eEye Digital Security | zabezpečení IIS | audit bezpečnosti

Chápání obvyklých metod útoku hackerů (CHAM) a jeho využití v síťovém bezpečnostním skeneru Retina.

Společnost eEye Digital Security zapracovala svoji patentovanou technologii CHAM do síťového bezpečnostního skeneru Retina jako prostředek k zajištění pokročilého zjišťování zranitelnosti pro ty, kteří se snaží o podstatné vylepšení své síťové infrastruktury. Zatímco Retina je nejrychlejším a nejucelenějším nerušivým(tj. neovlivňujícím chod samotného systému) skenerem v této oblasti, využití funkce CHAM je určeno výlučně pro pokročilé uživatele a zaměřuje se na testování bezpečnostních průniků do sítě.

Tento materiál nastiňuje běžné funkce skeneru, jeho srovnání s CHAM a způsob/načasování použití CHAM.

Síťový bezpečnostní skener Retina společnosti eEye je uznáván za nejlepší produkt pro vyhodnocování a odstraňování zranitelnosti sítí na trhu – určuje standard s ohledem na rychlost, snadnost použití, hlášení, nenarušování a pokročilé skenovací schopnosti pomocí technologie AI.

Rychlost produktu Retina je nepřekonatelná, jelikož je schopen skenovat každý stroj v síti včetně různých operačních systémů, síťových zařízení, aplikací od třetích stran a uživatelských aplikací, a to vše v rekordním čase. Retina je schopna prohlédnout průměrnou síť třídy C za méně než 15 minut, což je až 15 x rychleji než konkurenční produkty. Byl to jediný skener schopný spolehlivého snímání celé sítě třídy B za méně než 2 hodiny. V důsledku toho Retina získala ocenění Network World Blue Ribbon Award za rok 2002, překonala své konkurenty a byla vyhodnocena jako nejlepší skener zranitelnosti na trhu.

Po skenování poskytuje Retina ucelenou sestavu, která uvádí podrobnosti ohledně všech zranitelností v testovaných systémech a navrhuje příslušné nápravné kroky, jako je například stáhnutí odpovídajících opravných souborů nebo využití automatických opravných schopností Retina k opravě nesprávných konfigurací. Zranitelnosti zkoumané produktem Retina jsou neustále aktualizovány a uživatelé mohou dokonce vytvořit své vlastní zkoušky, a to prostřednictvím otevřené architektury Retina a snadno použitelného rozhraní.

V případě distribuovaných podnikových prostředí je možno produkt Retina nainstalovat v kombinaci s REM™ Remote Enterprise Management (Vzdálená podniková správa), a tak vytvořit robustní systém vyhodnocování a opravování firemních zranitelností. Více informací o REM a podnikovém řešení je k dispozici online na webových stránkách společnosti eEye.

S robustními schopnosti produktu Retina docházíme k otázce, proč by chtěla organizace používat funkci CHAM a podrobit svoji síť intenzivnímu penetračnímu testování?

Zjednoduše lze říci, že tradiční skenovací produkty nejsou schopny zjišťovat skryté zranitelnosti v rámci uživatelsky vyvinutého software, specializovaných aplikací a zastaralých softwarových produktů. Mnoho společností využívá určitou formu uživatelských aplikací, které mohou být často skenery přehlíženy, ale mohou být také stále vystaveny a zůstávat neočekávaně zranitelné při hackerských útokech.

Zakázkové a neobvyklé softwarové produkty obvykle neprošly zkoumáním tisíců hackerů, kteří by je každodenně zkoušeli a testovali jako je tomu v případě nejobvyklejších operačních systémů COTS a softwarových aplikací. Proto může s ohledem na tyto produkty existovat zranitelnosti, které jednoduše nebyly zjištěny. Tyto zakázkové a neobvyklé aplikace mohou být slabým článkem sítě a umožnit hackerovi získat přístup k důležitým datům.

CHAM byl vyvinut tak, aby fungoval tak jako hacker a prohledával jakékoliv uživatelské aplikace za účelem zjištění slabých míst. Je-li funkce CHAM aktivována přejímá na sebe Retina dvě role. Zaprvé provádí normální neintruzívní skenování, které má identifikovat všechny známé zranitelnosti. Dále Retina přejde do režimu CHAM a stane se důvěrným „hackingovým konzultantem“, a to prostřednictvím testování slabých stránek sítě v případě neobvyklých aplikací nebo uživatelských programů.

Když Retina zkoumá síť, probírá informace o síťových zařízeních a zjišťuje, jak komunikují v síti. Informace o těchto komunikačních bodech může použít CHAM při provádění mnoha pokusů o průnik pro zvolené protokoly. Tyto útoky využívají proprietární strukturovaný stroj pro "modelování rozhodovacího stromu", který se inteligentně snaží o narušení cílových strojů. CHAM se v současné době zaměřuje na protokoly HTTP, FTP, SMTP a POP3, což jsou v současné době nejvíce používané protokoly na internetu a intranetech. Tak se může CHAM chovat neskriptovaným způsobem, reagovat na zjištěná data a přizpůsobovat své chování na základě údajů specifických pro dané prostředí.

Funkce CHAM produktu Retina bude také provádět kontrolu cílové služby, zda zde nedochází k přetékání zásobníku. Během auditu se bude Retina pokoušet o zjištění přetečení zásobníku zasíláním nesprávných dat na server. Nesprávná data se definují jako neočekávaná, příliš velká, příliš malá nebo s neočekávaným obsahem. V rámci CHAM se bude Retina pokoušet použít "útoků s formátovanými řetězci", které jsou třídou útoků také známých pod názvem "tunelující" útoky. Při tomto režimu útoku jsou činěny pokusy o sloučení dvou nebo více datových proudů do jediného datového proudu. Je možno najít speciální sekvence, které by mohly hackerovi umožnit použít stejné sekvence k získání kontroly nad procesem nebo službou hostící cílové datové proudy. CHAM také používá přetečení zásobníku.

CHAM může narušit službu nebo zjistit místo v nadměrném objemu dat, kde by mohl útočník připojit zhoubné množství dat – to by mohlo hackerovi umožnit vnášet data do procesu nebo umísťovat na samotný hostitelský stroj nebezpečný kód. V některých případech se CHAM také pokusí o útok na proměnné typu path, což může vést k narušení služby nebo eskalaci privilegií. Navíc bude CHAM hledat odchylky od RFC standardů pro každou auditovanou službu.

Tyto typy útoků, které používá CHAM budou simulovat metody, jež by hacker pravděpodobně použil při pokusu o narušení stroje.

Postup CHAM při zjištění zranitelnosti

Zjistí-li CHAM produktu Retina zranitelnost, provede několik kroků:

• V okně Audits produktu Retina bude zobrazena služba, ve které byla zjištěna zranitelnost.
• Retina bude uživatele informovat o tom, jaký útok CHAM provedl při zjišťování zranitelnosti.
• Retina poskytne kontaktní informace spolu se screenshotem okna Audits, které bude možno odeslat výzkumnému týmu firmy eEye k dalšímu vyhodnocení – samozřejmě bude-li se to tak požadovat.
• Při zjištění nové zranitelnosti budeme pracovat se zákazníkem na ověření celé záležitosti a poté budeme kontaktovat dodavatele software, ve kterém byla zranitelnost objevena, a na tuto skutečnost ho upozorníme. Rozumějte tomu tak, že firma eEye nevytváří za dodavatele opravy software nebo záplaty, ale může doporučit opravy, které považuje za žádoucí.
• Jakmile obdržíme reakci od dodavatele předáme informace osobě nebo organizaci, které zranitelnost ohlásila.

CHAM je třeba použít pouze na ty servery a stroje, které vyžadují velmi vysokou úroveň bezpečnosti a zkoumání. Použitím CHAM správci zaktivují vysoce sofistikované penetrační testování, které vyhledá neobvyklé zranitelnosti sítě. Jedinou cestou k objevení neznámých zranitelností v konkrétních aplikacích a uživatelském software je podrobit tyto systémy simulovaným inteligentním útokům hackerů.

Inicializací CHAM si správci uvědomují jeho potenciál úspěchu a možnost výpadku testovaného systému. CHAM je extrémně výkonný.

CHAM poskytuje odborné znalosti síťové bezpečnosti, které nejsou k dispozici v případě žádného jiného síťového bezpečnostního skeneru. Je neocenitelným nástrojem, který umožňuje organizacím podstatně zvýšit úroveň bezpečnosti důležitých síťových serverů a pracovních stanic.