Érdekes cikksorozat indult a napokban a We Live Security oldalon, ahol a szerver biztonság témakörön belül a pentest folyamatainak bemutatására vállalkoznak.
Hogy mi a pentest? Amikor sokat fizetünk egy cégnek azért, hogy csuklyát húzzon a fejére, és megpróbáljon betörni hozzánk. Persze csak képletesen: itt a szerver biztonság a legfontosabb szempont, nem a bejárati ajtó üvegének törésállósága.
A pentest során irányított támadásoknak vetik alá a cég szervereit, és megvizsgálják a támadó szemével, hol lehet átjutni, és mennyire egyszerű hozzáférni a vállalat adataihoz. Így kaphatnak valódi képet arról, hogy azok a falak, amik belülről baromi erősnek látszanak, kívülről mennyire megmászhatóak, vagy még inkább: megkerülhetőek.
A cikk első része főleg arról szól, miként lehet definiálni a célt. Nem tűnik fontosnak, pedig az: természetesen nem a megbízó személye a kérdés ilyenkor, hiszen velük írtuk alá a szerződést, hanem inkább a megfelelő IP cím, ami felé indítani kell a támadást.
A pentest vizsgálatokat három csoportba oszthatjuk: a white box az az eset, amikor a támadók előzetesen minden fontos információt megkapnak a hálózatról a biztonsági rendszerekről, részletesen. A grey box során csak a fontos információk egy részét adja át az ügyfél, míg a black box esetében nem tudunk előre semmit. Csak annyit, amennyit egy távoli hacker, a világ másik felén. Ez a legrealisztikusabb próba, bár nyilván ezzel megy el a legtöbb idő a támadók számára (ami a cégnek így többe kerülhet).
Tipikus eset, ha black box támadást indítanánk a megbízó felé, de a weboldalának IP címe egy hoszting szolgáltató irányába mutat mutat. Erre természetesen nem lehet támadni, hiszen nincs meg rá a felhatalmazásunk, hogy más vállalatokhoz törjünk be, ráadásul akár olyan szerverekre, ahol harmadik fél adatai is lehetnek. Mit lehet ilyenkor tenni?
A WHOIS vizsgálat során, amikor az MX rekordból kiderül, hogy egy hoszting szolgáltató is benne van a pakliban, érdemes megvizsgálni az SPF (Sender Policy Framework) rekordot, mert sok esetben az itt megadott IP cím kifelé mutat, a cég belső szervereire. Ha ez sem vezet eredményre, lehet emailt írni a vállalatnak – írja a szakértő. A válasz email headerjében a kimenő levelek kiszolgálójaként máris találhatunk egy fogást. Esetleg a cég weboldalán találunk linket, intranet, extranet, HR vagy hasonló szolgáltatás mutathat a hoszting szolgáltató tartományán kívülre.
Ha megvan egy IP cím, a WHOIS segít felkutatni az összes ide tartozó címet. Közepes cégeknek rengeteg saját IP címe lehet, hogy megvédjék azokat, amik az igazán érzékeny hozzáférést rejtik. Persze a valódi támadók nem az alapján választanak, hogy 103, 104 vagy 105-re végződik a cím, hanem hogy melyek azok, amik könnyű hozzáférést biztosítanak, és azon mennek be.
Ha megvan a cél, akkor nagyon körültekintőnek kell lenni, hiszen a web application tesztek, port szkennek, brute force támadások “zajt” keltenek, amire a szerver egy erősebb defenzív módba kapcsol. Érdekes módon a cikkben tippeket is adnak a kisebb zaj keltéséhez.
További részek is várhatóak az oldalon, ha felkeltette az érdeklődésünket a dolog, és szívesen olvasunk közérthetően megírt leírásokat szerver biztonság témakörben, internetes támadásokról.