Penteszt – biztonságos behatolás
Az előző évtized statisztikáit figyelembe véve, az elmúlt időszakban hogyan alakult a hackertámadások száma a világban?
– Az elmúlt időszakban egyértelműen tovább emelkedett a támadások száma, 2021-ben naponta már átlagosan 2200 támadási kísérlet történt a Norton becslése szerint, ami éves szinten nagyságrendileg 800 ezer támadást jelent. Ráadásul a Covid hatására mindannyian kitettebbek lettünk a digitális térnek, és ennek eredményeként mi magunk érezhetően nagyobb támadási felületet adunk az etikátlan betörőknek. Mindemellett az ukrajnai háború célponttá tette a nyugati világot az orosz hackerek számára, akik gyakran átlagos felhasználók eszközeit használják bot „hadsereg” építésére a DDoS, vagyis túlterheléses támadásokhoz.
Milyen új eszközök, új típusú támadások jellemzőek leginkább napjainkban?
– A dark webet böngészve egyre gyakrabban találkozhat az ember olyan listákkal, melyek felhasználónév és jelszópárokat tartalmaznak. Adott esetben sok-sok milliót. Ezek mind olyan belépési adatok, amit egy-egy nagyobb felület/oldal feltörésekor nyertek ki a támadók. Az ilyen listák száma egyre növekszik, ezeket használva pedig könnyedén ráállíthatnak botokat (automata, önjáró programokat) arra, hogy más oldalakon próbáljanak meg belépni ezekkel az adatokkal. Mivel sokan használják ugyanazt a jelszó/felhasználónév párt több helyen, ezzel gyakran sikerrel is járnak.
Mindemellett az e-mailben terjedő zsarolóvírusok, valamint az elhanyagolt frissítésekből származó sérülékenységek is fénykorukat élik. Mindezek miatt a sérülékenységvizsgálatok mellett nagyon fontos az emberi erőforrás megfelelő képzése és a biztonságtudat folyamatos növelése is. Köztudott, hogy az egyik legnagyobb veszélyforrás az emberi tényező.
Mennyire biztonságtudatosak Magyarországon a nagyvállalatok, a kis- és középvállalkozói szektor szereplői? Mennyire vannak tisztában a saját rendszereik biztonságával?
– Azokban a szektorokban, ahol törvényi kötelezettség vagy megrendelői elvárás a rendszeres tesztelés, ott nem kérdés a biztonság. Ahol nem, ott azonban már nagy a szórás. Amíg nem történik meg a baj, addig a legtöbben azt gondolják, hogy az ő rendszerük érdektelen egy hacker számára. Ez azért téves szemlélet, mert
a támadók rájöttek, hogy egy nagyvállalat rendszereit feltörni – mivel ők arányaiban többet költenek a biztonságra – sokkal idő- és tudásigényesebb, emiatt jóval egyszerűbb a kis- és középvállalatok, valamint a magánemberek rendszereinek támadása.
Ők is fizetőképesek, és sok kicsi sokra megy.
Egy cégtulajdonos vagy a menedzsment gyakran csak egy költségtényezőt lát a vizsgálatban, ami érthető, hiszen nem IT-biztonsági szakemberek. Ugyanakkor tapasztalataim szerint a tendencia az utóbbi időben pozitívan változott, és ennek okát az incidensek számának növekedésére lehet visszavezetni. Így is csak a támadások számának töredéke jut el a médiába, hiszen senki sem veri nagydobra, hogy feltörték a rendszerét. Azért az ügyfélmegkereséseink még mindig nagyobb része szól kárenyhítésről, mintsem sérülékenységvizsgálatról.
Biztonsági teszteléseink során szinte minden esetben találunk kihasználható sérülékenységeket. Az egyik leglátványosabb eset egy pénzügyi szolgáltató tesztelésekor történt. A bevezetésre váró rendszer tesztelésekor bukott ki, hogy egy egyszerű, mondhatni tankönyvi SQL injection támadással admin hozzáférést lehetett szerezni az összes tranzakciót lebonyolító üzenettovábbító szoftverhez. Ez éles esetben lehetővé tette volna egy támadónak, hogy tetszőlegesen megváltoztassa a számlákon fellelhető pénz összegét, és más helyett tranzakciókat indítson. Egyébként számtalan példánk van arra vonatkozóan, hogy az adatvesztések mekkora károkat okozhatnak.
Milyen adatok lehetnek érdekesek egy hackernek?
– Ez leginkább a támadó motivációjától függ, de általánosságban azt lehet mondani, hogy elsősorban üzleti titkok, szellemi termékek, sales adatbázisok, ügyféladatok, alkalmazottak adatai kelthetik fel leginkább az érdeklődésüket. A lista kiterjed minden olyan információra, amelynek megosztásáról titoktartási megállapodást kötne egy vállalat, valamint ezenfelül minden, a vállalkozás szerverein tárolt olyan adat, amelynek tulajdonosa nem maga a vállalkozás (például természetes személyek adatai).
A hackertámadások ellen a leghatékonyabb fegyvernek jelenleg a sérülékenységvizsgálatot, más néven betörési/biztonsági tesztet tartják. De pontosan mit is jelent az úgynevezett penetration test vagy röviden és magyarul: penteszt?
– A penteszt valójában egy informatikai biztonsági audit, ahol a felülvizsgált elem általában egy vállalati rendszer, weboldal, webapplikáció vagy akár egy teljes informatikai infrastruktúra: vezetékes hálózati eszközök, szerverek, tűzfalak, wifi hálózat
– ami manapság már szinte minden cégnek van, tehát lényegében mindenkit érint. A tesztelés célja a sebezhetőségek felmérése. Minden cégnek, szervezetnek vagy vállalatnak, amely vásárol és bevezet vagy fejleszti informatikai rendszerét, szüksége van bizonyos időközönként sérülékenységvizsgálatra. Költségkímélőbb, ha még vásárlás vagy fejlesztés előtt kérik ki szakember tanácsát. Lényegesen egyszerűbb eleve a biztonsági tényezők figyelembevételével építeni egy rendszert, mint később átalakítani.
Ami a pentesztet illeti, még mindig jobban járunk, ha szakemberek – etikus hackerek – törik fel a rendszerünket a kérésünkre, mintha egy rosszindulatú támadó okoz fennakadást, lopja el az üzleti és ügyféladatainkat, vagy éppen zsarol minket. A penteszt ugyan nem 100 százalékos garancia, de a közismert támadási kísérleteket – amelyek az incidensek 99,9 százalékát teszik ki – meggátolják, ezzel szinte nullára csökkenti a kitettségünket (hacsak nem állunk egy nemzetközi titkosszolgálati akció kereszttüzében).
Milyen típusú pentesztek vannak?
– A szakmában megkülönböztetünk black-, gray- és whitebox penteszteket. A blackbox egy potenciális támadó szemszögéből próbálja feltörni a tesztelendő rendszert, ezzel a technikával a rendszer feltörhetetlenségén kívül a potenciális információszivárgásokat is fel lehet ismerni. A whitebox megközelítés ezzel szemben jobban hasonlít bármely más szakterületen ismert auditfolyamatra, gyakran az IT-biztonsági audit egyenértékű a whitebox megközelítéssel. Whitebox esetben a rendszerhez teljes hozzáférést kapunk, valamint minden dokumentációt is bevizsgálásra bocsát az ügyfél. A graybox megközelítése a két típus ötvözése. A penteszt leginkább egy autó töréstesztjéhez hasonlítható. Whitebox esetben elsősorban dokumentációk és tervek alapján, blackbox esetben magával a fizikai törésteszttel győződhetünk meg róla, hogy ha incidens történik, mennyire védi meg a „sofőrülésben ülő” üzletünket a rendszerünk „lökhárítója”.
Milyen konkrét lépésekre kerül sor a tesztelés során?
– Első körben a célmeghatározás történik, közösen az ügyféllel. Azt szoktam mondani, hogy a biztonságra végtelen pénzt el lehet költeni, de nem érdemes. Törekedni kell megérteni a vállalkozás üzletmenetét és a potenciális veszélyeket, valamint információkat kell gyűjteni – doménneveket, a rendszerek típusait, a mailszerverek elérhetőségét. Ezt követi a szkennelés, melynek során a tesztelők automatákat használnak. Ezek a szoftverek közismert technológiákkal próbálják feltörni a programot. Ezután következik a sérülékenységek keresése. Ebben a lépésben a szkennelés és a korábbi felderítési munkákból kapott információkat felhasználva következik a manuális elemzés, ehhez megérzésre, és rengeteg tapasztalatra van szükség. Az utolsó lépés a dokumentáció elkészítése, melyben a tesztelők felsorolják a sérülékenységek típusait és a megoldási javaslatokat.
Mitől jó egy penteszt, és mit nyer vele az ügyfél?
– Egy jó sérülékenységvizsgálat arányos a tesztelendő rendszer méretével és jelentőségével, olyan etikus hackerek végzik, akiknek presztízskérdés a hibák feltárása, illetve megfelelően van időzítve (közvetlenül fejlesztések után, élesbeállás előtt, nagyjából évente megismételve). Hogy mit nyer? Elsősorban nyugalmat, kiszámíthatóságot, magabiztosságot. Amellett, hogy az ismeretlent meg a rizikót lehet jelentősen csökkenteni vele, sok esetben előny, vagy – ahogy már említettem – akár követelmény is lehet a rendszeres IT-biztonsági audit. Pénzügyi, egészségügyi és hasonló biztonságkritikus piacok számára gyakran csak megfelelő audit meglétével lehet beszállítani.
Ám ami ennél is fontosabb: azt a kérdést is érdemes feltenni, hogy mit veszíthetek vele, ha nem végeztetem el a pentesztet? Lehet, hogy semmit, de az is lehet, hogy adott esetben mindent.
Véleményem szerint egy felelős vállalkozás igyekszik minimalizálni a rizikót, ezért kötnek az emberek biztosításokat, vagy szerelnek be tűzvédelmi rendszert a gyárakba. Kifejezetten igaz ez azokra a vállalkozásokra, amelyek az informatikai rendszerükön át végzik fő tevékenységüket, például weboldalukon át szolgáltatnak, vagy üzleti és ügyféladatokat tárolnak rendszereikben (az ügyféladatok nem megfelelő védelmét és tárolását a GDPR-korlátozások óta komoly pénzbírság is követheti, ennek megelőzésére is alkalmas egy penteszt).
Mennyi időt vesz igénybe egy sérülékenységvizsgálat?
– Az idő mindig az adott rendszer méretétől és az ügyfél által rászánt erőforrástól függ. Tipikusan pár naptól pár hétig terjed. Az automatikákon kívül fontosak a szakemberek manuális tesztjei is, amelyek lényegesen időigényesebbek, de pontosabb helyzetjelentést nyújtanak a megrendelő rendszereiben és eszközein található sérülékenységekről. Az árak pedig arányosak a befektetett munkával. Egy wordpress weboldal tesztelése nem összemérhető egy teljes vállalati infrastruktúra, ügyfélportál és vállalatirányítási rendszer tesztelésével. Pár százezertől sok millió forintig végezhetők pentesztek, létezik pár napig tartó, és van olyan is, ami egy hónapig leköt egy csapatot. Az ár kapcsán érdemes azzal kalkulálni, hogy az adott rendszer kiesése vagy elvesztése mekkora kárt okozna a vállalkozásnak, és ezt a rizikót megspórolhatjuk a legtöbb esetben nagyságrendekkel kisebb pentesztköltséggel.
Több IT-biztonsági cég kínálja ezt a szolgáltatást. Van különbség penteszt és penteszt között?
– Gyakran látjuk, hogy a szabályozások erősödésével egyre több auditcég követi azt a stratégiát, hogy kiegészítő szolgáltatásként nyújt penteszt auditot is. Ennek köszönhető, hogy a piacon található legtöbb penteszt esetében a fókusz a jogi megfelelésen és a megfelelő tanúsítványok megszerzésén van. Úgy vélem, ez önmagában sajnos kevés a valós fenyegetések megállítására, nagyjából annyit ér, mint egy harapós kutya tábla kutya nélkül. A dobozos megoldások gyors futtatása helyett (melyek általában több év lemaradásban vannak a valós veszélyekhez képest) a kollégáink például több különböző piaci és saját fejlesztésű eszközt vetnek be a tudásuk és a tapasztalatuk mellett, ezáltal valós és alapos képet kapunk egy rendszer biztonságáról.
Mióta foglalkozik a cégük biztonsági teszteléssel?
– Hetedik éve vagyunk a magyar és nemzetközi piacon is, de tevékenységünkhöz tartozik IT-biztonsági oktatás – laikus és secure coding –, tanácsadás, valamint a reverse engineering (visszamodellezés, visszafejtés – a szerk.). Gyakran veszünk részt CTF (Capture the flag) versenyeken (Defcon CTF döntő – Las Vegas; Belluminar/WCTF – Peking; Riot Games Hackathon – Los Angeles), ahol rendszeresen kiemelkedő eredményeket érünk el. Csapatban és egyénileg is szoktunk indulni, nekünk ez nem csupán munka, hanem egy versenyszellemmel átitatott komoly játék is.•