30.12.13

Bliski susreti koji jamče zarazu

Časopis Lider je u studenom objavio članak u čijoj sam izradi sudjelovao. Članak možete preuzeti na ovom mjestu:

Časopis Lider: Bliski susreti koji jamče zarazu

6.12.13

“Vulnerability Assessment” ili “Vulnerability Management” (3. dio)


Prvi i drugi dio teksta pronađite na ovim mjestima.

Treći dio teksta o upravljanju računalnim ranjivostima  predstavlja specifičnu tehniku mrežnog skeniranja koja je danas imaju svi značajni alati ove namjene. To je tehnika skeniranja primjenom privilegiranih pristupnih prava.

Naime, standardni način rada skenera računalnih ranjivosti šalje niz mrežnih upita prema mrežnom resursu kojeg analiziraju. Na ove mrežne upite odgovaraju mrežni servisi čiji mrežni kanal (specifični TCP/UDP protokol) skener koristi, odnosno kojima se provodi testiranje. Može se reći da ovaj način testiranja simulira postupke osobe koja bi istom sekvencom mrežnih poruka provjeravala reakciju suprotne strane te izvela zaključke o nedostacima, no u slučaju skenera postupak je automatiziran, pa samim time efikasniji, cjelovitiji i brži. Vratimo se na manualno testiranje. Ukoliko bi osoba prije pokretanja provjera imala mogućnost pristupa na resurs koji testira, te postigla mogućnost uvida u resurse operativnog sustava koji nadilaze mrežnu razinu, nalazi će biti puno bogatiji i raznolikiji. Upravo se na ovome temelji tehnika skeniranja primjenom privilegiranih pristupnih prava koju sam najavio u uvodnom odlomku.

Skeneri računalnih ranjivosti za ovu namjenu koriste prikladne mehanizme udaljenog pristupa koji su dovoljni za obavljanje zadatka, uz pridržavanje visokih sigurnosnih kriterija. Za pristup Windows resursima se, npr. koristi udaljeni pristup administratorskim računom koji omogućuje pristup do „Administrative share“ lokacijama i registry podacima, a putem ovih točaka pojedinih do, praktički, svih značajnih informacija o operativnom sustavu, instaliranim aplikacijama, konfiguracijskim postavkama. Na Unix/Linux resursima se za ovu namjenu koristi SSH protokol, a skener se prijavljuje s privilegiranim računom (root ili neki drugi račun koji ima mogućnost elevacije pristupnih prava, npr. „sudo“ tehnikom).

Skeneri danas uglavnom ne koriste namjenske agente koje bi trebalo instalirati na ovim resursima, iako se u nekim slučajevima primjenjuju hibridne tehnike i jednostavni agenti. Da bi se proveo autenticirani sken nije dovoljno imati mogućnost udaljenog pristupa, nego skener u tom slučaju mora imati u bazi podataka podatke o ranjivostima za što je moguće više  platformi, što svakako može postati veliki inženjerski zadatak za proizvođače skenera.

QualysGuard, s kojim najviše radim, ima mogućnost privilegiranog pristupa i izvođenja autenticiranog skena na velikom broju platformi – sve Windows platforme, sve značajne verzije Unix/Linux operativnog sustava, baze podataka Oracle i MS SQL Server, Cisco IOS i SNMP.

Razlika između ove dvije tehnike skeniranja prikazana je na sljedećoj slici.





Posebno ću se osvrnuti na dubinski uvid u računalne ranjivosti koji se postiže autenticiranim skenom. Napravio sam sljedeći test: instalirao sam Windows Server 2008 R2 SP1 – samo osnovne pakete, bez i jednog dodatnog programa  (dakle, bez baze podataka, Exchange servera, Office paketa…), ali i bez, inače neophodnog, ažuriranja verzije operativnog sustava s programskim popravcima neposredno nakon instalacije. Nakon toga sam napravio autenticirani i neautenticirani sken ove instance sustavom QualysGuard. Cilj je bio utvrditi razlike u detaljnosti nalaza između ova dva skena. Razlika je ilustrirana u sljedećoj tablici:




Kategorije ranjivosti


5
4
3
2
1
Total
Neautenticirani
1
0
1
3
1
6
Autenticirani
51
65
29
11
1
157


Ranjivosti su kategorizirane u 5 razreda (viša ocjena predstavlja kritičnije ranjivosti). Neautenticirani sken je pronašao samo 6 ranjivosti. Autenticirani sken je pronašao 157 ranjivosti. Ovim testom nisam imao namjeru pokazati eventualne manjkavosti analiziranog operativnog sustava, a ovakav drastičan primjer ćete teško pronaći u ozbiljnom produkcijskom okruženju jer će se i površnom primjenom računalnih popravaka otkloniti brojne inicijalne ranjivosti. Isključiva namjera bila je ilustracija mogućnosti autenticiranog skena.

Autenticirani sken je posebno značajan za radne stanice. Nekako je uobičajeno da programi provjere i upravljanja računalnim ranjivostima zaobilaze radne stanice, a fokus se stavlja na mrežne poslužitelje. To je svakako ispravno gledajući sa stajališta značaja informacijske imovine koja je uglavnom koncentrirana na serverima. No, današnje računalne prijetnje neće ciljati ni perimetarski segment niti direktno mrežne poslužitelje: glavni vektori su usmjereni prema osobama i prema klijentskim računalima, nastojeći iskoristiti računalne ranjivosti na radnim stanicama. Stoga, provjera računalnih ranjivosti na radnim stanicama postaje gotovo jednako važna kao i antivirusna zaštita na istim računalima, naročito ako uzmemo u obzir da antivirusna zaštita nije danas više svemoćna. Autenticirani sken radnih stanica će se pokazati osobito efikasnim u provjeri ranjivosti na tipičnim klijentskim programima – Microsoft Office, web preglednici, Adobe Reader, Adobe Flash Player, Java…

Rezultati autenticiranog skena svakako su dobar materijal za ocjenu stvarne izloženosti sustava napadačima i malicioznim korisnicima, no treba naglasiti da ovakva vrste provjere daju izuzetno bogat materijal tzv. „security intelligence“ sustavima. Analiza ranjivosti prema CVSS parametrima ima smisla prije svega ako su rezultati postignuti autenticiranim skenom. 

Kada budete planirali autenticirani sken budite spremni razbiti gotovo neizbježnu predrasudu: s obzirom da se autenticirani sken provodi korištenjem privilegiranih (administrativnih) korisničkih računa, često se nameće pogrešan zaključak da su to ranjivosti koje mogu iskoristiti samo administratori pa se slijedom tog razmišljanja i uobičajenog povjerenja u administratore zaključuje da nema potrebe raditi takvu analizu. Zaključak je pogrešan jer su administratorski računi najjednostavnije sredstvo za utvrđivanje ranjivosti, a same ranjivosti se mogu sasvim efikasno zloupotrijebiti i u kontekstu drugih, „običnih“ korisnika.

Na koncu, bez obzira što smo u ovom tekstu izuzetno naglasili značaj autenticiranog skena, u provjerama računalnih ranjivosti i dalje primjenjujte neautenticirani sken. Rezultat ovog skena daje dobru informaciju o redovitoj vidljivosti vaših sustava na mreži, a ranjivosti koje se otkriju ovim skenom svakako moraju biti na vrhu liste prioriteta.