Huellas digitales del sistema operativo: ¿puedo confiar en los resultados?

  

1. ¿Puede un sitio web realmente falsificar una respuesta dada a un escáner de red?
  

Sí, pero muy pocas respuestas intencionadamente falsas. Sin embargo, eso no significa que no obtendrá resultados de huellas digitales incorrectos de forma regular; Hay razones más comunes para los resultados incorrectos. Muchos escáneres de red tendrán respuestas no válidas debido a cambios en la configuración del sistema operativo predeterminado o, en el caso de Nmap, la incapacidad de recopilar todos los datos necesarios para construir una huella digital completa. Para obtener la huella digital de Nmap más precisa posible, el host de destino debe (consulte el libro de Nmap en la tema),

1. Have at least one open TCP port
2. Have at least one closed TCP port
3. Have at least one closed UDP port
4. Respond to ICMP Echo requests

Parte del poder del escáner Nmap OS en comparación con herramientas más simples es que combina pruebas de múltiples protocolos e intenta producir un resultado que es una combinación de muchas sondas diferentes, pero también es una desventaja porque muchos hosts no responden a todas las sondas necesarias para generar una huella digital completa (muchas máquinas bloquean pings ICMP, por ejemplo). Rellenará los valores predeterminados para las pruebas faltantes y esperará que las pruebas que podrían ejecutarse en el host sean suficientes para distinguir su identidad, pero en la mayoría de los casos, lo mejor que obtendrá es una coincidencia "borrosa" (no una coincidencia exacta de huellas digitales) , pero algo que está cerca).

Escribir herramientas de toma de huellas digitales es una tarea difícil, muchos sistemas operativos se comportan de una manera muy similar, y distinguirlos puede ser casi imposible. Como ya ha visto, muchas versiones de Windows (en este caso Windows 7 y Server 2008) se agrupan porque las implementaciones de la pila de red son idénticas o casi idénticas.

Otro problema que a veces puede cambiar los resultados es la temporización de paquetes y el retardo de la red. Varias de las funciones de huellas dactilares de Nmap se basan en la sincronización exacta entre las sondas enviadas y la respuesta, combinadas con elementos como las marcas de tiempo TCP y los números de secuencia. Si un paquete se retrasa por un segundo debido a un poco de retraso, un reenvío en algún lugar a lo largo de la ruta de enrutamiento, o un pico de uso de la CPU en la máquina de destino, realmente puede ver diferencias en la huella digital de Nmap, lo que significa ejecutar un análisis del sistema operativo Nmap en ¡El mismo objetivo más de una vez puede darte resultados ligeramente diferentes!

  

1. ¿Existe actualmente una herramienta que sea capaz de detectar el sistema operativo en funcionamiento al cien por cien seguro?
  

No. La mejor manera es usar una combinación de herramientas y sentido común. La ejecución de un escaneo de Nmap puede darle una idea básica de qué sistema operativo se está ejecutando y, a menudo, puede reducirlo mirando las versiones y los banners de los servicios que ve. Si ve una máquina que informa sobre Linux 2.6 y luego ve un anuncio de SSH que dice SSH-2.0-OpenSSH_4.6 Debian-4, puede estar más seguro de que el escaneo del SO fue correcto. Si comienza a ver información conflictiva, como una máquina que Nmap cree que es FreeBSD pero está ejecutando Microsoft IIS, entonces necesita más investigación y debería estar más cansado de los resultados del sistema operativo. Está picando una caja negra en el otro lado de Internet e intenta extrapolar lo que está dentro de lo que le dice, pero lo que le dice puede ser una mentira o simplemente una confusión.

Primero, la teoría
La toma de huellas dactilares del SO funciona examinando las peculiaridades de cómo una computadora determinada responde al tráfico de la red. Si bien los RFC especifican mucho sobre el comportamiento de la pila TCP / IP, algunos de los detalles o valores predeterminados pueden no estar especificados oficialmente, y algunos sistemas operativos pueden desviarse ligeramente incluso en el comportamiento prescrito. Dado que el comportamiento de bajo nivel de la pila TCP / IP generalmente se implementa en el sistema operativo, las diferencias de implementación generalmente revelan el sistema operativo en uso.

A continuación, las complicaciones
Dicho esto, es razonablemente simple, casi trivial, deshacerse de estos sistemas de detección. Dado que estos sistemas de toma de huellas dactilares se basan en el supuesto de que los ajustes, como el tamaño de la ventana inicial o el TTL, nunca se cambian, simplemente cambiar los valores predeterminados suele ser suficiente para lanzar el sistema. Si bien algunos comportamientos examinados reflejan diferencias de código, otros aspectos son configuraciones configurables por el usuario que generalmente nunca se cambian.

De hecho, más allá de solo confundir las herramientas de huellas digitales del sistema operativo, existen herramientas adicionales con el propósito expreso de proporcionar resultados muy específicos pero "falsificados" en respuesta a los intentos de huellas digitales.

Para responder el título de la pregunta:

Sí, hasta un 90%, como nmap dijo.

Y por tus puntos:

1. Sí, ese es el trabajo de honey pots
2. no (100%, seguramente no. ¡El 100% no existe de todos modos!)

honeypot son servidores falsos que funcionan para presentarse como cualquier tipo de sistema existente, con la esperanza de que un atacante intente continuar. A partir de ahí, muchos mecanismos garantizarán que el atacante crea que está rompiendo con éxito la seguridad del sistema, que registre las acciones de cada atacante ...

A partir de ahí, honeypot podría aprender mucho sobre fallas de seguridad que el atacante está tratando de explotar e incluso hacer una especie de huella digital para identificar al atacante por su reflejo, método de prueba, teclado frecuencia de golpeo y otra participación personal (la dirección IP permanece secundaria).

¿Quieres venir a ser pegado en mi miel, mon pote ?

( mon pote es una traducción al francés de mi amigo)

xprobe2 no se han actualizado en años, por lo que no le dará resultados precisos en un sistema operativo más nuevo. Creo que fue lanzado en 2005 en el marco de tiempo. Nada va a ser 100% exacto. Como se señaló en otros subprocesos, puede modificar los banners de los sistemas subyacentes (engañar a las herramientas de huellas dactilares del sistema operativo pasivo), ajustar su pila de IP (engañar tanto a las herramientas activas como a las pasivas), etc.

Lo que hacen las herramientas como nmap y xprobe es tratar de contactar a los servicios en la máquina, buscar puertos abiertos, ver si responden a ciertas consultas y cuáles son sus respuestas. Por supuesto, todo esto puede ser controlado por el servidor con el que se está contactando, que le pueden decir a su herramienta de análisis lo que quieran. Así que no, no hay un método al 100% para detectar el sistema operativo en ejecución al sondear una máquina a través de un escáner de red.