A támadó először felderíti a célpont nyitott kapuit, az azokon futó szolgáltatásokat és azok verziószámát, valamint meghatározza az operációs rendszereket. Ezeket az adatokat a számítógépeink az esetek döntő többségében egyszerűen „kifecsegik”. Ha megvannak a szolgáltatások, akkor számos publikus adatbázis áll a támadó rendelkezésére, ahonnan kikeresheti a hozzájuk tartozó exploitokat, amit kiküld a célgépre. Amennyiben a művelet sikeres, akkor onnantól jogosultságtól függően szinte bármit meg tud tenni. Telepíthet billentyűleütés figyelőt, lekérhet képernyőképeket, feltölthet és letölthet fájlokat.
Vállalati környezet esetén szinte már mindenhol robosztus tűzfallal találja szemben magát a támadó, ezért a behatolások tendenciája manapság sokkal inkább a végpontok felé irányul, ugyanis ha sikerül megszerezni a megfelelő jogkörrel rendelkező számítógép felett az uralmat, attól kezdve szinte borítékolható, hogy bármihez hozzá tud férni a hálózaton belül. Ezt nevezzük Pivotingnek.
Hogyan tudunk védekezni?
A szoftverek, alkalmazások és az operációs rendszerek frissítéseinek napra készen tartása mellett számos megoldás közül választhatunk.
A legjobb defenzív védekezés a megfelelő tűzfal alkalmazása, ami mind hálózati, mind kliens oldalon jelentős szerepet játszik. Csak és kizárólag a legszükségesebb portoknak szabad nyitva lenni, amiket időről időre felül kell vizsgálni. Hálózati szinten komplikáltabb a dolog. Ott a csomagok egyértelműen szűrtek, de az új kihívásokkal is szembe kell nézni, mivel a 80-as portot letiltani „nem lehet”. Így érdemes egy olyan tűzfalat beszerezni, ami képes alkalmazás szinten adatokat szűrni. Ezek az úgynevezett új generációs tűzfalak.
A másik nagyon fontos eszköz az „antimalware”, antivírus program. Mivel a vírusirtó is egy szoftver, bizony lehetnek sérülékenységei is. Sőt! Nagyon fontos szempont a kiválasztás során, hogy mennyire támadható maga a védelmi program, hiszen ezek nem rendszergazda, hanem egyenesen SYSTEM jogkörrel futnak, tehát a támadók az antivírus sérülékenységit használják ki.
Ha valóban törődni akarunk a rendszerünk sérülékenységeinek feltárásával, úgy fel kell vennünk a támadói (offenzív) szemléletet. Ehhez szintén számos automatizált és manuális eszköz áll a rendelkezésre egyaránt. Ezek közül a Nexpose az egyik legkiválóbb, ami számos lehetőséget ad, és ami nagyon fontos, hogy nemcsak a sérülékenységek feltárása terén, hanem azok igazolására is. Ezeknél az automatizált hálózati és webes alkalmazás-szkennereknél sajnos nagyon gyakori az úgynevezett fals-pozitív hiba. Ebben az esetben a vizsgáló program tévesen jelöl meg egy hibát vagy sérülékenységet, ami az esetek többségében valóban fennáll ugyan, csak épp nem lehet érdemben kihasználni, azaz ott biztos nem történhet behatolás. Pontosan ezekre a problémákra kiváló a Nexpose, mivel páratlan lehetőséget ad a nagytestvérével, a Metasploittal történő összekötésre, amivel egyszerűen és zökkenőmentesen lehetséges validálni a kapott értékeket.
Vállalati és kormányzati szinten is egyre inkább elterjedt a saját sérülékenységi vizsgáló licenszelése és használata. Ez sokkal költséghatékonyabb módon ad lehetőséget a folyamatos felülvizsgálatra és ellenőrzésre, mint a külsős etikus hekkerek alkalmi vagy időszakos megbízása. A grafikus felületek segítségével és az alapvető hálózati ismeretek birtokában a Nexpose tökéletesen használható, kiváló ajánlásokat ad a hibák javításaira, priorizál és számos szabályzásnak megfelelően képes jelentéseket is generálni.
Gyebnár Gergő, a Black Cell biztonsági szakértője hozzátette: „Előszerettel használjuk a Nexpose sérülékenységi vizsgálót és csak ajánlani tudjuk. Mindamellet érdemes alaposan megvizsgálni a beállításokat, például kivenni a nyomtatók IP címeit a vizsgálatból, mert könnyen megvadulhatnak és elkezdhetnek „ész nélkül” nyomtatni értelmetlen oldalakat a végeláthatatlanságig.”
Forrás: Black Cell
