3. Средства защиты сетей ЭВМ
Средства защиты сетей ЭВМ: номенклатура, статус, взаимосвязь
По мнению экспертов в политике защиты должны быть рассмотрены, по крайней мере, следующие аспекты:
- санкционирование доступа к компьютерным системам, идентификация и аутентификация пользователя;
- контроль прав доступа;
- мониторинг защиты и анализ статистики;
- конфигурирование и тестирование систем;
- обучение мерам безопасности ;
- физическая безопасность;
- сетевая безопасность.
Первый из перечисленных пунктов - это
форпост, на котором формулируются критерии,
разрешающие подключаться к системе только тем
пользователям, которые имеют на это право, а все
остальные не получат даже возможности сделать
попытку зарегистрироваться. Стандартное
средство для реализации этой функции -
специальные файлы или списки хостов, с которых
разрешен удаленный вход. Правда, разработчики
этого аппарата всегда заботятся и о соблазнах
для администраторов (почему-то всегда есть
“кнопочка”, открывающая вход всем). Вероятно, в
каких-то случаях снятие контроля имеет свои
объяснения - обычно ссылаются на надежность
других средств, отсутствие прямых входов, но
предусмотреть все ситуации, возможные при работе
с сетями, трудно. Поэтому следует все-таки
конфигурировать санкционирование доступа не
прибегая к установкам по умолчанию.
Как показывает практика, этот тип защиты не
в состоянии существенно уменьшить вероятность
проникновения. Реальная ценность
его
(определяющая центральную роль) иная - в
регистрации и учете пытающихся войти в систему
сетевых пользователей.
Центральная роль в современных системах безопасности возлагается на процедуры идентификации и аутентификации. Известны три базовых способа их реализации:
- с помощью известного пользователю пароля или условной фразы;
- с помощью персонального устройства/документа, которым владеет только пользователь: смарт-карты, карманного аутентификатора или просто специально изготовленного удостоверения личности (предполагается, что аутентитификатор никогда никому не будет передаваться);
- через аутентификацию самого пользователя - по отпечаткам пальцев, голосу, рисунку сетчатки глаза и т.п. Эти методы опознавания развиваются в рамках биометрии.
Самые надежные схемы аутентификации
строятся как комбинация этих способов, а самым
массовым остается первый
символьный .
Неудивительно, что взломщики хорошо вооружены
средствами для добывания регистрационных имен и
паролей. Если им удается скопировать файл
паролей на свою машину, запускается программа
подбора, обычно использующая поиск по словарю
большого объема. Такие программы работают быстро
даже на слабых компьютерах, и если в системе
безопасности нет контроля за способами
формирования паролей, велика вероятность
отгадывания хотя бы одного. Дальше следует
попытка получить из раскрытого учетного имени
привилегированные права - и дело сделано.
Особенно опасны, причем не только сами для
себя, машины с отключенными механизмами защиты
или вообще не обладающие ими. У администраторов
есть средства дня установления доверительных
отношений между хостами с помощью файлов hosts.equiv,
xhost
. При неудачном конфигурировании взломщик
может войти в незащищенную машину и без
какой-либо идентификации транзитивно получить
доступ ко всем хостам корпоративной сети.
Следующий пункт
политики защиты - контроль прав доступа призван
гарантировать, что после успешного выполнения
процедуры аутентификации, пользователю
становится доступно только определенное на
персональной основе подмножество файлов и
сервисов системы. Благодаря этому механизму
пользователи могут читать, например,
исключительно свои электронные письма,
получаемые по
e-mail
, но никак не письма соседа. Обычно права
доступа устанавливаются самими пользователями:
владелец данных может разрешить кому-либо еще
работать с ними, точно также как системный
администратор управляет правами доступа к
системным и конфигурационным файлам. Важно
только, чтобы владелец всегда нес персональную
ответственность за свою собственность.
Разграничение прав
не сводится исключительно к данным - параллельно
пользователям выделяются подмножества
допустимых операций. Взять хотя бы систему
автоматизированной продажи авиабилетов. Кассир
безусловно должен иметь возможность соединяться
с центральной базой данных, запрашивая сведения
о наличии свободных мест и оформляя продажи. Но
его права должны быть ограничены настолько,
чтобы он не мог изменить расчетные счета
организации или увеличить себе зарплату.
Обычно в
многопользовательских приложениях
разграничение осуществляется посредством
дискреционного контроля доступа (Discretionary
Access Controls
), а в операционных системах -
атрибутами файлов и идентификаторами процессов EUID, GLJID
. Стройную картину нарушают биты SUID
и SGID
, позволяющие
программно модифицировать права доступа
процессов. Потенциальную угрозу безопасности
представляют скрипты с функцией setuid
,
в особенности setuid root
. Их либо не стоит
создавать вообще, либо они сами должны быть
надежно защищены.
Невозможно
добиться безопасности, если не поддерживать
порядок на всей нестройной инфраструктуре
предприятия. Управление конфигурацией - это
комплекс технологий, отслеживающих состояние
программного обеспечения, оборудования,
пользователей и сетей. Обычно, конфигурация
компьютерной системы и ее компонентов четко
определяется в момент ввода в действие, но со
временем контроль все более и более
утрачивается. Средства управление конфигурацией
призваны формализовать и детализировать все
изменения, происходящие в системе.
При качественном
управлении, во-первых, должна быть продумана и
определена строгая процедура внесения
изменений, включающая их документирование.
Во-вторых, все изменения должны оцениваться с
точки зрения общей политики защиты. Хотя и не
исключено, что эта политика будет
корректироваться, важно, чтобы на каждом витке
жизненного цикла сохранялась согласованность
решений для всех. даже устаревших, но остающихся
в сети систем - иначе они превратятся в то самое
“слабое звено”.
Все перечисленные
аспекты защиты так или иначе опираются на
программные технологии, однако есть
исключительно важные вопросы, выходящие из этого
круга. Корпоративная сеть включает реальный мир:
пользователи, физические устройства, носители
информации и т.д., которые также могут стать
причиной неприятностей. Наши пользователи,
по-видимому в силу исторических традиций,
относятся к вопросам секретности иронически. В
условиях сетевой работы такое отношение
настоятельно необходимо изменить, добиваясь
осознания основных принципов защиты. Это первый
этап, после которого можно переходить к
следующему - техническому обучению, причем
пройти его должны не только пользователи, но и
профессионалы. По мере разработки спецификаций
политики безопасности, администраторы систем и
баз данных должны быть с ними ознакомлены в такой
мере, чтобы суметь воплотить их в конкретные
программные решения.
Типичная лазейка
для взломщиков - “слабые”, то есть легко
раскрываемые пароли. Исправить положение можно,
обучив пользователей сознательно относиться к
контролю доступа: периодически менять пароли,
корректно их формировать. Как ни удивительно,
даже в квалифицированной среде распространенный
прокол - это пароль, сформированный из
регистрационного имени и единички в конце. Хотя
по мере прогресса технологий физической
безопасности снижается, пока она составляет
важную часть общей политики. Если нарушитель
может получить доступ к физическим компонентам
сети, он, как правило, может и войти в систему без
авторизации. Более того, возможность физического
доступа пользователей к критическим компонентам
системы увеличивает вероятность
непредумышленных сбоев в обслуживании.
Следовательно, непосредственный контакт с
жизненно важной компьютерной и сетевой
аппаратурой должен быть ограничен
минимально возможным кругом персонала -
системными администраторами и инженерами. Это не
означает какого-то исключительного доверия к
ним, просто таким образом уменьшается
вероятность происшествий и, если все-же что-то
происходит, диагностика становится более
определенной. Ссылаясь на собственный опыт, могу
подтвердить полезность простых организационных
мер - не ставьте ценное оборудование в проходном
дворе.
Надеясь на лучшее,
неплохо предусмотреть и плохие варианты. Не
помешает иметь аварийный план на случай выхода
из строя питания или других катаклизмов, в том
числе злонамеренного проникновения. Если взлом
все же произошел, нужно быть готовым к тому, чтобы
отреагировать очень быстро, пока злоумышленники
не успели нанести тяжелых повреждений системе
или заменить административные пароли.
Вопросы сетевой
безопасности в общем контексте политики защиты
должны покрывать различные виды доступа:
Соответственно
используются механизмы двух типов: внутренние и
лежащие на периметре сети предприятия - там, где
происходит внешние соединения.
Для внутренней
сетевой безопасности важно обеспечить
правильную конфигурацию оборудования и ПО,
наладив управление конфигурацией. Внешняя
сетевая безопасность подразумевает определение
четких границ сети и установку в критических
местах межсетевых экранов.
Оценка рисков безопасности
Политика защиты реализована - можно и отдохнуть, но лучше не ждать прибытия хакеров, а самостоятельно убедиться, насколько ваша система способна противостоять внешним атакам. Цель в том, чтобы оценить достигнутую степень безопасности, выявить сильные и слабые пункты защиты. Процедуру оценки можно выполнить и своими силами, хотя, возможно, проще обратиться к услугам компании, специализирующейся на такой деятельности. Собственные специалисты будут иметь дополнительные трудности: им придется задавать трудные вопросы своим коллегам и делать заключения, которые кому-то могут быть не слишком приятны.
Оценка и
тестирование политики безопасности
Первый шаг
заключается в сравнении запланированных в
политике безопасности положений с тем, что имеет
место в реальности. Для этого нужно найти ответы
примерно на такие вопросы.
- Кто определяет, что является конфиденциальным?
- Есть ли процедуры для работы с конфиденциальной информацией?
- Кто устанавливает состав конфиденциальной информации, сообщаемой персоналу для выполнения рабочих функций?
- Кто администрирует систему безопасности и на какой основе?
Получить подобные
сведения не всегда просто. В лучшем варианте
нужно собрать и прочитать опубликованные
формальные документы, содержащие положения
политики безопасности, процедуры ведения дел,
архитектурные диаграммы и прочее. Однако, в массе
организаций таких документов нет вообще, а если
они и есть, то их практически игнорируют. Тогда,
чтобы выявить реальное положение дел, придется
проводить натурные наблюдения за рабочими
местами, определяя заодно, можно ли вообще
заметить проявления какой-либо единой политики.
Разница между
писаными правилами и типовыми приемами работы
персонала может быть очень большая. Например,
опубликованная политика может содержать
положение, что пароли ни вкакой
ситуации не
могут использоваться
несколькими сотрудниками. И, по-видимому, есть
много организаций, в которых это свято
соблюдается, но еще большее их число страдает как
раз от разделения паролей.
О некоторых
слабостях корпоративной культуры можно узнать
только посредством тайных разведывательных
операций. К примеру, корпоративная политика
может утверждать, что пароли секретны и не должны
никуда записываться, а беглая прогулка по
помещениям покажет, что их рисуют прямо на
клавиатуре или мониторе. Другой эффективный
прием - опрос пользователей о правилах работы с
информацией. Из таких интервью можно узнать,
какая информация наиболее ценна для сотрудника и
каким образом она представлена внутри
корпоративной сети и вовне.
Изучение
открытых источников
Знание - сила.
Следуя этому девизу, злоумышленник может извлечь
изрядную долю фактически приватной внутренней
информации компании, покопавшись в ее открытых,
публично доступных материалах. На втором этапе
оценки безопасности и нужно выяснить, как много
посторонний может узнать о компании. “Полезной”
информацией, дающей проникающую силу, может быть:
типы используемых операционных систем,
установленные заплаты, канонические стандарты
регистрационных имен пользователей, внутренние
IP-адреса или имена закрытых хостов и серверов.
Можно (и нужно)
принять меры для уменьшения количества
информации, которое могут собрать хакеры и
взломщики, но для этого требуется иметь
представление о том, что уже просочилось и
понимать, каким образом эта утечка произошла.
Самого пристального внимания заслуживает
изучение материалов, опубликованных
сотрудниками в
Internet
. Известен случай, когда одна
компания представила на своей странице фрагмент
исходного текста критически важного для
безопасности приложения. Аналогичные коллизии
могут быть и в материалах, помещаемых в газетах,
журналах, других источниках.
Результаты
изучения открытых материалов должны стать
основой для внесения корректив в правила
подготовки открытых изданий.
Оценка
безопасности хост-систем
Центральные
обрабатывающие системы (хост-системы), как
правило, с точки зрения безопасности выглядят
получше всех остальных. По простой причине:
хост-системы более зрелые, их операционные
системы и ПО защиты лучше отработаны и освоены.
Некоторые из наиболее популярных продуктов
защиты для мэйнфреймов и компьютеров средней
мощности имеют стаж в несколько десятилетий.
Это, конечно, не
означает, что именно ваша хост-система безопасна
априори. Старый хост может оказаться слабейшим
звеном, например, если он создавался в
“доисторические” времена, когда никто не думал
ни о локальных, ни о глобальных. Необходимо
оценить схему безопасности и ее реализацию на
хост-системе с новых позиции, определить,
насколько согласованно работают вместе
прикладное ПО, механизмы защиты операционной
системы и сеть. Поскольку в организации
вычислений участвуют по крайней мере две группы
специалистов - по операционной системе и по
приложениям - не исключено, что каждая из них
возлагает заботы по защите на коллег, а суммарный
результат может быть нулевым
.
Анализ
безопасности серверов
В отличие от
хост-систем серверы файлов, приложений, баз
данных более молоды и сравнительно менее
оттестированы - для многих из них возраст
аппарата защиты насчитывает всего несколько лет.
Большая часть таких средств претерпевает
постоянные обновления и “латания”. Часто и
администрирование серверов ведется
специалистами с небольшим опытом, так что
безопасность этого класса систем обычно
оставляет желать много лучшего. Ситуация
усугубляется тем, что, по определению, к серверам
имеют доступ совершенно разнообразная публика
по телефонным или дистанционным линиям связи.
Следовательно, оценка безопасности серверов
требует повышенного внимания. Для этого
существует некоторое количество средств,
включая Kane Analyst (Novell и NT). Продукты такого рода
обследуют серверы (используя привилегированный
доступ) и составляют отчет о конфигурации,
практике администрирования системы защиты и
популяции пользователей. Использовать
автоматические средства имеет смысл -
однократное сканирование может выявить
проблемы, которые вряд ли можно обнаружить даже
многими часами ручного анализа. Например,
сканирование может быстро выявить процент
пользователей, которые имеют излишне высокий
уровень прав доступа или являются членами
слишком многих групп.
В следующем
разделе рассмотрены еще два этапа - анализа
безопасности сетевых соединений.
Имитация
контролируемого проникновения
По-видимому, один
из лучших способов проверки надежности защиты –
нанять квалифицированного хакера и попросить
его продемонстрировать свои достижения на вашей
сети. Такой вид оценки называется тестированием
путем контролируемого проникновения.
При подготовке
такого теста невредно договориться об
ограничениях на область действия атаки и о ее
типе - ведь речь идет всего лишь о проверке,
которая ни в коем случае не должна привести к
нарушениям нормального рабочего состояния. На
основе определенных правил “боя” далее
производится выбор типов тестов.
Здесь существуют
два подхода. В первом тестирование производится
так, как если бы его производил настоящий
взломщик. Этот подход называется слепым
проникновением. Его отличительная черта в том,
что лицу, производящему тестирование сообщается,
например,
URL
,
но внутренняя информация - дополнительные точки
доступа в
Internet
, прямые соединения с сетью - не
раскрывается.
Во втором подходе
- “информированном проникновении” - команда
взлома располагает перед атакой какими-то
сведениями о структуре сети. Такой подход
приметается, ееж проверь должны обязательно
пройти определенные компоненты. Например, когда
в системе установлен сетевой экран, отдельно
должен быть протестирован используемый в нем
набор правил.
Множество тестов
можно разбить на две группы: проникновение из
Internet
и
проникновение то телефонным линиям.
Сканирование
соединении с Internet
Обычно основные
надежды по защите возлагаются на сетевые экраны
между внутренней корпоративной сетью и Internet.
Следует, однако, отдавать себе отчет, что сетевой
экран хорош только в той степени, в какой хороша
его инсталляций - он должен быть установлен в
надлежащей точке и на надежной операционной
системе. В противном случае он будет просто
источником ложного чувства безопасности.
Для проверки
сетевых экранов и аналогичных систем
выполняются тесты сканирования и проникновения,
имитирующие направленную на проверяемую систему
атаку из
Internet
.
Для тестирования существует множество
программных средств, к примеру, два популярных -
ISS Scaner
(коммерческий продукт) и
SATAN
(свободно распространяемый; прим
.
не обновлялся с 1995 года). Можно выбирать те или
иные сканеры, но тесты будут иметь смысл только
при выполнении трех условий: нужно освоить
правильное управление сканером, результаты
сканирования должны быть тщательно
проанализированы, просканирована должна быть
максимально возможная часть инфраструктуры.
Основные “цели”
этой группы тестов - открытые серверы Internet-служб (WWW, SMTR FTP
и т.д.).
Добраться до самих этих серверов легко - их имена
известны, вход свободный. А дальше взломщик
попытается добраться до представляющих интерес
данных. Известно несколько приемов взлома,
которые можно попробовать применить
непосредственно против сервера. Кроме того,
исходя из IP-адреса сервера, может быть
инициировано сканирование в попытке
идентифицировать еще какие-то хосты в том же
диапазоне адресов. Если что-то выловлено, то по
каждому задействованному IP-адресу запускается
опрос портов с целью определения служб,
выполняющихся на хосте. Во многих случаях при
попытках соединения или использования сервиса
удается получить такую информацию, как платформа
сервера, версия операционной системы и даже
версию сервиса (например,
sendmail 8.6).
Вооружившись этими
сведениями, взломщик может предпринять серию
атак по известным уязвимым точкам хостов. Как
показывает опыт, в большинстве ситуаций, можно,
собрав достаточный объем сведений, получить
некоторый уровень неавторизованого доступа.
Атака по
телефонным номерам
За последнее
десятилетие модемы совершили революцию в
средствах компьютерной связи. Однако, эти же
модемы, если они установлены на включенных в сеть
компьютерах и оставлены в режиме автоответа,
представляют собой наиболее уязвимые точки.
Атака по телефонным номерам (war dialing
) - это перебор всех комбинаций с
тем, чтобы найти звуковой сигнал модема.
Запущенная
программа в автоматическом режиме способна за
ночь пробежать огромный диапазон телефонных
номеров, регистрируя обнаруженные модемы. Хакер
за утренней чашкой кофе получит текстовый файл с
адресами модемов и может их атаковать. Особую
опасность такого рода атакам придает то, что
многие компании позволяют себе держать либо
неконтролируемые, либо неавторизованные линии
связи, которые обходят сетевые экраны с
Internet
и открывают
прямой доступ к внутренней сети.
Такую же атаку
можно осуществить в режиме тестирования -
результаты покажут, по какому количеству модемов
вы можете подвергнуться настоящему взлому. Этот
вид тестирования выполняется достаточно просто.
В слепом варианте команда проникновения находит
телефонные коммутаторы компании (из различных
открытых источников, включая Web-страницу), а если
тест не слепой, эти сведения ей сообщаются.
Автоматически прозванивается диапазон
телефонных номеров в коммутаторах, с тем чтобы
определить номера, по которым подключены модемы.
Методы атаки модемов могут опираться на
терминальные программы, такие как
HyperTerminal
и программы управления
удаленным доступом, например
PC Anyware
. Опять цель состоит в том, чтобы
получить какой-либо уровень доступа к
внутреннему сетевому устройству. Если
соединение и успешный вход произошел -
начинается новая игра.
Из всего сказанного можно, по-видимому, сделать следующий вывод : безопасность сети можно поддерживать и своими силами, но это должна быть высоко-профессиональная деятельность, а не одноразовая компания. Сеть масштаба предприятия - почти всегда большая система и одним махом всех проблем безопасности не решить.
Оставляя в стороне государственные законы по компьютерной безопасности и стандарты, можно рекомендовать три типа наиболее полезных и необходимых в практической деятельности источника информации:
соответствующие разделы документации по эксплуатирующимся операционным системам и приложениям;
Web-страницы производителей программных продуктов и ОС, на которых публикуются сообщения о новых версиях с исправленными ошибками и заплатах;
существуют по крайней мере две организации: CERT (Computer Emergency Response Team) и С1АС (Computer Incident Advisory Capability), которые собирают и распространяют сведения о взломах, дают советы по устранению их последствий, сообщают о выявленных ошибках программных средств, используя которые злоумышленники проникают в компьютерные системы.
Столь же необходимым условием надежности защиты является системность, а всякая система имеет свой жизненный цикл. Для системы безопасности это: проектирование - реализация - оценка - обновление.
Способах
проникновения и типичных ошибках, которые
можно в них найти. Сегодня предлагаю
несколько практических примеров того, как
можно правильно взаимодействовать с
беспроводной сетью и что полезного можно из
нее извлечь.
Фаза 1: ключ WEP
Первая задача для хакера — проникнуть в
сеть, защищенную WEP. Для этого используем
утилиту под названием AirSnort ,
при помощи которой можно пассивно
мониторить передающиеся по воздуху данные.
Перехватив достаточное количество пакетов
(от 5 до 10 миллионов) можно с легкостью
получить ключ к сети. Стоит отметить, что
все 802.11b сети с 40/128 битным WEP шифрованием
уязвимы, более того, в отличии от
«проводных» локальных сетей действие
снифера не поддается никакому
обнаружению.
Для работы AirSnort требуется сетевая
карточка, которая:
Это, например, Cisco Aironet, любая Prism-карточка с
wlan-ng драйверами, карты Orinoco с новыми orinoco_cs
драйверами. Кроме того требуется последний libpcap
и gtk+-2.2 and gtk+-devel для работы в графическом
интерфейсе.
Понятно, что только такие карты могут
перехватывать пакеты не будучи точкой
доступа или промежуточной передающей
точкой. Следовательно, только так мы можем
получать пакеты с нужного канала без
участия в их передаче. AirSnort так же позволяет
работать в promiscuous режиме, отличие его в том,
что необходимо зарегистрироваться на точке
доступа и лишь потом перехватывать данные,
то есть работать только в сети, которая, так
сказать, доверяет сниферу.
Загрузив AirSnort делаем так:
tar -xzf airsnort-0.2.3a.tar.gz
cd airsnort-0.2.3a
./autogen.sh
make
Запускаем и видим примерно следующее:
Теперь осталось лишь нажать кнопочку Start и
ждать. Сколько? На этой стадии это главный
вопрос. Может понадобится несколько
пакетов, а может несколько миллионов. В
конце концов программа ключ вычислит и
предоставит в ваше пользование. После этого
вы можете спокойно его использовать для
входа в сеть.
Другая утилита, при помощи которой можно
проникнуть внутрь сети — .
Действует она аналогично AirSnort, однако в
меньшей степени автоматизирована, так что
после сбора пакетов придется пользовать
скрипт для вычисления WEP ключа.
Фаза 2: сканирование портов
Следующая традиционная задача —
сканирование портов во вновь обретенной
сети. Это самый простой и эффективный путь
для обнаружения приятных аномалий. Тут, в
общем говоря, все стандартно — тот же NMAP
легко и беспроблемно послужит вам в
открытии чудесных мест в сети. О действиях с
Nmap мы так же не раз писали, так что осбого
труда в его использовании думаю не
возникнет.
Фаза 3: обнаружение и использование
уязвимостей
Заключительный этап после проникновения
в беспроводную сеть и обнаружения открытых
портов — определение приложений, стоящих за
портами, и уязвимостей в них. В Linuxе конечно
существует и ряд утилит для этого.
Традиционно считается, что тестирование безопасности системы выполняется лишь извне, когда симулируется атака на удаленное проникновение в сеть. В большинстве случаев компании прилагают усилия для защиты от удаленного проникновения, используя фаервол и другие способы усиления безопасности.
Традиционно считается, что тестирование безопасности системы выполняется лишь извне, когда симулируется атака на удаленное проникновение в сеть. В большинстве случаев компании прилагают усилия для защиты от удаленного проникновения, используя фаервол и другие способы усиления безопасности. Однако, учитывая большое распространение смартфонов и Wi-Fiсетей, существуют способы проникновения в сеть внутри офисного помещения.
Мобильные телефоны обладают множеством функций: поддержкой Wi -Fi , видеокамеру, жесткий диск, постоянное подключение к сетям стандарта 3G и 4G и большим числом приложений. При этом если в телефоне имеется root -доступ, его аппаратные и сетевые возможности не только сравнимы с настольным компьютером, но даже превосходят его по некоторым параметрам. Все это позволяет использовать смартфоны для тестирования на проникновение в сеть также как и компьютеры, и даже эффективнее, поскольку мобильное устройство можно легко спрятать в кармане или внутри офисного помещения.
Предупреждение: информация в этой статье предоставлена только в ознакомительных целях. Представленные инструменты следует использовать лишь для исследования и тестирования своих собственных сетей и/или с согласия администратора. Некоторые из программ могут нарушить работу, как телефона, так и сети. НЕ ИСПОЛЬЗУЙТЕ ЭТИ МЕТОДЫ НА РАБОЧИХ СЕТЯХ ИЛИ ТАМ, ГДЕ ВАМ ЭТО ДЕЛАТЬ НЕ РАЗРЕШЕНО.
На телефон можно установить большинство Linux-дистрибутивов на Android-телефонах, включая Backtrack 5, с использованием GitBrew. Однако использование линукса в Android-телефоне несколько запутано, и, возможно, вам будет удобнее использовать нетбук. Хотя в этой статье я буду использовать некоторые специальные приложения для ОС Android, которые предоставляют определенные аппаратные преимущества для смартфонов. Если у вас есть успешный опыт использования других платформ, поделитесь об этом в комментариях.
Первое приложение, использованное мной при тестах - обозреватель сети. На Android Marketplace существует немало таких программ. Одна из них - Network Discovery , которая бесплатна и не требует прав привилегированного пользователя. Разработчики этого приложения создали удобный дизайн, который позволяет окинуть одним взглядом объекты сети, что не так просто сделать, учитывая ограниченную площадь экрана мобильного телефона. Программа определяет операционную систему, тип и производителя сетевого устройства. Network Discovery совместимо с Wi-Fi сетями, позволяя подключаться как к открытыми сетям, так и к сетям доступным по паролю.
Помимо подключения к сети, необходимо уметь искать доступные сети, открытые порты устройств, уязвимости и так далее, и тому подобное. Это отнимает много времени и требует наличия большого количества инструментов. Тут нам помогут две утилиты. Одна из них - , созданная израильской компанией Zimperium. Вторая – , проект с открытым исходным кодом. Последний продукт был изучен не полностью, так как в процессе тестирования возникали ошибки, но как только у меня будет рабочая версия dSploit, я напишу дополнительную статью.
Утилиты Anti и dSploit позволяют автоматизировать задачи по поиску уязвимостей. При запуске они ищут открытые сети, сканируют устройства в сети и пытаются протестировать каждое устройство на наличие уязвимостей. Если обнаружена брешь, Anti пытается получить доступ к этому устройству, запуская эксплоиты из базы Metasploit и ExploitDB, после чего вы может производить удаленное администрирование, например, снимать скриншот с экрана или извлекать диск из устройства (чтобы удостовериться, что у вас имеются права администратора в системе).
Базовая версия Anti поддерживает небольшое количество эксплоитов, хотя в расширенной версии, которую разработчики любезно предоставили мне, этот список значительно больше. Кроме того эта утилита позволяет подбирать пароли, используя различные словари, и другие функции, некоторые из которых содержит платная версия программы.
Функция «Cracker» подбирает пароли ко всем открытым портам, и время ее работы зависит от количества портов и объема загружаемого словаря. При тестировании сети мне удалось обнаружить несколько уязвимостей. В основном это были общедоступные каталоги, а также роутер, у которого в настройках был стандартный пароль.
Встроенный монитор позволяет получить список Wi -Fi сетей, узнать мощность сигнала и доступность сети. Сканер сети довольно быстр, и мне удалось исследовать весьма большую сеть примерно за 30 секунд. При запуске сканирования программа спросит, нужно ли проводить дополнительное детальное исследование устройств на уязвимости.
Утилиты Anti и dSploit прекрасные средства для поиска уязвимостей при помощи мобильных устройств. Само тестирование запускается в один клик, позволяя находить незащищенные Wi-Fi сети и получать более детальную информацию в автоматическом режиме. Фактически вы можете запустить поиск и убрать телефон в карман, что делает мобильные устройства мощным инструментом для проверки безопасности сети.
Тестирование на проникновение (жарг. пентест ) - метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании. Анализ ведется с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы.
Объектами тестирования могут быть как отдельные информационные системы, например: CMS (система управления содержимым), CRM (система управления взаимоотношениями с клиентами), интернет клиент-банк, так и вся инфраструктура в целом: периметр сети, беспроводные сети, внутренняя или корпоративная сеть, а так же внешний периметр.
Задача тестирования на проникновение
- поиск всех возможных известных уязвимостей программного обеспечения (ПО), недостатков парольной политики, недостатков и тонкостей настроек конфигурации ИС. Во время подобного теста специалист-тестировщик устраивает псевдоатаку на корпоративную сеть, инсценируя действия реальных злоумышленников или атаку, проводимую вредоносным программным обеспечением без непосредственного участия самого специалиста-тестировщика. Целью данных тестов является: выявление слабых мест в защите корпоративной сети от подобных атак и устранение найденных в ходе псевдоатак уязвимостей.
Тестирования на проникновение принято делить на BlackBox, WhiteBox и GreyBox:
BlackBox — «черный ящик». Специалист располагает только общедоступной информацией о цели исследования, её сети и параметрах. Данный вариант максимально приближен к реальной ситуации. В качестве исходных данных для тестирования исполнителю сообщается только имя компании или ее сайт, а всю остальную информацию, такую как используемые компанией IP-адреса, сайты, точки выхода офисов и филиалов компании в сеть Интернет, исполнителю придётся выяснять самому.
WhiteBox – полная противоположность BlackBox. В данном случае, специалисту предоставляется максимум необходимой для него информации, вплоть до административного доступа на любые сервера. Данный способ позволяет получить наиболее полное исследование уязвимости объекта. При WhiteBox исполнителю не придётся тратить время на сбор информации, составления карты сети, и другие действия перед началом тестирования, а так же сократит время самого тестирования, т.к. часть проверок просто не придется делать. Плюс данного метода в более полном и комплексном подходе к исследованию. Минус в том, что это менее приближено к ситуации реальной атаки злоумышленника.
GrayBox – это средний вариант между WhiteBox и BlackBox, когда исполнитель действует по варианту BlackBox и периодически запрашивает информацию о тестируемой системе, для того чтобы сократить время исследования или более эффективно приложить свои усилия. Такой вариант самый популярный, так как позволяет провести тестирование без траты лишнего времени на сбор информации, и больше времени уделить поиску уязвимостей, при этом данный вариант остается достаточно близким к реальной ситуации действия злоумышленника.
1. ОСОБЕННОСТИ ПРОНИКНОВЕНИЯ НА УДАЛЕННУЮ КОМПЬЮТЕРНУЮ СИСТЕМУ.
Любое объективное и полноценное тестирование на проникновение обладает рядом особенностей и должно выполняться с учетом рекомендаций и правил.
Правила и рамки информационного тестирования на проникновение представлены в методологиях OSSTMM и OWASP. Впоследствии полученные данные можно легко адаптировать для проведения оценки соответствия с какими-либо промышленными стандартами и «лучшими мировыми практиками», такими как, Cobit, стандартами серии ISO/IEC 2700x, рекомендациями CIS/SANS/NIST/etc и стандартом PCI DSS.
Для осуществления такой оценки в полном объеме одних лишь технологических данных будет недостаточно. Для полноценной оценки требуется интервьюирование сотрудников различных подразделений оцениваемой компании, анализ распорядительной документации, различных процессов информационных технологий (ИТ) и информационной безопасности (ИБ) и много еще чего.
Что касается тестирования на проникновение в соответствии с требованиями стандарта по защите информации в индустрии платежных карт, – он не намного отличается от обычного тестирования, проводимого с использованием методик OSSTMM и OWASP. Более того, стандартом PCI DSS рекомендуется придерживаться правил OWASP при проведении как пентеста (AsV), так и аудита (QSA).
Основные отличия тестирования по PCI DSS от тестирования на проникновение в широком смысле этого слова заключаются в следующем:
Метод GrayBox позволяет снизить риск отказа в обслуживании при проведении подобных работ в отношении информационных ресурсов, функционирующих в режиме 24/7.
В общем случае тестирование на проникновение по требованиям PCI должно удовлетворять следующим критериям:
Определение границ проводимого исследования. В первую очередь необходимо выявить границы тестирования на проникновение, определиться и согласовать последовательность выполняемых действий. В лучшем случае со стороны подразделения ИБ может быть получена карта сети, на которой схематично показано, каким образом процессинговый центр взаимодействует с общей инфраструктурой. В худшем – придется общаться с системным администратором, который знает собственные недоработки и получение исчерпывающих данных об информационной системе будет затруднено его нежеланием делиться своими данными об ИС. Так или иначе, для проведения пентеста по PCI DSS, как минимум, требуется получить следующую информацию:
2. ЭТАПЫ ТЕСТИРОВАНИЯ НА ПРОНИКНОВЕНИЕ
Рассмотрим возможные этапы проведения тестирования на проникновение. В зависимости от располагаемой информации (BlackBox/ WhiteBox/ GreyBox), последовательность действий может быть различной: сбор данных, сетевое сканирование, взлом системы, вредоносное ПО, социальная инженерия.
2.1 Сбор данных.
Сбор данных из открытых источников информации. Открытыми источниками называются источники информации, доступ к которым происходит легально, на законных основаниях. Поиск необходимой информации с использованием открытых источников взят на вооружение многими гражданскими и военными структурами, работающими на поприще разведки и промышленного шпионажа.
Доступ к нужной информации в сети интернет может быть реализован различными способами. Это могут быть переходы по гиперссылкам, поиск по различным каталогам (сайтов, блогов и т. д.), можно просматривать поисковую выдачу. Для определенных целей нельзя обойтись без поиска по специализированным базам данных.
Так же информацию могут предоставлять внутренние URL сайта, адреса e-mail, телефонные номера, факсы, DNS-сервер, диапазон IP-адресов, сведения о маршрутизации.
С развитием интернета широкое распространение получили WHOIS-сервисы. Whois (от английского «who is» - «кто такой») – сетевой протокол, базирующийся на протоколе TCP. Его основное предназначение – получение сведений о «регистранте» (владельце домена) и «регистраторе» (организации, которая домен зарегистрировала), имена DNS серверов, дату регистрации и дату истечения срока действия. Записи об IP адресах сгруппированы по диапазонам (например, 8.8.8.0 - 8.8.8.255) и содержат данные об организации, которой этот диапазон делегирован.
2.2 Сетевое сканирование.
Сетевое сканирование можно разделить на составляющие:
1. Сканирование диапазона IP-адресов для определения «живых» хостов
2. Сканирование портов
3. Обнаружение служб и их версий
4. Сканирование для определения ОС
5. Сканирование уязвимостей
1. Сканирование диапазона IP-адресов.
Фундаментальная задача при исследовании любой сети это сократить набор IP-диапазонов до списка активных хостов. Сканирование каждого порта каждого IP адреса медленно и необязательно. Интерес к исследованию определенных хостов во многом определяется целями сканирования. Задачи администраторов по обнаружению работающих хостов в сети могут быть удовлетворены обычным ICMP-пингом, людям же, которые тестируют способность сети противостоять атакам из вне, необходимо использовать разнообразные наборы запросов с целью обхода брандмауэра.
Задачу обнаружения хостов иногда называют пинг сканированием (ping scan), однако она намного превосходит использование обычных ICMP запросов ассоциирующихся с вездесущими ping утилитами. Сканировать сеть предпочтительно с помощью произвольных комбинаций мультипортовых TCP SYN/ACK, UDP и ICMP запросов. Целью всех этих запросов является получение ответов, указывающих, что IP адрес в настоящее время активен (используется хостом или сетевым устройством). В большинстве сетей лишь небольшой процент IP адресов активен в любой момент времени. Это особенно характерно для адресных пространств вида 10.0.0.0/8. Такие сети имеют 16 млн. IP адресов, но бывают случаи, когда они используются компаниями, в которых не более тысячи машин. Функция обнаружения хостов может найти эти машины в этом необъятном море IP адресов.
2. Сканирование портов.
Существует множество различных приемов сканирования портов и выбираются для конкретной задачи подходящий (или комбинацию из нескольких). Рассмотрим наиболее популярные приемы сканирования:
TCP SYN сканирование
SYN это используемый по умолчанию и наиболее популярный тип сканирования. Он может быть быстро запущен, он способен сканировать тысячи портов в секунду при быстром соединении, его работе не препятствуют ограничивающие бранмауэры.
Различные типы UDP сканирования
В то время как большинство сервисов Интернета используют TCP протокол, UDP службы также широко распространены. Тремя наиболее популярными являются DNS, SNMP и DHCP (используют порты 53, 161/162 и 67/68). Т.к. UDP сканирование в общем случае медленнее и сложнее TCP, то многие специалисты по безопасности игнорируют эти порты. Это является ошибкой, т.к. существуют UDP службы, которые используются атакующими.
TCP NULL, FIN и Xmas сканирования
Эти три типа сканирования используют незаметную лазейку в TCP RFC, чтобы разделять порты на открытые и закрытые.\
TCP ACK сканирование
Этот тип сканирования сильно отличается от всех других тем, что он не способен определить открый порт. Он используются для выявления правил брандмауэров, определения учитывают ли он состояние или нет, а также для определения фильтруемых ими портов.
3. Обнаружение служб и их версий.
При сканировании удаленной системы может быть выявлено, что порты25/tcp,80/tcp, и 53/udp открыты. Используя сведения можно узнать, что эти порты вероятно соответствуют почтовому серверу (SMTP), веб серверу (HTTP), и серверу доменных имен (DNS) соответственно. Эта информация обычно верна, т.к. подавляющее большинство служб, использующих 25 TCP порт, фактически, почтовые сервера. Тем не менее, не следует полностью полагаться на эту информацию. Люди могут и запускают службы с использованием нестандартных портов.
После обнаружения каких-либо TCP и/или UDP портов происходит процедура их идентификации с целью определения какие приложения (службы) их используют. Используя базу данных запросов для обращения к различным службам и соответствующие выражения для распознавания и анализа ответов можно определить протоколы службы (напр. FTP, SSH, Telnet, HTTP), имя приложения (e.g. ISC BIND, Apache httpd, Solaris telnetd), номер версии, имя хоста, тип устройства (напр. принтер, роутер), семейство ОС (напр. Windows, Linux) и иногда различные детали типа: возможно ли соединится с X сервером, версию протокола SSH, или имя пользователя.
4. Сканирование для определения ОС.
Возможно определить ОС на удаленной системе на основе анализа работы стека TCP/IP. Посылается серия TCP и UDP пакетов на удаленный хост и изучается практически каждый бит в ответах. После проведения множества тестов таких как TCP ISN выборки, поддержки опций TCP, IP ID выборки, и анализа продолжительности процедуры инициализации, сравнивается результаты сбазой данных, содержащей известные наборы типичных результатов для различных ОС и, при нахождении соответствий, можно сделать вывод об установленной ОС.
5. Сканирование уязвимостей.
Сканирование уязвимостей - полностью или частично автоматизированный процесс сбора информации о доступности сетевого узла информационной сети (персональные компьютеры, серверы, телекоммуникационное оборудование), сетевых службах и приложениях используемых на данном узле и их идентификации, используемых данными службами и приложениями портах, с целью определения существующих или возможных уязвимостей.
2.3 Взлом системы.
Успех реализации того или иного алгоритма взлома на практике в значительной степени зависит от архитектуры и конфигурации конкретной операционной системы, являющейся объектом этого взлома.
Однако имеются подходы, которым может быть подвергнута практически любая операционная система:
2.4 Вредоносное программное обеспечение.
Очень часто вредоносное ПО применяют для получения доступа над зараженной системой. Обычно вредоносное ПО, обладающее функционалом бэкдора выкладывают на файлообменном ресурсе под видом легитимной программы.
Вредоносное ПО – программное обеспечение, которое разрабатывается для получения несанкционированного доступа к вычислительным ресурсам ЭВМ, а также данным, которые на ней хранятся. Такие программы предназначены для нанесения ущерба владельцу информации или ЭВМ, путем копирования, искажения, удаления или подмена информации.
Троянские программы - это вредоносные программы, выполняющие несанкционированные пользователем действия. Такие действия могут включать:
Троянские программы классифицируются в соответствии с типом действий, выполняемых ими на компьютере.
2.5 Социальная инженерия.
Для того, что бы вредоносное ПО оказалось на атакуемой ИС, пользуются социальной инженерией. Социальная инженерия - метод несанкционированного доступа к информационным ресурсам, основанный на особенностях психологии человека. Основной целью социальных инженеров является получение доступа к защищенным системам с целью кражи информации, паролей, данных о кредитных картах и т.п. В роли объекта атаки выбирается не машина, а ее оператор. Поэтому все методы и техники социальных инженеров основываются на использовании слабостей человеческого фактора.
Существует несколько распространенных техник и видов атак, которыми пользуются социальные инженеры. Но общей чертой всех этих методов является введение в заблуждение, с целью заставить человека совершить какое-либо действие, которое не выгодно ему и необходимо социальному инженеру. Для достижения поставленного результата социальный инженер использует целый ряд всевозможных тактик: выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т.д. Конечные цели обмана так же могут быть весьма разнообразными.
Техники социальной инженерии:
Проведенное в 2003 году исследование в рамках программы Информационная безопасность показало, что 90% офисных работников готовы разгласить конфиденциальную информацию, например свои пароли, за какую-либо услугу или вознаграждение.
Организация псевдоатаки.
Для организации псевдоатаки на компьютерную систему используем программные средства Social Engineering Toolkit (SET) и Metasploit Framework (MFS). Эти утилиты по умолчанию включены в дистрибутив Backtrack 5, предназначенный для тестирования возможности системного и сетевого взлома. Так же используем две виртуальные машины с такими ОС как: Windows 7 и Backtrack 5.
Генерация бэкдора. SET будем использовать для создания бэкдора с обратным TCP, а MFS для создания handler’a (обработчик), чтобы обрабатывать пакеты от созданного бэкдора, который будет поддерживать канал связи между потенциальным злоумышленником и системой, на которой будет запущен бэкдор.
Все действия производятся в консольном режиме на ОС Backtrack 5. Создание полезной нагрузки достигается через утилиту SET, п. 4 Create a Payload and Listerer
Создание полезной нагрузки с обратным TCP (для установления обратной связи) производится путем выбора п. 2 Windows Reverse — TCP Meterpreter и затем п. 16 Backdoored Executable . Данная операция завершает создание бэкдора. При его создании также указывается номер порта, через который будет происходить обратная связь. В папке / pentest / exploits / SET будет сформирован msf.exe, на основе выбранных нами опций.
Настройка эксплойта. Эксплоит предназначен для получения запросов TCP от созданного бэкдора. Его настройка производится через запуск MFS и выбор эксплоита handler (прослушиватель): use exploit/multi/handler .
Вследствие этого MFS переключается в контекст обработчика эксплоита. Дальнейшая задача состоит в конфигурировании полезной нагрузки для этого эксплоита. Поскольку бэкдор ориентирован (создан) с Revers_TCP Meterpretor, то обмен информацией происходит через TCP соединение: set / payload windows / meterpreter / revers _ tcp . Кроме того необходимым является указание в опциях Local Host (ip-адреса потенциального злоумышленника).
Запуск handler приводит в контекст meterpretor, где будут представлены сессии к которым можно подключиться. Появление сессии возникнет после запуска бэкдора на удаленной машине, что в ряде случаев на практике достигается путем социальной инженерии.
Для моделирования данного процесса запуск бэкдора производится на второй виртуальной машине. После этого в meterpretor будет доступна сессия на эту систему, то есть наш бэкдор предоставляет канал связи, и мы получаем управление над зараженной машиной.
С ростом уровня компьютеризации нарастает проблема с компьютерной преступностью. Например, в США ущерб от компьютерных преступлений составляет ежегодно около 5 млрд долларов, во Франции эти потери доходят до 1 млрд франков в год, а в Германии при помощи компьютеров преступники каждый год ухитряются похищать около 4 млрд марок. И число подобных преступлений увеличивается ежегодно на 30-- 40%.
Однако, уголовная ответственность за перечисленное наступает только в случае, когда уничтожена, блокирована, модифицирована или скопирована информация, хранящаяся в электронном виде. Другими словами, простое несанкционированное проникновение в чужую информационную систему без каких- либо последствий не подлежит наказанию.
Следует сказать, что наличие законодательства, регламентирующего ответственность за компьютерные преступления, само по себе не является показателем степени серьезности отношения общества к таким преступлениям. К примеру, в Англии полное отсутствие специальных законов, карающих именно за компьютерные преступления, на протяжении многих лет отнюдь не мешает английской полиции эффективно расследовать дела такого рода. И действительно, все эти злоупотребления можно успешно квалифицировать по действующему законодательству, исходя из конечного результата преступной деятельности (хищение, вымогательство, мошенничество или хулиганство). Ответственность за них предусмотрена уголовным и гражданским кодексами. Ведь убийство и есть убийство, вне зависимости от того, что именно послужило орудием для него.
По свидетельству экспертов самым привлекательным сектором российской экономики для преступников является кредитно-финансовая система. Анализ преступных деяний, совершенных в этой сфере с использованием компьютерных технологий, а также неоднократные опросы представителей банковских учреждений позволяют выделить следующие наиболее типичные способы совершения преступлений:
