sigurnost računalnih mreža te pregled alata za poboljšanje...
TRANSCRIPT
SVEUČILIŠTE U ZAGREBU
FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
SEMINAR
Sigurnost računalnih mreža te pregled alata za poboljšanje sigurnosti
Valerio Franković
Voditelj: prof.dr.sc. Marin Golub
Zagreb, svibanj, 2014
Sadržaj
1. Uvod ..................................................................................................................... 1
2. Ključni principi sigurnosti[1] .................................................................................. 2
2.1 Napraviti sigurnost jednostavnom ................................................................. 2
2.1.1 Držanje pokrenutih servisa dalje od napadača ................................................ 2
2.1.2 Dopuštanje korisnicima pristup probranim informacijama ............................... 2
2.1.3 Obrana svakog sloja kao da je zadnji sloj obrane ........................................... 2
2.1.4 Evidentiranje svakog pokušaja pristupa kritičnim informacijama ..................... 3
2.1.5 Stavljanje sredstava u odjeljke te izoliranje istih što je više moguće................ 3
2.1.6 Ne činiti pogrješke koje svi čine ...................................................................... 3
2.1.7 Ne dopuštati da gore spomenuti koraci budu preskupi .................................... 4
2.2 Upravljanje rizikom ........................................................................................ 4
2.2.1 Učenje upravljanju rizikom .............................................................................. 4
2.2.2 Strategije upravljanja rizikom .......................................................................... 6
2.3 Nepromjenjivi zakoni ..................................................................................... 7
3. Alati za obavljanje penetracijskog testiranja [2] ....................................................... 8
3.1 Pregled razvijanja penetracijskog testiranja u Kali Linuxu ............................. 8
3.1.1 IzviĎanje ......................................................................................................... 8
3.1.2 Evaluacija mete .............................................................................................. 9
3.1.3 Eksploatacija .................................................................................................. 9
3.1.4 Eskalacija privilegija ...................................................................................... 10
3.1.5 Održavanje uporišta ...................................................................................... 10
3.2 Neki alati koje nudi Kali Linux ..................................................................... 12
3.2.1 HTTrack – kloniranje web stranice [3] ........................................................... 12
3.2.2 Nmap/Zenmap [4][5] ..................................................................................... 14
3.2.3 Vega [6] ........................................................................................................ 19
3.2.4 Metasploit [7] ................................................................................................ 22
3.2.5 w3af [8] ......................................................................................................... 26
3.2.6 sqlmap [9] ..................................................................................................... 28
3.3 Kratki tablični pregled obraĎenih alata ........................................................ 31
4. Zaključak ............................................................................................................... 32
5. Literatura ............................................................................................................... 33
1
1. Uvod
U današnjem svijetu gotovo je nepojmljiv život bez računala. Ljudi svakodnevno koriste njegove dobrobiti, što svjesno što nesvjesno, a tendencija je da će se sve više koristiti. Toliko oslanjanje na računala i računalne mreže zahtijeva sve više osiguravanje istih. Komunikacija preko Interneta, plaćanje računa, dijeljenje raznoraznih datoteka itd. je danas potpuno uobičajena pojava. No u pozadini, mora se omogućiti sigurno izvršenje tih radnji. Normalna je pojava da ljudi žele svoju privatnost te da nisu spremni dijeliti svoje osobne podatke sa svima. Tu nastupa računalna sigurnost. To je danas postala umjetnost računalnog svijeta. Vrlo je bitna jer se odnosi na sva računala i mreže te pokriva sve procese i mehanizme koji štite opremu ili podatke na računalu te servise.
U ovom seminaru je riječi o organizaciji uspješne sigurnosti, odnosno kako je izgraditi, kako se nositi s njome te koji su ključni principi sigurnosti. Stručnjaci računalne sigurnosti moraju biti dobro upoznati s rizicima, budući da proizlaze iz propusta, pripremiti se na njih te razviti strategiju kako će se nositi s njima. Sigurnosti se mora pristupiti sistematično te mora biti dobro isplanirana ako misli biti učinkovita. Potrebno je naglasiti na što se treba obazirati pri sigurnosti te kako reagirati kad i ako doĎe do napada.
U nastavku se obraĎuju i neki alati koji se nalaze u Linux distribuciji Kali, namijenjenoj za izvoĎenje penetracijskih testova. Kali je zasnovan na Debianu te se može pokretati live ili ga se može instalirati na računalo. Nudi niz alata za skeniranje, snifanje, eksploataciju te niz drugih stvari tako da je Kali postao jedan od najvažnijih penetracijskih testnih operativnih sustava. U ovom seminaru će se pisati o HTTracku koji služi za kopiranje web stranica, Nmap/Zenmapu koji služi za skeniranje mreža, Vegi koja je skener ranjivosti, eksploatacijskom alatu Metasploit te automatskom SQL injection alatu – sqlmapu.
No i okviru njega je potrebno dobro se upoznati s rizicima koje nosi penetracijsko testiranje jer je to ozbiljna stvar za koju se može kazneno odgovarati te naposljetku i ići u zatvor.
2
2. Ključni principi sigurnosti[1]
Razumijevanje sigurnosti sustava ključno je da bi se predvidjelo gdje je sustav najranjiviji. Potrebno je dobro biti upoznat s ocjenjivanjem sigurnosti, principima sigurnosti te biti dobro ispraksiran da bi se pružio uvid u ranjivost sustava.
2.1 Napraviti sigurnost jednostavnom
Na najosnovnijoj razini, sigurnost je jednostavna, nažalost, sigurnost rijetko postoji na najosnovnijoj razini. Sigurnost se može napraviti kompliciranom koliko se želi, no time se teže osigurava sustav te je manje efektivna. Poanta je da se napravi sigurnost što je jednostavnijom moguće. To vrijedi u slučaju radi li se dizajn Web aplikacije ili se postavlja novi poslužitelj. Da bi se to postiglo, sigurnost se razbija u diskretne odjeljke:
1. Držati pokrenute servise i informacije dalje od napadača
2. Dopustiti korisnicima pristup probranim informacijama
3. Zaštititi svaki sloj kao da je zadnji sloj obrane
4. Evidentirati svaki pokušaj pristupa kritičnim informacijama
5. Staviti u odjeljke i izolirati sredstva što je više mogude
6. Ne činiti pogrješke koje svi čine
7. Ne dopustiti da gore spomenuti odjeljci budu preskupi
2.1.1 Držanje pokrenutih servisa dalje od napadača
Jedna od najbitnijih stavki. Za početak izgradnje sigurnog sustava nužno je svima zabraniti pristup i pritom adekvatno dizajnirati sisteme i aplikacije. Pravilo: po defaultu zabraniti pristup. Pravilo zabrane pristupa je najbolji prijatelj stručnjaka za sigurnost. Primjer loše namještenog sustava je Microsoft Windows 2002 Server kojemu je po defaultu svima dopušten pristup. Takav pristup je očigledno pogrešan.
2.1.2 Dopuštanje korisnicima pristup probranim informacijama
Budući da se po defaultu zabranio pristup svima, potrebno je namjestiti što koji korisnik može vidjeti. Korisnicima i administratorima se treba dopustiti pristup do informacija koje trebaju, no samo na razini na kojoj ih trebaju. U sigurnosnom žargonu se taj princip naziva najmanja privilegija (engl. least privilege). Korisnici i administratori trebaju imati pristup informacijama koliko je dovoljno da obavljaju svoj posao, a sve iznad toga je – nepotreban rizik. Slično tome, aplikacije i servisi trebaju operirati pod minimalnim privilegijama potrebnim za rad.
2.1.3 Obrana svakog sloja kao da je zadnji sloj obrane
Računalne mreže su evoluirale iz izoliranih mreža kojim se pristupa iz jedne lokacije u potpuno spojene mreže širom svijeta, ali sigurnost nije zadržala mira. Na primjer, da zakaže firewall, a da je jedina zaštita, malo je toga što se može učiniti da
3
se zaštiti informacija koju taj firewall čuva. Oslanjanje na jedan jedini sloj zaštite je svakako gubitnička zamisao. Svaki sloj bi trebao biti osiguran kao da je posljednji sloj zaštite izmeĎu napadača i informacije.
2.1.4 Evidentiranje svakog pokušaja pristupa kritičnim informacijama
Kada doĎe do ispitivanja logova, najgore vrijeme za shvatiti da trebaju jest kada ih se doista treba. Prečesto se dogodi da administratori računalnih mreža koji tek započinju s radom misle na to koja će ispitivanja koristiti tek nakon što se dogodio uspješni napad. Odlučivanje koje dogaĎaje pratiti nije jednostavan posao. U obzir se mora uzeti nekoliko faktora kao što je djelovanje na izvedbu te veličina loga. Aktivacija ispitivanja je lagani dio, no obrada logova je svakako kompleksnija. Izdvajanje bezopasnih od onih koji su mogli prouzročiti napad zahtijeva iskustvo čitanja log datoteka te solidno znanje o tome kako se napadi izvode.
2.1.5 Stavljanje sredstava u odjeljke te izoliranje istih što je više moguće
Ovaj dio sprječava da neki propust u jednom odjeljku ugrozi kompromitet cijelog sustava. Sigurnost mreža može znatno imati koristi od stavljanja sredstava u odjeljke kroz primjenu sljedećih tehnika:
1. Pojednostavljivanje mrežne arhitekture – manjim mrežama je lakše upravljati
nego vedim, a segregacija mreža u infrastrukturne komponente dijeli velike mreže
u manje. Stvarajudi odjeljke, minimiziraju se smetnje prijelaza mrežnih
komunikacija te rezultirajudi efekt švicarskog sira na pravilima firewalla te ACL-u
routera.
2. Izrada choke pointa – izrada choke pointa omogudava da se nezavisno isključe
dijelovi mreže koji bi mogli biti kompromitirani ili zaraženi virusom. Trenutno
isključivanje opcije posla je mala cijena u usporedbi s troškovima popravljanja
računala zaraženim s crvom.
3. Izoliranje zona različitih nivoa povjerenja – možda najveda prednost stavljanja u
odjeljke je to da se mogu segmentirati i izolirati poslužitelji i radne stanice koji
imaju različite nivoe povjerenja.
2.1.6 Ne činiti pogrješke koje svi čine
Treba pogledati koje pogrješke čine drugi te ih izbjeći. Jednostavno. Česte pogreške su upravo takve – česte – zato ne moraju biti vlastite. Čitanje o sigurnosnim incidentima i računalnom kriminalu pridonosi raspoznavanju takvih pogrješaka.
4
2.1.7 Ne dopuštati da gore spomenuti koraci budu preskupi
Svatko je za zaštitu (i pouzdanost, visoku izvedbu i privatnost) dok ne vidi račun. U sigurnosti se radi o upravljanju rizikom i središnji dio upravljanja rizikom je trošenje vlastitih ograničenih resursa kvalitetno na sigurnost. Trošak osiguranja aplikacija i mreža može se smanjiti ako ih se od početka gradi sa sigurnošću na misli.
2.2 Upravljanje rizikom
Prvi princip sigurnosti je taj da niti jedna mreža nije sasvim sigurna – sigurnost informacija je zapravo o upravljanju rizikom. U najosnovnijim okvirima, što je važnija imovina, potrebno je više resursa uložiti u njeno osiguravanje. Tako da je bitno procijeniti vrijednost te imovine. Bez treninga, administratori prečesto odgovore na sigurnosnu prijetnju jednim od sljedećih načina:
- Ignoriraju prijetnju ili vide da postoji, ali ništa ne rade da bi je spriječili
- Adresiraju prijetnju, ali u ad hoc stilu
- Pokušavaju osigurati svu imovinu na najvišem stupnju, no bez obzira na korisnost
ili upravljivost
2.2.1 Učenje upravljanju rizikom
Upravljanje sigurnosnim rizicima može biti nevjerojatno zahtjevan posao, pogotovo ako se to propusti uraditi na organizirani i dobro isplanirani način. Izgradnja ocjenjivanja rizika sigurnosne organizacije može trajati mjesecima i općenito uključuje mnogo ljudi s mnogih dijelova tvrtke. Mogu se koristiti sljedeći jednostavni procesi za ocjenjivanje i upravljanje rizikom:
1. Postaviti doseg
2. Identificirati imovinu i odrediti njenu vrijednost
3. Predvidjeti ranjivosti i prijetnje nad imovinom
4. Dokumentirati sigurnosne rizike
5. Odrediti strategiju upravljanja rizikom
6. Nadziranje imovine
7. Pradenje promjena
Postavljanje dosega
Ako se pokuša ocijeniti i upravljati svim sigurnosnim rizicima u nečijoj organizaciji, vjerojatno će se propustiti kritični detalji. Prije početka ocjenjivanja rizika treba postaviti doseg projekta ocjenjivanja rizika. Na primjer, ako se želi limitirati
5
projekt na odreĎeni servis ili poslovnu jedinicu. Sve to pomaže u boljem procjenjivanju vremena i troškova potrebnih za ocjenjivanje sigurnosnih rizika te lakšem dokumentiranju i praćenju rezultata.
Identificiranje imovine i odreĎivanje njene vrijednosti
Drugi korak u ocjenjivanju rizika je identificiranje imovine i odreĎivanje njene vrijednosti. Kada se odreĎuje vrijednost imovine, sljedeća tri faktora se uzimaju u obzir:
- Financijski utjecaj kompromitiranja ili gubljenja imovine
- Nefinancijski utjecaj kompromitiranja ili gubljenja imovine
- Vrijednost imovine hakerima
Financijski utjecaj kompromitiranja ili gubljenja imovine uključuje dohodak i izgubljenu produktivnost zbog vremena kad je servis ugašen, troškove povezane s nadoknadom servisa te izravne gubitke opreme. Nefinancijski utjecaj uključuje resurse uključene da oblikuju javnu percepciju sigurnosnog incidenta kao reklamne kampanje te gubitak javnog povjerenja. Vrijednost imovine organizaciji trebao bi biti glavni faktor u odreĎivanju koliko će se imovina zaštititi. Ako se ne procijeni adekvatno koliko je bitna, moglo bi se naći u situaciji da se launch menu jednako štiti kao tajni poslovni dogovori.
PredviĎanje ranjivosti i prijetnji nad imovinom
Procesi predviĎanja ranjivosti i prijetnji nad imovinom su znani kao modeliranje prijetnji. Kroz vježbu modeliranja prijetnji vjerojatno će se otkriti ranjivosti i prijetnje za koje se nije znalo ili se je previdjelo. Treba se radije smanjiti rizik nego da se treba reagirati na stvarni sigurnosni incident. Gradnjom vještine penetracijskog testiranja postižu se bolji rezultati u izradi modela prijetnji i obrnuto.
Dokumentiranje sigurnosnih rizika
Nakon izrade modela prijetnji, nužno je dokumentirati sigurnosne rizike da bi mogli biti pregledani i upućivani. Kada se dokumentiraju rizici, trebaju biti rangirani. Mogu se rangirati kvalitativno i kvantitativno. Kvantitativno rangiranje koristi stvarne i procijenjene podatke o imovini da se ocijeni ozbiljnost rizika. Na primjer, može se ocijeniti da je cijena troška odreĎenog incidenta 100 000 kn dok drugog može biti 20 000 kn. Kvalitativno rangiranje koristi sustav da ocijeni relativni utjecaj rizika. Na primjer, čest kvalitativan sustav je da se rangira ishod vjerojatnosti rizika do kojih dolazi i vrijednost imovine na skali od 1 do 10. Niti kvantitativno niti kvalitativno rangiranje nije nadmoćno jedno nad drugim, dapače, komplementarni su. Kvantitativno rangiranje zahtijeva računovodstvene vještine dok kvalitativno rangiranje zahtijeva tehničke vještine.
OdreĎivanje strategije upravljanja rizikom
Nakon završetka rangiranja rizika, mora se odrediti koje će se opće strategije upravljanja rizikom obavljati te koje sigurnosne mjere će se implementirati u okviru podrške strategiji. Rezultat ovog koraka je plan upravljanja rizikom. Trebao bi
6
sadržavati rizike, prijetnje i moguće efekte na tvrtku, strategiju upravljanja rizikom te sigurnosne mjere koje će biti poduzete.
Nadziranje imovine
Jednom kada su radnje, definirane u planu upravljanja rizikom, implementirane, treba se nadzirati imovina zbog moguće realizacije sigurnosnih rizika. Realizacija sigurnosnog rizika zove se sigurnosni incident. Treba okinuti akcije definirane u planu nepredvidljivih situacija i početi istraživati svaki sigurnosni incident što je prije moguće da bi se ograničila učinjena šteta.
Praćenje promjena
Kako vrijeme protječe, promjene hardwarea, softwarea, osoblja i poslovnih procesa će dodati ili eliminirati sigurnosne rizike. Slično tome, nastajat će nove ranjivosti i prijetnje. Treba popratiti te promjene i obnavljati plan upravljanja rizikom te samim time i sigurnosne mjere.
2.2.2 Strategije upravljanja rizikom
Nakon što se ustanovi imovina i prijetnje kojima je podložna, može se početi s odreĎivanjem koje će se sigurnosne mjere implementirati. Prvi korak je da se odluči prigodna strategija upravljanja rizikom. Mogu se obavljati četiri opće kategorije upravljanja rizikom:
- Prihvadanje
- Ublažavanje
- Prijenos
- Izbjegavanje
Prihvaćanje
Ne poduzimanjem proaktivnih mjera, prihvaćaju se potpuna izloženost i posljedice sigurnosnih prijetnji imovini. Prihvaćanje rizika je krajnja reakcija na prijetnju. Rizik se treba prihvatiti samo kao zadnja mjera kad ne postoji niti jedna razumna alternativa ili kad su troškovi u odnosu na ublažavanje ili prijenos rizika previsoki. Kada se prihvaća rizik, potrebno je napraviti plan nepredvidljivih situacija. Plan nepredvidljivih situacija potanko odreĎuje asortiman radnji koje bi bile poduzete kad bi se rizik ostvario te umanjuje utjecaj kompromitiranja ili gubitka imovine.
Ublažavanje
Najčešća metoda osiguravanja računala i mreža je ublažavanje sigurnosnih rizika. Poduzimanjem proaktivnih mjera da bi se umanjila ili izloženost imovine prijetnjama ili tvrtkina ovisnost o imovini, ublažava se sigurnosni rizik. Jedan od najjednostavnijih primjera ublažavanja sigurnosnog rizika je instaliranje antivirusa. Instaliranjem i održavanjem antivirusa, značajno se umanjuje izloženost računala računalnim virusima, crvima i trojanskim konjima, ali se ne eliminira mogućnost da računalo bude zaraženo jer se neizbježno stvaraju novi maliciozni programi. Pri ublažavanju rizika treba se izraditi plan nepredvidljivih situacija.
7
Prijenos
Sve češća i bitnija metoda adresiranja sigurnosnih rizika jest da se dio prenese trećoj osobi. Prijenos se vrši da bi se iskoristila ekonomija razmjera, kao npr. osiguranje ili da bi se iskoristila stručnost i usluge drugih tvrtki, npr. usluga Web hostinga. Osiguranjem se plaća relativno mala naknada za oporavak ili smanjenje financijskih gubitaka kad bi se zbio sigurnosni rizik. Kada se ugovori hosting web stranice, dobiva se sofisticirana usluga Web sigurnosti i visoko obučeno osoblje za koje je trošak zapošljavanja previsok.
Izbjegavanje
Obrnuto od prihvaćanja rizika je potpuno ga izbjeći. Da bi se rizik izbjegao, potrebno je ukloniti izvor prijetnji te izloženost prijetnji. Općenito, rizik se izbjegava kada postoji mala mogućnost da se ublaži ili prenese ili kada posljedice realizacije prijetnji daleko premašuju korist prihvaćanja rizika. Na primjer, policija želi stvoriti bazu podataka svojih doušnika kojoj bi policajci mogli pristupiti online. Uspješna kraĎa baze mogla bi rezultirati gubitkom života. Dakle, iako postoje razni načini sigurnom pristupu bazi, takoĎer postoji nulta tolerancija sigurnosnog kompromisa. Dakle, rizik mora biti izbjegnut tako da se baza ne postavi na internet ili da se informacija uopće ne pohrani elektronički.
2.3 Nepromjenjivi zakoni
Sljedećih deset zakona dobro opisuje neka ograničenja sigurnosti:
1. Ako haker može uvjeriti neku osobu da pokrene njegov program na njenom računalu,
to više nije računalo te osobe.
2. Ako haker može izmjenjivati operacijski sustav računala neke osobe, to više nije
računalo te osobe.
3. Ako haker ima nesputan fizički pristup računalu neke osobe, to više nije računalo te
osobe.
4. Ako neka osoba dopusti hakeru da uploada programe na web stranicu, to više nije
web stranice te osobe.
5. Slabe lozinke obezvrjeđuju snažnu sigurnost.
6. Stroj je siguran koliko je administrator vjerodostojan.
7. Enkriptirani podatci su sigurni koliko i dekriptirajudi ključ.
8. Imati neažuriran antivirus je samo malo bolje nego ga ne imati uopde.
9. Apsolutna anonimnost nije praktična, kako u stvarnom životu tako ni na webu.
10. Tehnologija nije lijek za sve.
8
3. Alati za obavljanje penetracijskog testiranja [2]
3.1 Pregled razvijanja penetracijskog testiranja u Kali Linuxu
Penetracijsko testiranje u Kali Linuxu vrši se u nekoliko koraka:
1. Izviđanje
2. Evaluacija mete
3. Eksploatacija
4. Eskalacija privilegija
5. Održavanje uporišta
3.1.1 IzviĎanje
Poželjno je naučiti što više o okruženju mete te osobinama sustava prije nego se počne s napadom. Što se više informacija pokupi o meti, veće su šanse da će se identificirati najlakši i najbrži put do uspjeha. IzviĎanje servisa uključuje istraživanje internetskog footprinta mete, nadziranje resursa, ljudi i procesa, skeniranje mrežnih informacija kao npr. IP adrese i tipove sustava, socijalno inženjerstvo, javne servise kao i help desk te ostale namjene.
IzviĎanje je prvi korak penetracijskog testiranja bez obzira na to ako se pregledavaju znane informacije ili se traže nove informacije o meti. IzviĎanje počinje definiranjem okruženja mete temeljeno na dosegu posla. Nakon što je meta identificirana, provede se istraživanje da bi se skupilo informacije o meti kao npr. koji portovi su korišteni za komuniciranje, gdje je server hostan te tip servisa koji su ponuĎeni klijentima itd. Ti podatci unaprjeĎuju plan akcija s obzirom na najlakše metode da se dohvate željeni rezultati. Rezultati izviĎanja koji se mogu isporučiti trebali bi uključivati listu sve imovine koja je na meti, koje aplikacije su povezane s tom imovinom, koji su servisi korišteni te mogući vlasnici imovine.
Kali Linux nudi kategoriju „Information Gathering“ koja služi kao resurs izviĎanja. Alati uključuju metode da se istraže mreže, centri podataka, wireless i sustavi hosta.
Slijedi lista ciljeva izviĎanja:
1. Identificiranje mete/a
2. Definiranje koje se aplikacije i poslovi koriste
3. Identificiranje tipa sustava
4. Identificiranje slobodnih portova
5. Identificiranje pokrenutih servisa
6. Pasivna informacija socijalnog inženjerstva
7. Dokumentiranje pronalaska
9
3.1.2 Evaluacija mete
Nakon što je meta identificirana i istražena, sljedeći korak je evaluacija mete na ranjivosti. U ovom trenutku, penetracijski tester bi trebao znati dovoljno o meti da odabere način analiziranja mogućih ranjivosti ili slabosti. Primjeri testiranja na slabosti su kako rade web aplikacije, identificirani servisi, komunikacijski portovi ili druge stvari. Ocjenjivanje ranjivosti i sigurnosna kontrola se inače zaključe nakon ove faze evaluiranja procesa mete.
Skupljanje detaljnih informacija kroz izviĎanje popravlja točnost mapiranja mogućih ranjivosti, skraćuje vrijeme izvoĎenja da bi se izvela evaluacija servisa mete i pomaže u izbjegavanju postojećih sigurnosti. Npr. pokretanje generičkog skenera ranjivosti na web serveru bi vjerojatno alarmirao vlasnika imovine, trebalo bi neko vrijeme da se izvrši i samo bi generiralo generičke detalje o sustavu i aplikacijama. Skeniranje servera na odreĎene ranjivosti temeljene na podatcima koji su dobiveni od istraživanja će vlasnik imovine teže otkriti, daje dobru mogućnost da se ranjivost eksploatira te treba sekunde da se izvrši.
Evaluiranje meta na ranjivosti može biti manualno ili automatizirano kroz alate. Postoji cijeli niz alata koje omogućuje Kali Linux grupiranih u kategoriji „Vulnerability Analysis“. Raspon alata je od ocjenjivanja mrežnih ureĎaja do baza podataka.
Slijedi lista ciljeva evaluacije mete:
1. Evaluacija meta na slabosti
2. Identificiranje i prioritetiziranje ranjivih sustava
3. Mapiranje ranjivih sustava vlasnicima imovine
4. Dokumentiranje pronalaska
3.1.3 Eksploatacija
Ovaj korak eksploatira ranjivosti koje su pronaĎene da bi se verificiralo ako su ranjivosti stvarne i koje moguće informacije ili pristupi mogu biti dobiveni. Eksploatacija odvaja uslugu penetracijskog testiranja od pasivnih usluga kao što su ocjenjivanje ranjivosti i sigurnosti. Eksploatacija i svi sljedeći koraci imaju legalna grananja bez autorizacije vlasnika imovine mete.
Uspješnost ovog koraka je čvrsto ovisna o prijašnjim pokušajima. Najviše eksploita je razvijano za odreĎene ranjivosti i mogu izazvati neželjene posljedice ako su neispravno izvršeni. Najbolja praksa je identificiranje niza ranjivosti i razvijanje strategije napada koja je temeljena da najranjiviji bude prvi.
Eksploatacija meta može biti manualna ili automatizirana ovisno o krajnjem cilju. Neki primjeri pokreću SQL injekcije da bi pridobili administratorski pristup web aplikaciji ili odrade socijalno inženjerstvo na osobi koja radi u help desku da bi dobili administratorsko login uvjerenje. Kali Linux omogućuje posvećeni katalog alata naslovljenih „Exploitation Tools“ za eksplolataciju meta koje imaju raspon od eksploatacije odreĎenih servisa do socijalnog inženjerstva paketa.
10
Slijedi lista ciljeva eksploatacije:
1. Eksploatacija ranjivosti
2. Stedi uporište
3. Uhvatiti neautorizirane podatke
4. Agresivno socijalno inženjerstvo
5. Napad na druge sisteme ili aplikacije
6. Dokumentiranje pronalaska
3.1.4 Eskalacija privilegija
Imati pristup meti ne garantira ostvarenje cilja penetracijskog zadatka. U mnogim slučajevima, eksploatacija ranjivog sistema može samo dati ograničeni pristup podatcima mete i resursima. Napadač mora eskalirati dodijeljene privilegije da bi pridobio pristup koji je potreban da se „dohvati zastavica“ (engl. capture the flag), što mogu biti osjetljivi podatci, kritična infrastruktura itd.
Eskalacija privilegija može uključivati identificiranje i krekiranje lozinki, korisničkih računa i neautoriziranih IT mjesta. Primjer je ostvarenje ograničenih korisničkih pristupa, identificiranje datoteke u „sjeni“ (engl. shadow file) koja sadrži administratorsko login uvjerenje, dobivanje administratorske lozinke kroz krekiranje lozinke te pristupanje internim sustavima aplikacije s administratorskim pravom pristupa.
Kali Linux uključuje niz alata koji mogu pomoći da se zadobije eskalacija privilegija kroz kataloge „Password Attacks“ ili „Exploitation Tools“. Budući da većina ovih alata koristi metode da bi pridobilo inicijalni pristup i eskalaciju privilegija, skupljeni su i grupirani prema njihovom toolsetu.
Slijedi lista ciljeva eksploatacije privilegija:
1. Dobivanje eskaliranog levela pristupa sustavu/sustavima te mreži/mrežama
2. Otkriti informacije računa drugih korisnika
3. Pristupiti drugim sustavima s eskaliranim privilegijama
4. Dokumentiranje pronalaska
3.1.5 Održavanje uporišta
Završni korak je održavanje pristupa izgradnjom ostalih pristupnih točaka u meti i sakriti dokaz penetracije. Ako je moguće, ti penetracijski pokušaji će okinuti obrane koje će eventualno zaključiti kako je penetracijski tester dobio pristup mreži. Najbolja praksa je izgradnja drugih načina da bi se pristupilo meti kao osiguranje protiv zatvaranja prvotnog puta. Alternativne pristupne metode bi mogli biti backdoorovi, novi administratorski računi, enkriptirani tuneli te novi kanali mrežnog pristupa.
11
Ostali bitni aspekti održavanja uporišta u meti je micanje dokaza penetracije. Time se postiže teža zamijećenost napada te se time reducira reakcija sigurnosnih obrana. Micanje dokaza uključuje brisanje korisničkih logova, maskiranje postojećih pristupnih kanala i uklanjanje tragova upletanja kao poruka pogrešaka izazvanih penetracijskim naporima.
Kali Linux uključuje katalog naslovljen „Maintaining Access“ fokusiran na održavanje uporišta u okviru mete. Alati se koriste za ugradnju raznih oblika backdoorova u metu.
Slijedi lista ciljeva održavanja uporišta:
1. Izgradnja višestrukih pristupnih metoda na mrežu mete
2. Uklanjanje dokaza autoriziranog pristupa
3. Popravak sustava utjecanih eksploatacijom
4. Injektiranje krivih podataka ako je potrebno
5. Sakriti komunikacijske metode kroz enkripciju i ostale načine
6. Dokumentiranje pronalaska
12
3.2 Neki alati koje nudi Kali Linux
3.2.1 HTTrack – kloniranje web stranice [3]
Svrha HTTracka je kopiranje web stranica. Dopušta penetracijskom testeru da pogleda cijeli sadržaj web stranice offline i u kontroliranom okruženju. TakoĎer se može koristiti u svrsi socijalnog inženjerstva. Imajući kopiju web stranice, omogućuje se razvoj lažnih phishing stranica koje mogu biti ugraĎene u ostale toolsete penetracijskog testiranja
Da bi se pokrenuo HTTrack u Terminalu treba utipkati httrack,a ako već nije ugraĎen u Kali Linux, potrebno je utipkati apt-get install httrack.
Sljedeći koraci su stvaranje direktorija gdje će se spremati sadržaj, ulazak u taj direktorij te pokretanje HTTracka. Nakon pokretanja se prvo unese naziv projekta.
Te zatim i direktorij gdje će se željena stranica spremiti.
U sljedećem koraku se upiše URL stranice koje se želi kopirati.
13
Sljedeće dvije opcije prezentiraju što se želi učiniti sa snimljenom stranicom. Opcija 2 je najlakša metoda, odnosno Mirror Web Site(s) with Wizard.
Dalje se može odrediti hoće li se koristiti proxy u početku napada. TakoĎer se može odrediti koje tipove podataka se želi spremati (npr. * označava sve tipove podataka). Još se mogu definirati opcije ili zastavice u naredbenoj liniji.
Prije nego se httrack pokrene, pokazat će naredbu koja ga pokreće. Ta naredba se može ubuduće iskoristiti da se ne prolazi opet kroz Wizard.
14
3.2.2 Nmap/Zenmap [4][5]
Nmap, odnosno Network Mapper je korišten za skeniranje poslužitelja i servisa na mreži. Nmap ima napredna svojstva koja mogu detektirati različite aplikacije i servise pokrenute na sustavima te nudi i OS fingerprinting svojstva. Jedan je od najraširenije korištenih mrežnih skenera što ga čini vrlo efektivnim, ali i vrlo opažljivim. Nmap se preporučuje u vrlo specifičnim situacijama da se spriječi okidanje obrambenog sustava mete.
Dodatno, Kali dolazi sa Zenmapom. Zenmap je Nmap s GUI-em. Dugo je bio razvijan te sadrži većinu Nmapovih svojstava. TakoĎer nudi neka ekskluzivna svojstva koja nisu ponuĎena u Nmapu, kao npr. razvijanje grafičke reprezentacije skena što kasnije može biti korišteno u ostalim izvještajnim sustavima.
Da bi se otvorio Zenmap, treba se ići u menu, navigirati do Information Mapping | DNS Analysis i pokrenuti Zenmap.
Prvi korak je stvaranje novog profila. Profil u Zenmapu dopušta penetracijskom testeru da odabere tip skena koji će izvršiti kao i koje će različite opcije uključiti. Treba se navigirati do Profile menija i odabrati New Profile or Command da se stvori novi profil.
15
Kada se odabere New Profile or Command, pokrenut će se ureĎivač profila. Profilu se treba dati neko opisno ime.
Kad se dovrši opis, klikne se na karticu Scan. U sekciji Targets, dodaje se ime poslužitelja ili mreže koje se želi skenirati. Ovo polje može imati raspon IP adresa (npr. 10.0.1.1-255) ili se može staviti IP adresa u CIDR formatu (npr. 10.0.1.0/24).
Opcija –A je odabrana po defaultu da omogući agresivno skeniranje. Agresivno skeniranje će omogućiti detekciju OS-a (-O), detekciju verzije (-sV), skeniranje skripti (-sC) te traceroute. U osnovi, agresivno skeniranje dopušta korisniku da uključi višestruke zastavice bez potrebe da ih sve zapamti.
Agresivno skeniranje je smatrano ometajućem što znači da će biti detektirano od većine sigurnosnih ureĎaja. Agresivni sken može proći neopažen ako je meta ekstremno specifičan host, ali bez obzira na situaciju, preporučljivo je da se dobije dozvola za skeniranje prije uključenja te opcije.
Dalje se klikne na karticu Ping te se odabere zastavica –Pn tako da Nmap prvo ne pinga sve IP adrese u rasponu mreže. Kada ova zastavica ne bi bila namještena, Nmap bi pingao samo žive i dohvatljive poslužitelje. Zastavica –Pn govori Nmapu da skenira čak i u slučaju da ne dobije pingov Echo Reply. Iako to sken čini dužim, zastavica –Pn dopušta Nmapu da izbjegne čest problem nedobivanja ping odgovora kada su ping zahtjevi blokirani sigurnosnom obranom.
16
Spreme se promjene te se odabere gumb Scan da bi se započeo sken.
17
Kartica Topology daje pregled kako je izvršen sken mreže mete kroz koje preusmjeritelje se prošlo.
Tab Hosts daje listu otkrivenih hostova.
Kada se odabere Hosts, Zenmap prikaže detaljnu listu hostova, njihove operativne sustave te servise.
Kada se pogleda pod Scan, vidi se koji su portovi otvoreni na odreĎenim poslužiteljima, a može se vidjeti čak i koje su aplikacije pokrenute na tim poslužiteljima. Primjetno je da Nmap može odrediti takve stvari kao npr. da je poslužitelj IIS 8.0 ili da ide preko porta 80. Penetracijskim testerima su takve informacije vrlo vrijedne kada traže eksploite koje mogu iskoristiti.
18
Zenmap je najbolji način da se dobije output iz Nmapovih skenova. Nudi bogato grafičko korisničko sučelje koje prikazuje skenove koji mogu biti izvezeni u različite formate, kao npr. .txt ili .xls. TakoĎer dopušta da se izveze grafika i odreĎeni dijelovi izvješća u CSV datoteke ili slikovne datoteke. Takvi izvozi su ekstremno korisni kada se rade izvješća.
19
3.2.3 Vega [6]
Vega je sigurnosni testni alat koji se koristi za ispitivanje web stranica te im analizira sadržaj da naĎe poveznice i parametre forme.
Da bi se pokrenulo Vegu, treba se ići pod Web Applications | Web Vulnerability Scanners i odabrati Vega.
Vega ima kartice Scanner i Proxy u gornjem desnom kutu. Da bi se Vega koristila kao skener, potrebno je odabrati Scan pa Select new scan.
Zatim se pojavljuje input polje koje pita URL mete.
20
U sljedećoj sekciji se odabiru opcije kako da se ocjenjuje meta. Postoje dva glavna modula (Injection Module i Response Processing Module) s mnogim opcijama.
Sljedeće dvije sekcije nude mogućnost dodavanja kolačića te isključnih obrazaca da se izbjegne fuzzing, koje su obje opcionalne, odnosno može se kliknuti na Finish bez daljnje konfiguracije. Klikom na Finish započinje skeniranje.
Vega prikazuje aktivni sken te pronaĎene ranjivosti s levelom rizika.
Gornje lijevi prozor naslovljen Website View prikazuje metu/e koje su skenirane te ostale mete koje su povezane s primarnom metom. Donje lijevi prozor
21
naslovljen Scan Alerts pokazuje kategorije pronaĎenih ranjivosti. Može se kliknuti na crtice pored Alerts da bi se vidjelo koje ranjivosti Vega nalazi. Kada se klikne na bilo koju ranjivost, Vega prikazuje definiciju što je naĎeno s detaljnim objašnjenjem mogućeg utjecaja.
Vegin Proxy dio daje mogućnost da se vide zahtjevi i odgovori od stranice mete.
Vega nudi detalje o pronaĎenim ranjivostima u središnjem zaslonu te sažetak skena.
22
3.2.4 Metasploit [7]
Metasploit je jedan od najpopularnijih alata za eksploataciju napada sa strane poslužitelja. Smatran je jednim od najkorisnijih alata penetracijskih testera. Korišten je kao legitiman alat penetracijskog testiranja kao i alat korišten od napadača da provedu neautoriziranu eksploataciju sustava.
U Kali Linuxu se treba osigurati da su pokrenuti servisi Postgre SQL i Metasploit. To se može uraditi utipkavanjem service postgresql start i service metasploit start u Terminalu kao root.
Zatim se utipka msfconsole da se pokrene Metasploit što je najpopularniji način pokretanja Metasploita te pruža grafičko korisničko sučelje. Osnovne naredbe kao što su help i show omogućuju navigaciju kroz Metasploit.
U dodatku Metasploitovim naredbama, msfconsole dopušta da se pozovu temeljne naredbe OS-a kao što su ping i nmap. To je korisno jer omogućuje napadaču da izvrši rutinske poslove bez napuštanja konzole.
23
U prvom koraku se koristi nmap za skeniranje mreže. Rezultati mogu automatski biti dodani u Metasploit koristeći .xml datoteku. Naredba koja se zadaje je:
nmap –n –oX scan.xml URI
Može se uvesti rezultate iz nmapa u Metasploit koristeći stvorenu .xml datoteku. To se uradi koristeći naredbu:
db_import scan.xml
Brzi pregled hostovih naredbi pokazuje da je uvoz uspješan pa Metasploit sada sadrži podatke iz nmapa.
TakoĎer se može izdati naredba services da se vidi slobodne servise unutar Metasploita.
Skeniranje u nmapu i uvoz .xml datoteke se može obaviti i u jednom koraku koristeći naredbu db_nmap (npr. db_nmap –n –A meta).
Može se provjeriti ako Metasploit ima relevantne informacije u bazi podataka izdajući naredbe hosts i services.
24
U danom primjeru se vidi da se npr. koristi Microsoft Windows RPC. Može se potražiti eksploit te to probati iskoristiti.
U okviru gornjeg primjera, Metasploit nudi par exploita te se jedan od njih može probati iskoristiti. Eksploiti takoĎer imaju rangove.
Da bi se koristio odreĎeni eksploit koristi se naredba use.
Nakon što se odabere eksploit, mora se odrediti koje su informacije potrebne prije izvršenja. To se uradi identificiranjem traženih opcija izlistanih u outputu i odabiranjem payloada koji se želi isporučiti. Da bi se vidjele tražene opcije, koristi se naredba show options.
25
Iz primjera se vidi da treba upisati HNAME i RHOST te prilagoditi RPORT. TakoĎer se treba odabrati payload te postaviti payload opcije. Payload je kod koji se ubrizgava i pokreće eksploit. Budući da ista ranjivost može postojati koristeći višestruke metode, nekad je moguće odabirati izmeĎu više payloada. Da se vide slobodni payloadi, izdaje se naredba show payloads.
Nakon što se odabere payload koji se misli koristiti, sljedeći korak je koristiti naredbu set payload te ime payloada.
Nakon što je i payload postavljen, opet se izdaje naredba show options da se ovjere podatci specifični payloadu.
26
Još je jedino preostalo postaviti opcije te upisati naredbu exploit da se pokrene napad. Ako se napad pokrene uspješno, Metasploit se spoji na udaljeni poslužitelj pa se može pokrenuti bilo koja naredba na njemu.
3.2.5 w3af [8]
w3af (skraćeno za Web Application Attack and Audit Framework) je open-source web aplikacija koja je sigurnosni skener i eksploatacijski alat. W3af se može pronaći unutar Web Applications | Web Vulnerability Scanners odabiranjem w3af. W3af nudi wizarda, no nije nužan da bi se ispravno izveo sken. Prvi korak je ili kreiranje novog profila ili se okoristiti postojećim. Profili su korišteni da bi se grupirali pluginovi koji će biti izvedeni na meti. W3af dolazi s nekoliko odličnih defaultnih grupa kao što je OWASP TOP10. Definicije postojećih pluginova će biti prikazane u centralnom prozoru prilikom odabiranja. Ako se koristi novi profil ili se izmjenjuje postojeći, može se odabrati bilo koji plugin koji se želi skenirati, no što ih se više odabere, više će trebati da se sken izvrši. W3af upozorava korisnika na moguća duga čekanja ako se odabere velika grupa. Da bi se započeo sken, upiše se URL pod Target te se klikne na Start.
27
W3af pokaže status aktivnog skena u prozoru Log te pokušava predviĎati vrijeme potrebno za dovršetak skena.
Da bi se vidjeli rezultati skena, potrebno je kliknuti na karticu Results. Results daje detalje mogućih ranjivosti. Kartica Exploit pokaže moguće eksploite temeljene na otkrivenim ranjivostima.
28
W3af dopušta korisnicima i da eksploitiraju identificirane ranjivosti. Kako su ranjivosti pronalažene, spremljene su u odreĎenim lokacijama baze znanja iz koje pluginovi eksploita mogu čitati i koristiti informacije da eksploitiraju ranjivost. Ako je eksploit uspješno izvršen, dobiva se shell na sustavu mete.
3.2.6 sqlmap [9]
Sqlmap automatizira proces detekcije i eksploatcije propusta SQL Injectiona te preuzima poslužitelje baza podataka. Sqlmap dolazi s mogućnošću detekcije, kao i cijelom nizu svojstava penetracijskog testiranja koje imaju raspon od pristupa datotečnom sustavu do izvršavanja naredbi na operativnom sustavu kroz out-of-band konekcije. Zanimljivo je još napomenuti da je jedan od dva autora programa bivši student FER-a – Miroslav Štampar.
Svojstva uključuju podršku za mnoge sustave upravljanja bazama podataka, podršku za mnoge SQL Injection tehnike, enumeriranje korisnika, hasheve lozinki te mnoge druge. Sqlmap takoĎer podržava proces eskalacije privilegija koristeći Metasploitovu Meterpreter getsystem naredbu.
Sqlmap je alat koji može biti korišten da se eksploitiraju poslužitelji baza podataka te je ugraĎen u Kali. Da bi se koristio sqlmap, treba pokazati na URL SQL skripte na web poslužitelju.
29
Sqlmap se može naći unutar Vulnerability Analysis | Database Assessment. Klikom na sqlmap otvara se Terminal prozor koji prikazuje sqlmapovu help stranicu.
Osnovna sintaksa za korištenje sqlmapa je:
sqlmap –u URL –funkcija
Česta funkcija je dbs. Ključna riječ dbs daje sqlmapu baze podataka.
30
Nakon što se naĎe ranjivi poslužitelj, može se odabrati baza koristeći naredbu –D te ime baze.
Ključna riječ table je korištena da dohvati sve tablice u zadanoj bazi podataka na web poslužitelju.
OdreĎene ntorke mogu biti odabrane koristeći sljedeću naredbu:
31
Ako postoji ikakva relevantna informacija u tablicama, može biti dohvaćena sljedećom naredbom:
Potonja naredba stvara datoteku proizvoljnog naziva te dumpa sve „sirove“ informacije iz tablice baze u tu datoteku. U mnogim slučajevima to uključuje lozinke te ostale osjetljive informacije.
3.3 Kratki tablični pregled obraĎenih alata
Ime alata Opis
HTTrack Kopiranje web stranice
Nmap/Zenmap Skeniranje mreža
Vega Skener ranjivosti
Metasploit Eksploatacijski alat
W3af Skener ranjivosti i eksploatacijski alat
Sqlmap Alat za preuzimanje baza podataka
32
4. Zaključak
Računalna sigurnost je široka tema koja postaje sve važnija budući da je svijet sve više meĎusobno povezan, s mrežama koje prenose kritične transakcije. Okuženje u kojem strojevi moraju preživjeti radikalno se promijenilo od kad se populazirao Internet. Korijen najviše sigurnosnih problema je software koji zakazuje u neočekivanim načinima.
Sigurnosti se pristpupa sistematično i u koracima. Potrebno je da bude što jednostavnija da bi bila što učinkovitija iako to nije uvijek moguće. Sigurnost je ustvari o upravljanju rizikom. Budući da se ništa ne može učiniti potpuno sigurnim, mogu se koristiti odreĎene metode te strategije upravljanja rizikom. Za uspješto obavljanje računalne sigurnosti potrebno je biti dobro upoznat njima.
Potrebno je znati i ući u glavu napadača što dovodi do toga da se trebaju naučiti tehnike napada na računala. U tome mnogo olakšava niz gotovih alata, a većina tih alata potrebnih penetration testeru nalazi se u Linux distribuciji Kali. Kvalitetan tester se mora znati snalaziti s tim alatima budući da olakšavaju uvid u razne ranjivosti, od web stranica do lokalnih korisnika wireless mreže. Treba steći uvid i u način funkcioniranja samih tih alata, što zbog boljih rezultata što zbog vlastitog pospješivanja istih.
Sve u svemu, za razvoj vrhunskog penetration testere te samim time i stručnjaka za računalnu sigurnost ključno je biti dobro ispraksiran, odnosno što više biti u doticaju sa sigurnosnom realnošću današnjice, što se više informirati te učiti nove tehnologije računalnog svijeta. Jednako tako je potrebno i stalno pratiti novonastale propuste te eventualno i sam nalaziti iste.
33
5. Literatura
[1] Kevin Lam, David LeBlanc, Ben Smith. Assesing network security: Key principles of security. Redmond, Washington: Microsoft Press, 2004.
[2] Muniz Joseph, Lakhani Aamir. Web Penetration Testing with Kali Linux. Birmingham, UK: Packt Publishing Ltd., 2013.
[3] Alat HTTrack, dostupno na adresi: http://www.httrack.com
[4] Alat Nmap, dostupno na adresi: http://nmap.org
[5] Alat Zenmap, dostupno na adresi: http://nmap.org/zenmap/
[6] Alat Vega, dostupno na adresi: http://www.subgraph.com/products.html
[7] Alat Metasploit, dostupno na adresi: http://www.metasploit.com
[8] Alat w3af, dostupno na adresi: http://w3af.org
[9] Alat sqlmap, dostupno na adresi: http://sqlmap.org