Vulnerability Assessment / Penetration Test (VA/PT)

H ασφάλεια στον κυβερνοχώρο
Η αποτελεσματική ασφάλεια στον κυβερνοχώρο είναι πιο σημαντική από ποτέ, καθώς οι επιθέσεις γίνονται πιο εξεζητημένες και δύσκολες στον εντοπισμό, έχουν μεγαλύτερο οικονομικό αντίκτυπο, και προκαλούν μεγάλη βλάβη στην αξιοπιστία μίας εταιρείας ή ενός οργανισμού.
Έχει ειπωθεί για την ασφάλεια ότι “οι εταιρείες χωρίζονται σε δύο κατηγορίες, αυτές που έχουν παραβιαστεί και αυτές που θα παραβιαστούν”. Ωστόσο, η ασφάλεια των δικτύων, των συστημάτων και των εφαρμογών πρέπει να βελτιώνεται συνεχώς για να αποτρέπει όσο το δυνατόν περισσότερες επιθέσεις. H διακίνηση των δεδομένων πάνω από δίκτυα που συνεχίζουν να είναι ευάλωτα σε διάφορες απειλές αυξάνεται επίσης, πρέπει επομένως οι προσπάθειές μας να επικεντρωθούν στην προστασία τους. Οι κρίσιμες πληροφορίες είναι απαραίτητο να ασφαλίζονται, ανεξάρτητα από το αν βρίσκονται σε ένα διακομιστή, σε ένα αξιόπιστο δίκτυο, ή σε μια φορητή συσκευή.
Φυσικά, παρά τις προσπάθειες μιας εταιρείας να αποτρέψει τις δικτυακές επιθέσεις και να προστατεύσει τα κρίσιμα δεδομένα της, αυτό δεν είναι πάντα επιτυχές δεδομένου ότι όλα τα δίκτυα και κατ’ επέκταση και τα συστήματα διασυνδέονται μεταξύ τους. Ως εκ τούτου, θα πρέπει η επιχείρηση να είναι σε θέση να εντοπίζει τις αδυναμίες της με την εκτέλεση ελέγχων ευπαθειών (Vulnerability Assessment) ή / και δοκιμών διείσδυσης (Penetration Testing) για να διαπιστώσει προβλήματα και ζητήματα προτού συμβεί μια παραβίαση.
Vulnerability Assessment / Penetration Testing τι είναι και πόσο διαφέρουν;
Επειδή συχνά γίνεται πολύ λόγος για την διαφορά μεταξύ της εκτέλεσης ελέγχων ευπαθειών (Vulnerability Assessment) και δοκιμών διείσδυσης (Penetration Testing) θα δώσουμε ένα πολύ απλό παράδειγμα από κάποιον άλλο χώρο, ώστε να δείξουμε τι είναι το καθένα και τι περιλαμβάνει.
Θα υιοθετήσουμε τον ρόλο ενός διαρρήκτη και θα προσπαθήσουμε να μπούμε στην θέση του για να δούμε πώς σκέφτεται και πώς δρα. Έστω, λοιπόν, ότι έχουμε εντοπίσει το σπίτι στο οποίο θέλουμε να κάνουμε την υποτιθέμενη διάρρηξη.
Το πρώτο βήμα που θα κάνουμε ονομάζεται «αναγνώριση στόχου» (reconnaissance): πλησιάζουμε τον στόχο και αναγνωρίζουμε (ψάχνουμε για) αδυναμίες τις οποίες και σημειώνουμε σε ένα χαρτί. Έστω λοιπόν, ότι το υποτιθέμενο σπίτι που θέλουμε να διαρρήξουμε είναι μια μονοκατοικία. Βλέπουμε ότι συχνά οι ιδιοκτήτες ξεχνούν την αυλόπορτα ξεκλείδωτη (σημειώνουμε την αδυναμία). Κάνοντας τον γύρω του τετραγώνου (της περιμέτρου του σπιτιού) διακρίνουμε ότι τα παραθυρόφυλλα του παραθύρου στο πίσω μέρος του σπιτιού είναι μισάνοιχτα. Το σημειώνουμε κι αυτό.
Μέχρι τώρα αυτό που έχουμε κάνει είναι να εντοπίσουμε πιθανές αδυναμίες οι οποίες θα μπορούσαν να χρησιμοποιηθούν από μια απειλή (εμάς – τον κλέφτη!) για να υλοποιήσουμε ένα κίνδυνο (που είναι η διάρρηξη). Δεν έχουμε αποδείξει όμως ότι όλες οι αδυναμίες που έχουμε δει, μπορεί να οδηγήσουν σε παραβίαση. Για παράδειγμα, μπορεί το παραθυρόφυλλο να βλέπουμε ότι είναι μισάνοιχτο, αλλά μπορεί από πίσω να κρύβει κάγκελα ή μπορεί το σπίτι μέσα να έχει συναγερμό.
Μέχρι τώρα λοιπόν, έχουμε κάνει ένα Vulnerability Assessment στον στόχο. Δεν δοκιμάσαμε να… «μπουκάρουμε» μέσα για να δούμε αν οι αδυναμίες που σημειώσαμε, είναι πράγματι αδυναμίες! Δηλαδή δεν έχουμε κάνει ακόμα Penetration (Διείσδυση)!
Αυτή λοιπόν είναι και η διαφορά του Vulnerability Assessment από το Penetration Test. Στο πρώτο καταγράφουμε και εντοπίζουμε τις πιθανές αδυναμίες χωρίς να επιτεθούμε κατά μέτωπο, ενώ στο δεύτερο τις επιβεβαιώνουμε με πραγματική επίθεση.
Συνήθως το Vulnerability Assessment (VA) είναι το πρώτο στάδιο ενός Penetration Test(PT). Βέβαια, το VA μπορεί να σταθεί από μόνο του, χωρίς την δοκιμή διείσδυσης. Δηλαδή, αφού το πραγματοποιήσουμε, να μοιραστούμε τα ευρήματα με το ιδιοκτήτη (τι σόι «ηθικοί» διαρρήκτες είμαστε άλλωστε) ώστε μαζί, να τα αξιολογήσουμε και να «κλείσουμε» όσα θα μπορούσαν να οδηγήσουν σε παραβίαση.

Τρόποι Επίθεσης
Οι τρόποι επίθεσης χωρίζονται σε τρείς κατηγορίες:
• White-Box: Όταν ο επιτιθέμενος έχει πλήρη γνώση σχετικά με την εφαρμογή ή την πληροφοριακή υποδομή. Μπορεί να υπάρχει πρόσβαση στον πηγαίο κώδικα και σε λογαριασμούς χρηστών / διαχειριστών στο πλαίσιο του ελέγχου.
• Gray-Box: Όταν παρέχονται στον επιτιθέμενο κάποιες πληροφορίες σχετικά με την εφαρμογή ή την υποδομή (π.χ. IP Addresses, domain names).
• Black-Box: Στον επιτιθέμενο δεν παρέχετε καμία γνώση σχετικά με την εφαρμογή ή την υποδομή, εκτός από τα εργαλεία που θα χρησιμοποιήσει ο ίδιος.

Η επίθεση μπορεί να είναι εσωτερική (να γίνει μέσα από τον οργανισμό) ή εξωτερική (να γίνει έξω από τον οργανισμό μέσω ενός δημόσιου δικτύου, π.χ. Internet).
Μεθοδολογία
H μεθοδολογία διεξαγωγής των ελέγχων διείσδυσης (penetration test) συνήθως ακολουθεί τις βέλτιστες πρακτικές ελέγχων, όπως αυτές ορίζονται από τα διεθνώς αναγνωρισμένα πρότυπα του OWASP Top 10 και NIST 800-115. Αναλυτικά, οι δοκιμές διείσδυσης ακολουθούν (κατά NIST 800-15) την εξής δομή:

Στάδιο 1ο: Planning
Στη φάση σχεδιασμού, προσδιορίζονται οι κανόνες, οριστικοποιείται η έγκριση της διοίκησης και τεκμηριώνονται οι στόχοι δοκιμής. Η φάση σχεδιασμού θέτει τα θεμέλια για μια επιτυχημένη δοκιμή διείσδυσης. Δεν πραγματοποιείται δοκιμή σε αυτήν τη φάση αλλά συμφωνείται το πεδίο δράσης που θα υλοποιηθεί στα επόμενα στάδια.

Στάδιο 2ο: Discovery / Vulnerability Assessment
Με τη χρήση ειδικών αυτοματοποιημένων εργαλείων θα γίνει η αναγνώριση των συστημάτων που πρόκειται να ελεγχθούν (information gathering). Στη συνέχεια, με βάση τις πληροφορίες που έχουν συλλεχθεί για τις χρησιμοποιούμενες τεχνολογίες από τα συστήματα στόχο, παραμετροποιούνται κατάλληλα εργαλεία ώστε να μπορέσουν να εντοπίσουν τις αδυναμίες και τις τρωτότητες των υπό έλεγχο συστημάτων.
Συγκεκριμένα, υλοποιούνται τα ακόλουθα:
• συλλογή πληροφοριών για τον στόχο: εύρεση subdomains, virtual hosts, σχετιζόμενα domain names με το κύριο domain
• πλήρη ανίχνευση ευπαθειών των προς έλεγχο συστημάτων: γίνεται εντοπισμός των ευπαθειών αυτών χρησιμοποιώντας περισσότερες από 60.000 διαφορετικές γνωστές αδυναμίες
• έλεγχο του κατά πόσο είναι ισχυροί οι κωδικοί πρόσβασης: αυτή η σάρωση ανιχνεύει την ύπαρξη αδύναμων κωδικών πρόσβασης σε υπηρεσίες δικτύου (MySQL, FTP, SSH) με την πραγματοποίηση δοκιμών σύνδεσης προς αυτές τις υπηρεσίες με την χρήση λεξικών με τα πιο συνηθισμένα συνθηματικά
ειδικά για την περίπτωση ιστότοπων: εύρεση κρυμμένων αρχείων στους Webservers: διενέργεια σάρωσης ώστε να βρεθούν (πιθανώς ξεχασμένα) αρχεία προσβάσιμα από το διαδίκτυο, όπως για παράδειγμα: αρχεία παραμέτρων (configuration files), αρχεία backup κλπ.

Στάδιο 3ο: Attack – Ενδελεχής έλεγχος κάθε αδυναμίας
Αυτό είναι το ουσιαστικότερο μέρος ενός penetration test που το διαφοροποιεί από το vulnerability assessment. Μπορεί να εκτελεστεί μόνο από προσωπικό που έχει ιδιαίτερα υψηλό τεχνικό υπόβαθρο αλλά και εμπειρία σε τέτοιου είδους ελέγχους. Στο σημείο αυτό γίνεται προσπάθεια εκμετάλλευσης (exploitation) μία προς μία όλων των αδυναμιών που εντοπίστηκαν στο προηγούμενο στάδιο, με χρήση εξειδικευμένων τεχνικών, με σκοπό την πραγματική παραβίαση των προς έλεγχο εφαρμογών. Στο στάδιο αυτό, επιβεβαιώνεται η πιθανότητα κάποιος να μπορέσει να παραβιάσει τα πληροφοριακά συστήματα. Επιπλέον επιβεβαιώνεται ο βαθμός δυσκολίας αλλά και το μέγεθος της ζημιάς που ενδέχεται να προκαλέσει. Για όλες τις επιτυχημένες παραβιάσεις συλλέγονται τα ανάλογα αποδεικτικά στοιχεία. Η ιεράρχηση των αδυναμιών γίνεται βάσει διεθνώς αναγνωρισμένων μονάδων μέτρησης αδυναμιών, όπως τα: CVSS (Common Vulnerability Scoring System) και CVE (Common Vulnerability and Exposures).
Για την περίπτωση ιστότοπων θα πραγματοποιείται συγκεκριμένος έλεγχος (βάση της διεθνούς αναγνωρισμένης λίστας κινδύνων OWASP Top 10 Web Application Security Risks) όπως:
• SQL injection
• XSS
• LFI
• OS command injection κλπ.
Σημειώνεται ότι αρχικά γίνεται η σάρωση και σε δεύτερη φάση ο εντοπισμός της ευπάθειας με ελεγχόμενη επίθεση.

Στάδιο 4ο: Reporting – Εκτίμηση και ιεράρχηση ευρημάτων και αναφορές
Στο στάδιο αυτό γίνεται εκτίμηση και ιεράρχηση των ευρημάτων με βάση τα αποτελέσματα των δοκιμών παραβίασης, ώστε να εντοπιστούν οι πιο κρίσιμες και εύκολα εκμεταλλεύσιμες από κακόβουλους επιτιθέμενους αδυναμίες. Θα γίνει συσχέτιση επίσης των ευρημάτων με σκοπό τον εντοπισμό κινδύνων που μπορεί να προέρχονται από συνδυασμό αυτών.
Τα παραπάνω θα παρουσιαστούν σε αναφορά, ταξινομημένα βάση του βαθμού επικινδυνότητας τους. Γίνεται χρήστη της μονάδας μέτρησης βαθμολόγησης CVSS v2. Η μονάδα μέτρησης CVSS επιτρέπει σε έναν οργανισμό να δώσει προτεραιότητα για το ποια τρωτά σημεία πρέπει θα διορθωθούν πρώτα. Η μονάδα CVSS σε συνεργασία με την Εθνική Βάση Δεδομένων Ευπαθειών (NVD) παρέχει βαθμολογίες για τις πιο γνωστές ευπάθειες, με βάση την ακόλουθη κλίμακα:

Επίσης, η κάθε αδυναμία/ευπάθεια που θα παρουσιαστεί, θα συνδεθεί με τον αντίστοιχο διεθνή κωδικό ταυτοποίησης και περιγραφής αδυναμιών CVE (Common Vulnerabilities and Exposures (CVE) system). Το σύστημα CVE παρέχει μια μέθοδο αναφοράς και τυποποίησης για ευρέως γνωστές αδυναμίες οι οποίες μπορούν να οδηγήσουν σε εκθέσεις σε κινδύνους ασφάλειας πληροφοριών. Ο εθνικός οργανισμός κυβερνοασφάλειας FFRDC διατηρεί το σύστημα αυτό, με χρηματοδότηση από την Εθνική Διεύθυνση Ασφάλειας Κυβερνοχώρου του Υπουργείου Εσωτερικής Ασφάλειας των Ηνωμένων Πολιτειών, από τον Σεπτέμβριο του 1999. Αποτελεί το de-facto standard σημείο αναφοράς για την ταυτοποίηση όλων των γνωστών αδυναμιών.
Και… μια φιλική συμβουλή
Οι έλεγχοι ασφαλείας προτείνεται να επαναλαμβάνονται σε τακτά χρονικά διαστήματα καθώς συχνά αλλάζει η διαμόρφωση των υπό εξέταση συστημάτων, οι εντοπισμένες αδυναμίες ασφαλείας αλλά και οι τρόποι επίθεσης, οι οποίοι ανακοινώνονται δημοσίως και μπορούν να αποτελέσουν αντικείμενο εκμετάλλευσης από κακόβουλα μέρη.