MerkleMap, czyli prosty i szybki sposób na poznanie (praktycznie) wszystkich subdomen dostępnych w ramach domeny

W ostatnich dniach analizę infrastruktury informatycznej pewnej firmy, co było operacją poprzedzającą szkolenie z bezpieczeństwa dla pracowników. Dodatkowo, na tym etapie była to analiza tylko i wyłącznie z zewnątrz, bez dostępu do informacji przygotowanych specjalnie na naszą prośbę, o które wystąpiliśmy później. I tu zaskoczeń było kilka – głównie osób z tej firmy, choć i u nas momentami pewne zdziwienie się pojawiło. Jednym z pytań, jakie dostaliśmy po takiej analizie, było to, jak nam się udało tak szybko wyłapać wszystkie usługi postawione na różnych subdomenach, nie zawsze oczywistych. Odpowiedź na to pytanie zaskoczyła jeszcze bardziej właściciela firmy, zwłaszcza że sam coś tam o IT wie…

I tu na scenę wchodzi relatywnie nowy serwis MerkleMap, za pomocą którego można dosłownie w jednej chwili poznać praktycznie wszystkie subdomeny dla wybranej domeny. Działa to naprawdę szybko, naprawdę skutecznie (przeważnie) i jest proste jak korzystanie z wyszukiwarki. Co w sumie nie dziwi, bo to właściwie jest to wyszukiwarka, tylko wpisujemy tam domeny.

Napisałem, że można szybko poznać praktycznie wszystkie subdomeny, oraz że przeważnie działa skutecznie. A to dlatego, że MerkleMap nie skanuje subdomen na zasadzie brutalnego wyszukiwania znak po znaku, a korzysta w tym celu z… certyfikatów SSL. A konkretnie CT Logs, czyli Certificate Transparency (CT), m.in. od takich dostawców certyfikatów SSL jak Google, Cloudflare, i Let’s Encrypt. Tak więc subdomeny bez certyfikatów, czy z certyfikatami, ale „globalnymi” (Wildcard SSL) teoretycznie mogą być niewidoczne. Teoretycznie, bo oprócz analizy „po certyfikatach”, MerkleMap zapuszcza swojego bota skanującego (MerklemapBot), który skanuje strony w poszukiwaniu róznych informacji, zapewne też linków do subdomen.