Jak cyberprzestępcy włamują się do systemów? Jak można się przed nimi chronić? Etyczni hakerzy mogą ci to pokazać za pomocą pentestów.
Nie ma czegoś takiego jak całkowicie bezpieczny system. Testy penetracyjne, w skrócie pentesting, to specjalistyczna procedura testowa obejmująca skanowanie, ocena i wzmacnianie wszystkich elementów składowych systemu informatycznego przed potencjalnym cyberatakiem napastowanie. Korporacje korzystają z witryn typu bug bounty, aby wykrywać luki w zabezpieczeniach swoich systemów. Specjaliści ds. cyberbezpieczeństwa, którzy są ekspertami w testach penetracyjnych, odkrywają i ujawniają wady organizacyjne zgodnie z prawem za pomocą systemów nagród za błędy. Jak więc przebiega ten proces?
1. Pasywne gromadzenie i śledzenie informacji
W pierwszej fazie testu bug bounty i testu penetracyjnego tester musi zebrać informacje o systemie docelowym. Ponieważ istnieje wiele metod ataków i testów, tester penetracyjny musi ustalić priorytety na podstawie zebranych informacji, aby określić najbardziej odpowiednią metodę testową.
Ten krok obejmuje wyodrębnienie cennych szczegółów dotyczących infrastruktury systemu docelowego, takich jak nazwy domen, bloki sieciowe, routery i adresy IP w jego zasięgu. Ponadto należy zebrać wszelkie istotne informacje, które mogłyby zwiększyć skuteczność ataku, takie jak dane pracowników i numery telefonów.
Dane uzyskane z otwartych źródeł podczas tej fazy mogą zaskakująco dostarczyć krytycznych szczegółów. Aby to osiągnąć, etyczny haker musi wykorzystać różne źródła, ze szczególnym uwzględnieniem strony internetowej docelowej instytucji i platform mediów społecznościowych. Poprzez skrupulatne gromadzenie tych informacji, tester kładzie podwaliny pod udane przedsięwzięcie typu bug bounty.
Jednak większość organizacji nakłada różne zasady na testera penetracji podczas nagrody za błędy. Nieodstępowanie od tych zasad jest istotne z prawnego punktu widzenia.
2. Aktywne zbieranie i skanowanie informacji
Tester penetracji wykrywa, które aktywne i pasywne urządzenia działają w zakresie adresów IP, zazwyczaj poprzez pasywne zbieranie danych podczas nagrody za błędy. Za pomocą informacji uzyskanych podczas tego pasywnego zbierania pentester musi określić ścieżkę — musi ustalić priorytety i dokładnie określić, które testy są potrzebne.
Na tym etapie nieuniknione jest, że haker uzyska informacje o systemie operacyjnym (OS), otwartych portach i usługach oraz informacje o ich wersji w działających systemach.
Ponadto, jeśli organizacja ubiegająca się o nagrodę za błąd zgodnie z prawem zezwala na testera penetracyjnego do monitorowania ruchu sieciowego, można zebrać przynajmniej tyle krytycznych informacji o infrastrukturze systemu. Jednak większość organizacji nie chce udzielić tego pozwolenia. W takiej sytuacji tester penetracyjny nie może wykraczać poza zasady.
3. Etap analizy i testowania
Na tym etapie tester penetracyjny, po ustaleniu, jak docelowa aplikacja zareaguje na różne włamania próby, próbuje ustanowić aktywne połączenia z systemami, które wykrywa jako żywe i próbuje nawiązać bezpośrednie zapytania. Innymi słowy, jest to etap, w którym etyczny haker wchodzi w interakcję z systemem docelowym, skutecznie korzystając z usług takich jak FTP, Netcat i Telnet.
Chociaż na tym etapie zawodzi, głównym celem jest tutaj przetestowanie dane uzyskane w procesie zbierania informacji kroki i robić notatki na ten temat.
4. Próba manipulacji i wyzysku
Tester penetracyjny gromadzi wszystkie dane zebrane w poprzednich procesach w jednym celu: próbując uzyskać dostęp do systemu docelowego w taki sam sposób, jak prawdziwy, złośliwy haker zrobiłbym. Dlatego ten krok jest tak krytyczny. Ponieważ podczas projektowania nagród za błędy penetratorzy powinni myśleć jak wrogo nastawieni hakerzy.
Na tym etapie pentester próbuje zinfiltrować system, wykorzystując system operacyjny działający w systemie docelowym, otwarte porty i usług obsługujących te porty oraz metod eksploatacji, które można zastosować w ich świetle wersje. Ponieważ portale i aplikacje internetowe składają się z tak dużej ilości kodu i tak wielu bibliotek, złośliwy haker ma większy obszar do zaatakowania. Pod tym względem dobry tester penetracyjny powinien rozważyć wszystkie możliwości i wdrożyć wszystkie możliwe wektory ataku dozwolone w ramach zasad.
Skuteczne wykorzystanie istniejących metod eksploatacji wymaga poważnej wiedzy i doświadczenia elastycznie, bez uszkadzania systemu i bez pozostawiania śladów w trakcie przejmowania system. Ten etap testu penetracyjnego jest zatem najbardziej krytycznym krokiem. Aby zespoły informatyków śledczych mogły interweniować podczas ewentualnego ataku, cyberatakujący musi podążać za pozostawionymi śladami.
5. Próba podniesienia uprawnień
System jest tak silny, jak jego najsłabsze ogniwo. Jeśli etycznemu hakerowi uda się uzyskać dostęp do systemu, zwykle loguje się do systemu jako użytkownik o niskich uprawnieniach. Na tym etapie tester penetracji powinien potrzebujesz uprawnień na poziomie administratora, wykorzystywanie luk w systemie operacyjnym lub środowisku.
Następnie powinni dążyć do przejęcia innych urządzeń w środowisku sieciowym z tymi dodatkowymi uprawnieniami jakie zdobyli, a docelowo uprawnienia użytkowników najwyższego poziomu, takie jak Administrator domeny czy Baza Danych Administrator.
6. Raportowanie i prezentowanie
Po zakończeniu testów penetracyjnych i etapów nagród za błędy, tester penetracyjny lub łowca błędów musi przedstawić luki w zabezpieczeniach, które wykrytych w systemie docelowym, podjętych krokach i sposobach wykorzystania tych luk w organizacji ze szczegółowym raport. Powinno to obejmować informacje, takie jak zrzuty ekranu, przykładowe kody, etapy ataku oraz informacje o tym, co może spowodować ta luka.
Raport końcowy powinien również zawierać propozycję rozwiązania, jak zlikwidować każdą lukę w zabezpieczeniach. Czułość i niezależność testów penetracyjnych powinna pozostać tajemnicą. Etyczny haker nigdy nie powinien udostępniać poufnych informacji uzyskanych na tym etapie i nigdy nie powinien nadużywać tych informacji poprzez podawanie dezinformacji, ponieważ jest to ogólnie nielegalne.
Dlaczego test penetracyjny jest ważny?
Ostatecznym celem testów penetracyjnych jest ujawnienie, jak bezpieczna jest infrastruktura systemowa z perspektywy atakującego i usunięcie wszelkich luk w zabezpieczeniach. Oprócz identyfikowania słabych punktów w stanie bezpieczeństwa organizacji, mierzy również znaczenie jej polityki bezpieczeństwa, testowanie świadomości pracowników w kwestiach bezpieczeństwa oraz określanie, w jakim stopniu firma wdrożyła cyberbezpieczeństwo zasady.
Coraz większego znaczenia nabierają testy penetracyjne. Do analizy bezpieczeństwa w infrastrukturze struktur korporacyjnych i aplikacjach osobistych niezbędne jest wsparcie certyfikowanych testerów etycznej penetracji.
