Biztonsagi Teszteles a Gyakorlatban
-
Upload
patyi-bence -
Category
Documents
-
view
230 -
download
0
Transcript of Biztonsagi Teszteles a Gyakorlatban
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
1/68
ROP 2.2.21 Tudsalap kzszolglati elmenetel
ISBN 978-615-5491-59-7
Biztonsgi tesztels a gyakorlatban
Tihanyi Norbert, Vargha Gergely, Frsz Ferenc
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
2/68
2
Nemzeti Kzszolglati Egyetem
Budapest, 2014
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
3/68
3
Tartalomjegyzk
1. Bevezet a tananyaghoz ..................................................................................................... 5
2. Biztonsgi tesztelsrl ltalban........................................................................................ 7
2.1. Bevezets ..................................................................................................................... 7
2.2. Fejlesztsi problmk.................................................................................................. 7
2.3. Biztonsgi tesztels a fejleszts klnbz letciklusaiban........................................ 8
2.4. Hibajavts kltsgvonzata.......................................................................................... 9
2.5. Srlkenysgek kialakulsa..................................................................................... 10
2.5.1. Infrastruktra szint............................................................................................. 10
2.5.2. Opercis rendszer szint ..................................................................................... 11
2.5.3. Alkalmazs szint................................................................................................ 12
2.6. Biztonsgi tesztels hatkre..................................................................................... 14
3. Biztonsgi tesztels megjelensi formi........................................................................... 15
3.1. Bevezets ................................................................................................................... 15
3.2. Dokumentci biztonsgi tesztels............................................................................ 15
3.3. Fizikai biztonsgi tesztels........................................................................................ 15
3.4. Hardver biztonsgi tesztels...................................................................................... 16
3.5. Szoftver biztonsgi tesztels ...................................................................................... 17
3.6. Hlzat biztonsgi tesztels ....................................................................................... 18
3.7. Rendszer biztonsgi tesztels.................................................................................... 20
4. Srlkenysg faktorok.................................................................................................... 21
4.1. Bevezets ................................................................................................................... 21
4.2. Srlkenysg faktorok meghatrozsa..................................................................... 21
4.2.1. Information Disclosure (informci kitakars).................................................. 21
4.2.2. Brute Forcing (Tmeges Viharszer lekrdezsek, nyers er alkalmazsa).. 22
4.2.3. Phishing (adathalszat)....................................................................................... 22
4.2.4. Input Validation (bemeneti adat ellenrzse)..................................................... 23
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
4/68
4
4.2.5. Password management (jelsz kezels)............................................................. 23
4.2.6. Factory defaults (gyri belltsok).................................................................... 23
4.2.7. Access Control management (hozzfrs szablyozs)..................................... 23
4.2.8. Misconfiguration (konfigurcis hiba)............................................................... 24
4.3. OWASP TOP 10 ........................................................................................................ 24
4.3.1. SQL-injection ..................................................................................................... 25
4.3.2. Cross-site Scripting (XSS) srlkenysg.......................................................... 30
5. Tesztelsi mdszertan...................................................................................................... 34
5.1. Bevezet.................................................................................................................... 34
5.2. Srlkenysg vizsglat mdszertana....................................................................... 34
5.2.1. Jogosultsg......................................................................................................... 35
5.2.2. Irnyultsg .......................................................................................................... 36
5.2.3. White-box vizsglat- hlzati audit.................................................................... 39
6. Srlkenysg vizsglati projekt ...................................................................................... 48
6.1. Bevezets ................................................................................................................... 48
6.1. Srlkenysgvizsglati igny felmerlse............................................................... 49
6.2. Srlkenysgvizsglat megrendelse....................................................................... 50
6.3. Szerzdskts srlkenysgvizsglatra.................................................................. 52
6.4. Srlkenysgvizsglati Projektdefincis dokumentum.......................................... 53
6.5. A srlkenysgvizsglat menete.............................................................................. 54
6.6. A srlkenysgvizsglat utni teendk.................................................................... 55
6.7. Jogi krdsek............................................................................................................. 55
7. Esettanulmny .................................................................................................................. 58
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
5/68
5
1.
Bevezet a tananyaghoz
Informcibiztonsgi problmk, klnbz kockzati besorols incidensek nap, mint nap
elfordulnak az sszetett informatikai rendszerekben, melyek azonostsra, kezelsre,
kikszblsre, a keletkezett krok elhrtsra, csillaptsra jelents anyagi s emberi
erforrsok kerlnek felhasznlsra. E kltsgek egy rsze kikszblhetetlen s az
informatikai rendszerek mkdsnek sajtossgai alapjn mindig is jelen lesznek a
rendszerekben, azonban van a teljes informcibiztonsgra fordtott kltsgeknek egy igen
jelents rsze, mely feleslegesen terheli a szervezetek, fejlesztsi projektek kltsgvetst.
Ezek tipikusan olyan, az informatikai rendszerekbe begyazott alrendszerek tervezsi s
implementlsi hinyossgaira vezethetek vissza, melyek j rsze a megtervezett, idbenvgrehajtott s lpsrl lpsre lekvetett biztonsgi tesztelsekkel megelzhetek
lehetnnek.
A felsznre bukkan problmk utlagos kezelse a kltsgvonzat tekintetben akr tbb
nagysgrendi eltrst is mutathat a megalapozott tervezs, fejleszts s implementls
erforrsignyeihez kpest, de ami taln mg ennl is fontosabb az az, hogy az les mkds
alatt vletlenszeren bekvetkez incidensek, mkdsi zavarok az alapvet elvrsknt
megfogalmazhat informatikai rendszer rendelkezsre llssnak folytonossgt
megszakthatjk, a rendszer mkdst megbnthatjk, akr a teljes rendszer
vonatkozsban.
Lthat teht, hogy a biztonsgi tesztelsek elhagysa, vagy felletes elvgzse slyos
kvetkezmnyekkel jrhat adott szervezet, fejlesztsi projekt vagy akr termk
vonatkozsban, mind kltsg oldalon mind az informci biztonsg tekintetben. Felmerl a
krds, hogy akkor ltalban mirt nem fordtanak kell erforrst a biztonsgi tesztelsek
elvgzsre?
A tananyag ksrletet tesz a krdsre adott vlasz kifejtsre, azonban a vlasz
megfogalmazsakor fontos figyelembe venni, hogy a biztonsgi tesztelsek rendszeres s
tervezett elvgzse nmagban nem oldja meg az informatikai rendszerek informci
biztonsgi problmit. Az azonban kijelenthet, hogy a biztonsgi tesztelsek rendszernek
megfelel kialaktsa s fenntartsa hozzsegtheti mind a rendszereket fenntart
szervezeteket, mind a rendszerek zemeltetsben rsztvev szakembereket, tovbb a felels
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
6/68
6
dntshozkat abban, hogy adott rendszer biztonsgi szintje, rendelkezsre llsa kln,
jelentsebb pnzgyi erforrs bevonsa nlkl meghatroz mrtkben javulhasson.
A tananyag clja tbbrt. Egyrszt megprblja a fent nevezett problma eredett
meghatrozni, annak rdekben, hogy hatkonyan segtse ezzel a kpzsben rsztvevszakemberek biztonsgi tesztelsekkel kapcsolatos feladatainak szervezeti szint
beazonostst. Msrszt a tananyag kiemelten foglalkozik a szervezeteknl elvgzett
biztonsgi tesztelsek rtelmezsvel s felhasznlsval annak rdekben, hogy tmogassa a
felels biztonsgi vezetket a trgykrrel kapcsolatos dntshozatali folyamatokban. A
tapasztalatok az mutatjk, hogy a biztonsgi vezetk a leghatkonyabban a biztonsgi
tesztelsek kzl is a srlkenysg vizsglatok elrendelsvel tudjk elsegteni az adott
szervezet elvrt informcibiztonsgi szintjnek elrst, gy a tananyag gyakorlati rsze errea tmakrre helyezi a hangslyt, legyen sz akr srlkenysg vizsglat megrendelsrl, a
vizsglatok lefolytatsrl, vagy akr a vizsglatok eredmnye alapjn az intzkedsi tervek
vgrehajtsrl.
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
7/68
7
2. Biztonsgi tesztelsrl ltalban
2.1. Bevezets
A mind sszetettebb rendszerek, a folyamatosan megkurttott kltsgvetsek, az egyre
szkebb hatridk, a brokratikus plyzati lehetsgek a legtbb esetben mr az induls eltt
lehetetlen helyzet el lltjk az informatikai projekteket. Ennek az ltalnos trendnek az
egyik hozadka, hogy a fejlesztsi projektek sorn a biztonsgra fordtott erforrsokat
kisproljk a projektbl, hiszen ez ltszlag nem befolysolja a majdan elkszl rendszer
rendelkezsre llst. Ez a tves, krtkony s feleltlen dntshozatali eljrs azonban
ahogy szmtalan gyakorlati plda is igazolja gyenge vagy elgtelen biztonsgi szint
vgtermkeket eredmnyez. Mindezt sszevetve azzal az alapvetssel, hogy egy rendszer
biztonsgi szintje megegyezik a leggyengbb elemnek biztonsgi szintjvel,
tovbbgondolhat, hogy milyen biztonsgi kockzatokat hordoz magban az, ha egy ilyen
termket integrlnak egy szervezet informatikai rendszerbe.
Ilyen krnyezetben a tesztelsek, s azon bell is a biztonsgi tesztelsek rendszernek
kialaktsa s folyamatos elvgzse, kiemelt jelentsg feladata a szervezet
informcibiztonsgrt felels dntshozinak, munkatrsainak.
2.2. Fejlesztsi problmk
Klnbz informatikai fejlesztsi projektekben a technolgiai robbans, a soha nem ltott
mrtk fejlesztsek, az j irnyvonalak, a piac diktlta eszeveszett temp hatsra
hatatlanul felborul a minsg, kltsg, hatrid hrmasnak egyenslya, legalbb valamely
szempontrendszer srlni fog s megjelenik az gynevezett szoftverkrzis jelensge, mely a
projektek sikertelensghez vezet az albbi tnetek ksretben:
a fejleszts a tervezettnl drgbban kszl el,
a fejleszts a tervezetnl hosszabb id alatt kszl el,
a fejleszts nem az ignyeknek megfelelen kszl el,
a fejleszts eredmnytermke rossz minsg / rossz hatsfok / nehezen
karbantarthat lesz,
a fejleszts eredmnytermknek hasznlata anyagi / krnyezeti / egszsggyi krhoz
vezet, a fejleszts eredmnytermke tadsra sem kerl
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
8/68
8
Fent nevezett problmk kzl a biztonsgi tesztels az informcibiztonsgi hinyossgok
kikszblsben, illetve a krokozs megelzsben tudja hatkonyan tmogatni a
fejlesztst. A tbbi esetben a problmk megelzst leginkbb a helyesen megvlasztott s
kvetkezetesen vgrehajtott fejlesztsi mdszertan (pl.: V-modell, prototpus modell, RAD
alkalmazs fejleszts, agilis szoftverfejleszts stb.) segtheti el.
2.3.
Biztonsgi tesztels a fejleszts klnbz letciklusaiban
A biztonsgi tesztelsek clja, hogy a fejleszts klnbz letciklusaiban felderthet
informcibiztonsgi hinyossgok azonostsra s mielbbi javtsra kerlhessenek. Az
informatikai fejlesztsek letciklusait alapveten 6 jl elklnthet csoportra oszthatjuk,
melyek az albbiak:
1. Tervezsi szakasz: a fejleszteni kvnt alkalmazs a klnbz elzetes
specifikcik alapjn megtervezsre kerl, amivel prhuzamosan az
informcibiztonsg szemszgbl a biztonsgi intzkedsek azonostsa s
specifikcija is megtrtnik. Ebben a fzisban a biztonsgi tesztels a
dokumentcikban meghatrozott folyamatok, kvetelmnyek informcibiztonsgi
vonatkozs megfelelsgt hivatott biztostani.
2.
Fejlesztsi szakasz:az elfogadott tervek alapjn az informatikai rendszer fejlesztsemegtrtnik. A fejlesztsi folyamat mrfldkveinl a fejleszts tpustl fggen
rdemes lehet a biztonsgi tesztelseket elvgezni az elkszlt rendszerelem
vonatkozsban, hogy a fejleszts sorn a rendszerbe kdolt hibk a lehet
legkorbbi fzisban azonostsra s javtsra kerlhessenek.
3. Tesztelsi szakasz: az elkszlt alkalmazs tesztelse, esetleges hibk feldertse,
hibajavtsok elvgzse, felkszls az les zemre val tllsra. Ebben a
szakaszban a teljes rendszer funkcionlis tesztelse mellett a biztonsgi tesztelsek
is vgrehajtsra kerlnek, de mg nem az les krnyezetben.
4. Implementcis szakasz:az elkszlt alkalmazs bezemelse, valamit az zembe
lltshoz kthet biztonsgi intzkedsek (szervezsi s technikai intzkedsek)
megvalstsa. A biztonsgi tesztelseket fontos elvgezni az les rendszeren is,
mivel szmos esetben az les- s a tesztrendszer biztonsgi szempontbl relevns
paramterekben klnbzhet.
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
9/68
9
5. Fenntartsi szakasz: a fejleszts eredmnyeknt elllt alkalmazs folyamatos
zemeltetse mellett szksges az elre meghatrozott biztonsgi intzkedsek,
tesztesetek napi szint alkalmazsa, visszacsatolsa, a rendszer ellenrzse. A
biztonsgi tesztelsek teht ebben a fzisban annak teljes lettartama alatt ciklikusan
elvgzsre kerlnek.
6. Nyugdjazs: a rendszer lelltsra kerl, mely sorn az elzetes terveknek
megfelelen gondoskodni kell a rendszerben trolt adatok megsemmistsrl, vagy
ppen mentsrl, esetleg j rendszerbe val migrci esetn adatkonverzirl
s/vagy adattiszttsrl. A biztonsgi tesztels kpes lehet a nyugdjazs sorn
meghatrozott folyamtok elvgzsnek megfelelsgt ellenrizni.
2.4.
Hibajavts kltsgvonzata
A klnbz fzisokban a biztonsgi tesztelsek sorn feltrt hibk javtsnak kltsgignye
jelents eltrst mutathat. ltalnossgban kijelenthet, hogy minl korbban azonostsra
kerl egy adott hiba, a javtsnak kltsgvonzata szignifiknsan kisebb lesz. gy - ahogy sok
felmrs s tanulmny is igazolja - a biztonsgi tesztelsek ltal a megfelel szakaszban
feltrt s javtott hibkra fordtott erforrs, mely az egyedi biztonsgi tesztelsek
tervezsbl, elvgzsbl s a hibajavts folyamatbl tevdik ssze, a ksbbiek sorn
sokszorosan megtrl.
Ezt azonban nem felttlenl lehet szmszersteni, hiszen egy meg nem trtnt incidens,
adatszivrgs rtkt a legritkbb esetben szoktk nyeresgknt elknyvelni, mg egy slyos
informcibiztonsgi incidens egyrtelm s szmszerstett vesztesgknt jelentkezik. Ez az
oka tbbek kztt annak, hogy a dntshozk egsz addig nem felttlenl tmogatjk a
biztonsgi tesztelsek rendszert, mg nem rintettek a problmban szemlyesen, s nem
rtik meg egyrtelmen a tevkenysg fontossgt, slyt. Ez az a szemllet, melynek
megvltoztatsban leginkbb a biztonsgi tudatossgot erst kpzsekkel lehet
eredmnyeket elrni.
Az Amerikai Szabvnygyi Hivatal (NIST) ltal publiklt tanulmny alapjn a hibajavtsok
kltsgei a klnbz fejlesztsi fzisokban az albbiak szerint alakulnak:
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
10/68
10
letciklus megnevezse Informcibiztonsg rvnyestsnekkltsgvonzata
Tervezsi szakasz alaprtelmezett, 1x kltsgigny
Fejlesztsi szakasz 6.5x kltsgvonzatTesztelsi szakasz 15x kltsgvonzat
Fenntartsi szakasz 100x kltsgvonzat
Az sszestsbl egyrtelmen ltszik, hogy az informcibiztonsg szempontrendszernek
alapjait, ezen bell a biztonsgi tesztelsek rendszert elengedhetetlen a tervezsi szakaszban
rgzteni annak rdekben, hogy a ksbbi problmk megelzhetek, minimalizlhatak
legyenek, ugyanakkor egy hiba feltrsa s kijavtsa mg egy ksbbi projekt fzisban is
megtrlhet ahhoz a vesztesghez kpest, amit egy rendszer kompromittci okozni kpes.
2.5. Srlkenysgek kialakulsa
A biztonsgi tesztelsek eredmnyei alapjn a leggyakrabban elfordul srlkenysgek
statisztikibl beazonosthat az a hrom terlet, melyekre rdemes mind a biztonsgi
tesztels, mind a fejleszts folyamn kiemelt figyelmet fordtani: infrastruktra szint,
opercis rendszer szint s alkalmazs szint. Amennyiben albontjuk ezeket a szinteket s
ismerjk az adott terletek leggyakoribb hinyossgait, hatkonyabb tervezsi s tesztelsi
folyamatokat tudunk sszelltani, melyek sorn az adott hinyossg, srlkenysg
ellenrzsre, tesztelsre kerlhet.
A kvetkezkben bemutatjuk a 3 rintett szint srlkenysgek vonatkozsban
leggyakrabban rintett sszetevit:
2.5.1.
Infrastruktra szint
A jelenlegi komplex informatikai rendszerek esetn, infrastruktra szinten szmtalan olyan
pontot azonosthatunk, melyek jelents rst thetnek a rendszer vdelmn, adott esetben
kiszolgltatva az informatikai rendszert egy teljes, rendszerszint kompromittcinak. Az
infrastruktra szint biztonsgnak alapjait a tbbi terlethez hasonlan a tervezsi szakaszban
szksges lefektetni, rgzteni. Az albbi felsorols a legfontosabb terleteket mutatja be,
melyek ellenrzse, illetve adott esetben biztonsgi tesztelse kiemelten fontos:
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
11/68
11
2.5.1.1. Adatszivrgs megakadlyozsa
partnerek s beszlltk biztonsgi minstse
gyri belltsok mdostsa
hlzati megosztsok feltrkpezhetsgnek tiltsa a teszt, a fejlesztsi s az les krnyezetek elklntse
adatszivrgst elsegt konfigurcik megszntetse
2.5.1.2. Hlzati hozzfrsvdelem kialaktsa
kls s bels hlzati hatrvdelem kialaktsa
terhelseloszt rendszerek hasznlata
adminisztratv terletek elrhetsgnek korltozsa
adminisztratv, felhasznli s szerver oldali virtulis helyi hlzatokkialaktsa
Egyirnybl rkez viharszer lekrdezsekcsillaptsa
2.5.1.3. Tovbbi szksges intzkedsek
minstett eszkzk hasznlata
megfelel minsg titkostott kommunikcis csatornk hasznlata
szksgtelen protokollok tiltsa
nem rejtjelezettprotokollok hasznlatnak mellzse
felesleges szolgltatsok lelltsa
megfelel autentikci s autorizci hasznlata
megfelel minsg jelszavak kiknyszertse
log menedszment hasznlata
nem hitelestett(anonim) elrsek tiltsa
ciklikus srlkenysgvizsglatok vgzse, eredmnyeinek felhasznlsa
2.5.2. Opercis rendszerszint
Az opercis rendszer kivlasztsa tekintetben elkpzelhet, hogy alapveten nem az
informcibiztonsgi szempontok fogjk eldnteni az vlasztott rendszer tpust, azonban
amennyiben elbbi eldntsre kerl, az albbi intzkedsek figyelembe vtele szintn
megkerlhetetlen rszt kpezi a tudatos informcibiztonsgi felkszlsnek s a biztonsgi
tesztelseknek:
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
12/68
12
opercis rendszer s komponenseinek frissen tartsa (patch mmenedzsment)
munkallomsok s szerverek belltsainak idszakos fellvizsglata, megerstse
hozzfrsi azonostk titkostott formban val trolsa
megfelel autentikci s autorizci hasznlata megfelel minsg jelszavak kiknyszertse
nem hitelestett(anonim) bejelentkezsek tiltsa
adatvdelmi technikk bevezetse (PGP, DRM, stb.)
backup management kialaktsa
beptett felhasznlk tiltsa, egyedi felhasznlnevek alkalmazsa
vrus- s krtevprogram elleni vdelem kialaktsa
gyri belltsok mdostsa szksgtelen protokollok tiltsa
felesleges szolgltatsok lelltsa
adminisztratv felletek elrhetsgnek korltozsa
ciklikus srlkenysgvizsglatok vgzse, eredmnyeinek felhasznlsa
2.5.3. Alkalmazs szint
Alkalmazs szinten az informcibiztonsgot szervesen befolysol terletek nagyonszertegazak. A nem megfelel tervezs, fejleszts vagy implementls ebben az esetben is
knnyedn teljes, rendszerszint kompromittcihoz vezethet, mely elhrtsnak
kltsgvonzata felesleges, megelzhet, ugyanakkor jelents terhet rhat az informatikai
projektre. Fontos az albbi, ltalnos szempontok megkvetelse s alkalmazsa:
2.5.3.1. Tbbrteg architektra kialaktsa
megjelentsi rteg, tvoli elrst kiszolgl rteg,
alkalmazs rteg,
adatbzis rteg.
2.5.3.2. A szoftveres krnyezetnek megfelel bemeneti paramter ellenrzse (input
validation)
engedlyezett karakterek listja adattpus ellenrzs
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
13/68
13
formtum vagy kp ellenrzs
fjl meglevsgnek ellenrzse
hash sszest ellenrzs
adatkorlt ellenrzs mennyisgi ellenrzs
szmossgi ellenrzs
tartomny ellenrzs
ellenrz szm vagy szmsor hasznlata
logikai hiba ellenrzs
jelenlt ellenrzs
konzisztencia ellenrzs sszest ellenrzs
keresztplatformos konzisztencia ellenrzs
hivatkozs integrits
helyesrs ellenrzs
egyedisg ellenrzs
2.5.3.3.
Tovbbi szksges intzkedsek webes knyvtr s fjl indexlhatsg tiltsa
tartalomszr rendszer hasznlata
hozzfrsi azonostk titkostott formban val trolsa
megfelel autentikci s autorizci hasznlata
megfelel minsg jelszavak kiknyszertse
nem hitelestett(anonim) bejelentkezsek tiltsa
kriptogrfiai technikk alkalmazsa backup management kialaktsa
beptett felhasznlk tiltsa, egyedi felhasznlnevek alkalmazsa
gyri belltsok mdostsa
adminisztratv felletek elrhetsgnek korltozsa
log management hasznlata
ciklikus srlkenysgvizsglatok vgzse, eredmnyeinek felhasznlsa
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
14/68
14
2.6. Biztonsgi tesztels hatkre
Fontos klnbsget tenni a tesztels s a biztonsgi tesztels kztt . Mg maga az ltalnos
tesztelsi folyamat a CIA modellt (bizalmassg; srtetlensg; rendelkezsre lls) alapul vve
inkbb a rendelkezsre llsra fkuszl, addig a biztonsgi tesztelsek elssorban abizalmassg s a srtetlensg felttelrendszernek ellenrzst segtik el, ugyanakkor nehz
les s egyrtelm hatrt hzni a kt tesztfolyamat kztt, mert pldul ltfontossg
rendszerek esetn maga a rendelkezsre lls is kiemelt biztonsgi krds, gy a biztonsgi
teszteknek erre is ki kell terjednik. sszefoglalva, biztonsgi tesztelsnek nevezhetnk
minden olyan tevkenysget, mely adott informatikai rendszer informcibiztonsgi
megfelelsgt hivatott ellenrizni.
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
15/68
15
3. Biztonsgi tesztels megjelensi formi
3.1. Bevezets
Ahogy az elz fejezetben lthattuk a biztonsgi tesztelseket klnbz fejlesztsi
fzisokhoz lehet ktni, de csoportosthatjuk a tesztels trgya szerint is. Jelen fejezet a
biztonsgi tesztels terleteit a tesztelend elem tpusa alapjn csoportostva mutatja be.
3.2.
Dokumentci biztonsgi tesztels
Jellemzen mg a klnbz informatikai fejlesztsek elkszt fzisaiban elll
felhasznli, fejleszti s informcibiztonsgi specifikcikat s egyb dokumentumokatajnlott informcibiztonsgi szempontbl fellvizsglni, illetve az elvrt biztonsgi
kvetelmnyekkel egybevetni. Fontos megjegyezni, hogy ajnlott az informcibiztonsggal
kapcsolatos krdseket, szablyozsokat kln informcibiztonsgi specifikciban
rgzteni.
3.3.
Fizikai biztonsgi tesztels
A fizikai biztonsgi esemnyekrl elmondhat, hogy ltalban az alacsony valsznsgesemnyek kz sorolhatak, azonban az esemny bekvetkeztekor a krrtk arnya
kifejezetten magas lehet. Mindehhez prosul, hogy a szimulcijuk elg nehzkes s az is
magas kltsgekkel jr. A biztonsgi tesztelsek alapvet feladata ezen a terleten is a
megelzs, annak rdekben, hogy kresemny ne kvetkezhessen be.
Az informatikai fizikai biztonsg tmakrnek egy lehetsges csoportostsa az albbi, melyet
figyelembe vehetnk a biztonsgi tesztek, ellenrzsek tervezsekor:
Fizikai biztonsg:biztonsgi tesztelsek sorn leginkbb a fizikai biztonsgot megvalst
eszkzk kerlnek tesztelsre, ilyenek tipikusan a zrak, lakatok, biztonsgi ajtk. A fizikai
biztonsg rinti az albbiterleteket:
passzv tzvdelem (pl.: tzgtl vlaszfalak, tzgtl ajtk)
pratartalom szablyozs
vzbetrs elleni vdelem
betrs/illetktelen hozzfrs elleni vdelem
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
16/68
16
Technikai biztonsg:biztonsgi tesztelsek sorn leginkbb a biztonsgos energiaelltst
biztost berendezsek (pl.: dzel genertorok, sznetmentes ramelltst biztost
berendezsek), illetve a tz s fstjelz berendezsek tesztelsre szokott sor kerlni:
biztonsgos energiaellts s eloszts gptermi s technikai terletek htse
automatikus zemfelgyelet
aktv tzvdelem (pl.: tzjelzk, automatikus oltberendezsek)
kbelmenedzsment
kommunikcis hlzat fizikai biztonsga
Logikai biztonsg: rdemes tesztelni, hogy kls szemly, vagy bels felhasznl milyen
jelleg biztonsgi znkat kpes elrni, milyen a krnyezet dokumentltsga, a biztonsgi
esemnyek rgztse, illetve pldul papr alap dokumentumok, adathordozk, milyen
csatornkon juthatnak ki a rendszerbl:
hozzfrs szablyozs
integrlt elektronikus vdelmi (behatols, belptet s CCTV) rendszerek
vdelmi rendszerek naplllomnyainak elemzse
fizikai s IT krnyezet vltozskezels
karbantarts s hibaelhrts menedzsment
3.4. Hardver biztonsgi tesztels
Az informatikai rendszerek infrastrukturlis alapjait hardver eszkzk biztostjk, gy az
informatikai rendszerek dnt tbbsgben a hardver eszkzk beszerzse megkerlhetetlen.
j hardver megrendelse esetn az eszkz a legtbb esetben gyri belltsokkal rkezik, a
szllt nem lltja be a szervezet specifikus paramtereket, a megrendel azonban sok
esetben azt vrja, hogy kulcsraksz rendszert kap. Ebben az ltalnosnak mondhat elvrs
rendszerben a megrendel s a szllt elvrsai nem tallkoznak. Ebben az esetben a
biztonsgi tesztelseknek mindenkpp ki kell terjednik az adott hardver elemek biztonsgi
tesztelsre a gyri belltsokkal kapcsolatban.
Elfordul olyan eset is, amikor a szllt rgzti, hogy a megrendel nem mdosthatja adott
hardverelem belltsait, mert pldul elvsz a garancia. Ebben az esetben a biztonsgi
teszteket sem tudjuk elvgezni a klasszikus rtelemben, de a szerzd feleknek minden, ahardver biztonsgval kapcsolatos krdst szablyoznia kell az egyttmkdsi
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
17/68
17
megllapodsokban, a szolgltati szerzdsekben, vagy ppen a zemeltetsi lnc
definilsakor.
Sajnos a pldk azt mutatjk, hogy a biztonsgi belltsok, mdostsok adott esetben
elvgzsre kerlnek az informatikai eszkzben mg az eszkz berkezst megelzen.
3.5.
Szoftver biztonsgi tesztels
Szoftver biztonsgi tesztelsn ltalban a szoftver forrskdjnak clirnyos tvizsglst
rtjk, mely megelz tevkenysgknt szmos elnyt biztost:
cskkenti a szoftverfejleszts s karbantarts kltsgeit
segt a forrskd rtelmezsben, karbantarthatsgban
informcival szolgl a termk minsgrl
a jobb minsg kd kevesebb tesztelst ignyel
felfedezhetek, majd javthatak a biztonsgi rsek az les induls eltt
Alapveten beszlhetnk statikus s dinamikus tesztelsrl, melyekkel ms-ms tpus hibk
fedezhetek fel.
Statikus tesztels folyamn a szoftver forrskdja kerl tvizsglsra, melybe beletartozik a
dokumentci fellvizsglata is. A statikus tesztelsen bell is megklnbztethetnkgynevezett fellvizsglatot, mely a kd illetve a dokumentci elemzsnek manulis
folyamatt jelenti, illetve statikus elemzst, amely sorn a kd illetve a dokumentci
elemzse automatikus eszkzk felhasznlsval trtnik.
A statikus tesztelsi eljrs nem kveteli meg a tesztelend rendszer futtatst, st mg a
teljes forrskd llomny egyttes meglte sem alapkvetelmny. A statikus tesztelsi
technikk elnye, hogy mr korai fejlesztsi szakaszban alkalmazhatak,akkor, amikor mg
nem ll rendelkezsre futtathat verzi, gy a tesztelsek sorn megllaptott hibkathamarabb vissza lehet tpllni a rendszerbe, cskkentve a ksbbi fejlesztsi kltsgeket
illetve nvelve a rendszerek biztonsgt a biztonsgi rsek feltrsval s javtsval.
Dinamikus tesztelsesetn a szoftver futsidben kerl tesztelsre, vagyis leghamarabb akkor
vgezhet el, amikor a teljes rendszer sszellt s a forrskdok lefordtsra kerltek. A
legelterjedtebb dinamikus tesztelsi mdszertanok a specifikci alap, a struktra alap s a
gyakorlat alap tesztelsi technikk.
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
18/68
18
Adott funkcit megvalst szoftver termk megrendelse esetn ltalban 2 lehetsg
addik:
egyedi fejleszts
dobozos termk
Egyedi fejleszts esetn a biztonsgi tesztek elvgzse vagy a fejleszti oldalon trtnik meg
a fejleszt csapat mrnkeinek bevonsval, vagy fggetlen, kdaudit tesztelsre
specializldott szolgltat bevonsval. Ezek eredmnyeirl a megrendelnek is clszer
tudnia. Ksbb, a termk tadst kveten lehet krni a fejleszttl fggetlen biztonsgi
bevizsglst a termkre vonatkozan, ezt nevezzk ltalban etikus hacking eljrsnak, mely
sorn a srlkenysg vizsglatbefejezst kveten, annak eredmnyeknt elllt s a
szerzdsben meghatrozott kockzati szintet elr hinyossgokat a megrendelnek javtaniakell. Ezen fell elengedhetetlen a szerzdsben a forrskd tulajdonjognak krdst is
rgzteni.
Dobozos termk esetn elfordulhat, hogy nem lesz lehetsg kdaudit elvgzsre, mivel a
fejleszt fenntarthatja a jogot a zrt forrskdra. Ebben az esetben is elvgezhet az audit
black-box mdszerrel, ahol a forrskd, illetve dokumentci nem ll rendelkezsre a
tesztelknek.
3.6. Hlzat biztonsgi tesztels
A hlzati biztonsgi tesztek clja megmutatni, hogy a hlzat rszeknt funkcionl
eszkzrl, vagy idegen eszkz bels hlzathoz val csatlakoztatsa esetn milyen mrtk
rendszerkompromittci rhet el. A hlzati tesztek kiterjednek mind a vezetkes, mind a
vezetk nlkli, valamint a telekommunikcis hlzatokra, belertve a hlzatban tallhat
aktv eszkzket is.
A hlzati vizsglatok esetben a srlkenysgek dnt tbbsgt az albbi problmk
idzik el, gy ezek biztonsgi tesztelse minden esetben javasolt:
alaprtelmezett gyri belltsok: hlzati eszkzk tekintetben gyakran elfordul,
hogy a gyri belltsok nem kerlnek megvltoztatsra, gy az adott eszkzk
elrhetek, tkonfigurlhatak
hlzati megosztsok elrse, feltrkpezhetsge:akr jogosultsg nlkl, akr olyan
felhasznli jogosultsggal, mely felhasznli hozzfrs nem indokolt (szmosesetben webalkalmazsok home knyvtrai is elrhetek, mdosthatak)
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
19/68
19
nem megfelel hlzati vgponti vdelem: a vgpontokra csatlakoztatott eszkzk
hlzati kommunikcijt az informatikai rendszer nem akadlyozza meg, pldul
DHCP szolgltats kiosztja az IP cmet s az egyb szksges belltsok is
automatikusan konfigurlsra kerlnek (DNS, Default Gateway, stb.).
nem kellen kialaktott hlzati szegmentci:alapvet problma szokott lenni, hogy a
felhasznli, az adminisztratv s a szerver szegmensek tjrhatak. A felhasznlk
ltal hasznlt szolgltatsok elrse termszetesen fontos, de ezeken kvl mshoz
nem szabad hozzfrst biztostani, mert az felesleges biztonsgi kockzat hordoz
magban
kzbekeldses (Man in the Middle) tmads lehetsge: Kt fl kztti
kommunikci kompromittcija olyan mdon, hogy a tmad a kommunikcis
csatornt eltrtve mindkt fl szmra a msik flnek adja ki magt. A tmads sorn
tetszleges bels felhasznl kommunikcija lehallgathatv vlhat, gy a hlzat
biztonsgi tesztelsekor szksges ellenrizni, hogy a hlzat tartalmaz-e MAC
Flooding, IP cm, MAC cm s DHCP szerverhamists elleni vdelmet.
titkosts nlkli protokollok hasznlata: minden esetben javasolt a titkostatlan
protokollok titkostott prjt alkalmazni (FTP helyett SFTP, HTTP helyett HTTPS,
stb)
felesleges szolgltatsok: az j technolgik, eszkzk rendszerbe val integrlsa
elviszi a fkuszt a rgebbi rendszerelemekrl, gy azok hasznlata fokozatosan
megsznik, de a szolgltats sok esetben benne marad a rendszerben, ami az id
mlsval egyre tbb srlkenysget tartalmaz majd. Ugyanez a problma felvetdik
j rendszerelemek integrlsa utn is, amikor a gyri bellts, de nem hasznlt
szolgltatsok elrhetek. Ezeket a szolgltatsokat le kell lltani, feleslegesen
nvelik a biztonsgi kockzatot.
demilitarizlt zna tjrhatsga: a biztonsgi tesztelsek folyamn fontos
ellenrizni, hogy a kls hlzat s a vdett hlzat vdelmi szintje kztt
elhelyezked DMZ kell vdelmet nyjt-e a kls hlzat kompromittldsa esetn
WiFi eszkzk biztonsgi belltsai:a WiFi eszkzk gyri belltsa nem, vagy csak
nagyon alacsony szint biztonsgi belltsokat tartalmaz, melyek megvltoztatsa
elengedhetetlen (SSID megvltoztatsa, SSID szrsnak kikapcsolsa, gyri
jelszavak megvltoztatsa, lehetsg esetn MAC szrs bekapcsolsa, DHCP
kikapcsolsa)
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
20/68
20
3.7. Rendszer biztonsgi tesztels
Egy teljes informatikai rendszer biztonsgi tesztelsn a fejezetben felsorolt tesztek egyttes
alkalmazst rthetjk kiegszlve az albbiakkal, melyek a klnbz rendszerelemek
egyttes viselkedsre lehetnek hatssal:
Social engeneering:az emberi hiszkenysgen alapul tesztek kpesek rmutatni az
adott szervezet munkatrsainak informcibiztonsgi tudatossgi szintjre, mely az
egyik legnagyobb biztonsgi kockzatot magban foglal faktor (humn faktor). Az
informcibiztonsgi tudatossg megerstst csak a tbbszint, clzott
informcibiztonsgi tudatossgi kpzsek elvgzsvel lehet elrni, melyek az albbi
clcsoportokat rintik:
o
felhasznlk
o zemeltetk
o fejlesztk
o dntshozk
IT biztonsgi szablyzk: fontos, hogy a klnbz rendszerszint szablyzk a
gyakorlatban alkalmazhatak legyenek, gy ezek tesztelse is rszt kpezik a teljes
rendszer biztonsgi tesztjnek:
o
BCP (Business Continuity Plans - zletmenet-folytonossgi terv)o DRP (Disaster Recovery Plans - Informatikai katasztrfa elhrtsi terv)
o SLA (Service Level Agreement - Szolgltatsi szint szerzds)
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
21/68
21
4. Srlkenysg faktorok
4.1. Bevezets
Ahhoz, hogy egy srlkenysg vizsglati jelentst megfelelen tudjunk rtelmezni,
elengedhetetlen a srlkenysgi faktorok bemutatsa, azok ttanulmnyozsa. Mieltt
ttekintjk a srlkenysg vizsglati mdszertant, ttekintjk az alapvet srlkenysgi
faktor osztlyokat.
Egy vizsglati jelents feldolgozsakor az egyik legfontosabb dolog, ha valamilyen ismeretlen
srlkenysggel tallkozunk, hogy sikeresen tudjuk behatrolni, hogy a hiba melyik nagy
srlkenysgi osztlyba tartozik. Ha ezt a kpessget megfelelen elsajttjuk, akkor egy jsrlkenysg megjelenst knnyen tudjuk kategorizlni, amely ksbb segtsget nyjt
ahhoz, hogy a hibk javtst megfelelen tudjuk menedzselni.
4.2. Srlkenysg faktorok meghatrozsa
Alapveten a srlkenysgi faktorok kzl 8 nagyobb csoportot klnbztetnk meg. Ezen
csoportokba az elfordul srlkenysgek sszes megjelense besorolhat. A srlkenysg
tpusokat tbb, illetve kevesebb rszre is fel lehet bontani, kizrlag arra kell figyelni, hogyminden egyes srlkenysg le legyen fedve. A Nemzeti Biztonsgi Felgyelet ltal is
hasznlt srlkenysgi faktorok osztlyozsa a kvetkez:
4.2.1. Information Disclosure (informci kitakars)
Minden olyan tpus hiba ide tartozik, amely valamilyen tbbletinformcit szolgltat egy
tmadnak, amelyet felhasznlhat egy ksbbi tmadshoz. ltalban az ilyen tpus hibk
nmagukban nem kihasznlhatak. Kihasznlsukhoz, valamilyen egyb msiksrlkenysget felhasznlva kerlhet sor. J plda erre az opercis rendszerek, illetve
szoftverek verziszmnak, tpusnak kiszivrgsa. Ha egy tmad a szerver vlaszaibl
pontosan meg tudja hatrozni, hogy milyen tpus, illetve verzij opercis rendszer fut a
szerveren, akkor clzottan tud klnbz ismert srlkenysgeket kihasznlni az opercis
rendszer ellen. Informci kitakars kategriba tartozik egy web alkalmazs
knyvtrstruktrjnak listzhatsgais. Amennyiben feltrkpezhet, hogy pontosan milyen
fjlok, programok tallhatak a szerveren, akkor azokat elemezve, jabb srlkenysgektrhatak fel. Pldul ha egy honlapon a /cgi-bin/upload/ knyvr listzsa sorn tallunk egy
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
22/68
22
upload_file_FX345.php nev file-t amellyel a webhelyre brki feltlthet adatokat, akkor ezzel
a teljes szerver kompromittlhatv vlhat. Amennyiben a knyvtr listzhatsg nem lett
volna kivitelezhet, akkor a tmad nem tallt volna r az upload_file_FX345.php fjlra sem.
Az ilyen s ehhez hasonl tbbletinformcik kiszivrgsnak elhrtsval szmos tmadst
lehet megelzni.
4.2.2. Brute Forcing (Tmeges Viharszer lekrdezsek, nyers er alkalmazsa)
Ezen srlkenysg faktor nagyon sok helyen fordulhat el, s rengeteg tmadsi forma
plhet a kihasznlsra. Brmilyen alkalmazsrl vagy protokollrl legyen is sz, kzs
tulajdonsga a srlkenysgi faktornak, hogy nagy mennyisg krstlehet intzniegy adott
szolgltatsra vonatkozan, anlkl, hogy brmilyen ellenintzkeds trtnne. Az egyik
legkzenfekvbb s legelterjedtebb srlkenysg a klnbz login felleteknl
tapasztalhat. Tbb prblkozs utn a rendszer nem lasstja, korltozza a prblkozsok
szmt. Egy rosszindulat felhasznl gy rengeteg felhasznlnv/jelsz prost tud
kiprblni. Egy msik kzen fekv problma, ha egy webes szolgltats teljes knyvtr
struktrja tmeges lekrdezssel vgigprblgathat. Elfordulhat, hogy olyan konfigurcis
llomnyokhoz fr hozz a tmad, amelyet felhasznlva a teljes rendszer
kompromittlhatv vlik. sszessgben, minden olyan tmegesen vgrehajtott lekrdezs
ebbe a kategribatartozik, amelyeket a rendszer ellen fordthat egy tmad.
4.2.3. Phishing (adathalszat)
Az ebbe a srlkenysgi faktorba tartoz hibk kzs tulajdonsga, hogy felhasznlktl
prblnak adatokat szerezni illetktelen mdon. Ennek egyik j pldja az e-mailen trtn
adatszerzs, vagy a klnbz honlapok utnzsval vgrehajtott adatlops. Az egyik
legelterjedtebb plda, hogy rosszindulat felhasznlk lemsolnak pnzintzeti belptet
felleteket, s e-mailben arra krik az gyfelet, hogy jelentkezzen be a hamis online felleten,
megszerezve gy a felhasznlk szemlyes adatait. Minden olyan tmadsi ksrlet, amely
valamilyen megtvesztsen alapul technikval adatot prbl szerezni, ebbe a kategriba
tartozik. Egy elrepreparlt honlap, illetve egy XSS tmads sszekombinlsval,
eredmnyes tmads intzhet a felhasznlk nagy tbbsge ellen.
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
23/68
23
4.2.4. Input Validation (bemeneti adat ellenrzse)
Ebbe a kategriba tartoznak a klnbz kd beszrsos tmadsok. A bemeneti mezk nem
megfelel ellenrzse klnbz krtkony kdok beillesztst teszik lehetv. Ide tartoznak
tbbek kztt az SQL-injection tpus hibk, vagy az XSS tpus tmadsok is (Ezekrlbvebben ksbb olvashatunk).
4.2.5. Password management (jelsz kezels)
Ebbe a kategriba tartozik minden olyan tpus srlkenysg, amelyek jelszkezelsi
problmkkal hozhat sszefggsbe. A jelszavak hossznak s komplexitsnak minsgi
kritriumai egy j plda erre a srlkenysg faktorra. Pldul egy 4 karakter hossz, csak
kisbett tartalmaz jelsz nmagban rejti a veszlyt, gy ezek kijavtsa nlklzhetetlen. Idetartoznak tovbb a klnbz rossz jelszlenyomat (hash) ksztsi s jelsz titkostsi
technikk is. Amennyiben egy vizsglat sorn valahol elavult lenyomat (hash) ksztsi
algoritmussal tallkozunk (pl: MD5), a srlkenysg ebbe a kategriba lesz besorolva.
Minden olyan problma, ahol a jelsz kezelsn, trolsn kell vltoztatni szintn ebbe a
kategriba fog esni.
4.2.6. Factory defaults (gyri belltsok)
A gyri belltsok nmagban hordozzk a veszlyeket. Legyen az web alkalmazs, hlzati
eszkz, vagy brmilyen ms hardver vagy szoftver elem, amennyiben gyri belltsokkal
kerl zembe helyezsre, az kockzatot rejt magban. Ilyen formn egy CISCO router
admin/admin jelszval val hasznlata gyri bellts hasznlatra utal. (Termszetesen ez a
srlkenysg egyben a jelszkezelsi srlkenysgi faktorba is tartozhat). A gyri
belltsokat brki megnzheti egy adott eszkzhz, vagy szoftverhez, gy hozzfrhet a
menedzsment fellethez, tkonfigurlva a hlzati elemet. A gyri belltsok problmja
nem csak jelszavakhoz, hanem egyb ms technikai paramterhez is kapcsoldhat. J plda
lehet erre egy hlzati nyomtat rossz konfigurcija. Ha pldul az SNMP community
sztringet a gyri belltsokon hagyva zemeltetjk (public/private), akkor egy rosszindulat
felhasznl tvolrl is kpes az eszkznket menedzselni, tkonfigurlni.
4.2.7. Access Control management (hozzfrs szablyozs)
Ebbe a kategriba tartozik minden olyan srlkenysg, amely valamilyen rosszul belltott
hozzfrs problmhoz vezethet vissza. J plda erre egy rosszul konfigurlt VLAN,
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
24/68
24
amelyben minden felhasznl kpes csatlakozni a szerverhez. Egy jl belltott hlzaton a
szerver menedzselst kizrlag rendszergazdk vgezhetik, gy felesleges mindenki szmra
hozzfrst biztostani a szerverhez. Szintn ebbe a kategriba tartozik pldul egy nem
megfelel port-security-val elltott hlzat. Amennyiben illetktelen eszkz csatlakoztathat
egy bels hlzathoz, gy egy rosszindulat felhasznl tmadsokat hajthat vgre a
hlzaton.
4.2.8. Misconfiguration (konfigurcis hiba)
Ebbe a kategriba tbb dolog tartozhat. ltalban minden olyan problmt ide sorolunk, ami
valamilyen tves konfigurcin, vagy konfigurci hinyn alapszik. A gyri belltsoknl
emltett problmk, egy az egyben itt is alkalmazhatak. Ide tartoznak tovbb pldul a
rosszul konfigurlt NETBIOS megosztsok is, amelyek kvetkeztben olyan knyvtrak
vllnak olvashatv, rhatv, melyek egy tlag felhasznl szmra ltalban nem
elrhetek. Az egyik legalapvetbb hiba, a rossz SSL tanustvnyok hasznlata is ide
sorolhat, vagy a rosszul belltott hlzati protokollok titkostatlan kommunikcija.
4.3.
OWASP TOP 10
Mra az egyik legnpszerbb internetes szolgltats a World Wide Web (WWW), amelyet
nap, mint nap felhasznlk millii vesznek ignybe. A honlapokon megjelen informci
nagy rszt ltalban valamilyen httradatbzisban troljk, gy nem csupn egyetlen
szolgltatsrl, hanem tbb szolgltats sszekapcsolsrl lehet beszlni. Az ilyen tpus
weblapokat komplex rendszereknek hvjuk. Az sszetett s komplex honlapok megjelensvel
egyidejleg jelentek meg j, a komplex honlapokra jellemz srlkenysgek.Nem meglep
teht az a tny, hogy a legtbb srlkenysg a webes alrendszer szolgltatsaiban
tallhatak, gy mra a tmadsok nagy rszt a WWW s az ahhoz kapcsold
httrszolgltatsok ellen indtjk. Ebben a fejezetben megprbljuk sszefoglalni azon
vezet srlkenysgek listjt, amelyek a leggyakoriabbak a webes szolgltatsokban.
Az OWASP (Open Web Applications Security Project) minden vben kzzteszi a webes
alkalmazsokban elfordul leggyakoribb srlkenysgeket. Az OWASP TOP 10
srlkenysgek a kvetkezek:
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
25/68
25
Osztlyozs Srlkenysg megnevezse
A1 Beszrsos tpus tmadsok
A2 Hibs hitelests s sessionkezels
A3 Cross-Site Scripting (XSS)
A4 Nem biztonsgos direkt objektumhivatkozs
A5 Helytelen biztonsgi belltsok
A6 rzkeny adat nem megfelel vdelme
A7 Helyetelen URL s fggvny validci
A8 Cross-Site Request Forgery (CSRF)
A9 Hibs bepl komponensek hasznlataA10 Nem ellenrztt tirnytsok s tovbbtsok
Az elmlt vek tapasztalatai azt mutatjk, hogy a leggyakoribb webes hibk az SQL-injection
s XSS srlkenysgek. Br ezeknek a hibknak a kihasznlsa ersen technikai jelleg,
mgis nhny pldn bemutatva elengedhetetlen, hogy ttekintsk ket, mert a jelentsek
tbbsge valamelyik hibt nagy valsznsggel tartalmazni fogja. Tovbb fontos tisztzni,
hogy egy ilyen jelleg hibnl az elhrtst a mi oldalunkon kell kezdeni, vagy esetleg egy
kls fejleszt bevonsa is szksgess vlik.
4.3.1. SQL-injection
Az SQL-injection srlkenysg napjaink egyik legelterjedtebb tmadsa olyan weblapok,
alkalmazsok ellen, amelyek adatbzist hasznlnak. Az SQL-injection srlkenysg sorn
egy rosszindulat felhasznl kpes elrni a httradatbzist, melynek kihasznlsval egy
tmad megszerezhet adatbzisban trolt informcikat, illetve mdosthatja azokat,
futtathat llomnyokat tlthet fel a szerverre, s fjlokat olvashat ki a szerverrl. Az albbi
nhny pldn keresztl vizsgljuk meg kzelebbrl, hogyan is nz ki egy ilyen tpus
srlkenysg:
Nzzk az albbi belptet felletet:
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
26/68
26
A HTML forrsban megtallhatjuk a login.php-t amely a belptetsrt felels:
A login.php-ban az albbi SQL lekrdezs tallhat:
$q = mysql_query(select tbd from users WHERE username = $username AND pass = $pass);
if (mysql_num_rows($q)>1) {Sikeres belptets esetn vgrehajtand forrskd}
tlagos felhasznlknt megadott felhasznlnv/jelsz:admin/admin
A login.php-ben az SQL lekrdezs a kvetkezkppen alakul:
$q = mysql_query("select tbd from users WHERE username = 'admin' AND pass = 'admin'");
Az albbi pldban a felhasznlnv: admin s a jelsz: admin volt. Ha az SQL lekrdezs
igaz s a felhasznlnv/jelsz pros megtallhat volt az adatbzisban, akkor sikeresen
belptettk a felhasznlt.
Rosszindulat felhasznlknt megadott felhasznlnv/jelsz : admin/ ' OR 'a'='a
A lekrdezs ekkor gy alakul:
$q = mysql_query("select tbd from users WHERE username = 'admin' AND pass = ' ' OR 'a'='a')
Az albbi lekrdezs mindig igaz lesz az 'OR 'a'='a' felttel miatt. Ebben az esetben teht
mindegy mi a jelsz, a felttel mindig igaz lesz gy az alkalmazs be fog minket engedni a
vdett oldalra. Ez egy j plda egy tipikus SQL-injection tmadsra. Egy rosszindulat
felhasznl SQL-parancsokat adott t az adatbzisnak az alkalmazson keresztl. Az
alkalmazs nem megfelelen szrte a beviteli mezket, gy volt lehetsg megadni a jelsz
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
27/68
27
mezben az ' OR 'a'='a SQL parancsot. Msik gyakori SQL-injection tmads az, hogy az
URL-mezben tadott paramtereket manipullja egy rosszindulat felhasznl.
Nzzk az albbi linket:http://www.aldozat.hu/login.jsp?ReleaseID=4614
A honlapon klnbz tartalm cikkeket jelentenek meg adatbzisbl. Ebben az esetben a
bngsznk a 4614-es szm cikket fogja az adatbzisbl lekrdezni, s megjelenteni. Ez egy
nagyon elterjedt megolds s a legtbb honlapon alkalmazzk. Amennyiben az alkalmazs
nem megfelelen szri a beviteli mezket, (jelen esetben a ReleaseID paramtert) akkor
lehetsg nylik tovbbi SQL-parancsokat kiadni a hibs paramteren keresztl.
A hiba tesztelshez hvjuk meg a kvetkez linket:
http://www.victim.com/login.jsp?ReleaseID=4614 AND 1=1
A kimenet a kvetkez:
Most az albbi linket prbljuk meg lefuttatni:
http://www.victim.com/login.jsp?ReleaseID=4614 AND 1=2
A kimenet a kvetkez:
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
28/68
28
A klnbsg szembetn a kt lekrdezs kztt. Az els vltozatban az AND 1=1 nem
befolysolja a lekrdezst, mert a felttel mindig igaz, gy a cikk megjelenik a
bngsznkben. (Jl lthat, hogy megjelent az SQL-injection lers ami a 4614-es adatbzis
cikk volt). A msodik lekrdezsnl az AND 1=2 minden esetben hamis, gy a teljes
lekrdezs is hamiss vltozik, gy nem jelenik meg semmilyen cikk a bngszben, mert
nem tallhat az adatbzisban a felttelnek megfelel cikk. Ez egy bizonytk arra, hogy az
adatbzis lefuttatja az ltalunk beinjektlt kdot, teht az SQL-injection tpus tmads
lehetsgejelen van a rendszerben.
Napjainkban ez az egyik legveszlyesebb s legelterjedtebb, de mgis a legegyszerbb
tmadsi forma. Egy rosszindulat felhasznl kpes lehet letlteni a teljes adatbzist, vagy
akr mdostani annak tartalmt.
Megoldsi javaslat:
A javaslat nem teljesen egyrtelm. Minden esetben kln-kln meg kell vizsglni, hogyhogyan elzhet meg az illetktelen adatbevitel. Els megoldsknt megfelel lehet az olyan
adatbzis specifikus szavak szrse s eltvoltsa az input paramterekbl, amelyeket az
adatbzis rtelmezni tud. Pl: (SELECT, AND, OR, FROM , UNION, stb..) Tovbb
gondoskodni kell a felhasznli adatbevitel megfelel ellenrzsrl, mind az URL-ek, mind
az rlapok, mind a legrdl menk esetben. Ajnlott tovbb az albbi karakterek teljes
szrse:
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
29/68
29
Felhasznli bemenetekbl szrend karaktereklistja
| pipe sign \' backslash-escaped apostrophe
& ampersand sign \" backslash-escaped quotation mark
; semicolon sign triangular parenthesis
$ dollar sign () parenthesis
% percent sign + plus sign
@ at sign CR Carriage return, ASCII 0x0d
' single apostrophe LF Line feed, ASCII 0x0a
" quotation mark , comma sign
| pipe sign \ backslash
& ampersand sign
Termszetesen elfordul olyan eset, amikor az input paramterben ktelezen t kell tudnunk
adni specilis karaktereket, vagy specilis szavakat. Ebben az esetben egyedi megoldsokat
kell alkalmazni, s alkalmazs szinten sszelltani gy a lekrdezseket, hogy azok ne tegyk
lehetv az illetktelen adatbzis elrst.
Minden esetben meg kell gyzdni, hogy az sszes bemeneti paramter ellenrzse
megtrtnt-e, s az nem tartalmaz-e krtkony kdot, illetve az nem mdostja az eredeti
lekrdezst. Erre nem ltezik egyszer s mindig mkd technika. Ez fgg az adatbzis
tpustl a programozsi nyelvtl s az ltalunk megvalstott alkalmazslogiktl. Fontos
megjegyezni, hogy megfelel vdelmet nyjt tovbb a megfelel programozsi technikk
alkalmazsa, amelyek nlklzhetetlen elemei egy biztonsgos rendszer tervezsnek.
Mit tegynk egy ilyen hiba lttn?
Az elzekben bemutatott pldk segtsgvel egy rosszindulat felhasznl kpes akr a
teljes adatbzist eltulajdontani. Amennyiben egy ltalunk megrendelt srlkenysg
vizsglati jelentsben SQL-injection hibrl olvasunk, az els s legfontosabb dolog, hogy
beazonostsuk, hogy a hiba javtst a mi oldalunkon kell eszkzlni, vagy esetleg kls cget,
beszlltt kell ignybe venni. Vizsgljuk meg, hogy milyen alkalmazsban talltk az SQL-
injection hibt. Ha pldul nyilvnosan letlthet alkalmazsban, mint pldul egy ingyenes
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
30/68
30
tartalomkezel weboldal, amilyen pldul a Joomla vagy Wordpress, akkor a problmt mi
oldalunkon kell orvosolni. Meg kell nzni, hogy elrhet-e frissts, hibajavts az adott
srlkenysghez, s a lehet legjabb verzira frissteni az alkalmazst. Ha egy olyan
alkalmazsban talltak ilyen hibt, amit valamilyen kls cgtl egyedileg vsroltunk, akkor
a hiba javtst nem a mi oldalunkon kell elkezdeni. Vegyk fel a kapcsolatot a gyrtval, s
krjk a hiba azonnali javtst. Fontos mrlegelni, hogy mennyire kritikus az alkalmazs,
amelyben a hibt talltk. Szksg esetn kapcsoljuk le a szolgltatst, amg a hibt
megfelelen el nem hrtjuk.
4.3.2. Cross-site Scripting (XSS) srlkenysg
A Cross Site Scripting (XSS) srlkenysg napjaink msik legelterjedtebb srlkenysge az
SQL-injection tpus srlkenysgek mellett. Az XSS alap tmadsok lnyege, hogy a
tmad futtathat scriptet (Pl: HTML kd, Java kd) kpes input mezkn, URL-eken
keresztl beinjektlni a webes alkalmazsba, amely hatssal lesz az alkalmazs
megjelensre, s egyb tulajdonsgaira. Az XSS srlkenysgeknek 2 f csoportjt
klnbztetjk meg.
4.3.2.1. Nem-trolt XSS
Az XSS ezen fajtja a leggyakoribb s legelterjedtebb. Akkor fordul el, amikor akliens ltal
szolgltatott adatot a szerver-oldali futtatkrnyezet kzvetlenl felhasznlja a vlasz
ellltshoz. Ha ellenrizetlen s HTML kdols nlkli kliens-adat kerl be a szerverre,
akkor gy lehetv vlik, hogy a kliens-oldali kd a dinamikus lapba bekerljn. Klasszikus
plda erre a site keresmotorja lehet: a keresett kifejezsek kz HTML specilis karaktereket
rnak be, s ha a keresmotorvlaszban visszakldi a kdolatlan keres stringet, akkor jn
ltre az XSS.
Amennyiben a keres mezbe rtelmezhet kd kerl (Pl: alert( /XSS/);)
az aktv rszv vlhat a honlapnak, gy a kliens oldalon megjelenik az /XSS/ message-box.
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
31/68
31
A tmads kizrlag kliens oldalon fut le, gy a ltszlagos mdostsok nem hajtdnak vgre
a szerveren. A tmads kizrlag a clzott szemlyeknl jelenik meg.Az albbi pldn egy
srlkeny weblapot lthatunk, amelyben a keres mez XSS srlkenysget tartalmaz.
www.nbf.hu/search?q=
Az XSS eredmnyekppen egy begyazott iframe-n keresztl egy teljesen ms honlap
jelenthet meg az ldozat szmtgpn. Megjegyzs: Az albbi kp csak illusztrci. A
Nemzeti Biztonsgi Felgyelet honlapja nem tartalmaz XSS srlkenysget. Egy elre
preparlt honlap segtsgvel egy hasonl kinzet honlap kszthet, amelynek segtsgvel
flrevezet informcik jelenthetek meg az ldozat bngszjben.
http://www.nbf.hu/search?q=%3ciframehttp://www.nbf.hu/search?q=%3ciframe -
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
32/68
32
Webes rlapok s URL-ek inputadatainak nem megfelel szrse esetn egy rosszindulat
felhasznl kliens oldalon szmos tmadsi formt hajthat vgre:
mdosthatja a weboldal megjelenst, tartalmt, ezltal elri, hogy a srlkeny
webszerver egy rosszindulat felhasznl ltal meghatrozott tartalmat jelentsen mega kliensoldali bngszkben
tirnythatja a kliens bngszt egy msik oldalra a felhasznl tudta nlkl
ellophatja vagy mdosthatja egy felhasznl session azonostjt s cookie-ait, gy a
rosszindulat felhasznl kpes lehet a clpont szemlyazonossgt meghamistani s
belpni a jelszval vdett terletre, hozzfrve annak szemlyes adataihoz,
belltsaihoz, tranzakciihoz.
4.3.2.2. Trolt tpus XSS
Az XSS ezen fajtja a legveszlyesebb. Ez a sebezhetsg akkor lp fel, ha a felhasznl ltal
a web-alkalmazs fel tovbbtott adatait a szerver llandan trolja (adatbzisban, fjl
rendszerben vagy ms helyen), s ksbb a felhasznlknak weblap formjban olvashatv
teszi HTML kdols nlkl. Klasszikus plda erre az online zenet-fellet. A szerver
adatbzisban trolja el a beinjektlt kdot, gy a honlapot bngsz sszes felhasznl kliens
oldaln vgrehajtdik az injektlt kd.
Megoldsi javaslat:
Az XSS sebezhetsg elkerlsnek els felttele az, hogy minden specilis HTML karaktert
kdoljanak.
Kdols nlkl:alert('xss');
Kdolssal:alert('xss');
A pirossal jellt rsz egy kliens-oldali scriptet mutat, a zld pedig ugyanazt kdolva. A kdolt
verzi egy bngszben literlknt fog megjelenni, s nem hasznlhat a HTML tag-ek
specilis jelentse. Ezzel meg lehet elzni azt, hogy a HTML lapra egy specilis scriptet
szrjanak be.
Az sszes input mezt megfelel vdelemmel s szrvel kell el ltni, ahhoz, hogy az XSS
hibkat kikszbljk. Arra is figyeljnk oda, hogy a szrs ne csak kliens oldalon, hanem
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
33/68
33
szerver oldalon is trtnjen meg. Tervezskor figyeljnk oda, hogy az input mezkbl
visszart szvegek ne kzvetlen pljenek be a forrskdba, hanem megfelel technikval,
jelentsk azt meg gy, hogy azt a bngszne futtathatkdknt rtelmezze.
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
34/68
34
5. Tesztelsi mdszertan
5.1. Bevezet
Az albbi fejezet betekintst nyjt a srlkenysg vizsglat mdszertanba. A fejezet f
clja, hogy az informatikai biztonsgrt felels vezetk tfog kpet kapjanak a mdszertan
lnyegrl, illetve rtelmezni tudjanak egy vizsglat sorn ltrejtt srlkenysg vizsglati
jelentst. A fejezet vgn letbl vett pldkon keresztl tekintjk t a legelterjedtebb
srlkenysgeket. Nem a srlkenysgek kihasznlsn s technikai vgrehajtsn lesz a
hangsly, hanem, hogy a kimeneteket s eredmnyeket megfelelen legynk kpesek
rtelmezni. Tovbb segtsget prblunk adni ahhoz, hogy egy felels vezet eldnthesse,
hogy a jelentsben szerepl srlkenysgek javtst mennyi idn bell, milyen erforrs
bevonsval lehet elhrtani.
5.2.
Srlkenysg vizsglat mdszertana
A mdszertan ttanulmnyozsa segt az informatikai rendszerek srlkenysgvizsglatnak
rtelmezsben, a srlkenysgek hatkony elhrtsban. A srlkenysg vizsglat clja
megmutatni, hogy adott rendszer adott idpillanatban klnbz irnyokbl milyen mrtkigkompromittlhat. Az albbi tblzat a srlkenysgvizsglat mdszertani mtrixt mutatja:
Jogosultsg
Irnyultsg
Blackbox Greybox Whitebox
Kls
Web
Bels
Wi-Fi
GPRS / 3G
Social
A mtrix ktfle felosztsban rendszerezi a srlkenysgvizsglat mdszertant:
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
35/68
35
5.2.1. Jogosultsg
Black-box: jogosultsg nlkli vizsglat
Ebben a fzisban a vizsglatot minden elzetes informci nlkl vgezzk el. Ekkor a
vizsglat clja, hogy megmutassuk, hogy egy rosszindulat felhasznl milyen informcit
kpes szerezni a hlzatrl gy, hogy semmilyen hozzfrse nincs a hlzathoz. Avizsglat
ezen szakasza rvilgt azokra a hibkra, amelyeket kihasznlva felhasznl szint, vagy akr
rendszergazdai szint hozzfrs szerezhet. A black-box vizsglati mdszertan van a
legkzelebb a rosszindulat felhasznlk ltal vgzett tevkenysghez. A vizsglat ezen
szakaszban feltrt srlkenysgek vilgtanak r azon hibkra, amelyeket egy esetleges
hacker tmads sorn a tmad kihasznlhat.
Grey-box: vizsglat regisztrlt felhasznli jogosultsggal
A vizsglat ezen szakaszn felhasznl szint jogosultsggal trjuk fel a rendszer esetleges
srlkenysgeit. A vizsglat clja megmutatni, hogy a hlzatban regisztrlt aktv
felhasznl kpes-e rendszergazdai jogosultsgot szerezni.
White-box: vizsglat adminisztrtori jogosultsggal
A white-box audit jelleg vizsglat, melynek clja megfelelsgi listk alapjn a rendszer
llapotnak ellenrzse. Mivel teljes hozzfrsnk van a rendszerhez, ezrt a cl nem akompromittci, hanem az olyan rejtett hibk feltrsa, amely a grey-box s black-box
vizsglat sorn nem trtunk fel. Az eredmnyek kirtkelse utn pontosan lthat, hogy
ttelesen mennyi s milyen besorols srlkenysg tallhat a rendszerben.
Mirt lehet szksg a white-box vizsglatra?
Rendszergazdai jogosultsggal mindent fel lehet trni.
Vegyk az albbi nagyon egyszer, de gyakori pldt. A vizsglat sorn nem sikerlt
kompromittlni egy rendszert, s nem sikerlt rvnyes felhasznlnevet/jelszt szerezni. Ez a
tny nem jelenti azt, hogy a rendszer teljes mrtkben biztonsgos. A White-box vizsglat
sorn a dokumentumok s a forrskdok ttekintse utn amennyiben azt tapasztaljuk, hogy a
megengedett minimum jelszhossz 3 karakter, akkor azt mindenkppen srlkenysgnek kell
feltntetni. (Ez egy olyan tipikus srlkenysg,amely nem felttlenl jn ki a black-box s
grey-box vizsglat sorn). Szmos, ehhez hasonl problma derlhet ki a white-box audit
sorn.
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
36/68
36
5.2.2. Irnyultsg
5.2.2.1. Internet felli, kls srlkenysgvizsglat
Interneten fellelhet, publikus adatbzisokban val szabad keress (pl. az internetes
keres portlokon vgrehajtott "szabad szavas" keress; whois adatbzisokban
vgrehajtott kt utas lekrdezs; vllalat nevre, IP tartomnyra s e-mail cmekre
vonatkoz keressek)
Clzott informcigyjts a hlzati struktrrl, a teleptett hardver- s
szoftverelemekrl, illetve a hlzati forgalomrl (pl. az Interneten elrhet vllalati e-
mailek, levelezlistk adatai alapjn az e-mail fejlcek kirtkelse, vllalati web
portlon elhelyezett tartalom forrsnak elemzse)
Az elrhet szmtgpek szolgltatsainak, sebezhetsgnek feltrkpezse
A fentiekben szerzett informcik elemzse alapjn tovbbi kzi vizsglatok s
betrsi ksrletek elvgzse
5.2.2.2. Webes alkalmazsok srlkenysgvizsglata
Automatizlt vizsglatok:
Els lpsknt automatizlt clszoftverek kerlnek alkalmazsra, melyek eredmnyei
megmutatjk az ismert problmkat, mintzatokat s tvonalakat a webes alkalmazsok
biztonsgi belltsaiban.Az automatizlt felderts elsdleges clja, hogy azonostsa awebes
alkalmazsok kompromittlhatsgt az ismertsrlkenysgek alapjn.
Vizsglt srlkenysgi terletek:
Ismert srlkenysgek
Alapbelltsok
Cross Site Scripting
SQL Injection
Informci "kitakars"
Knyvtr indexek
Brute Forcing
Denial of Service tmadsok
Parancsok futtathatsga
Puffer tlcsordts Server oldali meghvhat llomnyok (Includes)
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
37/68
37
Kzi vizsglatok:
A kzi vizsglatok esetben a vizsglatot vgz szemly rtelmezi a kliens fel adott
vlaszokat, s befolysolhatja a szervernek kldtt adatokat. A kzi vizsglat legnagyobb
elnye a vizsglt rendszerre vonatkoz precz, specializlt vgrehajts. A kzi vizsglatokkpesek olyan hibkra rvilgtani, amelyre az automatizlt vizsglatok nem voltak kpesek.
A kzi vgrehajts lassabb, mint az ltalnosabb, automatizlt eszkzk, gy a webes
alkalmazsok srlkenysg vizsglatban az n. hibrid vizsglatok elvgzse vezet a legjobb
eredmnyre.
Vizsglt srlkenysgi terletek:
Hozzfrsi jogosultsg problmk
Hozzfrs kontroll problmk
Session (munkafolyamat) sttusz problmk
Specilis felhasznli llomnyok
tmeneti llomnyok
Megbzhat kapcsolatok problmi
Adatbzis problmk
5.2.2.3.
Bels srlkenysgvizsglat
Az informatikai rendszer srlkenysgvizsglata a dolgozk ltal hasznlt irodkbl, black-
box, grey-box s white-box mdszerrel trtnik. A helyszni vizsglatok els fzisban
(black-box) a hlzati csatlakozsoktl eltekintve a clrendszerekhez semmilyen hozzfrsi
jogosultsg nem ll rendelkezsre.
Alkalmazott mdszerek ismertetse:
Jogosultsg nlkli srlkenysgvizsglat (black-box):
Clzott informcigyjts a hlzati struktrrl, a teleptett hardver- s
szoftverelemekrl, illetve a hlzati forgalomrl:
o Hlzati IP cmek kiosztsnak feldertse (DHCP / DNS / router broadcast
scan, ping scans)
o Hozzfrs kontroll problmk
o Port Security belltsok feldertse, a vdelmi mechanizmusok kikerlsnek
tesztelse
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
38/68
38
o Hlzaton elrhet szmtgpek feldertse (Ping scan, NetBIOS scan, Port
scan)
Az elrhet szmtgpek szolgltatsainak, sebezhetsgnek feltrkpezse
clszoftverek segtsgvel (A futtatott clszoftvereket olyan paramterekkel futtatjuk,
hogy azok a lehet legkisebb mrtk fennakadst okozzk a rendszerek
mkdsben).
o Hlzaton elrhet szmtgpek szolgltatsainak feltrkpezse (Application
Scans)
o Hlzati forgalom lehallgatsa s elemzse (kzbekeldses - Man in the
Middle - ARP Poisoning technikval)
o Jelszavak s azonostk lehallgatsa, kigyjtse (LAN Manager, NTLM s
cleartext jelszavak, lenyomatok)
o Gyjttt jelszavak feltrse, a jelszavak erssgnek megllaptsa
o Identity Theft (a megszerzett account-ok felhasznlsa ms felhasznli
hozzfrs megszerzse rdekben, informcigyjts)
A fentiekben szerzett informcik elemzse alapjn tovbbi, kzi vizsglatok s
betrsi ksrletek
Jogosultsggal vgzett vizsglatok (grey-box, white-box):
Az elrhet szmtgpek szolgltatsainak, sebezhetsgnek feltrkpezse
clszoftverek segtsgvel (A futtatott clszoftvereket olyan paramterekkel futtatjuk,
hogy azok ne okozhassanak fennakadst az rendszerek mkdsben).
o A szervereken, munkallomsokon fut opercis rendszerek, adatbzis
kezelk s fbb alkalmazsok biztonsgi szintjnek vizsglata
o A gyrtk ltal kiadott biztonsgi javtcsomagok napraksz llapotnak
ellenrzse a rendszer elemeino A jelsz-kvetelmnyek s a gyjttt kdolt jelszavak visszafejthetsgnek
vizsglata
5.2.2.4. Vezetk nlkli hlzat (Wi-Fi, 3G, ...) srlkenysgvizsglata
Alkalmazott mdszerek ismertetse:
WLAN hozzfrsi pontok s Ad-Hoc kapcsoldsi pontok keresse, feltrkpezse
IEEE 802.11a/b/g alap WLAN forgalom lehallgatsa s a gyjttt anyag elemzse
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
39/68
39
Titkostsi eljrsok elemzse s a titkostsi kulcsok visszafejthetsgnek
ellenrzse
Az elrhet vezetk nlkli hlzatok sebezhetsgnek vizsglata clszoftverek
segtsgvel
Hamis wireless access point installlsa s direkt csatlakozsi ksrletek a kliensekhez
A fentiekben szerzett informcik elemzse alapjn tovbbi kzi vizsglatok
lefolytatsa
GPRS/3G szolgltats kls srlkenysgvizsglata
A GPRS csomagkapcsolt infrastruktra hlzati feldertse
A csomagkapcsolt hlzat elrhet szolgltatsainak feldertse
Automatikus srlkenysg vizsglat
Kzi srlkenysg vizsglat
Kzi srlkenysg vizsglat a terminlok ellen
Tlszmlzsi lehetsgek ellenrzse
GPRS alap szolgltatsoksrlkenysg vizsglata (pl.: MMS, WAP)
5.2.2.5.
Social Engineering
A statisztikk lapjn az rzkeny vllalati informcik kiszivrgsnak egyik legkomolyabb
veszlyforrsa az emberi tnyez.
A Social Engineering vizsglat az albbi terletekre terjed ki:
A dolgozk ltalnos informatikai kultrjnak, s a vllalatnl hasznlt informatikai
biztonsgi elrsok, szablyok betartsnak vizsglata
Clear Desk Policy ellenrzse
Megtveszt e-mail segtsgvel vgrehajtott tmads
Fizikai biztonsgi teszt: publikus hasznlat irodarszek fizikai biztonsgnak
vizsglata, valamint eszkzk hozzfrhetsgnek ellenrzse
5.2.3. White-box vizsglat- hlzati audit
A vizsglatot (legyen az kls, vagy bels) a white-box fzis teszi teljess, amely egy
komplett tvilgtsi auditot jelent. A vizsglat sorn adminisztrtori jogosultsggal, illetve
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
40/68
40
teljes hozzfrssel vizsgljuk t a hlzatot. Joggal merl fel a krds, hogy adminisztrtori
jogosultsggal, brki fel tud trni rendszereket. Fontos megjegyezni, hogy itt a cl mrnem a
behatols, mint a black-box s grey-box vizsglat sorn, hanem a lehet legtbb
srlkenysg feltrsa, amelyek az elz fzisokban nem derltek ki. Ilyenek lehetnek a
konkrt konfigurcis llomnyok elemzse, s egyb biztonsgi belltsok ttekintse
(pldul jelszbiztonsgi hzirend). A vizsglat olyan hlzati gyengesgekre kpes fnyt
derteni, amely egy ltalnostott srlkenysgvizsglat sorn nem felttlenl derlnek ki.
Fontos megjegyezni, hogy egy white-box vizsglat sem felttlenl tr fel minden
srlkenysget, gy az ilyen vizsglatok utn is elfordulhat srlkenysg a rendszerekben.
A clja ezen tpus vizsglatoknak az, hogy minimalizlja a rendszerben elfordul
srlkenysgeket.
5.2.3.1. Rendszer architektra ellenrzse
Rendszerarchitektra-vzlat (rendszerkapcsolati, vagy adatkapcsolati) megfelelsge
Hlzati architektra vzlat megfelelsge
Topolgiai vzlat s/vagy nyilvntarts megfelelsge
A vizsglat sorn az ttekintett rszrendszerek, kapcsolatok szerepelnek-e a fenti
dokumentumokban
A fenti rszfeladatok mellett meg kell ismernnk a szervezet informatikai stratgijt, hogy
fellvizsgljuk az ahhoz kapcsold szablyozsi htteret, s a klnbz rendszerelemekre
vonatkoz intzkedsi terveket.
5.2.3.2. A fizikai biztonsg ellenrzse
A fizikai biztonsg fellvizsglatnak clja annak megllaptsa, hogy a hlzatot felpteszkzk vdve vannak-e az illetktelen hozzfrsektl, hogy csak az arra hivatott
szemlyek legyenek kpesek a kialaktson, belltsokon vltoztatni.
Ellenrizzk a hlzat WAN-LAN-, s kbelezsi diagramjt, hogy megllaptsuk az
aktvelemek elhelyezkedst, a hlzat fizikai jellemzit.
Mindezt az albbi szempontok alapjn vizsgljuk:
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
41/68
41
1. munkallomsok kbelezse
A munkallomsok kbelezsekor el kell klnteni a hlzati kbeleket az egyb
eszkzktl, elektromos vezetkektl az interferencibl add adatveszts,
sebessg vesztesg elkerlse rdekben.
2. hubok, switchek elhelyezkedse
Az aktv elemeket gy kell elhelyezni, hogy csak az arra jogosultak frhessenek
hozzjuk.
3. hlzatot zemeltetk munkallomsainak elhelyezkedse
A rendszergazdk, opertorok munkallomsait el kell klnteni az egyb
rendszerektl, belptet-rendszerrel mindenkit azonostani kell tudni, aki belp az
ilyen jelleghelyisgekbe, klns tekintettel a szerver-szobkra.
4. hlzati management fizikai alrendszere
A hlzat-managementet gy kell kialaktani, hogy az aktv elemek, egyb
rendszerelemek tvoli adminisztrcija csak meghatrozott fizikai tvonalon
legyen lehetsges.
5. a fizikai felpts jellsei
Az aktv elemek, hubok, switchek csatlakozsait fel kell cmkzni, egyrtelm
jellsekkel meg kell hatrozni a kialaktott kapcsolatokat.
5.2.3.3. A hlzati rteg biztonsga
A hlzaton csak olyan forgalom haladhat keresztl, amely engedlyezett tartalommal,
engedlyezett forrsbl, engedlyezett clpont fel halad.
Ellenrizzk a hlzat fizikai mkdst a hlzati-diagramm tkrben, az albbiak szerint:
1.
IP-cmek, DNS nevek, tartomnyok, szegmensekA cmkiosztsnak, nvfeloldsnak jl szervezettnek kell lennie, hogy ne
fordulhasson el duplikci, IP cm lops.
2. traceroute
A munkllomsokrl a klnbz szegmensek fel indtott traceroute kimeneteket
elemezni kell s ssze kell hasonltani azrt, hogy azok csak a meghatrozott
tvonalakon legyenek kpesek kommuniklni.
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
42/68
42
3.
traceroute maximum hops
A traceroute vizsglatot egy elrhetetlen cmre is el kell vgezni, hogy
megllaptsuk, az sszes munkallomson aktv a maximum hops bellts.
4.
icmp queryA teljes hlzaton el kell vgezni az ICMP alap vizsglatot, ennek eredmnyt
ssze kell hasonltani a network-diagrammal, meg kell vizsglni a nem vlaszol
szegmenseket.
5. routerek
o A routerek elhelyezkedst, konfigurcijt fell kell vizsglni. Route-tblk
sszehasonltsa.
o
A tzfalakon, routereken a routing tbla update csomagokat (IGP, EGP) szrnikell.
o A kls kapcsolattal rendelkez routerek meghatrozsa, fellvizsglata.
o A source-routing csomagokat szrni, tiltani kell a kls oldalrl rkez
forgalomban.
o Az ICMP redirect utastsokat a routereknek el kell kerlnik, hogy a route -
tblkat ne tudjk a csomagok mdostani.
o
A kls routerek nem fogadhatnak el kvlrl bels forrscmmel rkezkrseket, el kell kerlni az IP address spoofing lehetsgt.
6. routerek zemeltetse
o A routerek zemeltetst lehetleg a sajt szakembereknek kell vgeznik.
o Milyen rendszeressgel trtnik route-llts, milyen procedra elzi meg?
o A szoftver-upgrade milyen mdon zajlik, ki vgzi azt?
o A konfigurcikrl kszl-e ments, hol troljk, ki kezeli?
o Az sszes telnet s egyb management port vdett? Nincsenek gyri
passwordok?
o A router passwordok kezelse? Hol? Ki? Secure mdon?
o A routerekhez kvlrl teljesen lehetetlen hozzfrni?
o zemel a rendszerben SNMP-alap hozzfrs?
o A routerek, switchek log-alrendszere milyen mlysg?
o Az access-listk ellenrzse.
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
43/68
43
5.2.3.4. Az tviteli rteg biztonsga
Meg kell gyzdnnk arrl, hogy a TCP/IP alap kommunikci tervezetten, ellenrztten
folyik-e. Ki kell zrnunk annak lehetsgt, hogy olyan kommunikcis portok is nyitva
vannak a szmtgpeken, melyek nem tartoznak a rendszer alkalmazsainakkommunikcijhoz. Ellenriznnk kell az hlzaton thalad adatforgalom biztonsgt, a
titkostsi eljrsok megltt s erssgt. Vizsglnunk kell a tvoli management, az
opercis rendszerek biztonsgt, a rendszer szint azonostsi rendszer megfelel,
biztonsgos mkdst.
5.2.3.5. Rendszerkapcsolatok s ennek tervezettsge (kapcsolata az informatikai
stratgival)
Adatramls mdja az egyes rendszerek kztt (adatlista, egyedi jellemzkkel)
Interfszkapcsolatok zrtsga (titkossg, integrits, hitelessg, letagadhatatlansg)
A fenti feladatokat az albbiakra val figyelemmel vgezzk:
1. A hlzaton thalad adatok tpus-meghatrozsa.
2. Az thalad forgalom elemzse, klns tekintettel az adatok srthetetlensgre,
mdosthatatlansgra, titkossgra.
3.
A kld s fogad oldali azonostsi procedrk elemzse, klns tekintettel aztkldtt adatok valdisgnak, letagadhatatlansgnak bizonythatsgra.
5.2.3.6. A tzfalak, szerverek dokumentcija
A vizsglat elvgzshez szksges dokumentumok (pl.: szegmens-diagrammok,
szoftverek, hardverek, routerek, verzi-szintek lersai, hosztnevek, IP-k, kapcsolatok
lersai), brmely specilis szablyzat, zletmenet lersainak sszegyjtse, amely
rintheti a tzfalak biztonsgi belltsait. Annak megllaptsa, hogy az esetlegesen a szervezetben tervezett vltoztatsok,
stratgiai clok elrshez szksges mdostsok mennyiben befolysolhatjk a
rendszer komponenseinek elhelyezst, belltsait.
5.2.3.7. A tzfalak, szerverek logikai hozzfrs szablyozsa
A tzfalmegoldsok, szerverek klnbz komponenseihez val logikai hozzfrs alatt az
azokhoz val kizrlagos, egynenknt engedlyezett s azonostott (szoftveres, loklis, vagytvoli) hozzfrst rtjk.
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
44/68
44
Annak meghatrozsa, hogy ki, milyen hozzfrsi szinttel, milyen azonostsi
rendszerrel frhet hozz a rendszerkomponensekhez. Az adminisztrtorok adatainak
sszegyjtse, az autentikci mdjnak, erssgnek megllaptsa, a konfigurcis
konzolok, GUI-k elrsnek feltrkpezse.
A jelsz-management tvilgtsa:
o ltezik-e a jelsz-managementhez help/helpdesk rendszer?
o Hov szksges, s hov nem jelszhasznlat?
o A jelszavak lthatak-e a hasznlat sorn?
o A jelszavak a felhasznlk ltal mdosthatak-e?
o A jelszavakat (min. 90 naponta) vltoztatjk-e?
o A jelszavakat nem hasznlhatjk-e fel jra (2 ves peridus az ajnlott)?
o A minimum jelszhossz meghatrozott (min. 8 karakter)?
o A jelszavak sszettele:
Nagybet
Kisbet
Szmok
Specilis karakterek
o A jelszavak a fent felsorolt csoportok kzl 3 csoportot tartalmaznak-e?
o
A jelszavak tartalmaznak-e UID-ket?
o Hny login prblkozs utn tiltja le a rendszer a belpst?
o A prblkozsok mindegyike loggolt?
o A felhasznl-nevek, jelszavak kdolva tovbbtdnak a hlzaton?
o Automatikus timeout eljrs ltezik-e (a beragads elkerlsre)?
5.2.3.8. A tzfalak, szerverek logikai kapcsolatainak meghatrozsa
A logikai kapcsolatok biztonsga:
o Titkostott-e?
o A tvoli adminisztrci korltozva van-e fix IP-re?
o SSH-n TCP wrappereken kvl milyen mdon csatlakoznak?
Amennyiben TCP wrapper van hasznlatban, meg kell bizonyosodnunk arrl, hogy a
reverse look up opci hasznlatban van-e.
Meg kell llaptanunk, hogy az sszes binris llomny eredetije trolva van-e, milyen
mdon trtnik a felhasznlt szoftverkomponensek patch-else, updatje.
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
45/68
45
A tzfalszerverek, egyb szerverek, kliensek betrcszs (dial in access)
kapcsolatainak fellvizsglata
o A modemek automatikusan bontjk a kapcsolatokat egy elre belltott
inaktivits utn, vagy megszakadt kapcsolatok esetn?
o Kik trcszhatnak be?
o Ki adja a betrcszsi jogokat?
o Milyen biztonsgi eljrst hasznlnak a betrcszs hozzfrsek kontroljra?
5.2.3.9. A tzfalak, szerverek konfigurcis alapjai
A tzfalak, szerverek konfigurcija az azok mkdtetshez szksges s elegend
belltsok az sszes komponensen lpsrl-lpsre megismtelt folyamatt jelenti.
Meg kell hatroznunk, hogy a komponensek logikai/fizikai elhelyezkedse egyezik-e
az intzmny tzfal-, biztonsgi-startgijval.
Megvizsgljuk, hogy a komponensek a lehet legfrissebb verzijak-e, ha nem mirt.
A patch-management sszhangban van-e a termk support elrsaival.
A security-, s rendszer-adminisztrtor napraksz ismeretekkel rendelkezik-e az
esetleges biztonsgi rsekkel s hibkkal kapcsolatosan?
5.2.3.10. A tzfal szoftver, opercis rendszerek konfigurcijnak fellvizsglata
Alapesetben az opercis rendszerek, tzfalak nhny portot nyitva tartanak az
adminiszrtorok szmra. Ezek hozzfrsnek szablyozst kell fellvizsglnunk
elszr.
Portscan vizsglat
o bels
o kls/Internet oldali
A porscan-nek ki kell terjednie az ICMP, UDP s TCP-re
Az n. stealth rule (ha ltezik) bellts ellenrzse.
Az n. cleanup rule (ha ltezik) belltsok ellenrzse.
A kapcsolati tbla belltsainak ellenrzse a kapcsolatok szmnak s idlimitjeinek
meghatrozsra.
A szegmentlt hlzatok kztti tjrs ellenrzse, portscanek, hozzfrs-prbk
egyik szegmensbl a msikba.(bels hlzatrl DMZ-be, s fordtva)
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
46/68
46
Annak megllaptsa, hogy a tzfal mgtti kapcsolatok kdolt formban valsulnak-e
meg, sniffing test.
A szablyalkots, mdosts procedrjnak tvilgtsa
o ki mdosthat
o mikor (dtum, id)
o a mdosts oka
Mindezeket naplzzk-e?
Adatbnyszati belltsok, lehetsgek ellenrzse.
Kln partcin van-e a tzfalak, szerverek logllomnya?
o Ltezik-e mirror a log llomnyokhoz?
o
Kik frhetnek mindehhez hozz?
5.2.3.11. zletmenet-folytonossg vizsglat
A cl a tzfalak, szerverek, egyb rendszerek komponenseinek minimlis biztonsgi
kockzattal val folyamatos zemben tartsa.
meg kell hatroznunk a hibatrs szintjt a tzfalak s szerverek zemeltetsben
redundancia teszt elvgzse
az n. egypontos hiba elemzse, kiszrse
backup-alrendszer fellvizsglata
az off-site adattrolsi procedra tvilgtsa
o hol troldnak a biztonsgi mentsek?
o kik, hogyan frhetnek hozz?
5.2.3.12. Jogosultsgok, jogosultsgadminisztrci
A jogosultsg bellts folyamata, naprakszsge, hitelessge
Kiosztott jogosultsgok indokoltsga
Belltott jogosultsgi profilok megfelelsge (adatbzis, opercis rendszer s
alkalmazs szinten)
5.2.3.13. Policy azonosts/meghatrozs
annak meghatrozsa, hogy mely policy-k vonatkoznak az informcitechnolgia
terletre, a kapcsold terletekre
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
47/68
47
annak meghatrozsa, hogy mennyire up-to-date policy-kal rendelkezik az intzmny,
melyek az esetlegesen frisstst ignyl szablyzatok
vannak-e esetlegesen folyamatban lv, a jelenlegi audit ideje alatt zajl szablyzat-
alkot projektek
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
48/68
48
6. Srlkenysg vizsglati projekt
6.1. Bevezets
Adott szervezet dntshoziban felvetdhet egy fontos, tisztzand krds, hogy mirt van
szksg egyltaln srlkenysg vizsglatra, ha jl mkdik az informatikai rendszerk. Az
elzekben bemutatott mdszertan, illetve srlkenysgek ttanulmnyozsa egyrtelmen
rvilgt arra a tnyre, hogy az informatikai rendszerek tulajdonsguknl fogva szmos helyen
tartalmazhatnak srlkenysget az alkalmazs szinttl a hlzati kommunikcin keresztl
az infrastruktra szintig, ennek kvetkeztben dnt tbbsgkben sikeresen tmadhatak,
amiket a gyakorlati tapasztalatok is megerstenek.
Sok esetben tovbbi krdsknt merl fel a dntshozkban, hogy a srlkenysgeket a helyi
zemeltets mirt ne tudn feltrni. Egyrtelmen kijelenthet, hogy nem azrt nem tudja
felderteni egy szervezet a sajt srlkenysgeit, mert nem lenne r kpes vagy mert nem
elg j az ott dolgozk szakmai felkszltsge (esetenknt ez is problma lehet, de nem ez a
fmotvum), hanem leginkbb azrt, mert ms a motivci. A helyi zemeltets motivcija
az, hogy mkdjn a hlzat, elrhetek legyenek a szolgltatsok, a felhasznlk el tudjk
vgezni a munkjukat s a kiemelt felhasznlk esetleges egyedi krseit kiszolgljk. Avizsglatot vgz szakrtknek azonban az a motivcija, hogy megtallja azokat a pontokat a
rendszerben, ahol a rendszer kompromittlhat. A felsorolt motivcis s
gondolkodsmdbeli klnbsgek okozzk azt, hogy az zemeltetsen dolgoz szakemberek
nem fogjk tudni egyrtelmen feltrni azokat a srlkenysgeket, amiket az erre kikpzett
szakrtk megtallnak.
A vizsglatot vgz szekrtk ugyanazzal az eszkzkszlettel, ugyanazokkal a mdszerekkel
prbljk megtallni a rendszer gyenge pontjait, mint amivel egy rosszindulat tmadmegprbln feltrni az adott vllalat biztonsgi rendszert, azonban van pr fontos
klnbsg:
Egy tmadnak elg 1 gyenge pontot megtallnia a rendszer kompromittlshoz,
mg, a vizsglatot vgzk feladata lehetsg szerint az sszes klnbz kockzati
besorols srlkenysg feldertse.
Egy tmadnak lehetsge nylhat a tmadst idben elnyjtani, illetve nem kell
minden egyes rendszerelemet vizsglnia, gy a tmad mintzat belesimulhat az adott
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
49/68
49
informatikai rendszer norml zemi mkdsnek mintzatba, gy nem lesznek
felttlenl kiugr rtkek a naplllomnyokban. Ezzel ellenttben a vizsglatot
vgzknek nem felttlenl van arra ideje arra, hogy a tevkenysgt elfedje, sokszor
ez nem is clja a vizsglatnak, gy egy-egy srlkenysgvizsglat ltalban jval
zajosabb, mint egy egyedi rendszer kompromittci.
A tmad szndka lehet krokozs, vagy a rendszer mkdsnek megbntsa,
azonban a vizsglatot vgznek soha nem clja (kivve, ha a felkr egyrtelmen
kitr erre, pldul DoS-DDoS srlkenysg tesztelsre esetn).
Amennyiben egy szervezet esetn felmerl a krds, hogy srlkenysg vizsglatot folytatna
le, a kvetkez fejezetekre fontos figyelemmel lennie.
6.1.
Srlkenysgvizsglati igny felmerlse
Sokfle kivlt oka lehet annak, hogy egy szervezetben mirt merl fel a srlkenysg
vizsglat krdskre, albb nhny szoksos ok:
incidens rte a szervezetet, s szeretnk azt felderteni, illetve a jvben megelzni a
hasonl visszalseket
a vizsglat elvgzst szervezeti szint dokumentum rja el
j fejleszts/rendszerelem integrcijt tervezik a meglv informatikai rendszerbe s
fontos tudni, hogy az integrci okozhat-e biztonsgi kockzatot a jelenlegi rendszerre
nzve
j vezets pontos s fggetlen kpet akar kapni a szervezet informatikai rendszerrl
valamely szervezeti szint feladat elvgzshez szksges bemeneti adatknt a
vizsglat vgeredmnye (pl.: fejlesztsi, kltsgvetsi krdsek, kockzatelemzs,
szervezeti stratgia kidolgozsa, stb)
Az igny felmerlhet akr az IT zemeltetsen, akr a szervezet biztonsgi egysgben, akr
dntshozkban, egy kzs jellemz van, ltalban mindenki tart a vgeredmnytl s nem
felttlenl tmogatja a vizsglat megrendelst/elvgzst.
Az informci biztonsg terletn dolgozkban megjelenhet az a flelem, hogy a vizsglat
vgeredmnye azt fogja mutatni, hogy nem vgzik jl a munkjukat. Ilyenkor fontos
megnyugtatni, az rintetteket, hogy a vizsglat alapveten nem ellenk, hanem rtk van. Afeltrt llapot lehet, hogy nem lesz majd nagyon pozitv, de mindenkppen egy olyan
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
50/68
50
alapllapotot rgzt, amihez kpest mrhet majd az elmozduls, amit a vizsglat
eredmnyeknt elll dokumentumok alapjn az adott szervezet munkatrsai nerbl, vagy
kls segtsggel meg tudnak oldani. Ennek eredmnye egyrszt egy lnyegesen
biztonsgosabb informatikai rendszer lesz, amit knnyebb majd felgyelni, msrszt felhvja
a dntshozk figyelmt a terlet fontossgra s erforrs ignyre.
A gyakorlati tapasztalatok is megerstik, hogy egy-egy vizsglat elvgzse s az azt kvet
biztonsgnvel intzkedsek vgrehajtsa az egsz szervezetre nzve pozitv hatssal van
mind a felhasznlkat, mind az IT biztonsg terletn dolgoz munkatrsakat, mind a
dntshozkat, mind pedig a szervezet informci biztonsgi kitettsgt tekintve.
6.2.
Srlkenysgvizsglat megrendelse
Amennyiben felmerlt az igny adott szervezet rszrl, hogy szeretnnek
srlkenysgvizsglatot elvgeztetni sajt rendszerkn, s beazonostsra kerlt, hogy a
vizsglatnak pontosan mit kell rintenie, akkor a kvetkez lps a megrendels, az ajnlatok
bekrse. Egy srlkenysgvizsglati projekt sikere mindig sok tnyezn mlik, fontos az
albbi szempontok figyelembevtele:
A megrendel legyen azzal tisztban, hogy mit vr el clknt a
srlkenysgvizsglattl, az szempontjbl mi az elrend cl. Amennyiben ehhez
esetleg mr a kezdeti fzisban konzultcira van szksge, akkor a kell informcik
beszerzse rdekben egyeztessenszakrtkkel.
Amennyiben a srlkenysgvizsglat clja beazonostsra kerlt, meghatrozsra
kerlhet, hogy pontosan mit szeretne megvizsgltatni a rendszern. ltalnos
hibalehetsg a tl tg, illetve a tl szk vizsglati clterlet (scope) meghatrozsa.
Egy teljes szervezet minden elemre kiterjed vizsglatnak jelents erforrs ignye
van, s nem is minden esetben clszer azt egyben lefolytatni. Ugyanakkor egy
nagyon szkre szabott vizsglati clterlet meghatrozsa utn a vizsglat nem tudja
feltrni a clterletet krlvev rendszer srlkenysgeit, vagy hlzati kapcsoldsi
hinyossgait, gy knnyen abba a hibba futhat a vizsglat, hogy kimutatja, hogy az
adott rendszer biztonsgos, kzben esetleg egy mellette lv eszkz/alkalmazs
srlkenysge miatt a vizsglt elem is knnyedn kompromittlhat. sszefoglalva a
megrendelnek jl meg kell tudnia hatrozni, hogy a vizsglat pontosam milyen
rendszerelemeket rintsen, ehhez j, ha rendelkezik napraksz rendszertervekkel s
szolgltats leltrral.
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
51/68
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
52/68
52
o INTZKEDSI TERV, ELLENRZ LISTA
a hiba javtsrt felels szemly
bels erforrs igny
kls erforrs igny
minsgbiztost
idrfordts
hibajavts kezdete
hibajavts vge
sttusz (elkezdsre vr, nyitott, lezrt)
o EVIDENCE POOL
rszletes tevkenysgnapl dtum szerint rendezve, gpekre lebontva
o
MELLKLETEK felhasznli listk, adatok, adatbzisok, levelek, jelszavak, stb.
o A VIZSGLAT RSZLETES MDSZERTANA
a vizsglat sorn hasznlt mdszertan rszletes bemutatsa
Szakmai kompetencia bemutatsa
A srlkenysgvizsglati kirsra berkezett dokumentcik elbrlsa utn megkezddhet a
srlkenysgvizsglati projekt elksztse.
6.3. Szerzdskts srlkenysgvizsglatra
A szerzds a legtbb esetben szervezetfgg, egyedi kialakts, mgis az albbiaknak
ajnlott megjelennie a szerzdsben:
szerzds trgya
megbzott jogai s ktelezettsgei
megbz jogai s ktelezettsgei
megbzsi dj
fizetsi felttelek
teljestsi hatrid, temterv
teljests mdja
kapcsolattarts
szavatossg, jtlls
szerzdsszegs
ktbr
a szerzds megszntetse
-
7/21/2019 Biztonsagi Teszteles a Gyakorlatban
53/68
53
vis maior
zleti titok
titoktarts
vitarendezs vegyes rendelkezsek
A szerzdsktst kveten megkezddhet a tnyleges srlkenysgvizsglat.
6.4.
Srlkenysgvizsglati Projektdefincis dokumentum
A srlkenysgvizsglat menett javasolt kln Projektdefincis dokumentumban rgzteni,
mely kitr azalbbiakra:
Projekt megllapods
A projekt team felptse
A projekt clkitzsei s feladatai
A cl
A feladatok
Adatkezels
A p