Семинар по тестированию на проникновение в компании ДиалогНаука
В прошедшую пятницу принял участие в семинаре по тестированию на проникновение. Отстаивал свою точку зрения, что тестирование на проникновение в современном варианте – средство для эффективного поиска максимального количества уязвимостей при контролируемых рисках нарушения доступности систем, а не демонстрация руководству нескольких уязвимостей для увеличения бюджета на информационную безопасность.
Очень интересными были выступления Алисы Шевченко и Андрея Соколова. Алиса рассказала о принципах работы Rootkit’ов, и о том, каким образом с ними можно бороться. Андрей привел массу примеров из собственного обширного опыта пентестов. Особенно было интересно услышать об использовании методов социальной инженерии для перехвата пароля сетевого администратора.
В учебном центре ”Эшелон” мы запланировали провести тренинг, посвященный техникам тестирования на проникновение, 11-12 марта (курс Тестирование на проникновение: технологии хакеров для аудита информационной безопасности). Приглашаю всех желающих записаться на курс, оставив заявку на сайте учебного центра, либо по тел. +7 (495) 645-38-10. Приходите, будет очень интересно!
Пролистал презентацию. Из всего материала отметил только один корректный слайд – про мотивы подобных работ. Все остальное вызвало у меня лишь улыбку… Александр, пентестеры не пользуются в качестве методологии книгами из серии "Секреты хакеров" 🙂 Модель злоумышленника гораздо шире и "обычный результат классического теста на проникновение" у нормальных контор не есть "несколько опасных уязвимостей" обнаруженных при "высоком уровне нарушения доступности систем". Очень интересно было бы узнать, каким образом осуществляется поиск уязвимостей с использованием "DumpSec, SID&USER и т.д. "?
ЗЫ: "Очень интересными были выступления Алисы Шевченко и Андрея Соколова. "
Даже не сомневаюсь в том, что г-на Андрея Соколова было интересно послушать (http://www.cnews.ru/reviews/free/security2009/articles/pentest.shtml).
"Физическое проникновение" -> "…личная смелость взломщика" %)))
"Администратор домена Microsoft — это ключ ко всему", извиняюсь, а Tacacs, Radius, unix'like, DBMS, SAP, etc.
1. "средство для эффект. поиска макс. количества уязвимостей при контролируемых рисках нарушения доступности систем" — пентест всё же не должен ставить целью поиск максимального кол-ва слабых мест. Основная цель — пробив периметра защиты и получение доступа к крит. данным по согласованному с заказчиком сценарию. Поиск и эксплуатация всех уязвимостей сделало бы пентест намного дороже.
2. Как показывает практика высокого риска нарушения доступности систем при этом нет. Согласовывание действий с ответ. лицами от заказчика сводит этот риск к минимуму.
to Дмитрий и Pento: Спасибо за комментарии!
To Дмитрий: На мой взгляд, в таких проектах методология очень важна, так как следование ей позволит управлять качеством проекта. По поводу "Секретов хакеров" (Hacking Exposed) не соглашусь, так как в книгах описан подход реально показавший свою эффективность.
Dumpsec –среди прочего позволяет получить список учетных записей (при соответствующей ошибки в конфигурации Windows). Анализ имен учетных записей, например, позволит найти записи, в которых есть признак привилегированности (например, TermADM), интересными могут быть комментарии, особенно к учетным записям, созданным для информационных систем (я в них встречал пароли любезно забитые администраторами). Интересны еще и тестовые записи.
Уязвимость – это не только ошибка переполнения буфера в сетевом сервисе, и ее искать можно не только с помощью хорошего сканера.
to Pento:
1. Классический пентест, нацеленный на поиск нескольких уязвимостей, может быть полезен только для увеличения бюджетов на ИБ. Прямой пользы в виде повышения уровня защищенности за счет закрывания уязвимостей, найденных в ходе классического теста, не будет, так как останется еще масса уязвимостей.
Комбинация сканирования на наличие уязвимостей и подходов классического пентеста позволяет выявить опасные комбинации неопасных с точки зрения сканера уязвимостей, а также откинуть те уязвимости, которые сканер считает критичными, но в реальности ими невозможно воспользоваться. Также сканер никогда не отличит боевой сервер от тестового, а риски, связанные с одной и той же уязвимостью в двух случаях будут разными.
2. Pento, вы счастливый аудитор – вам везет. Даже обычный сканер, немножко некорректно сконфигурированный, сможет нанести огромный ущерб заблокировав массу учетных записей. Если же вы используете руткиты, то говорить о низких рисках доступности, когда вы их ставите на боевые серверы, вообще не приходится.
> Уязвимость – это не только ошибка переполнения буфера
Но и отсутствие системы пожаротушения.
На мой взгляд некорректно говорить о том, что пентест это имитация действий злоумышленника. Имхо действия злоумышленника нельзя имитировать, можно говорить об отработке векторов атак согласованных с заказчиком по документированной методике. Например нельзя имитировать DDOS атаку, так успешно применяемую blackhats.
Зы: а тезис о том что пентест, это "пугалка" для топ-менеджеров для выделения бюджетов для ИБ вызывает удивление
Александр,
>> На мой взгляд, в таких проектах методология очень важна
Так никто с этим и не спорит! OSSTMM, OWASP, PCI DSS Information Supplement: Requirement 11.3 Penetration Testing – все это правильные методологии, которыми пользуется весь мир. А вот «Секреты хакеров» странно видеть в этом контексте.
>> Dumpsec –среди прочего позволяет получить список учетных записей
Это понятно. Только опять же странно видеть этот инструмент для подобных целей. Более логично использовать pwdump/fgdump, meterpreter-> hashdump. Что же касается AD, то гораздо эффективнее использовать собственные сценарии на скриптовых языках.
>> Уязвимость – это не только ошибка переполнения буфера в сетевом сервисе
Тоже никто с этим не спорит.
>> Прямой пользы в виде повышения уровня защищенности за счет закрывания уязвимостей, найденных в ходе классического теста, не будет
Александр, у меня есть «живые» примеры крупных компаний, у которых уровень защищенности ИС был повышен в разы с каждой итерацией проведения тестирований на проникновение.
>> Также сканер никогда не отличит боевой сервер от тестового
>> Даже обычный сканер, немножко некорректно сконфигурированный, сможет нанести огромный ущерб заблокировав массу учетных записей
Поэтому важно построить правильное взаимодействие с Заказчиком в ходе проведения подобных работ.
>> Если же вы используете руткиты
Александр, при пентестах руткиты не используются, т.к. пентест – это не имитация действий злоумышленника.
to n3tw0rm:
>> тезис о том что пентест, это «пугалка» для топ-менеджеров для выделения бюджетов для ИБ вызывает удивление
тут Александр прав. В действительности пентест может быть проведен с подобной целью. Это «политические игры» внутри крупных компаний, распределение сферы влияния, повышение значимости подразделения и т.д. Но это бестолковый пентест и прямой пользы в виде повышения уровня защищенности за счет закрывания уязвимостей, найденных в ходе такого пентеста, не будет.
> Это понятно. Только опять же странно видеть этот инструмент для подобных целей. Более логично использовать pwdump/fgdump, meterpreter-> hashdump.
Видимо, когда автор нарабатывал огромный опыт пентестов, метасплоита еще не было 🙂
Коллеги, очень рад, что такой вид аудита информационной безопасности, как тестирование на проникновение, вызывает такую массу дискуссий. Жалко, что мы как технари начинаем мериться своими знаниями, и не замечаем потребности наших клиентов.
Предлагаю всем нам собраться на одном семинаре, где каждый сможет отстоять свое видение тестов на проникновение, покажет свое владение ораторским искусством и глубину технический знаний! Обязательно позовем на семинар специалистов со стороны клиентов, чтобы они высказали свой взгляд на происходящее.
Что скажете?
2 Dmitry Evteev: с политическими играми согласен, сам имел опыт подобных работ, но это извращает всю идею проведения теста на проникновение для повышения защищенности КИС заказчика.
Александр, нужно все-таки ораторское искусство и глубину технических знаний различать:) Владение ораторским искусством еще не означает хорошие (технические) знания и наоборот.
>> Предлагаю всем нам собраться на одном семинаре
Поддерживаю! Конференция «РусКрипто’2010»: http://www.ruscrypto.org/conference/
n3tw0rm:
>> но это извращает всю идею проведения теста на проникновение
Да, это так. Но таковы реалии.
> Предлагаю всем нам собраться на одном семинаре
Опяяяять… 🙂 Давайте еще Рисспу по пентестам сделаем, чего б не потрол.. подискутировать 8)
Рускрипто для этого не очень подходит.
А вот мне интересно про курс, который запланирован (АТ-01-02).
Кто его будет вести и каков будет материал. Судя по программе — около полчаса-сорока минут на тему. Я думаю как-то слабенько будет освещено перечисленное. Я сам без особой подготовки в состоянии начитать до часу-полутора на большинство из перечисленных, причем я не бог весть какой безопасник, а вернее им вообще не являюсь.
Или цель курса — начитать общее, и выдать сертификат?
Второй пункт программы "Backtrack: автоматизированное рабочее место аудитора информационной безопасности" — что именно будет? описание дистрибутива с возможностями?
Будет ли данный курс чем-то полезен для владельцев различных OSCP, OSWP и подобных сертификатов. И какой вес выданный сертификат будет иметь кроме ФСТЭК отметки (и будет ли она там)?
ЗЫ прошу прощения за жуткий оффтоп.
Был на семинаре. Семинар вышел действительно интересный.
По поводу Hacking Exposed книга как и материал действительно стоющая и для пентестера, особенно познающего асы данного исскуства не заменимая. Самому подарили три их последние книги на английском, в России их пока нет, можно тока заказать. Что касается мотодологий, я бы их назвал так сказать планом, но конечно в реальном проникновении, чисто одной методологии действовать нельзя, тут нужна гибкость, именно гибкостью порой достигается задуманное. Хакеры и мошенники это знают, и это позволяет им обходить системы безопасности, которые настроены стандартно и не подогнаны под все ресурсы объекта. Я бы сказал тут нужно иметь криминальное и каварное мышление, тогда тесты будут производиться успешно для аудитора.
to spxnezzar.blogspot.com: спасибо за интерес к курсу! Я его лично буду вести, также мне будет помогать один наш специалист.
цель курса — дать обзор техник тестирования и изучить некоторые приемы на практике. Программа действительно интенсивная. Не по всем темам будет практика — только по наиболее важным. Наверное, задержимся после 18.00. Растягивать на несколько дней (больше двух) не вижу смысла, освоить полностью подобный материал можно только после ряда проектов.
Отметки ФСТЭК не будет, у нас согласованы со ФСТЭК два курса ФС-02-10 и ФС-01-10.
Backtrack будет использоваться для практических упражнений.
Насчет сертификатов: на мой взгляд, если их больше двух, лучше никому об этом не говорить. Лично знаю специалистов по ИБ, не имеющих сертификатов CISSP, CISA, CISM и т.д. и даже высшего образования, но при этом являющихся профессионалами экстра-класса.
Александр, если честно, то мне кажется, что за такое время крайне сложно качественно донести материал по теме проведения тестирований на проникновение. Только на тему Web-безопасности можно рассказывать от двух до пяти дней и более…
Дмитрий, согласен, что детально каждую область можно изучать днями и неделями, а потом практиковаться и практиковаться, но для того, чтобы сформировалась целостная картина относительно применения методик тестирования на проникновения хватит двух дней интенсивной работы.
Коллеги.
Детали "утилит" и "методик" очень тема интересная конечно, главное в пентесте — да и в любой консалтинговой работе — качественное решение задач заказчика.
Иначе и получается "использование сканеров" и "рассылка троянов"
Я очень люблю об этом порассуждать, например тут:
http://sgordey.blogspot.com/2009/04/2009_23.html
Что касается рускрипты — даже завел там отдельную секцию:
http://sgordey.blogspot.com/2009/12/ruscripto-201…