P-PEN (Infra + Web, Ogolny Przebieg Testow Pen, Guide)

BIULETYN INSTYTUTU AUTOMATYKI I ROBOTYKI NR 00, 2007

1

Metodyka P-PEN przeprowadzania testw penetracyjnych systemw

teleinformatycznych

Adam E. PATKOWSKI Zakad Systemw Komputerowych, Instytut Teleinformatyki i Automatyki WAT,

ul. Kaliskiego 2, 00-908 Warszawa

STRESZCZENIE: Artyku przestawia sformalizowan metodyk prowadzenia testw penetracyjnych systemw teleinformatycznych. Metodyka P-PEN moe zosta wykorzystana w samodzielnych przedsiwziciach testw penetracyjnych, moe te zosta uyta w ramach szerszych przedsiwzi, w szczeglnoci stanowi uzupenienie opublikowanej w 2003 r. metodyki LP-A w prowadzonych zgodnie z t metodyk przedsiwziciach audytu bezpieczestwa teleinformatycznego.

Niniejszy artyku opisuje metodyk P-PEN wykonywania testw penetracyjnych przedsiwzicia zmierzajcego do zidentyfikowania podatnoci (sabych punktw) w badanych systemach teleinformatycznych prowadzonego ze znacznym udziaem eksperymentw.

Na wstpie warto zauway, e minimalistyczne rozumienie pojcia testy penetracyjne to postpowanie dokadnie jak hacker. Ortodoksi bd wrcz uwaali, e w punkcie startowym testw nie powinna by dostpna nawet minimalna wiedza o atakowanym obiekcie, a wszystkie dziaania powinny odbywa si ogln metod black box. To podejcie ma swoje zalety: jest ciekawym wyzwaniem intelektualnym, wietn zabaw, powinno by wysoko patne, fascynujce jeli zrobi si z tego widowisko, ale uytecznych informacji daje niewiele. Co wicej nie odpowiada nawet deklarowanemu modelowi postpowania jak hacker.

A. E. Patkowski

Biuletyn Instytutu Automatyki i Robotyki, 00/2007 2

Z drugiej strony, w wysoce uytecznych publikacjach, uznawanych za podstawowe i jednoczenie odpowiadajce obecnemu stanowi technologii (np. [3], [4] lub [5]), widoczna jest tendencja do opatrywania nazw testy penetracyjne przedsiwzi w istocie stanowicych ocen bezpieczestwa teleinformatycznego, pod warunkiem, e owa ocena bdzie zawieraa dostatecznie obszerny udzia bada technicznych.

Jak si wydaje, takie szerokie uycie nazwy testw penetracyjnych w miejsce znacznie wciwszego audytu lub badania bezpieczestwa teleinformatycznego jest to naturalna reakcja rodowiska inynierw na napyw na rynek usug oceny bezpieczestwa bezrobotnych ostatnio audytorw jakoci, bez kwalifikacji technicznych, co owocuje papierowymi audytami oferowanymi pod nazw audyt bezpieczestwa wanie. Papierowe audyty s dobrze przyjmowane przez menederw, bo zapewniaj tanio adne certyfikaty, wynik jest zwykle zgodny z podanym, a zalecenia pokontrolne nie wymagaj zakupw drogiego sprztu, tylko co najwyej wytworzenia zaskakujco zrozumiaych dla menederw dokumentw. Poza tym raporty pisane s zrozumiaym jzykiem, a nie wpdzajcym w kompleksy slangiem inynierw. Nazwa testy penetracyjne jednoznacznie sygnalizuje wyrafinowane badania techniczne i raczej nie zostanie przejta jako nazwa papierowej usugi.

Dalej testy penetracyjne rozwaane s jako jeden ze sposobw zbierania informacji w ramach badania odpornoci/podatnoci (lub szerzej bezpieczestwa) systemw komputerowych.

Cechy wyrniajc testy penetracyjne spord innych rodzajw poszukiwania podatnoci to:

potwierdzanie zidentyfikowanych podatnoci przez precyzyjne wskazanie (czsto poparte pokazem) skutecznych atakw owe podatnoci wykorzystujcych;

tradycyjna przewaga technik heurystycznych, opartych zwykle na osobistym dowiadczeniu realizujcych badania ekspertw;

ukrywanie tych sposobw przez firmy i ekspertw wynikajce z traktowania ich jako know-how nie podlegajcego ochronie prawnej.

Doda naley, e istotn konsekwencj tych cech jest wymaganie wysokich kwalifikacji wykonawcw. Testy penetracyjne s postrzegane nawet w rodowisku specjalistw jako zajcie blisze sztuce, ni rzemiosu. Dla zleceniodawcy oznacza to niestety cakowity brak kontroli nad tym, co waciwie zrobi wykonawca testw penetracyjnych, a take, co znacznie gorsze, brak informacji zarwno o wnikliwoci, jak i skutecznoci bada.

Metodyka P-PEN przeprowadzania testw penetracyjnych systemw teleinformatycznych


W miar rozwoju dziedzin rozpoznawania podatnoci, rozpoznawane coraz nowe sposoby okazyway si niezbyt skomplikowane. Zauwaono, e mona zrezygnowa ze wskazywania dokadnych sposobw wykorzystania podatnoci wystarczao stwierdzi pojedyncze objawy lub przesanki wystpowania podatnoci i na tej podstawie wnioskowa o obecnoci podatnoci i koniecznoci przeprowadzenia zabiegw naprawczych. Na rynku pojawiy si programy poddajce przegldowi rne atrybuty systemw komputerowych i w rezultacie raportujce wystpujce w owych systemach podatnoci. Takie programy to rnego rodzaju skanery bezpieczestwa, konfiguracji, zainstalowanego oprogramowania, portw itp. nazwano automatycznymi narzdziami rozpoznawana podatnoci. Obecnie mona zauway, e przedstawiciele firm zajmujcych si testami penetracyjnymi zwykle zaliczaj badania za pomoc automatycznych narzdzi do podstawowych testw penetracyjnych czasem nawet s to jedyne oferowane badania.

W 2003 roku opublikowano metodyk LP-A prowadzenia audytu bezpieczestwa teleinformatycznego, ktra spotkaa si z przychylnym przyjciem rodowiska specjalistw zajmujcych si bezpieczestwem informacji. Jedn z cech wyrniajcych tej metodyki jest znaczny nacisk pooony na tzw. ciek techniczn bada, obejmujce take testy penetracyjne, rozumiane do wsko jako badania moliwoci wykorzystania podatnoci prowadzone wycznie metodami heurystycznymi. W metodyce tej jako jeden z procesw ujto uzupeniajce testy penetracyjne. Sowo uzupeniajce wynika tu z poprzedzania testw penetracyjnych, wyczonych jako samodzielny proces, obowizkowymi badaniami prowadzonymi za pomoc skanerw, wyrywkowymi badaniami konfiguracji oraz badaniami zabezpiecze fizycznych i technicznych.

Opisana w niniejszym opracowaniu metodyka P-PEN moe zosta wykorzystana w samodzielnych przedsiwziciach testw penetracyjnych, moe te zosta uyta w ramach szerszych przedsiwzi, w szczeglnoci stanowi uzupenienie LP-A w prowadzonych zgodnie z t metodyk przedsiwziciach audytu bezpieczestwa teleinformatycznego.

Metodyka P-PEN zostaa sformuowana dla osignicia nastpujcych celw:

minimalizacji szans pominicia ktrejkolwiek ze znanych podatnoci; pozostawienia ekspertom swobody w dziaaniu przy jednoczesnym ujciu ich

dziaania w moliwie cise formalne ramy;

uzupenienia (wczeniej opublikowanej) metodyki LP-A audytu bezpieczestwa teleinformatycznego o moliwie sformalizowany opis procesu prowadzenia testw penetracyjnych.

A. E. Patkowski


Gwna idea metodyki P-PEN polega na przeprowadzeniu prac w trzech etapach: analizy, waciwych bada i syntezy (dalej nazywanej integracj wynikw).

Etap analizy rozpoczyna si po dobraniu ekipy specjalistw o kwalifikacjach odpowiednich do elementw skadowych systemu, w tym i jego zabezpiecze. W pocztkowej fazie przedsiwzicia maj oni za zadanie opisa moliwe scenariusze atakw na zasoby badanego obiektu (zwykle systemu teleinformatycznego). Rozsdnym sposobem formuowania zbioru tych atakw jest organizacja moderowanej sesji, w ktrej przegldany jest: powinien wyczerpywa pewien zadany zbir kategorii atakw (por. Rozdzia 7). W praktyce okazuje si, e eksperci traktuj ten zbir kategorii raczej jako zbir hase, nie zmienia to jednak faktu, e zmuszeni do zastanowienia i wypowiedzi na kade z nich, dokonuj zupenego przegldu zagroe. Naley podkreli, e w ramach przegldu eksperci maj za zadanie dla kadego hasa oceni moliwo skojarzenia z nim jakiego zoonego (kombinowanego) ataku, prowadzcego do konkretnego celu. Inaczej mwic musz oni sformuowa opisy takich atakw kombinowanych, ktre prowadz do atrakcyjnego z punktu widzenia napastnika lub szkodliwego z punktu widzenia Zleceniodawcy, celu. Zbir takich opisanych atakw nazwano list rozwaanych atakw kombinowanych. Naley podkreli, e eksperci w trakcie tej fazy dziaania maj okazj do wykazania si sw sztuk i pomysowoci. Jedynym ograniczeniem ich inwencji jest konieczno rozwaania kadej z pozycji zadanego wstpnie zbioru ujtego metodyce w oddzielnym rozdziale (Rozdzia 7 Kategorie atakw). Ten rozdzia zosta sformuowany na podstawie wasnych dowiadcze, gdy zawarto adnej z uznanych fundamentalnych publikacji, traktujcych o metodach prowadzenia bada technicznych bezpieczestwa (zwykle pod nazw testw penetracyjnych: [1], [3], [4] oraz [5]) nie okazaa si uyteczna w praktyce jako wzorzec zbioru kategorii atakw. Wykaz kategorii atakw ujty w metodyce nie jest zamknity, nie jest te klasyfikacj, ani nawet podziaem (rne pozycje mona uzna za podstaw do wywiedzenia takich samych atakw kombinowanych), ma jednak niebagateln zalet sprawdza si w praktyce zespow ekspertw o bardzo rnym skadzie. Wykaz ten wymaga rwnie przed uyciem przegldu i cignicia najnowszych tzw. exploitw ze wskazanych miejsc ich publikacji w Internecie.

W dalszej czci analizy, po sformuowaniu wykazu moliwych atakw, postpowanie jest ju rutynowe: kady z opisanych atakw kombinowanych zostaje rozpisany na poszczeglne elementarne techniki skadowe (wraz z miejscem i czasem uycia w ataku), po czym dla kadej techniki naley zapisa jaki jest objaw lub przesanka rozpoznawana w badanym systemie wskazuje na moliwe powodzenie tej techniki. Objawem moe by zarwno pewien zapis



konfiguracyjny, jak i pozytywny wynik pewnego wskazanego testu-ataku. Tak powstaje spis objaww i miejsc ich wystpowania, ktry koczy faz analizy.

Naley zwrci uwag, na jeszcze jeden spodziewany, wany krok w etapie analizy: okrelenie pewnych fragmentw badanego obiektu (systemu teleinformatycznego), ktre odpowiadaj zakresom stosowania poszczeglnych kategorii atakw. W praktyce okazuje si, e dla ekspertw dokonujcych przegldu kategorii atakw po zapoznaniu si z systemem Zleceniodawcy (obiektem bada), okrelanie takich fragmentw, do ktrych stosuje si kada z kolejnych kategorii, nie stanowi problemu. Moderator sesji przegldu kategorii atakw (jeli taka jest wykonywana) powinien tylko zadba o to, aby pytanie czy jest jeszcze jaki fragment systemu, dla ktrego rozpatrywana kategoria mogaby by skuteczna? pojawiao si systematycznie.

Drug faz w metodyce s waciwe testy: sprawdzenie, czy kady z ujtych w spisie objaww w systemie wystpuje, czy te nie. Na postawie takiego spisu objaww i miejsc ich wystpowania z etapu analizy mona wygenerowa rozsdny plan testw penetracyjnych, grupujc takie pozycje spisu, ktre mog zosta sprawdzone przez pojedynczy zesp prowadzcy badania z jednego miejsca w jednej dziedzinie.

Po przeprowadzeniu bada moliwe jest dla kadej pozycji spisu techniki ataku okrelenie szans na powodzenie i wskazania dla poprawy rozpoznanego stanu, naley jednak podkreli, e jeli takie dokumenty s oczekiwane, to przedsiwzicie, w ramach ktrego prowadzone s testy penetracyjne nie jest regularnym audytem. W ramach prezentowanej metodyki nie przewiduje si bada black box, natomiast dla penego obrazu zagroe, wrd bada przeprowadza si badania osigalnoci informacji na temat atakowanego obiektu.

Ostatnim etapem metodyki jest etap syntezy. W wyniku etapu badania otrzymuje si informacje o skutecznoci elementarnych technik atakw. Odwracajc postpowanie z analizy, mona zatem rozstrzygn, czy kady ze sformuowanych na pocztku atakw kombinowanych bdzie skuteczny, czy te nie. Kocowy raport jest prost konsekwencj wnioskowania o zagroeniach dla zasobw Zleceniodawcy rozwaanymi atakami. Dodatkowo formuuje si dokadne scenariusze (take i czarne scenariusze) rozpoznanych skutecznych atakw. Zwykle bd to po prostu uszczegowione scenariusze sformuowane ju bardziej oglnie na etapie analizy, a prowadzce do sukcesu w badanym systemie.

Na koniec mona przeprowadzi demonstracj skutecznych atakw, co jednak trudno uzna za dziaanie profesjonalne pozytywne efekty da tylko jako dziaanie z zakresu ksztatowania wiadomoci, co jest efektywne wycznie w zakresie podnoszenia odpornoci na ataki socjotechniczne i to tylko w

A. E. Patkowski


rodowiskach o wysokich kwalifikacjach informatycznych. W innych rodowiskach taki eksperyment demonstracyjny pozostanie kompletnie niezrozumiany, a sprowokuje pewien typ pracownikw do niebezpiecznych zabaw w hackerw.

W ramach metodyki P-PEN nie uwzgldnia si explicite systematycznych bada kodu rdowego oprogramowania badanego systemu ani wnikliwych inspekcji jego kodw binarnych (moduw adowalnych). Na specjalne yczenie Zleceniodawcy, przy okazji testw penetracyjnych moliwe jest prowadzenie poszukiwa objaww incydentu w toku lub ladw wczeniejszych przestpstw.

Metodyk P-PEN sformuowano w ten sposb, aby moga zosta wykorzystana zarwno jako jeden z procesw metodyki LP-A jak i jako metodyka prowadzenia samodzielnego przedsiwzicia. W przypadku prowadzenia testw penetracyjnych jako samodzielnego przedsiwzicia, formalnie rzecz biorc badania zabezpiecze F-T oraz badania zautomatyzowanymi narzdziami prowadzone s rwnolegle z badaniami (waciwymi testami penetracyjnych) prowadzonymi technikami lecymi w dziedzinie teleinformatyki.

Podobnie jak w przypadku metodyki LP-A, tak i dla P-PEN na podstawie informacji zamieszczonych w opisie metodyki mona oceni zoono procesw metodyki, rozpozna zalenoci pomidzy wytwarzanymi dokumentami, dobra skad zespou wykonawczego oraz uoy plan przedsiwzicia, przewidujc jego czas trwania i koszty.

W dalszej czci artykuu zaprezentowano metodyk P-PEN w formie oddzielnego, zamknitego dokumentu, stanowicego jej formalny zapis. Na pewien niedostatek elegancji formalnej cierpi Rozdzia 7 (Kategorie atakw). By on jednak formuowany na potrzeby pewnych prac i wykorzystania w praktyce jako wzorca zbioru kategorii atakw, a nie jako wyczerpujca klasyfikacja na jakim ustalonym poziomie oglnoci. Std otwarta posta listy, w ktrej w kadym punkcie zawarto pozycj () oznaczajc inne.



Metodyka P-PEN przeprowadzania testw penetracyjnych systemw

teleinformatycznych

Spis treci Wykaz uywanych terminw i symboli graficznych .............................. 8 Wstp .................................................................................................. 13 Rozdzia 1. Skad zespou, kwalifikacje jego czonkw i zakresy kompetencji ..................................................................................... 18 Rozdzia 2. Wyposaenie narzdziowe zespou............................. 21

2.1. Szablony edycyjne dokumentw ......................................... 21 2.2. Aktualny zbir exploitw ...................................................... 24 2.3. Skanery portw.................................................................... 24 2.4. Skanery bezpieczestwa..................................................... 24 2.5. Skanery konfiguracji ............................................................ 25

Rozdzia 3. Procesy........................................................................ 26 Rozdzia 4. Specyfikacja dokumentw ........................................... 29

4.1. Tabele IPO .......................................................................... 29 4.2. Specyfikacja zbiorcza dokumentw..................................... 33

Rozdzia 5. Diagramy przepywu danych........................................ 36 Rozdzia 6. Rzetelne praktyki ......................................................... 41 Rozdzia 7. Kategorie atakw ......................................................... 42 Podsumowanie.................................................................................... 46

A. E. Patkowski


Wykaz uywanych terminw i symboli graficznych TERMINY

Atak celowe, intencjonalne dziaanie przeciw cudzym interesom. [Atak nie musi by nielegalny. Przedmiotem ataku moe by obiekt nie nalecy do ofiary, nie lecy w obszarze jej administracji, ale jeli napastnik oddziaywa na niego z intencj zaszkodzenia ofierze osigajc ten cel, to jest to skuteczny atak przeciw ofierze.] Obiekt ataku element systemu informatycznego: zasb,

urzdzenie, cze, uytkownik lub operator, na ktrym dokonywane s zabiegi prowadzce do celu ataku.

Ofiara ataku podmiot: osoba fizyczna lub prawna, ktrej interesy zostaj naraone na szwank w wyniku ataku.

Cel ataku ostateczne zmiany stanu fizycznego, prawnego lub informacji, do ktrych osignicia zmierza napastnik, zwykle powodujce straty dla ofiary ataku.

rdo ataku miejsce, z ktrego prowadzone s dziaania napastnika. W atakach teleinformatycznych jest nim zwykle komputer napastnika. Termin ten staje si niejednoznaczny w przypadku atakw za pomoc automatycznych lub zdalnie sterowanych narzdzi ataku.

Atak na system teleinformatyczny i informacj w nim przetwarzan nieuprawnione, celowe dziaania ludzi majce na celu naruszenie tajnoci, integralnoci lub dostpnoci informacji.

Atak kombinowany zoone dziaanie, w ktrym napastnik wykorzystuje wicej ni jedn z elementarnych technik (sposobw) dziaania przeciw atakowanemu obiektowi. Co wicej, atak kombinowany skada si zwykle z szeregu dziaa elementarnych, z ktrych cz moe zosta zakwalifikowana jako elementarne ataki porednie, wymierzone przeciw innym obiektom ni atak kombinowany, a zatem przynoszce szkody innym podmiotom ni ofiara ataku kombinowanego. Cz dziaa skadowych moe by neutralna, a nawet pozytywna w skutkach, a zatem nie kwalifikowa si jako ataki.

Audyt postpowanie dla oceny zgodnoci audytowanego obiektu z wzorcem (norm, wzorcem proceduralnym lub arbitralnie ustanowionym wektorem wartoci pewnych cech) prowadzone przez stron niezalen (firm, osob lub zesp). W przypadku audytu z zakresu bezpieczestwa teleinformatycznego, ta niezaleno powinna by zachowana w stosunku do: 1) organizacji/zespou budujcego system zabezpiecze; 2) dostawcw sprztu i oprogramowania;



3) organizacji podlegajcej przegldowi w takim sensie, e w skad zespou audytowego nie mog wchodzi pracownicy organizacji zlecajcej audyt.

Audytor czonek zespou audytowego przeprowadzajcy badania i analizy.

Audytor kwalifikujcy czonek zespou audytowego uprawniony do formuowania ocen uoglniajcych z bada przeprowadzonych przez zesp audytowy; w szczeglnoci uprawniony do ferowania ostatecznych sdw audytowych o zgodnoci rozpoznanego stanu rzeczy z generalnym wzorcem audytowym.

Bezpieczestwo stopie racjonalnie uzasadnionego (np. analiz ryzyka) zaufania, e potencjalne straty nie zostan poniesione. (pot.) niepodleganie obawie; spokj; pewno, e si nic zego nie stanie.

Bezpieczestwo teleinformatyczne stopie uzasadnionego zaufania (por. np. ISO/IEC 15408) e potencjalne straty wynikajce z niepodanego (przypadkowego lub wiadomego) ujawnienia, modyfikacji, zniszczenia lub uniemoliwienia przetwarzania informacji przechowywanej i przesyanej za pomoc systemw teleinformatycznych nie zostan poniesione.

Exploit rutynowy algorytm (czsto w postaci skryptu lub programu) wykorzystania podatnoci systemu komputerowego na szkod jego bezpieczestwa.

Incydent w toku atak w trakcie trwania. Dotyczy nie tylko czasu ingerencji hackera w system, ale np. caego czasu pozostawania automatycznego szpiega w systemie.

Informacja wraliwa dla okrelonego podmiotu s to wszelkie informacje, ktre mog zosta wykorzystane przeciwko temu podmiotowi poprzez ujawnienie, uniedostpnienie oraz zmanipulowanie jawne lub skryte. W szczeglnoci, s to wszystkie informacje, ktre musz by chronione, bo tak nakazuj obowizujce przepisy prawne (np. ustawa o ochronie danych osobowych) oraz takie informacje, ktrych nakaz ochrony nie jest zawarty w adnych regulacjach prawnych, a ktre dla konkretnych organizacji je wytwarzajcych i przetwarzajcych, s wskazywane przez kompetentne organy, np. suby ochrony pastwa, wewntrzne komrki bezpieczestwa w danej organizacji, penomocnika ds. bezpieczestwa informacji itp.

Kategoria ataku grupa atakw, scharakteryzowana pewn charakterystyczn wspln cech; wrd ekspertw zwykle panuje zgoda co wyrnienia takich grup (chocia czciej uywa si okrelenia typ ataku). Okrelenie kategorii atakw (i

A. E. Patkowski


szczeglnych jej reprezentantw) powinno by dokonane na podstawie aktualnego stanu wiedzy,

Metodyka (fr. mtodique od mtode metoda) 1. przyjte zasady okrelajce sposb wykonywania okrelonego typu prac, bada itp.; tryb postpowania. 2. nauk. w dydaktyce zasady nauczania danego przedmiotu oparte na szczegowym wyznaczeniu celw oraz rodkw i metod ich uzyskiwania. (Sownik Wyrazw Obcych Wyd. Europa. 2001)

Obiekt bada poddawany badaniu obiekt, tu: system, program lub zbir danych, ktrego cechy szczeglne: atrybuty, sposb zachowania si, podlegaj rozpoznaniu w trakcie bada.

Ochrona fizyczna zapewnianie bezpieczestwa za pomoc personelu, zwykle wyspecjalizowanego: stranikw, patroli interwencyjnych itd. wyposaonego w odpowiednie rodki techniczne i przymusu bezporedniego, w razie potrzeby uzbrojonego.

Przedmiot bada rozpoznawane w trakcie bada wielkoci, atrybuty, cechy zachowania si obiektu bada.

Podatno (ang. vulnerability) wady lub luki struktury fizycznej, organizacji, procedur, personelu, zarzdzania, administrowania, sprztu lub oprogramowania, ktre mog by wykorzystane do spowodowania szkd w systemie informatycznym lub dziaalnoci uytkownika.

UWAGI 1 Istnienie podatnoci nie powoduje szkd samo z siebie. Podatno

jest jedynie warunkiem lub zestawem warunkw, ktre umoliwiaj uszkodzenie systemu lub zakcenie dziaalnoci uytkownika przez atak

2 jeli podatno odpowiada zagroeniu, istnieje ryzyko. (punkt 3.1.064 w PN-I-02000:1998)

rodki bezpieczestwa rodki fizyczne (np. pot), techniczne (np. system alarmowy), ludzkie (np. wartownik), programowe (np. oprogramowanie antywirusowe) lub dziaania organizacyjne (np. szkolenia), stosowane w celu przeciwdziaania wykorzystaniu podatnoci przez zagroenia. Czsto, w skrcie, rodki bezpieczestwa s nazywane zabezpieczeniami.

Test black box test penetracyjny prowadzony bez wiedzy na temat badanego obiektu przekazanej jawnie przez zleceniodawc.

Test penetracyjny badanie: eksperyment (rwnie prezentacyjny) sucy weryfikacji hipotezy o podatnoci badanego obiektu lub jego w peni adekwatnego odpowiednika.

Zabezpieczenia techniczne polegajce na (wg Ustawy o ochronie osb i mienia): montau elektronicznych urzdze i systemw



alarmowych, sygnalizujcych zagroenie chronionych osb i mienia, oraz montau urzdze i rodkw mechanicznego zabezpieczenia oraz ich eksploatacji, konserwacji, naprawach i awaryjnym otwieraniu w miejscach zainstalowania.

Zagroenie (ang. threat) potencjalne naruszenie zabezpiecze systemu informatycznego (punkt 3.1.115 w PN-I-02000:1998)

Zasoby teleinformatyczne wszelkie zasoby fizyczne (np. sejf), techniczne (np. urzdzenia klimatyzacyjne, komputery), informacyjne w rnej postaci (np. papierowa dokumentacja techniczna sieci, zawarto elektronicznych baz danych) do ktrych nieupowaniony dostp lub zniszczenie moe by przyczyn utraty poufnoci, integralnoci lub dostpnoci informacji przetwarzanych, przechowywanych i przesyanych w systemach i sieciach teleinformatycznych.

A. E. Patkowski


SYMBOLE GRAFICZNE

Nazwa procesu

nr

symbol procesu na DFD

symbol terminatora, tj. elementu zewntrznego w stosunku do procesw opisywanych za pomoc DFD. Nazwa terminatora

Nazwa magazynu

symbol magazynu, tj. elementu mogcego gromadzi dane (dokumenty lub inne, zalene od modelowanego kontekstu, elementy).

symbol przepywu danych (dokumentw, informacji itd.) pomidzy elementami DFD.

UWAGA! Symbole graficzne procesw i magazynw, rysowane na diagramach DFD lini przerywan, oznaczaj procesy i magazyny opcjonalne wystpujce w przypadku realizacji testw penetracyjnych jako samodzielnego przedsiwzicia, nie wystpujce natomiast w przypadku realizacji testw penetracyjnych jako elementu audytu prowadzonego zgodnie z (wczeniej opublikowan) metodyk LP-A przeprowadzania audytu z zakresu bezpieczestwa teleinformatycznego.



Wstp

Niniejszy dokument opisuje metodyk P-PEN wykonywania testw penetracyjnych przedsiwzicia bada technicznych zmierzajcego do zidentyfikowania podatnoci (sabych punktw) w badanych systemach teleinformatycznych prowadzonego ze znacznym udziaem eksperymentw.

W 2003 roku opublikowano metodyk LP-A prowadzenia audytu bezpieczestwa teleinformatycznego, ktra spotkaa si z przychylnym przyjciem rodowiska specjalistw zajmujcych si bezpieczestwem informacji. Jedn z cech wyrniajcych tej metodyki jest znaczny nacisk pooony na tzw. ciek techniczn bada, obejmujc take testy penetracyjne. W metodyce LP-A jako proces o numerze 4.3.6 ujto uzupeniajce testy penetracyjne. Sowo uzupeniajce wynika tu z poprzedzania testw penetracyjnych, wyczonymi jako samodzielne procesy, badaniami prowadzonymi narzdziami automatycznymi (4.3.2 i 4.3.3), badaniami konfiguracji (4.3.1) oraz badaniami zabezpiecze fizycznych i technicznych (F-T, proces 4.2). Jak atwo std wywnioskowa, testy penetracyjne definiowane s na potrzeby LP-A do wsko jako badania moliwoci identyfikacji najnowszych lub bardzo wyrafinowanych podatnoci (np. na zoone ataki kombinowane) prowadzone metodami heurystycznymi.

Na przedstawion dalej metodyk P-PEN prowadzenia testw penetracyjnych skadaj si: 1) organizacja, zakresy kompetencji i kwalifikacje zespou (Rozdzia 1) 2) wyposaenie narzdziowe zespou (Rozdzia 2) 3) dokumenty niezbdne do zainicjowania przedsiwzicia oraz

wytwarzane w jego trakcie (Rozdzia 4) 4) model w postaci diagramw DFD opisujcy procesy wytwarzania

dokumentw i powizania pomidzy nimi (Rozdzia 3 oraz Rozdzia 5) 5) wykaz tzw. rzetelnych praktyk, tj. heurystycznych sposobw

postpowania, wypracowanych i sprawdzonych podczas dotychczasowej praktyki (Rozdzia 6).

Do przedstawienia procesw i przepywu dokumentw, zostay wykorzystane elementy metody strukturalnej projektowania systemw informatycznych. Elementy te, to przede wszystkim tabele IPO (ang. Input-Process-Output), diagramy przepywu danych (DFD ang. Data Flow Diagram) oraz stosowane na nich oznaczenia procesw, przepyww i magazynw (por. Wykaz uywanych terminw i symboli graficznych na pocztku niniejszego opracowania).

A. E. Patkowski


Metodyk P-PEN sformuowano w ten sposb, aby moga zosta wykorzystana zarwno jako proces 4.3.6 metodyki LP-A (por. Rozdzia 3 dalej), jak i jako metodyka prowadzenia samodzielnego przedsiwzicia testw penetracyjnych. Poniewa w tym drugim przypadku zakres metodyki jest nieco szerszy, w opisach (zarwno w tablicach IPO, jak i diagramach DFD) elementy wykraczajce poza LP-A oznaczono liniami przerywanymi.

Metodyka P-PEN zostaa sformuowana dla osignicia nastpujcych celw: pozostawienia ekspertom swobody w dziaaniu przy jednoczesnym

ujciu ich dziaania w cise formalne ramy; opisania postpowania w ramach przedsiwzicia testw

penetracyjnych w stopniu moliwie sformalizowanym; zapewnienia penego udokumentowania postpowania wykonawcw w

trakcie prowadzenia testw; ograniczenia do minimum moliwoci nie rozpoznania znanych

podatnoci (znanych wedug stanu wiedzy z ustalonego dnia, zwykle pocztkowego dnia przedsiwzicia) dziki usystematyzowaniu, czy wrcz zrutynizowaniu dziaa zespou wykonawcw;

uzupenienia (wczeniej opublikowanej) metodyki LP-A audytu bezpieczestwa teleinformatycznego o moliwie sformalizowany opis prowadzenia testw penetracyjnych.

Gwna idea metodyki P-PEN polega na przeprowadzeniu prac w

trzech etapach: analizy, waciwych bada i syntezy (dalej nazywanej integracj wynikw).

A. Analiza Maksymalne zrutynizowanie polega na pozostawieniu penej

swobody specjalistom z dziedziny atakw informacyjnych tylko w jednym punkcie postpowania: gdy w pocztkowej fazie przedsiwzicia maj oni za zadanie opisa moliwe scenariusze atakw na zasoby badanego obiektu (zwykle systemu teleinformatycznego). Sposb formuowania zbioru takich atakw jest jednak sterowany: powinien on powsta drog przegldu pewnego zadanego zbir kategorii atakw (na przykad takiego, jak prezentuje Rozdzia 7). Dla kadej z tych kategorii naley sformuowa opisy takich atakw, ktre prowadz do pewnych atrakcyjnych z punktu widzenia potencjalnych napastnikw, lub szkodliwych z punktu widzenia Zleceniodawcy, celw. Opisywane ataki powinny zawiera techniki atakw nalece do rozpatrywanej kategorii.



Zbir takich opisanych atakw nazwano list rozwaanych atakw kombinowanych.

Od tej pory, zgodnie z metodyk P-PEN, postpowanie jest ju rutynowe: kady z opisanych atakw kombinowanych zostaje rozpisany na poszczeglne elementarne techniki (indywidualizowane m.in. urzdzeniami lub podsystemami, przeciw ktrym s skierowane), po czym dla kadej techniki naley zapisa jaki jest objaw/przesanka wskazujca na to, e zastosowanie owej techniki w tym konkretnym miejscu zostanie uwieczone powodzeniem. Objawem moe by zarwno pewien zapis konfiguracyjny, jak i pozytywny wynik pewnego wskazanego testu-ataku. Taki spis objaww i spodziewanych miejsc ich wystpowania koczy faz analizy.

B. Waciwe badania Na postawie takiego spisu z etapu analizy mona wygenerowa

plan testw penetracyjnych, grupujc takie pozycje spisu, ktre mog zosta sprawdzone przez pojedynczy zesp prowadzcy badania z jednego miejsca w jednej dziedzinie. Po przeprowadzeniu bada moliwe jest dla kadej pozycji spisu techniki ataku okrelenie, czy okrelone dla niej objawy/przesanki s spenione.

Jeli przedsiwzicie, w ramach ktrego prowadzone s testy penetracyjne nie jest regularnym audytem, moliwe jest sformuowanie wskaza (tzw. rekomendacji) dla poprawy rozpoznanego stanu.

C. Synteza W wyniku badania otrzymuje si informacje o spodziewanej

skutecznoci elementarnych technik atakw. Odwracajc postpowanie z analizy, mona zatem rozstrzygn, czy kady ze sformuowanych na pocztku atakw kombinowanych bdzie skuteczny, czy te nie. Kocowy raport jest prost konsekwencj wnioskowania o zagroeniach dla zasobw Zleceniodawcy rozwaanymi atakami. Dodatkowo w raporcie mona uj dokadne scenariusze (take i tzw. czarne scenariusze) rozpoznanych skutecznych atakw.

W przypadku prowadzenia testw penetracyjnych jako

samodzielnego przedsiwzicia, formalnie rzecz biorc badania zabezpiecze fizycznych i technicznych (F-T) oraz badania zautomatyzowanymi narzdziami prowadzone s rwnolegle z badaniami (waciwymi testami penetracyjnymi) prowadzonymi technikami lecymi w dziedzinie teleinformatyki.

A. E. Patkowski


Metodyka P-PEN zachowuje gwne cechy z metodyki LP-A, cyt.: Cech charakterystyczn metodyki LP-A jest, w ramach tzw. cieki technicznej, realizacja bada systemw ochrony fizycznej i technicznej oraz sieci i systemw teleinformatycznych eksploatowanych w badanym obiekcie. Badania te s przeprowadzane przy uyciu wyspecjalizowanych narzdzi i s uzupeniane testami penetracyjnymi, gwnie heurystycznymi.

Efektem przyjcia takiego schematu postpowania jest: 1) moliwo wykrycia szczeglnie gronych podatnoci i przekazanie

Zleceniodawcy przez audytorw wykazu podatnoci do natychmiastowego usunicia (odrbn kwesti pozostaje, kto ma usuwa zidentyfikowane podatnoci ze wzgldw formalnych nie powinien tego robi zesp prowadzcy testy);

2) przekazanie Zleceniodawcy penego obrazu (zarwno technicznego jak i organizacyjnego) stanu zabezpiecze jego sieci i systemw, co zwykle stanowi podstaw do dalszych dziaa Zleceniodawcy w zakresie bezpieczestwa teleinformatycznego.

Podobnie jak w przypadku metodyki LP-A, tak i dla P-PEN na podstawie informacji zamieszczonych w opisie metodyki mona:

1) oceni zoono procesw metodyki; 2) rozpozna zalenoci pomidzy wytwarzanymi dokumentami; 3) dobra skad Zespou, uwzgldniajc wymagane zakresy

kompetencji (kwalifikacji i uprawnie) jego czonkw; 4) oceni na podstawie zalenoci pomidzy procesami (oraz skadu

osobowego Zespou) moliwoci rwnolegego prowadzenia poszczeglnych dziaa;

5) uoy harmonogram prac; 6) oszacowa koszty przeprowadzenia prac.

Rozdzia 6 prezentuje tzw. rzetelne praktyki (nazywane te najlepszymi praktykami z ang. best practices) tj. nalece do kategorii know-how metody lub zasady postpowania, wypracowane i sprawdzone podczas dotychczasowej praktyki. Chocia praktyki takie zostay wymienione wczeniej jako element metodyki, to naley zauway, e s one cile zwizane z konkretnym zespoem ludzi (ich kwalifikacjami, dowiadczeniem, etyk itd.). Z tego wzgldu zawarto Rozdzia 6 naley traktowa jako wskazwk kady zesp prawdopodobnie wypracuje sobie wasny zestaw rzetelnych praktyk.

W konstrukcji metodyki zmierzano do rozdzielenia czci podlegajcej silnej formalizacji opisujcej postpowanie i dokumentowanie wedug ustalonych regu, od czci sabo sformalizowanej, dotyczcej swobodnego poszukiwania rozwiza (atakw). W opisie ow cz sabo poddajc si formalizacji wyczono w oddzielny Rozdzia 7 (Kategorie atakw) zawierajcy



informacje, dla ktrych przewiduje si najkrtszy czas aktualnoci. Stanowi on wykaz obszarw, w ktrych naley szuka skutecznych atakw na badany system. Ten rozdzia zosta sformuowany na podstawie dowiadcze, gdy zawarto adnej z uznanych fundamentalnych publikacji, traktujcych o metodach prowadzenia bada technicznych bezpieczestwa (zwykle pod nazw testw penetracyjnych: [1], [3], [4] oraz [5]) nie okazaa si uyteczna jako wzorzec zbioru kategorii atakw. Wykaz kategorii atakw powinien podlega staej aktualizacji w miar zmian stanu sztuki.

A. E. Patkowski


Rozdzia 1. Skad zespou, kwalifikacje jego czonkw i zak-resy kompetencji

W tym rozdziale s przedstawione informacje nt. skadu i

kwalifikacji zespou. Sposb pracy, wynikajcy z praktycznie wdroonej i sprawdzonej metodyki zawiera Rozdzia 3. Zesp wykonawcw skada si z dwch czci: staej i zmiennej (na telefon). Dalej opisano role czonkw zespou role te mog by czone. Wyrniono zalecane role dwch czonkw zespou odpowiadajcych za cao przedsiwzicia, dla ktrych to rl, dla zgodnoci z metodyk LP-A, zachowano nazw audytorzy kwalifikujcy,

I. Skad stay zespou 1. Audytorzy kwalifikujcy dwie osoby (symbole: AK_1 i AK_2)

Wymagania: a) wyksztacenie wysze techniczne b) co najmniej kilkuletnie dowiadczenie zawodowe w dziedzinie

bada systemw komputerowych, w szczeglnoci w zakresie bezpieczestwa teleinformatycznego

c) co najmniej kilkuletnia praktyka w przeprowadzaniu audytw/przedsiwzi z zakresu bezpieczestwa teleinformatycznego

d) dowiadczenie dydaktyczne oraz umiejtno prowadzenia negocjacji

e) dopuszczenia odpowiednich Krajowych Wadz Bezpieczestwa do dostpu do informacji niejawnych (np. w Polsce, w rozumieniu ustawy o ochronie informacji niejawnych).

Do podstawowych zada audytorw kwalifikujcych naley: wykonanie przedsiwzi z etapu przygotowawczego (jeli testy

penetracyjne s samodzielnym przedsiwziciem por. Rozdzia 3)

uzgodnienie planu testw i zasad podziau odpowiedzialnoci nadzr nad wykonywaniem bada przekazanie stronie Zleceniodawcy wykazu zidentyfikowanych

Podatnoci do natychmiastowego usunicia opracowanie dokumentu kocowego. Audytorzy kwalifikujcy podpisuj si pod dokumentami kocowymi jako gwaranci rzetelnoci zawartych w nich informacji.



2. Specjalista od urzdze sieciowych i sieci komputerowych (symbol: SUS-SK) Wymagania: a) wyksztacenie wysze techniczne b) co najmniej kilkuletnie dowiadczenie zawodowe w dziedzinie

systemw komputerowych oraz w zakresie organizacji i obsugi sieci oraz budowy urzdze sieciowych

c) praktyka w przeprowadzaniu bada i/lub audytw z zakresu bezpieczestwa teleinformatycznego

d) dopuszczenia odpowiednich Krajowych Wadz Bezpieczestwa do dostpu do informacji niejawnych (np. w Polsce, w rozumieniu ustawy o ochronie informacji niejawnych).

Do zada specjalisty od urzdze sieciowych i sieci komputerowych naley: wskazanie ekspertw dziedzinowych (na etapie przygotowania

umowy) opracowanie planu testw (proces 3) nadzr nad pracami ekspertw dziedzinowych (por. Rozdzia 3) wspudzia w opracowaniu raportw.

3. Personel pomocniczy (symbol: PP)

Personel pomocniczy, zajmujcy si np. kopiowaniem, oprawianiem etc. stosownych dokumentw musi posiada dopuszczenia odpowiednich Krajowych Wadz Bezpieczestwa do dostpu do informacji niejawnych (np. w Polsce, w rozumieniu ustawy o ochronie informacji niejawnych) w przypadku prac z takimi dokumentami. W szczeglnych przypadkach (np. ankieterzy), personel taki musi posiada odpowiednie upowanienia Zleceniodawcy do przeprowadzenia okrelonych prac na terenie jego Instytucji.

II. Skad zmienny zespou (symbol: ED) Skad zmienny zespou stanowi dobierani w miar potrzeb eksperci dziedzinowi. Eksperci dziedzinowi s dobierani przez audytorw kwalifikujcych wedug wskaza specjalisty-sieciowca dla potrzeb konkretnego przedsiwzicia, w zalenoci od systemw (sprztu i oprogramowania) szczeglnie licznych lub szczeglnie wanych w badanym systemie komputerowym (np. Solaris, Windows XP, Novell, itd.) oraz konkretnych wymaga osobowych dotyczcych np. posiadania dopuszcze do informacji niejawnych. Jeli przedsiwzicie obejmuje rozpoznanie zabezpiecze fizycznych i technicznych, naley powoa specjalist w tym zakresie:

A. E. Patkowski


4. Specjalista od ochrony fizycznej i technicznej (symbol: SF-T) Wymagania: a) wyksztacenie wysze b) co najmniej kilkuletnie dowiadczenie zawodowe w dziedzinie

systemw komputerowych, w szczeglnoci w zakresie bezpieczestwa teleinformatycznego

c) praktyka w przeprowadzaniu audytw z zakresu bezpieczestwa teleinformatycznego

d) licencja pracownika zabezpieczenia technicznego II stopnia e) dopuszczenia odpowiednich Krajowych Wadz Bezpieczestwa

do dostpu do informacji niejawnych (np. w Polsce, w rozumieniu ustawy o ochronie informacji niejawnych).

Do zada specjalisty od ochrony fizycznej i technicznej naley: realizacja procesu 5.3 (por. Rozdzia 3) w przypadku, gdy testy

penetracyjne realizowane s jako samodzielne przedsiwzicie; udzia w procesie integracji wynikw (proces 6) prezentacja

wynikw bada F-T na potrzeby skutecznoci atakw.



Rozdzia 2. Wyposaenie narzdziowe zespou

Do narzdzi, ktrymi dysponuje zesp nale: szablony edycyjne dokumentw, oraz aktualny zbir tzw. exploitw (programw i skryptw pozwalajcych identyfikacj i wykorzystanie podatnoci systemw). Do wyposaenia zespou zaliczy mona te narzdzia zautomatyzowane (programy), gwnie skanery portw, skanery bezpieczestwa oraz skanery konfiguracji.

W przypadku audytu prowadzonego zgodnie z metodyk LP-A automatyczne narzdzia wykorzystywane s obligatoryjnie w odrbnych procesach (badaniach). W przypadku testw penetracyjnych prowadzonych jako samodzielne przedsiwzicie uyteczne wydaje si wykorzystanie automatycznych narzdzi po prostu dlatego, e ich raporty zawieraj gotowe odpowiedzi na pytania o wystpowanie w systemie elementarnych objaww podatnoci na wikszo podstawowych technik atakw. Naley podkreli, e raporty te s tylko czci pomocniczego materiau badawczego, oszczdzajcego planowania i rcznego wykonywania podstawowych sprawdze i eksperymentw.

Szablony edycyjne dokumentw Dla wikszoci dokumentw wykorzystywanych w postpowaniu

zgodnym z metodyk P-PEN wypracowano szablony dotyczce co najmniej ich redakcji, a w czci przypadkw ustalajce rozmieszczenia merytorycznych treci. Zbiorczy wykaz dokumentw ujto w Tab. 2-2. Niniejsze opracowanie nie zawiera szablonw edycyjnych dokumentw, ale dla najwaniejszych z nich podano niej gwne oczekiwane elementy merytoryczne:

1. Wytyczne do testw penetracyjnych (por. Wytyczne do wykonania uzupeniajcych rcznych testw penetracyjnych w Tab. 2-2): 1.1. Identyfikacja obiektu badania (systemu teleinformatycznego) i

precyzyjne okrelenie jego granic 1.2. Wskazanie zasobw z ocen ich wraliwoci 1.3. Okrelenie przedmiotu badania (dziedziny waciwoci,

parametrw oraz zachowania si obiektu podlegajce badaniu dla identyfikacji wystpujcych podatnoci)

1.4. Ograniczenia dotyczce zakresu i obiektu bada (czasu, dopuszczalnych wycze, jego dostpnoci dla bada, ewentualnej dostpnoci rodowiska testowego lub adekwatnych makiet)

A. E. Patkowski


1.5. Szczegowe procedury uzgodnie dziaania (z przedstawicielami Zleceniodawcy)

2. Lista rozwaanych atakw kombinowanych; dla kadej pozycji listy: 2.1. Definicja sukcesu 2.2. Oszacowanie strat w przypadku powodzenia 2.3. Wykaz elementarnych dziaa (technik atakw i niezbdnych

dziaa dopuszczalnych) i/lub cech elementw obiektu (konfiguracji badanego systemu) niezbdnych do powodzenia ataku

3. Wykaz elementarnych atakw; dla kadej pozycji: 3.1. Numery macierzystych pozycji (atakw kombinowanych) z

listy rozwaanych atakw kombinowanych dla ktrych powodzenie elementarnego dziaania (ataku) jest warunkiem koniecznym skutecznoci

3.2. Istota dziaania (ktrego powodzenie jest niezbdne) lub wasnoci konfiguracyjnej

3.3. Definicja sukcesu 3.4. Lista przesanek lub objaww wystarczajca do

wnioskowania o podatnoci ktrego z elementw obiektu na ten atak elementarny (wnioskowania o spodziewanym sukcesie ataku)

4. Wyselekcjonowana lista atakw do bada rcznych zbiorcza lista pozycji wg punktu 3.4 powyej, podzielona wedug dziedzin (wedug pozycji 4.4 poniej); dla kadej pozycji: 4.1. obiekt badania (urzdzenie, zbir konfiguracyjny, cze,

program, zabezpieczenie F-T, operator, stranik itd.) 4.2. przesanki na podstawie ktrych wnioskowano o moliwej

podatnoci obiektu 4.3. wskazanie narzdzia lub metody badania 4.4. wskazanie dziedziny:

4.4.1. teleinformatyczne (w tym cza) i socjotechniczne: waciwe testy penetracyjne

4.4.2. zabezpieczenia techniczne, ppo. lub ochrona fizyczna 4.4.3. zasilania (energetyczne, inne media, klimatyzacja) 4.4.4. lece w zakresie bada narzdziami automatycznymi

w poszukiwaniu podatnoci 4.4.5. lece w zakresie bada narzdziami automatycznymi

w poszukiwaniu bdw konfiguracji 4.4.6. lece w zakresie bada narzdziami automatycznymi

w poszukiwaniu opnie w aktualizacjach 5. Plan testw penetracyjnych i przegldw konfiguracji; lista zada

badawczych, dla kadego zadania skadajca si z:



5.1. wykazu wykonawcw realizujcych zadanie 5.2. miejsca w ktrym/z ktrego bd prowadzone badania (w

tym adresy przestrzenne i sieciowe) 5.3. podzbioru pozycji z wyselekcjonowanej listy atakw (punkt 4

powyej) do zbadania 5.4. harmonogram badania 5.5. wynikajce z bada obcienie zasobw (w tym personelu) i

usug Zleceniodawcy 5.6. moliwe zagroenia dla zasobw Zleceniodawcy i innych

podmiotw 5.7. procedury szczegowe postpowania

5.7.1. sposb nadzoru przez Zleceniodawc (zgoda na rozpoczcie, informacja o kolejnym kroku, odpowiedzi na pytania, informacja o zakoczeniu)

5.7.2. zasady stymulacji lub modyfikacji w systemie Zleceniodawcy wprowadzanych na potrzeby badania (np. wyduenie czasu dzierawy DHCP na czas wielodniowego skanowania lub zablokowanie tworzenia dynamicznych regu na zaporach sieciowych z inicjatywy systemw IDS na czas bada, w szczeglnoci skanerami bezpieczestwa)

5.8. zasady odpowiedzialnoci za skutki dziaa 6. Sprawozdanie z badania autoryzowane, jeli odbywao si pod

nadzorem personelu Zleceniodawcy (por. Notatki subowe sprawozdania z bada i przegldw konfiguracji w Tab. 2-2). 6.1. Czas dziaania zespou i lokalizacja kadego z miejsc, w

ktrym/z ktrego odbywao si badanie 6.2. Wykaz czynnoci 6.3. Wyniki

6.3.1. w czci formalnej: dokadny odpowiednik wyselekcjonowanej listy atakw, przy czym dla kadej zaplanowanej do badania pozycji okrela si wynik (podatno: wystpuje,/nie wystpuje/badanie nie dostarczyo jednoznacznych wynikw/badanie nie powiodo si/odstpiono od wykonania badania)

6.3.2. w czci opisowej: dodatkowe wyjanienia i obserwacje, szczeglnie jeli odstpiono od badania

6.4. Informacja o wsppracy z personelem Zleceniodawcy 7. Wykaz Podatnoci do natychmiastowego usunicia 8. Raport z testw penetracyjnych por. Raport z testw

penetracyjnych (wyniki rcznych testw penetracyjnych) w Tab. 2-2 8.1. Sprawozdanie z dziaa

A. E. Patkowski


8.2. Oglny wykaz podatnoci 8.3. Ustosunkowanie si do wszystkich pozycji z listy atakw

kombinowanych 8.4. Scenariusze skutecznych atakw (w tym konieczna wiedza i

rodki napastnika) 8.5. Czarne scenariusze (przy zaoeniu, e wszystko sprzyja

napastnikowi, niektre rodki ochrony zawodz) 8.6. Oceny szans zajcia i powodzenia poszczeglnych atakw i

w konsekwencji ocena moliwych strat 8.7. Zintegrowana ocena zagroenia

Aktualny zbir exploitw W badaniach wykorzystuje si rwnie tzw. exploity oraz

autentyczne narzdzia atakw, aktualizowane bezporednio przed rozpoczciem testw penetracyjnych. Zwykle do tej klasy zalicza si rwnie odpowiednie autorskie opracowania czonkw zespou.

Skanery portw Skanery portw to automatyczne narzdzia odwoujce si

wybranych portw za pomoc spreparowanych pakietw i wspomagajce wnioskowanie z odpowiedzi na te pakiety. Zwykle wykorzystywane jako narzdzie w rcznych testach penetracyjnych.

Skanery bezpieczestwa Skaner bezpieczestwa to program, lub sterowany tym

programem system komputerowy, przegldajcy komputery nalece do pewnego zadanego zbioru i sprawdzajcy obecno w nich podatnoci. W modelu oglnym, obiektem przegldanym przez skaner bezpieczestwa jest iloczyn kartezjaski zbioru komputerw poddanych badaniu oraz zbioru podatnoci. Dla kadego elementu (podatnoci na komputerze) okrelana jest warto funkcji obecnoci (podatno: wystpuje/nie wystpuje).

Wynikiem dziaania skanera bezpieczestwa jest raport, ktry w swym podstawowym wydaniu zawiera dla kadego komputera wykaz zidentyfikowanych (wystpujcych w nim) podatnoci, a dla kadej podatnoci okrela: identyfikator wedug uznanej klasyfikacji (np. bugtraq), opis, stopie zagroenia oraz sposb usunicia.

Skaner bezpieczestwa jest zbiorem procedur (czasem programw lub skryptw) przeprowadzajcych w praktyce prby atakw. Kady zakoczony powodzeniem atak jest odnotowywany i informacja o nim jest umieszczana w raporcie kocowym generowanym przez skaner.



Skanery bezpieczestwa zawieraj zbiory sygnatur podatnoci i wzorce atakw. Dane te powinny by aktualizowane w miar zmian stanu sztuki w tej dziedzinie. Subskrypcja tych danych jest w ofercie producentw komercyjnych skanerw bezpieczestwa.

Skanery konfiguracji

Formalnie rzecz biorc skanery konfiguracji wykorzystywane bd podczas testw penetracyjnych prowadzonych jako samodzielne przedsiwzicie. W przypadku audytu prowadzonego zgodnie z metodyk LP-A automatyczne narzdzia wykorzystywane s w odrbnych procesach.

Skaner konfiguracji to program sucy do automatycznego, zdalnego badania ustawie konfiguracyjnych (w tym tzw. zasad zabezpiecze) kadego z komputerw nalecych do wybranego zbioru, generujcy odpowiednie raporty. Badanie polega na dostpie do plikw konfiguracyjnych (np. do rejestru systemu MS Windows) badanego komputera i porwnaniu zawartych w tych plikach zapisw z wzorcem uznanym za waciwy przez producenta skanera. Skanery konfiguracji poddaj rwnie sprawdzeniu zapisy w plikach konfiguracyjnych dotyczce zainstalowanych poprawek (patches) dystrybuowanych przez producentw braki takich poprawek sygnalizowane s jako podatnoci. Wad skanerw konfiguracji jest konieczno zdalnego dostpu do badanych komputerw z uprawnieniami administratora, co jest naturalne w sieciach domenowych Windows, ale jest niezgodne z zasadami bezpieczestwa w wikszoci sieci o innej organizacji.

.

A. E. Patkowski


Rozdzia 3. Procesy W dalszej czci tego rozdziau opisano oglnie, z komentarzami,

procesy, oraz podano (tabela 3.1) kto z Zespou odpowiada za kady proces i kto go nadzoruje.

W przypadku, gdy przedsiwzicie testw penetracyjnych jest realizowane jako skadowe audytu bezpieczestwa teleinformatycznego prowadzonego zgodnie z metodyk LP-A, odpowiada ono jednemu z procesw tej metodyki: 4.3.6. Wykonanie uzupeniajcych testw penetracyjnych.

Moe take obj kolejny proces: 4.3.7. Aktualizacja wykazu Podatnoci do natychmiastowego

usunicia. Wwczas proponowane przez P-PEN podprocesy procesu 4.3.6

metodyki LP-A, zgodnie z numeracj przyjt dla metodyki LP-A, prezentuj si nastpujco:

4.3.6.1 Wstpna analiza 4.3.6.1.1 Okrelenie listy spodziewanych atakw 4.3.6.1.2 Okrelenie elementarnych atakw 4.3.6.1.3 Selekcja

4.3.6.2 Badania osigalnoci informacji o obiekcie 4.3.6.3 Opracowanie planu testw i przegldw konfiguracji 4.3.6.4 Akceptacja planu testw i ustalenie zasad

szczegowych i odpowiedzialnoci 4.3.6.5 Wykonanie bada testw penetracyjnych

4.3.6.5.1 Wykonanie waciwych testw penetracyjnych 4.3.6.6 Integracja wynikw, opracowanie czarnych scenariuszy

i raportu kocowego Naley przypomnie, e poszukiwanie podatnoci za pomoc

narzdzi bezpieczestwa realizowane jest w odrbnych procesach. W przypadku, gdy testy penetracyjne realizowane s jako

samodzielne przedsiwzicie, opisane w niniejszym rozdziale procesy naley poprzedzi etapem przygotowawczym, podobnym dla kadego samodzielnego przedsiwzicia, obejmujcym obsug zapytania ofertowego, umow, wstpne kontakty formalne ze Zleceniodawc, rozpoznanie obiektu itd. Podobnie ostatnim etapem (po wymienionych niej procesach) powinien by kocowy etap rozliczenia pracy formalne przyjcie produktu itd. Zobrazowano to na ujtym dla celw ilustracyjnych, nieformalnym diagramie 0 (Nieformalny DFD przedsiwzicia testw penetracyjnych schemat oglny).

Tych dodatkowych procesw zwizanych z organizacj przedsiwzicia nie opisywano w niniejszym dokumencie, uznajc, e



wykraczayby one poza jego zakres tematyczny. Naley jednak zasygnalizowa, e procesy organizacyjne przedsiwzicia s niezwykle wane ze wzgldw strategicznych, a w przypadku obiektu bada znacznych rozmiarw take bardzo skomplikowane. Np. w duym projekcie rwnolegle do wymienionych niej procesw powinny by realizowane procesy zarzdcze, np. zarzdzania, kontroli jakoci i biecej oceny ryzyka.

Dalej przedstawiono oglny zapis procesw przedsiwzicia testw penetracyjnych prowadzonych zgodnie z metodyk P-PEN:

1. Wstpna analiza 1.1. Okrelenie listy spodziewanych atakw 1.2. Okrelenie elementarnych atakw 1.3. Selekcja

2. Badania osigalnoci informacji o obiekcie 3. Opracowanie planu testw i przegldw konfiguracji 4. Akceptacja planu testw i ustalenie zasad szczegowych i

odpowiedzialnoci 5. Wykonanie bada testw penetracyjnych

5.1. Wykonanie waciwych testw penetracyjnych 5.2. Wykonanie bada automatycznymi narzdziami 5.3. Wykonanie bada zabezpiecze technicznych i fizycznych

6. Integracja wynikw, opracowanie czarnych scenariuszy i raportu kocowego

W porwnaniu z prezentacj odpowiednich procesw metodyki LP-A mona zauway, e numery pozbawiono prefiksu 4.3.6. oraz dodano dwa procesy 5.2 i 5.3 (wyrnione kursyw). Te ostatnie dwa procesy realizowane s w przypadku wykonywania testw penetracyjnych jako samodzielnego przedsiwzicia (nie w ramach szerszego audytu). Tab. 2-1. Zakresy odpowiedzialnoci i nadzoru nad procesami

Numer procesu

Skrcony opis procesu Odpowiedzialny Nadzr

1 Wstpna analiza AK_1 AK_2

1.1 Okrelenie listy spodziewanych atakw

AK_1 AK_2

1.2 Okrelenie elementarnych atakw SUS-SK AK_1

1.3 Selekcja SUS-SK AK_1

2 Badania osigalnoci informacji o obiekcie

AK_1 AK_2

A. E. Patkowski


3 Opracowanie planu testw i przegldw konfiguracji

SUS-SK AK_1

4 Akceptacja planu testw i ustalenie zasad szczegowych i

odpowiedzialnoci

AK_1 AK_2

5 Wykonanie bada testw penetracyjnych

AK_2 AK_1

5.1 Wykonanie waciwych testw penetracyjnych

SUS-SK AK_1

5.2 Wykonanie bada automatycznymi narzdziami

SUS-SK AK_1

5.3 Wykonanie bada zabezpiecze technicznych i fizycznych

SUS-SK AK_1

6 Integracja wynikw, opracowanie czarnych scenariuszy i raportu kocowego

AK_2 AK_1



Rozdzia 4. Specyfikacja dokumentw W tym rozdziale, metod IPO (ang. InputProcessOutput) s

wyspecyfikowane dokumenty zwizane z prowadzeniem przedsiwzicia testw penetracyjnych. Na kocu rozdziau, zostay przedstawione dokumenty niezbdne do prowadzenia prac oraz wytwarzane w ich trakcie.

Tabele IPO Objanienia do tabel IPO: 1. Symbol (*) przy numerze procesu oznacza, e proces ten jest

dekomponowany na podprocesy. 2. Dokumenty okrelane w tabelach jako notatka dziel si na dwa

rodzaje: 1) notatki subowe Zespou zapisy autoryzowane, kopie

przekazywane Zleceniodawcy 2) notatki wewntrzne Zespou zapisy nieautoryzowane, bez

pozostawiania kopii u Zleceniodawcy.

3. Lini przerywan zaznaczone s krawdzie tabel zawierajcych zapisy dotyczce dokumentw lub procesw realizowanych w przypadku prowadzenia testw penetracyjnych jako samodzielnego przedsiwzicia.

Wejcie Wytyczne do wykonania uzupeniajcych rcznych

testw penetracyjnych dokumentacja techniczna obiektu wewntrzne regulacje dotyczce porzdku prawnego

w obiekcie w tym obowizujce (i praktykowane) procedury

kategorie atakw Nr procesu 1*

Proces Wstpna analiza Wyjcie Lista rozwaanych atakw kombinowanych

Wykaz elementarnych atakw Wyselekcjonowana lista atakw do bada rcznych

A. E. Patkowski


Wejcie Wytyczne do wykonania uzupeniajcych rcznych testw penetracyjnych

dokumentacja techniczna obiektu wewntrzne regulacje dotyczce porzdku prawnego


Nr procesu 1.1 Proces Okrelenie listy spodziewanych atakw Wyjcie Lista rozwaanych atakw kombinowanych

Wejcie Lista rozwaanych atakw kombinowanych dokumentacja techniczna obiektu wewntrzne regulacje dotyczce porzdku prawnego


Nr procesu 1.2 Proces Okrelenie elementarnych atakw Wyjcie Wykaz elementarnych atakw

Wejcie Wykaz elementarnych atakw Nr procesu 1.3

Proces Selekcja Wyjcie Wyselekcjonowana lista atakw do bada rcznych

Wejcie Wytyczne do wykonania uzupeniajcych rcznych testw penetracyjnych

dokumentacja techniczna obiektu Nr procesu 2

Proces Badania osigalnoci informacji o obiekcie Wyjcie Notatka subowa o osigalnoci informacji o budowie

i waciwociach badanego systemu



Wejcie Wyselekcjonowana lista atakw do bada rcznych dokumentacja techniczna obiektu

Nr procesu 3 Proces Opracowanie planu testw i przegldw konfiguracji Wyjcie Plan testw penetracyjnych i przegldw konfiguracji

Wejcie Plan testw penetracyjnych i przegldw konfiguracji Nr procesu 4

Proces Akceptacja planu testw i ustalenie zasad szczegowych i odpowiedzialnoci

Wyjcie Owiadczenie zleceniodawcy o akceptacji planu testw i zasadach odpowiedzialnoci

Wejcie Owiadczenie zleceniodawcy o akceptacji planu testw i zasadach odpowiedzialnoci

Plan testw penetracyjnych i przegldw konfiguracji Nr procesu 5*

Proces Wykonanie bada testw penetracyjnych Wyjcie Notatki subowe sprawozdania z bada i

przegldw konfiguracji Wstpny wykaz Podatnoci do natychmiastowego

usunicia Notatka wewntrzna Zespou o wynikach

zautomatyzowanych bada podatnoci Notatka wewntrzna Zespou o wynikach

zautomatyzowanych bada konfiguracji Notatka wewntrzna Zespou o wynikach

zautomatyzowanych bada zaaplikowanych aktualizacji

Notatka wewntrzna Zespou z przegldu zabezpiecze ochrony FT i ppo.

Notatka wewntrzna Zespou z przegldu systemu zasilania

A. E. Patkowski



Plan testw penetracyjnych i przegldw konfiguracji Nr procesu 5.1

Proces Wykonanie waciwych testw penetracyjnych Wyjcie Notatki subowe sprawozdania z bada i

przegldw konfiguracji



Proces Wykonanie bada automatycznymi narzdziami Wyjcie Notatka wewntrzna Zespou o wynikach






Proces Wykonanie bada zabezpiecze technicznych i fizycznych

Wyjcie Notatka wewntrzna Zespou z przegldu zabezpiecze ochrony FT i ppo.




Wejcie Lista rozwaanych atakw kombinowanych Wyselekcjonowana lista atakw do bada rcznych Notatki subowe sprawozdania z bada i

przegldw konfiguracji Wstpny wykaz Podatnoci do natychmiastowego

usunicia Notatka wewntrzna Zespou o wynikach




Notatka wewntrzna Zespou z przegldu zabezpiecze ochrony FT i ppo.


Notatka subowa o osigalnoci informacji o budowie i waciwociach badanego systemu

Nr procesu 6 Proces Integracja wynikw Wyjcie Wykaz Podatnoci do natychmiastowego usunicia

Raport z testw penetracyjnych (wyniki rcznych testw penetracyjnych)

Specyfikacja zbiorcza dokumentw

Podobnie jak w przypadku tabel IPO, dalej wymieniono tylko dokumenty podstawowe dotyczce testw penetracyjnych, pomijajc dokumenty zwizane z organizacj przedsiwzicia. Z dokumentw niezbdnych do przeprowadzenia prac dotyczcych obiektu (badanego systemu Zleceniodawcy) wymieniono dwa:

1. dokumentacja techniczna obiektu; 2. wewntrzne regulacje dotyczce porzdku prawnego w obiekcie

w tym obowizujce (i praktykowane) procedury; istotnym narzdziem zespou jest wykaz rodzajw atakw, aktualny na dzie rozpoczcia testw:

3. kategorie atakw.

A. E. Patkowski


Tab. 2-2. Wykaz wytwarzanych dokumentw

Lp. Nazwa dokumentu Status dokumentu Wytwrca

1. (15) Notatka wewntrzna Zespou z przegldu zabezpiecze ochrony FT i ppo.

Wewntrzny Eksperci

2. (16) Notatka wewntrzna Zespou z przegldu systemu zasilania

Wewntrzny Eksperci

3. (22) Notatka wewntrzna Zespou o wynikach zautomatyzowanych bada podatnoci

Wewntrzny Eksperci

4. (23) Notatka wewntrzna Zespou o wynikach zautomatyzowanych bada konfiguracji

Wewntrzny Eksperci

5. (27) Raport z bada technicznych systemw i sieci teleinformatycznych Zleceniodawcy

Wewntrzny Eksperci

6. (24) Notatka wewntrzna Zespou o wynikach zautomatyzowanych bada zaaplikowanych aktualizacji

Wewntrzny Eksperci

7. (25) Wytyczne do wykonania uzupeniajcych rcznych testw penetracyjnych

Wewntrzny Wykonawcy

8. --- Lista rozwaanych atakw kombinowanych

Wewntrzny Wykonawcy

9. --- Wykaz elementarnych atakw Wewntrzny Wykonawcy

10. --- Wyselekcjonowana lista atakw do bada rcznych

Wewntrzny Eksperci

11. --- Notatka subowa o osigalnoci informacji o budowie i waciwociach badanego systemu

Wewntrzny Wykonawcy

12. --- Plan testw penetracyjnych i przegldw konfiguracji

Oficjalny/przek. Wykonawcy

13. --- Owiadczenie zleceniodawcy o akceptacji planu testw i zasadach odpowiedzialnoci

Oficjalny Zleceniodawca

14. --- Notatki subowe sprawozdania z bada i przegldw konfiguracji

Oficjalny Eksp./Zlec.

15. (26) Wstpny wykaz Podatnoci do natychmiastowego usunicia

Wewntrzny Wykonawcy

16. (28) Raport z testw penetracyjnych (wyniki rcznych testw penetracyjnych)




17. (29) Wykaz Podatnoci do natychmiastowego usunicia


18. (30) Potwierdzenie przez Zleceniodawc przyjcia wykazu zidentyfikowanych Podatnoci do natychmiastowego usunicia

Oficjalny Wyk./Zlec.

19. (32) Wybrane raporty generowane przez narzdzia

Oficjalny Wykonawcy

UWAGI 1. Numery w nawiasach okrgych w kolumnie Lp. oznaczaj numery

odpowiednich dokumentw wedug wykazu metodyki LP-A.

2. Nazewnictwo dokumentw odpowiada uytemu w LP-A z wyjtkiem wiersza 16, gdzie nazw odpowiednika dokumentu wg LP-A ujto w nawiasie.

3. Opis Wyk./Zlec. lub Eksp./Zlec. w kolumnie Wytwrca oznacza, e jest to dokument wytwarzany w wyniku wzajemnych uzgodnie pomidzy wykonawcami i upowanionymi przedstawicielami Zleceniodawcy, autoryzowany przez obie strony.

4. Status oficjalny/przek. oznacza, e dokument ten zostaje przekazany zleceniodawcy w trakcie prac.

5. Status oficjalny oznacza, ze dokument ten stanowi bezporedni podstaw do opracowania dokumentw kocowych lub zostaje do tych dokumentw wczony w caoci.

6. W kolumnie Wytwrca zamiast wykonawcy uywano okrelenia eksperci.

A. E. Patkowski


Rozdzia 5. Diagramy przepywu danych Na podstawie zamieszczonych w dalszej czci niniejszego

rozdziau diagramw mona: 1) oceni zoono procesw; 2) rozpozna zalenoci pomidzy dokumentami; 3) oceni na podstawie zalenoci pomidzy procesami oraz skadu

osobowego Zespou, moliwoci rwnolegego prowadzenia zada. Dla Zleceniobiorcy, diagramy (i metodyka jako cao) znacznie

wspomaga wycen prac. Naley przy tym zaznaczy, e w przypadku przedsiwzicia w Instytucji posiadajcej rozoone terytorialnie Oddziay i Filie (lub podobne jednostki organizacyjne), przedstawione procesy etapu wykonawczego bd powielane. W przypadku posiadania przez Zesp wystarczajcych zasobw ludzkich i odpowiednich narzdzi, jeeli tego wymaga konkretny kontrakt, istnieje moliwo zrwnoleglenia znacznej czci prac.



Diagram 2.1. Nieformalny DFD samodzielnego przedsiwzicia testw

penetracyjnych

A. E. Patkowski


Diagram 2.2. DFD_1 testw penetracyjnych schemat oglny.



Diagram 2.3. DFD_2 fazy analizy proces nr 1

A. E. Patkowski


Diagram 2.4. DFD_2 proces nr 5



Rozdzia 6. Rzetelne praktyki Niniejszy rozdzia zawiera zapis tzw. rzetelnych praktyk

(nazywanych te najlepszymi praktykami z ang. best practices), tj. nalecych do kategorii know-how, heurystycznych metod postpowania, wypracowanych i sprawdzonych podczas dotychczasowej praktyki. 1. Kade badanie, rozmowa, wizja lokalna etc. jest zawsze

przeprowadzana przez dwch czonkw Zespou. 2. Z kadego dziaania badania, rozmowy, wizji lokalnej etc. jest

sporzdzana notatka wewntrzna, ktra moe by autoryzowana, w razie potrzeby, przez drug stron (w dokumentach Zespou, podlegajce autoryzacji notatki wewntrzne s nazywane notatkami subowymi).

3. Szkolenie wewntrzne Zespou specjalista od sieci i urzdze sieciowych (czonek zespou) prezentuje zespoowi oglny model przepywu informacji w sieci lub sieciach, w tym rozdzia stref dystrybucji pakietw i zainstalowane mechanizmy separujce.

4. Wszelkie dziaania inwazyjne w systemach Zleceniodawcy realizowane s przez uprawnionych pracownikw Zleceniodawcy pod kierunkiem czonkw zespou. Czonkowie zespou wykonawcy nie przejmuj odpowiedzialnoci kompetentnych pracownikw Zleceniodawcy w adnym zakresie, nawet jeli dla przyspieszenia prac zostan dopuszczeni do wystpowania w roli operatora. Przy ortodoksyjnym traktowaniu tej zasady, podczas bada czonkowie zespou fizycznie nie bd w ogle dotyka adnych urzdze.

5. Wszelkie przegldy (np. konfiguracji stacji roboczych) s wykonywane przez czonkw zespou zawsze w asycie przedstawiciela Zleceniodawcy (np. administratora stacji roboczych) i za jego zgod.

6. W przypadku wykrycia szczeglnie gronych podatnoci podczas bada technicznych, Zleceniodawca jest informowany o nich natychmiast po ich wykryciu, bez oczekiwania na zakoczenie caoci prac. Postpowanie takie pozwala Zleceniodawcy na podjcie bezzwocznych dziaa majcych na celu ochron (przed wykorzystaniem przez zagroenia istniejcych i wykrytych podatnoci) informacji przetwarzanej, przechowywanej i przesyanej w jego systemach i sieciach teleinformatycznych.

A. E. Patkowski


Rozdzia 7. Kategorie atakw Zbir kategorii atakw, to lista moliwych rodzajw atakw,

wyczerpujca repertuar znanych i stosowalnych atakw, formuowana wedug stanu wiedzy aktualnego na pewien dzie (najlepiej na dzie rozpoczcia audytu lub testw penetracyjnych). Celem wykorzystywania tej listy jest wymuszenie pewnej dyscypliny na pracownikach formuujcych spis moliwych atakw. Chodzi o zapewnienie, e powic oni kadej z kategorii uwag, chociaby po to, aby odpowiedzialnie stwierdzi, e w badanym obiekcie ataki pewnej kategorii nie s moliwe. Rozsdne jest przeprowadzenie sesji przegldu kategorii atakw w formie moderowanej sesji, w ktrej rola moderatora sprowadza si do wymuszania kolejnych krokw wedug listy kategorii atakw i zadawania pyta obowizkowych. Poza tym kada kategoria omawiana jest zgodnie z reguami burzy mzgw.

Rozsdne jest rozpatrywanie zesp ekspertw takich kategorii okrelajc przy rozpatrywaniu kadej odpowiedzi na pytania: Czy w systemie znajduj si fragmenty, dla ktrych rozwaana

kategoria znajduje zastosowanie? Czy mona wskaza scenariusz (take czarny scenariusz) ataku

kombinowanego, przynoszcego szkod Zleceniodawcy, a zawierajcy ataki rozwaanej kategorii?

Jakie mog by miejsca, z ktrych ataki rozpatrywanej kategorii mona przeprowadzi (wewntrzne, zewntrzne)?

Poniej zaprezentowano przykad wykazu kategorii atakw:

1. Ataki prowadzce do odmowy usug Dos (Denial-of-Service). 1.1. Naduycia wasnoci usugi lub protokou.

1.1.1. Zasypywanie kont pocztowych (e-mail) przesykami mailbombing.

1.1.2. Zalewanie pakietami flooding. 1.1.3. Przepenianie tablicy potwartych pocze serwera

TCP (SYN-flooding). 1.1.4. Zajcie caej puli DHCP. 1.1.5. Przekroczenia wartoci granicznych rnych

parametrw technicznych protokow. 1.1.6. Atak na routing (wstrzeliwanie faszywych pakietw

protokou routingu) 1.1.7.

1.2. Wykorzystania znanych wad produkcyjnych (bugs) oprogramowania badanego systemu.



1.3. Przecianie systemw analizy treci przez zmuszanie ich do buforowania wielkich jednostek informacji (np. kolejne wielkie przesyki zawierajce archiwa zip, nadsyane bez ostatniego pakietu, blokujce systemy antywirusowe, zwykle poczty, na wejciu sieci firmowej).

1.4. 2. Przenikanie filtrw sieciowych.

2.1. Wykorzystanie nienadzorowanego ruchu. 2.2. Tunelowanie kryptograficzne. 2.3. Ustanowienie ukrytych kanaw. 2.4. Ustanowienie kanaw zwrotnych (zza NAT Network

Address Translation). 2.5.

3. Podsuch ruchu sieciowego. 3.1. Podsuchiwanie sniffing. 3.2. Przekierowanie ruchu ARP-spoofing dla podsuchu w

sieciach ze switchami. 3.3. Atak Man-In-The-Middle (MITM) na protokoy poczeniowe,

ustanowienie proxy lub innego mechanizmu przekazywania ruchu sieciowego.

3.4. MITM dziki faszywemu serwerwi DHCP wskazanie faszywej bramki domylnej

3.5. VLAN hopping. 3.6. Podsuch czy. 3.7. Podsuch sieci bezprzewodowej. 3.8. Podsuch urzdze bezprzewodowych. 3.9. Wykorzystanie keyloggerw.

3.10. 4. Przejcia sesji.

4.1. W sieci wewntrznej specyficznych aplikacji. 4.2. Webowych przez podszywanie si (m.in. manipulacja

cookies). 4.3.

5. Kryptoanaliza 5.1. Zdobywanie materiau do kryptoanalizy i kryptoanaliza off-

line 5.2. Ataki kryptoanalityczne on-line 5.3. Zdobycie kluczy VPN 5.4. Zdobycie uprawnie generalnych w sieciach MS Windows 5.5. Wykorzystanie hase domylnych ustawianych fabrycznie 5.6.

6. Ataki lokalne na stacje robocze.

A. E. Patkowski


6.1. Eskalacja uprawnie uytkownika (techniki specyficzne dla systemu operacyjnego: bdy konfiguracji, przepenienia bufora, rootkits itd.).

6.2. Osadzenie automatycznych narzdzi szpiegujcych. 6.2.1. Skryta, rczna modyfikacja oprogramowania stacji. 6.2.2. Nakonienie operatora do instalacji. 6.2.3. Nakonienie personelu technicznego do instalacji (np.

jako poprawki). 6.3. Nieuprawniony dostp do zasobw stacji przez operatora. 6.4.

7. Ataki wewntrzne na zasoby sieci lokalnej. 7.1. Z przejtego poza sieci komputera przenonego. 7.2. Wczenie przez intruza obcego komputera w sieci

wewntrznej (niedostateczny nadzr nad gniazdkami sieciowymi).

7.3. Przez przyczenie spreparowanego nonika (np. CD, pamici flash).

7.4. Atak legalnego operatora, przekroczenie uprawnie z ssiedniej stacji roboczej. 7.4.1. Wykorzystanie kont wsplnych (np. lokalnego

operatora w sieciach Windows). 7.4.2. Wykorzystanie bdw konfiguracji. 7.4.3. Wykorzystanie specyficznych klientw aplikacji.

7.5. Wykorzystanie znanych wad produkcyjnych oprogramowania (bugs).

7.6. 8. Ataki na aplikacje

8.1. Atak na baz danych za porednictwem interfejsu WWW. 8.1.1. SQL injection. 8.1.2.

8.2. Wykorzystanie acuchw formatujcych (format strings). 8.3. Przepenienia bufora. 8.4. Wykorzystanie znanych wad produkcyjnych oprogramowania

(bugs). 8.5.

9. Ataki na aplikacje specyficzne dla badanego systemu. 9.1. Lokalne ataki na klienta aplikacji. 9.2. Zdalne ataki na serwer aplikacji. 9.3. Wykorzystanie typowych bdw programistw. 9.4.

10. Skierowanie mechanizmw ochronnych przeciw elementom systemu (atak HIV).



10.1. Blokada kont usugi po wielokrotnych prbach logowania z bdnym hasem.

10.2. Przekroczenie dopuszczalnych rozmiarw logw (take zapenienie dysku logami).

10.3. Spowodowanie wygenerowania dynamicznych regu filtrw sieciowych (np. firewalli) przez generowanie ruchu sieciowego zawierajcego rozpoznawane sygnatury atakw i faszywe identyfikatory rde ruchu.

10.4. Przecianie systemu wewntrznym ruchem generowanym przez rozproszony system wykrywania wama (IDS).

10.5. 11. Znane exploity zidentyfikowanych elementw programowych

obiektu (jeli nie s sprawdzane w ramach bada automatycznych). Naley rozpatrze exploity ostatnio opublikowane w powszechnie uznanej witrynie, o krtkim czasie aktualizacji, np.: 11.1. http://www.securiteam.com/exploits/archive.html 11.2. http://packetstormsecurity.nl/ 11.3.

12. Manipulowanie ludmi (social engineering) 12.1. Typowe techniki werbowania (w tym pod faszyw flag). 12.2. Podrzucenie nonikw. 12.3. Wyudzanie danych autentykacyjnych. 12.4. Nakanianie do niewielkich grzecznoci. 12.5. Wykorzystanie przeciw pracownikom kompromitujcych

informacji wydobytych z ich stacji roboczych. 12.6.

A. E. Patkowski


Podsumowanie Metodyk prowadzenia testw penetracyjnych P-PEN

sformuowano w ten sposb, aby moga zosta wykorzystana zarwno jako proces 4.3.6 metodyki LP-A, jak i jako metodyka prowadzenia samodzielnego przedsiwzicia. Metodyka P-PEN daje: 1) moliwo wykrycia szczeglnie gronych podatnoci i przekazanie

Zleceniodawcy przez wykonawcw wykazu podatnoci do natychmiastowego usunicia;

2) Zleceniodawcy peny obraz stanu zabezpiecze jego sieci i systemw, co zwykle stanowi podstaw do dalszych dziaa w zakresie zabezpiecze.

Podobnie jak w przypadku metodyki LP-A, tak i dla P-PEN na podstawie informacji zamieszczonych w opisie metodyki mona:

1) oceni zoono procesw metodyki; 2) rozpozna zalenoci pomidzy wytwarzanymi dokumentami; 3) dobra skad Zespou, uwzgldniajc wymagane zakresy

kompetencji (kwalifikacji i uprawnie) czonkw Zespou; 4) oceni na podstawie zalenoci pomidzy procesami (oraz skadu

osobowego Zespou) moliwoci rwnolegego prowadzenia poszczeglnych dziaa;

5) uoy harmonogram prac; 6) oszacowa koszty przeprowadzenia prac.

Nie bez znaczenia moe by te fakt, e w przypadku znajomoci metodyk, zarwno LP-A, jak i P-PEN przez obie zainteresowane strony (Zleceniodawc i Zleceniobiorc), posuguj si one jednolicie rozumian terminologi i posiadaj jednolit podstaw pojciow do prowadzenia dyskusji i podejmowania konkretnych decyzji.



Literatura

[1] Information Systems Security Assessment Framework (ISSAF), Draft 0.2.1B. http://www.oissg.org, OISSG 2006.

[2] Liderman K., Patkowski A.E.:. Metodyka przeprowadzania audytu z zakresu bezpieczestwa teleinformatycznego, Biuletyn IAiR Nr 19, WAT, Warszawa 2003.

[3] Pete Herzog: OSSTMM 2.2. Open-Source Security Testing Methodology Manual. http://www.isecom.org, ISECOM 2006.

[4] T. J. Klevinsky, Scott Laliberte, Ajay Gupta: Hack I.T.: Security Through Penetration Testing. Addison Wesley 2002.

[5] Tiller J.S.: The Ethical Hack. A Framework for Business Value Penetration Testing. Auerbach Publications (CRC Press LLC), Washington 2005.

Recenzent:

Praca wpyna do redakcji:

Skad zespou, kwalifikacje jego czonkw i zakresy kompetenWyposaenie narzdziowe zespouSzablony edycyjne dokumentwAktualny zbir exploitwSkanery portwSkanery bezpieczestwaSkanery konfiguracjiTabele IPOSpecyfikacja zbiorcza dokumentw

P-PEN (Infra + Web, Ogolny Przebieg Testow Pen, Guide)

Documents

Transcript of P-PEN (Infra + Web, Ogolny Przebieg Testow Pen, Guide)