Защита мобильных устройств

Тест на проникновение

Хотя конечно, круг потенциальных злоумышленников


Тестирование на проникновение (penetration testing, пентест) является одной из разновидностей аудита информационной безопасности и относится к популярным во всем мире услугам ИБ. Задачей аудиторов является санкционированное проникновение через существующие средства защиты. То есть аудитор играет роль потенциального злоумышленника.
Зачем же нужны подобные аудиты? Профессионалы и гуру менеджмента ИБ давно ломают копья на тему: «приносит ли пентест пользу?». Однозначных выводов нет до сих пор.

Есть как защитники пентестов, так и их горячие противники, которые считают, что пентест не может адекватно проиллюстрировать состояние ИБ, да и не зачем его проводить, так как безопасники и так все знают. безопасность серверов баз данных Мы являемся сторонниками версии, что пентесты все же полезны. В целом, можно выделить четыре случая, в которых организации заказывают подобные услуги:

    • Требуется доказать несостоятельность защиты;

    • Придать импульс ИБ внутри организации;

    • Проконтролировать текущую ситуацию, получить независимую оценку;

    • Обязательные случаи, предписываемые комплайенсом.



    Службы ИБ многих организаций самостоятельно проводят подобные аудиты, либо один из этапов тестирования на проникновение: сканирование уязвиомстей, однако в рамках статьи мы будем рассматривать только аудиты, проводимые сторонними организациями.
    Следует также расшифровать два понятия, используемых профессионалами: «белый ящик» и «черный ящик». «Белым ящиком» называется пентест, при котором аудитор обладает полной информацией о структуре сети и применяемых средствах защиты. Как правило, в этом случае, аудит проводится в тесном взаимодействии с ИТ и ИБ службами заказчика. «Черным ящиком», как следует из названия, называется подход, когда аудитор не знает ничего о тестируемом объекте. Оба подхода имеют право на существование. «Белый ящик» удобен тем, что тестирование можно легко спланировать и избежать потенциально опасных для сети заказчика моментов. С другой стороны, если системы защиты не способны выдержать любую атаку аудитора, то грош им цена. Хотя случаи, когда системы заказчика «падают», не выдержав тестирования из-за совсем уж некорректной настройки оборудования, достаточно часты. «Черный ящик» намного ближе к имитации действий злоумышленника, хотя профи взлома обычно заранее готовятся и собирают всю доступную информацию об объекте, поэтому тяжело представить, что взломщик совсем уж ничего не знает. В результате сочетания достоинств каждого метода, на свет появился третий подход: «серый ящик», представляющий собой нечто среднее между двумя вышеупомянутыми.
    В процессе подготовки коммерческого предложения на тестирование, заказчик и исполнитель обычно согласовывают не только сроки и стоимость работ, но и применяемый метод, а также форму представления результатов. Как правило, по завершении аудита, заказчик получает отчет, в котором перечисляются обнаруженные исполнителем недостатки системы защиты, а также возможность их эксплуатации. Зачастую, отчет разделяют на тестирование внешнего сегмента сети (интернет, DMZ – демилитаризованная зона) и внутреннего. В подавляющем большинстве случаев, заказчика особо интересует – возможно ли проникновение снаружи во внутреннюю сеть? Хотя конечно, круг потенциальных злоумышленников, отнюдь не ограничивается мифическими хакерами, даже скорее наоборот, чаще всего, злоумышленником является бывший или настоящий сотрудник организации. В практике автора был случай, когда в многофилиальном банке, в одном из далеких от Москвы филиалов, инкассатор притащил на работу диск с программами для взлома, который был приложен к одному из номеров журнала «Хакер», и не придумал ничего лучше, как опробовать эти программы на рабочей сети. Конечно, его действия были замечены системой обнаружения атак, и в результате, ему пришлось долго объяснять службе безопасности, что на самом деле, ничего плохого он сделать не хотел.
    Разбиение на внешний и внутренний тест может также преследовать собой использование разных методов тестирования. Обычно на внешнем сегменте, аудиторам не дают никакой информации о сети, зато позволяют «оторваться на полную», используя любые методы атак. проверить безопасность сервера После завершения внешнего тестирования, внутреннее уже проходит по согласованию с ИТ и ИБ службами. Для проведения тестирования аудиторы обычно пользуются собственными компьютерами, но при внутреннем тесте может использоваться и стандартная рабочая станция.
    Заказчиком тестов внутри организации чаще всего выступают ИБ- или ИТ-директора, которые могут преследовать различные цели.
    Само тестирование в общем виде проходит по следующему сценарию:

      • Сбор информации о сети и пользователях (сотрудниках) Заказчика. Используются общедоступные источники информации (интернет, новости, форумы, конференции, социальные сети). На данном этапе, чаще всего, удается установить список адресов Заказчика в сети интернет, принадлежащие ему домены, а также ответственных лиц. Иногда удается получить список е-мейлов/логинов сотрудников Заказчика, которые в дальнейшем могут использоваться при взломе.

      • Проводится первичное тестирование найденных узлов (так называемый «пробинг»). По реакции на внешнее воздействие составляется карта сети, определяются типы устройств и установленное программное обеспечение. поиск уязвимостей на сайте Далее идентифицируются потенциальные уязвимости сетевых служб и приложений.

      • Детальный анализ всех ресурсов и приложений, расположенных во внешнем сегменте сети. С помощью специальных программ – сканеров и ручными методами детектируются следующие уязвимости: внедрение операторов SQL (SQL Injection), межсайтовое исполнение сценариев (Cross-Site Scripting), подмена содержимого (Content Spoofing), выполнение команд ОС (OS Commanding), уязвимости, связанные с некорректной настройкой механизмов аутентификации и авторизации и пр.

      • Производится эксплуатация найденных уязвимостей. Для некоторых используются общедоступные утилиты (обычно называемые эксплоитами), а часть требует разработки специальных программ. Здесь в полной мере проявляется квалификация аудитора.



      При желании заказчика аудиторы могут проверить устойчивость ресурсов к атакам отказ в обслуживании (DOS, либо DDOS-атаки). Подобные атаки давно превратились в налаженный преступный бизнес. Любой желающий за небольшие деньги может купить услуги так называемых бот-сетей (то есть объединения компьютеров, состоящих под управлением специальной вредоносной программы). Последнее время над созданием бот-сетей трудится целая армия вирусописателей. При чем, подобные услуги стоят сравнительно недорого, а позволяют организовать атаку такой мощи, что отказывает не только атакуемый ресурс, а вообще весь канал связи целиком, или даже провайдер услуг связи. Поэтому, проверка на DOS-атаки последнее время не очень популярна, хотя позволяет обнаружить явные недостатки в настройках устройств, либо работе приложений.
      Помимо вышеперечисленных приемов, в ходе тестирования также проводится проверка устойчивости сети. влияние человеческого фактора на безопасность На канальном уровне проводятся атаки на соответствующие протоколы (STP, VTP, CDP, ARP). При возможности, проводится анализ сетевого трафика с целью перехвата важной информации (пароли или хеши паролей пользователей, документы и т.д.). Например, атаки типа ARP-poisoning (подмена ARP-кеша) как раз и проводятся для перехвата трафика с хоста жертвы. Полученные подобным образом хеши паролей можно «раскрутить» с помощью специального программного обеспечения. Аналогично проводится проверка устойчивости маршрутизации путем фальсификации маршрутов и проведения атаки типа отказ в обслуживании против используемых протоколов маршрутизации. В нашей практике был случай, когда в одной крупной организации сотруднику – разработчику ПО выделили новый компьютер. Следует отметить, что разработчики, в силу своей профессии и реальной служебной необходимости, часто имеют административные права на своей рабочей станции. Сотруднику было необходимо перенести информацию со своей старой машины на новый компьютер. Для этого он включил новый компьютер в сеть и стал настраивать сетевой доступ. Открыл настройки на своем старом компьютере, чтобы посмотреть IP-адрес и забил точно такой же на новом компьютере. Естественно, что два одинаковых IP-адреса в сети существовать не могут, поэтому перенос информации не удался. Тогда этот сотрудник поменял IP-адрес на новом компьютере на другой, снова подсмотрев его на старом компьютере. проверка на sql уязвимость В результате он забил в графу IP-адрес маршрутизатора, и как только применил настройки, в сети произошло распространение изменений таблиц маршрутизации. То есть все пакеты, которые должны были направляться на маршрутизатор, стали приходить на новый компьютер разработчика. Конечно, такого не должно было случиться, коммуникационное оборудование было настроено не корректно. Итогом таких неграмотных, но, казалось бы, невинных действий сотрудника, стал двухчасовой перерыв в работе организации, так как на целом ряде серверов пришлось вручную чистить таблицы маршрутизации.
      Помимо обычных сетей, аудиторы могут также проверить безопасность беспроводных сетей, которые почти всегда существуют в любой организации, так как если даже официально их нет, всегда найдутся мобильные телефоны, КПК, ноутбуки с включенными беспроводными интерфейсами.
      По завершении проверки сети, аудиторы проверяют возможность доступа к информации ограниченного доступа. Производится проверка прав доступа к различным информационным ресурсам с использованием логинов и паролей, полученных в ходе тестирования.
      Все работы аудитора документируются, и затем используются для анализа и выработки рекомендаций по улучшению имеющейся ситуации. Редко какая организация может устоять против взлома квалифицированным аудитором. На памяти автора, среди множества подобных проектов, устояла только одна. По иронии судьбы, она тоже занималась аудитом, тем самым опровергнув известную поговорку «сапожник без сапог». Учитывая, что аудиторы в ходе тестов получают доступ к конфиденциальной информации, при определении исполнителя, заказчику следует внимательно рассмотреть вопросы обеспечения конфиденциальности, включив соответствующие положения в договор. Не лишним также будет проверить репутацию исполнителя путем изучения имеющейся о нем информации. Не случайно, услуги по тестированию на проникновение часто называют «этическим хакингом», а на западе даже существуют соответствующие обучающие курсы по этическому взлому (есть и в России) и сертификационные программы.
      Последнее время, помимо тестирования технической устойчивости к взлому, организации все чаще заказывают проверки сотрудников, для выявления уровня осведомленности персонала о требованиях и угрозах в области информационной безопасности. безопасность веб сервера Такое тестирование проводится методом «социальной инженерии», когда аудитор звонит сотрудникам и, по заранее разработанному сценарию, пытается получить доступ к конфиденциальной информации, например логину и паролю. Приведем пример такого разговора: «Добрый день! Вас беспокоят из IT Help Desk, скажите с Вашим компьютером сегодня проблемы были? Тут у нас небольшие проблемы, Ваш аккаунт необходимо синхронизировать. Скажите имя Вашей учетной записи как пишется. Так, а домен. Ок, через 5 мин можете работать. Чтобы вас не беспокоить больше, скажите пароль. А Вы еще с какими-нибудь ресурсами работаете?» Такое тестирование стало широко известно благодаря Кевину Митнику, человеку, имя которого навеки вписано в историю компьютерных взломов.
      Благодаря своему мягкому, располагающему голосу, Митник научился входить в доверие даже к самым настороженным людям. Совмещая навыки социальной инженерии со своими компьютерными талантами, он мог проникнуть в любую, даже самую защищенную систему. Кевин по-прежнему жил с матерью в пригороде ЛА Сан-Фернандо и Роско часто заезжал за ним на своем потрепанном форде. Приятели отправлялись на съемную квартиру, где их уже ждал компьютер с модемом, запасались фастфудом и всю ночь блуждали по коммерческим сетям. аудит безопасность День за днем они собирали логины, пароли, номера счетов и другую подобную информацию. Уже не оставалось ни одной компьютерной системы в округе, где бы не успела побывать эта парочка. Каким бы защищенным не был сервер, они всегда находили способ пробраться внутрь. Чтобы добиться своего, Кевин и Роско не брезговали копаться в мусорных баках компаний в поисках полезных распечаток, а один раз даже проникли в здание будущей жертвы - фирмы U.S.Leasing. Несмотря на то, что полиция однозначно подозревала Митника (ни у кого в Лос-Анджелесе к тому времени не было столь откровенной репутации), взломы делались столь профессионально, что не было ни одной зацепки.
      Помимо звонков, аудитор может использовать специально подготовленные е-мейлы, либо «фишинговые» сайты, которые выглядят точь-в-точь как настоящие (например, имитация интранет-сайта организации). Людей неспроста называют самым слабым звеном любой системы защиты, и практика социотестирования показывает верность этого утверждения. Несмотря на то, что сотрудники настороженно относятся к подобным звонкам, как правило, они все же называют свои пароли злоумышленникам. Бороться с этим можно только, проводя непрерывное обучение сотрудников вопросам информационной безопасности.
      Подводя итог, следует отметить, что тесты на проникновение доказали свою эффективность за многолетнее время их проведения. Кроме того, это сравнительно недорогой способ оценить ээфективность соответствующих контролей. Конечно, обычно безопасники хорошо представляют как обстоят дела с установкой обновлений (патч-менеджментом), контролем доступа, разбором логов и т.п. Однако, для руководства организаций, выводы сделанные независимым аудитором, как правило, весомей.

      Похожие статьи Pentest