A rendszer próbája: az etikus hackelés és penetrációs tesztelés Krasznay Csaba

Mottó „Ismerd meg az ellenséget, és ismerd meg önmagadat, így akár száz csatát is megvívhatsz vereség nélkül” – Szun Ce Minden biztonsági rendszer annyit ér, amennyit a leggyengébb láncszeme. A leggyengébb láncszem megtalálása, és a gyengeség fokának felmérése azonban nem egyszerű feladat. Az egyik hatékony módszer a gyengeségek megtalálására egy külső szakértő bevonása a biztonság átvizsgálására.

Biztonságos rendszer fejlesztése A biztonságnak minden rendszerfejlesztési modellben helye van, azt nem szabad kihagyni!!! Minden modell tipikusan tartalmazza a következő életcikluson átívelő lépéseket, ezen belül pedig a harmadik fél által végzett biztonsági vizsgálatokat: Kezdeményezési fázis Beszerzési/fejlesztési fázis Megvalósítási fázis Vizsgálat és elfogadás Rendszerintegráció Biztonsági tanúsítás Biztonsági akkreditáció Működtetési/fenntartási fázis Konfigurációmenedzsment és felügyelet Folyamatos ellenőrzés Kivonási fázis

Biztonságos rendszer fejlesztése Vizsgálat és elfogadás: meggyőződés arról, hogy a szervezet érvényesítette és ellenőrizte, hogy a specifikációban meghatározott funkcionalitás megjelenik az átadott termékekben. Ez a biztonsági funkcionális tesztelés. Biztonsági tanúsítás: meggyőződés arról, hogy a kontrollok hatékonyan lettek implementálva. Ez bizonyítja a szervezet döntéshozóinak azt, hogy a megfelelő védelmi intézkedések működnek, és megvédik a szervezet információs rendszerét. A biztonsági tanúsítás emellett felfedi és leírja az információs rendszer sérülékenységeit. Ez lehet egy szabvány szerinti tanúsítás során elvégzett sérülékenység-vizsgálat vagy behatolás-tesztelés. Folyamatos ellenőrzés: meggyőződés arról, hogy a kontrollok folyamatosan hatékonyan működnek. Ez periodikus teszteléssel és értékeléssel érhető el. Ez lehet behatolás-tesztelés vagy etikus hackelés.

A harmadik fél által végzett vizsgálatok Egy külső szakértő bevonása tehát a rendszer életciklusának több fázisában is indokolt lehet. Különböző fázisokban különböző típusú ellenőrzések indokoltak: Biztonsági funkcionális tesztelés: az újonnan fejlesztett rendszer (alkalmazás) beépített védelmi kontrolljainak megfelelőségi ellenőrzése. Pl. nézzük meg, hogy tényleg legalább 8 karaktert kell-e megadni jelszónak. Sérülékenység-vizsgálat: az újonnan fejlesztett rendszer (alkalmazás) védelmi kontrolljainál előforduló sebezhetőségek felderítése. Pl. white-box tesztelés során a sérülékeny függvények felderítése. Behatolás-tesztelés: az újonnan fejlesztett vagy már működő rendszer védelmi kontrolljainak kijátszása műszaki megoldásokkal, bármilyen kapcsolódó környezeti infrastruktúra felhasználásával. Etikus hackelés: a működő rendszer védelmi kontrolljainak kijátszása bármilyen technikával. Ebbe beletartozik az emberi ráhatással (social engineering) történő támadás is.

A harmadik fél által végzett vizsgálatok Teljes információs rendszer Etikus hackelés Behatolás- tesztelés Rendszer komplexitása Sérülékenység- vizsgálat Alkalmazás Biztonsági funkci- onális tesztelés Teljes hozzáférés Semmilyen információ Jogosultsági szint

Mi az etikus hackelés? Az etikus hackelés ezek alapján a külső szakértő által végezhető biztonsági vizsgálatok közül a legösszetettebb feladat. Több szakértő összehangolt munkáját igényli, akiknek feladata a vizsgált szervezet összes sérülékenységének felderítése. Magában foglalhatja a funkcionális tesztelést, a sérülékenység-vizsgálatot és a behatolás-tesztelést is, a feladat jellegétől függően.

Az etikus hackelés projekt

Az etikus hackelés projekt Valójában a projekt folyamata a következő: A megfelelő emberek kiválogatása Megfelelő szerződések megkötése, engedélyek megszerzése, tervek benyújtása Felderítés Felmérés Támadási tesztkörnyezet összeállítása Sérülékenység hozzárendelés Kihasználás Kiterjesztés Incidenskezelés tesztelése Jelentés

A megfelelő emberek kiválogatása Minden etikus hackelés projekt más, így mindig a feladatra legalkalmasabb embereket kell összeválogatni. A projekt műszaki vezetője olyan ember, aki a feladat teljes folyamatát átlátja, képes összehangolni a munkatársak munkáját. A legjobb választás egy komoly szakmai múlttal rendelkező IT biztonsági szakember (lehet akár egy ex-hacker is). A csoportvezetők feladata a különböző résztevékenységek koordinálása, a kapcsolattartás a megrendelő felé, a részfeladat adminisztrációjának ellátása. Általában a műszaki vezetői és csoportvezetői szerepkört ugyanaz a személy tölti be. A csoporttagok megválasztásánál elsődleges feladat az egyéni képességek felmérése. Egy ilyen projektben szükség lehet programozási, hálózati, fizikai biztonsági és pszichológiai képességekre is.

Szerződések, engedélyek, tervek Mielőtt bármit is teszünk, az ügyfélnek tudnia kell az összes lépésünkről. Az ügyféllel meg kell ismertetni az összes lehetséges negatív hatást. Miután megismerte a tervezett lépéseket, minden egyes mozzanatot jóvá kell vele hagyatni. A tervezetben általában az szerepel, hogy a megbízott mit fog csinálni, és ennek milyen kockázatai vannak. A hogyan sokszor homályban marad, hiszen így lehet valósághűen szimulálni a szervezet sérülékenységeit. A végrehajtás során ezért veszélybe kerülhetnek a csoporttagok, így fontos, hogy mindenki rendelkezzen egy támogató nyilatkozattal (szabaduló kártyával).

Felderítés Az etikus hackelés projekt során általában semmilyen információt nem adnak ki a vizsgálat alatt álló szervezetről. Ezért az első feladat a célpont felderítése. Ez olyan tevékenységeket jelent, melyeknek során nyilvános vagy kiszivárgott információkat gyűjtenek össze a célpontról. Erről a tevékenységről semmilyen módon nem értesül az ügyfél, hiszen az etikus hacker nem lép vele kapcsolatba.

Felderítés Az információmorzsák összegyűjtésének forrásai : Céges weboldal Kapcsolódó vállalkozások (pl. cégjegyzék) Telephellyel kapcsolatos információk (Google Map) Telefonszámok, kontaktszemélyek, e-mail címek Aktuális események (pl. sajtóközlemények) Nyilvánosan elérhető műszaki információk (szabályzatok, szabványok, stb.) Archív információk (pl. www.archive.org) Alkalmazottaktól kiszivárgó információk (pl. blogok, iWiW) Keresők által szolgáltatott információk (pl. Google hacking) Bármilyen más relevánsnak tűnő információ

Céges weboldal

Telephely

Telefonszámok

Aktuális események

Nyilvánosan elérhető szabályzatok

Archív oldalak

Kiszivárgó információk

Felderítés IP információk összegyűjtése: www.ripe.net GeoTool: www.rleeden.no-ip.com/geotool.php www.domain.hu DNS információk összegyűjtése txDNS DNSMap www.dnsstuff.com Hálózati felderítés traceroute paratrace 0trace

Felderítés Videó 1…

Felmérés Bekapcsolt számítógépek megtalálása: fping nmap Nyitott portok azonosítása Általában alacsony portokon vannak érdekes szolgáltatások Ha alacsony porton nincs semmi érdekes, érdemes a magas, esetleg az UDP portokon is körülnézni

Felmérés Operációs rendszer azonosítása nmap –O Szolgáltatások verzióinak azonosítása nmap –sV telnet <host> <port> www.netcraft.com Sérülékenységek keresése Nessus Foundstone

Felmérés Videók 2, 3, 4…

Támadási tesztkörnyezet összeállítása Ez magában foglalja a támadási környezetet és az áldozat hálózat szimulációját is (bár ez nem jellemző) A támadási környezet állhat Erre a célra kifejlesztett Live CD-ből (pl. Backtrack) Olyan virtuális (VmWare vagy MS Virtual PC) gépekből, melyekre a támadott környezet ismeretében kerülnek fel eszközök Az áldozat szimulációját a felmérés eredményeiből, virtuális gépen lehet összeállítani Ez segít abban, hogy a sikertelen kihasználási próbálkozások ne tűnjenek fel a célpontnál

Kihasználás Az etikus hackelés ezen fázisától kezdve nem lehet mechanikus munkáról beszélni. A felmérés eredményei alapján számtalan elágazás lehetséges. A legtipikusabb támadási utak: Az operációs rendszer hibáinak kihasználása Sérülékeny rendszerszolgáltatások kihasználása (pl. webszerver, FTP szerver, VPN, stb.) Alkalmazáshibák kihasználása (pl. rosszul megírt webes alkalmazások hibáinak megtalálása) Az emberi tényező kihasználása (-> social engineering)

Az operációs rendszer hibáinak kihasználása

Az operációs rendszer hibáinak kihasználása

Sérülékeny rendszerszolgáltatások kihasználása Az operációs rendszerekhez a tűzfalak miatt általában nem férünk hozzá. A különböző rendszerszolgáltatások azonban látszódnak. A felderítés során tudomásunkra jutottak a szolgáltatások verziói. Továbblépés: Vagy találunk hozzá exploitot, Vagy találunk hozzá olyan eszközt, ami a beállítási hibákat segít megtalálni (pl. gyenge jelszavakat)

Sérülékeny rendszerszolgáltatások kihasználása

Sérülékeny rendszerszolgáltatások kihasználása

Sérülékeny rendszerszolgáltatások kihasználása Videó 5…

Alkalmazáshibák kihasználása A szervezetek legnyilvánvalóbb támadási felülete a weboldala. Ez különösen akkor érzékeny, ha belső hostolású, dinamikus weboldal, melyet nem megfelelő biztonsági tervezéssel állítottak elő, ami nincsen megfelelően elszeparálva a belső hálózattól, ráadásul a webhost mellett érzékeny adatokat is tárolnak rajta.

Alkalmazáshibák kihasználása Legfőbb webes hibák az OWASP szerint: Cross Site Scripting (XSS) Beszúrásos hibák (pl. SQL injection) Kártékony fájlvégrehajtás (pl. fájlfeltöltés) Nem biztonságos direkt referencia (pl. direkt fájlhivatkozás) Cross Site Request Forgery (CSRF) Információszivárgás és nem megfelelő hibakezelés (pl. beszédes hibaüzenetek) Feltört hitelesítés és session kezelés (pl. megjósolható session azonosítók) Nem megfelelő kriptográfia a tárolásnál (pl. XOR használat) Nem biztonságos kommunikáció (pl. gyenge SSL) Az URL hozzáférés tiltásának a hibája (pl. olyan fájlok, könyvtárak felderítése, melyeket nem lehetne látni – directory traversal)

Alkalmazáshibák kihasználása Videó 6…

Az emberi tényező kihasználása „… the art and science of getting people to comply with your wishes.” (People Hacking, Harl) A social engineering (SE) nem más, mint annak a művészete és tudománya, hogy miként vegyünk rá személyeket arra, hogy a mi akaratunknak megfelelően cselekedjenek. A SE támadás csak a támadási mód tekintetében tér el bármely más információ vagy erőforrás elleni támadástól, ebben az esetben az emberi gyengeségeket használják ki a támadók, megkerülve ezáltal a hardver és szoftver eszközök segítségével implementált biztonsági kontrollokat. A legvégső biztonsági tényező maga az ember, ha őt magát sikerül megtéveszteni, máris tárva-nyitva áll az út a támadó számára.

A Social Engineering módszertana Minden social engineering támadás más és más, ugyanakkor mint a legtöbb támadási formának, így a social engineering-nek is van forgatókönyve, létezik egy minta, amelyet minden SE támadás használ. A forgatókönyv lépései a következők: Információszerzés Kapcsolatépítés A kapcsolat kihasználása (felhasználása) * Végrehajtás – a tervezett cél megvalósítása

Információszerzés Az információszerzés célja, hogy a forgatókönyv második lépéséhez szükséges információk előálljanak, azaz a kapcsolatépítés lehetővé váljon, mi több gördülékenyen menjen és a kiépített kapcsolat jól felhasználható legyen a cél elérése érdekében. Ez a legtöbb időráfordítást igénylő lépése a SE támadásnak, egyben a legfontosabb is. Minél több információt sikerül megszereznie a támadónak, annál minőségibb kapcsolatot tud építeni, és minél minőségibb a kapcsolat, annál könnyebben használható fel a következő lépésekben.

Információszerzés Direkt telefonos megkeresés: Ennek során telefonon próbálunk olyan információkhoz hozzájutni, melyek segítenek a támadás célpontjául szolgáló személlyel kapcsolatot építeni vagy a támadás során később felhasználhatóak lesznek. Ilyenek például az illetékesek nevei, elérhetőségei, azonosítói (esetleg jelszavai), munkaidő-beosztása, helyettesítői vagy hozzáférési módok stb. Célzott levél A célzott levél eljuttatása a támadás célpontjául szolgáló személy részére további információkat szolgáltathat számunkra. Egy egyszerű kérdőívnek álcázott levéllel megtudhatjuk születési dátumát, a házi kedvenc nevét, autója típusát, kedvenc hírportálját (ahol aztán a fórumban esetleg megtalálhatjuk őt) és sok egyéb dolgot, ami még közelebb vihet bennünket ahhoz, hogy jó kapcsolatot építhessünk ki a célszeméllyel. A kérdőív kitöltésére rávehetjük valami nyereménylehetőség megadásával vagy akár magunk is küldhetünk neki nyereményt, ami csak akkor vehet át, ha bizonyos adatokat megad esetleg aláírásával hitelesít.

Információszerzés Dumpster Diving (kukaátvizsgálás) A dolgozók irodai hulladékának átvizsgálásával hozzájuthatunk belső levelezéshez, naptárbejegyzésekhez, feljegyzésekhez, draftokhoz, szervezeti ábrákhoz, ami segít bennünket abban, hogy a célszemély munkahelyi életébe minél inkább bele lássunk és a későbbi támadás során az adott környezetben eligazodjunk. Shoulder Surfing („vállszörf”) A vállszörf lehetősége akkor adott számunkra, ha fizikailag az illető közelébe kerültünk (feltehetően az irodában). Ezt például egy olcsó ajándék kikézbesítése során tudjuk megtenni, amennyiben nem vagyunk a vállalat alkalmazottai. Akár jelszavak birtokába is juthatunk.

Kapcsolatépítés A kapcsolatépítés során a célszemélyt a következők motiválhatják abban, hogy akaratuk ellenére segítségünkre legyenek: A felelősség elhárítása A morális bűnösség érzésének elkerülése A jó megítélés megszerzése Segítőkészség A vágy, hogy kaphat VALAMIT cserébe SEMMI(SÉG)ÉRT Kíváncsiság, tudatlanság, gondatlanság, bosszú.

Kapcsolatépítés A kapcsolatépítést segíti, ha: A támadó a célszeméllyel szemben konstruktívan és nem támadó szellemben lép fel. Ha korábban apró szívességeket tettünk vagy kedvességgel szolgáltunk a célszemély felé, így akár nagyobb szívességre is hajlandó később. Emberségünket hangsúlyozzuk, megértők vagyunk, nem csupán egy hang a telefonban. Ha a támadó gyorsan alkalmazkodik a kialakult szituációhoz. Az így kiépített kapcsolat célja, hogy a támadó úgy pozícionálja magát a célszemély előtt, hogy az megbízzon benne és később ez a bizalom kihasználható legyen.

A kapcsolat kihasználása Ha sikerült megbízható kapcsolatot kiépíteni, a támadónak lehetősége van irányítani, azaz kihasználni a célszemélyt. A kihasználás lehet egy egyszerű kód átadása, amivel a vidéki telefonálás számunkra ingyenessé válik, de lehet akár egy password átadása vagy a kulcs – ideiglenes – ránk bízása, amit lemásolva a szerverszobába (vagy a főnök irodájába) már gond nélkül bármikor bejuthatunk. Ez lehet akár a támadás végcélja is, amennyiben „csak„ ingyen telefonálni szeretnék, de lehet akár a következő lépés első fázisa.

Végrehajtás Amennyiben célunk nem a fentiek valamelyike volt, úgy ebben a fázisban lehetőségünk van végrehajtani az eredetileg tervezett támadást. Hozzáférni a szerverek bármelyikéhez és manipulálni azokat vagy üzleti iratokat másolni és visszaélni velük a zárt irodaajtó kinyitását követően. Tehetjük mindezt nyomtalanul, pontosabban ránk utaló nyomok (bizonyítékok) nélkül.

Social Engineering technikák Számítógép alapú technikák Popup ablakok – pl. megjelenik egy ablak, amely azt mondja, hogy megszakadt a hálózati kapcsolat, kérem adja meg azonosítóját és jelszavát, majd - csodák-csodája - minden működik megint. Persze az azonosítót meg a jelszót elküldi egy külső gépre e-mailben a támadónak. E-mailben csatolt állomány – ősi módszer mégis hatásos. E-mail csatolmányként érkezik egy kémszoftver amit csak le kell futtatni. (elég pl. pucer-lanyok.exe nevet adni neki máris sokan el fogjak indítani) Ennek a módszernek számos kifinomult verziója létezik. „Elhagyott” CD lemez – a kémszoftver célba juttatásának másik megoldása, nem kell mást tennünk csak annyit, hogy egy lemezt „felejtünk” a vállalati printer mellett mondjuk „Sexy Girls” felirattal – és persze a videó fájl mellett egy elrejtett kártékony kóddal. Weboldalak – ez egy “szakállas” trükk. Ajánlani kell valami ingyenes dolgot egy weboldalon. A nyeremény átvételéhez csak adjon meg a kedves nyertes egy e-mail címet és egy jelszót. Nagyon sokan ugyanazt a jelszót adják meg amit bent a cégnél is alkalmaznak.

Social Engineering technikák Humán alapú technikák Megszemélyesítés – az esetek nagy része azt mutatja, hogy a help-desk szolgáltatás az egyik leggyakrabban támadott felület. A támadó - mint szimulált alkalmazott, persze valós névvel és adatokkal - betelefonál a help-desknek, hogy elfelejtette a jelszavát és kéri, hogy adjanak neki egy újat. Ez sok esetben sikerrel jár. Ennél persze léteznek kifinomultabb módszerek. Ha már sikerült megszerezni egy felhasználó nevét és mobil telefonszámát, úgy felhívhatjuk valamikor késő este mint egy belső support munkatárs, hogy az ő gépéről valaki bejelentkezett egy szervere, és emiatt az éjszakára tervezet átállást nem tudja végrehajtani. Ha volna kedves bejönni (célszerű vidéki kollégát választani) és kijelentkezni az megoldást jelentene. De persze az is jó, ha megadja a felhasználónevét és a jelszavát… Vajon melyiket választja majd? Fontos Ember - egy gyakori trükk, hogy nem egy akármilyen embert személyesítünk meg, hanem mondjuk magát a vezérigazgatót. A célszemély általában nem mond nemet, ha maga a vezér telefonál és kéri, hogy öt percen belül adjanak neki egy új jelszót vagy a kért információt. Sokszor még egy kis megfélemlítés is belefér ha akadékoskodna a célszemély.

Social Engineering technikák Harmadik fél felhatalmazása – a támadó megszerzi egy fontos ember nevét és beosztását, majd felhívja a célszemélyt, hogy Fontos Úr kérésére azonnal adják oda a következő adatokat. Ez különösen akkor hatékony ha Fontos Úr éppen szabadságon van és ezt tudatosítjuk a célszeméllyel is, sőt az a legjobb, ha ezzel ő magától is tisztában van (közeli kolléga). Mi vagyunk a Help-Desk – felhívjuk bármelyik alkalmazottat és tesztre hivatkozva elkérjük a jelszavát, praktikus ha jelezzük felé, hogy amennyiben nem fut le a teszt, úgy elképzelhető, hogy néhány óra múlva nem fog tudni bejelentkezni és akkor új accountot kell igényelnie a megszokott módon. Gyámoltalan felhasználó – a támadó új kollégának kiadva magát segítséget kér a titkárnőtől, elmondja, hogy új a cégnél, az accountjával még gondok vannak, most sem sikerült belépnie, viszont sürgős feladata van már most, amit a főnökének kell elvégeznie egy órán belül. Ha a titkárnő bejelentkezne addig amíg elvégzi, az nagy segítség volna, csak Excel kell a munkához.

Social Engineering technikák Személyesen – a támadó besétál (bejut) az épületbe, mint alkalmazott, vendég vagy szerviz munkás. Öltözhet öltönybe vagy munkásruhába. Az épületek, szobák nagy részében szabadon járkálhat és gyűjthet információkat. Kukaátvizsgálás – átnézni egy cég irodai hulladékait értékes információk után kutatva. Váll-szörf – Egyszerűen meglesni valakinek a válla fölött, hogy milyen jelszót gépel be. Ezen sorok írója például a postai sorban állás során szokott elcsípni bankkártya PIN kódokat.

A Social Engineering eredménye A vizsgálat eredményeképpen láthatóvá válik, hogy mi az amin változtatni kell a: Fizikai biztonság (beléptetés, zónák kialakítása, stb.) Információ osztályozás (hozzáférés menedzsment stb.) Üzemeltetés biztonsága (support feladatok és folyamatok stb.) Oktatás (Awareness, felhasználói képzés stb.) terén. A vizsgálat eredményéről vizsgálati jelentés készül, mely tartalmazza a sikeres és sikertelen támadások leírását egyaránt.

Kiterjesztés Ha valamilyen módon hozzáfértünk a szervezeti erőforráshoz, nagyon nehezen lehet megakadályozni a root/administrator jogosultság megszerzését. Éppen ezért a legveszélyesebb támadók mindig a belső felhasználók. Ezért a kiterjesztést belső felhasználóként történő támadással szokták szimulálni. Az etikus hacker kap egy átlagos munkaállomást, amiről kiindulva domain admin jogosultságot szerez.

Kiterjesztés Forgatókönyv: Local admin jogosultság szerzése MAC spoofing az átjáró és más munkaállomások között (Cain) Jelszavak sniffelése és megfejtése (Cain) Teljes adatforgalom lehallgatása (Wireshark) Kis szerencsével ezek a tevékenységek sok-sok felhasználónevet és jelszót eredményeznek. Természetesen sok védekezési megoldás van, de a tapasztalatunk szerint nagy hálózatnál valamilyen hibát el fognak követni.

Kiterjesztés Videó 7…

Incidenskezelés tesztelése A fentebb felsorolt technikák nagy részét a telepített IDS/IPS megoldásoknak észlelnie kell. A vállalati incidenskezelés célja az, hogy ezeket a támadásokat észlelje. Sokszor „direkt” nagy zajjal járó támadásokat végzünk. Ennek ellenére ritka a lebukás, nem veszik észre a behatolásokat. Érdemes elgondolkodni azon, hogy hogyan lehet hatékonyabbá tenni az incidenskezelést!

Jelentés Az etikus hackelés nagyon érzékeny terület. Ez különösen a jelentési fázisnál derül ki, amikor óhatatlanul érdeksérelem ér valakit. Az etikus hackelés eredményeit SOHA nem lehet felhasználni munkaügyi konzekvenciák levonására! Az etikus hackelés segít rávilágítani a szervezet néhány (nem az összes) biztonsági hiányosságára, ami egy lépés lehet a még jobb biztonság kialakítására! Hangsúlyozzuk, hogy az etikus hackelés nem teljeskörű! Az etikus hackelésnek akkor van értelme, ha egy olyan szervezetnél végzik el, ahol kialakul információbiztonság van!

Ami kimaradt… Az idő rövidsége miatt számtalan dologról nem tudtunk beszélni: Nyomok elrejtése, Trójai programok, Túlterheléses (DoS) támadások, Vezetéknélküli hálózatok törése, Vírusok, Fizikai biztonság elleni támadások, Puffer túlcsordulások, Kriptográfia, …

Irodalomjegyzék McClure, Scambray, Kurtz: Hacking Exposed – Fifth Edition EC-Council: Ethical Hacking and Countermeasures (www.eccouncil.org, www.netacademia.net) Open Web Application Security Project, www.owasp.org

Köszönöm szépen! E-mail cím: krasznay.csaba@kancellar.hu Cégünk weboldala: www.kancellar.hu Az előadás letölthető: www.krasznay.hu