Każdy specjalista z kilkuletnim stażem potwierdzi, że włamywanie do systemów jest łatwe. Niestety przy dzisiejszym krajobrazie zagrożeń to obrona jest trudnym zadaniem. Z punktu widzenia atakującego wystarczy znaleźć jedną lukę, aby dostać się do środka. Z drugiej strony osoby odpowiedzialne za bezpieczeństwo muszą zawsze sumiennie wykonywać swoje zadania. Dlatego wielowarstwowa ochrona i planowanie na wypadek porażki są koniecznością, aby zapewnić bezpieczeństwo danych.

Rzadko słyszy się, żeby ktoś uważał defensywną stronę bezpieczeństwa za bardziej zabawną. Tymczasem nie do końca jest to prawda. Obie strony mają swoje własne wyzwania. Obie mają też interesujące i unikalne narzędzia, choć wielu osobom wydaje się, że narzędzia ofensywne są bardziej pociągające. Warto zadać sobie pytanie, czy obrońcy mogą wykorzystać narzędzia ofensywne, żeby ułatwić sobie życie? Jak najbardziej. W środowisku korporacyjnym można użyć tych samych narzędzi i technik stosowanych w testach penetracyjnych w celu wyszukania luk, czy słabo zabezpieczonych danych i naprawić zidentyfikowane problem, zanim wykorzystują je włamywacze.

Zobacz również:

• Testy penetracyjne systemów IT - czy warto w nie zainwestować?
• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom

Przyglądając się poszczególnym, typowym fazom testów penetracyjnych, narzędzia służące do rekonesansu, mapowania, wykrywania podatności oraz ich wykorzystywania mogą zostać użyte także w celach obronnych. Zasadnicza różnica polega na przyjęciu aktywnej postawy. Firmy poważnie podchodzące do zabezpieczeń często tak się zachowują, ponieważ jest im łatwiej przesunąć środek ciężkości z działań reaktywnych na aktywne. Wykorzystanie narzędzi i technik z arsenału atakującego może pomóc w takim przesunięciu, ponieważ ułatwiają one wykrywanie podatności.

Rozpoznanie

W fazie rekonesansu testerzy czy włamywacze starają się zebrać jak najwięcej informacji o celu ataku. Z drugiej strony ofiara może zrobić to samo, aby przekonać się, jak dużo można o się dowiedzieć się z Internetu. Choćby sprawdzając wyniki wyszukiwania w popularnych wyszukiwarkach, można przekonać się, jakie informacje zostały niepotrzebnie opublikowane, np. w serwisach społecznościowych czy w serwisach umożliwiających udostępnianie plików.

Oprócz wykrycia danych potencjalnie wystawionych na ryzyko, regularne wyszukiwanie może również doprowadzić do stron w wewnętrznej sieci, których zabezpieczenia zostały złamane. Efektem może również być znalezione fałszywych stron imitujących firmowe serwisowe internetowe (najczęściej używane w atakach typu phishing w celu wykradania danych dostępowych). Z regularnym wyszukiwaniem jest jednak problem – ta czynność jest czasochłonna, a poza tym łatwo o niej zapomnieć. Najlepszym rozwiązaniem jest w tym przypadku automatyzacja. Można do tego celu użyć narzędzia takiego, jak Google Alerts, podając w nim nazwę firmy czy inne słowa kluczowe zebrane w ramach projektu Google Hacking Diggity. Autorzy tej inicjatywy stworzyli rozwiązanie, będące zbiorem najnowszych technik wykorzystujących wyszukiwarki internetowe (Google, Bing, Shodan) do szybkiego wyszukiwania podatności czy poufnych danych w sieciach korporacyjnych. Dzięki tym narzędziom proces rekonesansu można zautomatyzować i zapomnieć o nim.

To istotne, ponieważ podstawowy problem z rekonesansem polega na tym, że jest to żmudna operacja. W wielu przypadkach pentesterzy czy osoby odpowiedzialne za bezpieczeństwo nie mają takiego komfortu czasowego, jak zmotywowany włamywacz. Nie znaczy to, że należy bagatelizować tę fazę testów penetracyjnych. Jeśli jednak weźmiemy pod uwagę, jak dużo czasu atakujący może poświęcić na rozpoznanie, to różne metody automatyzacji nabierają sensu.

Mapowanie zasobów

Po przeprowadzeniu rekonesansu tester może przejść do fazy mapowania zasobów sieciowych, aby zidentyfikować maszyny i usługi pracujące w badanej sieci. Jednym z najlepiej znanych narzędzi do mapowania jest nmap. To oprogramowanie potrafi wykrywać w sieci aktywne urządzenia i zbierać szczegółowe informacje, o działających w nich usługach. Nowsze wersje tego narzędzia zawierają rozbudowany mechanizm obsługi za pomocą skryptów, umożliwiający jeszcze dokładniejsze analizowanie zasobów sieciowych.

Nmap jest świetny, jeśli chodzi o skanowanie wewnętrznej sieci w poszukiwanie urządzeń oraz usług, których nie powinno tam być. Można go również używać do skanowania zewnętrznych sieci, aby np. zweryfikować poprawność działania zapór sieciowych. Bardzo przydatną funkcją z punktu widzenia obronnego jest narzędzie ndiff , które umożliwia porównywanie wyników dwóch różnych skanowań. Przykładowo, można skonfigurować nmap do pracy w nocy, a następnie wyniki każdego testu porównywać ze wzorcem lub wynikami testu przeprowadzonego poprzedniej nocy. Końcowy raport może zawierać informacje o nowych urządzeniach czy usługach, które pojawiły się w sieci, co z kolei może wskazywać na obecność intruza.