Penetracijsko testiranje

Druga i viša razina ispitivanja sigurnosti računalne mreže je penetracijsko testiranje. Radi se o testiranju kod kojeg osobe koje obavljaju testiranje preuzimaju ulogu potencijalnog napadača i na sve načine pokušavaju kompromitirati sustav kako bi se organizaciji koja naručila ispitivanje ukazalo na moguće propuste. Svi sigurnosni propusti uočeni za vrijeme testiranja se prezeniraju naručiocu putem detaljnih izvještaja o stanju sustava i savjeta za uklanjanje potencijalnih ranjivosti.

Penetracijsko testiranje uključuje različite metode napada, a može se provoditi na više načina u ovisnosnosti o dogovoru s naručiocem te u skladu s tim razlikujemo više vrsta penetracijskog testiranja.

Black-Box pentracijsko testiranje je vrsta testiranja kod kojeg tim stručnjaka koje ga provodi nema prethodna znanja o karakteristikama sustava koji se testira. Jedini dostupan podatak je IP adresa dostupna iz vanjske okoline ili adresa web stranice. Black-Box testiranje je vrsta testiranja koje u najvećoj mjeri simulira stvarni napad izvana, jer su informacije koje se koriste prije početka testa dostupne svima pa tako i potencijalnom napadaču. Na ovaj je način uglavnom jako teško kompomitirati sustav, te će ovaj test često ostati bez rezultata. Provodeći White-Box penetracijsko testiranje, tim stručnjaka upoznat je sa svim karakteristikama sustva koje su mu zanimljive, mrežnom topologijom, popisom poslužitelja, operacijskih sustava i servisa koji su prisutni u sustavu. Ovom će metodom test naručiocu pružiti najviše informacija o stanju mreže i potencijalnim sigurnosnim propustima, ali se gubi efekt simulacije stvarnog podatka jer potencijalni napadač nema pristup podacima koje tim stručnjaka u ovom slučaju koristi. Gray-Box penetracijsko testiranje provodi se na način da osoba koja obavlja test simulira zaposlenika unutar organizacije. Stručnjak dobije pristup sustavu na isti način kao i ostali zaposlenici, te koristeći dostupne podatke pokušava pronaći sigurnosne propuste. Ovaj oblik testiranja pogodan je za provjeru ugroženosti sustava od strane zlonamjernog napadača. Uz gore opisanu podjelu metoda panatracijskog testiranja, postoji još i podjela u ovisnosti o stupnju naručiteljeva znanja o provođenju testa. U slučaju najavljenog testa, tim stručnjaka u suradnji s administratorima iz same organizacije provodi usmjerene napade na sve sustave. Nenajavljeni test provodi se bez znanja djelatnika organizacije zaduženih za infomacijsku sigurnost. Ovaj način će zapravo dati pravu i aktualnu sliku stanja sigurnosti računalne mreže, budući će se izbjeći moguće intervencije administratora sustava u svrhu prikrivanja stvarnog stanja.

Bez obzira na vrstu provođenja testa, odgovorne osobe (čak i sama Uprava) moraju biti upoznati s terminima, metodologijom i opsegom penetracijskog testiranja. Kao i kod provjere ranjivosti, proces penetracijskog testiranja može ugroziti performanse i raspoloživost testiranog sustava te mu je potrebno prići s iznimnim oprezom i visokom razinom znanja.

Netko mora pokrenuti pitanje sigurnosti unutar organizacije

Tko će, unutar organizacije, inicirati pitanje implementacije sustava za upravljanje informacijskom sigurnošću (eng. ISMS - Information Security Management System) u najvećoj mjeri ovisi o stupnju svijesti djelatnika organizacije i Uprave. U praksi postoje različita i često u potpusnosti oprečna iskustva. U nekim situacijama djelatnici IT sektora imaju visoku razvijenu svijest o važnost ovog aspekta te od njih kreće poticaj za implementaciju sustava upravljanja sigurnošću. Nasuprot tome, postoje situacije u kojima se ovakvi projekti smatraju dodatnim poslom za koji nitko (u nekim situacijama je uistinu tako) nema dovoljno vremena. Slična situacija je i s upravljačkim strukturama. Pojedine Uprave u potpunosti shvaćaju da, u sklopu njihovog upravljanja poslovanjem, sigurnost informacijskog sustava zauzima vrlo važno mjesto, dok druge upravljačke strukture nemaju u potpunosti razvijenu svijet o važnosti ovog segmenta poslovanja te time nesvjesno zadržavaju visok stupanj rizika. Pri tome često zaboravljaju, da ovakvi sustavi efikasno štite sve vrste imovine u vlasništvu organizacije, time naravno štite i pospješuju poslovanje, a upravo to je glavna svrha i misija svih upravljačkih struktura.

U svakom slučaju, projekt implementacije sustava za upravljanje informacijskom sigurnošću mora imati jasnu i čvrstu potporu upravljačkih struktura organizacije. To je jamac uspješnog završetka projekta i kvalitetne implementacije sustava. Važnost ovog segmenta poslovanja prepoznala su zakonodavna i savjetodavna tijela Republike Hrvatske, kroz Zakon o informacijskoj sigurnosti i Zakon o tajnosti podataka. Približavanjem Europskoj uniji, organizacije i tvrtke s našeg tržišta morat će, i po zakonskoj osnovi, pokazati viši stupanj svijesti o aspektu informacijske sigurnosti. A sve u smislu spriječavanja situacija sličnih onoj s početka ovog članka.

Kompletan članak o ispitivanju računalne sigurnosti, kao i članak o upravljanju kontinuitetom poslovanja možete pročitati u 154. broju InfoTrend-a, prvom poslovnom časopisu za informatiku u Hrvatskoj.

Izdavački odjel British Standards Institute-a (BSI) je izdao novu knjigu, ovaj put na temu upravljanja incidentima.

Naziva "BIP 0064:2007 Information Security Incident Management. A Methodology", ova knjiga na 128 stranica daje upute za standardne postupke, zahtjeve i metodologiju za upravljanje incidentima informacijske sigurnosti, kako za profitne tako i za neprofitne organizacije.

Knjiga će osobito biti korisna višem menadžmentu, revizorima, voditeljima informacijske sigurnosti te ostalim djelatnicima koji se bave informacijskom sigurnošću.

Više informacija možete pronaći ovdje: BSI Shop

ISECOM (eng. Institute for Security and Open Methodologies) korisna je open-source zajednica posvećena informacijskoj sigurnosti. Osim standardnih poslova kojim se manje više sve zajednice bave (treninzi, certifikati, forumi, izdavaštvo...) ono što je izdvaja je metodologija za testiranje ranjivosti sustava.

Metodologija inventivnog i lako pamtljivog imena OSSTMM (eng. Open Source Security Testing Methodology Manual) nastala je zajedničkim radom svih prisutnih u zajednici te je za nju načinjen i vrlo zgodan priručnik koji se besplatno može skinuti sa web stranica posvećenih toj metodologiji (OSSTMM). Metodologija je trenutno dogurala do verzije 2.2 i u potpunosti je ne engleskom jeziku.

Za ostale zanimljivosti koje ova ISECOM nudi najbolje je otići na njen web i pogledati detalje. ISECOM

U travnju 2007. godine, ISO komitet je konačno preimenovao dosad vrlo raširenu normu 17799 u:

• ISO/IEC 27002:2005 - Information Technology - Security Techniques - Code of Practice for Information Security Management

Norma je ustvari skup najboljih praksi za upravljanje informacijskom sigurnošću te je namijenjena upotrebi zajedno sa normom ISO 27001:2005.

Podsjećamo da je hrvatski ekvivalent ove norme usvojen pod nazivom HRN ISO/IEC 17799:2006.

Link na stranice ISO organizacije: ISO

Adobe je izdao zakrpu za svoj softver kako bi korisnike zaštitio od napada pomoću malicioznih .pdf dokumenata. Zakrpa je izdana za Adobe Reader i Acrobat, pa je sad najnovija verzija ovih programa 8.1.1. Radi se o kritičnim propustima koje zlonamjerni korisnik može iskoristiti za preuzimanje kontrole nad ranjivim sustavima. Potrebna je interakcija krajnjeg korisnika koji treba pokrenuti malicioznu .pdf datoteku u Adobe Readeru ili Acrobatu, a da bi napad bio uspješan korisnici na svom sustavu trebaju imati Windows XP i Internet Explorer 7. Maliciozna .pdf datoteka može se korisnicima slati elektroničkom poštom ili se stavlja na maliciozno web sjedište. Zakrpa je izdana dva tjedna nakon što je Adobe javno objavio problem i objašnjenje kako se isti može spriječiti editiranjem Windowsovog registryja. Microsoft je prije dva tjedna objavio da njegov sigurnosni tim radi na rješavanju problema s rukovanjem URI-ja u operacijskim sustavima Windows XP i Server 2003.

Izvor: CERT, 23.10.2007.