Penetrační testy

Co je Penetrační testování?

Obecná definice penetračních testů: „Metoda hodnocení počítačového a síťového zabezpečení pomocí simulace možných útoků na tento systém“.

Penetrační testeři se snaží všemi, veřejně dostupnými prostředky, infiltrovat do sítě a dostat se k datům uživatelů, zákazníků, nebo jiným potencionálně citlivým informacím.

Penetrační testy se klasifikují dle způsobu provedení jako:

  • Black-box testy – o penetrovaném systému nemá útočník žádné interní informace a pokusí se prolomit zabezpečení pouze s veřejně dostupnými daty, které získá použitím nástrojů volně přístupnými z Internetu, popř. programy, které si naprogramuje k těmto účelům.

U Black-box testů se jedná především o externí (vnější) penetrační testy, které se zabývají bezpečností vnější infrastruktury zkoumaného subjektu. Důležité u těchto testů bývá nalezení veřejných IP adres, které jsou přiděleny serverům ve vnitřní síti napadeného, tato znalost je pak využita pro přístup na samotný server a pokud má tento vnitřní adresu sítě, není problém dostat se kamkoliv.

Ve druhé fázi se zjišťují operační systémy, které jsou na zjištěných IP adresách nainstalovány. Tímto zjištěním se otevírají dveře k využití známých zranitelností operačních systémů. Pro každý operační systém je veřejně dostupná databáze zranitelností tzv.: „OS backdoors“. Tyto zranitelnosti se využívají k prolomení zabezpečení jednotlivých serverů, nebo aktivních prvků. Následně pak pro přihlášení se do vnitřní sítě.

Třetí fáze (probíhající zároveň s druhou) je zjištění běžících programů a aplikací na konkrétních adresách. Pokud má aplikace např. otevřeny konkrétní porty a tyto jsou publikovány do veřejné sítě, lze se pomocí nich, pokud nejsou zabezpečeny, opět přihlásit do vnitřní sítě. (Využívá se opět veřejně dostupná databáze application backdoors.)

  • White-box testy – útočník při tomto způsobu testovaní zná dopodrobna síťovou infrastrukturu, většinou má administrátorské přístupy do testovaných systémů a může je libovolně používat. Tyto informace nicméně nejsou využívány na prolamování bezpečnosti, ale na zkoumání nebezpečného chování a nekorektního nastavení aplikací, nebo hardwaru.

Pomocí white-box testů je na cílovém systému zjištěno, jak je tento systém chráněn před neautorizovaným přístupem, jak je řízen přístup k jednotlivým částem systému a k datům (zde bude zkoumáno např. nastavení dle best praktice, zdrojový kód, zkoumána zranitelnost systému apod.), jak je implementována integritní ochrana, jak jsou ukládána hesla (testováním plain textů, defaultních účtů aj.), zda systém neobsahuje nežádoucí kód a současně budou zjištěny bezpečnostní chyby a zranitelnosti např. vytvořením scénáře útoku na systém.

  • Gray-box testy – V tomto případě se využívají data, která má tester k dispozici a byly mu předem sděleny. Především se jedná o IP adresy serverů, doménové názvy, syntaxi uživatelských jmen apod. „Hacker“ v tomto případě použije omezené znalosti prostředí, aby se dostal k informacím využitím jedné nebo více známých informací. (Např. pokusí se infiltrovat síť za použití uživatelského jména, ale neznalosti hesla, nebo znalosti infrastruktury a zabezpečení, ale neznalosti uživatelského jména a hesla apod.).

Gray-box testů se využívá především jako Interních testů, kde se jedná o využití všech prostředků, jako při vnějších penetračních testech s tím rozdílem, že útočník je přítomen ve vnitřní síti zkoumaného subjektu. Situace je pak pro něj jednodušší v tom, že do zabezpečení vnitřní sítě se nevkládají takové prostředky a úsilí, jako do sítě veřejné.

Při zabezpečení vnitřní sítě se většinou využívá tzv. zabezpečení přístupem. Jde o zabezpečení, při kterém se předpokládá, že se případný útočník nedostane do vnitřní sítě. Z tohoto důvodu je většinou laxnější přístup k zabezpečování firemních, vnitřních IP adres pro přístup k serverům. Servery se publikují bez, nebo s minimálním zabezpečením.

Etický Hacking:

Všechny penetrační testy musí být vždy prováděny pomocí tzv. Etického hackingu a nesmí nijak narušit, poškodit nebo kompromitovat testované systémy.

Institut Etického hackingu a certifikátu Etického hackera je novodobý trend, který se k nám dostal kolem roku 2010-2011. Certifikát vydává EC-Council (Mezinárodní rada elektronického obchodu) a zasíťuje tím odborníky na penetrační testy a Kybernetickou obranu. Etickým Hackerem se může stát každý po absolvování odborného kurzu a složení ověřovací zkoušky.

Desatero Etického hackera:

  1. Nepoužiješ počítače ke škodě jiného
  2. Nebudeš ničivě zasahovat do práce druhých lidí
  3. Nebudeš slídit v souborech jiných lidí
  4. Nepoužiješ počítače ke krádeži
  5. Nepoužiješ počítače pro křivé svědectví
  6. Nepoužiješ nebo nepořídíš kopii softwaru, který jsi nezaplatil/a
  7. Nepoužiješ neoprávněně počítačového zdroje jiných lidí
  8. Nepřivlastníš si intelektuální dílo jiného
  9. Budeš přemýšlet o společenských následcích programu, který jsi stvořil/a
  10. Budeš používat počítače ohleduplně a s úctou

Co nabízíme:

Firma Solutia, s.r.o. nabízí celou škálu Penetračního testovaní. Od testů webových aplikací, interní a externí infrastruktury až po zátěžové DDoS útoky a Sociální inženýrství. Vše ve zvoleném způsobu provedení (Black, White, Gray) a vše s přísným dodržením tzv. Etického hackingu.

 

Autor: Mgr. Jan Štoček, MBA