December 21, 2016

White-Box Pentesting

Introducere si Planificare

Procesul de evaluare implica identificarea sistemelor tinta si scopul, apoi revizuirea informatiilor disponibile si intreprinderea mijloacelor disponibile pentru a atinge obiectivul. Obiectivele testului de penetrare este de tipul ”White-Box” (in cazul în care sunt furnizate toate informatiile de fond si de sistem).

Domeniul de aplicare a testelor de penetrare determina daca sarcinile individuale trebuie sa se execute in etape sau intr-o singura secventa. Pentru asigurarea eficientei testarilor de penetrare, se va determina impactul potential pentru organizatie si se vor contura o serie de contramasuri tehnice si procedurale pentru a reduce riscurile. Testarile incep cu o evaluare formala a amenintarilor pentru a stabili probabilitatea aparitiei unor amenintari care pot rezulta printre alte cauze la adresa organizatiei, din esecuri hardware si / sau software, din compromiterea sau furtul de date de catre un angajat intern, sau din atacurile initiate din exterior.

Planificarea activitatilor

Faza de planificare a activitătilor include:

  • Definirea domeniului de aplicare in functie de natura, durata si intinderea evaluarii.
  • Obtinerea unui “formular de autorizare” semnat de la beneficiar pentru implementarea de instrumente si metode de testare de penetrare.
  • Investigarea si utilizarea de instrumente automate disponibile pentru a efectua teste de penetrare si evaluarile de vulnerabilitate.
  • Obtinerea accesului la o baza de date (publica) vulnerabilitate, cum ar fi Bugtraq, Packetstorm, etc și asigurarea ca instrumentele folosite sunt la curent cu cele mai recente baze de date de vulnerabilitati.

Asigurarea evidentelor

In vederea probarii ulterioare a eficientei activitatilor prestate si evidentelor produse, urmatoarele aspecte vor fi luate in considerare:

  • Pastrarea tuturor inregistrarilor, incluzand detaliile specifice de accesare a tuturor nitrarilor (activitatile efectuate timpul penetrarii si testarea vulnerabilitatilor). Aceste inregistrari vor fi suficient de detaliate pentru a recrea testul, daca este necesar.
  • Pastrarea confidentialitatii tuturor inregistrarilor testelor de penetrare, inclusiv a rezultatelor, deoarece acestea sunt in proprietatea organizatiei beneficiarului.
  • Specialistul care efectueaza testul trebuie sa semneze o declaratie de confidentialitate si cod de conduita etica (Letter of Engagement) cu organizatia in ceea ce priveste confidentialitatea informatiilor din domeniul de aplicare a testului si a rezultatelor.
  • Contractul trebuie sa precizeze limitele si domeniul de aplicare al activitatii care urmeaza sa fie efectuate, dreptul de proprietate asupra rezultatelor si procedurile de testare, precum si clauzele de confidentialitatea si conduita etica a specialistilor.

Teste de penetrare de tip ”White-Box”

Scopul testelor de penetrare interne consta în stabilirea vulnerabilitatilor din cadrul perimetrului retelei. Obiectivul general este de a identifica potentialele vulnerabilitati în reteaua interna si punctele slabe ale masurilor de securitate pentru a preveni și / sau a detecta exploatarea lor de catre un hacker / angajat rau intentionat / contractor care pot obtine accesul neautorizat la resursele informationale sau pot cauza intreruperea sistemului sau o pana de sistem.

Pre-Evaluare

Reprezinta faza premergatoare evaluarii vulnerabilitatilor din mediul intern si este importanta pentru determinarea specificatiilor precise si regulilor de desfasurare a evaluarii.

In aceasta etapa se va defini si agrea un contract de confidentialitate si se vor obtine autorizatiile necesare desfasurarii evaluarii vulnerabilitatilor, precum si recomandarea de roluri/nivel adecvat de drepturi de acces.

Impreuna cu persoana de contact definita de catre Client, vom defini domeniul de aplicabilitate al proiectului (Scope of Work – SOW). Astfel, pentru eficienta, se vor defini adresele IP, retelele si sistemele care sunt incluse in SOW.

Un ultim aspect al fazei pre-assessment consta in definirea regulilor si restrictiilor impuse evaluarii sistemelor (Rules of Engagement – ROE). Acest document va contine, printre altele  definirea responsabilitatilor in cadrul proiectului, ce actiuni sunt permise / interzise in cadrul testelor, ce riscuri pot apare in cadrul testelor , precum si modalitatile de schimbare ale acestor reguli.

Scanarea de vulnerabilitati si implementarea testelor de penetrare se va face utilizand un nivel de acces agreat de comun acord, cum ar fi de exemplu :

  • Administrator aplicatie
  • Administrator retea
  • Administrator Sistem Operare 
  • Administrator Baze de date

Resurse necesare:

Disponibilitatea unei persoane de contact pentru interviuri in vederea completarii chestionarelor de pre-assessment. Persoana respectiva trebuie sa cunoasca topologia, arhitectura si rolul retelelor si sistemelor care vor fi incluse in SOW .

 Evaluare

Reprezinta etapa de evaluare a  vulnerabilitatilor si de implementare a testelor de penetrare.

Pasii de desfasurare includ evaluarea conectivitatii intre sistemele utilizate pentru  test si sistemele testate, culegerea de informatii despre sistemele testate din domeniul public si privat, descoperirea sistemelor si serviciilor active si scanarea sistemelor pentru descoperirea vulnerabilitatilor. Pentru eliminarea falselor pozitive, se vor verifica manual vulnerabilitatile descoperite automat.

Utilizand informatiile descoperite in evaluarea vulnerabilitatilor, in acord cu reprezentantii departamentului IT, se vor construi arbori de atac ( attack trees) si se vor implementa actiunile din aceste structuri.

Metodologia de testare

Efectuarea unui test de descoperire a retelei utilizand urmatorii pasi:

  • Efectuarea unui Ping sweep pentru a identifica gazdele live;
  • Daca este posibil, se va trece la instalarea de sniffers pe gazdele care au fost compromise in testul de penetrare extern, care identifică tabele ARP, date SNMP si informatii de rutare;
  • Incercari de efectuare a unui transfer de zona pentru a afla adresele IP interne si numele de sisteme, care ar putea indica scopul gazdei;
  • Efectuarea de trace route pentru reglarea fina a listei de gazde tinta considerate critice;
  • Identificarea sirurilor de caractere comunitare (community strings) sau daca acesta a fost stabilit pentru informatiile de interes public sau privat, pentru a obține informatii SNMP, care includ tabele de rutare, protocoale, jurnalele de eroare, si alte sisteme si date ale retelei, pentru a construi un atac. De asemenea, se va incerca identificarea sirurilor comunitare utilizate in mod obisnuit (de exemplu, Cisco, {numele companiei}, router, comutator, retelei);

Dupa finalizarea pasilor mentionati anterior, se va obtine autorizatie de la grupul de securitate pentru a instala instrumente de descoperire automatizate bazate pe sistemele gazda, care ofera o listare completa a vulnerabilitatilor;

Efectuarea analizei vulnerabilitatilor folosind urmatorii pasi:

  • Executarea unei scanari de porturi si a programelor banner grabbing pe gazdele vizate pentru a identifica serviciile active. Acest pas poate fi realizat în conjunctie cu Ping sweeps folosind NMAP;
  • Testarea vulnerabilitatilor individuale cunoscute pentru fiecare tip de software al sistemului, în conjunctie cu porturile deschise pentru exploatare;
  • Obtinerea autorizarii de la grupul de securitate pentru a instala instrumente de descoperire automate care ofera o lista completa de vulnerabilitati;
  • Generarea unei liste de adrese IP pentru numele gazda, tipuri de software ale sistemelor, porturile deschise si aplicatii;

Efectuarea exploatarii si notificarii folosind urmatorii pasi:

  • Determinarea nivelului de atac pe care organizatia l-ar agrea si aproba;
  • Determinarea nivelului de atac în functie de nivelul de acces obtinut pe porturile deschise si gazdele ținta identificate prin etapele de descoperire si analiza, sau pe baza informatiilor furnizate de către organizatie;
  • Notificarea beneficiarului daca este atins nivelul de acces, care permite instalarea de virusi critici care ar putea duce la intreruperea, pe cale de consecinta, a sistemului sau demonstrarea capacitatii unui atacator de a-si pastra accesul neautorizat lipsit de detectare;
  • Inregistrarea tuturor vulnerabilitatilor observate si furnizarea acestora organizatiei pentru remediere imediata la incheierea analizei de testare de penetrare / vulnerabilitate.
Top