Міністерство освіти і науки України
Харківський національний університет радіоелектроніки
Факультет Інфокомунікацій .
(повна назва)
Кафедра Інфокомунікаційної інженерії імені В.В. Поповського .
(повна назва)
з дисципліни
На тему: «Отримання інформації від мережевих сервісів та відкритих джерел»
2020 р.
Під етичним хакінгом будемо розуміти проведення законного аудиту безпеки обраної інформаціїної системи на предмет виявлення їх слабких місць, каналів витіку службової інформації, виявлення відкритих портів з метою виправлення виявлених у процесі аудиту недоліків (безпеки або вразливостей).
Найпопулярніший різновид етичного хакинга - програми пошуку помилок за винагороду Bug Bounty. Їм вже більше двадцяти років. Ці сервіси дозволять компаніям своєчасно виявити і усунути баги в своїх продуктах, перш ніж про них дізнаються зловмисники.
Зазвичай це відбувається в такий спосіб: компанія оголошує конкурс на пошук вразливостей в своїх системах і суму винагороди. Після цього інформаційну інфраструктуру (пристрій / програму / додаток) компанії починають промацувати з усіх боків численні експерти (пентестери). У деяких випадках корпорації оголошують про початок закритої програми. В такому випадку організатор сам вибирає потенційних учасників і розсилає їм запрошення та умови участі.
Є дві великі платформи, які допомагають зустрітися дослідникам вразливостей і компаніям, які хочуть перевірити свої сервіси: HackerOne і Bugcrowd. Вони, по суті, агрегує всі програми IT-компаній, а зареєстровані учасники сервісів можуть вибрати те, що їм цікаво. Зараз обидві платформи об'єднують тисячі фахівців з інформаційної безпеки з різних країн. До речі, навіть державні структури використовують подібні сервіси. Наприклад, Пентагон вибрав HackerOne для запуску своєї програми Hack the Pentagon.
Планування та розвідка
Першим етапом етичного злому є визначення обсягу і цілей тесту, в тому числі систем, до яких необхідно звернутися, і методів тестування, які необхідно використовувати, а потім збір відомостей, тобто мережі, поштового сервера і DNS, щоб краще зрозуміти можливі уразливості і як працює мета.
Сканування
Наступним кроком є виконання сканування, при якому Тестувальник може дізнатися, як мета реагує на різні вторгнення. Це може бути зроблено проведенням:
Статичного аналізу (перевірка коду додатка на предмет його поведінки під час роботи)
Динамічного аналізу (перевірка коду програми в робочому стані і надання в реальному часі уявлення про продуктивність програми)
Отримання доступу
Це критично важливий крок, коли атаки веб-додатків, такі як SQL-ін'єкція, міжсайтовий скриптинг і бекдори, використовуються для виявлення вразливостей цілі, а потім їх використання шляхом крадіжки інформації і втручання в привілеї і спостереження за кількістю збитку, який він може завдати.
Підтримка доступу
На цьому етапі тестування виявлена уразливість використовується в якості постійної присутності в системі експлойта протягом тривалого часу з метою крадіжки конфіденційної інформації або поширення шкідливого коду всередині мережі, швидко отримуючи доступ до сервера.
Аналіз і конфігурація WAF
Останній крок-це компіляція результату шляхом аналізу і документування використаних вразливостей, доступу до даних і часу, який тестер може залишатися непоміченим в системі.
Зазвичай аудит інформації проводять за такою схемою
1 – зустріч клієнта з замовником та обговорюються цілі та засоби проведення аудиту
2 – обов’язково підписується договорів про нерозголошення про виявленні недоліки, та договір про проведення послуг
3 – складається план проведення тестів безпеки який узгоджується з клієнтом
4 – проводяться пентести
5 – клієнту надається звіт в якому виконано аналіз, результат про проведення аналізу
Зазвичай аудит безпеки інформаційної системи можна поділити проведення пентестів на етапи:
Збір інформації за допомогою ресурсів глобальної мережі
Сканування системи
Отримання доступу, експлуатація
Закріплення в системі
Знищення слідів перебування
Пасивний збір інформації про систему
Умовно збір інформації про досліджувальну систему можна поділити на активну та пасивну фазу:
Пасивна фаза: метою цієї фази є зібрання всієї необхідної інформації про об’єкт дослідження з відкритих доступних джерел.
До пасивного збору інформації можна віднести сніфінг (процес перехоплення інформації яка надходить на наш мережевий інтерфейс і при цьому ми самі нічого не надсилаємо
Активною фазою збору інформації будемо безпосередньо вважати взаємодію з інформаціїною системою за допомогою програм роботу яких може зафіксувати система. Скоріш за все, така активність буде зафіксована цільовою системою і все це буде відображено в журналах аудиту
Використовувані аудиторами методи аналізу даних визначаються вибраними підходами до проведення аудиту, які можуть істотно різнитися.
Перший підхід, найскладніший, базується на аналізі ризиків. Спираючись на методи аналізу ризиків, аудитор визначає для обстежуваної ІС індивідуальний набір вимог безпеки, в найбільшою мірою враховує особливості даної ІС, середовища її функціонування і існуючі в даному середовищі загрози безпеки.
Другий підхід, самий практичний, спирається на використання стандартів інформаційної безпеки. Стандарти визначають базовий набір вимог безпеки для широкого класу ІС, який формується в результаті узагальнення світової практики. Стандарти можуть визначати різні набори вимог безпеки, в залежності від рівня захищеності ІС, який потрібно забезпечити, її приналежності (комерційна організація або державна установа), а також призначення (фінанси, промисловість, зв'язок і т. П.). Від аудитора в даному випадку потрібно правильно визначити набір вимог стандарту, відповідність яким потрібно забезпечити.
Третій підхід, найбільш ефективний, передбачає комбінування перших двох. Базовий набір вимог безпеки, що пред'являються до ІС, визначається стандартом. Додаткові вимоги, в максимальному ступені враховують особливості функціонування даної ІС, формуються на основі аналізу ризиків.
Рекомендації, що видаються аудитором за результатами аналізу стану ІС, визначаються використовуваним підходом, особливостями обстежуваної ІС, станом справ з інформаційною безпекою і ступенем деталізації, використовуваної при проведенні аудиту. У будь-якому випадку, рекомендації аудитора повинні бути конкретними і застосовними до даної ІС, економічно обґрунтованими, аргументованими (підкріпленими результатами аналізу) і відсортованими за ступенем важливості. При цьому заходи щодо забезпечення захисту організаційного рівня практично завжди мають пріоритет над конкретними програмно-технічними методами захисту. У той же час наївно очікувати від аудитора, як результат проведення аудиту, видачі технічного проекту підсистеми інформаційної безпеки, або детальних рекомендацій щодо впровадження конкретних програмно-технічних засобів захисту інформації. Це вимагає більш детального опрацювання конкретних питань організації захисту, хоча внутрішні аудитори можуть приймати в цих роботах найактивнішу участь.
Аудиторський звіт є основним результатом проведення аудиту. Його якість характеризує якість роботи аудитора. Він повинен, принаймні, містити опис цілей проведення аудиту, характеристику досліджуємо ІС, вказівку кордонів проведення аудиту і використовуваних методів, результати аналізу даних аудиту, висновки, узагальнюючі ці результати і містять оцінку рівня захищеності АС або відповідність її вимогам стандартів, і, звичайно , рекомендації аудитора щодо усунення існуючих недоліків та вдосконалення системи захисту.
Пасивна фаза: метою цієї фази є зібрання всієї необхідної інформації про об’єкт дослідження з відкритих доступних джерел.
До пасивного збору інформації можна віднести сніфінг (процес перехоплення інформації яка надходить на наш мережевий інтерфейс і при цьому ми самі нічого не надсилаємо
Використовуємо інші джерела інформації для збору інформації, такий спосіб допоможе дати нам багато корисного: ip-адреса, домени і під-домни, розміщення серверів, хостинг і т.д. пасивний метод збору інформації характерний тим, що його етапи неможливо виявити, тому що на практиці вони не викликають ніяких підозр, при цьому фактично неможливо визначення вузла, з якого проводиться пасивний збір інформації. За допомогою пасивного методу збору інформації в більшості випадків можна скласти приблизну карту вузлів зовнішнього периметра з припущеннями про їх ролі, зібрати додаткову інформацію про організацію, контактну інформацію про співробітників і багато іншої корисної інформації для атакуючого.
Активною фазою збору інформації будемо безпосередньо вважати взаємодію з інформаціїною системою за допомогою програм роботу яких може зафіксувати система. Скоріш за все, така активність буде зафіксована цільовою системою і все це буде відображено в журналах аудиту
.
Активний збір інформації передбачає відправку вузлу (сервісу, службі) деяких запитів і подальшу їх обробку. Прикладом подібних запитів можуть бути, наприклад, запити до DNS сервера на перенесення обслуговується їм зони. Подібні дії в більшості випадків фіксуються в журналах і можуть бути проаналізовані системами виявлення вторгнень і відповідальними особами (адміністраторами, співробітниками служби інформаційної безпеки) як в режимі реального часу, так і після закінчення деякого часу. По суті, використання сканерів вразливостей (безпеки) також є одним із способів здійснення активного збору інформації.
Сканування - це набір процедур, що дозволяють ідентифікувати вузли, порти і сервіси цільової системи. Сканування мережі дозволяє зловмисникові зібрати профіль атакується машини.
Згідно керівництву по етичній хаккінгу (Ethical Hacking and Countermeasures EC-Council) розрізняють такі типи сканування:
мережеве сканування - визначення знаходяться в мережі вузлів;
сканування портів - виявлення відкритих портів і функціонуючих сервісів;
сканування безпеки системи - виявлення відомих вразливостей системи.
Найпростіший спосіб сканування - ICMP scanning. Принцип роботи заснований на протоколі ICMP, і такий тип сканування дозволяє з'ясувати «живі» вузли в мережі і побудувати схему мережі з переліком її вузлів. Суть методу полягає у відправці ICMP-запитів вузлів мережі, якщо комп'ютер або інший пристрій, що працює зі стеком протоколів TCP / IP, активно, то буде відправлений відповідь. Це так званий ping sweep або ICMP sweep. Існує величезна кількість коштів, що дозволяють виконати подібне сканування.
Nmap — это свободная утилита, предназначенная для разнообразного настраиваемого сканирования IP-сетей с любым количеством объектов в системе, определения состояния объектов сканируемой сети (а именно портов и соответствующих им служб). Изначально программа была реализована для систем UNIX, но сейчас доступны версии для множества операционных систем. Nmap использует множество различных методов сканирования, таких как UDP, TCP (connect), TCP SYN (полуоткрытое), FTP-proxy (прорыв через ftp), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN- и NULL-сканирование. Nmap также поддерживает большой набор дополнительных возможностей, а именно: определение операционной системы удалённого хоста с использованием отпечатков стека TCP/IP, «невидимое» сканирование, динамическое вычисление времени задержки и повтор передачи пакетов, параллельное сканирование, определение неактивных хостов методом параллельного ping-опроса, сканирование с использованием ложных хостов, определение наличия пакетных фильтров, прямое (без использования portmapper) RPC-сканирование, сканирование с использованием IP-фрагментации, быстрый поиск уязвимостей SQL Injection, а также произвольное указание IP-адресов и номеров портов сканируемых сетей. В последних версиях добавлена возможность написания произвольных сценариев (скриптов) на языке программирования Lua