Scannere de vulnerabilitati

[Aerosol]

1. Definirea vulnerabilitatilor

O vulnerabilitate in securitatea IT reprezinta o suma de conditii care impreuna pot duce la un sistem deschis accesului nedorit sau neautorizat din partea unui intrus, la neputinta de a folosi corespunzator sistemul sau reprezinta o violare a politicilor de securitate ale sistemului. O vulnerabilitate se poate referi la politica de securitate a sistemului, la modul cum a fost planificat, implementat sau configurat. Astfel, o vulnerabilitate poate fi reprezentata de una din urmatoarele:

o eroare sau un defect neprevazut in software sau in hardware care permite sistemului sa fie folosit intr-un mod pentru care nu a fost conceput (spre exemplu depasiri ale buffer-ului care permit executia de cod arbitrar)

un defect de planificare prin care se poate ocoli securitatea sistemului (spre exemplu daca exista posibilitatea de a schimba o parola fara a fi nevoie de a sti parola precedenta)

o configurare gresita a software-ului sau a hardware-ului care permite sistemului sa fie folosit intr-un mod pentru care nu a fost conceput (spre exemplu folosirea conturilor si parolelor implicite care permit accesul neautorizat)

2. Definirea aplicatiilor care evalueaza vulnerabilitatile

O aplicatie care evalueaza vulnerabilitatile (scanner de vulnerabilitati) poate fi definita ca un utilitar care poate fi folosit pentru a testa securitatea unui sistem sau a unei retele si descopera puncte de slabiciune. Aceste aplicatii nu ofera in mod direct protectie sau securitate pentru un sistem sau o retea dar in schimb aduna si raporteaza informatii pe care alte mecanisme, politici sau aplicatii le pot pune in aplicare pentru a oferi protectie impotriva vulnerabilitatilor gasite.

Aplicatiile de evaluare a vulnerabilitatilor pot fi, in general, de urmatoarele tipuri:

Gazda

Serviciu

Aplicatie

Active/pasive

Gazda

Aplicatiile de evaluare a vulnerabilitatilor gazda scaneaza si raporteaza doar calculatorul pe care se afla; nu au nici un fel de interactiune cu alte sisteme. Avantajul acestei arhitecturi consta in faptul ca scannerul are acces complet la toate resursele sistemului, cum ar fi inregistrari sau fisiere de sistem. Principalul dezavantaj consta in posibilitatea scannerului de a consuma prea mult din resursele calculatorului.

Serviciu

Aplicatiile de retea care evalueaza vulnerabilitatile sunt aplicatii care sunt proiectate sa scaneze o serie de calculatoare si serviciile de retea pe care acestea le ofera pentru a identifica vulnerabilitati. Aceste aplicatii variaza de la simple scannere de porturi, care identifica ce porturi sunt deschise, pana la scannere automate care vor detecta care calculatoare sunt in functiune si vor incerca sa extraga de la ele date si informatii referitoare la vulnerabilitati.

Aplicatiile mai avansate permit utilizatorului sa specifice care tip de vulnerabilitati sunt de interes si de asemenea permit generarea unui raport la finalul scanarii. Exista de asemenea si scannere proiectate pentru un tip specific de serviciu, de exemplu scannere de vulnerabilitati de baze de date.

Aplicatie

Cele mai intalnite astfel de scannere sunt cele pentru aplicatii web. Exista o multitudine de astfel de scannere specifice care pot varia de la simple utilitare care ajuta la localizarea paginilor web care nu ar trebui sa fie accesibile pana la scannere complexe care sa incerce manipularea aplicatiei web de asa natura incat sa obtina informatii sau acces suplimentar. Un exemplu de manipulare ar putea fi incercarea de injectare de interogari SQL pentru a putea ocoli securitatea sau pentru a accesa informatii stocate in aplicatie.

Scannere active

Scannerele active incearca sa compromita (sau sa evalueze posibilitatea de a compromite) o retea, un sistem sau serviciu specific folosind strategii de atac care ar putea fi folosite intr-un atac real. Multe dintre scannerele active identifica vulnerabilitatile cauzate de configurari defectuoase sau de patch-uri de sistem lipsa. Motivul pentru care sunt denumite "active" este pentru ca efectueaza teste care consuma efectiv resurse ale retelei.

Un avantaj al scannerelor active este ca administratorul are un control imbunatatit asupra timpului si a profunzimii scanarii de vulnerabilitati. Un alt avantaj consta in faptul ca, uneori, prezenta unei vulnerabilitati poate fi determinata de succesul unui test (de exemplu daca scannerul ghiceste un nume de cont sau o parola).

Marele dezavantaj al scannerelor active consta in posibilitatea lor de a intrerupe functionarea sistemelor. Scannerele active nu ar trebui folosite asupra sistemelor critice operationale fara o planificare atenta in prealabil. Scannerele active, prin definitie, folosesc resursele sistemului fapt ce ar pute conduce la incetinirea altor procese.

Scannere pasive

Scannerele pasive, spre deosebire de cele active, nu afecteaza in mod semnificativ resursele sistemului deoarece doar monitorizeaza datele pe sistem si executa orice procesari ale datelor pe o masina separata de analiza. Scannerele pasive se comporta similar cu sistemele de detectie a intruziunilor, in sensul ca intercepteaza sau primesc date despre sistem si le evalueaza folosind un set de reguli. Analiza ofera informatii despre procesele care ruleaza pe sistem.

Un avantaj al acestui tip de scanner este ca scannerele pasive pot functiona "non-stop" deoarece nu consuma din resursele sistemului. Un dezavantaj consta in faptul ca scannerele pasive vor raporta informatii derivate doar din date disponibile cu usurinta, dintre care unele sunt de multe ori deduse deci pot fi inexacte.

In general, tipurile de teste folosite de un scanner pasiv sunt: determinarea versiunii unui program pentru a verifica prezenta vulnerabilitatilor (de exemplu daca a fost aplicat un patch sau nu) si verificarea prezentei unui program care nu a mai fost intalnit in sistem. Un exemplu de detectie pasiva a semnaturii unei vulnerabilitati il reprezinta analiza unui banner SMTP (Simple Mail Transfer Protocol) atunci cand o conexiune catre un server de e-mail este facuta pentru a verifica daca acel server ruleaza o versiune vulnerabila de SMTP.

3. Tipuri de vulnerabilitati

Vulnerabilitatile pot exista in software-ul serviciilor de retea sau in software-ul care este capabil sa primeasca date din retea. Viermii din internet si compromiterea sistemelor de la distanta exploateaza vulnerabilitati ale serviciilor de retea. Alte vulnerabilitati sunt locale pentru o aplicatie particulara care ruleaza pe un calculator sau care are nevoie de acces nemijlocit la sistemul de operare sau la sistemul de fisiere al calculatorului respectiv. Toate tipurile de vulnerabilitati de mai jos se aplica atat vulnerabilitatilor serviciilor de retea cat si vulnerabilitatilor locale:

Software fara patch-uri de securitate - majoritatea virusilor, viermilor si atacurilor asupra sistemelor unui calculator exploateaza vulnerabilitati cunoscute ale software-ului calculatorului. Pentru a va putea proteja de aceste atacuri este importanta existenta unui aplicatii automate de scanare de vulnerabilitati care sa identifice sistemele din retea care nu au toate patch-urile instalate.

Configurari gresite - fiecare organizatie adopta configuratii diferite pentru echipamentele lor datorita cerintelor diferite, dar este foarte important ca acea configuratie aleasa sa fie sigura si orice posibila vulnerabilitate sa fie descoperita (de exemplu, firewall-uri cu seturi de reguli incomplete, parole ale conturilor de utilizatori slabe sau fisiere cu drepturi de acces incorecte)

Configurari implicite - un numar mare de produse, atat hardware cat si software, au configurari implicite nesecurizate care pot include conturi de utilizatori si parole implicite bine cunoscute sau rularea de servicii care nu sunt necesare.

Aplicatii fara suport de securitate - exista doua tipuri de aplicatii fara suport: software care este invechit si astfel furnizorul nu mai ofera patch-uri pentru vulnerabilitatile din software-ul respectiv si software care nu este permis de organizatia utilizatorului. Unele tipuri de vulnerabilitati sunt mult mai greu de detectat daca nu au o semnatura cunoscuta sau nu afecteaza decat unele versiuni ale unui software.

Erori de programare in validarea datelor de intrare - Acest tip de vulnerabilitate include printre altele depasiri ale buffer-ului, cross-site scripting, SQL injection. Este de departe cel mai utilizat tip de vulnerabilitate folosit in compromiterea sistemelor.

Vulnerabilitati ale kernel-ului - Kernel-urile sistemelor de operare pot avea vulnerabilitati care pot fi exploatate. Scannerele de vulnerabilitati actuale nu pot gasi aceste vulnerabilitati decat daca este stiut faptul ca versiunea respectiva de kernel este vulnerabila. Singura metoda completa pentru a gasi aceste vulnerabilitati este de a verifica codul sursa, daca acesta este disponibil, care poate fi facuta cu aplicatii automate de analiza a codului. Altfel ar putea fi necesara folosirea dezasambloarelor sau o analiza a functionarii proceselor. Toate aceste metode presupun un consum mare de resurse precum si experienta si calificarea unui specialist.

4. Practici generale in folosirea aplicatiilor de evaluare a vulnerabilitatilor

Aplicatiile de evaluarea a vulnerabilitatilor sunt doar unelte de detectie si doar prin intelegerea, analiza si actiunea unui administrator de sistem pot deveni unelte de protectie impotriva vulnerabilitatilor. Toate aceste aplicatii necesita un grad ridicat de expertiza tehnica si timp pentru a intelege, alerta, a stabili ca nu este un fals pozitiv si a lua masurile necesare.

Scannerele de vulnerabilitati sunt folosite pentru a ajuta la protejarea sistemelor sau retelei asa ca asigurati-va ca aceste aplicatii nu au efectul opus, deteriorarea sistemelor si degradarea performatei lor. Este recomandat ca inainte de a folosi un nou scanner de vulnerabilitati, sau de a implementa noi teste pentru acest scanner sa fie rulate in prealabil pe un sistem sau o retea care nu se afla in exploatare. Este de asemenea recomandat ca testele care pot avea un efect distructiv sa fie inlaturate atunci cand se efectueaza scanari pe o retea operationala.

Inainte de a folosi aceste aplicatii este esentiala o buna intelegere a modului lor de functionare precum si a datelor care pot fi culese in urma folosirii lor.

Trebuie luata in considerare locatia sursa de unde se va face scanarea deoarece mecanismele de securitate vor fi, cel mai probabil, diferite in functie de tipul accesului: din afara retelei sau din interiorul ei. Decizia despre unde sa fie pozitionata sursa trebuie luata in functie de datele care se doresc a fi obtinute. O scanare din exteriorul retelei va simula un atacator extern in timp ce o scanare din interiorul retelei va arata cu mai mare acuratete vulnerabilitatile prezente in sistem si care pot fi exploatate de un atacator din interior sau care a compromis un sistem din interiorul retelei.

Atunci cand se efectueaza o scanare a unei retele toate calculatoarele din retea ar trebui sa colecteze inregistrari despre ce se intampla. Acestea reprezinta mecanisme de validare a unui rezultat pentru a determina daca o vulnerabilitate raportata a fost corecta sau a fost un fals pozitiv.

Utilizatorii de scannere de vulnerabilitati ar trebui sa scaneze in mod regulat sistemele lor, astfel avand un istoric asupra vulnerabilitatilor existente. In plus, utilizatorii de scannere de vulnerabilitati ar trebui sa urmareasca aparitia unor noi vulnerabilitati si sa aplice noile teste pentru acestea cat mai curand posibil.

5. Exemple de aplicatii de evaluare a vulnerabilitatilor

Exista o multitudine de aplicatii de evaluare a vulnerabilitatilor atat comerciale cat si non-comerciale. Unele din scannerele de vulnerabilitati care au licenta open-source sau care sunt disponibile fara costuri sunt:

Nikto, scanner open-source pentru servere web - http://www.cirt.net/code/nikto.shtml

Microsoft Baseline Security Analyser, scanner de vulnerabilitati Microsoft destinat calculatoarelor cu sisteme de operare Microsoft Windows - Microsoft Baseline Security Analyzer – MBSA - TechNet Security

OpenVAS, Open Vulnerabilty Assesment System Wald: OpenVAS: Project Home

Paros, arhitectura pentru testare web - Paros | SourceForge.net

Aplicatiile prezentate mai sus reprezinta doar o parte din multitudinea de aplicatii existente. Pentru mai multe informatii despre produsele de evaluare a vulnerabilitatilor vizitati adresele de mai jos:

SecTools.Org Top Network Security Tools

Network Scanners - securitywizardry.com

Source

Edited September 27, 2014 by Aerosol

[Stealth]

Un articol de nota 20 scris de cei de la sts .

Winfingerprint, scanner de vulnerabilitati open source pentru retele cu calculatoarele cu sisteme de operare Microsoft Windows - http://winfingerprint.con/index.php

CIS Benchmarks/Security Tool, scanner de vulnerabilitati pentru calculatoare Unix, Microsoft Windows, Sun Solaris si Oracle - CIS Security

Primul link de la Winfingerprint, este invalid pentru c? nu mai au un website, ci e doar pe sourceforge.

Iar la CIS Benchmarks, au pus link c?tre o firm? de paz? )). Oh Yeah...

[d4rkm4nx]

Asa e cand dai copy paste ca tampitul.... nici macar nu a avut bunul simt sa citeasca articolul, bine ca arunci aici cu mizerii.

[Aerosol]

Asa e cand dai copy paste ca tampitul.... nici macar nu a avut bunul simt sa citeasca articolul, bine ca arunci aici cu mizerii.

Copile daca tu esti prost nu comenta aiurea, in primul rand am citit articolul dar nu am stat sa verific toate link-urile (greseala mea) daca poti spune ceva inteligent spune, daca stii ca esti prost stai in banca ta.

De unde apar astia ca tine ma...

On: am sters alea @TinKode nu am verificat link-urile...

Edited September 27, 2014 by Aerosol

[Bratuleanu123]

COPY/PASTE ce ai facut tu aici!

[TheOne]

COPY/PASTE ce ai facut tu aici!

Chiar? Si eu ma gandeam ca a scris saracul el tutorialul asta..

@Aerosol sa-ti fie rusine

[Bratuleanu123]

Era clar ca nu a scris el aici , ii lua vreo 2 ore sa scrie cat ii acolo ! .

Nu se mai posteaza nimica pe forumu asta ca inainte?

[Aerosol]

@misefalfaie stiu bre

Bratuleanu vezi ca misefalfaie face misto de tine prietene, daca te uitai la final scria sursa da mna

sa comentezi si tu...

Edited December 2, 2014 by Aerosol

[xRaKu]

Foarte interesant mersi.

[dany_love]

Multumim pentru tutorial @Aerosol.

Iti multumesc eu si in numele baietilor care nu stiu sa aprecieze.

Nu conteaza de unde vine tutorialul..important este ca e aici.