-
BIULETYN INSTYTUTU AUTOMATYKI I ROBOTYKI NR 00, 2007
1
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Adam E. PATKOWSKI Zakad Systemw Komputerowych, Instytut
Teleinformatyki i Automatyki WAT,
ul. Kaliskiego 2, 00-908 Warszawa
STRESZCZENIE: Artyku przestawia sformalizowan metodyk
prowadzenia testw penetracyjnych systemw teleinformatycznych.
Metodyka P-PEN moe zosta wykorzystana w samodzielnych
przedsiwziciach testw penetracyjnych, moe te zosta uyta w ramach
szerszych przedsiwzi, w szczeglnoci stanowi uzupenienie
opublikowanej w 2003 r. metodyki LP-A w prowadzonych zgodnie z t
metodyk przedsiwziciach audytu bezpieczestwa
teleinformatycznego.
Niniejszy artyku opisuje metodyk P-PEN wykonywania testw
penetracyjnych przedsiwzicia zmierzajcego do zidentyfikowania
podatnoci (sabych punktw) w badanych systemach teleinformatycznych
prowadzonego ze znacznym udziaem eksperymentw.
Na wstpie warto zauway, e minimalistyczne rozumienie pojcia
testy penetracyjne to postpowanie dokadnie jak hacker. Ortodoksi bd
wrcz uwaali, e w punkcie startowym testw nie powinna by dostpna
nawet minimalna wiedza o atakowanym obiekcie, a wszystkie dziaania
powinny odbywa si ogln metod black box. To podejcie ma swoje
zalety: jest ciekawym wyzwaniem intelektualnym, wietn zabaw,
powinno by wysoko patne, fascynujce jeli zrobi si z tego widowisko,
ale uytecznych informacji daje niewiele. Co wicej nie odpowiada
nawet deklarowanemu modelowi postpowania jak hacker.
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 2
Z drugiej strony, w wysoce uytecznych publikacjach, uznawanych
za podstawowe i jednoczenie odpowiadajce obecnemu stanowi
technologii (np. [3], [4] lub [5]), widoczna jest tendencja do
opatrywania nazw testy penetracyjne przedsiwzi w istocie
stanowicych ocen bezpieczestwa teleinformatycznego, pod warunkiem,
e owa ocena bdzie zawieraa dostatecznie obszerny udzia bada
technicznych.
Jak si wydaje, takie szerokie uycie nazwy testw penetracyjnych w
miejsce znacznie wciwszego audytu lub badania bezpieczestwa
teleinformatycznego jest to naturalna reakcja rodowiska inynierw na
napyw na rynek usug oceny bezpieczestwa bezrobotnych ostatnio
audytorw jakoci, bez kwalifikacji technicznych, co owocuje
papierowymi audytami oferowanymi pod nazw audyt bezpieczestwa
wanie. Papierowe audyty s dobrze przyjmowane przez menederw, bo
zapewniaj tanio adne certyfikaty, wynik jest zwykle zgodny z
podanym, a zalecenia pokontrolne nie wymagaj zakupw drogiego
sprztu, tylko co najwyej wytworzenia zaskakujco zrozumiaych dla
menederw dokumentw. Poza tym raporty pisane s zrozumiaym jzykiem, a
nie wpdzajcym w kompleksy slangiem inynierw. Nazwa testy
penetracyjne jednoznacznie sygnalizuje wyrafinowane badania
techniczne i raczej nie zostanie przejta jako nazwa papierowej
usugi.
Dalej testy penetracyjne rozwaane s jako jeden ze sposobw
zbierania informacji w ramach badania odpornoci/podatnoci (lub
szerzej bezpieczestwa) systemw komputerowych.
Cechy wyrniajc testy penetracyjne spord innych rodzajw
poszukiwania podatnoci to:
potwierdzanie zidentyfikowanych podatnoci przez precyzyjne
wskazanie (czsto poparte pokazem) skutecznych atakw owe podatnoci
wykorzystujcych;
tradycyjna przewaga technik heurystycznych, opartych zwykle na
osobistym dowiadczeniu realizujcych badania ekspertw;
ukrywanie tych sposobw przez firmy i ekspertw wynikajce z
traktowania ich jako know-how nie podlegajcego ochronie
prawnej.
Doda naley, e istotn konsekwencj tych cech jest wymaganie
wysokich kwalifikacji wykonawcw. Testy penetracyjne s postrzegane
nawet w rodowisku specjalistw jako zajcie blisze sztuce, ni
rzemiosu. Dla zleceniodawcy oznacza to niestety cakowity brak
kontroli nad tym, co waciwie zrobi wykonawca testw penetracyjnych,
a take, co znacznie gorsze, brak informacji zarwno o wnikliwoci,
jak i skutecznoci bada.
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 3
W miar rozwoju dziedzin rozpoznawania podatnoci, rozpoznawane
coraz nowe sposoby okazyway si niezbyt skomplikowane. Zauwaono, e
mona zrezygnowa ze wskazywania dokadnych sposobw wykorzystania
podatnoci wystarczao stwierdzi pojedyncze objawy lub przesanki
wystpowania podatnoci i na tej podstawie wnioskowa o obecnoci
podatnoci i koniecznoci przeprowadzenia zabiegw naprawczych. Na
rynku pojawiy si programy poddajce przegldowi rne atrybuty systemw
komputerowych i w rezultacie raportujce wystpujce w owych systemach
podatnoci. Takie programy to rnego rodzaju skanery bezpieczestwa,
konfiguracji, zainstalowanego oprogramowania, portw itp. nazwano
automatycznymi narzdziami rozpoznawana podatnoci. Obecnie mona
zauway, e przedstawiciele firm zajmujcych si testami penetracyjnymi
zwykle zaliczaj badania za pomoc automatycznych narzdzi do
podstawowych testw penetracyjnych czasem nawet s to jedyne
oferowane badania.
W 2003 roku opublikowano metodyk LP-A prowadzenia audytu
bezpieczestwa teleinformatycznego, ktra spotkaa si z przychylnym
przyjciem rodowiska specjalistw zajmujcych si bezpieczestwem
informacji. Jedn z cech wyrniajcych tej metodyki jest znaczny
nacisk pooony na tzw. ciek techniczn bada, obejmujce take testy
penetracyjne, rozumiane do wsko jako badania moliwoci wykorzystania
podatnoci prowadzone wycznie metodami heurystycznymi. W metodyce
tej jako jeden z procesw ujto uzupeniajce testy penetracyjne. Sowo
uzupeniajce wynika tu z poprzedzania testw penetracyjnych,
wyczonych jako samodzielny proces, obowizkowymi badaniami
prowadzonymi za pomoc skanerw, wyrywkowymi badaniami konfiguracji
oraz badaniami zabezpiecze fizycznych i technicznych.
Opisana w niniejszym opracowaniu metodyka P-PEN moe zosta
wykorzystana w samodzielnych przedsiwziciach testw penetracyjnych,
moe te zosta uyta w ramach szerszych przedsiwzi, w szczeglnoci
stanowi uzupenienie LP-A w prowadzonych zgodnie z t metodyk
przedsiwziciach audytu bezpieczestwa teleinformatycznego.
Metodyka P-PEN zostaa sformuowana dla osignicia nastpujcych
celw:
minimalizacji szans pominicia ktrejkolwiek ze znanych podatnoci;
pozostawienia ekspertom swobody w dziaaniu przy jednoczesnym ujciu
ich
dziaania w moliwie cise formalne ramy;
uzupenienia (wczeniej opublikowanej) metodyki LP-A audytu
bezpieczestwa teleinformatycznego o moliwie sformalizowany opis
procesu prowadzenia testw penetracyjnych.
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 4
Gwna idea metodyki P-PEN polega na przeprowadzeniu prac w trzech
etapach: analizy, waciwych bada i syntezy (dalej nazywanej
integracj wynikw).
Etap analizy rozpoczyna si po dobraniu ekipy specjalistw o
kwalifikacjach odpowiednich do elementw skadowych systemu, w tym i
jego zabezpiecze. W pocztkowej fazie przedsiwzicia maj oni za
zadanie opisa moliwe scenariusze atakw na zasoby badanego obiektu
(zwykle systemu teleinformatycznego). Rozsdnym sposobem formuowania
zbioru tych atakw jest organizacja moderowanej sesji, w ktrej
przegldany jest: powinien wyczerpywa pewien zadany zbir kategorii
atakw (por. Rozdzia 7). W praktyce okazuje si, e eksperci traktuj
ten zbir kategorii raczej jako zbir hase, nie zmienia to jednak
faktu, e zmuszeni do zastanowienia i wypowiedzi na kade z nich,
dokonuj zupenego przegldu zagroe. Naley podkreli, e w ramach
przegldu eksperci maj za zadanie dla kadego hasa oceni moliwo
skojarzenia z nim jakiego zoonego (kombinowanego) ataku,
prowadzcego do konkretnego celu. Inaczej mwic musz oni sformuowa
opisy takich atakw kombinowanych, ktre prowadz do atrakcyjnego z
punktu widzenia napastnika lub szkodliwego z punktu widzenia
Zleceniodawcy, celu. Zbir takich opisanych atakw nazwano list
rozwaanych atakw kombinowanych. Naley podkreli, e eksperci w
trakcie tej fazy dziaania maj okazj do wykazania si sw sztuk i
pomysowoci. Jedynym ograniczeniem ich inwencji jest konieczno
rozwaania kadej z pozycji zadanego wstpnie zbioru ujtego metodyce w
oddzielnym rozdziale (Rozdzia 7 Kategorie atakw). Ten rozdzia zosta
sformuowany na podstawie wasnych dowiadcze, gdy zawarto adnej z
uznanych fundamentalnych publikacji, traktujcych o metodach
prowadzenia bada technicznych bezpieczestwa (zwykle pod nazw testw
penetracyjnych: [1], [3], [4] oraz [5]) nie okazaa si uyteczna w
praktyce jako wzorzec zbioru kategorii atakw. Wykaz kategorii atakw
ujty w metodyce nie jest zamknity, nie jest te klasyfikacj, ani
nawet podziaem (rne pozycje mona uzna za podstaw do wywiedzenia
takich samych atakw kombinowanych), ma jednak niebagateln zalet
sprawdza si w praktyce zespow ekspertw o bardzo rnym skadzie. Wykaz
ten wymaga rwnie przed uyciem przegldu i cignicia najnowszych tzw.
exploitw ze wskazanych miejsc ich publikacji w Internecie.
W dalszej czci analizy, po sformuowaniu wykazu moliwych atakw,
postpowanie jest ju rutynowe: kady z opisanych atakw kombinowanych
zostaje rozpisany na poszczeglne elementarne techniki skadowe (wraz
z miejscem i czasem uycia w ataku), po czym dla kadej techniki
naley zapisa jaki jest objaw lub przesanka rozpoznawana w badanym
systemie wskazuje na moliwe powodzenie tej techniki. Objawem moe by
zarwno pewien zapis
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 5
konfiguracyjny, jak i pozytywny wynik pewnego wskazanego
testu-ataku. Tak powstaje spis objaww i miejsc ich wystpowania,
ktry koczy faz analizy.
Naley zwrci uwag, na jeszcze jeden spodziewany, wany krok w
etapie analizy: okrelenie pewnych fragmentw badanego obiektu
(systemu teleinformatycznego), ktre odpowiadaj zakresom stosowania
poszczeglnych kategorii atakw. W praktyce okazuje si, e dla
ekspertw dokonujcych przegldu kategorii atakw po zapoznaniu si z
systemem Zleceniodawcy (obiektem bada), okrelanie takich fragmentw,
do ktrych stosuje si kada z kolejnych kategorii, nie stanowi
problemu. Moderator sesji przegldu kategorii atakw (jeli taka jest
wykonywana) powinien tylko zadba o to, aby pytanie czy jest jeszcze
jaki fragment systemu, dla ktrego rozpatrywana kategoria mogaby by
skuteczna? pojawiao si systematycznie.
Drug faz w metodyce s waciwe testy: sprawdzenie, czy kady z
ujtych w spisie objaww w systemie wystpuje, czy te nie. Na postawie
takiego spisu objaww i miejsc ich wystpowania z etapu analizy mona
wygenerowa rozsdny plan testw penetracyjnych, grupujc takie pozycje
spisu, ktre mog zosta sprawdzone przez pojedynczy zesp prowadzcy
badania z jednego miejsca w jednej dziedzinie.
Po przeprowadzeniu bada moliwe jest dla kadej pozycji spisu
techniki ataku okrelenie szans na powodzenie i wskazania dla
poprawy rozpoznanego stanu, naley jednak podkreli, e jeli takie
dokumenty s oczekiwane, to przedsiwzicie, w ramach ktrego
prowadzone s testy penetracyjne nie jest regularnym audytem. W
ramach prezentowanej metodyki nie przewiduje si bada black box,
natomiast dla penego obrazu zagroe, wrd bada przeprowadza si
badania osigalnoci informacji na temat atakowanego obiektu.
Ostatnim etapem metodyki jest etap syntezy. W wyniku etapu
badania otrzymuje si informacje o skutecznoci elementarnych technik
atakw. Odwracajc postpowanie z analizy, mona zatem rozstrzygn, czy
kady ze sformuowanych na pocztku atakw kombinowanych bdzie
skuteczny, czy te nie. Kocowy raport jest prost konsekwencj
wnioskowania o zagroeniach dla zasobw Zleceniodawcy rozwaanymi
atakami. Dodatkowo formuuje si dokadne scenariusze (take i czarne
scenariusze) rozpoznanych skutecznych atakw. Zwykle bd to po prostu
uszczegowione scenariusze sformuowane ju bardziej oglnie na etapie
analizy, a prowadzce do sukcesu w badanym systemie.
Na koniec mona przeprowadzi demonstracj skutecznych atakw, co
jednak trudno uzna za dziaanie profesjonalne pozytywne efekty da
tylko jako dziaanie z zakresu ksztatowania wiadomoci, co jest
efektywne wycznie w zakresie podnoszenia odpornoci na ataki
socjotechniczne i to tylko w
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 6
rodowiskach o wysokich kwalifikacjach informatycznych. W innych
rodowiskach taki eksperyment demonstracyjny pozostanie kompletnie
niezrozumiany, a sprowokuje pewien typ pracownikw do
niebezpiecznych zabaw w hackerw.
W ramach metodyki P-PEN nie uwzgldnia si explicite
systematycznych bada kodu rdowego oprogramowania badanego systemu
ani wnikliwych inspekcji jego kodw binarnych (moduw adowalnych). Na
specjalne yczenie Zleceniodawcy, przy okazji testw penetracyjnych
moliwe jest prowadzenie poszukiwa objaww incydentu w toku lub ladw
wczeniejszych przestpstw.
Metodyk P-PEN sformuowano w ten sposb, aby moga zosta
wykorzystana zarwno jako jeden z procesw metodyki LP-A jak i jako
metodyka prowadzenia samodzielnego przedsiwzicia. W przypadku
prowadzenia testw penetracyjnych jako samodzielnego przedsiwzicia,
formalnie rzecz biorc badania zabezpiecze F-T oraz badania
zautomatyzowanymi narzdziami prowadzone s rwnolegle z badaniami
(waciwymi testami penetracyjnych) prowadzonymi technikami lecymi w
dziedzinie teleinformatyki.
Podobnie jak w przypadku metodyki LP-A, tak i dla P-PEN na
podstawie informacji zamieszczonych w opisie metodyki mona oceni
zoono procesw metodyki, rozpozna zalenoci pomidzy wytwarzanymi
dokumentami, dobra skad zespou wykonawczego oraz uoy plan
przedsiwzicia, przewidujc jego czas trwania i koszty.
W dalszej czci artykuu zaprezentowano metodyk P-PEN w formie
oddzielnego, zamknitego dokumentu, stanowicego jej formalny zapis.
Na pewien niedostatek elegancji formalnej cierpi Rozdzia 7
(Kategorie atakw). By on jednak formuowany na potrzeby pewnych prac
i wykorzystania w praktyce jako wzorca zbioru kategorii atakw, a
nie jako wyczerpujca klasyfikacja na jakim ustalonym poziomie
oglnoci. Std otwarta posta listy, w ktrej w kadym punkcie zawarto
pozycj () oznaczajc inne.
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 7
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Spis treci Wykaz uywanych terminw i symboli graficznych
.............................. 8 Wstp
..................................................................................................
13 Rozdzia 1. Skad zespou, kwalifikacje jego czonkw i zakresy
kompetencji
.....................................................................................
18 Rozdzia 2. Wyposaenie narzdziowe
zespou............................. 21
2.1. Szablony edycyjne dokumentw
......................................... 21 2.2. Aktualny zbir
exploitw ...................................................... 24
2.3. Skanery
portw....................................................................
24 2.4. Skanery
bezpieczestwa.....................................................
24 2.5. Skanery konfiguracji
............................................................ 25
Rozdzia 3.
Procesy........................................................................
26 Rozdzia 4. Specyfikacja dokumentw
........................................... 29
4.1. Tabele IPO
..........................................................................
29 4.2. Specyfikacja zbiorcza
dokumentw..................................... 33
Rozdzia 5. Diagramy przepywu
danych........................................ 36 Rozdzia 6.
Rzetelne praktyki
......................................................... 41
Rozdzia 7. Kategorie atakw
......................................................... 42
Podsumowanie....................................................................................
46
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 8
Wykaz uywanych terminw i symboli graficznych TERMINY
Atak celowe, intencjonalne dziaanie przeciw cudzym interesom.
[Atak nie musi by nielegalny. Przedmiotem ataku moe by obiekt nie
nalecy do ofiary, nie lecy w obszarze jej administracji, ale jeli
napastnik oddziaywa na niego z intencj zaszkodzenia ofierze osigajc
ten cel, to jest to skuteczny atak przeciw ofierze.] Obiekt ataku
element systemu informatycznego: zasb,
urzdzenie, cze, uytkownik lub operator, na ktrym dokonywane s
zabiegi prowadzce do celu ataku.
Ofiara ataku podmiot: osoba fizyczna lub prawna, ktrej interesy
zostaj naraone na szwank w wyniku ataku.
Cel ataku ostateczne zmiany stanu fizycznego, prawnego lub
informacji, do ktrych osignicia zmierza napastnik, zwykle powodujce
straty dla ofiary ataku.
rdo ataku miejsce, z ktrego prowadzone s dziaania napastnika. W
atakach teleinformatycznych jest nim zwykle komputer napastnika.
Termin ten staje si niejednoznaczny w przypadku atakw za pomoc
automatycznych lub zdalnie sterowanych narzdzi ataku.
Atak na system teleinformatyczny i informacj w nim przetwarzan
nieuprawnione, celowe dziaania ludzi majce na celu naruszenie
tajnoci, integralnoci lub dostpnoci informacji.
Atak kombinowany zoone dziaanie, w ktrym napastnik wykorzystuje
wicej ni jedn z elementarnych technik (sposobw) dziaania przeciw
atakowanemu obiektowi. Co wicej, atak kombinowany skada si zwykle z
szeregu dziaa elementarnych, z ktrych cz moe zosta zakwalifikowana
jako elementarne ataki porednie, wymierzone przeciw innym obiektom
ni atak kombinowany, a zatem przynoszce szkody innym podmiotom ni
ofiara ataku kombinowanego. Cz dziaa skadowych moe by neutralna, a
nawet pozytywna w skutkach, a zatem nie kwalifikowa si jako
ataki.
Audyt postpowanie dla oceny zgodnoci audytowanego obiektu z
wzorcem (norm, wzorcem proceduralnym lub arbitralnie ustanowionym
wektorem wartoci pewnych cech) prowadzone przez stron niezalen
(firm, osob lub zesp). W przypadku audytu z zakresu bezpieczestwa
teleinformatycznego, ta niezaleno powinna by zachowana w stosunku
do: 1) organizacji/zespou budujcego system zabezpiecze; 2) dostawcw
sprztu i oprogramowania;
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 9
3) organizacji podlegajcej przegldowi w takim sensie, e w skad
zespou audytowego nie mog wchodzi pracownicy organizacji zlecajcej
audyt.
Audytor czonek zespou audytowego przeprowadzajcy badania i
analizy.
Audytor kwalifikujcy czonek zespou audytowego uprawniony do
formuowania ocen uoglniajcych z bada przeprowadzonych przez zesp
audytowy; w szczeglnoci uprawniony do ferowania ostatecznych sdw
audytowych o zgodnoci rozpoznanego stanu rzeczy z generalnym
wzorcem audytowym.
Bezpieczestwo stopie racjonalnie uzasadnionego (np. analiz
ryzyka) zaufania, e potencjalne straty nie zostan poniesione.
(pot.) niepodleganie obawie; spokj; pewno, e si nic zego nie
stanie.
Bezpieczestwo teleinformatyczne stopie uzasadnionego zaufania
(por. np. ISO/IEC 15408) e potencjalne straty wynikajce z
niepodanego (przypadkowego lub wiadomego) ujawnienia, modyfikacji,
zniszczenia lub uniemoliwienia przetwarzania informacji
przechowywanej i przesyanej za pomoc systemw teleinformatycznych
nie zostan poniesione.
Exploit rutynowy algorytm (czsto w postaci skryptu lub programu)
wykorzystania podatnoci systemu komputerowego na szkod jego
bezpieczestwa.
Incydent w toku atak w trakcie trwania. Dotyczy nie tylko czasu
ingerencji hackera w system, ale np. caego czasu pozostawania
automatycznego szpiega w systemie.
Informacja wraliwa dla okrelonego podmiotu s to wszelkie
informacje, ktre mog zosta wykorzystane przeciwko temu podmiotowi
poprzez ujawnienie, uniedostpnienie oraz zmanipulowanie jawne lub
skryte. W szczeglnoci, s to wszystkie informacje, ktre musz by
chronione, bo tak nakazuj obowizujce przepisy prawne (np. ustawa o
ochronie danych osobowych) oraz takie informacje, ktrych nakaz
ochrony nie jest zawarty w adnych regulacjach prawnych, a ktre dla
konkretnych organizacji je wytwarzajcych i przetwarzajcych, s
wskazywane przez kompetentne organy, np. suby ochrony pastwa,
wewntrzne komrki bezpieczestwa w danej organizacji, penomocnika ds.
bezpieczestwa informacji itp.
Kategoria ataku grupa atakw, scharakteryzowana pewn
charakterystyczn wspln cech; wrd ekspertw zwykle panuje zgoda co
wyrnienia takich grup (chocia czciej uywa si okrelenia typ ataku).
Okrelenie kategorii atakw (i
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 10
szczeglnych jej reprezentantw) powinno by dokonane na podstawie
aktualnego stanu wiedzy,
Metodyka (fr. mtodique od mtode metoda) 1. przyjte zasady
okrelajce sposb wykonywania okrelonego typu prac, bada itp.; tryb
postpowania. 2. nauk. w dydaktyce zasady nauczania danego
przedmiotu oparte na szczegowym wyznaczeniu celw oraz rodkw i metod
ich uzyskiwania. (Sownik Wyrazw Obcych Wyd. Europa. 2001)
Obiekt bada poddawany badaniu obiekt, tu: system, program lub
zbir danych, ktrego cechy szczeglne: atrybuty, sposb zachowania si,
podlegaj rozpoznaniu w trakcie bada.
Ochrona fizyczna zapewnianie bezpieczestwa za pomoc personelu,
zwykle wyspecjalizowanego: stranikw, patroli interwencyjnych itd.
wyposaonego w odpowiednie rodki techniczne i przymusu
bezporedniego, w razie potrzeby uzbrojonego.
Przedmiot bada rozpoznawane w trakcie bada wielkoci, atrybuty,
cechy zachowania si obiektu bada.
Podatno (ang. vulnerability) wady lub luki struktury fizycznej,
organizacji, procedur, personelu, zarzdzania, administrowania,
sprztu lub oprogramowania, ktre mog by wykorzystane do spowodowania
szkd w systemie informatycznym lub dziaalnoci uytkownika.
UWAGI 1 Istnienie podatnoci nie powoduje szkd samo z siebie.
Podatno
jest jedynie warunkiem lub zestawem warunkw, ktre umoliwiaj
uszkodzenie systemu lub zakcenie dziaalnoci uytkownika przez
atak
2 jeli podatno odpowiada zagroeniu, istnieje ryzyko. (punkt
3.1.064 w PN-I-02000:1998)
rodki bezpieczestwa rodki fizyczne (np. pot), techniczne (np.
system alarmowy), ludzkie (np. wartownik), programowe (np.
oprogramowanie antywirusowe) lub dziaania organizacyjne (np.
szkolenia), stosowane w celu przeciwdziaania wykorzystaniu
podatnoci przez zagroenia. Czsto, w skrcie, rodki bezpieczestwa s
nazywane zabezpieczeniami.
Test black box test penetracyjny prowadzony bez wiedzy na temat
badanego obiektu przekazanej jawnie przez zleceniodawc.
Test penetracyjny badanie: eksperyment (rwnie prezentacyjny)
sucy weryfikacji hipotezy o podatnoci badanego obiektu lub jego w
peni adekwatnego odpowiednika.
Zabezpieczenia techniczne polegajce na (wg Ustawy o ochronie osb
i mienia): montau elektronicznych urzdze i systemw
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 11
alarmowych, sygnalizujcych zagroenie chronionych osb i mienia,
oraz montau urzdze i rodkw mechanicznego zabezpieczenia oraz ich
eksploatacji, konserwacji, naprawach i awaryjnym otwieraniu w
miejscach zainstalowania.
Zagroenie (ang. threat) potencjalne naruszenie zabezpiecze
systemu informatycznego (punkt 3.1.115 w PN-I-02000:1998)
Zasoby teleinformatyczne wszelkie zasoby fizyczne (np. sejf),
techniczne (np. urzdzenia klimatyzacyjne, komputery), informacyjne
w rnej postaci (np. papierowa dokumentacja techniczna sieci,
zawarto elektronicznych baz danych) do ktrych nieupowaniony dostp
lub zniszczenie moe by przyczyn utraty poufnoci, integralnoci lub
dostpnoci informacji przetwarzanych, przechowywanych i przesyanych
w systemach i sieciach teleinformatycznych.
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 12
SYMBOLE GRAFICZNE
Nazwa procesu
nr
symbol procesu na DFD
symbol terminatora, tj. elementu zewntrznego w stosunku do
procesw opisywanych za pomoc DFD. Nazwa terminatora
Nazwa magazynu
symbol magazynu, tj. elementu mogcego gromadzi dane (dokumenty
lub inne, zalene od modelowanego kontekstu, elementy).
symbol przepywu danych (dokumentw, informacji itd.) pomidzy
elementami DFD.
UWAGA! Symbole graficzne procesw i magazynw, rysowane na
diagramach DFD lini przerywan, oznaczaj procesy i magazyny
opcjonalne wystpujce w przypadku realizacji testw penetracyjnych
jako samodzielnego przedsiwzicia, nie wystpujce natomiast w
przypadku realizacji testw penetracyjnych jako elementu audytu
prowadzonego zgodnie z (wczeniej opublikowan) metodyk LP-A
przeprowadzania audytu z zakresu bezpieczestwa
teleinformatycznego.
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 13
Wstp
Niniejszy dokument opisuje metodyk P-PEN wykonywania testw
penetracyjnych przedsiwzicia bada technicznych zmierzajcego do
zidentyfikowania podatnoci (sabych punktw) w badanych systemach
teleinformatycznych prowadzonego ze znacznym udziaem
eksperymentw.
W 2003 roku opublikowano metodyk LP-A prowadzenia audytu
bezpieczestwa teleinformatycznego, ktra spotkaa si z przychylnym
przyjciem rodowiska specjalistw zajmujcych si bezpieczestwem
informacji. Jedn z cech wyrniajcych tej metodyki jest znaczny
nacisk pooony na tzw. ciek techniczn bada, obejmujc take testy
penetracyjne. W metodyce LP-A jako proces o numerze 4.3.6 ujto
uzupeniajce testy penetracyjne. Sowo uzupeniajce wynika tu z
poprzedzania testw penetracyjnych, wyczonymi jako samodzielne
procesy, badaniami prowadzonymi narzdziami automatycznymi (4.3.2 i
4.3.3), badaniami konfiguracji (4.3.1) oraz badaniami zabezpiecze
fizycznych i technicznych (F-T, proces 4.2). Jak atwo std
wywnioskowa, testy penetracyjne definiowane s na potrzeby LP-A do
wsko jako badania moliwoci identyfikacji najnowszych lub bardzo
wyrafinowanych podatnoci (np. na zoone ataki kombinowane)
prowadzone metodami heurystycznymi.
Na przedstawion dalej metodyk P-PEN prowadzenia testw
penetracyjnych skadaj si: 1) organizacja, zakresy kompetencji i
kwalifikacje zespou (Rozdzia 1) 2) wyposaenie narzdziowe zespou
(Rozdzia 2) 3) dokumenty niezbdne do zainicjowania przedsiwzicia
oraz
wytwarzane w jego trakcie (Rozdzia 4) 4) model w postaci
diagramw DFD opisujcy procesy wytwarzania
dokumentw i powizania pomidzy nimi (Rozdzia 3 oraz Rozdzia 5) 5)
wykaz tzw. rzetelnych praktyk, tj. heurystycznych sposobw
postpowania, wypracowanych i sprawdzonych podczas dotychczasowej
praktyki (Rozdzia 6).
Do przedstawienia procesw i przepywu dokumentw, zostay
wykorzystane elementy metody strukturalnej projektowania systemw
informatycznych. Elementy te, to przede wszystkim tabele IPO (ang.
Input-Process-Output), diagramy przepywu danych (DFD ang. Data Flow
Diagram) oraz stosowane na nich oznaczenia procesw, przepyww i
magazynw (por. Wykaz uywanych terminw i symboli graficznych na
pocztku niniejszego opracowania).
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 14
Metodyk P-PEN sformuowano w ten sposb, aby moga zosta
wykorzystana zarwno jako proces 4.3.6 metodyki LP-A (por. Rozdzia 3
dalej), jak i jako metodyka prowadzenia samodzielnego przedsiwzicia
testw penetracyjnych. Poniewa w tym drugim przypadku zakres
metodyki jest nieco szerszy, w opisach (zarwno w tablicach IPO, jak
i diagramach DFD) elementy wykraczajce poza LP-A oznaczono liniami
przerywanymi.
Metodyka P-PEN zostaa sformuowana dla osignicia nastpujcych
celw: pozostawienia ekspertom swobody w dziaaniu przy
jednoczesnym
ujciu ich dziaania w cise formalne ramy; opisania postpowania w
ramach przedsiwzicia testw
penetracyjnych w stopniu moliwie sformalizowanym; zapewnienia
penego udokumentowania postpowania wykonawcw w
trakcie prowadzenia testw; ograniczenia do minimum moliwoci nie
rozpoznania znanych
podatnoci (znanych wedug stanu wiedzy z ustalonego dnia, zwykle
pocztkowego dnia przedsiwzicia) dziki usystematyzowaniu, czy wrcz
zrutynizowaniu dziaa zespou wykonawcw;
uzupenienia (wczeniej opublikowanej) metodyki LP-A audytu
bezpieczestwa teleinformatycznego o moliwie sformalizowany opis
prowadzenia testw penetracyjnych.
Gwna idea metodyki P-PEN polega na przeprowadzeniu prac w
trzech etapach: analizy, waciwych bada i syntezy (dalej
nazywanej integracj wynikw).
A. Analiza Maksymalne zrutynizowanie polega na pozostawieniu
penej
swobody specjalistom z dziedziny atakw informacyjnych tylko w
jednym punkcie postpowania: gdy w pocztkowej fazie przedsiwzicia
maj oni za zadanie opisa moliwe scenariusze atakw na zasoby
badanego obiektu (zwykle systemu teleinformatycznego). Sposb
formuowania zbioru takich atakw jest jednak sterowany: powinien on
powsta drog przegldu pewnego zadanego zbir kategorii atakw (na
przykad takiego, jak prezentuje Rozdzia 7). Dla kadej z tych
kategorii naley sformuowa opisy takich atakw, ktre prowadz do
pewnych atrakcyjnych z punktu widzenia potencjalnych napastnikw,
lub szkodliwych z punktu widzenia Zleceniodawcy, celw. Opisywane
ataki powinny zawiera techniki atakw nalece do rozpatrywanej
kategorii.
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 15
Zbir takich opisanych atakw nazwano list rozwaanych atakw
kombinowanych.
Od tej pory, zgodnie z metodyk P-PEN, postpowanie jest ju
rutynowe: kady z opisanych atakw kombinowanych zostaje rozpisany na
poszczeglne elementarne techniki (indywidualizowane m.in.
urzdzeniami lub podsystemami, przeciw ktrym s skierowane), po czym
dla kadej techniki naley zapisa jaki jest objaw/przesanka wskazujca
na to, e zastosowanie owej techniki w tym konkretnym miejscu
zostanie uwieczone powodzeniem. Objawem moe by zarwno pewien zapis
konfiguracyjny, jak i pozytywny wynik pewnego wskazanego
testu-ataku. Taki spis objaww i spodziewanych miejsc ich
wystpowania koczy faz analizy.
B. Waciwe badania Na postawie takiego spisu z etapu analizy mona
wygenerowa
plan testw penetracyjnych, grupujc takie pozycje spisu, ktre mog
zosta sprawdzone przez pojedynczy zesp prowadzcy badania z jednego
miejsca w jednej dziedzinie. Po przeprowadzeniu bada moliwe jest
dla kadej pozycji spisu techniki ataku okrelenie, czy okrelone dla
niej objawy/przesanki s spenione.
Jeli przedsiwzicie, w ramach ktrego prowadzone s testy
penetracyjne nie jest regularnym audytem, moliwe jest sformuowanie
wskaza (tzw. rekomendacji) dla poprawy rozpoznanego stanu.
C. Synteza W wyniku badania otrzymuje si informacje o
spodziewanej
skutecznoci elementarnych technik atakw. Odwracajc postpowanie z
analizy, mona zatem rozstrzygn, czy kady ze sformuowanych na
pocztku atakw kombinowanych bdzie skuteczny, czy te nie. Kocowy
raport jest prost konsekwencj wnioskowania o zagroeniach dla zasobw
Zleceniodawcy rozwaanymi atakami. Dodatkowo w raporcie mona uj
dokadne scenariusze (take i tzw. czarne scenariusze) rozpoznanych
skutecznych atakw.
W przypadku prowadzenia testw penetracyjnych jako
samodzielnego przedsiwzicia, formalnie rzecz biorc badania
zabezpiecze fizycznych i technicznych (F-T) oraz badania
zautomatyzowanymi narzdziami prowadzone s rwnolegle z badaniami
(waciwymi testami penetracyjnymi) prowadzonymi technikami lecymi w
dziedzinie teleinformatyki.
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 16
Metodyka P-PEN zachowuje gwne cechy z metodyki LP-A, cyt.: Cech
charakterystyczn metodyki LP-A jest, w ramach tzw. cieki
technicznej, realizacja bada systemw ochrony fizycznej i
technicznej oraz sieci i systemw teleinformatycznych
eksploatowanych w badanym obiekcie. Badania te s przeprowadzane
przy uyciu wyspecjalizowanych narzdzi i s uzupeniane testami
penetracyjnymi, gwnie heurystycznymi.
Efektem przyjcia takiego schematu postpowania jest: 1) moliwo
wykrycia szczeglnie gronych podatnoci i przekazanie
Zleceniodawcy przez audytorw wykazu podatnoci do
natychmiastowego usunicia (odrbn kwesti pozostaje, kto ma usuwa
zidentyfikowane podatnoci ze wzgldw formalnych nie powinien tego
robi zesp prowadzcy testy);
2) przekazanie Zleceniodawcy penego obrazu (zarwno technicznego
jak i organizacyjnego) stanu zabezpiecze jego sieci i systemw, co
zwykle stanowi podstaw do dalszych dziaa Zleceniodawcy w zakresie
bezpieczestwa teleinformatycznego.
Podobnie jak w przypadku metodyki LP-A, tak i dla P-PEN na
podstawie informacji zamieszczonych w opisie metodyki mona:
1) oceni zoono procesw metodyki; 2) rozpozna zalenoci pomidzy
wytwarzanymi dokumentami; 3) dobra skad Zespou, uwzgldniajc
wymagane zakresy
kompetencji (kwalifikacji i uprawnie) jego czonkw; 4) oceni na
podstawie zalenoci pomidzy procesami (oraz skadu
osobowego Zespou) moliwoci rwnolegego prowadzenia poszczeglnych
dziaa;
5) uoy harmonogram prac; 6) oszacowa koszty przeprowadzenia
prac.
Rozdzia 6 prezentuje tzw. rzetelne praktyki (nazywane te
najlepszymi praktykami z ang. best practices) tj. nalece do
kategorii know-how metody lub zasady postpowania, wypracowane i
sprawdzone podczas dotychczasowej praktyki. Chocia praktyki takie
zostay wymienione wczeniej jako element metodyki, to naley zauway,
e s one cile zwizane z konkretnym zespoem ludzi (ich
kwalifikacjami, dowiadczeniem, etyk itd.). Z tego wzgldu zawarto
Rozdzia 6 naley traktowa jako wskazwk kady zesp prawdopodobnie
wypracuje sobie wasny zestaw rzetelnych praktyk.
W konstrukcji metodyki zmierzano do rozdzielenia czci
podlegajcej silnej formalizacji opisujcej postpowanie i
dokumentowanie wedug ustalonych regu, od czci sabo sformalizowanej,
dotyczcej swobodnego poszukiwania rozwiza (atakw). W opisie ow cz
sabo poddajc si formalizacji wyczono w oddzielny Rozdzia 7
(Kategorie atakw) zawierajcy
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 17
informacje, dla ktrych przewiduje si najkrtszy czas aktualnoci.
Stanowi on wykaz obszarw, w ktrych naley szuka skutecznych atakw na
badany system. Ten rozdzia zosta sformuowany na podstawie
dowiadcze, gdy zawarto adnej z uznanych fundamentalnych publikacji,
traktujcych o metodach prowadzenia bada technicznych bezpieczestwa
(zwykle pod nazw testw penetracyjnych: [1], [3], [4] oraz [5]) nie
okazaa si uyteczna jako wzorzec zbioru kategorii atakw. Wykaz
kategorii atakw powinien podlega staej aktualizacji w miar zmian
stanu sztuki.
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 18
Rozdzia 1. Skad zespou, kwalifikacje jego czonkw i zak-resy
kompetencji
W tym rozdziale s przedstawione informacje nt. skadu i
kwalifikacji zespou. Sposb pracy, wynikajcy z praktycznie
wdroonej i sprawdzonej metodyki zawiera Rozdzia 3. Zesp wykonawcw
skada si z dwch czci: staej i zmiennej (na telefon). Dalej opisano
role czonkw zespou role te mog by czone. Wyrniono zalecane role
dwch czonkw zespou odpowiadajcych za cao przedsiwzicia, dla ktrych
to rl, dla zgodnoci z metodyk LP-A, zachowano nazw audytorzy
kwalifikujcy,
I. Skad stay zespou 1. Audytorzy kwalifikujcy dwie osoby
(symbole: AK_1 i AK_2)
Wymagania: a) wyksztacenie wysze techniczne b) co najmniej
kilkuletnie dowiadczenie zawodowe w dziedzinie
bada systemw komputerowych, w szczeglnoci w zakresie
bezpieczestwa teleinformatycznego
c) co najmniej kilkuletnia praktyka w przeprowadzaniu
audytw/przedsiwzi z zakresu bezpieczestwa teleinformatycznego
d) dowiadczenie dydaktyczne oraz umiejtno prowadzenia
negocjacji
e) dopuszczenia odpowiednich Krajowych Wadz Bezpieczestwa do
dostpu do informacji niejawnych (np. w Polsce, w rozumieniu ustawy
o ochronie informacji niejawnych).
Do podstawowych zada audytorw kwalifikujcych naley: wykonanie
przedsiwzi z etapu przygotowawczego (jeli testy
penetracyjne s samodzielnym przedsiwziciem por. Rozdzia 3)
uzgodnienie planu testw i zasad podziau odpowiedzialnoci nadzr
nad wykonywaniem bada przekazanie stronie Zleceniodawcy wykazu
zidentyfikowanych
Podatnoci do natychmiastowego usunicia opracowanie dokumentu
kocowego. Audytorzy kwalifikujcy podpisuj si pod dokumentami
kocowymi jako gwaranci rzetelnoci zawartych w nich informacji.
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 19
2. Specjalista od urzdze sieciowych i sieci komputerowych
(symbol: SUS-SK) Wymagania: a) wyksztacenie wysze techniczne b) co
najmniej kilkuletnie dowiadczenie zawodowe w dziedzinie
systemw komputerowych oraz w zakresie organizacji i obsugi sieci
oraz budowy urzdze sieciowych
c) praktyka w przeprowadzaniu bada i/lub audytw z zakresu
bezpieczestwa teleinformatycznego
d) dopuszczenia odpowiednich Krajowych Wadz Bezpieczestwa do
dostpu do informacji niejawnych (np. w Polsce, w rozumieniu ustawy
o ochronie informacji niejawnych).
Do zada specjalisty od urzdze sieciowych i sieci komputerowych
naley: wskazanie ekspertw dziedzinowych (na etapie
przygotowania
umowy) opracowanie planu testw (proces 3) nadzr nad pracami
ekspertw dziedzinowych (por. Rozdzia 3) wspudzia w opracowaniu
raportw.
3. Personel pomocniczy (symbol: PP)
Personel pomocniczy, zajmujcy si np. kopiowaniem, oprawianiem
etc. stosownych dokumentw musi posiada dopuszczenia odpowiednich
Krajowych Wadz Bezpieczestwa do dostpu do informacji niejawnych
(np. w Polsce, w rozumieniu ustawy o ochronie informacji
niejawnych) w przypadku prac z takimi dokumentami. W szczeglnych
przypadkach (np. ankieterzy), personel taki musi posiada
odpowiednie upowanienia Zleceniodawcy do przeprowadzenia okrelonych
prac na terenie jego Instytucji.
II. Skad zmienny zespou (symbol: ED) Skad zmienny zespou stanowi
dobierani w miar potrzeb eksperci dziedzinowi. Eksperci dziedzinowi
s dobierani przez audytorw kwalifikujcych wedug wskaza
specjalisty-sieciowca dla potrzeb konkretnego przedsiwzicia, w
zalenoci od systemw (sprztu i oprogramowania) szczeglnie licznych
lub szczeglnie wanych w badanym systemie komputerowym (np. Solaris,
Windows XP, Novell, itd.) oraz konkretnych wymaga osobowych
dotyczcych np. posiadania dopuszcze do informacji niejawnych. Jeli
przedsiwzicie obejmuje rozpoznanie zabezpiecze fizycznych i
technicznych, naley powoa specjalist w tym zakresie:
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 20
4. Specjalista od ochrony fizycznej i technicznej (symbol: SF-T)
Wymagania: a) wyksztacenie wysze b) co najmniej kilkuletnie
dowiadczenie zawodowe w dziedzinie
systemw komputerowych, w szczeglnoci w zakresie bezpieczestwa
teleinformatycznego
c) praktyka w przeprowadzaniu audytw z zakresu bezpieczestwa
teleinformatycznego
d) licencja pracownika zabezpieczenia technicznego II stopnia e)
dopuszczenia odpowiednich Krajowych Wadz Bezpieczestwa
do dostpu do informacji niejawnych (np. w Polsce, w rozumieniu
ustawy o ochronie informacji niejawnych).
Do zada specjalisty od ochrony fizycznej i technicznej naley:
realizacja procesu 5.3 (por. Rozdzia 3) w przypadku, gdy testy
penetracyjne realizowane s jako samodzielne przedsiwzicie; udzia
w procesie integracji wynikw (proces 6) prezentacja
wynikw bada F-T na potrzeby skutecznoci atakw.
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 21
Rozdzia 2. Wyposaenie narzdziowe zespou
Do narzdzi, ktrymi dysponuje zesp nale: szablony edycyjne
dokumentw, oraz aktualny zbir tzw. exploitw (programw i skryptw
pozwalajcych identyfikacj i wykorzystanie podatnoci systemw). Do
wyposaenia zespou zaliczy mona te narzdzia zautomatyzowane
(programy), gwnie skanery portw, skanery bezpieczestwa oraz skanery
konfiguracji.
W przypadku audytu prowadzonego zgodnie z metodyk LP-A
automatyczne narzdzia wykorzystywane s obligatoryjnie w odrbnych
procesach (badaniach). W przypadku testw penetracyjnych
prowadzonych jako samodzielne przedsiwzicie uyteczne wydaje si
wykorzystanie automatycznych narzdzi po prostu dlatego, e ich
raporty zawieraj gotowe odpowiedzi na pytania o wystpowanie w
systemie elementarnych objaww podatnoci na wikszo podstawowych
technik atakw. Naley podkreli, e raporty te s tylko czci
pomocniczego materiau badawczego, oszczdzajcego planowania i
rcznego wykonywania podstawowych sprawdze i eksperymentw.
Szablony edycyjne dokumentw Dla wikszoci dokumentw
wykorzystywanych w postpowaniu
zgodnym z metodyk P-PEN wypracowano szablony dotyczce co
najmniej ich redakcji, a w czci przypadkw ustalajce rozmieszczenia
merytorycznych treci. Zbiorczy wykaz dokumentw ujto w Tab. 2-2.
Niniejsze opracowanie nie zawiera szablonw edycyjnych dokumentw,
ale dla najwaniejszych z nich podano niej gwne oczekiwane elementy
merytoryczne:
1. Wytyczne do testw penetracyjnych (por. Wytyczne do wykonania
uzupeniajcych rcznych testw penetracyjnych w Tab. 2-2): 1.1.
Identyfikacja obiektu badania (systemu teleinformatycznego) i
precyzyjne okrelenie jego granic 1.2. Wskazanie zasobw z ocen
ich wraliwoci 1.3. Okrelenie przedmiotu badania (dziedziny
waciwoci,
parametrw oraz zachowania si obiektu podlegajce badaniu dla
identyfikacji wystpujcych podatnoci)
1.4. Ograniczenia dotyczce zakresu i obiektu bada (czasu,
dopuszczalnych wycze, jego dostpnoci dla bada, ewentualnej
dostpnoci rodowiska testowego lub adekwatnych makiet)
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 22
1.5. Szczegowe procedury uzgodnie dziaania (z przedstawicielami
Zleceniodawcy)
2. Lista rozwaanych atakw kombinowanych; dla kadej pozycji
listy: 2.1. Definicja sukcesu 2.2. Oszacowanie strat w przypadku
powodzenia 2.3. Wykaz elementarnych dziaa (technik atakw i
niezbdnych
dziaa dopuszczalnych) i/lub cech elementw obiektu (konfiguracji
badanego systemu) niezbdnych do powodzenia ataku
3. Wykaz elementarnych atakw; dla kadej pozycji: 3.1. Numery
macierzystych pozycji (atakw kombinowanych) z
listy rozwaanych atakw kombinowanych dla ktrych powodzenie
elementarnego dziaania (ataku) jest warunkiem koniecznym
skutecznoci
3.2. Istota dziaania (ktrego powodzenie jest niezbdne) lub
wasnoci konfiguracyjnej
3.3. Definicja sukcesu 3.4. Lista przesanek lub objaww
wystarczajca do
wnioskowania o podatnoci ktrego z elementw obiektu na ten atak
elementarny (wnioskowania o spodziewanym sukcesie ataku)
4. Wyselekcjonowana lista atakw do bada rcznych zbiorcza lista
pozycji wg punktu 3.4 powyej, podzielona wedug dziedzin (wedug
pozycji 4.4 poniej); dla kadej pozycji: 4.1. obiekt badania
(urzdzenie, zbir konfiguracyjny, cze,
program, zabezpieczenie F-T, operator, stranik itd.) 4.2.
przesanki na podstawie ktrych wnioskowano o moliwej
podatnoci obiektu 4.3. wskazanie narzdzia lub metody badania
4.4. wskazanie dziedziny:
4.4.1. teleinformatyczne (w tym cza) i socjotechniczne: waciwe
testy penetracyjne
4.4.2. zabezpieczenia techniczne, ppo. lub ochrona fizyczna
4.4.3. zasilania (energetyczne, inne media, klimatyzacja) 4.4.4.
lece w zakresie bada narzdziami automatycznymi
w poszukiwaniu podatnoci 4.4.5. lece w zakresie bada narzdziami
automatycznymi
w poszukiwaniu bdw konfiguracji 4.4.6. lece w zakresie bada
narzdziami automatycznymi
w poszukiwaniu opnie w aktualizacjach 5. Plan testw
penetracyjnych i przegldw konfiguracji; lista zada
badawczych, dla kadego zadania skadajca si z:
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 23
5.1. wykazu wykonawcw realizujcych zadanie 5.2. miejsca w
ktrym/z ktrego bd prowadzone badania (w
tym adresy przestrzenne i sieciowe) 5.3. podzbioru pozycji z
wyselekcjonowanej listy atakw (punkt 4
powyej) do zbadania 5.4. harmonogram badania 5.5. wynikajce z
bada obcienie zasobw (w tym personelu) i
usug Zleceniodawcy 5.6. moliwe zagroenia dla zasobw
Zleceniodawcy i innych
podmiotw 5.7. procedury szczegowe postpowania
5.7.1. sposb nadzoru przez Zleceniodawc (zgoda na rozpoczcie,
informacja o kolejnym kroku, odpowiedzi na pytania, informacja o
zakoczeniu)
5.7.2. zasady stymulacji lub modyfikacji w systemie
Zleceniodawcy wprowadzanych na potrzeby badania (np. wyduenie czasu
dzierawy DHCP na czas wielodniowego skanowania lub zablokowanie
tworzenia dynamicznych regu na zaporach sieciowych z inicjatywy
systemw IDS na czas bada, w szczeglnoci skanerami
bezpieczestwa)
5.8. zasady odpowiedzialnoci za skutki dziaa 6. Sprawozdanie z
badania autoryzowane, jeli odbywao si pod
nadzorem personelu Zleceniodawcy (por. Notatki subowe
sprawozdania z bada i przegldw konfiguracji w Tab. 2-2). 6.1. Czas
dziaania zespou i lokalizacja kadego z miejsc, w
ktrym/z ktrego odbywao si badanie 6.2. Wykaz czynnoci 6.3.
Wyniki
6.3.1. w czci formalnej: dokadny odpowiednik wyselekcjonowanej
listy atakw, przy czym dla kadej zaplanowanej do badania pozycji
okrela si wynik (podatno: wystpuje,/nie wystpuje/badanie nie
dostarczyo jednoznacznych wynikw/badanie nie powiodo si/odstpiono
od wykonania badania)
6.3.2. w czci opisowej: dodatkowe wyjanienia i obserwacje,
szczeglnie jeli odstpiono od badania
6.4. Informacja o wsppracy z personelem Zleceniodawcy 7. Wykaz
Podatnoci do natychmiastowego usunicia 8. Raport z testw
penetracyjnych por. Raport z testw
penetracyjnych (wyniki rcznych testw penetracyjnych) w Tab. 2-2
8.1. Sprawozdanie z dziaa
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 24
8.2. Oglny wykaz podatnoci 8.3. Ustosunkowanie si do wszystkich
pozycji z listy atakw
kombinowanych 8.4. Scenariusze skutecznych atakw (w tym
konieczna wiedza i
rodki napastnika) 8.5. Czarne scenariusze (przy zaoeniu, e
wszystko sprzyja
napastnikowi, niektre rodki ochrony zawodz) 8.6. Oceny szans
zajcia i powodzenia poszczeglnych atakw i
w konsekwencji ocena moliwych strat 8.7. Zintegrowana ocena
zagroenia
Aktualny zbir exploitw W badaniach wykorzystuje si rwnie tzw.
exploity oraz
autentyczne narzdzia atakw, aktualizowane bezporednio przed
rozpoczciem testw penetracyjnych. Zwykle do tej klasy zalicza si
rwnie odpowiednie autorskie opracowania czonkw zespou.
Skanery portw Skanery portw to automatyczne narzdzia odwoujce
si
wybranych portw za pomoc spreparowanych pakietw i wspomagajce
wnioskowanie z odpowiedzi na te pakiety. Zwykle wykorzystywane jako
narzdzie w rcznych testach penetracyjnych.
Skanery bezpieczestwa Skaner bezpieczestwa to program, lub
sterowany tym
programem system komputerowy, przegldajcy komputery nalece do
pewnego zadanego zbioru i sprawdzajcy obecno w nich podatnoci. W
modelu oglnym, obiektem przegldanym przez skaner bezpieczestwa jest
iloczyn kartezjaski zbioru komputerw poddanych badaniu oraz zbioru
podatnoci. Dla kadego elementu (podatnoci na komputerze) okrelana
jest warto funkcji obecnoci (podatno: wystpuje/nie wystpuje).
Wynikiem dziaania skanera bezpieczestwa jest raport, ktry w swym
podstawowym wydaniu zawiera dla kadego komputera wykaz
zidentyfikowanych (wystpujcych w nim) podatnoci, a dla kadej
podatnoci okrela: identyfikator wedug uznanej klasyfikacji (np.
bugtraq), opis, stopie zagroenia oraz sposb usunicia.
Skaner bezpieczestwa jest zbiorem procedur (czasem programw lub
skryptw) przeprowadzajcych w praktyce prby atakw. Kady zakoczony
powodzeniem atak jest odnotowywany i informacja o nim jest
umieszczana w raporcie kocowym generowanym przez skaner.
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 25
Skanery bezpieczestwa zawieraj zbiory sygnatur podatnoci i
wzorce atakw. Dane te powinny by aktualizowane w miar zmian stanu
sztuki w tej dziedzinie. Subskrypcja tych danych jest w ofercie
producentw komercyjnych skanerw bezpieczestwa.
Skanery konfiguracji
Formalnie rzecz biorc skanery konfiguracji wykorzystywane bd
podczas testw penetracyjnych prowadzonych jako samodzielne
przedsiwzicie. W przypadku audytu prowadzonego zgodnie z metodyk
LP-A automatyczne narzdzia wykorzystywane s w odrbnych
procesach.
Skaner konfiguracji to program sucy do automatycznego, zdalnego
badania ustawie konfiguracyjnych (w tym tzw. zasad zabezpiecze)
kadego z komputerw nalecych do wybranego zbioru, generujcy
odpowiednie raporty. Badanie polega na dostpie do plikw
konfiguracyjnych (np. do rejestru systemu MS Windows) badanego
komputera i porwnaniu zawartych w tych plikach zapisw z wzorcem
uznanym za waciwy przez producenta skanera. Skanery konfiguracji
poddaj rwnie sprawdzeniu zapisy w plikach konfiguracyjnych dotyczce
zainstalowanych poprawek (patches) dystrybuowanych przez producentw
braki takich poprawek sygnalizowane s jako podatnoci. Wad skanerw
konfiguracji jest konieczno zdalnego dostpu do badanych komputerw z
uprawnieniami administratora, co jest naturalne w sieciach
domenowych Windows, ale jest niezgodne z zasadami bezpieczestwa w
wikszoci sieci o innej organizacji.
.
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 26
Rozdzia 3. Procesy W dalszej czci tego rozdziau opisano oglnie,
z komentarzami,
procesy, oraz podano (tabela 3.1) kto z Zespou odpowiada za kady
proces i kto go nadzoruje.
W przypadku, gdy przedsiwzicie testw penetracyjnych jest
realizowane jako skadowe audytu bezpieczestwa teleinformatycznego
prowadzonego zgodnie z metodyk LP-A, odpowiada ono jednemu z
procesw tej metodyki: 4.3.6. Wykonanie uzupeniajcych testw
penetracyjnych.
Moe take obj kolejny proces: 4.3.7. Aktualizacja wykazu
Podatnoci do natychmiastowego
usunicia. Wwczas proponowane przez P-PEN podprocesy procesu
4.3.6
metodyki LP-A, zgodnie z numeracj przyjt dla metodyki LP-A,
prezentuj si nastpujco:
4.3.6.1 Wstpna analiza 4.3.6.1.1 Okrelenie listy spodziewanych
atakw 4.3.6.1.2 Okrelenie elementarnych atakw 4.3.6.1.3
Selekcja
4.3.6.2 Badania osigalnoci informacji o obiekcie 4.3.6.3
Opracowanie planu testw i przegldw konfiguracji 4.3.6.4 Akceptacja
planu testw i ustalenie zasad
szczegowych i odpowiedzialnoci 4.3.6.5 Wykonanie bada testw
penetracyjnych
4.3.6.5.1 Wykonanie waciwych testw penetracyjnych 4.3.6.6
Integracja wynikw, opracowanie czarnych scenariuszy
i raportu kocowego Naley przypomnie, e poszukiwanie podatnoci za
pomoc
narzdzi bezpieczestwa realizowane jest w odrbnych procesach. W
przypadku, gdy testy penetracyjne realizowane s jako
samodzielne przedsiwzicie, opisane w niniejszym rozdziale
procesy naley poprzedzi etapem przygotowawczym, podobnym dla kadego
samodzielnego przedsiwzicia, obejmujcym obsug zapytania ofertowego,
umow, wstpne kontakty formalne ze Zleceniodawc, rozpoznanie obiektu
itd. Podobnie ostatnim etapem (po wymienionych niej procesach)
powinien by kocowy etap rozliczenia pracy formalne przyjcie
produktu itd. Zobrazowano to na ujtym dla celw ilustracyjnych,
nieformalnym diagramie 0 (Nieformalny DFD przedsiwzicia testw
penetracyjnych schemat oglny).
Tych dodatkowych procesw zwizanych z organizacj przedsiwzicia
nie opisywano w niniejszym dokumencie, uznajc, e
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 27
wykraczayby one poza jego zakres tematyczny. Naley jednak
zasygnalizowa, e procesy organizacyjne przedsiwzicia s niezwykle
wane ze wzgldw strategicznych, a w przypadku obiektu bada znacznych
rozmiarw take bardzo skomplikowane. Np. w duym projekcie rwnolegle
do wymienionych niej procesw powinny by realizowane procesy
zarzdcze, np. zarzdzania, kontroli jakoci i biecej oceny
ryzyka.
Dalej przedstawiono oglny zapis procesw przedsiwzicia testw
penetracyjnych prowadzonych zgodnie z metodyk P-PEN:
1. Wstpna analiza 1.1. Okrelenie listy spodziewanych atakw 1.2.
Okrelenie elementarnych atakw 1.3. Selekcja
2. Badania osigalnoci informacji o obiekcie 3. Opracowanie planu
testw i przegldw konfiguracji 4. Akceptacja planu testw i ustalenie
zasad szczegowych i
odpowiedzialnoci 5. Wykonanie bada testw penetracyjnych
5.1. Wykonanie waciwych testw penetracyjnych 5.2. Wykonanie bada
automatycznymi narzdziami 5.3. Wykonanie bada zabezpiecze
technicznych i fizycznych
6. Integracja wynikw, opracowanie czarnych scenariuszy i raportu
kocowego
W porwnaniu z prezentacj odpowiednich procesw metodyki LP-A mona
zauway, e numery pozbawiono prefiksu 4.3.6. oraz dodano dwa procesy
5.2 i 5.3 (wyrnione kursyw). Te ostatnie dwa procesy realizowane s
w przypadku wykonywania testw penetracyjnych jako samodzielnego
przedsiwzicia (nie w ramach szerszego audytu). Tab. 2-1. Zakresy
odpowiedzialnoci i nadzoru nad procesami
Numer procesu
Skrcony opis procesu Odpowiedzialny Nadzr
1 Wstpna analiza AK_1 AK_2
1.1 Okrelenie listy spodziewanych atakw
AK_1 AK_2
1.2 Okrelenie elementarnych atakw SUS-SK AK_1
1.3 Selekcja SUS-SK AK_1
2 Badania osigalnoci informacji o obiekcie
AK_1 AK_2
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 28
3 Opracowanie planu testw i przegldw konfiguracji
SUS-SK AK_1
4 Akceptacja planu testw i ustalenie zasad szczegowych i
odpowiedzialnoci
AK_1 AK_2
5 Wykonanie bada testw penetracyjnych
AK_2 AK_1
5.1 Wykonanie waciwych testw penetracyjnych
SUS-SK AK_1
5.2 Wykonanie bada automatycznymi narzdziami
SUS-SK AK_1
5.3 Wykonanie bada zabezpiecze technicznych i fizycznych
SUS-SK AK_1
6 Integracja wynikw, opracowanie czarnych scenariuszy i raportu
kocowego
AK_2 AK_1
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 29
Rozdzia 4. Specyfikacja dokumentw W tym rozdziale, metod IPO
(ang. InputProcessOutput) s
wyspecyfikowane dokumenty zwizane z prowadzeniem przedsiwzicia
testw penetracyjnych. Na kocu rozdziau, zostay przedstawione
dokumenty niezbdne do prowadzenia prac oraz wytwarzane w ich
trakcie.
Tabele IPO Objanienia do tabel IPO: 1. Symbol (*) przy numerze
procesu oznacza, e proces ten jest
dekomponowany na podprocesy. 2. Dokumenty okrelane w tabelach
jako notatka dziel si na dwa
rodzaje: 1) notatki subowe Zespou zapisy autoryzowane, kopie
przekazywane Zleceniodawcy 2) notatki wewntrzne Zespou zapisy
nieautoryzowane, bez
pozostawiania kopii u Zleceniodawcy.
3. Lini przerywan zaznaczone s krawdzie tabel zawierajcych
zapisy dotyczce dokumentw lub procesw realizowanych w przypadku
prowadzenia testw penetracyjnych jako samodzielnego
przedsiwzicia.
Wejcie Wytyczne do wykonania uzupeniajcych rcznych
testw penetracyjnych dokumentacja techniczna obiektu wewntrzne
regulacje dotyczce porzdku prawnego
w obiekcie w tym obowizujce (i praktykowane) procedury
kategorie atakw Nr procesu 1*
Proces Wstpna analiza Wyjcie Lista rozwaanych atakw
kombinowanych
Wykaz elementarnych atakw Wyselekcjonowana lista atakw do bada
rcznych
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 30
Wejcie Wytyczne do wykonania uzupeniajcych rcznych testw
penetracyjnych
dokumentacja techniczna obiektu wewntrzne regulacje dotyczce
porzdku prawnego
w obiekcie w tym obowizujce (i praktykowane) procedury
Nr procesu 1.1 Proces Okrelenie listy spodziewanych atakw Wyjcie
Lista rozwaanych atakw kombinowanych
Wejcie Lista rozwaanych atakw kombinowanych dokumentacja
techniczna obiektu wewntrzne regulacje dotyczce porzdku
prawnego
w obiekcie w tym obowizujce (i praktykowane) procedury
Nr procesu 1.2 Proces Okrelenie elementarnych atakw Wyjcie Wykaz
elementarnych atakw
Wejcie Wykaz elementarnych atakw Nr procesu 1.3
Proces Selekcja Wyjcie Wyselekcjonowana lista atakw do bada
rcznych
Wejcie Wytyczne do wykonania uzupeniajcych rcznych testw
penetracyjnych
dokumentacja techniczna obiektu Nr procesu 2
Proces Badania osigalnoci informacji o obiekcie Wyjcie Notatka
subowa o osigalnoci informacji o budowie
i waciwociach badanego systemu
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 31
Wejcie Wyselekcjonowana lista atakw do bada rcznych dokumentacja
techniczna obiektu
Nr procesu 3 Proces Opracowanie planu testw i przegldw
konfiguracji Wyjcie Plan testw penetracyjnych i przegldw
konfiguracji
Wejcie Plan testw penetracyjnych i przegldw konfiguracji Nr
procesu 4
Proces Akceptacja planu testw i ustalenie zasad szczegowych i
odpowiedzialnoci
Wyjcie Owiadczenie zleceniodawcy o akceptacji planu testw i
zasadach odpowiedzialnoci
Wejcie Owiadczenie zleceniodawcy o akceptacji planu testw i
zasadach odpowiedzialnoci
Plan testw penetracyjnych i przegldw konfiguracji Nr procesu
5*
Proces Wykonanie bada testw penetracyjnych Wyjcie Notatki subowe
sprawozdania z bada i
przegldw konfiguracji Wstpny wykaz Podatnoci do
natychmiastowego
usunicia Notatka wewntrzna Zespou o wynikach
zautomatyzowanych bada podatnoci Notatka wewntrzna Zespou o
wynikach
zautomatyzowanych bada konfiguracji Notatka wewntrzna Zespou o
wynikach
zautomatyzowanych bada zaaplikowanych aktualizacji
Notatka wewntrzna Zespou z przegldu zabezpiecze ochrony FT i
ppo.
Notatka wewntrzna Zespou z przegldu systemu zasilania
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 32
Wejcie Owiadczenie zleceniodawcy o akceptacji planu testw i
zasadach odpowiedzialnoci
Plan testw penetracyjnych i przegldw konfiguracji Nr procesu
5.1
Proces Wykonanie waciwych testw penetracyjnych Wyjcie Notatki
subowe sprawozdania z bada i
przegldw konfiguracji
Wejcie Owiadczenie zleceniodawcy o akceptacji planu testw i
zasadach odpowiedzialnoci
Plan testw penetracyjnych i przegldw konfiguracji Nr procesu
5.2
Proces Wykonanie bada automatycznymi narzdziami Wyjcie Notatka
wewntrzna Zespou o wynikach
zautomatyzowanych bada podatnoci Notatka wewntrzna Zespou o
wynikach
zautomatyzowanych bada konfiguracji Notatka wewntrzna Zespou o
wynikach
zautomatyzowanych bada zaaplikowanych aktualizacji
Wejcie Owiadczenie zleceniodawcy o akceptacji planu testw i
zasadach odpowiedzialnoci
Plan testw penetracyjnych i przegldw konfiguracji Nr procesu
5.3
Proces Wykonanie bada zabezpiecze technicznych i fizycznych
Wyjcie Notatka wewntrzna Zespou z przegldu zabezpiecze ochrony
FT i ppo.
Notatka wewntrzna Zespou z przegldu systemu zasilania
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 33
Wejcie Lista rozwaanych atakw kombinowanych Wyselekcjonowana
lista atakw do bada rcznych Notatki subowe sprawozdania z bada
i
przegldw konfiguracji Wstpny wykaz Podatnoci do
natychmiastowego
usunicia Notatka wewntrzna Zespou o wynikach
zautomatyzowanych bada podatnoci Notatka wewntrzna Zespou o
wynikach
zautomatyzowanych bada konfiguracji Notatka wewntrzna Zespou o
wynikach
zautomatyzowanych bada zaaplikowanych aktualizacji
Notatka wewntrzna Zespou z przegldu zabezpiecze ochrony FT i
ppo.
Notatka wewntrzna Zespou z przegldu systemu zasilania
Notatka subowa o osigalnoci informacji o budowie i waciwociach
badanego systemu
Nr procesu 6 Proces Integracja wynikw Wyjcie Wykaz Podatnoci do
natychmiastowego usunicia
Raport z testw penetracyjnych (wyniki rcznych testw
penetracyjnych)
Specyfikacja zbiorcza dokumentw
Podobnie jak w przypadku tabel IPO, dalej wymieniono tylko
dokumenty podstawowe dotyczce testw penetracyjnych, pomijajc
dokumenty zwizane z organizacj przedsiwzicia. Z dokumentw
niezbdnych do przeprowadzenia prac dotyczcych obiektu (badanego
systemu Zleceniodawcy) wymieniono dwa:
1. dokumentacja techniczna obiektu; 2. wewntrzne regulacje
dotyczce porzdku prawnego w obiekcie
w tym obowizujce (i praktykowane) procedury; istotnym narzdziem
zespou jest wykaz rodzajw atakw, aktualny na dzie rozpoczcia
testw:
3. kategorie atakw.
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 34
Tab. 2-2. Wykaz wytwarzanych dokumentw
Lp. Nazwa dokumentu Status dokumentu Wytwrca
1. (15) Notatka wewntrzna Zespou z przegldu zabezpiecze ochrony
FT i ppo.
Wewntrzny Eksperci
2. (16) Notatka wewntrzna Zespou z przegldu systemu
zasilania
Wewntrzny Eksperci
3. (22) Notatka wewntrzna Zespou o wynikach zautomatyzowanych
bada podatnoci
Wewntrzny Eksperci
4. (23) Notatka wewntrzna Zespou o wynikach zautomatyzowanych
bada konfiguracji
Wewntrzny Eksperci
5. (27) Raport z bada technicznych systemw i sieci
teleinformatycznych Zleceniodawcy
Wewntrzny Eksperci
6. (24) Notatka wewntrzna Zespou o wynikach zautomatyzowanych
bada zaaplikowanych aktualizacji
Wewntrzny Eksperci
7. (25) Wytyczne do wykonania uzupeniajcych rcznych testw
penetracyjnych
Wewntrzny Wykonawcy
8. --- Lista rozwaanych atakw kombinowanych
Wewntrzny Wykonawcy
9. --- Wykaz elementarnych atakw Wewntrzny Wykonawcy
10. --- Wyselekcjonowana lista atakw do bada rcznych
Wewntrzny Eksperci
11. --- Notatka subowa o osigalnoci informacji o budowie i
waciwociach badanego systemu
Wewntrzny Wykonawcy
12. --- Plan testw penetracyjnych i przegldw konfiguracji
Oficjalny/przek. Wykonawcy
13. --- Owiadczenie zleceniodawcy o akceptacji planu testw i
zasadach odpowiedzialnoci
Oficjalny Zleceniodawca
14. --- Notatki subowe sprawozdania z bada i przegldw
konfiguracji
Oficjalny Eksp./Zlec.
15. (26) Wstpny wykaz Podatnoci do natychmiastowego usunicia
Wewntrzny Wykonawcy
16. (28) Raport z testw penetracyjnych (wyniki rcznych testw
penetracyjnych)
Oficjalny/przek. Wykonawcy
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 35
17. (29) Wykaz Podatnoci do natychmiastowego usunicia
Oficjalny/przek. Wykonawcy
18. (30) Potwierdzenie przez Zleceniodawc przyjcia wykazu
zidentyfikowanych Podatnoci do natychmiastowego usunicia
Oficjalny Wyk./Zlec.
19. (32) Wybrane raporty generowane przez narzdzia
Oficjalny Wykonawcy
UWAGI 1. Numery w nawiasach okrgych w kolumnie Lp. oznaczaj
numery
odpowiednich dokumentw wedug wykazu metodyki LP-A.
2. Nazewnictwo dokumentw odpowiada uytemu w LP-A z wyjtkiem
wiersza 16, gdzie nazw odpowiednika dokumentu wg LP-A ujto w
nawiasie.
3. Opis Wyk./Zlec. lub Eksp./Zlec. w kolumnie Wytwrca oznacza, e
jest to dokument wytwarzany w wyniku wzajemnych uzgodnie pomidzy
wykonawcami i upowanionymi przedstawicielami Zleceniodawcy,
autoryzowany przez obie strony.
4. Status oficjalny/przek. oznacza, e dokument ten zostaje
przekazany zleceniodawcy w trakcie prac.
5. Status oficjalny oznacza, ze dokument ten stanowi bezporedni
podstaw do opracowania dokumentw kocowych lub zostaje do tych
dokumentw wczony w caoci.
6. W kolumnie Wytwrca zamiast wykonawcy uywano okrelenia
eksperci.
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 36
Rozdzia 5. Diagramy przepywu danych Na podstawie zamieszczonych
w dalszej czci niniejszego
rozdziau diagramw mona: 1) oceni zoono procesw; 2) rozpozna
zalenoci pomidzy dokumentami; 3) oceni na podstawie zalenoci
pomidzy procesami oraz skadu
osobowego Zespou, moliwoci rwnolegego prowadzenia zada. Dla
Zleceniobiorcy, diagramy (i metodyka jako cao) znacznie
wspomaga wycen prac. Naley przy tym zaznaczy, e w przypadku
przedsiwzicia w Instytucji posiadajcej rozoone terytorialnie
Oddziay i Filie (lub podobne jednostki organizacyjne),
przedstawione procesy etapu wykonawczego bd powielane. W przypadku
posiadania przez Zesp wystarczajcych zasobw ludzkich i odpowiednich
narzdzi, jeeli tego wymaga konkretny kontrakt, istnieje moliwo
zrwnoleglenia znacznej czci prac.
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 37
Diagram 2.1. Nieformalny DFD samodzielnego przedsiwzicia
testw
penetracyjnych
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 38
Diagram 2.2. DFD_1 testw penetracyjnych schemat oglny.
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 39
Diagram 2.3. DFD_2 fazy analizy proces nr 1
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 40
Diagram 2.4. DFD_2 proces nr 5
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 41
Rozdzia 6. Rzetelne praktyki Niniejszy rozdzia zawiera zapis
tzw. rzetelnych praktyk
(nazywanych te najlepszymi praktykami z ang. best practices),
tj. nalecych do kategorii know-how, heurystycznych metod
postpowania, wypracowanych i sprawdzonych podczas dotychczasowej
praktyki. 1. Kade badanie, rozmowa, wizja lokalna etc. jest
zawsze
przeprowadzana przez dwch czonkw Zespou. 2. Z kadego dziaania
badania, rozmowy, wizji lokalnej etc. jest
sporzdzana notatka wewntrzna, ktra moe by autoryzowana, w razie
potrzeby, przez drug stron (w dokumentach Zespou, podlegajce
autoryzacji notatki wewntrzne s nazywane notatkami subowymi).
3. Szkolenie wewntrzne Zespou specjalista od sieci i urzdze
sieciowych (czonek zespou) prezentuje zespoowi oglny model przepywu
informacji w sieci lub sieciach, w tym rozdzia stref dystrybucji
pakietw i zainstalowane mechanizmy separujce.
4. Wszelkie dziaania inwazyjne w systemach Zleceniodawcy
realizowane s przez uprawnionych pracownikw Zleceniodawcy pod
kierunkiem czonkw zespou. Czonkowie zespou wykonawcy nie przejmuj
odpowiedzialnoci kompetentnych pracownikw Zleceniodawcy w adnym
zakresie, nawet jeli dla przyspieszenia prac zostan dopuszczeni do
wystpowania w roli operatora. Przy ortodoksyjnym traktowaniu tej
zasady, podczas bada czonkowie zespou fizycznie nie bd w ogle
dotyka adnych urzdze.
5. Wszelkie przegldy (np. konfiguracji stacji roboczych) s
wykonywane przez czonkw zespou zawsze w asycie przedstawiciela
Zleceniodawcy (np. administratora stacji roboczych) i za jego
zgod.
6. W przypadku wykrycia szczeglnie gronych podatnoci podczas
bada technicznych, Zleceniodawca jest informowany o nich
natychmiast po ich wykryciu, bez oczekiwania na zakoczenie caoci
prac. Postpowanie takie pozwala Zleceniodawcy na podjcie
bezzwocznych dziaa majcych na celu ochron (przed wykorzystaniem
przez zagroenia istniejcych i wykrytych podatnoci) informacji
przetwarzanej, przechowywanej i przesyanej w jego systemach i
sieciach teleinformatycznych.
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 42
Rozdzia 7. Kategorie atakw Zbir kategorii atakw, to lista
moliwych rodzajw atakw,
wyczerpujca repertuar znanych i stosowalnych atakw, formuowana
wedug stanu wiedzy aktualnego na pewien dzie (najlepiej na dzie
rozpoczcia audytu lub testw penetracyjnych). Celem wykorzystywania
tej listy jest wymuszenie pewnej dyscypliny na pracownikach
formuujcych spis moliwych atakw. Chodzi o zapewnienie, e powic oni
kadej z kategorii uwag, chociaby po to, aby odpowiedzialnie
stwierdzi, e w badanym obiekcie ataki pewnej kategorii nie s
moliwe. Rozsdne jest przeprowadzenie sesji przegldu kategorii atakw
w formie moderowanej sesji, w ktrej rola moderatora sprowadza si do
wymuszania kolejnych krokw wedug listy kategorii atakw i zadawania
pyta obowizkowych. Poza tym kada kategoria omawiana jest zgodnie z
reguami burzy mzgw.
Rozsdne jest rozpatrywanie zesp ekspertw takich kategorii
okrelajc przy rozpatrywaniu kadej odpowiedzi na pytania: Czy w
systemie znajduj si fragmenty, dla ktrych rozwaana
kategoria znajduje zastosowanie? Czy mona wskaza scenariusz
(take czarny scenariusz) ataku
kombinowanego, przynoszcego szkod Zleceniodawcy, a zawierajcy
ataki rozwaanej kategorii?
Jakie mog by miejsca, z ktrych ataki rozpatrywanej kategorii
mona przeprowadzi (wewntrzne, zewntrzne)?
Poniej zaprezentowano przykad wykazu kategorii atakw:
1. Ataki prowadzce do odmowy usug Dos (Denial-of-Service). 1.1.
Naduycia wasnoci usugi lub protokou.
1.1.1. Zasypywanie kont pocztowych (e-mail) przesykami
mailbombing.
1.1.2. Zalewanie pakietami flooding. 1.1.3. Przepenianie tablicy
potwartych pocze serwera
TCP (SYN-flooding). 1.1.4. Zajcie caej puli DHCP. 1.1.5.
Przekroczenia wartoci granicznych rnych
parametrw technicznych protokow. 1.1.6. Atak na routing
(wstrzeliwanie faszywych pakietw
protokou routingu) 1.1.7.
1.2. Wykorzystania znanych wad produkcyjnych (bugs)
oprogramowania badanego systemu.
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 43
1.3. Przecianie systemw analizy treci przez zmuszanie ich do
buforowania wielkich jednostek informacji (np. kolejne wielkie
przesyki zawierajce archiwa zip, nadsyane bez ostatniego pakietu,
blokujce systemy antywirusowe, zwykle poczty, na wejciu sieci
firmowej).
1.4. 2. Przenikanie filtrw sieciowych.
2.1. Wykorzystanie nienadzorowanego ruchu. 2.2. Tunelowanie
kryptograficzne. 2.3. Ustanowienie ukrytych kanaw. 2.4.
Ustanowienie kanaw zwrotnych (zza NAT Network
Address Translation). 2.5.
3. Podsuch ruchu sieciowego. 3.1. Podsuchiwanie sniffing. 3.2.
Przekierowanie ruchu ARP-spoofing dla podsuchu w
sieciach ze switchami. 3.3. Atak Man-In-The-Middle (MITM) na
protokoy poczeniowe,
ustanowienie proxy lub innego mechanizmu przekazywania ruchu
sieciowego.
3.4. MITM dziki faszywemu serwerwi DHCP wskazanie faszywej
bramki domylnej
3.5. VLAN hopping. 3.6. Podsuch czy. 3.7. Podsuch sieci
bezprzewodowej. 3.8. Podsuch urzdze bezprzewodowych. 3.9.
Wykorzystanie keyloggerw.
3.10. 4. Przejcia sesji.
4.1. W sieci wewntrznej specyficznych aplikacji. 4.2. Webowych
przez podszywanie si (m.in. manipulacja
cookies). 4.3.
5. Kryptoanaliza 5.1. Zdobywanie materiau do kryptoanalizy i
kryptoanaliza off-
line 5.2. Ataki kryptoanalityczne on-line 5.3. Zdobycie kluczy
VPN 5.4. Zdobycie uprawnie generalnych w sieciach MS Windows 5.5.
Wykorzystanie hase domylnych ustawianych fabrycznie 5.6.
6. Ataki lokalne na stacje robocze.
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 44
6.1. Eskalacja uprawnie uytkownika (techniki specyficzne dla
systemu operacyjnego: bdy konfiguracji, przepenienia bufora,
rootkits itd.).
6.2. Osadzenie automatycznych narzdzi szpiegujcych. 6.2.1.
Skryta, rczna modyfikacja oprogramowania stacji. 6.2.2. Nakonienie
operatora do instalacji. 6.2.3. Nakonienie personelu technicznego
do instalacji (np.
jako poprawki). 6.3. Nieuprawniony dostp do zasobw stacji przez
operatora. 6.4.
7. Ataki wewntrzne na zasoby sieci lokalnej. 7.1. Z przejtego
poza sieci komputera przenonego. 7.2. Wczenie przez intruza obcego
komputera w sieci
wewntrznej (niedostateczny nadzr nad gniazdkami sieciowymi).
7.3. Przez przyczenie spreparowanego nonika (np. CD, pamici
flash).
7.4. Atak legalnego operatora, przekroczenie uprawnie z
ssiedniej stacji roboczej. 7.4.1. Wykorzystanie kont wsplnych (np.
lokalnego
operatora w sieciach Windows). 7.4.2. Wykorzystanie bdw
konfiguracji. 7.4.3. Wykorzystanie specyficznych klientw
aplikacji.
7.5. Wykorzystanie znanych wad produkcyjnych oprogramowania
(bugs).
7.6. 8. Ataki na aplikacje
8.1. Atak na baz danych za porednictwem interfejsu WWW. 8.1.1.
SQL injection. 8.1.2.
8.2. Wykorzystanie acuchw formatujcych (format strings). 8.3.
Przepenienia bufora. 8.4. Wykorzystanie znanych wad produkcyjnych
oprogramowania
(bugs). 8.5.
9. Ataki na aplikacje specyficzne dla badanego systemu. 9.1.
Lokalne ataki na klienta aplikacji. 9.2. Zdalne ataki na serwer
aplikacji. 9.3. Wykorzystanie typowych bdw programistw. 9.4.
10. Skierowanie mechanizmw ochronnych przeciw elementom systemu
(atak HIV).
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 45
10.1. Blokada kont usugi po wielokrotnych prbach logowania z
bdnym hasem.
10.2. Przekroczenie dopuszczalnych rozmiarw logw (take
zapenienie dysku logami).
10.3. Spowodowanie wygenerowania dynamicznych regu filtrw
sieciowych (np. firewalli) przez generowanie ruchu sieciowego
zawierajcego rozpoznawane sygnatury atakw i faszywe identyfikatory
rde ruchu.
10.4. Przecianie systemu wewntrznym ruchem generowanym przez
rozproszony system wykrywania wama (IDS).
10.5. 11. Znane exploity zidentyfikowanych elementw
programowych
obiektu (jeli nie s sprawdzane w ramach bada automatycznych).
Naley rozpatrze exploity ostatnio opublikowane w powszechnie
uznanej witrynie, o krtkim czasie aktualizacji, np.: 11.1.
http://www.securiteam.com/exploits/archive.html 11.2.
http://packetstormsecurity.nl/ 11.3.
12. Manipulowanie ludmi (social engineering) 12.1. Typowe
techniki werbowania (w tym pod faszyw flag). 12.2. Podrzucenie
nonikw. 12.3. Wyudzanie danych autentykacyjnych. 12.4. Nakanianie
do niewielkich grzecznoci. 12.5. Wykorzystanie przeciw pracownikom
kompromitujcych
informacji wydobytych z ich stacji roboczych. 12.6.
-
A. E. Patkowski
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 46
Podsumowanie Metodyk prowadzenia testw penetracyjnych P-PEN
sformuowano w ten sposb, aby moga zosta wykorzystana zarwno jako
proces 4.3.6 metodyki LP-A, jak i jako metodyka prowadzenia
samodzielnego przedsiwzicia. Metodyka P-PEN daje: 1) moliwo
wykrycia szczeglnie gronych podatnoci i przekazanie
Zleceniodawcy przez wykonawcw wykazu podatnoci do
natychmiastowego usunicia;
2) Zleceniodawcy peny obraz stanu zabezpiecze jego sieci i
systemw, co zwykle stanowi podstaw do dalszych dziaa w zakresie
zabezpiecze.
Podobnie jak w przypadku metodyki LP-A, tak i dla P-PEN na
podstawie informacji zamieszczonych w opisie metodyki mona:
1) oceni zoono procesw metodyki; 2) rozpozna zalenoci pomidzy
wytwarzanymi dokumentami; 3) dobra skad Zespou, uwzgldniajc
wymagane zakresy
kompetencji (kwalifikacji i uprawnie) czonkw Zespou; 4) oceni na
podstawie zalenoci pomidzy procesami (oraz skadu
osobowego Zespou) moliwoci rwnolegego prowadzenia poszczeglnych
dziaa;
5) uoy harmonogram prac; 6) oszacowa koszty przeprowadzenia
prac.
Nie bez znaczenia moe by te fakt, e w przypadku znajomoci
metodyk, zarwno LP-A, jak i P-PEN przez obie zainteresowane strony
(Zleceniodawc i Zleceniobiorc), posuguj si one jednolicie rozumian
terminologi i posiadaj jednolit podstaw pojciow do prowadzenia
dyskusji i podejmowania konkretnych decyzji.
-
Metodyka P-PEN przeprowadzania testw penetracyjnych systemw
teleinformatycznych
Biuletyn Instytutu Automatyki i Robotyki, 00/2007 47
Literatura
[1] Information Systems Security Assessment Framework (ISSAF),
Draft 0.2.1B. http://www.oissg.org, OISSG 2006.
[2] Liderman K., Patkowski A.E.:. Metodyka przeprowadzania
audytu z zakresu bezpieczestwa teleinformatycznego, Biuletyn IAiR
Nr 19, WAT, Warszawa 2003.
[3] Pete Herzog: OSSTMM 2.2. Open-Source Security Testing
Methodology Manual. http://www.isecom.org, ISECOM 2006.
[4] T. J. Klevinsky, Scott Laliberte, Ajay Gupta: Hack I.T.:
Security Through Penetration Testing. Addison Wesley 2002.
[5] Tiller J.S.: The Ethical Hack. A Framework for Business
Value Penetration Testing. Auerbach Publications (CRC Press LLC),
Washington 2005.
Recenzent:
Praca wpyna do redakcji:
Skad zespou, kwalifikacje jego czonkw i zakresy
kompetenWyposaenie narzdziowe zespouSzablony edycyjne
dokumentwAktualny zbir exploitwSkanery portwSkanery
bezpieczestwaSkanery konfiguracjiTabele IPOSpecyfikacja zbiorcza
dokumentw