Download
1 / 35
350 likes | 515 Vues
P enetračné testovanie. Doc. Ing. Ladislav Hudec, CSc. Čo je penetračné testovanie. Penetračné testovanie je proces testovania bezpečnostných vlastností systému a slúži ako dôležitý podklad k posúdeniu bezpečnosti systému.
E N D
Penetračné testovanie Doc. Ing. Ladislav Hudec, CSc
Čo je penetračné testovanie Penetračné testovanie je proces testovania bezpečnostných vlastností systému a slúži ako dôležitý podklad k posúdeniu bezpečnosti systému. Metóda penetračného testovania definuje súbor pravidiel, zvyklostí a postupov, podľa ktorých sa testovanie riadi a vykonáva. To znamená, že metóda penetračného testovania definuje plán s praktickými návodmi a osvedčenými postupmi, s ktorými by sa malo narábať s veľkou opatrnosťou s cieľom správneho hodnotenia bezpečnosti systému. Penetračné testovanie je možné vykonávať samostatne alebo ako súčasť procesu riadenia bezpečnostných rizík IT, ktorý môže byť zahrnutý do štandardného životného cyklu vývoja systému. Je veľmi dôležité si uvedomiť, že bezpečnosť produktu nezávisí len na faktoroch týkajúcich sa prostredia IT, ale tiež závisí na najlepších bezpečnostných praktikách, ktoré sú špecifické produktu. To pokrýva implementáciu vhodných bezpečnostných požiadaviek, vykonávanie analýzy rizík, modelovanie hrozieb, preskúmanie kódu a meranie prevádzkovej bezpečnosti. Penetračné testovanie je považované za poslednú a najagresívnejšiu formu hodnotenia bezpečnosti vykonávanú kvalifikovanými odborníkmi s alebo bez predchádzajúcej znalosti testovaného systému. Výstupom penetračného testovania je obvykle správa obsahujúca opis priebehu testovania, nájdené bezpečnostné slabiny v súčasnom stave systému a navrhované protiopatrenia a odporúčania na ich odstránenie alebo potlačenie.
Typy penetračných testov Úvodom treba povedať, že existujú rôzne typy penetračných testov. Avšak dva prístupy k penetračnému testovaniu, a to Black-Box test a White-Box test, sú najvšeobecnejšie prístupy akceptované komunitou IT. Prístup testovania Black-Box je tiež známy ako externé testovanie. Pri relizácii tohto prístupu bude bezpečnostný audítor posudzovať sieťovú infraštruktúru, uzly a aplikácie systému zo vzdialeného miesta a nebude poznať žiadne vnútorné technológie, z ktorých je vystavaný informačný systém organizácie. Bezpečnostný auditor využije techniky zo sveta reálnych hackerov, prostredníctvom týchto techník vytvorí jednotlivé kroky testovania a môže odhaliť nejakú množinu známych alebo neznámych zraniteľnosti, ktoré existujú v infraštruktúre IT organizácie. Pre bezpečnostného audítora je dôležité, aby porozumel a klasifikoval zistené zraniteľnosti podľa ich úrovne rizika (napríklad nízka, stredná alebo vysoká úroveň rozika v prípade trojúrovňovej klasifikácii). Riziko môže byť vo všeobecnosti merané podľa hrozby využívajúcu zraniteľnosť a spôsobujúcu finančnú stratu, ktorá by nastala po úspešnom prieniku. Ideálny penetračný tester by mal testovať všetky možné informácie, ktoré by ho priviedli ku kompromitácii jeho cieľa. Po ukončení procesu testovania sa vytvorí správa obsahujúca všetky potrebné informácie týkajúce sa hodnotenia bezpečnosti cieľa testovania, obsahujúca kategorizáciu identifikovaných rizík a ich dopadu na činnosť organizácie.
Typy penetračných testov Prístup testovania White-Box je tiež známy ako interné testovanie. Bezpečnostný audítor vykonávajúci tento typ procesu penetračného testu by mal poznať všetky vnútorné a podporné technológie používané v cieľovom testovanom prostredí. Tento fakt otvára pre bezpečnostného audítora široké možnosti na zistenie a kritické vyhodnotenie bezpečnostných zraniteľností s minimálnym možným úsilím. Tento prístup k testovaniu je pre organizáciu cennejší v porovnaní s testovaním prístupom Black-Box v tom zmysle, že potenciálne môže potlačiť všetky vnútorné bezpečnostné opatrenia umiestnené v prostredí cieľovej testovanej infraštruktúry a tak vykonať cielenejšie škodlivé aktivity pri prieniku zvonku. Počet krokov v procedúre testovania prístupom White-Box je podobný počtu krokov v procedúre Black-Box s tým, že je možné vynechať kroky stanovenia rozsahu cieľa, zbieranie informácií a identifikáciu. Testovanie prístupom White-Box môže byť navyšeľahko integrované do štandardného životného cyklu vývoja systému s cieľom odstránenia prípadných bezpečnostných zraniteľností v rannej fáze a to ešte predtým, než by tieto zraniteľností boli objavené a zneužité útočníkom. Čas a náklady potrebné na nájdenie a vyriešenie bezpečnostných zraniteľností sú nižšie v porovnaní s prístupom testovania Black-Box.
Typy penetračných testov Kombinácia oboch typov prístupov penetračného testovania poskytuje výkonný nástroj na vytvorenie interného a externého pohľadu na bezpečnosť informačného systému organizácie. Táto kombinácia sa označuje ako penetračné testovanie prístupom Grey-Box. Základným prínosom pri návrhu a realizácii prístupu testovania Grey-Box je využitie kombinácie výhod vyplývajúcich z oboch prístupov. Prístup Grey-Box vyžaduje od bezpečnostného audítora obmedzené znalosti vnútorného testovaného systému. Potom môže bezpečnostný audítor zvoliť najlepší spôsob hodnotenia celkovej bezpečnosti informačného systému organizácie. Na druhej strane vonkajšie scenáre testovanie vedené prístupom Gray-Box sú podobné ako v samotnom prístupe Black-Box. Čiastočná znalosť vnútorného testovaného systému však môže napomôcť bezpečnostnému audítorovi robiť lepšie rozhodnutia a výber testov.
Metodika penetračného testovania Z voľne dostupných zdrojov je k dispozícii viacero metodík určených na riešenie problému hodnotenia bezpečnosti systému. Pomocou týchto metodík hodnotenia je možné ľahko vyriešiť časovo kritickú a náročnú úlohu hodnotenia bezpečnosti systému v závislosti na jeho veľkosti a zložitosti. Niektoré z metodík sa zameriavajú na technické aspekty testovania bezpečnosti, zatiaľ čo iné sa zameriavajú na manažérske kritériá a len veľmi málo z nich sa zaoberajú oboma aspektmi testovania. Základnou myšlienkou formalizácie týchto hodnotiacich metodík je vykonávanie rôznych typov testov prostredníctvom jednotlivých krokov tak, aby bolo možné presne hodnotiť bezpečnosť systému. Z dôvodu poskytnutia širšieho prehľadu sa uvedú základné charakteristiky a výhody štyroch známych metodík hodnotenia sieťovej a aplikačnej bezpečnosti. Patria medzi ne: Manuál metódy testovania bezpečnosti z voľne dostupného zdroja OSSTMM (Open Source Security Testing Methodology Manual) Rámec ohodnocovania bezpečnosti informačných systémov ISSAF (Information Systems Security Assessment Framework) Voľne dostupný projekt bezpečnosti webových aplikácií OWASP (Open Web Application Security Project) Konzorcium klasifikácie hrozieb bezpečnosti webovým aplikáciám WASCO-TC (Web Application Security Consortium Threat Classification).
Metodika penetračného testovania Všetky tieto testovacie rámce a metodiky napomáhajú bezpečnostným expertom pri výbere najlepšej stratégie, ktorá bude odpovedať požiadavkám ich klientov a bude sa kvalifikovať na vhodný testovací prototyp. Prvé dve metodiky poskytujú všeobecné zásady a metódy podporujúce bezpečnostné testovanie takmer akýchkoľvek informačných aktív. Posledné dve metodiky sa zaoberajú predovšetkým hodnotením domény aplikačnej bezpečnosti. Je však dôležité si uvedomiť, že bezpečnosť je sama o sebe kontinuálny proces. Každá malá zmena v cieľovom testovanom prostredí môže mať vplyv na celý proces bezpečnostného testovania a môže zaniesť chyby do konečných výsledkov. Takže pred dopracovaním akejkoľvek z vyššie uvedených metodík testovania by mala byť zabezpečená integrita cieľového prostredia. Prispôsobenie ktorejkoľvek jednej metodiky navyšenemusí nevyhnutne poskytnúť úplný obraz o procese hodnotenia rizík. Z tohto dôvodu je na bezpečnostného audítora ponechaná voľba najlepšej stratégiu, ktorá splňuje kritériá testovania cieľa a je konzistentná so sieťovým a aplikačným prostredím cieľa. Existuje veľa metodík na testovanie bezpečnosti, ktoré tvrdia, že sú ideálne pri hľadaní všetkých bezpečnostných problémov, ale voľba najlepšej metodiky stále vyžaduje starostlivý výber, prostredníctvom ktorého je možné určiť optimálnu úroveň hodnotenia z pohľadu dokladovateľnosti, nákladov a účinnosti. Takže určovanie správnej stratégie hodnotenia závisí na viacerých faktoroch.
Metodika OSSTMM Metodika OSSTMM (www.isecom.org/osstmm/) je uznávaným medzinárodným štandardom pre testovanie bezpečnosti a analýzy. Je založená na vedeckej metóde, ktorá napomáha kvantifikácii prevádzkovej bezpečnosti a jej nákladovým požiadavkám berúc do úvahy ciele organizácie. Z technického hľadiska je táto metodika rozdelená do štyroch hlavných skupín, ktoré sú Rozsah, Kanál, Index a Vektor. Rozsah definuje proces zhromažďovania informácií o všetkých aktívach, ktoré sú prevádzkované v cieľovom prostredí. Kanál určuje typ komunikácie a interakcie s týmito aktívami a môže byť fyzická, spektrum a komunikácie. Všetky tieto kanály vykresľujú jednoznačnú množinu bezpečnostných komponentov, ktoré musia byť testované a overené počas doby hodnotenia. Tieto komponenty zahrňujú fyzickú bezpečnosť, ľudskú psychológiu, dátové siete, bezdrôtové komunikačné médium a telekomunikácie. Index je metóda, ktorá je veľmi užitočná pri klasifikácii cieľových aktív odpovedajúcich ich osobitným identifikáciam, ako je adresa MAC a adresa IP. Vektor nakoniec odvodzuje smer, ktorým audítor môže hodnotiť a analyzovať jednotlivé funkčné aktíva. Celý tento proces inicializuje technický plán na dôkladné hodnotenie cieľového prostredia a je známy ako auditný rozsah.
Metodika OSSTMM Existujú rôzne formy bezpečnostného testovania klasifikované podľa metodiky OSSTMM a organizácie testovania sú prezentované do šiestich štandardných typov bezpečnostných testov: Slepé testovanie: slepé testovanie nevyžaduje žiadne predchádzajúce znalosti o cieľovom systéme. Ale cieľ je informovaný pred vykonaním testu o rozsahu auditu. Etický hacking a hra na “vojnu” sú príklady typu slepého testovania. Tento typ testovania je široko akceptovaný z dôvodu jeho etickej podstaty, pretože dopredu informuje cieľ testovania. Dvojité slepé testovanie: pri tomto testovaní audítor nevyžaduje žiadne znalosti o cieľovom systéme a ani cieľ testovania nie je informovaný pred vykonaním testu. Príkladom takéhoto testu je audit a penetračné testovanie prístupom Black–Box. Väčšina súčasného hodnotenia bezpečnosti sa vykonáva pomocou tejto stratégie, ktorá predstavuje pre audítorov skutočnú výzvu pri výbere najlepšieho typu nástrojov a techník na dosiahnutie požadovaného cieľa. Grey-Box testovanie: pri tomto testovaní má audítor obmedzené znalosti o cieľovom systéme a cieľ je tiež dopredu informovaný o vykonávaní testu. Hodnotenie zraniteľnosti (vulnerability assessment) je jedným zo základných príkladov tohto typu testovania. Dvojité Grey-Box testovanie: tento typ testovania funguje podobným spôsobom ako Grey-Box testovanie, s výnimkou definovaného časového rámca pre audit a nie sú testované žiadne kanály a vektory. Príkladom takéhoto testovania je testovanie prístupom White-Box.
Metodika OSSTMM Existujú rôzne formy bezpečnostného testovania klasifikované podľa metodiky OSSTMM a organizácie testovania sú prezentované do šiestich štandardných typov bezpečnostných testov: Tandem testovanie: pri tomto testovaní má audítor minimálne znalosti na hodnotenie cieľového systému a cieľ je dopredu informovaný o vykonávaní testu. Je potrebné poznamenať, že tandem testovanie je pomerne dôkladné. Príkladom takéhoto testovania je testovanie prístupom Crystal-Box a audit vykonávaný internými zamestnancami. Obrátené testovanie: pri tomto testovaní má audítor úplné znalosti o cieľovom systéme a cieľ nie je nikdy informovaný ako a kedy sa bude test vykonávať. Na otázku, ktorý typ testu OSSTMM splňuje pravidlá pre prenetračný test je možné povedať, že je to dvojité slepé testovanie.
Metodika OSSTMM Rámec technického hodnotenia ponúknutý OSSTMM je flexibilný a je z neho možné odvodiť určité testovacie prípady, ktoré sú logicky rozdelené do piatich bezpečnostných komponentov z troch po sebe idúcich kanálov. Tieto testovacie prípady všeobecne preverujú cieľ na základe hodnotenia jeho: bezpečnosti riadenie prístupu bezpečnosti procesu riadenia údajov fyzického umiestnenia ochrany perimetra úrovni bezpečnostného povedomia úrovni dôveryhodnosti riadenia ochrany proti podvodom a mnohých ďalších procedúr. Celkové testovacie procedúry sa zameriavajú na to, čo má byť testované, ako by to malo byť testované, aká taktika by mala byť použitá predtým, počas a po teste a ako interpretovať a korelovať konečné výsledky.
Metodika OSSTMM Zachytenie súčasného stavu ochrany cieľového systému pomocou bezpečnostných metrík je veľmi užitočné a neoceniteľné. Preto metodika OSSTMM zaviedla túto terminológiu vo forme RAV (Risk Assessment Values). Základnou funkciou RAV je analyzovať výsledky testov a vypočítať skutočnú hodnotu bezpečnosti na základe troch faktorov, ktoré sú prevádzková bezpečnosť, riadenie strát a obmedzenia. Táto konečná hodnota bezpečnosti je známa ako RAV skóre. Pomocou RAV skóre môže audítor ľahko extrahovať a na základe aktuálne bezpečnostnej pozície definovať míľniky k dosiahnutiu lepšej ochrany. Z obchodného hľadiska môže RAV optimalizovať množstvo investícií potrebných na bezpečnosť a môžu pomôcť v odôvodnení lepších dostupných riešení.
Metodika OSSTMM Kľúčové vlastnosti a prednosti metodiky Používanie metodiky OSSTMM podstatne znižuje výskyt falošne negatívnych a falošne pozitívnych výsledkov a poskytuje presné meranie bezpečnosti. Rámec metodiky je prispôsobiteľný na veľa typov bezpečnostných testov, ako sú napríklad penetračné testy, audity prístupom White-Box, hodnotenie zraniteľnosti a tak ďalej. Samotná metodika sa skladá z procesu štyroch prepojených fáz, menovite z definičnej fáze, informačnej fáze, regulačnej fáze a fáze testovania opatrení. Každá z nich získa, hodnotí a overí informácie o cieľovom prostredí. Vyhodnotenie bezpečnostnej metriky možno dosiahnuť pomocou metódy RAV. RAV vypočíta skutočnú hodnotu bezpečnosti, ktorá je založená na prevádzkovej bezpečnosti, riadenia strát a obmedzení. Daný výstup známy ako skóre RAV predstavuje aktuálny stav bezpečnosti cieľa. Formalizácia hodnotiacej správy pomocou šablóny STAR (Security Test Audit Report) môže byť výhodná pre manažment, rovnako ako technickému tímu na preskúmanie cieľov testovania, hodnôt hodnotenia rizík a výstupu z každej fáze testovania. Metodika je pravidelne aktualizovaná v súlade s novými trendmi v testovaní bezpečnosti, predpismi a záležitosťami etiky. Proces OSSTMM možno ľahko koordinovať s príslušnými priemyselnými predpismi, obchodnými politikami a vládnymi predpismi a legislatívou. Okrem toho môže byť certifikovaný audit tiež priamo pripustený na akreditáciu ISECOM (Institute for Security and Open Methodologies)
Metodika ISSAF Metodika ISSAF (www.oissg.org/issaf) je ďalší voľne dostupný rámec na bezpečnostné testovanie a analýzy. Rámec tejto metodiky je rozdelený do niekoľkých domén v logickom poradí pre potreby hodnotenia bezpečnosti. Každá z týchto domén hodnotí rôzne časti cieľového systému a poskytuje odpovedajúce vstupy pre úspešné pokrytie bezpečnosti. Integráciou rámca do riadneho životného cyklu organizácie môže metodika zabezpečiť presnosť, úplnosť a účinnosť splnenia požiadaviek na testovanie bezpečnosti organizácie. Metodika ISSAF bola vyvinutá s cieľom zamerať sa na dve oblasti testovania bezpečnosti, a to na technickú a manažérsku oblasť. Technická stránka predpisuje základný súbor pravidiel a procedúr a vytvára odpovedajúci proces hodnotenia bezpečnosti, zatiaľ čo manažérska stránka predpisuje povinnosti manažmentu a najlepšie praktiky, ktorých sa treba pridržiavať po celú dobu procesu testovania. Je potrebné pripomenúť, že metodika ISSAF definuje hodnotenie ako proces a nie ako audit. Vzhľadom k tomu, že audit si vyžaduje zavedenejšiu štruktúru na preukazovanie vyžadovaných štandardov. Hodnotiaci rámec ISSAF obsahuje fázy plánovania, hodnotenia, spracovania, akreditácie a údržby. Každá z týchto fáz sa pridŕža všeobecných pokynov, ktoré sú účinné a flexibilné na akúkoľvek organizačnú štruktúru. Výstupom je kombinácia prevádzkových činností, bezpečnostných iniciatív a kompletného zoznamu zraniteľnosti, ktoré môžu existovať v cieľovom prostredí. Proces hodnotenia vyberá najkratšiu cestu na dosiahnutie lehoty testu tak, že analyzuje svoj cieľ oproti kritickým zraniteľnostiam, ktoré môžu byť zneužité s minimálnym úsilím.
Metodika ISSAF Metodika ISSAF obsahuje bohatú sadu východiskových technických hodnotení pre testovanie množstva rôznych technológií a procesov. Sada východiskových technických hodnotení však zavádza ďalší problém údržby, treba udržať rámec aktuálny tak, aby odrážal nové alebo aktualizované hodnotiace kritériá technológií. Pri porovnaní s metodikou OSSTMM je metodika OSSTMM menej ovplyvnaná problémom „stárnutia“, pretože audítor môže byť schopný použiť rovnakú metodiku na mnoho bezpečnostných záležitostí s použitím rôznych sád nástrojov a techník. Na druhej strane metodika ISSAF tiež tvrdí, že predstavuje široký rámec s aktuálnymi informáciami o bezpečnostných nástrojoch, najlepších praktikách a administratívnych opatreniach na doplnenie programu hodnotenia bezpečnosti. To môže byť tiež v súlade s metodikou OSSTMM alebo inými podobnými metodikami testovania tak, že sa kombinujú silné stránky navzájom. Dôležité je si však uvedomiť, že metodika ISSAF je stále ešte v plienkach a je trochu nevyspelá v porovnaní s inými metodikami a rámcami.
Metodika ISSAF Kľúčové vlastnosti a prednosti metodiky Predstavuje hodnotnú ponuku zákazníkovi na zabezpečenie infraštruktúry prostredníctvom hodnotenia existujúcich bezpečnostných opatrení oproti kritickým zraniteľnostiam. Rámec rieši rôzne kľúčové oblasti informačnej bezpečnosti. To sa týka hodnotenia rizík, štruktúry organizácie a riadenia, hodnotenia opatrení, manažmentu povinností, vývoja bezpečnostných politík a najlepších praktík. Celkový technický proces hodnotenia zabezpečovaný metodikou ISSAF sa skladá z manažmentu prevádzky, hodnotenia fyzickej bezpečnosti, metodiky penetračného testovania, manažmentu incidentov, manažmentu zmien, manažmentu kontinuity činnosti, bezpečnostného povedomia a súladu v legislatíve a štandardoch. Metodika ISSAF penetračného testovania skúma iba bezpečnosť sietí, systému alebo aplikácie. Vzhľadom k tomu sa rámec môže transparentne zamerať na špecifickú technológiu cieľa, ktorá môže zahrňovať smerovače, prepínače, bezpečnostné brány, systémy detekcie a prevencie proti prienikom, sieti oblastí vonkajších pamätí, virtuálne privátne siete , rôzne operačné systémy, webové aplikačné servery, databázy a tak ďalej. Metodika prekleňuje medzeru medzi technickým a manažérskym pohľadom testovania bezpečnosti pomocou implementácie potrebných opatrení na zvládnutie oboch oblastí. Umožňuje manažmentu porozumieť existujúcim rizikám prestupujúcim cez perimeter ochrany organizácie a ich znižovaniu proaktívnou identifikáciou zraniteľností, ktoré môžu mať vplyv na činnosť organizácie. Kombinácia silných stránok obidvoch metodík OSSTMM a ISSAF zabezpečí dostatočnú vedomostnú základňu pre efektívne hodnotenie bezpečnosti prostredia organizácie.
Metodika OWASP Bezpečnostné utesnenie sieťových zariadení zabraňuje nielen vstupu útočníka do zabezpečenej siete použitím dobre známych exploitov a zraniteľnosti, ale aj aktívne marí neautorizovanú a nevhodnú modifikáciu infraštruktúry. Tento fakt však nechráni sieťové webové aplikácie pred ich vystavením útokom. Webové systémy otvárajú útočníkovi ďalšiu bránu na realizáciu jeho škodlivých zámerov prostredníctvom aplikačnej vrstvy siete tak, aby sa dostal do systému. Vzhľadom k tomuto zjavnému bezpečnostnému problému niekoľko testovacích metodík zaviedlo kritické hodnotenie skrytých bezpečnostných rizík aplikácie. Jeden taký pokus bol vykonaný otvorenou komunitou OWASP, ktorá priniesla svoj „Top ten“ projekt a zvýšila povedomie o aplikačnej bezpečnosti. Projekt sa nezameriava na kompletný program aplikačnej bezpečnosti, ale poskytuje nevyhnutný základ pre integráciu bezpečnosti prostredníctvom princípov a praktík bezpečného kódovania. Riešenia bezpečnosti aplikácií predstavuje ľudí, procesy, manažment a technologické kritériá. Spoliehať sa však na stratégiu hodnotenia rizika aplikácie nie je jediná možnosť. Kombinovaním všetkých súčastí organizácie sa dá prispieť k významnému zlepšeniu bezpečnosti samotných aplikácií.
Metodika OWASP Projekt „Top ten“ komunity OWASP kategorizuje riziká bezpečnosti aplikácií vyhodnotením vektorov útokov „Top ten“ a bezpečnostných slabín v súvislosti s ich technickým dopadom a dopadom na činnosť organizácie. Pri hodnotení aplikácie každá z týchto slabín ukazuje metódu generického útoku nezávislú na používanej technológii alebo platformy. Tiež však poskytuje konkrétny návod ako testovať, overiť a opraviť jednotlivé zraniteľné časti aplikácie. Prístup OWASP „Top ten“ sa zameriava predovšetkým skôr na problémové oblasti s vysokým rizikom než na riešenie všetkých problémov týkajúcich sa bezpečnosti webových aplikácií. Komunita OWASP ponúka vývojárom webových aplikácií a bezpečnostným audítorom základné návody ako efektívne spravovať bezpečnosť webových aplikácií.
Metodika OWASP Na zdôvodnenie uvedených „Top ten“ (rok 2013) rizík aplikačnej bezpečnosti komunitou OWASP sú nižšie vysvetlené riziká spolu s ich krátkymi charakteristikami, vzorovými typmi a preventívnymi opatreniami: Injekcie - Injekčné chyby, ako sú injekcie do SQL, operačného systému a LDAP. Nastávajú vtedy, keď nedôveryhodné údaje sú poslané interpretu ako časť príkazu alebo dopytu. Nepriateľské údaje útočníka môže oklamať interpret na vykonávania nechcených príkazov alebo na prístup k údajom bez riadnej autorizácie. Vyhnutím sa špeciálnym znakom z používateľského vstupu je možné ochrániť aplikáciu pred škodlivou injekciou údajov. Prelomená autentizácia a manažment relácie – Funkcie aplikácie týkajúce sa autentizácie a manažmentu relácie sú často implementované nesprávne, čo umožňuje útočníkom prelomiť heslá, kľúče alebo relačné tokeny alebo využiť iné implementačné chyby a prevziať identitu iných používateľov. Cross-Site Scripting (XSS) - Chyby XSS sa objavujú vtedy, keď aplikácia prevezme nedôveryhodné údaje a odošle ich webovému prehliadaču bez riadneho overenia alebo odstránenia. XSS umožňuje útočníkom spúšťať skripty v prehliadači obete, ktorý môžu uniesť používateľovu reláciu, počmárať webové sídla alebo presmerovať používateľa na nebezpečné sídla. Nezabezpečné priame referencie objektu - Priama referencia objektu je prípad, keď vývojár odkryje referenciu na interný implementačný objektu ako je napríklad súbor, adresár, alebo databázový kľúč. Bez kontroly riadenia prístupu alebo inej ochrany môžu útočníci manipulovať s týmito referenciami s cieľom neoprávneného prístupu k údajom.
Metodika OWASP Na zdôvodnenie uvedených „Top ten“ (rok 2013) rizík aplikačnej bezpečnosti komunitou OWASP sú nižšie vysvetlené riziká spolu s ich krátkymi charakteristikami, vzorovými typmi a preventívnymi opatreniami: Chybná bezpečnostná konfigurácia - Dobrá bezpečnosť vyžaduje mať definované a nasadené bezpečné konfigurácie pre aplikácie, rámce, aplikačný server, webový server, databázový server a platformu. Bezpečnostné nastavenia by mali byť definované, implementované a udržované, pretože prednastavené nastavenia nie sú často bezpečné. Softvér by mal byť navyše priebežne aktualizovaný. Odhalenie citlivých údajov - Mnoho webových aplikácií vhodne nechráni citlivé údaje ako sú údaje o kreditných kartách alebo autentizačné doklady. Útočníci môžu ukradnúť alebo modifikovať takto slabo chránené údaje a vykonať podvody s kreditnými kartami, krádež identity alebo iné kriminálne činy. Citlivé údaje si vyžadujú osobitnú ochranu ako je šifrovanie pri uložení alebo pri prenose, ako aj osobitné opatrenia pri výmene týchto údajov s prehliadačom. Chýbajúce riadenie prístupu na úrovni funkcií - Väčšina webových aplikácií overuje prístupové práva na úrovni funkcii predtým ako je táto funkcionalita viditeľná v používateľskom rozhraní. Aplikácie však potrebujú vykonávať rovnaké kontroly riadenia prístupu na serveri pri prístupe ku každej funkcii. Ak žiadosti nie sú overené, útočníci sú schopní sfalšovať žiadosti na prístup k funkcionalite bez riadnej autorizácie.
Metodika OWASP Na zdôvodnenie uvedených „Top ten“ (rok 2013) rizík aplikačnej bezpečnosti komunitou OWASP sú nižšie vysvetlené riziká spolu s ich krátkymi charakteristikami, vzorovými typmi a preventívnymi opatreniami: Cross - Site Request Forgery (CSRF) - Útok CSRF núti prehliadač prihlásenej obete odoslať sfalšovanú požiadavku HTTP, vrátane relačných cookie obete a všetkých iných automaticky zahrnutých autentizačných informácií, zraniteľnej webovej aplikácii. Toto umožňuje útočníkovi nútiť prehliadač obete generovať žiadosti tak, že zraniteľná aplikácia ich má za oprávnené žiadosti od obeti. Používanie komponentov so známymi zraniteľnosťami - Komponenty ako sú knižnice, rámce a ďalšie softvérové moduly sú takmer vždy spustené s plnými oprávneniami. Ak sa využíva zraniteľný komponent, potom útok prostredníctvom takéhoto komponentu môže spôsobiť vážne straty údajov alebo prevzatie riadenia nad serverom. Aplikácie používajúce komponenty so známymi zraniteľnosťami môžu ohroziť ochrany aplikácie a umožňiť celý rad možných útokov a dopadov. Neoverené presmerovanie a posun vpred - Webové aplikácie často presmerujú alebo posunú vpred používateľov na iné stránky a webové sídla a na určenie cieľových stránok použijú nedôveryhodné údaje. Bez správneho overovania útočník môže presmerovať obete na sídla s phishingom alebo so škodlivým kódom alebo posunúť obete vpred s cieľom pristúpiť k neuatorizovaným stránkam.
Metodika OWASP Kľúčové vlastnosti a prednosti metodiky Testovanie webových aplikácií na „Top ten“ bezpečnostných rizík OWASP zabezpečuje, že sa vyhne najčastejším útokom a bezpečnostným slabinám a že aplikácia si zachová dôvernosť, integrita a dostupnosť. Komunita OWASP tiež vyvinula rad bezpečnostných nástrojov na automatizované a manuálne testovanie webových aplikácií. Niektoré z týchto nástrojov sú napríklad WebScarab, Wapiti, JBroFuzz a SQLiX. Čo sa týka hodnotenia bezpečnosti webovej infraštruktúry, komunita OWASP poskytuje špecifické informácie pre hodnotenie technológií (OWASP Testing Guide), napríklad k testovanie databázy Oracle pristupuje inak ako k testovaniu MySQL. Takýto návod poskytuje širší a kolaboratívny pohľad na viacero technológií napomáhajúci audítorovi vybrať si najlepšiu vhodnú procedúru na testovanie. Vedie vývojárov k praktikám bezpečného kódovania prostredníctvom integrácie bezpečnostných testov do každej fáze vývoja, čo zabezpečí robustnosť, bezchybovosť a bezpečnosť produkčnej aplikácie. Prístup OWASP má v IT priemysle širokú akceptáciu. Bezpečnostné riziká „Top ten“ môžu byť tiež pripojené k ostatným štandardom hodnotenie bezpečnosti webových aplikácií.
Metodika WASC-TC Identifikácia bezpečnostných rizík aplikácie si vyžaduje dôkladné a exaktné procedúry testovanie, ktoré treba dodržiavať po celú dobu životného cyklu vývoja. Klasifikácia hrozieb WASC (WASC-TC) je ďalší takýto otvorený štandard na hodnotenia bezpečnosti webových aplikácií. Podobne ako štandard OWASP je tiež kategorizovaný do niekoľkých útokov a bezpečnostných slabín, ale rieši ich oveľa dôkladnejším spôsobom. Praktizovanie tohto „čierneho umenia“ na identifikáciu a overenie hrozieb ohrozujúcich webové aplikácie vyžaduje držať sa štandardnej terminológie, ktorá je schopná rýchlo sa prispôsobiť technologickému prostrediu. Toto je práve miesto, kde je metodika WASCO-TC veľmi praktická. Celkový štandard je prezentovaný v troch rôznych pohľadoch s cieľom napomôcť vývojárom a bezpečnostným audítorom pochopiť obraz bezpečnostných hrozieb webových aplikácií. Pohľad zoznamu. Tento pohľad je určený na poskytnutie základov pre útoky na a bezpečnostné slabiny webovej aplikácie. Každý z týchto útokov a bezpečnostných slabín boli jednotlivo diskutované s ich stručnou definíciou, typmi a príkladmi rôznych programovacích platforiem. Každý útok a bezpečnostná slabina je navyše označená jednoznačným identifikátorom, ktorý slúži ako referencia. Existuje celkom 49 útokov a bezpečnostných slabín v zmysle statickej schémy WASC-ID (identifikačné číslo 1 až 49). Je dôležité poznamenať, že toto identifikačné číslo nevyjadruje závažnosť rizika, ale slúži iba ako referencia.
Metodika WASC-TC Celkový štandard je prezentovaný v troch rôznych pohľadoch s cieľom napomôcť vývojárom a bezpečnostným audítorom pochopiť obraz bezpečnostných hrozieb webových aplikácií. Pohľad vývoja. Pohľad vývoj posúva vývojárov prahľad vpred tým, že kombinuje množinu útokov a bezpečnostných slabín do zraniteľností, ktoré pravdepodobne môžu nastať v ktorejkoľvek z troch po sebe nasledujúcich vývojových fáz ako sú návrh, implementácia a zavádzanie. Zraniteľnosti návrhu sú zavedené v prípade, že požiadavky na aplikáciu nesplňujú bezpečnosť v počiatočnej fáze zhromažďovania požiadaviek. Zraniteľnosti implementácie sa vyskytujú v dôsledku použitia nebezpečných princípov a praktík kódovania. Zraniteľnosti zavádzania sú výsledkom chybnej konfigurácie aplikácie, webového servera a iných externých systémov. Takýto pohľad tak rozširuje priestor pre integráciu metodiky do bežného životného cyklu vývoja ako súčasť najlepších praktík. Pohľad klasifikácie krížových referencií. Odvolávanie sa na pohľad krížovej referencie niekoľkých bezpečnostných štandardov webových aplikácií môžu pomáhať audítorom a vývojárom namapovať terminológiu uvedenú v jednom štandarde s terminológiou v inom štandarde. S väčším úsilím môže ten istý nástroj tiež napomôcť dosiahnuť súčasne súladu viacerých štandardov. Všeobecne však možno povedať, že každý štandard aplikačnej bezpečnosti definuje vlastné kritériá hodnotenia aplikácií z rôznych uhlov a meria riziká s nimi spojené. Každý štandard tak vyžaduje rôzne vynaložené úsilie na nastavenie výpočtu rizík a ich úrovne kritickosti. Útoky a bezpečnostné slabiny prezentované kategóriou podľa WASCO-TC sú mapované do „Top ten“ podľa OWASP, do zoznamu CWE (Common Weakness Enumeration) a CAPEC (Common Attack Pattern Enumeration and Classification) podľa Mitre a do zoznamu „Top 25“ podľa SANS-CWE.
Metodika WASC-TC Kľúčové vlastnosti a prednosti metodiky Poskytuje hlboké znalosti pre hodnotenie prostredia webovej aplikácie proti najčastejším útokom a bezpečnostným slabinám. Útoky a bezpečnostné slabiny prezentované WASCO - TC môžu byť použité na testovanie a overenie akejkoľvek platformy webovej aplikácie. Štandard uvádza tri rôzne pohľady, menovite zoznam, vývoj a krížovú referenciu. Pohľad zoznam slúži ako základňa pre všetky útoky a bezpečnostné slabiny zistené vo webových aplikáciách.Pohľad vývoja spája tieto útoky a bezpečnostné slabiny do zraniteľností a kategorizuje ich podľa ich výskytu v súvislosti s fázou vývoja, čo môže byť fáza návrhu, implementácie alebo nasadenia. Pohľad krížovej referencie slúži na odkazovanie WASC-TC na ďalšie štandardy bezpečnosti aplikácií. Metodika WASCO-TC je už priemyselne akceptovaná a jej integráciu možno nájsť v mnohých voľne dostupných zdrojoch a komerčných riešeniach, väčšinou v produktoch hodnotenia zraniteľnosti a v manažérskych produktoch. Môže byť tiež zaradená k ďalším dobre známym štandardom aplikačnej bezpečnosti ako sú OWASP a SANS - CWE. Pôsobí tak na splnenie ďalších súladov štandardu.
Všeobecný postup penetračného testovania Existuje viacero pokročilých nástrojov na penetračné testovanie. Používanie týchto nástrojov bez vhodnej metodiky môže viesť k neúspešnému testovaniu a priniesť neuspokojivé výsledky. Formalizácia bezpečnostného testovanie pomocou štruktúrovanej metodiky je z technického aj manažérskeho hľadiska veľmi dôležitá. V rôznych metodikách penetračného testovania možno vypozorovať tieto všeobecné kroky procesu testovania podľa obrázku. V konkrétnom prípade môže byť tento všeobecný postup upravený v závislosti na danom cieli hodnotenia. Nech sa použujú akejkoľvek kombinácie týchto krokov pri testovaní prístupom Black-Box alebo White-Box, je ponechané na penetračného testera (audítora), aby rozhodol a vybral najlepšiu strategickú cestu odpovedajúcu danému cieľovému prostrediu a odpovedajúcu jeho predchádzajúcim znalostiam pred začiatkom testu.
Všeobecný postup penetračného testovania 1. Stanovenie rozsahu testovaného systému Pred začatím technického hodnotenia bezpečnosti systému je dôležité špecifikovať a osvojiť si daný rozsah prostredia testovaného systému. Audítorovi môže byť stanovený rozsah testovaného systému od jednej entity po väčšiu množinu entít. Pri stanovovaní rozsahu testovaného systému by malo byť stanovené tiež to, čo má byť testované, ako by to malo byť testované, za akých podmienok by sa mal proces testu vykonávať, čo je obmedzením pri vykonávaní procesu testovania, ako dlho bude trvať testovanie a aký cieľ sa pre organizáciu testovaním dosiahne. Na vykonanie úspešného penetračného testu musí byť audítor znalý testovanej technológie, jej základných funkcií a interakcie so sieťovým prostredím. To znamená, že znalosti audítora významne prispievajú k hodnotenia bezpečnosti systému formou penetračného testovania.
Všeobecný postup penetračného testovania 2. Zbieranie informácií Po stanovení rozsahu testovaného systému je možné v procese testovania prejsť ku kroku analýzy testovanej organizácie a jej systému. Počas tohto kroku testu audítor využíva celý rad verejne dostupných zdrojov s cieľom dozvedieť sa viac o testovanej organizácii a jej systéme. Tieto informácie je možné získať z internetových zdrojov ako sú diskusné fóra, nástenky (bulletin boards), diskusné skupiny (newsgroups), člány, blogy, sociálne siete a iné komerčné alebo nekomerčné internetové stránky. Údaje môžu byť navyše zhromažďované prostredníctvom rôznych vyhľadávačov ako je Google alebo Yahoo! a prípadne ďalšie. Okrem toho môže audítor použiť voľne šíriteľné nástroje a získať informácie o testovanom systéme. Tieto nástroje vykonávajú užitočné techniky dolovania dát na zhromažďovanie informácií prostredníctvom serverov DNS, smerovačov, databázy Whois, adries elektronickej pošty, telefónnych čísel, osobných údajov a používateľských účtov. Čím viac sa o testovanej organizácii a jej systéme zhromaždí viac informácií, tým je väčšia šanca na úspešný penetračný test.
Všeobecný postup penetračného testovania 3. Prieskum testovaného systému. Tento krok procesu testovania sa zaoberá predovšetkým identifikáciou stavu cieľovej siete a jej odpovedajúcej sieťovej architektúre. Tým získa audítor kompletný obraz o používaných technológiách a pripojených zariadeniach v testovanom systéme a môže audítorovi ďalej napomôcť pri určení rôznych služieb bežiacich na sieti. Použitím pokročilých voľne šíriteľných sieťových nástrojov môže audítor ľahko zistiť aktívne sieťové uzly, operačné systémy bežiace na týchto uzloch a charakterizovať každé zariadenie podľa jeho úlohy v sieti. Tieto nástroje vo všeobecnosti implementujú aktívne a pasívne detekčné techniky nad sieťovými protokolmi. Uvedenými detekčnými technikami možno narábať v rôznych formách a získať užitočné informácie ako je napríklad odtlačok operačného systému.
Všeobecný postup penetračného testovania 4. Vytvorenie zoznamu testovaného prostredia Tento krok procesu testovania využíva všetky predchádzajúce kroky a zisťuje otvorené porty na cieľových systémoch. Po identifikovaní otvorených portov sa zistí aké služby na týchto portoch bežia. Pomocou niekoľkých techník skenovanie portov ako sú techniky fullopen, half-open a stealth, môže skenovanie pomôcť určiť viditeľnosť portu a to aj v prípade, že uzol je za bezpečnostnou bránou alebo chránený systémom na detekciu prienikov (IDS). Služby mapované na otvorené porty pomáhajú k ďalšiemu skúmaniu možných existujúcich zraniteľnosti na cieľovej sieťovej infraštruktúre. Tento krok testovania tak slúži ako základný krok na zistenie zraniteľností v rôznych sieťových zariadeniach, ktoré môžu viesť k vážnemu prieniku. Na dosiahnutie cieľov tohto kroku testu môže audítor použiť niektoré automatizované nástroje.
Všeobecný postup penetračného testovania 5. Mapovanie zraniteľností V predchádzajúcich krokoch testu sa nazbierali dostatočné informácie o cieľovej sieti. Teraz nastal čas na identifikáciu a analýzu zraniteľností na základe odhalených portov a služieb. Tento proces sa dá dosiahnuť prostredníctvom mnohých nástrojov na automatizované hodnotenie sieťových a aplikačných zraniteľností. Tento krok testu môže byť vykonaný tiež ručne, ale vyžaduje obrovské množstvo času a vyžaduje odborné znalosti. Ale kombinácia oboch prístupov by mala poskytnúť audítorovi jasnú predstavu na starostlivé preskúmanie akejkoľvek známej alebo neznámej zraniteľnosti, ktorá by inak mohla existovať na sieťových systémov.
Všeobecný postup penetračného testovania 6. Sociálne inžinierstvo Používanie umenia klamu je veľmi dôležité, keď pre audítora nie je k dispozícii otvorená brána na vstup do cieľovej siete. Stále však je možné preniknúť do cieľového systému pomocou vektora útoku na ľudí tak, že audítor prinúti používateľa vykonať škodlivý kód umožňujúci audítorovi prístup do cieľového systému prostredníctvom zadných vrátok (backdoor). Sociálne inžinierstvo sa realizuje v rôznych formách. Niekto môže predstierať, že je správca siete a po telefóne núti používateľa prezradiť informácie o konte (meno konta a prístupové heslo), alebo podvodom typu e-mail phishing, ktorý vedie na unesenie údajov o bankovom účte klienta. Existuje celý rad možností, ktoré je možné použiť na dosiahnutie požadovaného cieľa. Je dôležité si uvedomiť, že pre úspešnú penetráciu je niekedy, pred použitím akéhokoľvek vhodného triku proti cieľu, potrebné venovať dodatočný čas na spoznanie ľudskej psychológie.
Všeobecný postup penetračného testovania 7. Vyťaženie testovaného systému Po starostlivom preskúmaní objavených zraniteľností je možné preniknúť do cieľového systému na základe dostupných typov zneužitia (exploits). Niekedy to vyžaduje ďalší výskum alebo modifikáciu existujúceho exploitu s cieľom jeho správneho fungovania. Túto úlohu je možné ľahšie splniť v prípade, že audítor používa vyspelé prieskumné nástroje. Bezpečnostný audítor môže navyše použiť metódy prieskumu zo strany klienta kombinovanú s metódou sociálneho inžinierstva a tak prevziať kontrolu nad cieľovým systémom. Tento krok testovania sa tak zameriava predovšetkým na proces získania a ovládania cieľa. A proces koordinuje tri základné oblasti, ktoré zahrňujú aktivity pred-vyťažením, vyťažením a po-vyťažení.
Všeobecný postup penetračného testovania 8.Eskalácia privilégií Penetrácia je úspešná akonáhle bol získaný cieľový uzol infraštruktúry IT. Audítor po získaní uzla sa teraz, v závislosti na získaných prístupových právach, môže voľne v systéme uzla pohybovať. Získané privilégiá môžu byť tiež eskalované použitím akýchkoľvek lokálnych exploitov odpovedajúcich systémovému prostrediu. Po vykonaní exploitov audítor môže získať privilégiá úrovne super-používateľa alebo administrátora. Od tohto okamihu by audítor mohol tiež byť schopný začať ďalší útok na ďalšie uzly lokálnej infraštruktúry IT. Tento proces môže byť obmedzený alebo neobmedzený v závislosti na danom rozsahu testovaného cieľa. Existuje však aj možnosť dozvedieť sa viac o kompromitovaných uzloch analyzovaním sieťovej premávky, prelamovaním hesiel rôznych služieb a uplatňovaním taktiky falšovania na lokálnej sieti. Cieľom eskalácie privilégií je získať prístup do systému na najvyššej úrovni.
Všeobecný postup penetračného testovania 9. Ponechanie prístupu Audítor môže byť niekedy požiadaný ponechať si na určitú dobu prístup do systému. Takáto aktivita môže byť využitá na demonštráciu neoprávneného prístupu do systému a to bez opätovného zdržiavajúceho procesu penetračného testovania. Šetrí to čas, náklady a zdroje potrebné na získanie prístupu do systému z bezpečnostných dôvodov. Použitie utajených tunelovacích metód využívajúcich protokol, proxy alebo stratégiu end-to-end prepojenia, ktoré môžu viesť na zriadenie prístupu do systému typu zadné vrátka (backdoor), môžu napomôcť audítorovi k udržaniu jeho kontaktu s cieľovým testovaným systémom na požadovanú dobu. Tento druh prístupu do systému okrem iného poskytuje jasný príklad toho, že útočník môže uchovať svoju prítomnosť v systéme bez „hlučného“ správania sa. 10. Dokumentácia a vykazovanie Dokumentovanie, vykazovanie a prezentácia nájdených, verifikovaných a využitých zraniteľností uzatvárajú uvedenú metodiku penetračného testovania. Z etického hľadiska je to veľmi dôležité, pretože zainteresovaný manažérsky a technický tím môže preskúmať spôsob prieniku a pokúsiť sa eliminovať všetky možné existujúce bezpečnostné medzery. Audítor môže vytvoriť viacero typov správ pre jednotlivé grémiá zmluvnej organizácie s cieľom oboznámiť grémiá a analyzovať slabé miesta existujúce v infraštruktúre IT v ich organizácii. Okrem toho môžu uvedené správy slúžiť na zachytenie stavu testovanej infraštruktúry IT a porovnanie jej stavu pred penetračným testovaním a po procese penetračného testovania.
