Με την ανάγκη για ασφάλεια συνεχώς να αυξάνεται σε Οργανισμούς και επιχειρήσεις – κυρίως εκείνων που σχεδιάζουν να υιοθετήσουν νέες τεχνολογίες όπως IT outsourcing, virtualization και cloud computing, θα πρέπει να υπάρχει η ικανότητα να προσδιορίζεται και να αντιμετωπίζεται κάθε απειλή αποτελεσματικά και με συνέπεια.
Με το δεδομένο αυτό είναι αναγκαίο να εξασφαλίζεται σε πρώτο χρόνο ο σαφής σχεδιασμός της αρχιτεκτονικής ασφάλειας, της πολιτικής αλλά και των διαδικασιών που έχουν υιοθετηθεί από το τμήμα πληροφορικής της εκάστοτε εταιρείας.
Για την υλοποίηση των παραπάνω γίνεται όλο και πιο δημοφιλής ως πρακτική ασφαλείας το ethical hacking.
Ένας ethical hacker συνήθως απασχολείται από μια εταιρεία, η οποία τον εμπιστεύεται στον έλεγχο των πληροφοριακών της υποδομών. Προσπαθώντας να διεισδύσει στο δίκτυο και τα υπολογιστικά συστήματα της εκάστοτε εταιρείας, χρησιμοποιεί τις ίδιες μεθόδους με έναν κακόβουλο εισβολέα, με σκοπό την επιτυχή εύρεση και τον καθορισμό των τρωτών σημείων.
Τη σημερινή εποχή οι ethical hackers είναι μηχανικοί ασφαλείας με προηγμένες γνώσεις πληροφορικής, οι οποίοι εξειδικεύονται σε ελέγχους ασφαλείας πληροφοριακών συστημάτων, χρησιμοποιώντας ποικίλες μεθόδους, με σκοπό τη διασφάλιση των δικτυακών υποδομών – τόσο ιδιωτών όσο και εταιρειών.
Το προσωνύμιο “white hat”, συνώνυμο του “ethical hacker”, κατά το οποίο υποδηλώνεται ο χρήστης ο οποίος προστατεύει και διασφαλίζει πληροφοριακά συστήματα, δόθηκε κατά την πρώιμη εποχή της πληροφορικής, υποδηλώνοντας το χρήστη ο οποίος προστατεύει και διασφαλίζει πληροφοριακά συστήματα. Όταν ακούμε επομένως το χαρακτηρισμό hacker, δεν θα πρέπει να πηγαίνει πάντοτε ο νους μας στο κακό.
Σε κάθε περίπτωση όμως, όταν προσπαθούμε να διεισδύσουμε σε μια πληροφοριακή υποδομή προτού αποκτήσουμε είτε παράνομη είτε νόμιμη πρόσβαση σε ένα δίκτυο, θα πρέπει να γνωρίζουμε ποια είναι τα πιο αδύναμα σημεία. Για να αποκτήσουμε αυτή τη γνώση χρησιμοποιούμε εργαλεία ανίχνευσης ευπαθειών για να αποκαλυφθούν τα τρωτά σημεία του εκάστοτε δικτύου, όπως ποιες δικτυακές πόρτες είναι ανοιχτές, αν υπάρχουν γνωστές ευπάθειες σε εγκατεστημένες εφαρμογές ή στα λειτουργικά συστήματα κ.λπ.
Υπάρχουν δεκάδες εργαλεία ethical hacking διαθέσιμα, ορισμένα δωρεάν και άλλα με κάποιο χρηματικό αντίτιμο, τα οποία ενδεχομένως να φανούν χρήσιμα σε όσους από εσάς επιθυμείτε να πραγματοποιήσετε έναν έλεγχο ασφαλείας στο εταιρικό σας δίκτυο, σε μια προσπάθεια να ανακαλύψετε κατά πόσο είναι ευπαθές τόσο σε εξωτερικές, όσο και σε εσωτερικές απειλές.
Εργαλεία όπως το Wireshark, το Nessus, το Nmap, το Kismet, το Netcat, το John The Ripper, το Snort και πολλά ακόμη, μπορούν να βοηθήσουν στην ανεύρεση ευπαθειών αλλά και τη γενικότερη παρακολούθηση ενός εταιρικού δικτύου για κακόβουλες ενέργειες.
Επειδή είναι αδύνατο να προχωρήσουμε σε ανάλυση όλων των παραπάνω εργαλείων και αρκετών ακόμη που δεν έχουμε αναφέρει, στην παρούσα δημοσίευση θα σας παρουσιάσουμε ενδεικτικά ένα από τα κορυφαία εργαλεία του είδους, το Nessus.
Το Nessus είναι ίσως το πιο ευρέως διαδεδομένο λογισμικό για τον έλεγχο και την αξιολόγηση ευπαθειών σε ένα δίκτυο, με περισσότερα από 5 εκατομμύρια downloads μέχρι σήμερα. Στην τελευταία του έκδοση, το Nessus 5 έχει βελτιώσει την ταχύτητα των ελέγχων, την ευκολία στη χρήση, την αποτελεσματικότητα και την ακρίβεια στην ανάλυση των τμημάτων ενός δικτύου. Επίσης, η εταιρεία που αναπτύσσει το Nessus, η Tenable Network Security, βαθμολογήθηκε ως «Strong Positive» από το Gartner για το 2012. Αυτή είναι η υψηλότερη διάκριση που θα μπορούσε να πάρει και ουσιαστικά αντιπροσωπεύει την ποιότητα των προϊόντων της. Αν λοιπόν θέλετε να ελέγξετε το δίκτυό σας για ευπάθειες, δεν έχετε παρά να κατεβάσετε την τελευταία έκδοση του Nessus από το official site. (www.tenable.com)
Εγκατάσταση και χρήση του Nessus
Παρακάτω θα περιγράψουμε την εγκατάσταση και τη χρήση για περιβάλλον Linux. Αν είστε χρήστης των Windows, η εγκατάσταση είναι η γνωστή διαδικασία Next -> Next -> Next-> και η χρήση του είναι όμοια με αυτήν που θα περιγράψουμε παρακάτω για το Linux.
Ξεκινώντας, είναι καλό να έχετε κάνει log-in στο Linux ως root για να μην αντιμετωπίσετε οποιοδήποτε πρόβλημα με δικαιώματα.
Από το site του προγράμματος κατεβάσαμε την τελευταία έκδοση του Nessus για Ubuntu 11.10 / 12.04 32 bit. Το όνομα του αρχείου είναι «Nessus-5.0.2-ubuntu1110_i386.deb».
Για να εγκαταστήσετε το Nessus:
Μεταβείτε στο φάκελο όπου έχετε τοποθετήσει το αρχείο εγκατάστασης και δώστε την εντολή:
dpkg –installNessus-5.0.2-ubuntu1110_i386.deb.
Δημιουργήστε νέο χρήστη:
/opt/nessus/sbin/nessus-adduser.
Συμπληρώστε παρακάτω τα στοιχεία του χρήστη:
Login: (το όνομα του χρήστη).
Authentication (πατήστε enter).
Login Password: (ο κωδικός του χρήστη).
Login Password: (επαναλάβετε τον κωδικό).
Do you want this Nessus user to be an “admin” user? Yes (πατήστε enter).
(Πατήστε enter ξανά).
This user will have “admin” privileges on the Nessus server
Is this O.K.? Yes (πατήστε enter).
User added.
Τώρα θα χρειαστείτε ένα κλειδί ενεργοποίησης. Μεταβείτε στην αντίστοιχη σελίδα του προγράμματος, επιλέξτε τη χρήση του (η έκδοση Home είναι δωρεάν, η έκδοση Professional είναι επί πληρωμή), αποδεχθείτε τους όρους, εισάγετε μία διεύθυνση mail και θα λάβετε άμεσα ένα mail όπου θα αναφέρεται το κλειδί ενεργοποίησης.
Επιστρέψτε στη γραμμή εντολών του Linux και δώστε την παρακάτω εντολή:
/opt/nessus/bin/nessus-fetch –register <Το κλειδί που λάβατε>
Για να ξεκινήσετε το server του Nessus:
/etc/init.d/nessusdstart.
Σε περίπτωση που θέλετε αργότερα να σταματήσετε το server του Nessus, δίνετε την εντολή:
/etc/init.d/nessusdstart (Μη δώσετε αυτήν την εντολή τώρα).
Ανοίξτε ένα browser και δώστε την παρακάτω διεύθυνση για να συνδεθείτε στο web interface του προγράμματος:
https://127.0.0.1:8834.
Κάντε log-in στο Nessus, χρησιμοποιώντας τα στοιχεία του χρήστη που δημιουργήσατε νωρίτερα.
Πριν ξεκινήσουμε να «σκανάρουμε» το δίκτυο, θα πρέπει να παραμετροποιήσουμε το Nessus.
Επιλέξτε Policies.
Δώστε ένα όνομα στο Policy.
Στο group Port Scanners επιλέξτε όλες τις επιλογές.
Στο Port Scan Range προτείνουμε να αφήσετε τη default επιλογή.
Επίσης προτείνουμε να επιλέξετε το «Reduse Parallel Connections on Congestion» για να αποφύγετε τη υπερφόρτωση του δικτύου.
Επιλέξτε Next.
Επιλέξτε ξανά Next.
Θα πρέπει να βρίσκεστε στην καρτέλα «Plugins», επιλέξτε «EnableAll».
Επιλέξτε Next.
Επιλέξτε Submit.
Τώρα έχουμε δημιουργήσει ένα Policy για να χρησιμοποιήσουμε στον έλεγχό μας.
Επιλέξτε Scans.
Επιλέξτε Add.
Στο πεδίο Name, δώστε ένα όνομα για τον έλεγχο που θα πραγματοποιήσετε.
Στο πεδίο Policy, επιλέξτε το Policy που δημιουργήσατε.
Στο πεδίο Scan Targets, γράψτε τις IP διευθύνσεις των υπολογιστών που θέλετε να ελέγξετε. Μπορείτε να εισάγετε και ολόκληρο range υπό τη μορφή 192.168.1.1-192.168.1.100
Επιλέξτε Launch Scan.
Επιλέξτε Scans για να δείτε την πρόοδο του ελέγχου.
Όταν ολοκληρωθεί, επιλέξτε Reports.
Σε αυτό το σημείο μπορείτε να ανοίξετε τα αποτελέσματα του ελέγχου που κάνατε και να δείτε αναλυτική περιγραφή αυτών. Σημειώστε ότι μπορείτε να ανοίξετε το πεδίο Reports ακόμα και πριν ολοκληρωθεί ο έλεγχος και να δείτε τα ευρήματα μέχρι εκείνη τη στιγμή. Τέλος, το Nessus προτείνει και λύσεις για τις περισσότερες γνωστές ευπάθειες.
Παρά το γεγονός ότι αρκετά εργαλεία είναι πλέον διαθέσιμα στα χέρια των μηχανικών πληροφορικής, πολλές εταιρείες δεν φαίνονται πρόθυμες να εκμεταλλευτούν τις νέες τεχνολογίες – ή σε περίπτωση που το κάνουν, δεν γίνεται με αποτελεσματικότητα. Θα πρέπει να σημειωθεί επίσης ότι μεγάλο ποσοστό των διαδικτυακών επιθέσεων μέσω των οποίων κακόβουλοι χρήστες μπόρεσαν να προσπεράσουν τα μέτρα ασφαλείας επιτυχώς, εκμεταλλεύθηκαν ευπάθειες για τις οποίες υπήρχαν ήδη διαθέσιμες ενημερώσεις ασφαλείας.
Για να είναι αποτελεσματική η πολιτική ασφαλείας μιας εταιρείας/Οργανισμού, θα πρέπει να πραγματοποιούνται ανά τακτά χρονικά διαστήματα έλεγχοι ασφαλείας. Αυτό μπορεί να αποτελέσει μια μεγάλη πρόκληση, ιδίως για τις επιχειρήσεις που έχουν περίπλοκο ΙΤ περιβάλλον, συμπεριλαμβανομένων νέων τεχνολογιών και πολιτικών. Κάθε ένα από αυτά τα συστήματα πρέπει να ελέγχεται, προκειμένου να προσομοιωθεί ένα σενάριο πραγματικής επίθεσης. Το ethical hacking αποτελεί την καλύτερη μέθοδο για την επίτευξη πολύτιμων αξιολογήσεων και συστάσεων, ώστε να συντονιστούν επαρκώς τα μέτρα ασφαλείας των εταιρειών.
Κωνσταντίνος Βαβούσης
Strategic Manager
Trust-IT
kvav@trust-it.gr,
Τεχνική Επιμέλεια:
Ιωάννης Πετρόπουλος
IT Security Engineer, Trust-IT