Hogyan hackeljük magunkat biztonságosra?

forrás: Prím Online, 2016. február 1. 12:51

Az IT-biztonság területén az egyik leghatékonyabb védelem az adott hálózat támadása és tesztelése valós idejű környezetben, amivel pontosan felderíthetőek a sérülékenységek és a betörési pontok. Ilyenkor a legtöbben parancssorok és forráskódok hadát képzelik maguk elé, amihez mély tudásra és sokévnyi tapasztalatra van szükség. Léteznek azonban olyan grafikus felülettel ellátott védelmi rendszerek, amikkel a felderítés és a „támadás” gombnyomásra megtörténik.

A Metasploit keretrendszer (framework) ebben az esetben az a nyílt forráskód, amit a hozzáértők szabadon fejleszthetnek, továbbá grafikai felülettel (UI) láthatják el a hatékony kezelhetőség érdekében. Ezen a frameworkön jelenleg kétszázezer fejlesztő dolgozik rendszeresen, ezért a világ legnépszerűbb penetrációs tesztelési megoldásává vált a kis- és középvállalatok körében. Naponta átlagosan egy-két exploittal gazdagodik az adatbázis, így még a támadások előtt lehetővé válik a rendszer gyengeségeinek feltárása.

 

Egy hálózatot két feltétel mellett lehet biztonságossá tenni offenzív eszközökkel. Az egyik a megfelelő sérülékenység-vizsgáló használata, a másik a sérülékenységi vizsgálat alapján elkészült riport érvényesítése, azaz validálása. A biztonsági rések feltérképezése közben általában kritikus (admin jogosultság = az egész hálózat felett átvehető az irányítás), közepes (felhasználói jogosultság = egy kliens számítógép felett vehető át az irányítás) és információ jellegű (konfigurációs beállítások = nyitva maradt portok, eszközök helytelen beállításai, stb.) sérülékenységek állapíthatóak meg. A validálás során voltaképpen magát a penetrációs tesztet hajtja végre a védelmi program azokon a pontokon, ahol kihasználható (exploitálható) a sérülékenység.

 

A penetrációs teszteléseknek számos változata van, ám abban az esetben a leghatékonyabb, ha a vizsgálattal szinte egy időben a kívánt védelem (patch vagy script futtatása, helytelen konfigurációs beállítás megváltoztatása, stb.) alkalmazása is megtörténik. 

 

A Metasploit keretrendszerre épülő egyik leggyorsabb és leghatékonyabb offenzív védelmi rendszert a Nexpose és a Metasploit Pro együttese alkotja. A sérülékenység-vizsgálat során a Nexpose által összegyűjtött adatokat a Metasploit Pro automatikusan importálja, majd a felállított veszélyeztetettségi rangsor alapján priorizálja és validálja a ténylegesen exploitálható sérülékenységeket, azaz elvégzi a penetrációs tesztet.

 

A sérülékenység-vizsgálat (vulnerability assessment) eredménye átlagosan 300-500 oldalban foglalható össze a hálózat kiterjedtségétől függően, míg a penetrációs tesztek riportjai 10-20 oldalban informálják a IT-biztonsági szakembereket az exploitálható sérülékenységekről, azok jogosultsági szintjéről és mélységéről. 

 

 

A különböző zárt rendszerek és céges hálózatok mellett a weboldalak 70%-a szintén tartalmaz olyan biztonsági réseket, amik közvetlenül veszélyeztetik a vállalati adatokat. Ehhez az internetes alkalmazások is nagyban hozzájárulnak. A webes támadásokat a 80/443-as porton hajtják végre a tűzfalon keresztül, az operációs és hálózatbiztonsági rendszer mellett, eljutva ezzel az alkalmazás és a vállalati adatok központjába. E sérülékenységek felderítésére a legalkalmasabb az Acunetix Web Vulnerability Scanner, ami precíz keresést garantál a forráskódban elhelyezett szenzorok által, továbbá ez a szektor legfejlettebb SQL befecskendezés és XSS (Cross Site Scripting) tesztere. Figyelemre méltó gyorsasággal képes akár weboldalak ezreit vizsgálni egyidőben. Az Acunetix WVS automatikusan módosítja a tűzfal beállításait annak érdekében, hogy adott internetes alkalmazás ne legyen kitéve célzott támadásoknak. Így továbbra is biztonságosan futtatható, amíg a sérülékenységet ki nem javítják a forráskód szintjén.

 

Az IT-biztonság területén további szereplők igénylik rendszereik fokozott védelmét, ám méretükből és hatáskörükből adódóan nekik már nem elég „kicsiben” gondolkodni. Ilyenek a kormányzati szervek, szövetségi nyomozó irodák, államkincstárak, pénzügyi intézmények, bankok, világhálózattal rendelkező nagyvállalatok, stb. Ők általában a CORE Impact Pro felé tendálnak, ami saját szakterületén nagyjából az elnök különgépének és a páncélozott pápamobil ötvözetének felel meg. A 15 éves szakmai tapasztalattal bíró CORE Security alkotás a kiberbűnözőkhöz hasonló technikákkal fedezi fel a sérülékenységeket. Exploitjaikat házon belül fejleszti egy erre szakosodott csapat, ennek köszönhetően hatékonyak, stabilak és naprakészek. A CORE Impact Pro több száz egyedi CVE-vel (Common Vulnerabilities and Exposures) érkezik, amit folyamatosan bővítenek. A versenytársaik által ajánlott CVE mennyiséget 25%-kal überelik, továbbá integrálhatóvá tették a nyílt forráskódú keretrendszerek exploitjait is. 

 

A professzionális offenzív védelmi rendszerek magukban foglalják a pivoting és a post-exploitation lehetőségeket is. A pivoting egy olyan támadási szimuláció, ami átvezet rendszereken, eszközökön és alkalmazásokon, felfedve azt, hogyan nyitnak utat az exploitálható sérülékenységek a működés-kritikus rendszerekhez és az érzékeny adatokhoz. A post-exploitation során a védelmi program újabb penetrációs vizsgálatot végez az exploitált réseken, adatokat gyűjtve a sérülékenység mélységéről, azaz rögzíti a jelszavakat, képernyőképeket készít, és billentyűzet-figyelőket telepít. 

 

Az itt felsorolt offenzív védelmi rendszerekkel a február 5-ei ProDay konferencián és kiállításon lehetőség nyílik részleteiben megismerkedni, sőt valós idejű teszteket folytatni mini workshopok keretében. A mindenki számára igyenesen látogatható rendezvény programjai szimultán folynak majd a defenzív és az offenzív IT-biztonság témakörökben, miközben a kiállítótérben zajlanak a különféle technológiájú tesztelések. Aki érdekelt a Black Box (etikus) hackelésben, annak érdemes kitölteni a kérdőívet, ugyanis egy ingyenes átfogó hálózati teszteléssel gazdagodhat, vagy birtokosa lehet a legvédettebb okostelefonok egyikének (Blackphone 2), amiből kettőt is kisorsolnak. 

 

E-világ ROVAT TOVÁBBI HÍREI

Siemens Xcelerator: az Eplan és a Siemens zökkenőmentes adatátvitelt tesz lehetővé a gépgyártásban

A Siemens és az Eplan hatékonyabbá teszi a tervezési és gyártási folyamatokat a gépeket és gyártósorokat építő ügyfeleik számára.

2024. december 21. 16:47

A Z-generáció tudja milyen munkahelyet szeretne

Az önérvényesítés, a munkahelyi környezet, az anyagiak, a társas kapcsolatok, valamint a kreativitás, illetve a szellemi ösztönzők azok a legfőbb munkaértékek, amelyek a STEM pályára lépő Z-generációs fiatalok számára meghatározóak a leendő munkahelyük kiválasztásában és az ottani megmaradásukban – derül ki a Becsei Lilla pályaorientációs szakember friss, országos, reprezentatív kutatásából, amit az Együtt a Jövő Mérnökei Szövetséggel együttműködésben készített el a 12. osztályos magyar tanulók körében.  

2024. december 21. 13:49

Az LG 2025-ös QNED evo termékcsaládja jelentős technológiai fejlődésen ment át

Az LG Electronics (LG) bemutatja a megújult, 2025-ös QNED evo termékcsaládját egy újonnan szabadalmaztatott, széles színskálát biztosító technológiával. A készülékek valódi 4K felbontású képet és akár 144 Hz*-es képfrissítési rátát tesznek lehetővé vezeték nélküli kapcsolódással, ultraalacsony késleltetéssel.  Emellett a széria tagjai továbbfejlesztett mesterséges intelligencia alapú kép- és hangfeldolgozást, és személyre szabhatóságot biztosítanak a webOS 25-ön keresztül.

2024. december 21. 12:01

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Az ázsiai autóipar lehagyta digitalizációban Európát

2024. december 21. 10:22

Új platform köti össze a vállalkozókat és partnereiket

2024. december 16. 13:25

CES 2025 előzetes: Elon Musk Amerikája, avagy a világ Musk-ja

2024. december 9. 16:46

Újabb részvételi rekordot döntött az e-Hód

2024. december 9. 11:32