Hogyan hackeljük magunkat biztonságosra?

forrás: Prím Online, 2016. február 1. 12:51

Az IT-biztonság területén az egyik leghatékonyabb védelem az adott hálózat támadása és tesztelése valós idejű környezetben, amivel pontosan felderíthetőek a sérülékenységek és a betörési pontok. Ilyenkor a legtöbben parancssorok és forráskódok hadát képzelik maguk elé, amihez mély tudásra és sokévnyi tapasztalatra van szükség. Léteznek azonban olyan grafikus felülettel ellátott védelmi rendszerek, amikkel a felderítés és a „támadás” gombnyomásra megtörténik.

A Metasploit keretrendszer (framework) ebben az esetben az a nyílt forráskód, amit a hozzáértők szabadon fejleszthetnek, továbbá grafikai felülettel (UI) láthatják el a hatékony kezelhetőség érdekében. Ezen a frameworkön jelenleg kétszázezer fejlesztő dolgozik rendszeresen, ezért a világ legnépszerűbb penetrációs tesztelési megoldásává vált a kis- és középvállalatok körében. Naponta átlagosan egy-két exploittal gazdagodik az adatbázis, így még a támadások előtt lehetővé válik a rendszer gyengeségeinek feltárása.

 

Egy hálózatot két feltétel mellett lehet biztonságossá tenni offenzív eszközökkel. Az egyik a megfelelő sérülékenység-vizsgáló használata, a másik a sérülékenységi vizsgálat alapján elkészült riport érvényesítése, azaz validálása. A biztonsági rések feltérképezése közben általában kritikus (admin jogosultság = az egész hálózat felett átvehető az irányítás), közepes (felhasználói jogosultság = egy kliens számítógép felett vehető át az irányítás) és információ jellegű (konfigurációs beállítások = nyitva maradt portok, eszközök helytelen beállításai, stb.) sérülékenységek állapíthatóak meg. A validálás során voltaképpen magát a penetrációs tesztet hajtja végre a védelmi program azokon a pontokon, ahol kihasználható (exploitálható) a sérülékenység.

 

A penetrációs teszteléseknek számos változata van, ám abban az esetben a leghatékonyabb, ha a vizsgálattal szinte egy időben a kívánt védelem (patch vagy script futtatása, helytelen konfigurációs beállítás megváltoztatása, stb.) alkalmazása is megtörténik. 

 

A Metasploit keretrendszerre épülő egyik leggyorsabb és leghatékonyabb offenzív védelmi rendszert a Nexpose és a Metasploit Pro együttese alkotja. A sérülékenység-vizsgálat során a Nexpose által összegyűjtött adatokat a Metasploit Pro automatikusan importálja, majd a felállított veszélyeztetettségi rangsor alapján priorizálja és validálja a ténylegesen exploitálható sérülékenységeket, azaz elvégzi a penetrációs tesztet.

 

A sérülékenység-vizsgálat (vulnerability assessment) eredménye átlagosan 300-500 oldalban foglalható össze a hálózat kiterjedtségétől függően, míg a penetrációs tesztek riportjai 10-20 oldalban informálják a IT-biztonsági szakembereket az exploitálható sérülékenységekről, azok jogosultsági szintjéről és mélységéről. 

 

 

A különböző zárt rendszerek és céges hálózatok mellett a weboldalak 70%-a szintén tartalmaz olyan biztonsági réseket, amik közvetlenül veszélyeztetik a vállalati adatokat. Ehhez az internetes alkalmazások is nagyban hozzájárulnak. A webes támadásokat a 80/443-as porton hajtják végre a tűzfalon keresztül, az operációs és hálózatbiztonsági rendszer mellett, eljutva ezzel az alkalmazás és a vállalati adatok központjába. E sérülékenységek felderítésére a legalkalmasabb az Acunetix Web Vulnerability Scanner, ami precíz keresést garantál a forráskódban elhelyezett szenzorok által, továbbá ez a szektor legfejlettebb SQL befecskendezés és XSS (Cross Site Scripting) tesztere. Figyelemre méltó gyorsasággal képes akár weboldalak ezreit vizsgálni egyidőben. Az Acunetix WVS automatikusan módosítja a tűzfal beállításait annak érdekében, hogy adott internetes alkalmazás ne legyen kitéve célzott támadásoknak. Így továbbra is biztonságosan futtatható, amíg a sérülékenységet ki nem javítják a forráskód szintjén.

 

Az IT-biztonság területén további szereplők igénylik rendszereik fokozott védelmét, ám méretükből és hatáskörükből adódóan nekik már nem elég „kicsiben” gondolkodni. Ilyenek a kormányzati szervek, szövetségi nyomozó irodák, államkincstárak, pénzügyi intézmények, bankok, világhálózattal rendelkező nagyvállalatok, stb. Ők általában a CORE Impact Pro felé tendálnak, ami saját szakterületén nagyjából az elnök különgépének és a páncélozott pápamobil ötvözetének felel meg. A 15 éves szakmai tapasztalattal bíró CORE Security alkotás a kiberbűnözőkhöz hasonló technikákkal fedezi fel a sérülékenységeket. Exploitjaikat házon belül fejleszti egy erre szakosodott csapat, ennek köszönhetően hatékonyak, stabilak és naprakészek. A CORE Impact Pro több száz egyedi CVE-vel (Common Vulnerabilities and Exposures) érkezik, amit folyamatosan bővítenek. A versenytársaik által ajánlott CVE mennyiséget 25%-kal überelik, továbbá integrálhatóvá tették a nyílt forráskódú keretrendszerek exploitjait is. 

 

A professzionális offenzív védelmi rendszerek magukban foglalják a pivoting és a post-exploitation lehetőségeket is. A pivoting egy olyan támadási szimuláció, ami átvezet rendszereken, eszközökön és alkalmazásokon, felfedve azt, hogyan nyitnak utat az exploitálható sérülékenységek a működés-kritikus rendszerekhez és az érzékeny adatokhoz. A post-exploitation során a védelmi program újabb penetrációs vizsgálatot végez az exploitált réseken, adatokat gyűjtve a sérülékenység mélységéről, azaz rögzíti a jelszavakat, képernyőképeket készít, és billentyűzet-figyelőket telepít. 

 

Az itt felsorolt offenzív védelmi rendszerekkel a február 5-ei ProDay konferencián és kiállításon lehetőség nyílik részleteiben megismerkedni, sőt valós idejű teszteket folytatni mini workshopok keretében. A mindenki számára igyenesen látogatható rendezvény programjai szimultán folynak majd a defenzív és az offenzív IT-biztonság témakörökben, miközben a kiállítótérben zajlanak a különféle technológiájú tesztelések. Aki érdekelt a Black Box (etikus) hackelésben, annak érdemes kitölteni a kérdőívet, ugyanis egy ingyenes átfogó hálózati teszteléssel gazdagodhat, vagy birtokosa lehet a legvédettebb okostelefonok egyikének (Blackphone 2), amiből kettőt is kisorsolnak. 

 

E-világ ROVAT TOVÁBBI HÍREI

Emeld magasabb szintre az edzésterved a HONOR Watch 4 segítségével

A HONOR bejelentette a HONOR Watch 4-et, a viselhető HONOR készülékek legújabb tagját. Stílusos formatervezés, precíz funkciók, egy nagy, akár 60Hz-es képfrissítésre is képes, 1,75-os színes AMOLED kijelző jellemzik amellett, hogy Bluetooth hívásokra is alkalmas. Mindehhez egy akár 14 napot is bíró akkumulátor társul, amivel tökéletes társ a fittség nyomon követésére bárhol, bármikor.

2023. szeptember 22. 19:33

Az iPhone 15 mostantól hazánkban is megvásárolható

Az ikonikus iPhone sorozat legfrissebb készülékei, az iPhone 15, az iPhone 15 Plus, az iPhone 15 Pro és az iPhone 15 Pro Max mellett az Apple Watch Series 9 és az Apple Watch Ultra 2 is a boltok polcaira kerül szeptember 22-én. Az Apple innovációinak sorában újabb mérföldkövet jelentő termékek mától a tavalyinál jelentősen kedvezőbb áron kaphatóak az iSTYLE hazai, kilenc üzlettel rendelkező Apple Premium viszonteladói hálózatában. 

2023. szeptember 22. 17:31

Nemzetközi nagyágyúk beszélnek Budapesten a legfrissebb mesterséges intelligencia trendekről

Október 5-én és 6-án először jelentkezik a Compass Tech Summit, melyre a világ minden tájáról több mint 1.200 szakembert várnak a szervezők a Magyar Vasúttörténeti Park indusztriális miliőjébe. 

2023. szeptember 22. 15:49

Az AGON by AOC bemutatja a core gamereket célzó legújabb gaming monitorját

Az AGON by AOC – a világ egyik vezető gaming monitor* és IT-kiegészítő-márkája – bemutatja az AOC GAMING CQ27G2S/BK modellt, egy 27 hüvelykes (68,6 cm) QHD ívelt gaming monitort, amely aprólékos tervezésével egyesíti a gaming világ legkeresettebb jellemzőit. 

2023. szeptember 22. 14:20

Húszezer laptopot szállít a Delta Systems az iskoláknak

Két ütemben, 10-10 ezer laptopot kapnak Budapest, Győr-Moson-Sopron, Veszprém, Somogy és Baranya vármegye diákjai mintegy 4 milliárd forint értékben. A Klebelsberg Központ nevében eljáró Digitális Kormányzati Ügynökség (DKÜ) húszezer darab notebook beszerzésével kapcsolatos feltételes közbeszerzés nyerteseként nevezte meg a cégcsoportot. Az informatikai eszközök öt vármegye tanulói és pedagógusai számára biztosítják a digitális oktatáshoz való egyenlő hozzáférés feltételeit.

2023. szeptember 22. 12:47

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Megvannak az idei Gyurós Tibor-díjazottak

2023. szeptember 20. 15:17

Diákokat, női vezetőket és roma fiatalokat is támogatnak a Morgan Stanley munkatársai

2023. szeptember 18. 13:16

Hat érmet hoztak haza a magyar diákok a Nemzetközi Informatikai Diákolimpiáról

2023. szeptember 4. 15:38

Harminc évre előre tekintenek a 30. MENTA konferencia előadói

2023. augusztus 31. 12:59