Wiadomości

Testy penetracyjne pomogą w obronie przed cyberatakami

26 stycznia 2012 09:58,

.. » Bezpieczeństwo » Bezpieczeństwo sieci » Hakerzy/Cyberterroryzm

TAGI: testy penetracyjne, audyt bezpieczeństwa

Nawet najbardziej zaawansowane zabezpieczenia okażą się nieskuteczne, gdy wykorzystywane w codziennej pracy systemy informatyczne są dziurawe. Prócz aktualizowania oprogramowania warto też sprawdzić jego podatność na ataki.

Wokół cyberataków oraz sposobów obrony przed nimi narosło wiele mitów. Warto zacząć od terminu "haker". Jego dawne znaczenie miało pozytywny wydźwięk. Tak określano osobę, która potrafiła rozwiązać jakiś problem (i niekoniecznie informatyczny) w sposób nieszablonowy. Współcześni hakerzy, reprezentując właśnie takie podejście, zaczęli znajdować luki w różnych systemach - w tym informatycznych. Efekty ich pracy szybko zaczęli wykorzystywać przestępcy. W ten oto sposób media dość szybko zaczęły utożsamiać hakerów z przestępcami.

Polecamy: Testy penetracyjne - kilka ciekawych narzędzi

Hakerzy (ci źli) wykorzystują znane luki w systemach, najczęściej nie załatane ze względu na brak wiedzy, z lenistwa czy też - po prostu - zaniedbań osób odpowiedzialnych za tworzenie i utrzymanie systemu informatycznego. Cyberprzestępcy wolą polegać więc na "podatnościach w zachowaniu ludzkim" niż poświęcać czas oraz zasoby na pracochłonne i niepewne wyszukiwanie nowych luk w systemach i aplikacjach. Wyjątkiem są tzw. APT (Advanced Persistent Threat) - grupy wysoko wykwalifikowanych i dobrze opłacanych specjalistów od włamań do systemów informatycznych, często sponsorowane przez organizacje rządowe. Mimo, że ich dokonania są bardzo spektakularne (np. ataki na Google, RSA, agencje rządowe itd.), stanowią zaledwie ułamek wszystkich przestępstw.

Polecamy: Bezpieczeństwo IT: 10 przełomowych osiągnięć

W zdecydowanej większości przypadków ataki typu deface (czyli podmiana witryny) spowodowane są podstawowymi błędami w sztuce programowania. Brak walidacji danych wejściowych może umożliwić wstrzyknięcie kodu SQL (SQL-injection), zaś atak słownikowy pozwoli łatwo złamać wiele słabych haseł. A wystarczyłoby wymusić odpowiednią złożoność hasła na poziomie aplikacji.

Nie trzeba być specjalistą

Pojawiają się często opinie, że aby ochronić się przed atakami, trzeba być specjalistą od zabezpieczeń. To kolejny mit. Aby znacznie ograniczyć zagrożenie wystarczy przestrzeganie przez programistów dobrych praktyk bezpiecznego tworzenia kodu, odpowiedzialne podejście do problemów bezpieczeństwa IT przez administratorów, a przez użytkowników końcowych rozsądnego podejścia do surfowania w internecie.

Jak już wspomniano, w obronie przed atakami hakerskimi (oprócz zabezpieczenia serwerów, systemów itd.) najistotniejsze jest bezpieczeństwo aplikacji. Należy przy tym pamiętać, że bezpieczeństwo jest procesem ciągłym - coś co jest dzisiaj bezpieczne, jutro może okazać się podatne na ataki. Podatność systemów informatycznych na ataki możemy weryfikować przez audyty i testy bezpieczeństwa (testy penetracyjne). Różnica między nimi polega na tym, że audyt sprowadza się do sprawdzenia systemu zgodnie z wytycznymi czy też normami, natomiast test bezpieczeństwa (w szczególności typu black-box) ma na celu weryfikację zabezpieczeń poprzez symulację działań potencjalnego agresora.

Polecamy: Testy penetracyjne

Obecnie dostępnych jest wiele narzędzi (darmowych i płatnych), pozwalających przeskanować aplikacje i usługi systemowe pod kątem występowania znanych podatności. W zasadzie dysponując relatywnie niewielką wiedzą, można wykonać we własnym zakresie podstawowy test bezpieczeństwa. Trudno jednak wyobrazić sobie przeprowadzenie profesjonalnych testów bezpieczeństwa bez kompleksowego zrozumienia różnych dziedzin technologii informacyjnych.

Czarne, białe i szare…

Wyróżniamy trzy typy testów bezpieczeństwa. Pierwszym z nich jest black-box, który charakteryzuje się tym, że przed rozpoczęciem swoich prac tester nie posiada wiedzy dotyczącej zdalnego systemu. "Czarna skrzynka" najwierniej odzwierciedla więc typowe działania hakera, który nie zna środowiska (systemów operacyjnych, działających w systemie usług i aplikacji, topologii sieci itp.). Drugim rodzajem są testy white-box, gdzie tester posiada szczegółowe informacje o badanym systemie (np. modele urządzeń sieciowych, wersje serwerów webowych, aplikacji, systemów operacyjnych, rodzaje baz danych, typy zastosowanych ścian ogniowych itp.). Ten typ testów pozwala na przeprowadzenie ataku odzwierciedlającego czynności wykonywane przez napastnika posiadającego szeroką wiedzę na temat celu ataku (np. APT). Połączenie obydwu technik jest znane jako test grey-box - czyli pen-tester "coś wie" na początku, ale za mało, aby można było to zakwalifikować jako white-box.

1 2 3 dalej »