Penetrační testy

V době stále se zvyšující komplexnosti operačních systémů i aplikačního programového vybavení dochází ke stále častějším objevům bezpečnostních děr (security holes) v těchto produktech. Různé skupiny, sdružující se převážně na Internetu těchto "děr" využívají a tvoří programy, které pomocí nich mohou kompromitovat informační systém; tyto programy jsou pak volně dostupné pro všechny uživatele Internetu. To znamená, že pro narušení systému již nejsou potřebné žádné speciální znalosti a techniky - narušení může provést kdokoli, kdo si daný program zrovna "stáhne".

Velmi alarmující jsou statistiky, které uvádějí, že až 90% realizovaných útoků na informační systém probíhá zevnitř organizace, tj. provádějí je vlastní zaměstnanci.

Penetrační testování slouží především k prověření bezpečnosti jednotlivých komponent informačního systému a testu odolnosti vůči v současné době známým útokům. Jeho cílem je bezpečnostní problémy tohoto typu odhalit a doporučit vhodná protiopatření k eliminaci rizik.

Penetrační testy zahrnující dvě hlediska:

  • analýza bezpečnosti IS proti případnému narušiteli, nacházejícímu se v prostředí organizace (např. odolnost IS vůči narušení zaměstnancem organizace)
  • analýza stavu zabezpečení IS z hlediska jeho narušitelnosti z prostředí Internetu, případně jiných sítí, k nimž je organizace připojena a nad nimiž nemá přímou kontrolu (odolnost vůči vnějšímu narušiteli)

Celá analýza bezpečnosti IS je primárně zaměřena na řešení potenciálních bezpečnostních rizik z hlediska softwarových problémů, detekci zranitelností v používaných operačních systémech a aplikacích (backdoorů, security holes apod).

Testy jsou prováděny za pomoci široké palety nástrojů, testujících odolnost firewallu, konfiguraci síťových služeb, detekujících obecné zranitelnosti operačních systémů apod. Jedná se o prostředky typu „security scanner“ i jednotlivé specializované testy spouštěné z konzole, testující odolnost konkrétních síťových služeb vůči v současné době známým útokům.

V současnosti existuje více než 800 různých způsobů, kterými lze napadnout zařízení, připojená do počítačové sítě.

Tyto útoky se liší použitými prostředky a cíli. Útoky mohou způsobit následující škody:

  • Nedostupnost služby - tzv. DoS útoky (Denial of Service) - způsobí, že případná služba (http, ftp…), na kterou byl prováděn útok přestane být funkční - může dojít i k "zatuhnutí", případně restartu serveru apod.
  • Neoprávněný přístup - výsledkem útoku může být to, že útočník neoprávněně získá plný nebo částečný přístup k zařízení, a to mu následně umožní provádět neautorizované změny v konfiguraci, mazání nebo modifikaci souborů apod. Často bývá takto napadený server využíván jako základna pro provádění útoků na další zařízení.
  • Získání důvěrných informací - výsledkem útoku může být získání citlivých informací - např. seznam uživatelských jmen a hesel apod.

Vlastní analýza je prováděna spuštěním testů na jednotlivé testované stroje (v případě interního testování obvykle předpokládáme testování všech pracovních stanic, serverů a aktivních prvků, v případě externího testování pak jsou do testů zahrnuty všechny prvky informačního systému, „viditelné“ z externí sítě). Testy simulují činnost skutečného útočníka, který by se snažil příslušná zařízení napadnout.

Před započetím testů je potřeba provést rozhodnutí, zda do testů budou zařazeny i DoS útoky (Denial of Service – útoky, jejichž cílem je zastavení, případně dočasné znefunkčnění zařízení). V případě jejich zařazení je možné, že testované zařízení bude dočasně vyřazeno z činnosti (např. nebudou-li na serveru nainstalovány doporučené softwarové záplaty, může dojít k jeho zastavení, vyžadujícímu restart).

Analýzu lze provést i bez zařazení tohoto typu testů. Potom však hrozí, že nebude-li uvedená zranitelnost odhalena, může ji v budoucnu útočník využít. Všechny testy jsou po dohodě vždy prováděny tak , aby nebyl narušen uživatelsky nutný provoz systému.

V průběhu testů jsou na zařízeních detekovány:

  • Backdoory – jedná se obecně o škodlivý kód - programy, umožňující útočníkovi získat kontrolu nad strojem, na kterém je program spuštěn, včetně možnosti provádět jeho vzdálenou administraci. Na počítač je obvykle tento program nainstalován bez vědomí uživatele (např. prostřednictvím otevření přílohy e-mailu).
  • CGI scripty – jedná se o skripty (skupiny příkazů, provádějících definovanou činnost), obvykle umístěné na www serveru. U řady těchto skriptů byla objevena možnost jejich zneužití – útočník tak má např. možnost získat plnou kontrolu nad www serverem (a po jeho kompromitaci pak i k dalším částem IS).
  • DNS systémy – jedná se o službu převodu jmenné adresy počítače nebo síťového zdroje do formátu číselné IP adresy. Při chybné konfiguraci DNS je možné zneužití této služby – např. předstíráním identity síťového zařízení.
  • mailové systémy – celá řada systémů pro přenos a zpracovávání e-mailové komunikace vykazuje vážné bezpečnostní chyby, které mohou být zneužity nejrůznějším způsobem. Může se jednat o útoky od využití poštovního cizího serveru pro posílání vlastních zpráv (problematika spamu) až po získání plné kontroly nad strojem, na kterém je mailový systém provozován.
  • ftp systémy – systémy, poskytující nebo využívající službu přenosu souborů (File Transfer Protocol) jsou v závislosti na použitém operačním systému a verzi softwaru ftp, ohroženy řadou potenciálních zranitelností, jejichž zneužitím může být zpřístupnění celého stroje (a následně dalších strojů v síti) útočníkovi, nebo vzdálené zastavení počítače, na němž je služba ftp spuštěna.
  • LDAP systémy – jedná se o systémy, využívající adresářovou službu LDAP (Lightweight directory access protocol). S používáním této služby jsou spojena některá bezpečnostní rizika, spočívající v možnosti využití této služby neoprávněnými uživateli.
  • síťové odposlouchávání – v lokálních počítačových sítích je velkým problémem možnost síťového odposlouchávání, kdy kterýkoli uživatel sítě má možnost za pomoci některého z řady jednoduchých, volně dostupných, programů monitorovat jednotlivé pakety s daty. Pomocí tohoto programu může sledovat např. pouze komunikaci jednotlivé vybrané osoby, může dále určit, že v rámci této komunikace bude sledovat pouze zadávaná hesla, příchozí nebo odchozí poštu, webové stránky, které si daná osoba prohlíží apod.
    Cílem je detekovat tyto programy na pracovních stanicích jednotlivých uživatelů a i za pomoci dalších vodítek (zejména softwarové přepnutí síťové karty do tzv. „promiskuitního režimu“) identifikovat potenciálně problematické uživatele.
  • NFS systémy – jedná se o technologii, zpřístupňující data na síťových discích lokálním uživatelům prostřednictvím protokolu NFS (Network file systém), primárně na systémech UNIXového typu. S používáním tohoto protokolu souvisí řada bezpečnostních rizik, spočívajích v možnosti neautorizovaného přístupu k jednotlivým diskovým svazkům a následné kompromitaci celého systému.
  • systémy založené na RPC – jedná se o specifické zranitelnosti systémů, využívající vzdálené volání procedur (Remote procedure call). Zranitelnoti tohoto typu může útočník využít k získání plného přístupu ke stroji.
  • systémy se sdílením zdrojů – jedná se o systémy, které nabízejí své prostředky (např. diskový prostor) ostatním prvkům informačního systému. Sdílení zdrojů může být realizováno prostřednictvím technologie SMB, samba a další. U těchto systémů byla objevena řada zranitelností, umožňující získání neautorizovaného přístupu.
  • SNMP systémy – jedná se o skupinu zranitelností, využívající bezpečnostních děr v implementaci Simple Network Management Protocolu. Tohoto protokolu je typicky využíváno především při vzdálené správě aktivních prvků sítě. Útočník, který zneužije některé ze slabin, založených na tomto protokolu může např. změnit adresaci celé počítačové sítě.
  • X window systémy – jedná se o skupinu zranitelností, založených na X-Window (grafická nadstavba operačních systémů UNIxového typu, založená na architektuře klient-server). X server poslouchá na nějakém portu, aplikace se na něj může připojit a komunikovat s X serverem - což jí umožní nejenom se graficky prezentovat, ale samozřejmě i vidět obsah obrazovky, snímat stisknuté klávesy a monitorovat pohyby myší. Tímto základním způsobem může útočník monitorovat např. nezabezpečenou komunikaci mezi X serverem a stanicí uživatele.
  • firewally – firewally, oddělující prostředí lokální sítě od okolního prostředí mají velmi rozsáhlou množinu specifických zranitelností. Mezi ně patří především DoS útoky, zranitelnosti, založené na změně směrování apod.

další démony a síťové služby, které nesouvisí s výše uvedenými položkami

IT - Security s.r.o., Klatovská třída 7, 301 00 Plzeň - tel.: +420 377 320 571 / fax: +420 377 310 920