Tunkeutumistesti - Penetration test

Läpäisykykytesti , puhekielessä kutsutaan kynä testi tai eettinen hakkerointi , on valtuutettu simuloitu verkkohyökkäyksen tietokonejärjestelmään, tehtiin tarkoituksena arvioida turvallisuutta järjestelmän; tätä ei pidä sekoittaa haavoittuvuuden arviointiin . Testi suoritetaan heikkouksien (joita kutsutaan myös haavoittuvuuksiksi) tunnistamiseksi, mukaan lukien luvattomien osapuolten mahdollisuus päästä käsiksi järjestelmän ominaisuuksiin ja tietoihin sekä vahvuuksiin, jotta voidaan suorittaa täydellinen riskinarviointi .

Prosessi tyypillisesti tunnistaa kohdejärjestelmät ja tietyn tavoitteen, tarkistaa sitten saatavilla olevat tiedot ja ryhtyy eri tavoin tavoitteen saavuttamiseksi. Tunkeutumistestikohde voi olla valkoinen laatikko (josta tausta- ja järjestelmätiedot toimitetaan testaajalle etukäteen) tai musta laatikko (josta annetaan vain mahdolliset perustiedot, paitsi yrityksen nimi). Harmaan laatikon tunkeutumistesti on näiden kahden yhdistelmä (jossa rajallinen tieto kohteesta on jaettu tarkastajalle). Tunkeutumistesti voi auttaa tunnistamaan järjestelmän haavoittuvuudet hyökkäykseen ja arvioimaan sen haavoittuvuuden.

Turvallisuusongelmat, jotka tunkeutumistesti paljastaa, tulee ilmoittaa järjestelmän omistajalle. Läpäisykokeiden raportit voivat myös arvioida mahdollisia vaikutuksia organisaatioon ja ehdottaa vastatoimia riskin vähentämiseksi.

Yhdistyneen kuningaskunnan kansallinen kyberturvallisuuskeskus kuvailee tunkeutumistestausta seuraavasti: "Menetelmä varmuuden saamiseksi tietotekniikkajärjestelmän turvallisuudesta yrittämällä rikkoa järjestelmän tietoturvaa kokonaan tai kokonaan käyttämällä samoja työkaluja ja tekniikoita kuin vastustajakin."

Tunkeutumistestin tavoitteet vaihtelevat kunkin tehtävän hyväksytyn toiminnan tyypin mukaan, ja ensisijaisena tavoitteena on löytää haavoittuvuuksia, joita pahantahtoinen toimija voi hyödyntää, ja ilmoittaa asiakkaalle näistä haavoittuvuuksista sekä suositelluista lieventämisstrategioista.

Läpäisykokeet ovat osa täydellistä turvatarkastusta . Esimerkiksi maksukorttiteollisuuden tietoturvastandardi vaatii tunkeutumistestauksen säännöllisin väliajoin ja järjestelmän muutosten jälkeen.

On olemassa useita vakiokehyksiä ja menetelmiä läpäisykokeiden suorittamiseksi. Näitä ovat Open Source Security Testing Methodology Manual (OSSTMM), Penetration Testing Execution Standard (PTES), NIST Special Publication 800-115, Information System Security Assessment Framework (ISSAF) ja OWASP- testausopas.

Virhe hypoteesi menetelmä on järjestelmien analyysi ja levinneisyys ennakoinnin tekniikka, jossa listan oletettu puutteita on ohjelmisto kootaan analyysin avulla tekniset tiedot ja asiakirjat järjestelmään. Luettelo oletetuista puutteista asetetaan sitten etusijalle arvioidun todennäköisyyden perusteella, että vika todella on olemassa, ja sen perusteella, kuinka helposti sitä voidaan käyttää valvonnan tai kompromissin rajoissa. Prioriteettiluetteloa käytetään ohjaamaan järjestelmän varsinaista testausta.

Historia

1960-luvun puoliväliin mennessä ajan jakavien tietokonejärjestelmien kasvava suosio, joka teki resursseista pääsyn tietoliikenneyhteyksiin, loi uusia turvallisuusongelmia. Kuten tutkijat Deborah Russell ja GT Gangemi Sr. Selittävät, "1960 -luku merkitsi tietoturvan aikakauden todellista alkua."

Esimerkiksi kesäkuussa 1965 useat Yhdysvaltojen johtavista tietoturva -asiantuntijoista pitivät yhden ensimmäisistä merkittävistä järjestelmäturvallisuuskonferensseista, jonka isännöi hallituksen urakoitsija, System Development Corporation (SDC). Konferenssin aikana joku totesi, että yksi SDC: n työntekijä oli kyennyt helposti heikentämään SDC: n AN/FSQ-32 - ajanjakotietokonejärjestelmään lisättyjä erilaisia ​​järjestelmän suojatoimia . Toivoen, että järjestelmän turvallisuustutkimus olisi hyödyllinen, osallistujat pyysivät "... tutkimuksia sellaisilla aloilla, kuten tietoturvan rikkominen jaetussa järjestelmässä". Toisin sanoen konferenssin osallistujat aloittivat yhden ensimmäisistä muodollisista pyynnöistä käyttää tietokoneen tunkeutumista työkaluna järjestelmän turvallisuuden tutkimiseen.

Kevään 1967 yhteisessä tietokonekonferenssissa monet johtavat tietokoneasiantuntijat kokoontuivat jälleen keskustelemaan järjestelmän turvallisuusongelmista. Tämän konferenssin aikana tietoturva -asiantuntijat Willis Ware , Harold Petersen ja Rein Turn, kaikki RAND Corporation ja Bernard Peters, National Security Agency (NSA), käyttivät kaikki ilmausta "tunkeutuminen" kuvaamaan hyökkäystä tietokonetta vastaan järjestelmä. Ware viittasi paperissa armeijan etäkäytettäviin ajanjakojärjestelmiin varoittaen, että "tahalliset yritykset tunkeutua tällaisiin tietokonejärjestelmiin on ennakoitava". Hänen kollegansa Petersen ja Turn olivat samoja huolenaiheita huomauttaessaan, että online -viestintäjärjestelmät "... ovat alttiita yksityisyyden uhkille", mukaan lukien "tahallinen tunkeutuminen". Bernard Peters NSA: sta esitti saman asian ja vaati, että tietokoneen tulo ja lähtö "... voivat tarjota suuria määriä tietoa läpäisevälle ohjelmalle". Konferenssin aikana tietokoneiden tunkeutuminen tunnistettiin muodollisesti suureksi uhaksi online -tietokonejärjestelmille.

Tietokoneiden levinneisyyden uhka esitettiin seuraavaksi Yhdysvaltain puolustusministeriön (DoD) vuoden 1967 lopulla järjestämässä suuressa raportissa . Pohjimmiltaan DoD: n virkamiehet kääntyivät Willis Wareen johtamaan NSA: n, CIA: n , DoD: n, yliopistot ja teollisuus virallisesti arvioimaan ajan jakamisen tietokonejärjestelmien turvallisuutta. Luottaen moniin kevään 1967 yhteisessä tietokonekonferenssissa esitettyihin asiakirjoihin työryhmä vahvisti suurelta osin tietokoneiden tunkeutumisen aiheuttaman uhan järjestelmän turvallisuudelle. Waren raportti oli alun perin luokiteltu, mutta monet maan johtavista tietokoneasiantuntijoista tunnistivat tutkimuksen nopeasti lopulliseksi asiakirjaksi tietoturvasta. Jeffrey R. Yost Charles Babbage -instituutista on äskettäin kuvaillut Ware -raporttia "... ylivoimaisesti tärkeimmäksi ja perusteellisimmaksi tutkimukseksi sen ajanjakson suojattujen tietokonejärjestelmien teknisistä ja toiminnallisista kysymyksistä." Itse asiassa Ware-raportti vahvisti suurimman uhan, joka aiheutti tietokoneiden tunkeutumisen uusiin online-ajanjakotietokonejärjestelmiin.

Järjestelmän heikkouksien ymmärtämiseksi liittohallitus ja sen urakoitsijat alkoivat pian järjestää tunkeutumisryhmiä, jotka tunnetaan nimellä tiikeriryhmät , jotta he voivat käyttää tietokoneen tunkeutumista järjestelmän turvallisuuden testaamiseen. Deborah Russell ja G. pyrkiä paljastamaan ja lopulta korjaamaan turva -aukkoja. "

Johtava tietoturvan historian tutkija Donald MacKenzie huomauttaa samoin, että "RAND oli tehnyt hallituksen puolesta joitain aikaisten ajanjakojärjestelmien tunkeutumistutkimuksia (kokeiluja tietokoneen tietoturvan valvonnan kiertämiseksi)." Jeffrey R.Yost Charles Babbage -instituutista tunnustaa omassa työssään tietoturvan historiasta myös, että sekä RAND Corporation että SDC olivat "osallistuneet joihinkin ensimmäisiin ns. ajanjakojärjestelmiä haavoittuvuuden testaamiseksi. " Lähes kaikissa näissä varhaisissa tutkimuksissa tiikeriryhmät murtautuivat onnistuneesti kaikkiin kohdennetuihin tietokonejärjestelmiin, koska maan ajanjakojärjestelmillä oli huono puolustus.

Tiger -tiimin varhaisista toimista RAND Corporationin toimet osoittivat tunkeutumisen hyödyllisyyden järjestelmän turvallisuuden arvioinnin välineenä. Tuolloin eräs RAND-analyytikko totesi, että testit olivat "... osoittaneet järjestelmän tunkeutumisen käytännöllisyyden välineenä, jolla arvioidaan toteutettujen tietoturvakehysten tehokkuutta ja riittävyyttä". Lisäksi useat RAND -analyytikot väittivät, että kaikki tunkeutumistestit tarjoavat useita etuja, jotka oikeuttavat sen käytön jatkamiseen. Kuten he totesivat yhdessä paperissa, "tunkeutuja näyttää kehittävän jumalattoman mielentilan etsiessään käyttöjärjestelmän heikkouksia ja epätäydellisyyttä, jota on vaikea jäljitellä." Näistä syistä ja muista syistä monet RANDin analyytikot suosittelivat tunkeutumistekniikoiden jatkuvaa tutkimista niiden hyödyllisyyden arvioimiseksi järjestelmän turvallisuudesta.

Oletettavasti johtava tietokoneiden tunkeutumisasiantuntija näiden kehitysvuosien aikana oli James P. Anderson, joka oli työskennellyt NSA: n, RANDin ja muiden valtion virastojen kanssa oppiakseen järjestelmän turvallisuuden. Vuoden 1971 alussa Yhdysvaltain ilmavoimat tekivät sopimuksen Andersonin yksityisen yrityksen kanssa tutkiakseen aikajakojärjestelmänsä turvallisuutta Pentagonissa. Anderson hahmotti tutkimuksessaan useita tärkeitä tekijöitä, jotka liittyivät tietokoneiden tunkeutumiseen. Anderson kuvasi yleistä hyökkäysjärjestystä vaiheittain:

1. Etsi hyväksikäytettävä haavoittuvuus.
2. Suunnittele hyökkäys sen ympärille.
3. Testaa hyökkäys.
4. Tartu linjaan käytössä.
5. Anna hyökkäys.
6. Hyödynnä tieto tietojen palauttamista varten.

Ajan myötä Andersonin kuvaus yleisistä tietokoneiden tunkeutumisvaiheista auttoi ohjaamaan monia muita tietoturva-asiantuntijoita, jotka luottivat tähän tekniikkaan arvioidessaan aikajakoisen tietokonejärjestelmän turvallisuutta.

Seuraavina vuosina tietokoneiden levinneisyys turvallisuuden arvioinnin välineenä kehittyi ja kehittyi. Toimittaja William Broad tiivisti 1980 -luvun alussa lyhyesti tiikeriryhmien käynnissä olevat ponnistelut järjestelmän turvallisuuden arvioimiseksi. Kuten Broad raportoi, DoD: n sponsoroima Willis Ware -raportti oli "... osoittanut, kuinka vakoojat pystyivät aktiivisesti tunkeutumaan tietokoneisiin, varastamaan tai kopioimaan sähköisiä tiedostoja ja heikentämään laitteita, jotka tavallisesti suojaavat erittäin salaisia ​​tietoja. Tutkimus koski yli vuosikymmentä hallituksessa työskentelevien tietojenkäsittelytieteilijöiden eliittiryhmien hiljaisesta toiminnasta, jotka yrittivät murtautua arkaluontoisiin tietokoneisiin. He onnistuivat kaikissa yrityksissä. "

Vaikka nämä eri tutkimukset ovat saattaneet viitata siihen, että tietoturva Yhdysvalloissa on edelleen suuri ongelma, tutkija Edward Hunt on hiljattain esittänyt laajemman käsityksen laajasta tutkimuksesta tietokoneiden tunkeutumisesta suojaustyökaluksi. Hunt ehdottaa äskettäisessä asiakirjassa tunkeutumistestien historiasta, että puolustuslaitos lopulta "... loi monet nykyajan tietoverkkosotimissa käytettävistä työkaluista", koska se määritteli ja tutki huolellisesti monia tapoja, joilla tietokoneiden tunkeutujat voisivat murtautua kohdejärjestelmiin .

Työkalut

Käytettävissä on laaja valikoima suojauksen arviointityökaluja , mukaan lukien maksuton, ilmainen ohjelmisto ja kaupallinen ohjelmisto .

Erikoistuneet käyttöjärjestelmäjakelut

Useat käyttöjärjestelmäjakelut on suunnattu tunkeutumistestaukseen. Tällaiset jakelut sisältävät tyypillisesti valmiiksi pakattuja ja valmiiksi määritettyjä työkaluja. Tunkeutumistesterin ei tarvitse etsiä jokaista yksittäistä työkalua, mikä saattaa lisätä riskitekijöitä, kuten käännösvirheitä, riippuvuusongelmia ja kokoonpanovirheitä. Myös lisävälineiden hankkiminen ei välttämättä ole käytännöllistä testaajan yhteydessä.

Merkittäviä tunkeutumistestauskäyttöjärjestelmän esimerkkejä ovat:

• BlackArch perustuu Arch Linuxiin
• BackBox perustuu Ubuntu
• Kali Linux (korvattu BackTrack joulukuussa 2012), joka perustuu Debianiin
• Debianiin perustuva Parrot Security -käyttöjärjestelmä
• Pentoo perustuu Gentoo
• WHAX perustuu Slackware

Monet muut erikoistuneet käyttöjärjestelmät helpottavat tunkeutumistestausta - jokainen on enemmän tai vähemmän omistettu tietylle tunkeutumistestauksen alalle.

Useissa Linux -jakeluissa on tunnettuja käyttöjärjestelmien ja sovellusten haavoittuvuuksia, ja niitä voidaan käyttää kohteina harjoitella. Tällaiset järjestelmät auttavat uusia turvallisuusammattilaisia ​​kokeilemaan uusimpia suojaustyökaluja laboratorioympäristössä. Esimerkkejä ovat Damn Vulnerable Linux (DVL), OWASP Web Testing Environment (WTW) ja Metasploitable.

Ohjelmistokehykset

• BackBox
• Hping
• Metasploit -projekti
• Nessus
• Nmap
• OWASP ZAP
• PYHIMYS
• w3af

Läpäisykokeiden vaiheet

Tunkeutumistestaus voidaan yksinkertaistaa seuraaviin viiteen vaiheeseen:

1. Tiedustelu: Tärkeän tiedon kerääminen kohdejärjestelmästä. Näitä tietoja voidaan käyttää hyökkäämään paremmin kohteeseen. Esimerkiksi avoimen lähdekoodin hakukoneita voidaan käyttää löytämään tietoja, joita voidaan käyttää sosiaalisen suunnittelun hyökkäyksessä.
2. Skannaus: käyttää teknisiä työkaluja hyökkääjän tietoisuuden lisäämiseksi järjestelmästä. Esimerkiksi Nmapin avulla voidaan etsiä avoimia portteja.
3. Käyttöoikeuden saaminen: Hyökkääjä voi hyödyntää tiedustelu- ja skannausvaiheissa kerättyjä tietoja hyödyntämällä kohdejärjestelmää hyödyllisellä kuormalla. Esimerkiksi Metasploitin avulla voidaan automatisoida hyökkäyksiä tunnettuja haavoittuvuuksia vastaan.
4. Pääsyn ylläpitäminen: Pääsyn ylläpitäminen edellyttää toimenpiteitä, jotka liittyvät pysyvään pysymiseen kohdeympäristössä mahdollisimman suuren datan keräämiseksi.
5. Jälkien peittäminen: Hyökkääjän on poistettava kaikki jäljet ​​uhrin järjestelmän vaarantamisesta, kaikenlaiset kerätyt tiedot, lokitapahtumat, jotta ne pysyvät nimettöminä.

Kun hyökkääjä on hyödyntänyt yhtä haavoittuvuutta, he voivat päästä käsiksi muihin koneisiin, joten prosessi toistuu, ts. He etsivät uusia haavoittuvuuksia ja yrittävät hyödyntää niitä. Tätä prosessia kutsutaan kääntymiseksi.

Haavoittuvuudet

Lakitoiminnot, joiden avulla testaaja voi suorittaa laittoman toiminnon, sisältävät suojaamattomat SQL-komennot, muuttamattomat hajautetut salasanat lähdenäkyvissä projekteissa, ihmissuhteet ja vanhat hajautus- tai salaustoiminnot. Yksi virhe ei välttämättä riitä mahdollistamaan kriittisen vakavaa hyväksikäyttöä. Useita tunnettuja vikoja on hyödynnettävä ja hyötykuorma muotoiltava tavalla, joka näyttää kelvolliselta toiminnalta. Metasploit tarjoaa rubiinikirjaston tavallisille tehtäville ja ylläpitää tietokantaa tunnetuista hyödyistä.

Kun työskentelet budjetin ja aikarajoitusten puitteissa, sumennus on yleinen tekniikka, joka löytää haavoittuvuuksia. Sen tavoitteena on saada käsittelemätön virhe satunnaisen syötteen kautta. Testaaja käyttää satunnaista tuloa päästäkseen harvemmin käytettyihin koodipolkuihin. Hyvin tallatut koodipolut ovat yleensä virheettömiä. Virheet ovat hyödyllisiä, koska ne joko paljastavat lisätietoja, kuten HTTP-palvelimen kaatumiset täydellisillä tietojen jäljitysmenetelmillä, tai ovat suoraan käyttökelpoisia, kuten puskurin ylivuotoja .

Kuvittele, että verkkosivustolla on 100 tekstinsyöttökenttää. Jotkut ovat alttiita SQL -injektioille tietyissä merkkijonoissa. Satunnaisten merkkijonojen lähettäminen näihin laatikoihin jonkin aikaa toivottavasti osuu virheelliseen koodipolkuun. Virhe näkyy rikkoutuneena HTML -sivuna, joka on puoliksi renderoitu SQL -virheen vuoksi. Tässä tapauksessa vain tekstiruutuja käsitellään syöttövirroina. Ohjelmistojärjestelmissä on kuitenkin monia mahdollisia syöttövirtoja, kuten eväste- ja istuntotiedot, ladattu tiedostovirta, RPC -kanavat tai muisti. Virheitä voi tapahtua missä tahansa näistä syöttövirroista. Testitavoitteena on ensin saada käsittelemätön virhe ja ymmärtää sitten vika epäonnistuneen testitapauksen perusteella. Testaajat kirjoittavat automaattisen työkalun testatakseen ymmärrystään virheestä, kunnes se on oikea. Sen jälkeen voi tulla ilmeiseksi, kuinka paketoida hyötykuorma niin, että kohdejärjestelmä laukaisee sen suorituksen. Jos tämä ei ole elinkelpoista, voidaan toivoa, että toinen fuzzerin tuottama virhe tuottaa enemmän hedelmää. Fuzzerin käyttö säästää aikaa, koska se ei tarkista riittäviä koodipolkuja, joissa hyväksikäyttö on epätodennäköistä.

Hyötykuorma

Laiton toiminta tai hyötykuorma Metasploit -terminologiassa voi sisältää toimintoja näppäinpainallusten kirjaamiseen, kuvakaappausten ottamiseen, mainosohjelmien asentamiseen , tunnistetietojen varastamiseen, takaovien luomiseen kuorikoodilla tai tietojen muuttamiseen. Jotkut yritykset ylläpitävät suuria tietokantoja tunnetuista hyödyntämisistä ja tarjoavat tuotteita, jotka automaattisesti testaavat kohdejärjestelmiä haavoittuvuuksien varalta:

• Metasploit
• Nessus
• Nmap
• OpenVAS
• W3af

Valtion standardoidut levinneisyyspalvelut

General Services Administration (GSA) on standardoitu "Puhkaisutesti" palvelun valmiiksi seulottu tukipalvelu, jotta puututaan nopeasti mahdolliset heikkoudet, ja pysäytys vastustajat ennen kuin ne vaikuttavat Yhdysvaltain liittovaltion, valtion ja paikallishallinnon. Näitä palveluita kutsutaan yleisesti nimellä HACS (Highly Adaptive Cybersecurity Services) ja ne luetellaan Yhdysvaltain GSA Advantage -sivustolla.

Tämä pyrkimys on tunnistanut keskeiset palveluntarjoajat, jotka on teknisesti tarkastettu ja tarkastettu näiden kehittyneiden tunkeutumispalvelujen tarjoamiseksi. Tämän GSA -palvelun tarkoituksena on parantaa näiden palvelujen nopeaa tilaamista ja käyttöönottoa, vähentää Yhdysvaltojen hallituksen sopimusten päällekkäisyyttä sekä suojella ja tukea Yhdysvaltain infrastruktuuria nopeammin ja tehokkaammin.

132-45A Tunkeutumistestaus on tietoturvatestaus, jossa palvelun arvioijat matkivat todellisia hyökkäyksiä tunnistaakseen menetelmiä sovelluksen, järjestelmän tai verkon suojaominaisuuksien kiertämiseksi. HACS -läpäisytestauspalvelut testaavat tyypillisesti strategisesti organisaation ennaltaehkäisevien ja etsivien turvatoimien tehokkuutta omaisuuden ja tietojen suojaamiseksi. Osana tätä palvelua sertifioidut eettiset hakkerit tekevät tyypillisesti simuloidun hyökkäyksen järjestelmään, järjestelmiin, sovelluksiin tai muuhun ympäristön kohteeseen etsien tietoturvaheikkouksia. Testin jälkeen he tyypillisesti dokumentoivat haavoittuvuudet ja hahmottavat, mitkä puolustukset ovat tehokkaita ja mitä voidaan voittaa tai hyödyntää.

Yhdistyneessä kuningaskunnassa levinneisyyden testauspalvelut standardoidaan ammatillisten elinten kautta yhteistyössä National Cyber ​​Security Centerin kanssa.

Tunkeutumistestien tulokset vaihtelevat käytettyjen standardien ja menetelmien mukaan. On olemassa viisi levinneisyyden testausstandardia: Open Source Security Testing Methodology Manual (OSSTMM), Open Web Application Security Project (OWASP), National Institute of Standards and Technology (NIST00), Information System Security Assessment Framework (ISSAF) ja läpäisykokeiden testausmenetelmät ja Standardit (PTES).

Katso myös

• IT -riski
• ITHC
• Tiikeri joukkue
• Valkoinen hattu (tietokoneen suojaus)

Yleiset viitteet

• Pitkä, Johnny (2011). Google -hakkerointi tunkeutumistestereille , Elsevier
• Lopullinen opas tunkeutumistestaukseen

Viitteet