Jak sprawdzić zabezpieczenia

Sprawdzenie rzeczywistego poziomu bezpieczeństwa w firmie jest dość trudne. Jedną z zalecanych metod są testy penetracyjne.

Zadaniem testu penetracyjnego jest symulowanie rzeczywistego ataku, przeprowadzonego przez intruza. Obiektem atakowanym może być serwis internetowy, baza danych, infrastruktura sieciowa, ale także może on służyć wyszukiwaniu podatności systemu IT firmy na ataki, próbie przechwycenia informacji lub przełamaniu wybranych zabezpieczeń. Efektem końcowym ataku powinno być określenie wszystkich słabych punktów systemu oraz wskazanie zasobów, z których intruz może skorzystać w celu dalszego ataku. W wielu przypadkach udaje się także określić sposób likwidacji luki w bezpieczeństwie.

Najczęściej stosowanym testem penetracyjnym jest symulowanie ataku z zewnątrz, przez sieć Internet. Pierwszym zadaniem jest rozpoznanie sieci (rekonesans), a potem wykonuje się kolejne działania - enumeracja obiektów, analiza podatności, próba wykorzystania rozpoznanych luk, a następnie analiza wyników i raportowanie. Badanymi lukami są przeważnie: XSS, przepełnienie bufora, wstrzyknięcie kodu , ataki odmowy obsługi. Audytor powinien także dokładnie przetestować proces uwierzytelnienia i typowe jego błędy (przechowywanie lub przesyłanie haseł w sposób otwarty bądź bardzo prosto zaszyfrowany, podatność na pozyskanie części haseł z bazy inną drogą). Jeśli stosowane są zabezpieczenia polegające na maskowaniu haseł, należy sprawdzić, czy one naprawdę działają (np. czy i jak zmienia się maska), przy badaniu systemów uwierzytelnienia, należy sprawdzić, czy możliwa jest enumeracja użytkowników.

Oprócz prób dostępu przez Internet, sprawdza się także obecność modemów dołączonych do linii wdzwanianych. Chociaż wykorzystywane są coraz rzadziej, nadal jeszcze można spotkać dołączone modemy dla aplikacji home banking, niektóre z nich są skonfigurowane z opcją przyjmowania połączeń przychodzących. Wyszukiwanie modemów odbywa się poprzez kolejne inicjowanie połączeń telefonicznych do kolejnych numerów w firmie. Testy penetracyjne z zewnątrz są najtańszym sposobem określenia skuteczności pewnej części zabezpieczeń firmowych, ale nie obejmują całości zagadnienia ochrony firmy.

Jak testować od środka

Wiele informacji przynoszą testy wewnętrzne, których zadaniem jest wykrycie słabości zabezpieczeń technicznych sieci komputerowej w obrębie sieci lokalnej firmy. Audytor przeprowadzający taki test może wykryć drogi, z których potencjalnie może skorzystać intruz, dlatego takie testy należy traktować bardzo poważnie. O ile zapory sieciowe zazwyczaj skutecznie bronią typową sieć lokalną przed atakami z zewnątrz, wiele sieci jest zupełnie bezbronnych, gdy atak wiedzie od środka. Przy takim teście należy w pierwszej kolejności dokonać analizy publicznie dostępnej wiedzy na temat personelu. W wielu przypadkach informacja o poziomie wiedzy pracowników IT, stosowanych technologiach, a nawet o nawykach i słabościach, jest publicznie dostępna, choćby w formie CV, blogów, publicznych tekstów i analiz zamówień.


TOP 200