ETIKUS HACKELÉS

Nagyon nehéz pontos meghatározást, értéket adni arra, hogy egy rendszer mennyire biztonságos. Általában egy IT biztonsági csoportnak a célja az, hogy „kellően” biztonságos rendszert üzemeltessen, tehát a védett adatok értéke összhangban legyen a védekezésre fordított erőforrásokkal. Egy dolog azonban biztos: egy IT-rendszer annyira biztonságos, amennyire a leggyengébb eleme az. Egy támadó mindig ezt a pontot keresi a rendszerben, és nem a 7 lakattal védett ajtón fog betörni, ha mellette talál egy ugyanoda vezető nyitott ajtót is.

Nem kívánunk illúziókat kergetni. Felelőtlenség lenne azt állítani, hogy van 100%-osan biztonságos, feltörhetetlen IT-rendszer, és szolgáltatásunkkal ilyen rendszer kialakítható az Önök vállalatánál. Azt viszont 100%-osan tudjuk garantálni, hogy vizsgálatainkkal az Önök rendszerét biztonságosabbá, átláthatóbbá tudjuk tenni.

Hogy dolgozik egy etikus hacker?

Az etikus hackerek motivációja különbözik az ártó szándékú hackerekétől, viszont a céljuk ugyanaz. Megvizsgálják a célhálózatot vagy -rendszert abból a szempontból, hogy egy támadó milyen információkat tudna megszerezni, és mit tudna ezekkel kezdeni. Ez a tesztelési eljárás úgy is ismert, mint behatolási tesztelés (penetration testing).

A vizsgálat módszerei, szintjei

Egy biztonsági audit vagy behatolástesztelés során több vizsgálati módszert is használhatunk a megrendelő igényeitől függően.

A vizsgálatok mindig előre meghatározott menetrend szerint történnek, és a vizsgálat során megvalósítandó feladat minden esetben a megrendelő által jóváhagyott.

A behatolástesztelés több életszerű helyzetet szimulálhat, így például:

  • Milyen károkat tud okozni egy külső támadó, aki nem rendelkezik semmilyen információval az informatikai rendszerről?
  • Milyen károkat tud okozni egy volt munkatárs, aki ismeri a belső infrastruktúrát?
  • Milyen károkat tud okozni pl. egy felmondás előtt álló alkalmazott?
  • Mennyire működik hatékonyan az informatikai biztonsági rendszer egy támadás alatt?

A felsorolt példák is mutatják, hogy több fajta szemléletben lehet végrehajtani egy vizsgálatot. A gyakorlatnak megfelelően általában 5 kategóriában kell meghatározni a megrendelő igényeit, mely meghatározza az etikus hackerek vizsgálati területeit, lehetséges mozgásterüket. Az 5 szempont, mely meghatározza az elvégzendő feladat komplexitását a következő:

  1. Információs bázis
  2. Kiindulási pont
  3. Technika
  4. Hatókör
  5. Megközelítés
Fogalomtár letöltése

1. Információs bázis

Információs bázis kategóriában a megrendelőnek meg kell határoznia, hogy milyen információkat kíván megosztani az infrastruktúráról a vizsgálatot végzőkkel:

Blackbox vizsgálat

A biztonsági tesztelés során az ethical hacking csoport a legkevesebb – csak a vizsgálathoz minimálisan szükséges – információval (pl. weboldal címe) rendelkezik a megbízó rendszeréről. A tesztelés azt szimulálja, mint amikor egy rosszindulatú támadó a megbízó hálózatán kívülről – általában az internet irányából – indítja a támadást.

Greybox vizsgálat

A vizsgálatot nevezik még részleges információkkal rendelkező vizsgálatnak is. Az ethical hacking csoportnak a megbízó hozzáférést biztosít hálózatához, vagy a tesztelni kívánt alkalmazáshoz, és ezáltal egyfajta belső támadót megszemélyesítve végezzük el a vizsgálatot.

Whitebox vizsgálat

A behatolástesztelés során az ethical hacking csoport számára minden információ – egyéni fejlesztésű alkalmazások forráskódja, beállítások, infrastruktúra, belső szabályzatok stb. – rendelkezésre áll. Ennél a típusnál a rendszer részletesebb vizsgálatára van mód, és jobban fel lehet készülni külső és belső támadások által okozott károk minimalizálására.

2. Kiindulási pont

Fontos a kiindulásipont-meghatározás, hogy a vizsgálatokat a vállalati infrastruktúrán kívülről vagy belülről kell elvégezni.

Külső vizsgálat

A vizsgálat tipikusan azt a szituációt vázolja fel, amikor egy külső támadó információk birtokában vagy hiányában próbálja a célrendszer sérülékeny pontjait megtalálni. A vizsgálat célja vagy motivációja több típusú lehet, ezt előre egyeztetni kell a megbízóval.

Belső vizsgálat

A megbízó hálózatából történik a munkavégzés. A felmerülő igényektől függően a vizsgálatot végző személyek számítógépéről vagy a megbízó által biztosított munkaállomás segítségével történhet. Az egyszerűsített munkavégzés miatt érdemes a vizsgálatokat végző személy által elkészített környezet használata, mivel minden szükséges program, alkalmazás megtalálható ezáltal csökkenthető a ráfordítási idő. A megbízó által biztosított munkaállomással történt vizsgálatok során viszont meghatározható, hogy egy belső támadó milyen módon és hatásfokkal tudja a rendszerekben található sérülékeny pontokat kihasználni.

3. Technika (1/3)

A vizsgált során bevethető technikák kombinálva és külön-külön is alkalmazhatók. Itt meghatározandó, hogy csak hálózaton keresztüli vizsgálat megengedett, vagy akár valós fizikai hozzáférés (vállalat területére való bejutás), vagy az emberi tényezők kihasználása (social engineering) is engedélyezett.

Hálózati teszt

A leggyakoribb vizsgálati típus, amely során a hálózatban található eszközök és szerverekben található sérülékenységek feltárása és kihasználása a cél. A vizsgálatokat lehetséges internet irányából végezni – ilyenkor a periméter rendszereken történik a vizsgálat – valamint a megbízó belső hálózatából – ilyenkor a teszt feltárja, hogy egy belső támadó milyen típusú sérülékenységeket képes felderíteni a belső hálózatban vagy a DMZ-ben.

Webalkalmazásteszt

A megbízó által üzemeltetett rendszerek webes felületének tesztelése. A vizsgálatok természetesen a belső hálózatról és az internet irányából is elvégezhetők. Az információs technológia olyan irányba fejlődik, hogy egyre több cég jelenik meg webes tartalommal – interneten, valamint intraneten egyaránt – a támadások jelentős része is erre a szegmensre koncentrálódik. A tesztelés során az OWASP1 útmutatóban definiált vizsgálati pontok mellett a szakérőink több éves üzemeltetői és sérülékenység-vizsgálati tapasztalatát használjuk fel.

Okostelefon mobilalkalmazás teszt

A megbízó által publikált, sokszor külső fejlesztő által elkészített mobilalkalmazások vizsgálata a platform egyedi jellegzetességeire fókuszálva. Ellenőrzésre kerül többek között a hálózati kommunikáció biztonsága és a készüléken tárolt adatok (pl. konfigurációs állományok, SQLite adatbázisok) védelme – ha az „app” nem megfelelő módon használja a kriptográfiai eljárásokat, vagy a felhasználó adatai harmadik fél által is megszerezhetők, jobb publikálás előtt értesülni róla. A vizsgálat kiterjed Android, iOS (iPhone, iPad) és Windows Phone alkalmazásokra, illetve az általuk használt (REST, SOAP, stb.) backend API-kra is.

Vezeték nélküli hálózati teszt

A vizsgálatok során a cél a megbízó telephelyén illegálisan üzemeltetett vezeték nélküli hozzáférési pontok felderítése, valamint az engedéllyel használt eszközök biztonsági hiányosságainak feltárása.

Social Engineering

A rendszer olyan szempont szerint történő vizsgálata, amelyben az emberi tulajdonságokra alapozva határozzák meg a szakértők a megbízó környezetének biztonsági állapotát. A vizsgálatok során lehetőség van számos különböző terület specifikálására, amely során szélesebb forrásból származó információk egyre pontosabb biztonsági képet határoznak meg a vállalatról. A felmérés során technikai és technológiai eszközöket egyaránt lehetséges alkalmazni.

3. Technika (2/3)

Kliens oldali biztonsági teszt

A legtöbb behatolási teszt a szerverekre vagy alkalmazásokra fókuszál, azonban érdemes a szervezet kliens oldali biztonsági állapotát is felmérni. Lehetséges-e a felhasználókat egy kártékony oldalra irányítani és ott egy böngésző alapú hiba segítségével átvenni az irányítást a számítógépük felett vagy hozzáférést szerezni a belső hálózathoz. A böngészőhibákon kívül ilyen típusú támadások még a különböző irodai alkalmazásokban található hibák (pl. dokumentumkezelők, táblázatkezelők, zene- és videólejátszók stb.) amelyeket általában emailen keresztül juttatunk el az alkalmazottakhoz.

Alkalmazásvizsgálatok, forráskód teszt

A vállalatok nem csak szerverekkel és hálózatokkal biztosítják az üzlet zavartalan működését, hanem különböző alkalmazásokkal is. Sok felhasználó által használt rendszer esetében érdemes pusztán csak az alkalmazás biztonsági felülvizsgálatát is elvégezni. Saját fejlesztésű vagy forráskód szinten hozzáférhető szoftverek esetében a teszt segítségével összetett hiányosságokat is sikeresen detektálni lehet. A teljes körű és legprecízebb vizsgálati megoldás a forráskód szinten történő biztonsági átvilágítás, viszont ennek megfelelően elég időigényes és széleskörű szaktudást igényel.

Konfiguráció felülvizsgálat

A konfiguráció vizsgálat során hálózati eszközök, alkalmazások és operációs rendszerek konfigurációs beállításainak felülvizsgálatával újabb biztonsági hiányosságokat lehetséges feltárni. A konfigurációkat lehetséges a rendszeren, valamint offline állapotban is vizsgálni. Az offline vizsgálat során kényelmesebben, könnyebben lehet a felülvizsgálatokat elvégezni. Az offline analízis során különböző eszközök segíthetik a szakértők munkáit: Microsoft Baseline Security Analyzer (MBSA), Center of Internet Security(CIS), NSA és NIST Security Guide. Az eszközök segítségével olyan biztonsági hiányosságokat is lehetséges felfedezni, amit egy behatolási teszt nem biztos, hogy feltár.

Architektúrakialakítás-felülvizsgálat

A rendszerek kialakításának, valamint kapcsolatának felülvizsgálatával lényeges biztonsági hiányosságokat lehetséges meghatározni. A megbízó hálózati topológiájának részletes átvizsgálásával kiderülhet, hogy a rendszerben nem megfelelően alkalmazzák a mélységi védelmi mechanizmusokat. A behatolási teszt nem vizsgálja ezeket a problémákat, tehát rejtve maradhatnak a megbízó előtt, viszont a vizsgálati eredményekből következtethetni lehet az ilyen típusú problémára is.

3. Technika (3/3)

Hardening

A biztonságiállapot-felmérés után a feltárt hiányosságok kockázatarányos javítása kulcsfontosságú feladat. Kritikus feladatokat ellátó szerverek, architektúrák esetében ajánlott biztonsági hardening beállításokat végrehajtani. A hardening során olyan környezetfüggő konfigurációs módosításokat kell meghatározni, amely segítségével a rendszer biztonsági szintje növekszik, ezáltal csökken a rendszer sikeres kompromittálódásának lehetősége. Nemzetközi ajánlások valamint a legjobb gyakorlat és tapasztalatok segítségével hatásos védekezési módszer a hardening.

Interjú a különböző részlegek vezetőivel, valamint végfelhasználókkal

Az üzemeltetői, biztonsági, valamint végfelhasználókkal kapcsolatban lévő személyzettel történt interjúk során olyan esetleg nagyfokú biztonsági problémákra derülhet fény, amelyeket egy behatolási teszt nem fed fel, mert nem technikai jellegűek, hanem inkább a folyamatokhoz és biztonságtudatossághoz köthetőek.

Egyéni megállapodás szerint

4. Hatókör (1/2)

Hatókör tekintetében lehet a teljes vállalati infrastruktúra a célterület, de lehet annak csak egy szűkebb szegmense.

Legtöbb sérülékenység, biztonsági hiba feltárása

Az ethical hacking vizsgálatok során gyakori hiba szokott lenni, hogy nem fektetnek megfelelő hangsúlyt az összes lehetséges hiba feltárására. A probléma általában a nem megfelelő szerződésekből és a megbízó igényeinek nem pontos felderítéséből származik. Szolgáltatásaink során a megbízóval meghatározott vizsgálati területen belül a lehető legtöbb sérülékenység, biztonsági hiba feltárása a célunk.

Előre definiált információk megszerzése

A megbízó igényeihez igazítva a vizsgálatok során egy meghatározott erőforráshoz, dokumentumhoz kell a tesztelőknek hozzáférni. Tipikus példája a vizsgálati lehetőségnek, amikor a belső hálózaton található fájlszerverhez kell hozzáférni az Internet irányából. Természetesen az egyes információkat, valamint lehetőségeket kölcsönösen egyezteti a megbízó és megbízott.

4. Hatókör (2/2)

Behatolástesztelés

A behatolástesztelés során a megbízó által meghatározott rendszerelemeken történik a vizsgálat. Elsődleges cél felhasználói szintű hozzáférést szerezni a rendszerekben, majd a lehetséges legmagasabb jogosultsági szint elérése. A vizsgálat tökéletesen megmutatja, hogy egy külső vagy belső támadó mihez tudna hozzáférést szerezni az adott rendszerekben, vagy a rendszereken keresztül milyen egyéb információhoz tudna hozzáférni.

5. Megközelítés

A vizsgálat végrehajtásának egy speciális igénye lehet, hogy a támadást ne, vagy csak nehezen lehessen észrevenni. A munkavégzés egyik célja ilyenkor – természetesen a biztonsági hibák felderítésén felül – a riasztási rendszer, az üzemeltető személyek munkájának ellenőrzése is.

Mit kapnak Önök, miért hasznos az etikus hackelési vizsgálat?

Minden vizsgálatunk végterméke egy szakvélemény, mely tartalmazza az etikus hackelési csoport által végrehajtott vizsgálatok részleteit, a tesztek típusait, minden azonosított sérülékenységet, és a megrendelő igényeitől függően a megfelelő ellenintézkedéseket.

Így Önök:

  • Valós képet kaphatnak az IT-rendszerükről egy „hacker” szemével
  • Megtudhatják, hogy hol vannak a leggyengébb láncszemek a rendszerükben
  • Listát kapnak, hogy milyen ellenintézkedéseket szükséges végrehajtani, hogy biztonságosabb legyen a rendszerük
  • Ellenőrizhetik, hogy mennyire felelnek meg gyakorlatban az Önöknél működő vagy bevezetni kívánt szabályozásoknak

Ne feledje, sokkal olcsóbb a veszélyek bekövetkezését megfelelő intézkedésekkel megelőzni, mint az esetleges bekövetkezés során az okozott hatást elhárítani, javítani!