Seminar pruža uvid u pasivne i aktivne tehnike izviđanja, istražujući njihove karakteristike, metode primjene te važnost u kontekstu istraživanja koje se provode kao dio računalne forenzike. Pasivne tehnike, poput Open-Source Intelligence (OSINT) i analize DNS-a, omogućuju prikupljanje informacija bez izravne interakcije, dok aktivne tehnike, uključujući port scanning i socijalni inženjering, zahtijevaju direktnu interakciju s ciljanim sustavom. Kroz istraživanje ključnih strategija prevencije i detekcije, poput upotrebe Honeypota i implementacije stroge politike pristupa, u seminaru je naglašena važnost razumijevanja tehnika izviđanja u svrhu boljeg provođenja istraga.

Tehnike izviđanja predstavljaju skup postupaka čija je svrha prikupljanje ključnih informacija o računalnim sustavima i mrežama. Ove tehnike, često prva faza napada, omogućuju napadačima da stvore precizan profil ciljanog sustava, identificirajući potencijalne slabosti ili ranjivosti koje mogu iskoristiti. Sposobnost suptilnog prikupljanja informacija čini izviđanje ključnim korakom u planiranju i izvođenju napada, često ostavljajući minimalne tragove koji bi ukazivali na prisutnost napadača.

Unutar ovog konteksta, pasivne i aktivne tehnike izviđanja postaju ključni instrumenti u arsenalu napadača koji žele steći dublji uvid u svoje mete. Sofisticirani napadi na sustav prijetnje zahtijevaju od stručnjaka za računalnu forenziku duboko razumijevanje raznolikih metoda izviđanja kako bi uspješno identificirali, analizirali i istaknuli neovlaštene aktivnosti.

Tehnike izviđanja dijele se na pasivne i aktivne tehnike izviđanja te će se u narednim poglavljima detaljnije analizirati njihove specifičnosti, moguće primjene te važnost u domeni računalne forenzike. Opisano je zašto napadači posežu za ovim metodama, istražujući njihove ciljeve i strategije.

U kontekstu računalne forenzike, tehnike izviđanja skup su postupaka koji se koriste u svrhu prikupljanja informacija o računalnim sustavima [1].

Tehnike izviđanja predstavljaju ključan segment prilikom napada na sustave, pružajući napadačima načine za prikupljanje važnih informacija o meti koju žele napasti. Ove tehnike možemo podijeliti na pasivne i aktivne, svaka sa specifičnim pristupom i karakteristikama.

Cilj izviđanja od strane napadača jest otkriti osjetljive informacije o meti. Neki od tipova informacija koji su im u cilju otkriti su:

• dozvole datoteka,
• pokrenute mrežne usluge,
• operativni sustav,
• odnosi među sustavima i
• informacije o korisničkim računima.

Razumijevanje tih aspekata omogućuje napadačima da bolje planiraju svoje napade i potencijalno ostvare neovlašteni pristup ključnim resursima [2].

Pasivne tehnike izviđanja predstavljaju pristup prikupljanju informacija o meti bez izravne interakcije. Pasivne tehnike izviđanja često se koriste kao prvi korak u procesu prikupljanja informacija. Ovaj pristup omogućuje istražiteljima prikupljanje podataka uz minimiziranje nepotrebne “buke”, za razliku od aktivnih tehnika kod kojih su češće mogući slučajevi da čin izviđanja ostane zabilježen, npr. u logovima sustava. U nastavku slijedi popis nekoliko ključnih pasivnih tehnika izviđanja:

• Open-Source Intelligence (OSINT): OSINT uključuje prikupljanje informacija iz javno dostupnih izvora. To može obuhvatiti istraživanje web stranica, društvenih medija, foruma ili drugih online resursa kako bi se stekao uvid u metu.

• DNS Analysis: Analiza DNS-a fokusira se na istraživanje DNS zapisa kako bi se identificirali povezani resursi, kao i saznale informacije o domeni, IP adresama, vrijednostima TTL paketa i DNS imena [3].

• Wi-Fi Sniffing: Pasivno praćenje Wi-Fi mreža omogućuje identifikaciju dostupnih mreža, povezanih uređaja i drugih informacija o mrežnom prometu.

• Packet Sniffing: Analizom mrežnog prometa putem alata poput Wiresharka mogu se prikupiti informacije o komunikaciji između sustava, uključujući vrste podataka koje se prenose.

• Social Media Analysis: Proučavanje aktivnosti na društvenim medijima omogućuje stvaranje profila mete, uključujući interese, povezanost i druge relevantne informacije osoba koji su ondje zaposleni [4].

Aktivne tehnike izviđanja u računalnoj forenzici uključuju direktnu interakciju s ciljanim sustavom u svrhu prikupljanja informacija. Ovo uključuje upotrebu alata poput automatiziranih skenera, testiranje sustava, korištenje alata kao što su ping i netcat, ali i nekim drugim tehnikama kao što su fizičko izviđanje lokacija i socijalni inženjering.

Aktivne tehnike izviđanja obično su brže i preciznije u usporedbi s pasivnim tehnikama, ali s povećanim rizikom od otkrivanja i tendencijom ostavljanja više dokaza koji mogu poslužiti prilikom provođenja postupaka računalne forenzike, budući da generiraju veću količinu “buke” u sustavu. Aktivne tehnike izviđanja pružaju dublji uvid u ciljane sustave, ali istovremeno nose veći rizik od otkrivanja. U nastavku slijede neke od ključnih aktivnih tehnika izviđanja [5]:

• Port Scanning - Port scanning je tehnika koja se koristi za identifikaciju otvorenih portova na ciljnom sustavu. Ovaj postupak omogućuje napadaču da otkrije koje usluge ili aplikacije rade na određenim portovima, pružajući ključne informacije o potencijalnim ranjivostima sustava.
• Network Mapping - Mrežno mapiranje uključuje identifikaciju svih uređaja i njihovih međusobnih veza unutar ciljne mreže. Ova tehnika pomaže napadaču da stvori cjelovitu sliku o arhitekturi mreže te identificira potencijalne točke ulaska. Ova metoda usko je povezana s pasivnom tehnikom DNS Analysis.
• Service Fingerprinting - Fingerprinting usluga koristi se za identifikaciju specifičnih usluga ili aplikacija koje rade na ciljnom sustavu. Ovaj postupak omogućuje napadaču da sazna više o konkretnim verzijama i ranjivostima softvera koji se koristi. Neki od načina provođenja fingerprintinga su analiza (mrežnih) protokola, proučavanje paketa prilikom uspostavljanja komunikacije i proučavanjem paketa prilikom prekida komunikacije.
• Social Engineering - Socijalno inženjerstvo je posebno važna aktivna tehnika izviđanja koja uključuje manipulaciju ljudima kako bi se dobile informacije ili pristup sustavima. Neke od tehnika su:
  1. ​​Phishing - način prijevare u kojoj se mete (najčešće zaposlenici sustava) potiče na instaliranje različitih malicioznih aplikacija ili otkrivanja tajnih informacija [6].
  2. Pretexting - tehnika u kojoj napadač kreira izmišljeni scenarij kako bi manipulirao pojedincima (npr. pretvaranje da je napadač IT stručnjak te da su joj brzo potrebni vaši osobni podaci kako bi “zaštitio” metu od nečega [7].
  3. Druge metode usmjerene na iskorištavanje ljudskih slabosti.
• Physical Reconnaissance - Fizičko izviđanje uključuje neposredno fizičko istraživanje lokacija mete, kao što su poslovne zgrade, data centri ili drugi objekti. Ove informacije mogu pružiti dodatne uvide u sigurnost sustava.

Prevencija i detekcija tehnika izviđanja ključne su komponente za očuvanje sigurnosti računalnih sustava. Razumijevanje i primjena odgovarajućih mjera mogu značajno smanjiti rizik od uspješnog izvođenja izviđanja od strane napadača. U kontekstu računalne forenzike, metode detekcije recon tehnika predstavljaju bitan faktor indikacije odgovornosti pojedinca. U nastavku su opisane neke od ključnih strategija prevencije i detekcije [4]:

• Korištenje Honeypota - Honeypot je sigurnosni mehanizam dizajniran za privlačenje napadača [8]. Postavlja se kao prividna usluga (npr. pravi server s IP adresom) koja ne pruža nikakvu stvarnu funkcionalnost prilikom normalnog korištenja sustava/usluge. Svrha mu je zavarati napadače, prikupljati informacije o njihovim taktikama i omogućavati istražiteljima da prate i analiziraju njihove aktivnosti. Različite vrste Honeypota uključuju high-interaction (potpuno funkcionalni sustav) i low-interaction (simulirani sustav) Honeypote. Ova tehnika igra ključnu ulogu u otkrivanju napadača i razumijevanju njihovih metoda.

• Redovito ažuriranje sigurnosnih mjera - Održavanje sigurnosnih sustava ažurnima ključno je za sprječavanje poznatih ranjivosti koje napadači mogu iskoristiti tijekom izviđanja. Redovito ažuriranje operativnih sustava, antivirusnih programa, vatrozida i ostalih sigurnosnih alata ključno je za održavanje robusnog sustava.

• Obrazovanje i osvješćivanje korisnika - Edukacija korisnika igra važnu ulogu u prevenciji socijalnog inženjeringa. Korisnici bi trebali biti upoznati s potencijalnim prijetnjama, prepoznavati sumnjive aktivnosti i izbjegavati dijeljenje osjetljivih informacija.

• Implementacija stroge politike pristupa - Postavljanje i provedba stroge politike pristupa koja kontrolira tko ima pristup kojim resursima može značajno smanjiti rizik od neovlaštenog izviđanja. To uključuje upravljanje dozvolama datoteka, ograničavanje pristupa mrežnim uslugama te praćenje i reviziju korisničkih računa.

• Automatizirani sustavi detekcije - Upotreba automatiziranih sustava detekcije, poput IDS (Intrusion Detection System) i IPS (Intrusion Prevention System), može brzo identificirati neobične aktivnosti i pokušaje izviđanja. Ti sustavi mogu automatski reagirati i blokirati potencijalno opasne aktivnosti.

• Analiza mrežnog prometa - Sustavi analize mrežnog prometa mogu identificirati neobične ili sumnjive aktivnosti u prometu, što može ukazivati na pokušaje izviđanja. Praćenje prometa i analiza mrežnih logova omogućuju otkrivanje nepravilnosti u komunikaciji koje se mogu povezati s izviđanjem.

• Analiza datotečnog sustava - Analizom metapodataka datotečnog sustava moguće je otkriti promjene u dozvolama datoteka, stvaranjima novih korisničkih računa ili neovlaštenim izmjenama ključnih sustavnih datoteka koji mogu biti naznaka pripremanja većeg napada. Neobični uzorci pristupa datotekama također mogu ukazivati na provođenje izviđanja sustava.

• Analiza radne memorije - Ako je dostupan screenshot radne memorije, provođenjem forenzičkih postupaka mogu se otkriti detalji o aktivnim procesima, otvorenim mrežnim vezama ili ubačenom kodu koji može ukazivati ​​na izviđanje.

Tehnike izviđanja koje se dijele na pasivne i aktivne zahtijevaju duboku razinu razumijevanja i kako bi se efikasno provelo istraživanje u računalnoj forenzici. Izviđanje predstavlja ključni korak u procesu napada, omogućujući napadačima stvaranje preciznih profila ciljanih sustava i identifikaciju potencijalnih ranjivosti.

Analiza pasivnih tehnika, poput Open-Source Intelligence (OSINT) i analize DNS-a, pokazuje kako istražitelji mogu prikupiti informacije bez izravne interakcije, često minimalizirajući svoj trag. S druge strane, aktivne tehnike izviđanja, poput port scanninga i socijalnog inženjeringa, zahtijevaju direktnu interakciju s ciljanim sustavom, pružajući napadačima brže, ali i rizičnije uvide.

Kroz proučavanje ključnih strategija prevencije i detekcije, poput korištenja Honeypota i stroge politike pristupa, moguće je identificirati potencijalno zanimljive dijelove sustava napadačima, ali i istražiteljima koju sudjeluju u forenzičkoj istrazi.

[1] https://en.wikipedia.org/wiki/Footprinting

[2] https://www.blumira.com/glossary/reconnaissance/

[3] https://securitytrails.com/blog/dns-enumeration

[4] Roy, Shanto, et al. “Survey and taxonomy of adversarial reconnaissance techniques.” ACM Computing Surveys 55.6 (2022): 1-38.

[5] Mazurczyk, Wojciech, and Luca Caviglione. “Cyber reconnaissance techniques.” Communications of the ACM 64.3 (2021): 86-95.

[6] https://en.wikipedia.org/wiki/Phishing

[7] https://en.wikipedia.org/wiki/Pretexting

[8] Bringer, Matthew L., Christopher A. Chelmecki, and Hiroshi Fujinoki. “A survey: Recent advances and future trends in honeypot research.” International Journal of Computer Network and Information Security 4.10 (2012): 63.