Polska
Profesjonalne testy penetracji
4 Października 2017
Kiedy mówimy o włamanie, to nie ma znaczenia, etyczne, czy nie, w umysłach większości ludzi jest o obrazie: ciemny pokój, wiele monitorów i nieustannie patrząc na ich atakującego, który jest jednym z regularnych niewyspania stał tylko niejasno przypominają zwykłą osobę. W rzeczywistości czy włamaniami złożonych struktur zajmujących się tylko jeden prodesjonalista, a czy w celu ochrony własnego badania struktury IT musimy zatrudnić tych ludzi? A wynik będzie, jeżeli uprawniony do zapewnienia eksperta IT-hakerskich narzędzi i prawidłowej procedury? Musisz się dowiedzieć.
Na początek będziemy musieli poruszyć podstawy techniki - jej podstawowe techniki: testy zwykłe na włamania, monitorowanie niepewności i badanie konfiguracji.
Testowanie włamań
Podczas korzystania z tego typu testów konieczne jest działanie w taki sam sposób jak hakerzy: znajdź słabości systemu, które są najprostsze w użyciu, a następnie zacznij współpracę bezpośrednio z nimi, aby osiągnąć określony cel. Zazwyczaj głównym zadaniem jest uzyskanie praw administracyjnych lub niektórych informacji (na przykład informacji o płatnościach dla niektórych pracowników).
Główna różnica między testem inwazji a "hackerem" polega na znalezieniu nie wszystkich dostępnych słabości, ale tylko tych, które są odpowiednie do wykonywania jasno zdefiniowanego zadania (a także do rzeczywistej penetracji). Ze względu na praktyczne zastosowanie słabości systemu, takie działania mogą mieć negatywny wpływ na pracę całej struktury IT: zawieszenie i przeciążenie serwera znacznie przyczyniają się do pracy administratorów systemów i nie będą w ogóle cieszyć się przez władze.
Niepewność systemu monitorowania
Co byś zrobił, gdybyś musiał włamać się do serwisu "z nagimi dłońmi"? Najpierw spróbowaliśmy dowiedzieć się, jaka jest wersja zaangażowanego serwera WWW lub systemu CMS. I wszystko, aby znaleźć najbardziej prymitywny sposób (nawet za pośrednictwem wyszukiwarki) informacje w Internecie o słabościach już znalezionych i stworzonych exploitów. Hakerzy robili to samo 10 lat temu, robią to samo dzisiaj.
Ale teraz można było automatyzować ten proces, który w rzeczywistości zdecydował się na twórców analizatorów bezpieczeństwa: narzędzia do skanowania luk w zabezpieczeniach. Jedyną różnicą jest to, że zamiast wyszukiwarek, skanery korzystają z baz danych.
Wykorzystanie skanerów niezabezpieczonych pozwala szybko naprawić wszystkie znalezione problemy i zreorganizować strukturę informatyczną. Logika takich analizatorów jest jednak liniowa, tzn. Łatwo przegapić skomplikowane kombinacje słabości, tworząc razem ogromny "otwór" w systemie ochrony.
Proponujemy rozważyć taki przykład. Jedna z najbardziej znanych organizacji przemysłowych zleciła test braku pewności. W pierwszym dniu testów wewnątrz firmy zwracamy uwagę na monitor komputerowy sekretarza - starannie przyklejoną naklejkę z hasłem do zapisu użytkownika. Łatwo jest zrobić zdjęcie naszego znaleziska. Za chwilę, dzięki nam w tej książce akademickiej, uruchamiana jest wyszukiwarka dla osób otwartych do użytku lokalnego (lub "udostępnionych", jak tylko chcesz) folderów (w chwili gdy taki skaner jest dostępny z Tenable). W rezultacie możemy łatwo znaleźć stację roboczą specjalisty ds. Wsparcia technicznego, odpowiedzialnego za instalowanie obrazów systemu operacyjnego na urządzeniach nowych pracowników.
Dla niego i oczywiście dla nas bardziej wygodny, otworzył lokalny dostęp do folderu gotowymi obrazami. I nie pogardzmy skorzystać z tego rodzaju uprzejmości, aby "wyciągnąć" haseł haseł administratora, które będą musiały być untwisted przez całą noc. W rezultacie dostajemy dostęp administratora tylko w jednym dniu! Wspólny skaner wykrywający lukę wykrył tę "kulę", ale sprawdzenie, czy jest wewnętrzna i "spinning", nie jest już jego kompetencją.
Z tego łatwo jest wyciągnąć następujący wywiad: skanowanie luk w zabezpieczeniach pozwala przyspieszyć proces testowania, ale nie może zapewnić jego dokładności i złożoności.
Badanie albo analiza konfiguracji
Każdy składnik struktury IT (system operacyjny, system zarządzania bazami danych, sprzęt sieciowy i wiele innych) ma ogromną liczbę różnych ustawień, które decydują o stopniu ochrony. Parametry optymalnego ustawienia można znaleźć w dokumentach dostawcy lub w publikacjach profesjonalistów, którzy dzielą się swoimi doświadczeniami. Na podstawie takich informacji organizacje takie jak Narodowy Instytut Norm i Technologii od wielu lat opracowują listy kontrolne umożliwiające analizę konfiguracji różnych systemów. Dzisiaj postęp pozwala analizować konfigurację nie tylko ręcznie, ale także za pomocą automatycznych narzędzi programowych, ale bez względu na metodę, z której korzystasz, na pewno potrzebujesz uprawnień administratora systemu, który ma być badany. Taka analiza jest najbezpieczniejszym wyborem do zbadania stopnia ochrony, ale ma również swój niuans - to wymaga najwięcej czasu.
Wyszukaliśmy trzy metody testowe. Ale teraz musimy pamiętać, dlaczego testy są w ogóle wykonane, w jakim celu.
Zadanie testów bezpieczeństwa
Ostatnio te dwa cele są najczęstsze: znalezienie jak największej liczby rzeczywistych słabości systemu, które mogą zostać szybko wyeliminowane, a równocześnie zorganizować kontrolę zdolności pracowników. Aby wykonać zadanie, potrzebujemy pełnego testu, ale niemożliwe jest użycie tylko jednej z powyższych metod w celu przeprowadzenia wszechstronnego testu. Proste testy dotyczące inwazji nie pokrywają wszystkich prawdziwych słabych punktów. Używając skanera, jesteśmy skazani na stertę fałszywych wyników, a nieprawidłowo określone parametry, które można znaleźć podczas sprawdzania konfiguracji, niekoniecznie prowadzą do włamania. Kombinowane metody to są rozwiązania.
Kompleksowe testy bezpieczeństwa
Aby stworzyć metodę pełnoprawnego testowania zabezpieczeń, rozsądnym jest przyjęcie algorytmu rzeczywistych hakerów. Mamy jednak jedną korzyść: możemy łatwo użyć wysoce skutecznych narzędzi, które nie pozwalają nam maskować naszych działań (w przeciwieństwie do intruzów).
Sama operacja badawcza może być podzielona na kilka etapów odpowiadających manipulacjom tej penetracji:
1. Oświadczenie o problemie.
2. Zidentyfikować słabości systemu.
3. Ich wykorzystanie.
4. Uzyskanie uprzywilejowanych praw i rozpowszechnianie wpływów.
Etap 1: Oświadczenie o problemie
Jest to jedyna część testów, która może zostać wykluczona, jeśli klient dostarczy nam listę niezbędnych celów.
Teraz jednak rozważamy sprawę odwrotną. Zamówiliśmy zewnętrzne testy i od klienta dowiedzieliśmy się tylko nazwy niezbędnej organizacji. Więc będziemy musieli się urzeczywistnić jako pełnoprawny zwiadowca internetowy i znajdować źródła informacji klienta, jego pracowników (szczególnie ważne, gdy projekt wykorzystuje techniki inżynierii społecznej).
Na tym etapie musimy zbadać i zrobić:
• Zasoby internetowe współdziałające z organizacją klienta lub dokładniej: odpowiednie domeny, wiadomości e-mail, struktura organizacyjna i tak dalej.
• Miejsca wolnych miejsc: dowiadujemy się, kto jest potrzebny dla dyrektora IT klienta.
• Witryny firm dostarczających naszym klientom niektóre narzędzia / usługi informatyczne. Co, jaki czas i jak to zrobili.
• Poproś listę sieci zarejestrowanych w kliencie i używanych dostawcy adresów IP w usłudze whois.
• Dowiedz się, czy klient ma zasoby internetowe z nazwami domen 3-poziomowych (na przykład vpn.example.com, ftp.ex. com itp.), Żądając informacji z serwerów DNS.
• Znajdź usługi pocztowe używane przez klienta.
W wyniku dostajemy listę adresów IP zasobów internetowych, które bezpośrednio odnoszą się do naszego klienta, przyciąga specjalistów i innych.
Jeśli rozważymy wewnętrzne testy, powinniśmy natychmiast dać dostęp do wylotu, prawo do słuchania ruchu sieciowego i określić limit sieci IP do pracy.
Etap 2: Określenie słabości systemu
Jeśli znane są główne zadania, nic nie stoi na przeszkodzie, aby zacząć szukać luki w zabezpieczeniach systemu. Zazwyczaj dzieje się to za pomocą skanowania oprogramowania, ale nie należy zapominać o metodzie ręcznej (szczególnie przydatnej podczas pracy z aplikacjami internetowymi).
Następnie będziemy mieli listę możliwych słabości systemu, ale każdy z nich nadal musi zostać potwierdzony.
Uwaga: jeśli nie masz dostępu do systemów na tym etapie, trudno mieć nadzieję, że skanowanie wykryje wszystkie rzeczywiste luki w tym węźle. Maksymalna liczba luk w zabezpieczeniach można znaleźć tylko w prawach administratora, więc możliwe jest, że operacja ta będzie musiała być powtórzona.
Etap 3: Korzystanie z luk w zabezpieczeniach
Po otrzymaniu listy niezatwierdzonych luk w zabezpieczeniach konieczne jest, aby umożliwić im sprawdzenie możliwości wykorzystania, a także próba znalezienia tych słabości niewidocznych dla skanerów i nieobecnych w wyszukiwarkach. Ale dlaczego musimy dodać sobie tyle pracy?
1. Aby zamknąć wszelkie naruszenia systemu zabezpieczeń, nieszczęsni administratorzy systemu będą musieli pocić się, ale jak gdyby nie mają już nic do roboty. Ponadto, po zainstalowaniu nawet małej łaty lub rekonfiguracji, różne elementy konstrukcyjne mają właściwość "spada". Z tego względu warto załadować sysadmin tylko do tych problemów, które mają realne niebezpieczeństwo. Ważność luki jest sprawdzana podczas korzystania z nich.
2. Niektóre słabe punkty można sprawdzać tylko podczas pracy (złe hasło, możliwość wtrysku SQL lub XSS).
Aby dowiedzieć się więcej, potrzebujesz:
• Wykorzystaj exploity.
• Przechwytuj ruch za pomocą ARP.
• Znajdź hasła.
• "Rozszyfrowanie" znalezionych haseł haseł.
• Sprawdź możliwość wstrzykiwania SQL lub XSS oraz innych ataków przeznaczonych dla aplikacji internetowych.
• Wykonaj wiele innych rzeczy. Wszystko zależy od konkretnej struktury IT klienta.
Teraz już rozumiemy, co jest naprawdę niebezpieczne i widzimy, co się stanie, jeśli skorzystamy z tych luk. Ponadto testy "walki" pozwalają znaleźć dodatkowe problemy.
Etap 4: Uzyskanie uprzywilejowanych praw i rozpowszechnianie wpływów
Po uzyskaniu dostępu do systemu należy sprawdzić, jaki dostęp został uzyskany i czy można go rozwinąć w systemie (na przykład w prawach administratora), a nawet całej strukturze informatycznej.
Tutaj wybraliśmy hasło użytkownika dla jednego z systemów. Teraz musimy sprawdzić, czy ta sama grupa (nazwa użytkownika / hasło) jest odpowiednia dla innego systemu.
Ta metoda umożliwia znalezienie największej liczby rzeczywistych luk w zabezpieczeniach za pomocą dostępnych narzędzi.