[ Pobierz całość w formacie PDF ]

mniej doświadczonych hakerów. Jednak członkowie Red Team (i bardziej zdeterminowani
hakerzy) nie nabierają się na takie sztuczki. Udało im się odszukać msadc.dll, ale okazało
się, że na serwerze nie ma odpowiedniego oprogramowania, które umożliwiłyby wykorzy-
stanie tej słabości. To jednak nie koniec. Obecność newdsn.exe na serwerze będącym ce-
lem ataku umożliwiła im stworzenie niezbędnych do wykorzystania msadc.dll zasobów pro-
gramowych. Ostatecznie, pomimo że skaner nie odnalazł w ogóle biblioteki msadc.dll (która
pozwoliłaby na dokonanie nadużycia), zespół  najemnych napastników odkrył możliwość
wykorzystania luki w systemie.
Rozdział 2. f& Tworzenie bezpiecznej infrastruktury sieciowej 45
Testy penetracyjne  aplikacje
Załóżmy, że udaÅ‚o ci si¹ znalezć grup¹ kompetentnych osób, które dokonaÅ‚y oceny
bezpieczeństwa serwerów i struktury sieci. Słabości i luki systemowe zostały wykryte
i system jest tak szczelny jak tylko możliwe. Czy to wszystko, co można było zrobić?
No cóż, to zależy. DziaÅ‚alność wielu firm w Internecie opiera si¹ na szeroko poj¹tym
przetwarzaniu transakcji (cz¹sto na bieżąco  w trybie online). Na przykÅ‚ad wiele in-
stytucji finansowych umożliwia zarządzanie twoim rachunkiem bankowym, dokony-
wanie transakcji giełdowych, składanie wniosków o karty kredytowe itp. właśnie za
poÅ›rednictwem sieci. Problem, z którym mamy do czynienia, jest nast¹pujÄ…cy: pomi-
mo że wi¹kszość sÅ‚aboÅ›ci i luk w systemach operacyjnych czy wad sprz¹tu sieciowego
jest dość dobrze znana, oprogramowanie, które jest (przykładowo) wykorzystywane
do dokonywania transakcji giełdowych, zostało prawdopodobnie stworzone zupełnie
niedawno  przez grup¹ programistów zamkni¹tych na sześć miesi¹cy w ciemnym
pokoju. Chodzi o to, że słabości takich aplikacji wykonywanych na specjalne zlecenie
nie są jeszcze znane. Co gorsze, żaden automatyczny skaner ich nie wykryje z proste-
go powodu  potencjalne wady są typowe tylko i wyłącznie dla tej jednej aplikacji.
Tak wi¹c nawet w sytuacji gdy system operacyjny zostanie poprawnie zabezpieczony,
pi¹tÄ… achillesowÄ… caÅ‚ej struktury może okazać si¹ wyspecjalizowane oprogramowanie.
Wady oprogramowania mogą na przykład pozwalać jednemu klientowi banku na bez-
prawne korzystanie z zasobów pieni¹żnych innego.
W dalszych rozdziaÅ‚ach tej książki zajmiemy si¹ specyfikÄ… luk w aplikacjach i po-
wiemy, w jaki sposób sprawdzać oprogramowanie na obecność takich wad grożących
nadużyciem. Teraz jednak ograniczmy si¹ do stwierdzenia, że testy penetracyjne apli-
kacji są tak samo ważne jak testy struktury sieci. Niektóre aplikacje pozwalają na
przykład na sprawdzenie informacji o koncie bankowym (w tym o wysokości salda)
za pomocÄ… numeru konta umieszczonego w adresie URL. W tak prostym przypadku
wystarczy, że przebiegły użytkownik stworzy URL i zamieni własny numer konta
w adresie na numer konta osoby, o której chce zasi¹gnąć informacji. Za pomocÄ… zwy-
kłej przeglądarki może w ten sposób poznać stan konta innej osoby, nie dokonując
prób wÅ‚amania si¹ do systemu operacyjnego, ani nie korzystajÄ…c z żadnych innych
nielegalnych metod. Wady aplikacji tego rodzaju są jak dotąd w pełni wykrywalne
tylko dzi¹ki zespoÅ‚om specjalnych testerów. Wiele instytucji zaczyna coraz bardziej
doceniać wag¹ testów penetracyjnych, które stajÄ… si¹ niezb¹dnÄ… cz¹Å›ciÄ… procesu audytu.
Przeglądanie kodu zródłowego i audyt sprzętowy
Testy penetracyjne są dobrą metodą umożliwiającą sprawdzenie systemu w warun-
kach bojowych, ale ich efektywność jest ograniczana przez czas, jaki może zostać po-
Å›wi¹cony na ich wykonanie. Potencjalny haker ma do dyspozycji tygodnie, miesiÄ…ce,
a nawet lata, w trakcie których próbuje znalezć furtk¹ umożliwiajÄ…cÄ… mu wejÅ›cie do
systemu. Czas, którym dysponuje zespół testerów, czy czas działania skanera jest
bardzo ograniczony. Są to tylko dni lub tygodnie. Z tego właśnie powodu ważna jest
możliwość przeprowadzenia testów jeszcze innego rodzaju. Mamy tu na myśli kon- [ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • blondiii.pev.pl