Az Ethical Hacking szükségessége – paranoia faktor Budai László IT Biztonságtechnikai tanácsadó
Hacker vagy etikus hacker? „Black-hat hacker"-nek nevezzük azokat a hackereket akik tudásukkal visszaélve jogosulatlanul számítógépbe illetve számítógéphálózatokba törnek be. A black-hat hacker motivációja sokrétű lehet: pénzszerzés az adott információ birtoklása által avagy a puszta kíváncsiság, kémkedés. „White-hat hacker”-nek (fehér kalapos hacker) nevezzük azokat a kiemelt tudással rendelkező informatikai szakembereket, akik tudásukat arra használja fel, hogy megbízás alapján vagy állandó jelleggel biztonsági hibákra világítson rá, ezáltal elkerülve és megelőzve a black-hat hackerek betörési kísérleteit. A White Hat Hacker-ek csoportjába tartoznak az úgynevezett Etikus Hackerek illetve a Penetration Testerek.
Informatikai Biztonsági vizsgálatok jelentősége Az üzleti titkok elvesztése, kiszivárgása, egy informatikai rendszer leállása vagy az ügyfelek bizalmának elvesztése a kis- és nagyvállalatokat egyaránt megrendíti. Az IT fejlesztések (rendszer és alkalmazás) során illetve után ellenőrizni kell, hogy a biztonsági szempontokat figyelembe vették-e (milyen kontrollok kerültek alkalmazásra) és betartják-e. A fejlesztés, a rendszer életciklusának több fázisában indokolt lehet a sérülékenységi vizsgálatok és behatolás-tesztelés külsős, harmadik fél által történő elvégzése. Külföldön már bevett gyakorlat, hogy a számítógépes hálózatok biztonságát etikus hackerek tesztelik.
Mi az ethical hacking? Az ethical hacking a külső szakértő által végezhető biztonsági vizsgálatok közül a legösszetettebb feladat. Célja: a működő rendszer védelmi kontrolljainak kijátszása bármilyen technikával. Ebbe beletartozik az emberi ráhatással (social engineering) történő támadás is. Több szakértő összehangolt munkáját igényli, akiknek feladata a vizsgált szervezet összes sérülékenységének felderítése. Magában foglalhatja a funkcionális tesztelést, a sérülékenység-vizsgálatot és a behatolás-tesztelést is, a feladat jellegétől függően. A megbízótól kapott információktól függően: Black box módszer White box módszer
A csoport tagok kiválasztása Megfelelő szerződések megkötése, engedélyek megszerzése, tervek benyújtása Felderítés Felmérés Támadási tesztkörnyezet összeállítása Sérülékenység hozzárendelés Kihasználás Kiterjesztés Incidenskezelés tesztelése Jelentés A vizsgálat lépései:
Felderítés Az ethical hacking projekt során a vizsgálati módszertől függően adnak ki a vizsgálat alatt álló szervezetről információt. (black vagy white box) Az első feladat a célpont felderítése. Ez olyan tevékenységeket jelent, melyeknek során nyilvános vagy kiszivárgott információkat gyűjtenek össze a célpontról. Erről a tevékenységről semmilyen módon nem értesül az ügyfél, hiszen az etikus hacker nem lép vele kapcsolatba.
Az információmorzsák összegyűjtésének forrásai : Céges weboldal Kapcsolódó vállalkozások (pl. cégjegyzék) Telephellyel kapcsolatos információk (Google Map) Telefonszámok, kontaktszemélyek, címek Aktuális események (pl. sajtóközlemények) Nyilvánosan elérhető műszaki információk (szabályzatok, szabványok, stb.) Archív információk (pl. Alkalmazottaktól kiszivárgó információk (pl. blogok, iWiW) Keresők által szolgáltatott információk (pl. Google hacking) Bármilyen más relevánsnak tűnő információ Felderítés
Felmérés A szervezetre vonatkozó technikai információk begyűjtése: IP információk összegyűjtése DNS információk összegyűjtése Hálózat felderítése (wifi hálózat is) Sérülékenységek keresése Nyitott portok keresése, tűzfal szkennelés Szolgáltatások feltérképezése, és verzióinak megállapítása Felhasználói azonosítók megszerzése Operációs rendszerek azonosítása
Kihasználás A felmérés eredményei alapján a támadási módszer kerül kiválasztásra. A legtipikusabb támadási utak: Az operációs rendszer hibáinak kihasználása (esetek többségében tűzfal védi, exploitok, trójai programok bejuttatása, és az onnan származó információk felhasználása) Sérülékeny rendszerszolgáltatások kihasználása (pl. webszerver, FTP szerver, VPN, stb.) Alkalmazáshibák kihasználása (pl. rosszul megírt webes alkalmazások hibáinak megtalálása) Az emberi tényező kihasználása (social engineering)
Alkalmazáshibák kihasználása A szervezetek legnyilvánvalóbb támadási felülete a weboldala valamint azok az alkalmazások, ahol a buffer overflow programozási hiba kihasználható. A webszerverek támadása különösen akkor érzékeny, ha belső hostolású, dinamikus weboldal, melyet nem megfelelő biztonsági tervezéssel állítottak elő, ami nincsen megfelelően elszeparálva a belső hálózattól, ráadásul a webhost mellett érzékeny adatokat is tárolnak rajta.
Social Engineering – avagy az emberi tényező kihasználása A social engineering (SE) nem más, mint annak a művészete és tudománya, hogy miként vegyünk rá személyeket arra, hogy a mi akaratunknak megfelelően cselekedjenek. A SE támadás csak a támadási mód tekintetében tér el bármely más információ vagy erőforrás elleni támadástól, ebben az esetben az emberi gyengeségeket használják ki a támadók, megkerülve ezáltal a hardver és szoftver eszközök segítségével implementált biztonsági kontrollokat. A legvégső biztonsági tényező maga az ember, ha őt magát sikerül megtéveszteni, máris tárva-nyitva áll az út a támadó számára.
Minden social engineering támadás más és más, ugyanakkor mint a legtöbb támadási formának, így a social engineering-nek is van forgatókönyve, létezik egy minta, amelyet minden SE támadás használ. A forgatókönyv lépései a következők: Információszerzés Kapcsolatépítés A kapcsolat kihasználása (felhasználása) * Végrehajtás – a tervezett cél megvalósítása Social Engineering – avagy az emberi tényező kihasználása
Social Engineering – avagy az emberi tényező kihasználása Technikák: Dumpster diving Vállszörf Popup ablak, csatolmány, elhagyott cd, weboldalak Megszemélyesítés, fontos ember, gyámoltalan felhasználó, „mi vagyunk” a help-desk, harmadik fél felhatalmazása Személyesen besétálunk az épületbe, mint látogatók A SE önálló vizsgálatként is megállja a helyét, vele fény derülhet biztonsági, információ hozzáférési, üzemeltetési kockázatokra illetve a biztonságtudatossági oktatás hiányosságaira.
Kiterjesztés, Incidenskezelés A vizsgálat céljaként meghatározott támadás elvégzése, mely kiterjedhet a szervezet által tett intézkedések mérésére is. (IPS/IDS megoldások tesztelése és a vállalati incidenskezelés vizsgálata is a célok között szerepelhet)
Az etikus hackelés segít rávilágítani a szervezet néhány (nem az összes) biztonsági hiányosságára, ami egy lépés lehet a még jobb biztonság kialakítására! Hangsúlyozzuk, hogy az etikus hackelés nem teljeskörű! Az etikus hackelésnek akkor van értelme, ha egy olyan szervezetnél végzik el, ahol kialakult információbiztonság van! Jelentés
Köszönöm Megtisztelő Figyelmüket! Budai László IT Biztonságtechnikai tanácsadó