijetnje zahtijevaju od stručnjaka za računalnu forenziku duboko razumijevanje raznolikih metoda izviđanja kako bi uspješno identificirali, analizirali i istaknuli neovlaštene aktivnosti.

Tehnike izviđanja dijele se na pasivne i aktivne tehnike izviđanja te će se u narednim poglavljima detaljnije analizirati njihove specifičnosti, moguće primjene te važnost u domeni računalne forenzike. Opisano je zašto napadači posežu za ovim metodama, istražujući njihove ciljeve i strategije.

Tehnike izviđanja

U kontekstu računalne forenzike, tehnike izviđanja skup su postupaka koji se koriste u svrhu prikupljanja informacija o računalnim sustavima [1].

Tehnike izviđanja predstavljaju ključan segment prilikom napada na sustave, pružajući napadačima načine za prikupljanje važnih informacija o meti koju žele napasti. Ove tehnike možemo podijeliti na pasivne i aktivne, svaka sa specifičnim pristupom i karakteristikama.

Cilj izviđanja od strane napadača jest otkriti osjetljive informacije o meti. Neki od tipova informacija koji su im u cilju otkriti su:

Razumijevanje tih aspekata omogućuje napadačima da bolje planiraju svoje napade i potencijalno ostvare neovlašteni pristup ključnim resursima [2].

Pasivne tehnike izviđanja

Pasivne tehnike izviđanja predstavljaju pristup prikupljanju informacija o meti bez izravne interakcije. Pasivne tehnike izviđanja često se koriste kao prvi korak u procesu prikupljanja informacija. Ovaj pristup omogućuje istražiteljima prikupljanje podataka uz minimiziranje nepotrebne “buke”, za razliku od aktivnih tehnika kod kojih su češće mogući slučajevi da čin izviđanja ostane zabilježen, npr. u logovima sustava. U nastavku slijedi popis nekoliko ključnih pasivnih tehnika izviđanja:

Aktivne tehnike izviđanja

Aktivne tehnike izviđanja u računalnoj forenzici uključuju direktnu interakciju s ciljanim sustavom u svrhu prikupljanja informacija. Ovo uključuje upotrebu alata poput automatiziranih skenera, testiranje sustava, korištenje alata kao što su ping i netcat, ali i nekim drugim tehnikama kao što su fizičko izviđanje lokacija i socijalni inženjering.

Aktivne tehnike izviđanja obično su brže i preciznije u usporedbi s pasivnim tehnikama, ali s povećanim rizikom od otkrivanja i tendencijom ostavljanja više dokaza koji mogu poslužiti prilikom provođenja postupaka računalne forenzike, budući da generiraju veću količinu “buke” u sustavu. Aktivne tehnike izviđanja pružaju dublji uvid u ciljane sustave, ali istovremeno nose veći rizik od otkrivanja. U nastavku slijede neke od ključnih aktivnih tehnika izviđanja [5]:

Prevencija i detekcija recon tehnika

Prevencija i detekcija tehnika izviđanja ključne su komponente za očuvanje sigurnosti računalnih sustava. Razumijevanje i primjena odgovarajućih mjera mogu značajno smanjiti rizik od uspješnog izvođenja izviđanja od strane napadača. U kontekstu računalne forenzike, metode detekcije recon tehnika predstavljaju bitan faktor indikacije odgovornosti pojedinca. U nastavku su opisane neke od ključnih strategija prevencije i detekcije [4]:

Zaključak

Tehnike izviđanja koje se dijele na pasivne i aktivne zahtijevaju duboku razinu razumijevanja i kako bi se efikasno provelo istraživanje u računalnoj forenzici. Izviđanje predstavlja ključni korak u procesu napada, omogućujući napadačima stvaranje preciznih profila ciljanih sustava i identifikaciju potencijalnih ranjivosti.

Analiza pasivnih tehnika, poput Open-Source Intelligence (OSINT) i analize DNS-a, pokazuje kako istražitelji mogu prikupiti informacije bez izravne interakcije, često minimalizirajući svoj trag. S druge strane, aktivne tehnike izviđanja, poput port scanninga i socijalnog inženjeringa, zahtijevaju direktnu interakciju s ciljanim sustavom, pružajući napadačima brže, ali i rizičnije uvide.

Kroz proučavanje ključnih strategija prevencije i detekcije, poput korištenja Honeypota i stroge politike pristupa, moguće je identificirati potencijalno zanimljive dijelove sustava napadačima, ali i istražiteljima koju sudjeluju u forenzičkoj istrazi.

Literatura

[1] https://en.wikipedia.org/wiki/Footprinting

[2] https://www.blumira.com/glossary/reconnaissance/

[3] https://securitytrails.com/blog/dns-enumeration

[4] Roy, Shanto, et al. “Survey and taxonomy of adversarial reconnaissance techniques.” ACM Computing Surveys 55.6 (2022): 1-38.

[5] Mazurczyk, Wojciech, and Luca Caviglione. “Cyber reconnaissance techniques.” Communications of the ACM 64.3 (2021): 86-95.

[6] https://en.wikipedia.org/wiki/Phishing

[7] https://en.wikipedia.org/wiki/Pretexting

[8] Bringer, Matthew L., Christopher A. Chelmecki, and Hiroshi Fujinoki. “A survey: Recent advances and future trends in honeypot research.” International Journal of Computer Network and Information Security 4.10 (2012): 63.