Penteszt – biztonságos behatolás

Vannak olyan hackerek, akiknek a célja nem a károkozás vagy az adatlopás, hanem ellenkezőleg, a biztonság növelése. Az úgynevezett penteszt egy külső behatolás szimulációjaként olyan biztonsági rések felkutatására fókuszál, melyek komoly problémákat okozhatnak egy rosszindulatú támadás esetén. Török Dávid, a Zero It Lab technológiai vezetőjét a sé­rü­lé­kenység­vizsgálat folyamatáról és a hackerek új típusú támadásairól kérdeztük.


Az előző évtized statisztikáit figyelembe véve, az elmúlt időszakban hogyan alakult a hackertámadások száma a világban?

– Az elmúlt időszakban egyértelműen tovább emelkedett a támadások száma, 2021-ben naponta már átlagosan 2200 támadási kísérlet történt a Norton becslése szerint, ami éves szinten nagyságrendileg 800 ezer támadást jelent. Ráadásul a Covid hatására mindannyian kitettebbek lettünk a digitális térnek, és ennek eredményeként mi magunk érezhetően nagyobb támadási felületet adunk az etikátlan betörőknek. Mindemellett az ukrajnai háború célponttá tette a nyugati világot az orosz hackerek számára, akik gyakran átlagos felhasználók eszközeit használják bot „hadsereg” építésére a DDoS, vagyis túlterheléses támadásokhoz.

Milyen új eszközök, új típusú támadások jellemzőek leg­inkább napjainkban?

– A dark webet böngészve egyre gyakrabban találkozhat az ember olyan listákkal, melyek felhasználónév és jelszópárokat tartalmaznak. Adott esetben sok-sok milliót. Ezek mind olyan belépési adatok, amit egy-egy nagyobb felület/oldal feltörésekor nyertek ki a támadók. Az ilyen listák száma egyre növekszik, ezeket használva pedig könnyedén ráállíthatnak botokat (automata, önjáró programokat) arra, hogy más oldalakon próbáljanak meg belépni ezekkel az adatokkal. Mivel sokan használják ugyanazt a jelszó/felhasz­nálónév párt több helyen, ezzel gyakran sikerrel is járnak.
Mindemellett az e-mailben terjedő zsarolóvírusok, valamint az elhanyagolt frissítésekből származó sérülékenységek is fény­korukat élik. Mindezek miatt a sérülékenységvizsgálatok mellett nagyon fontos az emberi erőforrás megfelelő képzése és a biztonságtudat folyamatos növelése is. Köztudott, hogy az egyik legnagyobb veszélyforrás az emberi tényező.

Mennyire biztonságtudatosak Magyarországon a nagyvállalatok, a kis- és középvállalkozói szektor szereplői? Mennyire vannak tisztában a saját rendszereik biztonságával?

– Azokban a szektorokban, ahol törvényi kötelezettség vagy megrendelői elvárás a rendszeres tesztelés, ott nem kérdés a biztonság. Ahol nem, ott azonban már nagy a szórás. Amíg nem történik meg a baj, addig a legtöbben azt gondolják, hogy az ő rendszerük érdektelen egy hacker számára. Ez azért téves szemlélet, mert

Ők is fizetőképesek, és sok kicsi sokra megy.
Egy cégtulajdonos vagy a menedzsment gyakran csak egy költségtényezőt lát a vizsgálatban, ami érthető, hiszen nem IT-biztonsági szakemberek. Ugyanakkor tapasztalataim szerint a tendencia az utóbbi időben pozitívan változott, és ennek okát az incidensek számának növekedésére lehet visszavezetni. Így is csak a támadások számának töredéke jut el a médiába, hiszen senki sem veri nagydobra, hogy feltörték a rendszerét. Azért az ügyfélmegkereséseink még mindig nagyobb része szól kárenyhítésről, mintsem sérülékenységvizsgálatról.

Biztonsági teszteléseink során szinte minden esetben találunk kihasználható sérülékenysé­geket. Az egyik leglátványosabb eset egy pénzügyi szolgáltató tesztelésekor történt. A bevezetésre váró rendszer tesztelésekor bukott ki, hogy egy egyszerű, mondhatni tankönyvi SQL injection támadással admin hozzá­férést lehetett szerezni az összes tranzakciót lebonyolító üzenet­továbbító szoftverhez. Ez éles esetben lehetővé tette volna egy támadónak, hogy tetszőlege­sen megváltoz­tassa a számlákon fellelhető pénz összegét, és más helyett tranzakciókat indítson. Egyébként számtalan példánk van arra vonatkozóan, hogy az adat­­vesztések mekkora károkat okozhatnak.

Milyen adatok lehetnek érdekesek egy hackernek?

– Ez leginkább a támadó motivációjától függ, de általánosságban azt lehet mondani, hogy elsősorban üzleti titkok, szellemi termékek, sales adatbázisok, ügyféladatok, alkalmazottak adatai kelt­hetik fel leginkább az érdeklődésüket. A lista kiterjed minden olyan információra, amelynek megosztásáról titoktartási megállapodást kötne egy vállalat, valamint ezenfelül minden, a vállalkozás szerverein tárolt olyan adat, amelynek tulajdonosa nem maga a vállalkozás (például természetes személyek adatai).

A hackertámadások ellen a leghatékonyabb fegyvernek jelenleg a sérülékenységvizsgálatot, más néven betörési/biztonsági tesztet tartják. De pontosan mit is jelent az úgy­nevezett penetration test vagy röviden és magyarul: penteszt?

– ami manapság már szinte minden cégnek van, tehát lényegében mindenkit érint. A tesztelés célja a sebezhetőségek felmérése. Minden cégnek, szervezetnek vagy vállalatnak, amely vásárol és bevezet vagy fejleszti informatikai rendszerét, szüksége van bizonyos időközönként sérülékenység­vizsgálatra. Költségkímélőbb, ha még vásárlás vagy fejlesztés előtt kérik ki szakember tanácsát. Lényegesen egyszerűbb eleve a biztonsági tényezők figyelembevételével épí­teni egy rendszert, mint később átalakítani.

Ami a pentesztet illeti, még mindig jobban járunk, ha szakemberek – etikus hackerek – törik fel a rendszerünket a kérésünkre, mintha egy rosszindulatú támadó okoz fennakadást, lopja el az üzleti és ügyféladatainkat, vagy éppen zsarol minket. A penteszt ugyan nem 100 százalékos garancia, de a közismert támadási kísérleteket – amelyek az incidensek 99,9 százalékát teszik ki – meggátolják, ezzel szinte nullára csökkenti a kitettségünket (hacsak nem állunk egy nemzetközi titkosszolgálati akció kereszttüzében).

Milyen típusú pentesztek vannak?

– A szakmában megkülönböztetünk black-, gray- és white­box pen­­teszte­ket. A black­box egy potenciális támadó szem­szögéből próbálja feltörni a tesztelendő rendszert, ezzel a technikával a rend­szer fel­törhetetlensé­gén kívül a potenciális információ­szivárgá­so­kat is fel lehet ismerni. A white­box megközelítés ezzel szemben jobban hasonlít bármely más szak­területen ismert audit­­­folyamatra, gyakran az IT-biztonsági audit egyenértékű a white­box megközelítés­sel. White­box esetben a rend­szerhez tel­jes hoz­zá­fé­rést kapunk, valamint minden dokumentációt is bevizsgálásra bocsát az ügyfél. A gray­box megközelítése a két típus ötvözése. A penteszt leginkább egy autó törés­tesztjé­hez hasonlítható. White­­box esetben elsősorban dokumentációk és tervek alapján, blackbox esetben magával a fizikai törés­teszttel győződ­hetünk meg róla, hogy ha incidens történik, mennyire védi meg a „sofőr­ülésben ülő” üzletünket a rendszerünk „lökhárítója”.

Milyen konkrét lépésekre kerül sor a tesztelés során?

– Első körben a célmeghatározás történik, közösen az ügyféllel. Azt szoktam mondani, hogy a biztonságra végtelen pénzt el lehet költeni, de nem érdemes. Törekedni kell megérteni a vállalkozás üzletmenetét és a potenciális veszélyeket, valamint informá­ció­kat kell gyűjteni – doménneveket, a rendszerek típusait, a mail­szer­verek elérhetőségét. Ezt követi a szkennelés, melynek során a tesz­telők automatákat használnak. Ezek a szoftverek közismert technológiákkal próbálják feltörni a programot. Ezután következik a sérülékeny­sé­gek keresése. Ebben a lépésben a szkennelés és a korábbi felderítési munkákból kapott információkat felhasználva következik a manuális elemzés, ehhez megérzésre, és rengeteg tapasztalatra van szükség. Az utolsó lépés a dokumentáció elkészítése, melyben a tesztelők felsorolják a sérülékenységek típusait és a megoldási javaslatokat.

Mitől jó egy penteszt, és mit nyer vele az ügyfél?

– Egy jó sérülékenységvizsgálat arányos a tesztelendő rendszer méretével és jelentőségével, olyan etikus hackerek végzik, akiknek presztízskérdés a hibák feltárása, illetve megfelelően van időzítve (közvetlenül fejlesztések után, élesbeállás előtt, nagyjából évente megismételve). Hogy mit nyer? Elsősorban nyugalmat, kiszámíthatóságot, magabiztosságot. Amellett, hogy az ismeretlent meg a rizikót lehet jelentősen csökkenteni vele, sok esetben előny, vagy – ahogy már említettem – akár követelmény is lehet a rendszeres IT-biztonsági audit. Pénzügyi, egészségügyi és hasonló biztonságkritikus piacok számára gyakran csak megfelelő audit meglétével lehet beszállítani.

Véleményem szerint egy felelős vállalkozás igyekszik minimalizálni a rizikót, ezért kötnek az emberek biztosításokat, vagy szerelnek be tűzvédelmi rendszert a gyárakba. Kifejezetten igaz ez azokra a vállalkozásokra, amelyek az informatikai rendszerükön át végzik fő tevékenységüket, például weboldalukon át szolgáltat­nak, vagy üzleti és ügyféladatokat tárolnak rendszereikben (az ügyféladatok nem megfelelő védelmét és tárolását a GDPR-kor­látozások óta komoly pénzbírság is követheti, ennek megelőzésére is alkalmas egy penteszt).

Mennyi időt vesz igénybe egy sérülékenységvizsgálat?

– Az idő mindig az adott rendszer méretétől és az ügyfél által rászánt erőforrástól függ. Tipikusan pár naptól pár hétig terjed. Az automatikákon kívül fontosak a szakemberek manuális tesztjei is, amelyek lényegesen időigényesebbek, de pontosabb helyzet­jelentést nyújtanak a megrendelő rendszereiben és eszközein található sérülékenységekről. Az árak pedig arányosak a befektetett munkával. Egy wordpress weboldal tesztelése nem összemérhető egy teljes vállalati infrastruktúra, ügyfélportál és vállalatirányítási rendszer tesztelésével. Pár százezertől sok millió forintig végezhetők pentesztek, létezik pár napig tartó, és van olyan is, ami egy hónapig leköt egy csapatot. Az ár kapcsán érdemes azzal kalkulálni, hogy az adott rendszer kiesése vagy elvesztése mekkora kárt okozna a vállalkozásnak, és ezt a rizikót megspórolhatjuk a legtöbb esetben nagyságrendekkel kisebb pentesztköltséggel.

Több IT-biztonsági cég kínálja ezt a szolgáltatást. Van különbség penteszt és penteszt között?

– Gyakran látjuk, hogy a szabályozások erősödésével egyre több auditcég követi azt a stratégiát, hogy kiegészítő szolgáltatásként nyújt penteszt auditot is. Ennek köszönhető, hogy a piacon található legtöbb penteszt esetében a fókusz a jogi megfelelésen és a megfelelő tanúsítványok megszerzésén van. Úgy vélem, ez önmagában sajnos kevés a valós fenyegetések megállítására, nagyjából annyit ér, mint egy harapós kutya tábla kutya nélkül. A dobozos megoldások gyors futtatása helyett (melyek általában több év lemaradásban vannak a valós veszélyekhez képest) a kollégáink például több különböző piaci és saját fejlesztésű eszközt vetnek be a tudásuk és a tapasztalatuk mellett, ezáltal valós és alapos képet kapunk egy rendszer biztonságáról.

Mióta foglalkozik a cégük biztonsági teszteléssel?

– Hetedik éve vagyunk a magyar és nemzetközi piacon is, de tevékenységünkhöz tartozik IT-biztonsági oktatás – laikus és secure coding –, tanácsadás, valamint a reverse engineering (visszamodellezés, visszafejtés – a szerk.). Gyakran veszünk részt CTF (Capture the flag) versenyeken (Defcon CTF döntő – Las Vegas; Belluminar/WCTF – Peking; Riot Games Hackat­hon – Los Angeles), ahol rendszeresen kiemelkedő eredményeket érünk el. Csapatban és egyénileg is szoktunk indulni, nekünk ez nem csupán munka, hanem egy versenyszellemmel átitatott komoly játék is.•


 
Archívum
 2011  2012  2013  2014  2015  2016  2017  2018  2019  2020  2021  2022  2023  2024
Címkék

Innotéka