Behatolási teszt - Penetration test

A behatolási teszt , köznyelvben toll teszt vagy etikus hackelés , egy engedélyezett szimulált cyberattack egy számítógépes rendszerben végzett, hogy értékelje a biztonsági rendszer; ezt nem szabad összetéveszteni a sebezhetőség értékelésével . A tesztet a gyengeségek (más néven sebezhetőségek) azonosítására végzik, beleértve annak lehetőségét, hogy jogosulatlan felek hozzáférhetnek a rendszer jellemzőihez és adataihoz, valamint erősségeihez, lehetővé téve a teljes kockázatértékelés elvégzését .

A folyamat jellemzően azonosítja a célrendszereket és egy adott célt, majd áttekinti a rendelkezésre álló információkat, és különféle eszközöket vállal a cél elérésére. A penetrációs teszt célpontja lehet egy fehér doboz (amelyről a háttér- és rendszerinformációkat előre eljuttatják a tesztelőnek) vagy egy fekete doboz (amelyről a vállalat nevén kívül csak alapvető információkat - ha vannak ilyenek) adnak meg. A szürke doboz behatolási teszt a kettő kombinációja (ahol a cél korlátozott ismeretét megosztják az auditorral). A penetrációs teszt segíthet azonosítani a rendszer támadható sebezhetőségét, és megbecsülni, mennyire sebezhető.

A behatolási teszt által feltárt biztonsági problémákat jelenteni kell a rendszer tulajdonosának. A behatolási vizsgálati jelentések a szervezetre gyakorolt ​​lehetséges hatásokat is felmérhetik, és ellenintézkedéseket javasolhatnak a kockázat csökkentésére.

Az Egyesült Királyság Nemzeti Kibervédelmi Központja így írja le a behatolási teszteket: "Módszer az IT -rendszer biztonságának megszerzésére azáltal, hogy megpróbálja megsérteni a rendszer biztonságának egy részét vagy egészét, ugyanazokat az eszközöket és technikákat alkalmazva, mint az ellenfél."

A penetrációs teszt céljai az adott tevékenység típusától függően változnak, az elsődleges cél az, hogy megtalálják a sebezhetőségeket, amelyeket egy aljas szereplő ki tud használni, és tájékoztatni kell az ügyfelet ezekről a biztonsági résekről, valamint az ajánlott enyhítési stratégiákat.

A behatolási tesztek a teljes biztonsági ellenőrzés részét képezik . Például a fizetési kártyák iparági adatbiztonsági szabványa előírja a behatolás tesztelését rendszeres időközönként, és a rendszer megváltoztatása után.

Számos szabványos keretrendszer és módszertan létezik a penetrációs tesztek elvégzésére. Ezek közé tartozik a nyílt forráskódú biztonsági tesztelési módszertani kézikönyv (OSSTMM), a behatolási tesztelési végrehajtási szabvány (PTES), a NIST 800-115 különkiadvány, az információs rendszer biztonsági értékelési keretrendszere (ISSAF) és az OWASP tesztelési útmutató.

A hibahipotézis -módszertan olyan rendszerelemzési és behatolási előrejelzési technika, amelyben egy szoftverrendszer feltételezett hibáinak listáját állítják össze a rendszer specifikációinak és dokumentációjának elemzésével . A feltételezett hibák listáját ezután rangsorolják a hiba tényleges létezésének becsült valószínűsége, valamint az ellenőrzés vagy a kompromisszum mértékéig történő könnyű kihasználás alapján. A priorizált lista a rendszer tényleges tesztelésének irányítására szolgál.

Történelem

A hatvanas évek közepére az időmegosztó számítógépes rendszerek növekvő népszerűsége, amelyek kommunikációs vonalakon keresztül tették elérhetővé az erőforrásokat, új biztonsági aggályokat okozott. Ahogy Deborah Russell és GT Gangemi Sr. tudósok kifejtik: "Az 1960 -as évek jelentették a számítógépes biztonság korának igazi kezdetét."

1965 júniusában például az Egyesült Államok számos vezető számítógépes biztonsági szakértője megtartotta az egyik első nagy rendszervédelmi konferenciát, amelynek a kormányzati vállalkozó, a System Development Corporation (SDC) adott otthont . A konferencia során valaki megjegyezte, hogy az SDC egyik alkalmazottja könnyen alááshatta az SDC AN/FSQ-32 időmegosztó számítógépes rendszeréhez hozzáadott különféle rendszerbiztosításokat. Abban a reményben, hogy további rendszerbiztonsági tanulmányok hasznosak lennének, a résztvevők kérték, hogy "... tanulmányokat végezzenek olyan területeken, mint a biztonsági védelem megszakítása az időmegosztott rendszerben". Más szóval, a konferencia résztvevői kezdeményezték az egyik első hivatalos kérést, hogy a számítógépes penetrációt használják a rendszerbiztonság tanulmányozásának eszközeként.

Az 1967 -es tavaszi közös számítógépes konferencián számos vezető számítástechnikai szakember ismét találkozott, hogy megvitassák a rendszerbiztonsági kérdéseket. A konferencia során Willis Ware , Harold Petersen és Rein Turn, a RAND Corporation számítógépes biztonsági szakértői , valamint Bernard Peters, a Nemzetbiztonsági Ügynökség (NSA) munkatársai a "penetráció" kifejezést használták a számítógép elleni támadás leírására. rendszer. Egy cikkében Ware hivatkozott a katonaság távolról elérhető időmegosztó rendszereire, figyelmeztetve, hogy "szándékos kísérleteket kell behatolni az ilyen számítógépes rendszerekbe". Kollégái, Petersen és Turn ugyanazokat az aggodalmakat osztották meg, megjegyezve, hogy az online kommunikációs rendszerek "... sebezhetőek a magánélet fenyegetéseivel szemben", beleértve a "szándékos behatolást". Bernard Peters, az NSA munkatársa ugyanezt mondta, és ragaszkodott ahhoz, hogy a számítógépes bemenet és kimenet "... nagy mennyiségű információt szolgáltathatna egy átható programnak". A konferencia során a számítógépek behatolása hivatalosan az online számítógépes rendszereket fenyegető veszélynek minősül.

A számítógépes penetráció jelentette fenyegetést az Egyesült Államok Védelmi Minisztériuma (DoD) 1967 végén nagy jelentésben vázolta . Lényegében a DoD tisztviselői Willis Ware -hez fordultak, hogy vezessenek egy NSA, CIA , DoD, a tudományos körök és az ipar számára, hogy hivatalosan értékeljék az időmegosztó számítógépes rendszerek biztonságát. Az 1967. tavaszi közös számítógépes konferencia során bemutatott számos cikkre támaszkodva a munkacsoport nagymértékben megerősítette a rendszerbiztonságot, amelyet a számítógépek behatolása jelent. Ware jelentése eredetileg minősített volt, de az ország vezető számítógépes szakértői közül sokan gyorsan azonosították a tanulmányt a számítógép biztonságának végleges dokumentumaként. Jeffrey R. Yost, a Charles Babbage Intézet munkatársa a közelmúltban úgy jellemezte a Ware -jelentést, hogy "... messze a legfontosabb és legalapvetőbb tanulmány a korszakának biztonságos számítási rendszereit érintő technikai és működési kérdésekről". Valójában a Ware-jelentés megerősítette azt a fenyegetést, amelyet a számítógépek behatolása jelent az új online időmegosztó számítógépes rendszerek számára.

A rendszer gyengeségeinek jobb megértése érdekében a szövetségi kormány és vállalkozói hamarosan elkezdték behatoló csapatok szervezését, más néven tigriscsapatokat , hogy számítógépes behatolást használhassanak a rendszer biztonságának tesztelésére. Deborah Russell és GT Gangemi Sr. kijelentették, hogy az 1970-es években "..." tigriscsapatok jelentek meg először a számítógépes színtéren. A tigriscsapatok a kormány és az ipar által szponzorált kekszcsapatok voltak, akik megpróbálták lebontani a számítógépes rendszerek védelmét. erőfeszítéseket kell tenni a biztonsági lyukak feltárására és végül elhárítására. "

A számítógépbiztonság történetének egyik vezető tudósa, Donald MacKenzie hasonlóképpen rámutat arra, hogy "a RAND a kormány megbízásából néhány behatolási tanulmányt (kísérleteket végzett a számítógépes biztonsági ellenőrzések megkerülésével) a korai időmegosztó rendszerekről". Jeffrey R. Yost, a Charles Babbage Intézet munkatársa a számítógépes biztonság történetével foglalkozó saját munkájában is elismeri, hogy mind a RAND Corporation, mind az SDC "részt vett az első ún. időmegosztó rendszereket, hogy teszteljék sebezhetőségüket. " Gyakorlatilag mindezen korai tanulmányok során a tigriscsapatok sikeresen betörtek minden célzott számítógépes rendszerbe, mivel az ország időmegosztó rendszerei gyengék voltak.

A tigriscsapat korai akciói közül a RAND Corporation erőfeszítései bizonyították a penetráció hasznosságát, mint a rendszer biztonságának felmérésére szolgáló eszközt. Abban az időben a RAND egyik elemzője megjegyezte, hogy a tesztek "... bizonyították a rendszerbe való behatolás praktikusságát, mint eszközt a végrehajtott adatbiztonsági biztosítékok hatékonyságának és megfelelőségének értékelésére". Ezenkívül számos RAND elemző ragaszkodott ahhoz, hogy a penetrációs tesztek mindegyike számos előnnyel járjon, amelyek indokolják a folyamatos használatát. Amint azt egy tanulmányukban megjegyezték: "Úgy tűnik, hogy egy penetrátor ördögi gondolkodásmódot alakít ki az operációs rendszer gyengeségeinek és hiányosságának keresésében, amelyet nehéz utánozni." Ezen okokból és más okokból a RAND számos elemzője javasolta a penetrációs technikák folytatólagos tanulmányozását, hogy azok mennyire hasznosak a rendszer biztonságának értékelésében.

Feltehetően a vezető informatikai penetrációs szakértő ezekben a formációs években James P. Anderson volt, aki az NSA -val, a RAND -nal és más kormányzati ügynökségekkel dolgozott együtt a rendszerbiztonság tanulmányozásában. 1971 elején az amerikai légierő szerződést kötött Anderson magáncégével, hogy tanulmányozza a Pentagon időmegosztó rendszerének biztonságát. Tanulmányában Anderson számos fontos tényezőt vázolt fel a számítógép penetrációjában. Anderson egy általános támadási sorrendet írt le lépésekben:

1. Keressen egy kihasználható biztonsági rést.
2. Tervezzen támadást köré.
3. Teszteld a támadást.
4. Ragadjon meg egy használatban lévő sort.
5. Adja meg a támadást.
6. Használja a bejegyzést az információk helyreállításához.

Idővel Anderson általános számítógép-behatolási lépéseinek leírása segített sok más biztonsági szakértő irányításában, akik erre a technikára támaszkodva értékelték az időmegosztó számítógépes rendszer biztonságát.

A következő években a számítógépes penetráció, mint a biztonsági értékelés eszköze kifinomultabbá és kifinomultabbá vált. A nyolcvanas évek elején William Broad újságíró röviden összefoglalta a tigriscsapatok folyamatos erőfeszítéseit a rendszer biztonságának felmérése érdekében. A Broad beszámolója szerint Willis Ware DoD által támogatott jelentése "... megmutatta, hogy a kémek hogyan tudtak aktívan behatolni a számítógépekbe, ellopni vagy másolni az elektronikus fájlokat, és felforgatni azokat az eszközöket, amelyek rendszerint szigorúan titkos információkat őriznek. A tanulmány több mint egy évtizedet érintett a kormánynak dolgozó informatikus elit csoportok csendes tevékenységéről, akik megpróbáltak betörni az érzékeny számítógépekbe. Minden kísérletük sikerült. "

Bár ezek a különféle tanulmányok azt sugallhatták, hogy az USA számítógépes biztonsága továbbra is komoly probléma, Edward Hunt tudós újabban tágabban fogalmazott a számítógépes penetráció mint biztonsági eszköz kiterjedt tanulmányozásáról. Hunt a behatolási tesztek történetéről szóló legutóbbi tanulmányában azt sugallja, hogy a védelmi létesítmény végül "... megalkotta a modern kori kiberháborúban használt eszközöket", mivel gondosan meghatározta és kutatta azt a módot, amellyel a számítógépes behatolók behatolhatnak a célzott rendszerekbe .

Eszközök

Számos biztonsági felmérési eszköz áll rendelkezésre a behatolási teszteléshez, beleértve az ingyenes, ingyenes szoftvereket és kereskedelmi szoftvereket .

Speciális OS disztribúciók

Számos operációs rendszer -elosztás a penetrációs tesztelésre irányul. Az ilyen disztribúciók általában előre csomagolt és előre konfigurált eszközkészletet tartalmaznak. A behatolási tesztelőnek nem kell minden egyes eszközt levadásznia, ami növelheti a kockázati szövődményeket - például fordítási hibákat, függőségi problémákat és konfigurációs hibákat. Ezenkívül a további eszközök beszerzése a tesztelő kontextusában nem praktikus.

Figyelemre méltó példák a penetrációs tesztekre:

• BlackArch az Arch Linuxon alapul
• Ubuntu alapú BackBox
• Kali Linux (a BackTrack helyébe 2012. december) Debian alapú
• Debian alapú Parrot Security OS
• Pentoo a Gentoo alapján
• WHAX a Slackware alapján

Sok más speciális operációs rendszer megkönnyíti a penetrációs tesztet - mindegyik többé -kevésbé egy bizonyos penetrációs tesztelési területet szán.

Számos Linux disztribúció ismert operációs rendszer- és alkalmazás -biztonsági rést tartalmaz, és célként telepíthető a gyakorlat ellen. Az ilyen rendszerek segítenek az új biztonsági szakembereknek kipróbálni a legújabb biztonsági eszközöket laboratóriumi környezetben. Ilyen például a Daml Vulnerable Linux (DVL), az OWASP Web Testing Environment (WTW) és a Metasploitable.

Szoftver keretek

• BackBox
• Hping
• Metasploit projekt
• Nessus
• Nmap
• OWASP ZAP
• SZENT
• w3af

A behatolási teszt fázisai

A behatolási teszt folyamata a következő öt fázisra egyszerűsíthető:

1. Felderítés: fontos információk összegyűjtése egy célrendszerről. Ez az információ felhasználható a célpont jobb támadására. Például a nyílt forráskódú keresőmotorok felhasználhatók olyan adatok megkeresésére, amelyek felhasználhatók a társadalombiztosítási támadásban.
2. Szkennelés: Technikai eszközöket használ a támadó rendszerismeretének növelésére. Például az Nmap használható nyílt portok keresésére.
3. Hozzáférés megszerzése: A felderítési és szkennelési fázisokban gyűjtött adatok felhasználásával a támadó hasznos terhet használhat a célzott rendszer kihasználásához. A Metasploit például automatizálhatja az ismert biztonsági rések elleni támadásokat.
4. Hozzáférés fenntartása: A hozzáférés fenntartása megköveteli a szükséges lépések megtételét annak érdekében, hogy a lehető legtöbb adatot összegyűjtsük a célkörnyezetben.
5. Nyomvonalak lefedése: A támadónak el kell távolítania az áldozatrendszer veszélyeztetését, az összegyűjtött adatokat, az eseményeket naplóznia, hogy névtelen maradjon.

Miután a támadó kihasznált egy sebezhetőséget, hozzáférhet más gépekhez, így a folyamat megismétlődik, azaz új biztonsági réseket keresnek, és megpróbálják kihasználni azokat. Ezt a folyamatot elforgatásnak nevezik.

Sebezhetőségek

Azok a jogi műveletek, amelyek lehetővé teszik a tesztelő számára, hogy jogellenes műveletet hajtson végre, magukban foglalják az SQL parancsokat, a változatlan kivonatolt jelszavakat a forrásból látható projektekben, az emberi kapcsolatokat és a régi kivonatoló vagy titkosító funkciókat. Előfordulhat, hogy egyetlen hiba nem elegendő a kritikusan súlyos kizsákmányoláshoz. Szinte mindig szükség van több ismert hiba kihasználására és a hasznos terhelés érvényes műveletként történő alakítására. A Metasploit rubin könyvtárat biztosít a gyakori feladatokhoz, és adatbázist vezet az ismert kihasználtságokról.

Költségvetési és időkorlátok alatt végzett munka során a fuzzing egy gyakori technika, amely felfedezi a sebezhetőségeket. Célja, hogy véletlenszerű bevitel révén kezeletlen hibát kapjon. A tesztelő véletlenszerű bemenetet használ a ritkábban használt kódutak eléréséhez. A jól bejáratott kódútvonalak általában hibamentesek. A hibák azért hasznosak, mert vagy több információt tárnak fel, mint például a HTTP-kiszolgáló összeomlása teljes információ-visszakövetéssel, vagy közvetlenül használhatók, például puffertúlcsordulások .

Képzelje el, hogy egy webhelyen 100 szövegbeviteli mező található. Néhányan sebezhetőek az SQL -befecskendezéssel bizonyos karakterláncokban. Ha véletlen karakterláncokat küld be ezekre a dobozokra egy ideig, remélhetőleg eléri a hibás kódútvonalat. A hiba egy törött HTML -oldalként jelenik meg, amelyet SQL -hiba miatt félig megjelenítettek. Ebben az esetben csak a szövegdobozokat kell kezelni bemeneti adatfolyamként. A szoftverrendszerek azonban számos lehetséges bemeneti adatfolyamot tartalmaznak, például cookie -kat és munkamenet -adatokat, a feltöltött fájlfolyamot, RPC -csatornákat vagy memóriát. Hibák történhetnek bármelyik bemeneti adatfolyamban. A teszt célja, hogy először kezeletlen hibát kapjon, majd a sikertelen teszteset alapján megértse a hibát. A tesztelők egy automatizált eszközt írnak, hogy teszteljék a hiba megértését, amíg az helyes nem lesz. Ezt követően nyilvánvalóvá válhat, hogyan kell csomagolni a hasznos terhet úgy, hogy a célrendszer kiváltja a végrehajtását. Ha ez nem életképes, akkor remélhető, hogy a fuzzer által előidézett másik hiba több gyümölcsöt hoz. A fuzzer használata időt takarít meg azzal, hogy nem ellenőrzi a megfelelő kódútvonalakat, ahol a kihasználás nem valószínű.

Hasznos teher

Az illegális művelet vagy a Metasploit terminológiában hasznos teher magában foglalhat billentyűleütések naplózására, képernyőképek készítésére, adware telepítésére , hitelesítő adatok ellopására, hátsó ajtók létrehozására shellcode használatával vagy adatok módosítására szolgáló funkciókat. Egyes vállalatok nagy adatbázisokat vezetnek az ismert kihasználásokról, és olyan termékeket kínálnak, amelyek automatikusan tesztelik a célrendszereket a biztonsági rések szempontjából:

• Metasploit
• Nessus
• Nmap
• OpenVAS
• W3af

Szabványos kormányzati penetrációs tesztszolgáltatások

A General Services Administration (GSA) szabványosította a "penetrációs teszt" szolgáltatást, mint előre ellenőrzött támogatási szolgáltatást, hogy gyorsan orvosolja a potenciális biztonsági réseket, és megállítsa az ellenfeleket, mielőtt azok hatással lennének az amerikai szövetségi, állami és helyi kormányokra. Ezeket a szolgáltatásokat általában erősen adaptív kiberbiztonsági szolgáltatásoknak (HACS) nevezik, és az Egyesült Államok GSA Advantage webhelyén szerepelnek.

Ez az erőfeszítés azonosította azokat a kulcsfontosságú szolgáltatókat, amelyeket technikailag felülvizsgáltak és ellenőriztek, hogy biztosítsák ezeket a fejlett penetrációs szolgáltatásokat. Ez a GSA szolgáltatás célja, hogy javítsa e szolgáltatások gyors megrendelését és telepítését, csökkentse az amerikai kormányzati szerződések párhuzamosságát, valamint védje és támogassa az amerikai infrastruktúrát időszerűbben és hatékonyabban.

132-45A A behatolási teszt olyan biztonsági teszt, amelyben a szolgáltatásértékelők utánozzák a valós támadásokat, hogy azonosítsák az alkalmazás, rendszer vagy hálózat biztonsági jellemzőinek kijátszására szolgáló módszereket. A HACS penetrációs tesztelési szolgáltatások általában stratégiailag tesztelik a szervezet megelőző és detektív biztonsági intézkedéseinek hatékonyságát az eszközök és adatok védelme érdekében. Ennek a szolgáltatásnak a részeként a tanúsított etikus hackerek általában szimulált támadást hajtanak végre a rendszer, rendszerek, alkalmazások vagy a környezet egy másik célpontja ellen, és keresik a biztonsági hiányosságokat. A tesztelés után jellemzően dokumentálják a sebezhetőségeket, és felvázolják, hogy mely védekezések hatékonyak és melyek legyőzhetők vagy kihasználhatók.

Az Egyesült Királyságban a penetrációs tesztelési szolgáltatásokat szabványosítják a National Cyber ​​Security Centerrel együttműködő szakmai testületek.

A penetrációs tesztek eredményei az alkalmazott szabványoktól és módszerektől függően változnak. Öt penetrációs tesztelési szabvány létezik: nyílt forráskódú biztonsági tesztelési módszertani kézikönyv (OSSTMM), nyílt webes alkalmazásbiztonsági projekt (OWASP), Nemzeti Szabványügyi és Technológiai Intézet (NIST00), Információs Rendszerbiztonsági Értékelési Keretrendszer (ISSAF), és Behatolási Vizsgálati Módszerek és Szabványok (PTES).

Lásd még

• IT kockázat
• ITHC
• Tigris csapat
• Fehér kalap (számítógépes biztonság)

Általános hivatkozások

• Hosszú, Johnny (2011). Google Hacking for penetráció tesztelők , Elsevier
• A végleges útmutató a behatolási teszteléshez

Hivatkozások