Я спросил, какая, на его взгляд, самая большая проблема в сфере ИБ. Томас сказал: «В сфере ИБ много крупных проблем, но их общий знаменатель – сами пользователи. Они хотят удобства и безопасности (например, конфиденциальность, шифрование данных). Тем не менее безопасность и удобство в значительной степени соперничают. Нельзя иметь и то и другое одновременно. Чем больше удобства, тем меньше безопасности. Очевидно, что бо́льшая безопасность будет менее удобной».
Информация о Томасе д’Отреппе де Буветте
Больше информации о Томасе д’Отреппе де Буветте вы найдете по ссылкам:
• видео презентации Томаса д’Отреппе де Буветта и Рика Фарина о взломе беспроводных сетей: https://www.youtube.com/watch?v=XqPPqqV_884;
• презентация Томаса д’Отреппе де Буветта и Рика Фарина о взломе беспроводных сетей в формате PDF: https://defcon.org/images/defcon-16/dc16-presentations/defcon-16-de_bouvette-farina.pdf.
25. Тестирование на проникновение
В этой главе мы рассмотрим критерии, по которым можно определить, законна ли деятельность того или иного хакера. Также начинающие тестировщики на проникновение смогут извлечь для себя несколько полезных советов. Кроме того, я расскажу о наиболее востребованных сертификатах.
Самые запоминающиеся моменты в моей карьере пентестера
Несомненно, тестирование на проникновение было одним из самых приятных периодов моей карьеры. Взлом – это весело. Мне тяжело выделить несколько лучших проектов, поэтому я расскажу о наиболее запомнившихся.
Взлом всех телевизионных приставок в стране
Однажды нас наняли, чтобы посмотреть, сможем ли мы взломать новую кабельную приставку, которую планировала выпустить крупнейшая в мире кабельная компания. Я использовал сканер, чтобы вычислить все сетевые порты; нашлось около десятка открытых. Затем я использовал Nikto, инструмент сканирования веб-сервера, для сканирования всех портов в надежде, что у одного из них будет веб-интерфейс. Мои надежды оправдались. Nikto определил один из портов как неизвестную программу для веб-серверов, о которой я никогда не слышал, и сообщил, что у нее есть особая уязвимость. Когда я попытался ею воспользоваться, оказалось, что она недоступна. Но я знал, что программное обеспечение веб-сервера устарело, а это означало, что оно полно старых ошибок, которые давно исправили новые веб-серверы. Первое средство, которое я использовал, было известно как атака обхода каталога (по сути, я набрал http://..//..//..//), и это сработало. Так я стал администратором с полным контролем над кабельной приставкой.
Мы сообщили об уязвимости клиенту, и на следующий день все руководящее звено компании пришло на мою презентацию. Оказывается, именно эта уязвимость присутствовала на каждой кабельной приставке, а миллионы таких уже были распроданы по всей стране и все они были подключены к Интернету.
Одновременный взлом крупной телевизионной сети и кража порнографии
Та же кабельная компания наняла нас, чтобы проверить, можем ли мы украсть порнографию, которая была одним из главных источников ее дохода, а также посмотреть, получится ли украсть основные художественные фильмы. Мы сидели в одном из компьютерных залов с двумя кабельными приставками и двумя телевизорами, которые работали 24/7; один показывал порнографию, а другой – кино. Нетрудно представить, что просмотр порнографии в течение нескольких дней подряд быстро наскучил. Но это не помешало десяткам людей заходить, чтобы «проверять» нас каждый день. Забегая вперед, скажу, что мы смогли украсть как порнографию, так и полнометражные фильмы, а также доказать, что можем заполучить и номера кредитных карт клиентов.
Мы даже использовали межсайтовый скриптовый эксплойт, чтобы захватить всю кабельную компанию – из одной кабельной приставки. Мы обнаружили, что кабельный блок работает на веб-сервере и содержит журналы брандмауэра. Те в свою очередь содержали ошибку межсайтового скриптинга. Мы «атаковали» приставку таким образом, что знали, что вводили дополнительные хакерские атаки (в этом случае тот, который будет получать пароли администратора). Затем мы позвонили в компанию и попросили одного из технических специалистов проверить журналы брандмауэра, потому что нам было интересно, находится ли система под «хакерской атакой». Когда техник службы поддержки компании проверял журнал, пароль к его учетной записи появился на экране. Оказалось, на всем предприятии пароли использовались одинаковые.
Взлом сайта крупной платежной системы
В рамках тестирования компании нужно было взломать «тестовый» веб-сайт. Проводился конкурс, на котором оценивалось, за какой срок мы можем это сделать, сколько уязвимостей найдем и как ими воспользуемся. У нас было десять соперников. Победитель – команда, которая найдет больше всего уязвимостей, – получит сертификат и будет нанят для «сертификации» десятков тысяч других сайтов. Один из членов моей команды смог не только взломать веб-сайт, но и полностью завладеть производственной средой заказчика. Мы выиграли конкурс.
Создание «Камерного вируса»
Однажды я придумал, как получить свой «вредоносный» код для автоматической активизации с мультимедийной карты цифровой камеры. Я попробовал осуществить это, и у меня получилось! Я показал коллеге, и он понял, что это сработает с любой съемной медиакартой. При проверке выяснилось, что код работает с цифровыми камерами, музыкальными плеерами и сотовыми телефонами. Мой работодатель был в восторге. Мы решили, что я представлю свое изобретение на предстоящей конференции Black Hat. Я также сообщил о своих исследованиях соответствующему вендору. Они проверили их и спросили, можем ли мы дать им несколько месяцев, чтобы создать патч для устранения проблемы.
И тут я столкнулся с дилеммой. Если пойду им навстречу, выступление на конференции Black Hat не будет столь интересным. Но, не дай я им времени, оставил бы вендора и его клиентов под угрозой, пока тот не сможет поспешно создать исправление. Помню, как тяжело мне далось это решение. В конце концов, я решил быть хорошим хакером; меня больше беспокоила безопасность в компьютерном мире, нежели собственное эго. Я дал вендору необходимое количество времени. Несколько месяцев спустя еще одно событие привело к открытию той же уязвимости, но вендор был готов к ней и тотчас выпустил исправление. Мое открытие не стало сенсацией, но в то же время оно не принесло большого ущерба, а это значит, что мы победили.
Как стать пентестером
Тестирование на проникновение (пентестирование) – это юридические взломы. Это сложнее, чем просто взломать сайт, хотя и начинается именно с проникновения.
Методология хакера
Для того чтобы быть успешным тестировщиком на проникновение, вам нужно следовать той же методологии взлома, которая была описана в главе 2.
1. Сбор информации.
2. Проникновение.
3. Гарантия более легкого последующего доступа (необязательно).
4. Внутренняя разведка.
5. Горизонтальное или вертикальное движение (необязательно).
6. Выполнение намеченного действия.
7. Заметание следов (необязательно).
Не будем снова вдаваться в подробности; достаточно сказать, что тестировщики на проникновение – это те же хакеры, и они следуют тем же шагам. Но быть юридически правомерным тестировщиком на проникновение сложнее.
Получение официального разрешения
Главное, что отличает незаконного хакера от законного тестировщика, – это разрешение атаковать/тестировать активы, которые вы исследуете. Вы должны иметь предварительное документированное подписанное разрешение от компании или лица, владеющего активами или имеющего юридические полномочия от владельца.
Искать и находить уязвимость на чьем-то веб-сайте, а затем просить владельцев взять вас на работу – неэтично. Многие начинающие тестировщики, которые ищут свою первую профессиональную работу, пробуют эту тактику. Они думают, что компания найдет их открытие невероятно полезным и предложит им работу. Вместо этого их обычно воспринимают как потенциальную угрозу, независимо от истинных намерений горе-хакеров. Если вы действительно случайно столкнулись с уязвимостью во время работы в Интернете, конфиденциально сообщите об этом владельцу/вендору и помогите, если у них возникнут вопросы. В таком случае вы куда вероятнее сможете получить работу, но не стоит просить об этом напрямую.
Оформление контракта
Тестировщики на проникновение всегда подписывают контракт. В нем должны быть указаны имена договаривающихся сторон, объем обязательств (какие цели и даты проекта, что будет сделано и так далее), соглашение о неразглашении для защиты обеих сторон, какие инструменты и методы будут использоваться и предупреждение об отказе от возмещения ущерба при возможном прерывании работы системы. Если у вас нет каких-либо шаблонов контрактов, обратитесь к юристу и/или поищите примеры в Интернете.
Отчеты
Высшая степень профессионализма – это хорошо написанный подробный отчет. Для начала следует создать краткое резюме, а после более подробно описать проект, сферы охвата, проделанную работу и выводы. Последние лучше включить в качестве отдельных приложений. Многие консультанты считают, что чем больше отчет, тем лучше. Лично я думаю, что более короткие отчеты с достаточной детализацией для резервного копирования результатов оцениваются клиентами выше. Но всегда имейте в запасе более подробное описание, которым сможете поделиться при необходимости.
Сертификация
Получите сертификат. Это не залог того, что вы умнее тех, у кого сертификатов нет, но они могут стать вашим преимуществом при получении работы. Сертификаты – это простые заявления о минимальном уровне знаний и опыта человека. В следующих разделах я познакомлю вас с сертификатами, которые рекомендую получить.
Институт SANS
Я огромный поклонник всех проектов Института SANS (http://www.sans.org), будь то обучение, исследования, образование, книги или сертификаты. Я описываю его соучредителя, Стивена Норткатта, в главе 42. Если вы заинтересованы в том, чтобы быть уважаемым техническим экспертом, этот сертификат вам необходим. Институт даже предлагает два уровня магистров аккредитованных степеней под своим брендом. SANS имеет множество сертификатов, начиная от узкоспециализированных тем безопасности (таких как анализ вредоносных программ, брандмауэры, безопасность хоста и элементы управления безопасностью) до чрезвычайно уважаемого сертификата эксперта по безопасности (GIAC) (http://www.giac.org/certifications/get-certified/roadmap). Последние классифицируются по следующим предметным областям:
• кибер-безопасность;
• тестирование на проникновение;
• цифровая криминалистика и реагирование на инциденты;
• разработчик;
• управление и руководство;
• эксперт по безопасности.
Некоторые из самых популярных экзаменов GIAC – это экзамен профессионала в области ИБ (http://www.giac.org/certification/gisp), экзамен разработчика (http://www.giac.org/certification/gcih) и экзамен на противостояние вредоносным программам (http://www.giac.org/certification/grem). Но они также охватывают деятельность Windows, веб-серверов, тестирование на проникновение, Unix и безопасность беспроводных сетей, программирование, руководство и управление программой. Тестирование GIAC проводится после посещения тренинга SANS, который обычно длится неделю. Если тест GIAC проводится после обучения, его стоимость составляет 659 долларов. Но вы можете бросить вызов (не проходя официальную подготовку) любому тесту за 1149 долларов.
Если вы заинтересованы в Unix и сертификации Linux, SANS предлагает GIAC сертификат администратора безопасности Unix (GCUX) (http://www.giac.org/certification/certified-unix-security-administrator-gcux).
Сертификат нравственности хакера (СЕH)
Сертификат нравственности хакера (СЕH) от международного совета EC–Council (https://www.eccouncil.org/programs/certified-ethical-hacker-ceh/) очень уважаем и, по существу, учит вас, как быть хакером «в белой шляпе» (или профессиональным тестером на проникновение). CEH познакомил меня с некоторыми интересными инструментами взлома, которые я до сих пор использую. Экзамен длится максимум четыре часа и состоит из 125 вопросов с несколькими вариантами ответов. Стоимость участия – 100 долларов.
Совет EC–Council проводит множество других полезных экзаменов, в том числе экзамен на судебное следствие компьютерного взлома (https://cert.eccouncil.org/computer-hackingforensic-investigator.html), лицензированного тестера проникания (https://cert.eccouncil.org/licensed-penetration-tester.html), сертифицированного исследователя инцидентов (https://cert.eccouncil.org/ec-council-certified-incidenthandler.html) и сертифицированного профессионального аварийного восстановителя программ (https://cert.eccouncil.org/ec-council-disaster-recovery-professional.html). У них даже есть экзамен для руководителей служб информационной безопасности (https://cert.eccouncil.org/certified-chief-information-security-officer.html).
CompTIA Security+
Ассоциация индустрии компьютерных технологий (CompTIA) (https:// certification.comptia.org/) предлагает комплексные экзамены начального уровня в сфере ИТ-поддержки инфраструктуры (А+) (https://certification.comptia.org/certifications/a), сетей (Network+) (https://certification.comptia.org/certifications/network) и безопасности (Security+) (https://certification.comptia.org/certifications/security). Поскольку для людей, недавно работающих в сфере ИБ, эти экзамены зачастую первые, они получили репутацию базовых и потому легких. Это не соответствует действительности. Экзамены очень всесторонние, и вы должны упорно учиться, чтобы быть уверенным в их успешном прохождении. Экзамен на получение сертификата CompTIA Security+ охватывает сетевую безопасность, криптографию, идентификацию, угрозы и узел защиты, а также другие темы. У вас будет 90 минут, чтобы ответить на 90 вопросов, а цена составляет 311 долларов.
ISACA
ISACA – международная профессиональная ассоциация, ориентированная на управление ИТ (https://www.isaca.org), – предлагает целый ряд профессионально-уважаемых экзаменов на аудит и менеджмент. Сертификаты включают в себя сертификат аудитора информационных систем (CISA) (http://www.isaca.org/Certification/CISA-CertifiedInformation-Systems-Auditor/Pages/default.aspx), сертификат менеджера по информационной безопасности (CISM) (http://www.isaca.org/Certification/CISMCertified-Information-Security-Manager/Pages/default.aspx), сертификат в области управления ИТ (CGEIT) (http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-of-Enterprise-IT/Pages/default.aspx) и сертификат профессионала в области управления ИТ-рисками (CRISC) (http://www.isaca.org/Certification/CRISC–Certified-inRisk-and-Information-Systems-Control/Pages/default.aspx). Если вы бухгалтер или аудитор, эти экзамены могут подтвердить ваши навыки, связанные с компьютерами и ИБ.
Сертификаты производителей
Многие компании, такие как Microsoft, Cisco и RedHat, предлагают свои экзамены по информационной безопасности.
Несколько лет назад Microsoft провела специальные экзамены по безопасности, например MCSE: Security. Но поскольку безопасность стала общей заботой для всех платформ и технологий, компания начала создавать собственные вопросы безопасности и включать их в свои экзамены. Эта тенденция в настоящее время несколько обращена вспять объявлением Microsoft о разработке нового экзамена обеспечения безопасности Windows Server 2016 (https://www.microsoft.com/en-us/learning/exam-70744.aspx). Он выходит далеко за рамки ее технической безопасности. Экзамен охватывает проектирование красного/зеленого леса, своевременное администрирование, достаточное администрирование и новейшие технологии безопасности Microsoft, такие как Advanced Threat Analytics (ATA). Тест Microsoft (https://www.microsoft.com/en-us/learning/exam-98-367.aspx) стоит 127 долларов.
Сертификационные экзамены Cisco всегда имели репутацию сложных. Экзамен на получение Certified Internetwork Expert (CCIE) (http://www.cisco.com/c/en/us/trainingevents/trainingcertifications/certifications/expert/ccie-program.html) известен как самый непростой в этой отрасли. По данным Cisco, менее 3 % студентов получат его, даже заплатив тысячи долларов, создав домашние лаборатории и потратив в среднем 18 месяцев на обучение. Сертификат специалиста безопасности сетей Cisco’s Certified Network Associate (CCNA) Security certification (http://www.cisco.com/c/en/us/training-events/training-certifications/certifications/associate/ccna-security.html) получить легче, но его также очень уважают. Сначала необходимо пройти любую другую допустимую сертификацию Cisco для прохождения CCNA. После ее получения (или любой другой сертификации CCIE), можно пройти Cisco Certified Network Professional (CCNP) – экзамен по безопасности (http://www.cisco.com/c/en/us/training-events/trainingcertifications/certifications/professional/ccnp-security.html). Но этот экзамен (http://www.cisco.com/c/en/us/training-events/training-certifications/certifications/expert/ccie-security.html) является экзаменом по безопасности Mack daddy Cisco. Он состоит из двухчасового письменного экзамена (который должен быть сдан первым) и восьмичасовой лабораторной части. Все сертификационные экзамены Cisco трудны, но если вы получите сертификацию безопасности CCIE, то сможете получить прекрасную работу почти в любой точке мира.
Компания RedHat проводит десятки сертификационных экзаменов (https://www.redhat.com/en/services/all-certifications-exams) и, как и другие крупные вендоры, предлагает по крайней мере один экзамен специалиста безопасности. Экзамен RedHat по безопасности называется RedHat Certificate of Expertise in Server Hardening (https://www.redhat.com/en/services/certification/rhcoe-server-hardening). Помимо обычной информации об усилении защиты сервера Linux, успешные кандидаты должны быть готовы к работе с отчетами об общих уязвимостях (CVE) и RedHat Security Advisory (RHSA). Цена – 600 долларов.
Профессиональный институт Linux (https://www.lpi.org/) предлагает экзамен безопасности LPIC-3 Exam (https://www.lpi.org/study-resources/lpic-3-303-exam-objectives/). Он охватывает множество тем безопасности, и кандидаты должны успешно пройти четыре предыдущих экзамена LPI более низкого уровня. Стоят они около 188 долларов.
Как я уже упоминал, SANS предлагает сертификат безопасности GIAC Certified Unix Security Administrator (GCUX) certification (http://www.giac.org/certification/certified-unix-security-administrator-gcux).
У компании Apple, кажется, нет определенных экзаменов в области безопасности, но обычные экзамены ОС, такие как Apple El Capitan (http://training.apple.com/pdf/elcapitan101.pdf) и основы интеграции с Mac (http://training.apple.com/pdf/mac_integration_basics_1010.pdf), имеют некоторые компоненты безопасности.
Каждая сертификация, которую я проходил, улучшила мои навыки. Получение сертификата может помочь вашим знаниям, карьере и способствовать получению работы.
Соблюдайте этику
Будьте этичным профессионалом. Никогда не предпринимайте несанкционированных действий и не стремитесь улучшить личную позицию в отношении обязательств и потребностей клиента. Если вы задаетесь вопросом, этично ли это, то, скорее всего, это не так.
Глава 50 посвящена Кодексу чести хакеров.
Минимизация возможных сбоев в работе
Старайтесь не допускать перерывов в работе клиентов. Многие инструменты тестирования на проникновение имеют «режимы безопасности», которые устраняют элементы с более высоким риском. Всегда начинайте с тщательного тестирования своих инструментов и методологий, прежде чем их использовать. Я всего лишь раз вызвал массовые сбои в работе, но это до сих пор меня преследует. Так произошло, потому что я не уделил достаточно внимания тестированию перед широкомасштабным применением.
Если вы будете следовать всем шагам, описанным в этой главе, то станете успешным и вас будут регулярно приглашать на новые проекты.
Глава 26 рассказывает про Аарона Хигби, одного из лучших тестеров на проникновение, которых я когда-либо знал, а в главе 27 представлен профиль Бенилда Джозефа, специалиста по тестированию на проникновение, эксперта по кибербезопасности и известного этичного хакера.