PC Flanc: testiranje računarske bezbednosti na mreži.

20.09.18 2579

Jedno od najvažnijih pitanja u oblasti informacionih tehnologija je bezbednost. Jeste li znali da 96% testiranih aplikacija ima ranjivosti?

Ispod je grafikon od Cenzica koji prikazuje različite vrste pronađenih ranjivosti.

U ovom članku govorit ću o besplatnim alatima za skeniranje web stranice na ranjivosti i zlonamjerni softver.

Spisak razmatranih alata:

• Scan My Server;
• SUCURI;
• Qualys SSL Labs, Qualys FreeScan;
• Quttera;
• Detectify;
• SiteGuarding;
• Web Inspector;
• Acunetix;
• Asafa Web;
• Netsparker Cloud;
• UpGuard Web Scan;
• Tinfoil Security.

1. Skeniraj moj server

ScanMyServer pruža jedan od najsveobuhvatnijih izvještaja o sigurnosnim testovima: SQL injekcija, cross-site skriptiranje, ubrizgavanje PHP koda, otkrivanje izvora, postavljanje HTTP zaglavlja i još mnogo toga.

Izvještaj o skeniranju se šalje e-poštom s kratkim opisom pronađenih ranjivosti.

2.SUCURI

SUCURI je najpopularniji besplatni skener zlonamjernog softvera. Možete brzo testirati lokaciju na zlonamjerni kod, ubrizgavanje SPAM-a i njegovo prisustvo na raznim crnim listama.

SUCURI također čisti i štiti vašu web stranicu od internetskih prijetnji. Alat radi na bilo kojem CMS-u, uključujući WordPress, Joomla, Magento, Drupal, phpBB, itd.

3. Qualys SSL Labs, Qualys FreeScan

SSL Labs je jedan od popularnih alata za skeniranje SSL web servera. Pruža detaljnu analizu https URL-a, ukupne ocjene, šifre, SSL/TLS verzije, simuliranih rukovanja, informacija o protokolu, BEAST-a i još mnogo toga.

FreeScan provjerava web stranice na OWASP najveće rizike i zlonamjerni softver, SCP sigurnosne parametre i druge testove. Da biste skenirali, morate se registrirati za besplatan račun.

4.Quuttera

Quttera provjerava web lokaciju na zlonamjerni softver i ranjivosti.

Ovaj alat skenira web stranicu u potrazi za zlonamjernim datotekama, sumnjivim datotekama, potencijalno sumnjivim datotekama, phishTank-om, kao i prisutnost na listama sigurnog pregledavanja (Google, Yandex) i listama zlonamjernog softvera.

5. Otkrijte

Detectify je skener web stranica baziran na SaaS-u. Omogućava vam da pokrenete preko 100 automatiziranih sigurnosnih testova, uključujući OWASP Top 10 test, testiranje zlonamjernog softvera i još mnogo toga.

Detectify nudi besplatnu probnu verziju od 21 dan.

6. SiteGuarding

SiteGuarding vam omogućava da provjerite svoju domenu na zlonamjerni softver, crnu listu, ubrizgavanje neželjene pošte i još mnogo toga.

Skener je kompatibilan sa WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin i drugim platformama.

SiteGuarding vam također pomaže da uklonite zlonamjerni softver sa vaše web stranice.

7. Web inspektor

Web Inspector skenira stranicu i daje izvještaje – „crna lista“, „phishing“, „malware“, „crvi“, „backdoors“, „trojanci“, „sumnjivi okviri“, „sumnjive veze“.

8. Acunetix

Acunetix provjerava cijelu stranicu na preko 500 različitih ranjivosti.

Alat pruža besplatnu probnu verziju u trajanju od 14 dana.

9. Asafa Web

AsafaWeb nudi skeniranje unatrag, prilagođene greške, praćenje steka, Hash DoS zakrpu, EMLAH zapisnik, samo HTTP kolačiće, sigurne kolačiće, Clickjacking i još mnogo toga.

10. Netsparker Cloud

Netsparker Cloud je sigurnosni skener poslovnih web aplikacija koji može otkriti preko 25 kritičnih ranjivosti. Besplatan je za projekte otvorenog koda. Također možete zatražiti probnu verziju alata.

11. UpGuard Web Scan

UpGuard Web Scan je eksterni alat za procjenu rizika koji koristi javno dostupne informacije o različitim faktorima uključujući SSL, Clickjack napade, kolačiće, DNSSEC, zaglavlja, itd. Još uvijek je u beta verziji, ali vrijedi pokušati.

U sljedećem članku ćemo vam reći kako možete koristiti profesionalne alate za napad na vlastito računalo, te tako proučiti njegov sigurnosni nivo i identificirati moguće ranjivosti.

Njihovim brisanjem dat ćete svom računaru bolja zaštita od uljeza.

Hakeri koji se profesionalno bave kriminalom na Internetu, po pravilu, vrše napade na računare i mreže koristeći posebne razvojne platforme. Takve okviri sadrže skupove alata za organizovanje raznih vrsta napada.

Uključuju i tzv exploits. To su programi, ili barem fragmenti koda, koji omogućavaju korištenje ranjivosti softvera u destruktivne svrhe.

Programeri digitalne sigurnosti kreirali su tri velika okvira. Dva od njih su komercijalna rješenja - Imunitet i Core Security. Treći, Metasploit, nastao je 2003. godine kao projekat otvorenog koda ( open source). Prvo izdanje sastojalo se od samo jedanaest zlonamjernih kodova eksploatskog tipa. Vremenom je baza dostupnih eksploatacija narasla na više od tri hiljade - uglavnom zahvaljujući dobrovoljnoj pomoći stručnjaka za bezbednost.

Metasploit projekat se već nekoliko godina distribuira preko kompanije Rapid 7, koja pored besplatne verzije nudi i dvije komercijalne verzije - Metasploit Express i Pro. Besplatna verzija - Metasploit Community - nema vremenskih ograničenja, ali pruža manji raspon mogućnosti.

Kada je u pitanju izvođenje napada pomoću posebnih hakerskih alata, mnogi korisnici misle na kriminalce koji ilegalno pokušavaju pristupiti tuđim računarima ili infrastrukturi kompanije.

Međutim, u stvarnosti, razvojne platforme kao što je Metasploit mogu se koristiti u skladu sa zakonom. Mrežni administrator ne krši nikakve zakone kada vrši kontrolirani napad na svoj kompjuterski sistem kako bi proučio njegovu stabilnost.

Ako ste kreirali sopstvenu lokalnu mrežu u svom domu, koja se sastoji, na primer, od desktop računara, NAS servera i mobilnih uređaja, vi ste administrator ove mreže. Stoga, opciono možete napasti svoju infrastrukturu pomoću Metasploita i drugih alata kako biste provjerili da li je dovoljno zaštićena od napadača i identificirali moguće slabosti.

U našim zapadnim susjedima čak i vladine agencije preporučuju takve testove penetracije. Federalni ured za IT sigurnost (BSI) objavio je uputstvo u kojem opisuje proceduru testiranja u pet koraka.

Korak 1. Dobijanje osnovnih informacija. Prvo morate odrediti preko kojih IP adresa možete kontaktirati infrastrukturu.

Korak 2. Skeniranje ciljnog sistema. Zatim biste trebali skenirati portove u opremi. Na taj način ćete znati koje usluge ili programi su dostupni sa tačke gledišta agresora.

Korak 3. Identifikacija sistema i softvera. Analizirajte ciljnu infrastrukturu (kao što je FTP server) da odredite ili pogodite verziju softvera.

Korak 4. Potražite ranjivosti. Kada saznate koji sistemi i aplikacije su dostupni na ciljnoj mreži, možete početi tražiti ranjivosti.

Korak 5. Pokušaj iskorištavanja pronađenih ranjivosti. Pravi napad dolazi tek u poslednjoj fazi. U najgorem slučaju, odnosno u slučaju uspješnog napada, napadač će moći dobiti pun pristup ciljnoj infrastrukturi.

Neke organizacije distribuiraju uputstva koja uključuju još nekoliko koraka. Ali, za provjeru stabilnosti vlastite infrastrukture dovoljne su gore navedene upute koje se sastoje od pet faza.

Kao sistem administrator, morate znati preko kojih IP adresa možete kontaktirati svoju opremu.

Ova usluga vam omogućava da odredite IP adresu na osnovu običnog URL-a

Ispitivanje penetracije - pripremni koraci

Da biste izvršili testiranje penetracije koristeći metodu opisanu u nastavku, potrebna vam je razvojna platforma Metasploit. Najbolje ga je preuzeti sa službene web stranice komercijalnog operatera Rapid 7.

Samo pritisnite dugme Preuzmite ZIP, koji se nalazi na desnoj strani stranice. Imajte na umu, međutim, da se navedenom verzijom platforme može upravljati samo iz konzole komandne linije.

Testiranje penetracije - Metoda instalacije Metasploit platforme

Da biste izvršili probni napad na vašu IT infrastrukturu, morate imati poseban računar na raspolaganju.

U tu svrhu je najbolje koristiti kopiju opremljenu nezavisnim pristupom Internetu. Na kraju krajeva, test ima za cilj da utvrdi da li je vaša oprema ranjiva na napade sa Interneta.

Ako je vaš probni računar opremljen bežičnom LAN karticom, možete kreirati zasebnu vezu pomoću pametnog telefona. Uslov je obezbjeđenje tzv modem preko svog operatera mobilne mreže.

Linux okruženje

Testiranje penetracije – skeniranje ciljnog sistema

Analiza ciljnog sistema sa port skenerom. Nakon što odredite IP adresu, možete provjeriti ima li otvorenih portova. Na ovaj način ćete saznati da li vaš sistem pruža eksterne usluge.

Za skeniranje IP adresa možete koristiti, na primjer, vrlo moćan Nmap alat, koji je dio Metasploit paketa. Samo uđi nmap IP adresa da dobijete listu otvorenih portova. U slučaju standardnih portova, nije teško pogoditi koji servis se krije iza otvorenog porta.

U ovom primjeru smo provjerili navedenu IP adresu koristeći nmap skener portova. Port FTP servera se pojavio na listi otvorenih portova

Evo primjera:

msf >nmap 178.254.10.72

Ispitivanje ove privatne adrese pokazalo je da je otvoren port 21. Dakle, možemo pretpostaviti da se FTP server nalazi na navedenoj adresi. Svaki otvoren port je potencijalna meta za napad i zahtijeva detaljnu reviziju.

Testiranje penetracije - traženje ranjivosti

Nakon prepoznavanja adresa i usluga dostupnih u ciljnoj infrastrukturi, potrebno je dobiti detaljnije informacije o njoj. Skeneri za otkrivanje zlonamjernog koda (tzv ranjivosti).

Ovo su alati koji traže softverske ranjivosti. Svrha takvog skeniranja je da se identifikuje ranjivost koja će imati uticaj na ciljni sistem. Metasploit paket pruža mnogo skenera ranjivosti za napade.

Kompletnu listu možete dobiti pomoću naredbe

msf >tip pretrage:pomoćni

Lista je vrlo opsežna, ali možete je suziti koristeći opcije filtriranja. U nastavku prikazujemo proces skeniranja koristeći uslužni program TCP Syn kao primjer.

Prvo ga morate aktivirati pomoću naredbe koristiti:

msf >koristite scanner/portscan/syn

Konzola će potvrditi poziv modula:

msf pomoćni(syn) >

Zatim pozovite listu dostupnih parametara:

msf pomoćni(syn) >prikaži opcije

Koristeći komandu set u kombinaciji sa parametrima RHOSTS I RPORT postavit ćete metu za napad, na primjer:

msf pomoćni(syn) >set RHOSTS 178.254.10.72

msf pomoćni(syn) >set RPORTS 20, 21

Proces skeniranja pokreće naredba trči:

msf pomoćni(syn) >trči

Prikupljanje informacija o ciljnom sistemu i njegovo testiranje su glavne faze testa. Uspjeh napada korištenjem ranjivosti ili druge metode ovisi o rezultatima ovih radnji i dobivenim zaključcima.

Testiranje penetracije - napad na ciljni sistem

Kada u sistemu uspete da pronađete servis koji je dostupan spolja i koji je pun ranjivosti, možete ga napasti eksploatacijom iz Metasploit Framework paketa.

Pod pretpostavkom da naš primjer ciljnog sistema (178.254.10.72) pokreće stariju verziju Quick FTP-a za Windows XP port 21, možemo izvršiti napade pomoću sljedećih naredbi:

msf >koristite exploit/windows/tftp/quick_tftp_pro_mode

msf exploit (quick_tftp_pro_mode) >set RHOST 178.254.10.72

msf exploit (quick_tftp_pro_mode) >postavi RPORT 21

msf exploit (quick_tftp_pro_mode) >trči

Testiranje penetracije - Skener lozinki

Napad kod eksploatacije može biti vrlo efikasan jer pronađena ranjivost omogućava ne samo da se prevaziđu sigurnosne barijere ciljnog sistema, već i da se prodre u njega i aktivira zlonamjerni kod ( nosivost).

Međutim, napadi koji koriste ranjivost često ne uspijevaju. To se dešava, na primjer, u situaciji kada je, suprotno pretpostavci, na sistemu instalirana novija, poboljšana verzija softvera.

Takvi se slučajevi dešavaju vrlo često jer skeniranje ranjivosti ne daje uvijek pouzdane rezultate. Čak i kada se pronađe ispravan exploit, sistem ga može zaustaviti pomoću antivirusnih alata.

Vjerovatnija meta istraživača i cyber kriminalaca je lozinka. U velikim IT infrastrukturama, lozinku štiti više od jednog sistema. Osim toga, u pravilu uspijevaju pronaći korisničke naloge koji nisu zaštićeni dugim i složenim lozinkama.

Skeniranje lozinke

U Metasploit kompletu alata postoji mnogo skenera lozinki koji podržavaju različite usluge. Akreditivi su potrebni ne samo za pokretanje sesije u Windows okruženju, već i za mnoge druge usluge. Na primjer, FTP serveri podržavaju više od pukih datoteka za javno preuzimanje.

Učitavanje datoteka je dozvoljeno registrovanim i ovlaštenim korisnicima. Njihovi nalozi, iako zaštićeni lozinkom, međutim, ne obraćaju baš pažnju na sigurnosna pitanja. Postavite lozinku kao lozinka, asdf ili test123.

Naći ćete odgovarajuće skenere paketa Metasploit u direktoriju scanner_login. Možete ih tražiti pomoću naredbe:

msf >tip pretraživanja:pomoćni put:scanner_login

Ilustrovaćemo način skeniranja lozinki na primjeru alata ftp_login. Koristeći sljedeće komande, učitavamo ftp_login modul, postavljamo odredišnu IP adresu, određujemo napadnuti administratorski nalog, a zatim učitavamo pass.txt datoteku. Tekstualne datoteke koje sadrže baze podataka lozinki dostupne su na Internetu.

msf >koristite auxiliary/scanner/ftp/ftp_login

msf pomoćni (ftp_login) >set RHOSTS 178.254.10.72

msf pomoćni (ftp_login) >postavi USERNAME admin

msf pomoćni (ftp_login) >postavite PASS_File pass.txt

msf pomoćni (ftp_login) >trči

Skener provjerava uzastopno sve lozinke sadržane u navedenoj datoteci. Trebali biste ga sačuvati u okviru Metasploit paketa (podrazumevano je ovo direktorijum C:/metasploit).

Skener lozinki pokušava da hakuje korisnički nalog na FTP serveru. Za vrijeme trajanja ovog testa kreirali smo posebnu datoteku koja sadrži samo dvije lozinke

Ispitivanje penetracije - zaštita od napada

Metasploit platforma vam omogućava da koristite još više modula za skeniranje udaljenih sistema i napad na njih kroz ranjivosti. Mnogi od ovih prostora ne bi trebali biti dostupni sa interneta.

Ako napadač ili istraživač posumnja da je zastarjela verzija Worda ili Adobe Reader-a instalirana na jednom od računala na ciljnoj mreži, korisniku možete poslati zaraženi dokument u DOC-u i PDF-u kao prilog e-pošte. Metasploit vam čak pruža alate za kreiranje takvih dokumenata.

U osnovi, možete se vrlo lako zaštititi od ovih vrsta napada. Instalirajte sva sigurnosna ažuriranja dostupna za vaš softver. Ovo se ne odnosi samo na Windows, već i na sve aplikacije. Koristite Internet samo one usluge bez kojih ne možete.

Također biste trebali koristiti antivirusni softver i redovno ažurirati virusne potpise. Iako postoje eksploatacije koje svoj kod upisuju samo u RAM računara i tako se skrivaju od skenera datoteka, dobra antivirusna aplikacija je u stanju da otkrije veliku većinu štetočina.

O sigurnosti, linuxu, hakovanju, hakiranju i slično...
Po mom iskustvu iu trenucima komunikacije sa različitim ljudima - to su prijatelji, kolege, samo prolazni poznanici, svi se žale, ili se barem suočavaju s problemima povezanim s kompjuterskim virusima. Koliko je bilo slučajeva kada je kvar sistema u jednoj ili drugoj situaciji bio neizbježan, ili je u jednom lijepom trenutku tek počela neka vrsta panike - pojavljuju se i nestaju prozori upozorenja raznih tipova i kada se čini da znate šta trebate učiniti i pokušavate to učiniti, ali još ne razumijete da je sve ovo beskorisno, jer CD-ROM više ne izlazi, Windows malo umire i vi zajedno s njim, jer “Win ​​Doctor - zlatna kolekcija programa ” nije započeo. Ali ovo se dogodilo prije, samo razmislite, demolirao sam operativni sistem, instalirao još jedan, u najboljem slučaju sliku, ako postoji, naravno.

Sada je situacija radikalno drugačija, industrija kompjuterske sigurnosti je narasla preko svih granica, a u isto vrijeme, hakeri ne sjede mirno, svi zarađuju novac - jedni pišu "ransomware viruse" i zarađuju, drugi koriste antiviruse sa skupi ključevi, ali šta je sa običnim čovjekom na svijetu? svijetom interneta, mladom surferom, domaćicom, na kraju bakom u penziji?-) Bar nemoj ni prilaziti kompjuteru.

I tako, jednog lijepog dana, nakon još jedne priče o ukradenim lozinkama i hakovanim email nalozima, odlučio sam da pojačam sigurnost na bukvi. Pošto sam ukrao Windows (iznenađujuće, zar ne?), i tamo sam naišao na nešto slično firewall-u koji zahtijeva sigurnosne nadogradnje, pojavila se ideja da instaliram nešto alternativno i instalirao sam COMODO, nakon čitanja recenzija. Za mene to radi u sprezi sa Nod32, ali ovo nije poenta. Čini se da su portovi zatvoreni, mreža i proaktivna zaštita, kao što vidite, rade. Da li je to zaista tako? I odlučio sam to provjeriti.

Nakon skrolovanja kroz nekoliko servisa, oči su mi se zaustavile na PC Flank (PR – 5, usput PR web stranice FBI – 8), u suštini ovo je način da testirate svoj firewall na funkcionalnost, pouzdanost, da tako kažem, i plus par dodatnih testova. Ono što me je zanimalo je širok spektar mogućnosti i jednostavnost korišćenja, uprkos engleskom jeziku, sve je intuitivno čak i za potpuno neupućenog čoveka.

Pogledajmo pobliže šta je ova usluga zapravo. Ima nekoliko različitih testova.

BrzoTest– ovaj test (uključuje tri dole navedena testa) i pokazuje koliko je vaš računar ranjiv na razne internet pretnje. Test utvrđuje da li je vaš računar zaražen trojancem, koje lične podatke vaš web pretraživač prikazuje o vama ili vašem računaru dok ste na mreži (ovaj test je za mene bio negativan), a takođe skenira portove u potrazi za ranjivostima. Test traje manje od tri minute. Nakon toga, vidjet ćete potpunu poruku sa preporukama kako da poboljšate sigurnost vašeg sistema. Ovaj test se preporučuje za nove korisnike i korisnike koji nemaju dovoljno vremena da završe sve testove.

Očigledno ima problema sa pretraživačem, ali više o tome u nastavku.

StealthTest– ovim testom možete utvrditi da li je vaš računar vidljiv drugim korisnicima interneta. Takođe možete koristiti ovaj test da odredite koliko dobro vaš firewall skriva portove vašeg sistema (što sam i želio da saznam). Da bi se utvrdilo da li je vaš računar vidljiv na Internetu, ovaj test koristi pet metoda pretraživanja: TCP ping, TCP NULL, TCP FIN, TCP XMAS i UDP skeniranje.

Rezultati testa pokazuju da je bio uspješan, sistem nije odgovarao na zahtjeve, jer je zaštićen i skriven od svih.

Pretraživač Test- ovaj test će provjeriti da li vaš pretraživač otkriva neke od vaših osobnih podataka ili kolačića - popularno. A to su, prije svega, vaše prijave, lozinke, podaci o registraciji, bankovni podaci itd. Kada se završi, test preporučuje promjenu određenih postavki u vašem pretraživaču. A evo šta imamo:

Ukratko: imam kolačiće koji se mogu ukrasti; moja preporuka je da ih instalirate ili konfigurirate ako imate firewall ili anti-spyware softver. Druga stvar je da pretraživač prikazuje privatne informacije (tzv. 'referrer'), preporuka je blokiranje distribucije takvih informacija firewall-om.

Trojanci Test— Ovaj test će skenirati vaš sistem na prisustvo najopasnijih i najraširenijih trojanaca. Ako se na vašem računaru pronađe trojanac, test daje preporuke za akciju.

A ovo je samo prvih 10, a možete li zamisliti da tamo ima oko 50 vrsta? Stealthed – znači da su portovi zatvoreni i nevidljivi i zaštićen firewall-om . Q.E.D!!

Napredno Port Scanner— skener portova će provjeriti vaš sistem otvorenih portova koji se mogu koristiti u napadima na vaš računar. Možete odabrati koji režim gledanja će se koristiti tokom testa: jednostavna TCP veza (standardna) ili TCP SYN pregled - sa nekompletnom uspostavljanjem veze. Također možete odabrati: željene portove ili raspon portova, najugroženije ili trojanske portove, 20 nasumičnih portova ili sve portove. Ovaj test se preporučuje iskusnim korisnicima.

Exploits Test— ovaj test će otkriti na koje vrste napada je vaš računar ranjiv. Test se također može koristiti za testiranje zaštitnog zida i rutera za stabilnost i odgovore na neočekivane pakete. Većina radnji može dovesti do uskraćivanja usluge sistemu, pa se preporučuje zatvaranje svih dodatnih programa i, ako je potrebno, ponovno pokretanje. Može potrajati do 5 minuta, ovisno o brzini internetske veze.

Vidite po smajliju rezultat je pozitivan, sistem je zaštićen od napada!

To je sve. Zaključak: firewall je provjeren i radi dobro. Za sebe sam naučio da se problemi s kolačićima mogu riješiti na nivou pretraživača, a za pouzdanost na nivou firewall-a, to je također moguće. Sigurnost vaših računara, servera, mreža je u vašim rukama. I neka bude na pristojnom nivou.
Mir i prosperitet servisu PC Flank!

Želeo bih da se zahvalim Bogdanu na ovakvom izletu u jedan od servisa za proveru računarske bezbednosti. Usput, na njegovom ličnom blogu možete pronaći mnoge slične publikacije, na primjer, post o Firewall-u. Takođe se možete pretplatiti na RSS bloga i primati sva ažuriranja u čitaču. Sigurnost, kao i opis raznih prijetnji, važna je i korisna informacija.

P.S. Guard. Čitamo kako provjeriti je li web lokacija zabranjena u Yandexu ili Google-u.
Također možete pogledati SEO blog Aveb, ukrajinske kompanije za promociju web stranica.
Da li želite da smršate? Sa ženskim portalom feelgood.com.ua lako možemo ispravno smršaviti. Članci o dijetama.

Koje su u Intelovim, AMD i ARM procesorima otkrili Google stručnjaci. Glasine o Meltdownu i Spectreu proširile su se internetom prilično brzo i natjerale mnoge kompanije da objave ažuriranja za svoje proizvode. Međutim, ispostavilo se da su glasine o padu performansi operativnog sistema za 30-40 posto čisto teoretske. Nakon poraza sistema došlo je do pada snage i iznosio je svega 4-10 posto. Stoga je panika oko Meltdowna i Spectre brzo splasnula. Međutim, na mreži se pojavio uslužni program za provjeru ranjivosti procesora na Meltdown i Spectre. Izdala ga je poznata kompanija Ashampoo i omogućava vam da provjerite sistem za gore navedene ranjivosti.

Kako Ashampoo Spectre Meltdown CPU Checker radi?

Program za provjeru ranjivosti možete preuzeti sa službene web stranice programera apsolutno besplatno.

Program je jednostavan za korištenje. Ne zahtijeva instalaciju. Samo preuzmite exe datoteku na svoj PC i pokrenite skeniranje klikom na dugme „Pokreni sigurnosnu provjeru“.

Sistem će biti skeniran u potrazi za ranjivostima. Crvena pozadina ukazuje na opasnost.

Šta učiniti ako je vaš računar ugrožen?

Prvo morate preuzeti najnovija sigurnosna ažuriranja za svoju verziju Windows-a. Drugo, potrebno je da ažurirate svoje pretraživače, drajvere video kartice i, ako je moguće, BIOS. Naravno, morate slijediti sigurnosna pravila i, prilikom ažuriranja firmvera matične ploče, pročitati upute na službenoj web stranici proizvođača. I naravno, preporučujemo da se pridržavate sigurnosnih pravila pri radu na internetu. Ne biste trebali preuzimati datoteke sa sumnjivih stranica i posjećivati ​​resurse sumnjive reputacije.

Proces koji se naziva skeniranje ranjivosti je proces provjere pojedinačnih hostova ili mreža za potencijalne prijetnje.

A potreba za provjerom sigurnosti javlja se kod IT stručnjaka prilično često – posebno kada su u pitanju velike organizacije koje imaju vrijedne informacije koje bi mogle biti potrebne napadačima.

Administratori malih mreža ne bi trebali zanemariti ovakvo skeniranje, pogotovo jer su u 2017. stotine hiljada računara bile podvrgnute ozbiljnim napadima velikih ransomware virusa koje su lansirali hakeri.

Korištenje skenera ranjivosti

Stručnjaci za sigurnost informacija koriste odgovarajući softver za skeniranje mreža u potrazi za slabostima u njihovim sigurnosnim sistemima.

Takvi programi se nazivaju skeneri ranjivosti.

Princip njihovog rada je provjeravanje aplikacija koje rade na mrežnim računarima i traženje takozvanih „rupa“ koje bi autsajderi mogli koristiti za pristup važnim informacijama.

Pravilna upotreba programa koji mogu otkriti mrežne ranjivosti omogućava IT stručnjacima da izbjegnu probleme s ukradenim lozinkama i riješiti sljedeće probleme:

• traženje zlonamjernog koda koji je ušao u vaš računar;
• inventar softvera i drugih sistemskih resursa;
• kreiranje izvještaja koji sadrže informacije o ranjivosti i načinima za njihovo otklanjanje.

Skeneri ranjivosti su od posebnog značaja za one organizacije čije aktivnosti uključuju obradu i skladištenje vrednih arhiva i poverljivih informacija. Takve programe zahtijevaju kompanije koje se bave naučnim istraživanjem, medicinom, trgovinom, informatičkom tehnologijom, oglašavanjem, finansijama i drugim poslovima na koje bi curenje informacija moglo uticati.

Mehanizmi za skeniranje

Skeniranje ranjivosti se vrši pomoću dva glavna mehanizma - skeniranje i sondiranje.

Prva opcija pretpostavlja da program skenera vrši pasivnu analizu, utvrđujući prisustvo sigurnosnih problema samo po nizu indirektnih znakova, ali bez stvarnih dokaza.

Ova tehnika se naziva "logičko zaključivanje", i njegovi principi su izvođenje sljedećih koraka:

1. Identifikacija otvorenih portova na svakom uređaju u mreži;

2. Zbirka zaglavlja povezanih sa portovima i pronađenih tokom procesa skeniranja;

3. Poređenje primljenih zaglavlja sa posebnom tabelom koja sadrži pravila za identifikaciju ranjivosti;

4. Dobijanje zaključaka o prisustvu ili odsustvu sigurnosnih problema u mreži.

Proces koji se zove "probiranje" je aktivna tehnika testiranja koja vam omogućava da sa gotovo stopostotnom sigurnošću provjerite postoje li ranjivosti u mreži ili ne.

Relativno je spor u poređenju sa skeniranjem, ali je u većini slučajeva precizniji.

Metoda, koja se naziva i „potvrda“, koristi informacije dobijene tokom preliminarnog skeniranja za efikasniju analizu svakog mrežnog uređaja, potvrđujući ili poričući prisustvo prijetnji.

Glavna prednost druge opcije nije samo potvrda onih problema koji se mogu otkriti jednostavnim skeniranjem, već i otkrivanje problema koji se ne mogu pronaći pasivnom tehnikom. Provjera se izvodi pomoću tri mehanizma - provjera zaglavlja, provjera aktivnog sondiranja i simulirani napadi.

Provjera zaglavlja

Mehanizam čije ime na engleskom zvuči kao "provjera banera", sastoji se od niza skeniranja i omogućava donošenje određenih zaključaka na osnovu podataka koji se prenose programu skenera kao odgovor na njegov zahtjev.

Primjer takve provjere bi bilo skeniranje zaglavlja koristeći Sendmail aplikaciju, koji vam omogućava da odredite verzije softvera i potvrdite prisustvo ili odsustvo problema.

Tehnika se smatra najjednostavnijom i najbržom, ali ima niz nedostataka:

• Ne baš visoka efikasnost verifikacije.Štaviše, napadači mogu promijeniti informacije zaglavlja, uklanjajući brojeve verzija i druge informacije koje koristi skener da bi došao do zaključaka. S jedne strane, vjerovatnoća takve promjene nije prevelika, s druge strane, ne treba je zanemariti.
• Nemogućnost da se tačno utvrdi da li podaci sadržani u zaglavlju predstavljaju dokaz ranjivosti. Prije svega, ovo se odnosi na programe koji se isporučuju s izvornim tekstom. Kada se popravljaju njihove ranjivosti, brojevi verzija u zaglavljima moraju se mijenjati ručno - ponekad programeri jednostavno zaborave to učiniti.
• IN vjerovatnoća da će se ranjivost pojaviti u budućim verzijama programa, čak i nakon što je eliminisan iz prethodnih modifikacija.

U međuvremenu, uprkos određenim nedostacima i nedostatku garancije za otkrivanje „rupa“ u sistemu, proces provjere zaglavlja može se nazvati ne samo prvom, već i jednom od glavnih faza skeniranja. Štaviše, njegova upotreba ne remeti rad ni usluga ni mrežnih čvorova.

Aktivne provjere sonde

Tehnika, poznata i kao “aktivna provjera provjere”, nije zasnovana na provjeri verzija softvera u zaglavljima, već na analizi i upoređivanju digitalnih “otisaka” programa sa informacijama o već poznatim ranjivostima.

Princip njegovog rada pomalo kao algoritam antivirusnih aplikacija, što uključuje poređenje skeniranih fragmenata s bazama podataka o virusima.

Ista grupa tehnika uključuje i provjeru datuma kreiranja softvera koji se skenira ili kontrolnih suma, što vam omogućava da provjerite autentičnost i integritet programa.

Za pohranjivanje informacija o ranjivosti koriste se specijalizirane baze podataka koje također sadrže informacije koje vam omogućavaju da eliminišete problem i smanjite rizik od neovlaštenog pristupa mreži.

Ove informacije ponekad koriste i sistemi za sigurnosnu analizu i softver čiji je zadatak otkrivanje napada. Općenito, tehnika testiranja aktivne sonde koju koriste velike kompanije kao što su ISS i Cisco je znatno brža od drugih metoda - iako je teže implementirati od provjere zaglavlja.

Simulirani napadi

Druga metoda na engleskom se zove "provjera eksploatacije", što se na ruski može prevesti kao "simulirani napadi".

Provjera koja se vrši uz njegovu pomoć također je jedna od opcija sondiranja i temelji se na traženju grešaka programa njihovim jačanjem.

Tehnika ima sljedeće karakteristike:

• neke sigurnosne rupe se ne mogu otkriti dok se ne simulira pravi napad na sumnjive usluge i čvorove;
• programi skenera provjeravaju zaglavlja softvera tokom lažnog napada;
• Prilikom skeniranja podataka, ranjivosti se otkrivaju mnogo brže nego u normalnim uslovima;
• simulacijom napada možete pronaći više ranjivosti (ako su postojale u početku) nego korištenjem dvije prethodne metode - i brzina otkrivanja je prilično velika, ali korištenje ove metode nije uvijek preporučljivo;
• Situacije koje ne dozvoljavaju pokretanje „imitacionih napada“ dele se u dve grupe – pretnja problema sa održavanjem softvera koji se testira ili suštinska nemogućnost napada na sistem.

Nepoželjno je koristiti tehniku ​​ako su objekti inspekcije zaštićeni serveri sa vrijednim informacijama.

Napad na takve računare može dovesti do ozbiljnog gubitka podataka i kvara važnih mrežnih elemenata, a troškovi vraćanja funkcionalnosti mogu biti preozbiljni, čak i ako se uzme u obzir povećana sigurnost sistema.

U ovom slučaju, preporučljivo je koristiti druge metode provjere - na primjer, aktivno ispitivanje ili provjeru zaglavlja.

U međuvremenu, lista ranjivosti uključuje i one koje se ne mogu otkriti bez pokušaja simulacije napada - to uključuje, na primjer, podložnost napadima Packet Storm.

Podrazumevano, takve metode verifikacije su onemogućene u sistemu.

Korisnik će ih morati samostalno omogućiti.

Programi skenera koji koriste treću metodu skeniranja ranjivosti uključuju sisteme poput Internet Scanner I CyberCop skener. U prvoj aplikaciji, provjere su istaknute u posebnoj kategoriji „Odbijanje usluge“. Kada koristite bilo koju funkciju sa liste, program prijavljuje opasnost od kvara ili ponovnog pokretanja skeniranog čvora, upozoravajući da odgovornost za pokretanje skeniranja leži na korisniku.

Glavne faze provjere ranjivosti

Većina programa koji skeniraju ranjivosti radi ovako:

1. Prikuplja sve potrebne informacije o mreži, prvo identifikujući sve aktivne uređaje u sistemu i softver koji se na njima izvodi. Ako se analiza vrši samo na nivou jednog računara na kojem je već instaliran skener, ovaj korak se preskače.

2. Pokušava pronaći potencijalne ranjivosti, koristeći posebne baze podataka za upoređivanje primljenih informacija sa već poznatim vrstama sigurnosnih rupa. Poređenje se vrši pomoću aktivnog sondiranja ili provjere zaglavlja.

3. Potvrđuje pronađene ranjivosti pomoću posebnih tehnika– imitacija određene vrste napada koja može dokazati prisustvo ili odsustvo prijetnje.

4. Generiše izveštaje na osnovu informacija prikupljenih tokom skeniranja, opisujući ranjivosti.

Posljednja faza skeniranja je automatsko ispravljanje ili pokušaj rješavanja problema. Ova funkcija je dostupna u skoro svakom sistemskom skeneru i nedostaje u većini aplikacija za skeniranje mrežnih ranjivosti.

Razlike u radu različitih programa

Neki skeneri kategoriziraju ranjivosti prema nivou prijetnje.

Na primjer, NetSonar sistem dijeli ih na mrežne, koje mogu utjecati na rutere, dakle ozbiljnije, i lokalne, koje utiču na radne stanice.

Internet Scanner dijeli prijetnje na tri nivoa - nizak, visok i srednji.

Ova dva skenera imaju još nekoliko razlika.

Uz njihovu pomoć, izvještaji se ne samo kreiraju, već i dijele u nekoliko grupa, od kojih je svaka namijenjena određenim korisnicima - od mrežnih administratora do organizacijskih lidera.

Štaviše, za prve je dat maksimalan broj brojeva, za menadžment - lijepo dizajnirani grafikoni i dijagrami s malom količinom detalja.

Izveštaji koje generišu skeneri sadrže preporuke za eliminisanje pronađenih ranjivosti.

Većina ovih informacija sadržana je u podacima koje proizvodi program Internet Scanner, koji daje upute korak po korak za rješavanje problema, uzimajući u obzir karakteristike različitih operativnih sistema.

Mehanizam za rješavanje problema također je različito implementiran u skenerima. Dakle, u Skeneru sistema postoji posebna skripta za ovo, koju je pokrenuo administrator kako bi riješio problem. Istovremeno se kreira i drugi algoritam koji može ispraviti učinjene promjene ako je prvi doveo do pogoršanja performansi ili kvara pojedinih čvorova. U većini drugih programa skenera ne postoji opcija za poništavanje promjena.

Radnje administratora za otkrivanje ranjivosti

Da bi pronašao sigurnosne rupe, administrator može koristiti tri algoritma.

Prva i najpopularnija opcija– provjeravanje mreže samo za potencijalne ranjivosti. Omogućava vam da pregledate sistemske podatke bez ometanja rada čvorova i pružajući maksimalnu brzinu analize.

Druga opcija– skeniranje radi provjere i potvrđivanja ranjivosti. Tehnika oduzima više vremena i može uzrokovati kvarove u softveru računara na mreži tokom implementacije mehanizma za simulaciju napada.

Metoda br. 3 uključuje korištenje sva tri mehanizma (sa administratorskim i korisničkim pravima) i pokušaj eliminacije ranjivosti na pojedinačnim računarima. Zbog male brzine i rizika od oštećenja softvera, ova metoda se najrjeđe koristi – uglavnom kada postoje ozbiljni dokazi o prisutnosti „rupa“.

Mogućnosti modernih skenera

Glavni zahtjevi za program skenera koji provjerava sistem i njegove pojedinačne komponente na ranjivosti su: su:

• Cross-platform ili podrška za više operativnih sistema. Ako imate ovu funkciju, možete skenirati mrežu koja se sastoji od računara sa različitim platformama. Na primjer, sa nekoliko verzija Windows-a ili čak sa sistemima kao što je UNIX.
• Mogućnost skeniranja više portova istovremeno– ova funkcija značajno smanjuje vrijeme potrebno za verifikaciju.
• Skeniranje svih vrsta softvera koji su obično podložni napadima hakera. Takav softver uključuje proizvode kompanije Adobe i Microsoft (na primjer, MS Office paket uredskih aplikacija).
• Provjera mreže u cjelini i njenih pojedinačnih elemenata bez potrebe za skeniranjem za svaki sistemski čvor.

Većina modernih programa za skeniranje ima intuitivan meni i prilično ih je lako konfigurirati u skladu sa zadacima koji se obavljaju.

Dakle, skoro svaki takav skener vam omogućava da kreirate listu hostova i programa za skeniranje, navedete aplikacije za koje će se ažuriranja automatski instalirati kada se otkriju ranjivosti i podesiti učestalost skeniranja i generisanja izveštaja.

Nakon prijema izvještaja, skener dozvoljava administratoru da pokrene sanaciju prijetnji.

Među dodatnim karakteristikama skenera možemo izdvojiti mogućnost uštede prometa, koja se postiže preuzimanjem samo jedne kopije distribucije i njenom distribucijom na sva računala u mreži. Još jedna važna funkcija uključuje čuvanje istorije prošlih skeniranja, što vam omogućava da procenite rad čvorova u određenim vremenskim intervalima i procenite rizike od novih bezbednosnih problema.

Skeneri mrežnih ranjivosti

Raspon programa za skener na savremenom softverskom tržištu je prilično velik.

Svi se međusobno razlikuju po funkcionalnosti, efikasnosti traženja ranjivosti i cijeni.

Da biste procijenili mogućnosti takvih aplikacija, vrijedi razmotriti karakteristike i značajke pet najpopularnijih opcija.

GFI LanGuard

Proizvođač GFI Software smatra se jednim od lidera na globalnom tržištu informacione sigurnosti, a njegovi proizvodi su uključeni u ocjene najprikladnijih i najefikasnijih u provjeri ranjivosti programa.

Jedna takva aplikacija koja pruža sigurnost za mrežu i pojedinačne računare je GFI LanGuard. čije karakteristike uključuju:

• brza procjena statusa luka u sistemu;
• traženje nesigurnih postavki na mrežnim računalima i zabranjene instalacije programa, dodataka i zakrpa;
• mogućnost skeniranja ne samo pojedinačnih računara i servera, već i virtuelnih mašina uključenih u sistem, pa čak i povezanih pametnih telefona;
• sastavljanje detaljnog izvještaja na osnovu rezultata skeniranja, sa naznakom ranjivosti, njihovih parametara i načina eliminacije;
• intuitivna kontrola i mogućnost konfigurisanja automatskog rada - ako je potrebno, skener se pokreće u određeno vrijeme, a sve ispravke se izvode bez intervencije administratora;
• mogućnost brzog uklanjanja otkrivenih prijetnji, promjene postavki sistema, ažuriranja dozvoljenog softvera i uklanjanja zabranjenih programa.

Ono po čemu se ovaj skener razlikuje od većine analoga je instalacija ažuriranja i zakrpa za gotovo svaki operativni sistem.

Ova karakteristika i druge prednosti GFI LanGuarda omogućavaju mu da bude na vrhu rejtinga programa za pretraživanje ranjivosti mreže.

U isto vrijeme, cijena korištenja skenera je relativno niska i pristupačna je čak i za male kompanije.

Nessus

Nessus program je prvi put objavljen prije 20 godina, ali je tek od 2003. postao plaćen.

Monetizacija projekta nije ga učinila manje popularnim – zahvaljujući njegovoj efikasnosti i brzini, svaki šesti administrator na svijetu koristi upravo ovaj skener.

Prednosti odabira Nessus-a uključuju:

• baza podataka ranjivosti koja se stalno ažurira;
• jednostavna instalacija i korisničko sučelje;
• efikasno otkrivanje sigurnosnih problema;
• korištenje dodataka, od kojih svaki obavlja svoj zadatak - na primjer, skenira Linux OS ili počinje provjeravati samo zaglavlja.

Dodatna funkcija skenera– mogućnost korištenja testova koje su kreirali korisnici koristeći poseban softver. Istovremeno, program ima i dva ozbiljna nedostatka. Prvi je mogućnost kvara nekih programa prilikom skeniranja metodom „simuliranih napada“, drugi je prilično visoka cijena.

Symantec sigurnosna provjera

Sigurnosna provjera je besplatni skener kompanije Symantec.

Među njegovim funkcijama, vrijedi istaknuti pretragu ne samo ranjivosti, već i virusa - uključujući makro viruse, trojance i internetske crve. U stvari, aplikacija se sastoji od 2 dijela - skenera za sigurnosno skeniranje, koji osigurava sigurnost mreže, i antivirusnog programa za otkrivanje virusa.

Prednosti programa uključuju jednostavnu instalaciju i mogućnost rada preko pretraživača. Među nedostacima ističu nisku efikasnost - svestranost proizvoda, koja mu omogućava i pretraživanje virusa, čini ga neprikladnim za skeniranje mreže. Većina korisnika preporučuje korištenje ovog skenera samo za dodatne provjere.

XSpider

XSpider skener proizvodi Positive Technologies, čiji predstavnici tvrde da program ne samo da otkriva već poznate ranjivosti, već je u stanju da pronađe prijetnje koje još nisu stvorene.

Karakteristike aplikacije uključuju:

• efikasno otkrivanje „rupa“ u sistemu;
• mogućnost rada na daljinu bez instaliranja dodatnog softvera;
• kreiranje detaljnih izvještaja sa savjetima za rješavanje problema;
• ažuriranje baze podataka ranjivosti i softverskih modula;
• istovremeno skeniranje velikog broja čvorova i radnih stanica;
• čuvanje istorije testiranja za dalju analizu problema.

Također je vrijedno napomenuti da je cijena korištenja skenera pristupačnija u odnosu na Nessus program. Iako viši od GFI LanGuarda.

QualysGuard

Skener se smatra multifunkcionalnim i omogućava vam da dobijete detaljan izvještaj u kojem se procjenjuje nivo ranjivosti, vrijeme za njihovo uklanjanje i nivo uticaja „prijetnje“ na poslovanje.

Razvijač proizvoda, Qualys, Inc., opskrbljuje program stotinama hiljada potrošača, uključujući polovinu najvećih svjetskih kompanija.

Razlika između programa je prisutnost skladišta baze podataka u oblaku i ugrađenog skupa aplikacija, što omogućava ne samo povećanje sigurnosti mreže, već i smanjenje troškova njenog dovođenja u različite zahtjeve.

Softver vam omogućava da skenirate korporativne web stranice, pojedinačne računare i mrežu u cjelini.

Rezultat skeniranja je izvještaj koji se automatski šalje administratoru i sadrži preporuke za otklanjanje ranjivosti.

zaključci

Uzimajući u obzir širok spektar aplikacija za skeniranje mreže i njenih čvorova na ranjivosti, rad administratora je znatno olakšan.

Sada od njega nije potrebno samostalno pokretati sve mehanizme skeniranja ručno - samo treba pronaći odgovarajuću aplikaciju, odabrati metodu skeniranja, konfigurirati i koristiti preporuke primljenog izvještaja.

Trebalo bi da izaberete odgovarajući skener na osnovu funkcionalnosti aplikacije, efikasnosti detekcije pretnji (koja se utvrđuje na osnovu recenzija korisnika) - i, što je takođe veoma važno, po ceni koja bi trebalo da bude uporediva sa vrednošću informacija koje zaštićeno.