Najważniejsze możliwości skanerów systemowych

Sprawdzanie plików. Jednymi z podstawowych testów wykonywanych przez skaner systemowy są testy plików. Skaner może sprawdzać uprawnienia dostępu do plików. Sprawdza również uprawnienia dostępu do plików wykonywalnych, katalogów systemowych i katalogów domowych użytkowników. Ten typ testów można zwykle łatwo dostosować do zasad bezpieczeństwa przyjętych dla danego serwera.

Niektóre skanery mogą również monitorować zmiany, jakie zaszły w plikach od poprzedniego skanu. W takim przypadku są raportowane następujące zdarzenia: pojawienie się nowych lub zniknięcie plików, zmiany w uprawnieniach, datach modyfikacji itp. Niektóre narzędzia mogą sprawdzać sumy kontrolne kluczowych plików. Metoda ta pozwala na wykrycie prób manipulacji plikami, nawet jeżeli intruz zatarł po sobie ślady. Oprócz tego skanery potrafią przeważnie wykrywać pliki potencjalnie niebezpieczne. Analogicznie może być monitorowany Rejestr w systemach Microsoft Windows.

Użytkownicy i grupy. Kolejna grupa testów jest związana z użytkownikami nadzorowanego systemu. Skaner ma możliwość sprawdzenia, czy użytkownicy i grupy nie mają zbyt wysokich przywilejów, czy wykorzystwane są standardowe nazwy użytkowników i hasła itp. Niektóre narzędzia posiadają również możliwość monitorowania zmian. Można np. sprawdzać, czy ktoś przybył bądź ubył z danej grupy oraz czy i jak zmieniły się przywileje danego użytkownika.

Sprawdzanie haseł. Znaczna część skanerów systemowych ma możliwość sprawdzania siły stosowanych haseł. Hasła mogą być sprawdzane metodą brute force, co polega na automatycznym wypróbowaniu wszystkich kombinacji określonego zbioru znaków.

Wadą metody brute force jest konieczność zaangażowania dużej mocy obliczeniowej do wypróbowania wszystkich możliwych kombinacji. W związku z tym większość intruzów stosuje w próbach łamania haseł metody słownikowe. Zakładają one (niestety słusznie), że duża część haseł to słowa, imiona czy nazwy własne (miejscowości, nazwy drużyn piłkarskich itp.) lub ich nieznaczne modyfikacje (dodanie cyfry, wykrzyknika itp.). W polskich warunkach słownik dostarczony przez producenta narzędzia warto zastąpić słownikiem składającym się ze słów polskich i angielskich. Oprócz prób złamania haseł, skanery systemowe mogą sprawdzać ustawienia związane z wygasaniem haseł.

Próba siły haseł przy użyciu skanera może w znaczny sposób obciążać skanowany system, skaner przeprowadza bowiem miliony prób uwierzytelnienia. Niektóre skanery umieją pobrać z systemu zaszyfrowane hasła i przeprowadzać próby łamania haseł w trybie wsadowym - poza testowanym systemem.

Sprawdzanie konfiguracji. Jednym z głównych zadań skanera systemowego jest sprawdzanie konfiguracji systemu. Do tej grupy zalicza się również testowanie odporności na znane ataki. Są tu stosowane dwie metody: sprawdzenie, czy system zawiera programy i ustawienia charakterystyczne dla danego ataku (np. włączone rozszerzenia FrontPage w serwerze IIS) oraz sprawdzenie zainstalowanych poprawek producenta systemu.

Automatyczne usuwanie błędów. Część skanerów systemowych nie tylko potrafi wykrywać zagrożenia, ale również usuwać niektóre z nich. Na przykład usunąć znalezione pliki .rhosts, przywrócić zadane ustawienia, usunąć niebezpieczne oprogramowanie, zrekonfigurować interfejs sieciowy. Własność ta jest bardzo pożyteczna, ale może też (jak każdy automat) powodować błędy w konfiguracji.

Skanery sieciowe

Skanery sieciowe częściowo naśladują metody stosowane przy testach penetracyjnych. Skaner sieciowy jest instalowany na stacji podłączonej do badanej sieci. Dane wejściowe stanowi jedynie zakres adresów IP.

Skaner przegląda wszystkie adresy i usiłuje zdobyć jak najwięcej informacji o testowanych stacjach i serwerach. Sprawdza, za pomocą jakich protokołów może się połączyć, identyfikuje aplikacje i bada, czy są one podatne na znane ataki. Na życzenie operatora skaner może nawet próbować uruchomić odpowiednie exploity. Nic dziwnego, że produkty te są reklamowane jako "haker w pudełku".

Bardzo ważne jest dobranie punktu, z którego będzie działał skaner sieciowy. Jeżeli będzie umiejscowiony w dowolnym miejscu w Internecie, to w wyniku jego działania otrzymamy obraz bezpieczeństwa testowanej sieci z zewnątrz, uwzględniający firewalle i inne systemy na styku sieci firmowej z Internetem. Jeżeli uruchomimy go wewnątrz sieci, otrzymamy ocenę zabezpieczeń sieci po pokonaniu systemów zaporowych.