Címlapon

Betörés jóindulattal

Betörés jóindulattal Egy informatikai hálózat veszélyeztetettségét csak folyamatos felülvizsgálat segítségével lehet felmérni. Ebbe tartozik az etikus hackelés is.

 


Az utóbbi húsz esztendõben elterjedt és alkalmazott szoftverek nagy része számos biztonsági rést tartalmaz. Ezek kihasználásának módjai, valamint a szükséges segédeszközök az interneten villámgyorsan terjednek, így már egy viszonylag képzetlen tinédzser is képes lyukat ütni védelmi rendszerünkön – keseríti el az informatikai igazgatókat Keleti Arthur, az Icon Számítástechnikai Rt. IT-biztonsági üzletágának üzletfejlesztési igazgatója.

Mielõtt azonban ez megtörténne, érdemes megvizsgálnunk informatikai rendszerünk ellenálló-képességét, s ennek keretében megbíznunk egy erre szakosodott céget, hogy próbáljon betörni hálózatunkba. Ez a tevékenység az etikus hackelés, s lényegében a biztonsági rések – kihasználhatóságának – jóindulatú feltérképezésére irányul. E vizsgálatoknak azonban nem szabad csak az internet felõli tûzfalakra, webszerverekre korlátozódniuk, hanem célszerû a teljes belsõ informatikai infrastruktúrára is kiterjeszteni õket. Egy profi etikushacker-csapat az ismert sérülékenységelemzõ szoftverek mesterséges intelligenciájára építi mechanikus, távoli betörési kísérleteit, s ezt kiegészíti tapasztalt, kizárólag erre specializálódott mérnökök által tervezett és vezetett távoli, adaptív betörési kísérletekkel. A felhasznált eszközöknek – a hatékonyság érdekében – tartalmazniuk kell az elérhetõ legkorszerûbb, valódi hackertechnológiát és folyamatokat. A csapat a szolgáltatás eredményeként olyan jelentést ad át a megbízónak, amely rávilágít mind a technológián, mind az emberi erõforráson alapuló biztonsági résekre.

 

Mit támadjunk?
A legelterjedtebb támadási formák a CGI (Common Gateway Interface) szkriptek sérülékenységeit használják ki. Komoly biztonsági rést jelentenek az alapkonfigurációval feltelepített mintafájlok, mintaadatbázisok, feleslegesen futó szolgáltatások is. Az elavult verziójú webszerverszoftverek is könnyû prédának számítanak, ezek hibáit ugyanis az összes informatikai biztonsággal foglalkozó honlap ismerteti – mutat rá egy lényegében nyílt titokra Keleti Arthur. A hackeroldalakon pedig ezek kihasználására találunk részletes leírásokat. Az ftp-szervereknél tipikus hiba az anonymous login engedélyezettsége. A korábbi ftp-verziók jelentõs részénél ugyanis találtak olyan hibát, amelynek segítségével névtelen felhasználóként DoS-támadást (Denial of Service) indíthatunk a kiszolgáló ellen, s ennek eredményeképpen root-jogosultságokhoz jutunk a rendszeren. Nagy kockázatot hordoz még a könyvtárszerkezet jogosultságainak nem megfelelõ beállítása. A trójai falovak segítségével átvehetjük az irányítást a célerõforráson, bármit megtehetünk, ami root-jogosultságokkal lehetséges. Ahhoz, hogy trójai szoftvereket helyezzünk el egy rendszeren, elég egy létezõ buffer overflow támadást kihasználni, aminek következtében root-jogokat kapunk az adott hoston. A vizsgált esetek 30 százalékában engedélyezve volt a Microsoft IIS RDS (Remote Data Services) szolgáltatása, ami lehetõvé teszi adatbázisok interneten való publikálását. Ezt kihasználva néhány mintaadatbázis segítségével illetéktelenek is különbözõ parancsokat hajthatnak végre a szerveren. A biztonságos üzemeltetéshez vagy az IIS frissítésére van szükség, vagy törölni kell a mintaadatbázisokat. Az ilyen DoStámadásnak egyébként csak az IIS 3.0 verziója van kitéve, ezt a problémát a késõbbi fejlesztések során kijavították.

Hogyan támadjunk?
Különbözõ módszerek léteznek: jelszót tartalmazó állomány megszerzése, hallgatózás a hálózaton, a registry megszerzése, folyamatos próbálkozás szótár alapján vagy pedig úgynevezett brute force technika segítségével. Ez utóbbi azt jelenti, hogy a hackerek a karakterek bizonyos kombinációit próbálják végig. A jelszavak feltöréséhez többféle szoftvert használhatunk. Végighívhatjuk a különbözõ telefonszám-tartományokat is, ahol az adatgyûjtõ szoftver feljegyzi, ha a telefonszámon modem jelentkezett be. Ezek a támadások súlyos károkat okozhatnak, mivel a munkaállomásokon általában nincs komoly védelmi szoftver. Ami a vírusokat illeti, a régi boot-, DoSés makróvírusok helyett ma már a különbözõ rendszerkomponensek, a levelezõszerverek/- kliensek, valamint a böngészõk hibáit kihasználó kódok, trójai falovak, férgek élik világukat. Sokszor szükségtelen a rendszer közvetlen feltörése, ha a rendelkezésre álló dedikált csatornákon (például levelezés, webböngészés) a szükséges adatok (rendszerinformációk, jelszavak, konkrét állományok) kijuttathatók. Egyes vírusok kifejezetten trójai programok bejuttatására specializálódtak.