PC Flanc: testare la sicurezza informatica online.

20.09.18 2579

Una delle questioni più importanti nel campo della tecnologia dell’informazione è la sicurezza. Sapevi che il 96% delle applicazioni testate presenta vulnerabilità?

Di seguito è riportato un grafico di Canzic che mostra i diversi tipi di vulnerabilità rilevate.

In questo articolo parlerò di strumenti gratuiti per la scansione di un sito Web alla ricerca di vulnerabilità e malware.

Elenco degli strumenti considerati:

• Scansiona il mio server;
• SUCURI;
• Qualys SSL Labs, Qualys FreeScan;
• Quttera;
• Rilevare;
• Protezione del sito;
• Ispettore Web;
• Acunetix;
• Asafa Web;
• Netsparker Nuvola;
• Scansione Web UpGuard;
• Sicurezza della carta stagnola.

1. Scansiona il mio server

ScanMyServer fornisce uno dei report più completi sui test di sicurezza: iniezione SQL, scripting cross-site, iniezione di codice PHP, divulgazione della fonte, impostazione di intestazioni HTTP e molto altro.

Il rapporto di scansione viene inviato via email con una breve descrizione delle vulnerabilità rilevate.

2.SUCURI

SUCURI è lo scanner malware gratuito più popolare. Puoi testare rapidamente un sito per rilevare codice dannoso, iniezioni di SPAM e la sua presenza in varie liste nere.

SUCURI inoltre pulisce e protegge il tuo sito web dalle minacce online. Lo strumento funziona su qualsiasi CMS, inclusi WordPress, Joomla, Magento, Drupal, phpBB, ecc.

3. Qualys SSL Labs, Qualys FreeScan

SSL Labs è uno dei popolari strumenti di scansione dei server Web SSL. Fornisce un'analisi approfondita dell'URL https, della valutazione complessiva, della crittografia, della versione SSL/TLS, degli handshake simulati, delle informazioni sul protocollo, BEAST e altro ancora.

FreeScan controlla i siti per i rischi principali OWASP e il malware, i parametri di sicurezza SCP e altri test. Per eseguire la scansione è necessario registrarsi per un account gratuito.

4.Quuttera

Quttera controlla il sito per malware e vulnerabilità.

Questo strumento esegue la scansione del sito alla ricerca di file dannosi, file sospetti, file potenzialmente sospetti, phishTank, nonché presenza in elenchi di navigazione sicuri (Google, Yandex) ed elenchi di malware.

5. Rileva

Detectify è uno scanner di siti Web basato su SaaS. Ti consente di eseguire oltre 100 test di sicurezza automatizzati, incluso il test OWASP Top 10, test del malware e molti altri.

Detectify offre una prova gratuita di 21 giorni.

6. Protezione del sito

SiteGuarding ti consente di controllare il tuo dominio per individuare malware, blacklist, iniezioni di spam e altro ancora.

Lo scanner è compatibile con WordPress, Joomla, Drupal, Magento, osCommerce, Bulletin e altre piattaforme.

SiteGuarding ti aiuta anche a rimuovere software dannoso dal tuo sito web.

7. Ispettore Web

Web Inspector esegue la scansione del sito e fornisce report: "lista nera", "phishing", "malware", "worm", "backdoor", "Trojan", "frame sospetti", "connessioni sospette".

8. Acunetix

Acunetix controlla l'intero sito per oltre 500 diverse vulnerabilità.

Lo strumento fornisce una prova gratuita per 14 giorni.

9. Asafa Web

AsafaWeb offre traceback di scansione, errori personalizzati, traccia dello stack, patch Hash DoS, registro EMLAH, cookie solo HTTP, cookie sicuri, clickjacking e altro ancora.

10. NetsparkerNuvola

Netsparker Cloud è uno scanner di sicurezza per applicazioni Web aziendali in grado di rilevare oltre 25 vulnerabilità critiche. È gratuito per i progetti open source. Puoi anche richiedere una versione di prova dello strumento.

11. Scansione Web UpGuard

UpGuard Web Scan è uno strumento esterno di valutazione del rischio che utilizza informazioni disponibili al pubblico su vari fattori tra cui SSL, attacchi clickjack, cookie, DNSSEC, intestazioni, ecc. È ancora in versione beta, ma vale la pena provarlo.

Nel prossimo articolo ti spiegheremo come utilizzare strumenti professionali per attaccare il tuo computer e quindi studiarne il livello di sicurezza e identificare possibili vulnerabilità.

Eliminandoli, fornirai al tuo computer migliore protezione contro gli intrusi.

Gli hacker coinvolti professionalmente in crimini su Internet, di norma, effettuano attacchi a computer e reti utilizzando speciali piattaforme di sviluppo. Come quadri contengono serie di strumenti per organizzare vari tipi di attacchi.

Includono anche i cosiddetti sfrutta. Si tratta di programmi, o almeno di frammenti di codice, che consentono di utilizzare le vulnerabilità del software per scopi distruttivi.

I programmatori di sicurezza digitale hanno creato tre grandi framework. Due di queste sono soluzioni commerciali: Immunity e Core Security. Il terzo, Metasploit, è stato creato nel 2003 come progetto open source ( fonte aperta). La prima diffusione consisteva di soli undici codici maligni del tipo exploit. Nel corso del tempo, il numero degli exploit disponibili è cresciuto fino a superare i tremila, soprattutto grazie all'aiuto volontario di specialisti della sicurezza.

Da diversi anni ormai il progetto Metasploit è distribuito tramite la società Rapid 7, che, oltre alla versione gratuita, offre due versioni commerciali: Metasploit Express e Pro. La versione gratuita - Metasploit Community - non ha limiti di tempo, ma offre una gamma più piccola di funzionalità.

Quando si tratta di sferrare attacchi con speciali strumenti di hacking, molti utenti pensano a criminali che tentano di accedere illegalmente ai computer o alle infrastrutture aziendali di altre persone.

In realtà, però, piattaforme di sviluppo come Metasploit possono essere utilizzate a norma di legge. Un amministratore di rete non infrange alcuna legge quando sferra un attacco controllato al suo sistema informatico per studiarne la stabilità.

Se hai creato a casa tua una rete locale, composta ad esempio da un computer desktop, un server NAS e dispositivi mobili, sei l'amministratore di questa rete. Pertanto potete opzionalmente attaccare la vostra infrastruttura con Metasploit e altri strumenti per verificare se è sufficientemente protetta dagli aggressori e per identificare eventuali punti deboli.

Nei nostri vicini occidentali, anche le agenzie governative raccomandano tali test di penetrazione. L'Ufficio federale per la sicurezza informatica (BSI) ha pubblicato delle istruzioni in cui descrive una procedura di test in cinque fasi.

Passo 1. Ottenere informazioni di base. Per prima cosa devi determinare attraverso quali indirizzi IP puoi contattare l'infrastruttura.

Passo 2. Scansione del sistema di destinazione. Quindi dovresti scansionare le porte dell'apparecchiatura. In questo modo saprai quali servizi o programmi sono disponibili dal punto di vista dell'aggressore.

Passaggio 3. Identificazione del sistema e del software. Analizzare l'infrastruttura di destinazione (come un server FTP) per determinare o indovinare la versione del software.

Passaggio 4. Cerca le vulnerabilità. Una volta che sai quali sistemi e applicazioni sono disponibili sulla rete di destinazione, puoi iniziare a cercare le vulnerabilità.

Passaggio 5. Un tentativo di sfruttare le vulnerabilità rilevate. Il vero attacco arriva solo nell'ultima fase. Nel peggiore dei casi, cioè in caso di attacco riuscito, l'aggressore potrà ottenere pieno accesso all'infrastruttura presa di mira.

Alcune organizzazioni distribuiscono istruzioni che includono numerosi passaggi aggiuntivi. Ma per verificare la stabilità della propria infrastruttura sono sufficienti le suddette istruzioni, composte da cinque fasi.

In qualità di amministratore di sistema, devi sapere attraverso quali indirizzi IP puoi contattare la tua apparecchiatura.

Questo servizio ti consente di determinare l'indirizzo IP in base a un normale URL

Test di penetrazione - fasi preparatorie

Per condurre test di penetrazione utilizzando il metodo descritto di seguito, è necessaria la piattaforma di sviluppo Metasploit. È meglio scaricarlo dal sito ufficiale dell'operatore commerciale Rapid 7.

Basta premere un pulsante Scarica ZIP, che si trova sul lato destro della pagina. Tieni presente, tuttavia, che la versione specificata della piattaforma può essere gestita solo dalla console della riga di comando.

Test di penetrazione: metodo di installazione della piattaforma Metasploit

Per effettuare un attacco di prova alla vostra infrastruttura IT, dovete avere a disposizione un computer separato.

A questo scopo è preferibile utilizzare una copia dotata di accesso Internet indipendente. Dopotutto, il test mira a determinare se la tua attrezzatura può essere vulnerabile agli attacchi provenienti da Internet.

Se il tuo computer di prova è dotato di una scheda LAN wireless, puoi creare un collegamento separato utilizzando il tuo smartphone. La condizione è la fornitura del cosiddetto modem tramite il tuo operatore di rete mobile.

Ambiente Linux

Test di penetrazione: scansione del sistema di destinazione

Analisi del sistema target con un port scanner. Dopo aver determinato l'indirizzo IP, puoi controllarlo per le porte aperte. In questo modo scoprirai se il tuo sistema fornisce servizi esternamente.

Per scansionare gli indirizzi IP è possibile utilizzare, ad esempio, il potentissimo strumento Nmap, che fa parte del pacchetto Metasploit. Basta entrare indirizzo IP nmap per ottenere un elenco delle porte aperte. Nel caso delle porte standard non è difficile indovinare quale servizio si nasconde dietro una porta aperta.

In questo esempio, abbiamo controllato l'indirizzo IP specificato utilizzando il port scanner di nmap. La porta del server FTP è apparsa nell'elenco delle porte aperte

Ecco un esempio:

msf >nmap 178.254.10.72

Dall'esame di questo indirizzo privato è risultato che la porta 21 era aperta, quindi possiamo supporre che all'indirizzo specificato si trovi un server FTP. Ogni porta aperta è un potenziale bersaglio di attacco e richiede un controllo dettagliato.

Test di penetrazione: ricerca di vulnerabilità

Dopo aver riconosciuto gli indirizzi ed i servizi disponibili nell'infrastruttura target, è necessario ottenere informazioni più dettagliate sulla stessa. Gli scanner per l'esposizione di codici dannosi (i cosiddetti vulnerabilità).

Questi sono strumenti che cercano le vulnerabilità del software. Lo scopo di tale scansione è identificare una vulnerabilità che avrà un impatto sul sistema di destinazione. Il pacchetto Metasploit fornisce molti scanner di vulnerabilità per gli attacchi.

L'elenco completo può essere ottenuto con il comando

msf >tipo di ricerca:ausiliario

L'elenco è molto ampio, ma puoi restringerlo utilizzando le opzioni di filtro. Di seguito viene illustrato il processo di scansione utilizzando l'utilità TCP Syn come esempio.

Per prima cosa devi attivarlo usando il comando utilizzo:

msf >usa scanner/portscan/syn

La console confermerà la chiamata del modulo:

msf ausiliario(syn) >

Richiamare quindi l'elenco dei parametri disponibili:

msf ausiliario(syn) >mostra le opzioni

Utilizzando il comando impostato in combinazione con i parametri ROSTI E RAPPORTO imposterai il bersaglio da attaccare, ad esempio:

msf ausiliario(syn) >impostare RHOST 178.254.10.72

msf ausiliario(syn) >impostare RPORT 20, 21

Il processo di scansione viene avviato dal comando correre:

msf ausiliario(syn) >correre

Raccogliere informazioni sul sistema target e testarlo sono le fasi principali del test. Il successo di un attacco che sfrutta una vulnerabilità o un altro metodo dipende dai risultati di queste azioni e dalle conclusioni ottenute.

Test di penetrazione: attacco al sistema bersaglio

Quando riesci a trovare un servizio nel sistema accessibile dall'esterno e pieno di vulnerabilità, puoi attaccarlo con un exploit del pacchetto Metasploit Framework.

Supponendo che il nostro sistema di destinazione di esempio (178.254.10.72) esegua una versione precedente di Quick FTP per Windows XP porta 21, possiamo eseguire attacchi con i seguenti comandi:

msf >utilizzare exploit/windows/tftp/quick_tftp_pro_mode

msf exploit (quick_tftp_pro_mode) >impostare RHOST 178.254.10.72

msf exploit (quick_tftp_pro_mode) >impostare RPORT 21

msf exploit (quick_tftp_pro_mode) >correre

Test di penetrazione: scanner di password

Attaccare il codice exploit può essere molto efficace perché la vulnerabilità rilevata consente non solo di superare le barriere di sicurezza del sistema preso di mira, ma anche di penetrarlo e attivare codice dannoso ( carico utile).

Tuttavia, gli attacchi che utilizzano questa vulnerabilità spesso falliscono. Ciò accade ad esempio quando, contrariamente a quanto si pensa, sul sistema è installata una versione più recente e migliorata del software.

Tali casi si verificano molto spesso perché la scansione delle vulnerabilità non fornisce sempre risultati affidabili. E anche quando viene trovato l'exploit corretto, il sistema può bloccarlo utilizzando strumenti antivirus.

Un obiettivo più probabile per ricercatori e criminali informatici è la password. Nelle grandi infrastrutture IT la password è protetta da più sistemi. Inoltre, di regola, riescono a trovare account utente che non sono protetti da password lunghe e complesse.

Scansione della password

Esistono molti scanner di password nel toolkit Metasploit che supportano vari servizi. Le credenziali sono necessarie non solo per avviare una sessione in ambiente Windows, ma anche per molti altri servizi. Ad esempio, i server FTP supportano più che semplici file per il download pubblico.

Il caricamento di file è consentito agli utenti registrati e autorizzati. I loro account, sebbene protetti da password, non tutti però prestano molta attenzione alle questioni di sicurezza. Imposta una password come parola d'ordine, asdf O prova123.

Troverai gli scanner dei pacchetti Metasploit corrispondenti nella directory scanner_login. Puoi cercarli usando il comando:

msf >tipo di ricerca: percorso ausiliario: scanner_login

Illustreremo il metodo di scansione delle password utilizzando l'esempio dello strumento ftp_login. Utilizzando i seguenti comandi, carichiamo il modulo ftp_login, impostiamo l'indirizzo IP di destinazione, determiniamo l'account amministratore attaccato e quindi carichiamo il file pass.txt. Su Internet sono disponibili file di testo contenenti database di password.

msf >utilizzare ausiliario/scanner/ftp/ftp_login

msf ausiliario (ftp_login) >impostare RHOST 178.254.10.72

msf ausiliario (ftp_login) >imposta NOME UTENTE admin

msf ausiliario (ftp_login) >imposta PASS_File pass.txt

msf ausiliario (ftp_login) >correre

Lo scanner controlla in sequenza tutte le password contenute nel file specificato. Dovresti salvarlo all'interno della struttura del pacchetto Metasploit (per impostazione predefinita questa è la directory C:/metasploit).

Lo scanner delle password tenta di hackerare l'account dell'utente sul server FTP. Per tutta la durata di questo test, abbiamo creato un file speciale contenente solo due password

Test di penetrazione: protezione dagli attacchi

La piattaforma Metasploit consente di utilizzare ancora più moduli per scansionare sistemi remoti e attaccarli tramite vulnerabilità. Molti di questi spazi non dovrebbero essere accessibili da Internet.

Se un utente malintenzionato o un ricercatore sospetta che su uno dei computer della rete presa di mira sia installata una versione obsoleta di Word o Adobe Reader, è possibile inviare all'utente un documento infetto in formato DOC e PDF come allegato e-mail. Metasploit ti fornisce anche gli strumenti per creare tali documenti.

Fondamentalmente puoi proteggerti da questo tipo di attacchi molto facilmente. Installa tutti gli aggiornamenti di sicurezza disponibili per il tuo software. Questo vale non solo per Windows, ma per tutte le applicazioni. Usa Internet solo quei servizi di cui non puoi fare a meno.

Dovresti anche utilizzare un software antivirus e aggiornare regolarmente le firme dei virus. Sebbene esistano exploit che scrivono il proprio codice solo nella RAM del computer, nascondendosi così dai scanner di file, un buon antivirus è in grado di rilevare la stragrande maggioranza dei parassiti.

A proposito di sicurezza, Linux, hacking, hacking e simili...
Nella mia esperienza e nei momenti di comunicazione con persone diverse - questi sono amici, colleghi, solo conoscenti di passaggio, tutti si lamentano o almeno affrontano problemi associati ai virus informatici. Quanti casi si sono verificati in cui un guasto del sistema in una situazione o nell'altra era inevitabile, o in un bel momento è appena iniziato una sorta di panico: finestre di avviso di vario tipo appaiono e scompaiono e quando sembra che tu sappia cosa devi fare e stai provando a farlo, ma non capisci ancora che tutto questo è inutile, perché il CD-ROM non esce più, Windows sta morendo un po' e tu con lui, perché “Win ​​​​Doctor - la collezione d'oro di programmi " non è iniziato. Ma questo è già successo prima, pensa, ho demolito il sistema operativo, ne ho installato un altro, nella migliore delle ipotesi un'immagine, se ce n'è una, ovviamente.

Ora la situazione è radicalmente diversa, il settore della sicurezza informatica è cresciuto oltre ogni limite e, allo stesso tempo, gli hacker non stanno fermi, tutti guadagnano soldi: alcuni scrivono "virus ransomware" e guadagnano soldi, altri usano antivirus con chiavi costose, ma che dire dell'uomo comune nel mondo? Il mondo di Internet, un giovane surfista, una casalinga, una nonna in pensione infine?-) Almeno non avvicinarsi affatto al computer.

E così, un bel giorno, dopo un'altra storia di password rubate e account di posta elettronica violati, ho deciso di rafforzare la sicurezza sul faggio. Dato che mi hanno rubato Windows (sorprendente, vero?), e lì mi sono imbattuto in qualcosa di simile a un firewall che richiede aggiornamenti di sicurezza, mi è venuta l'idea di installare qualcosa di alternativo e ho installato COMODO, dopo aver letto le recensioni. Per me funziona insieme a Nod32, ma non è questo il punto. Sembra che le porte siano chiuse, la rete e la protezione proattiva, come puoi vedere, funzionano. È davvero così? E ho deciso di verificarlo.

Dopo aver sfogliato diversi servizi, i miei occhi si sono posati su PC Flank (PR – 5, tra l'altro PR del sito web dell'FBI – 8), essenzialmente questo è un modo per testare la funzionalità, l'affidabilità del firewall, per così dire, e in più un paio di test aggiuntivi. Ciò che mi ha interessato è stata l'ampia gamma di possibilità e la facilità d'uso, nonostante la lingua inglese, tutto è intuitivo anche per una persona completamente ignorante.

Vediamo più da vicino in cosa consiste effettivamente questo servizio. Ha diversi test diversi.

PrestoTest– questo test (include tre test elencati di seguito) e mostra quanto il tuo computer sia vulnerabile alle varie minacce Internet. Il test determina se il tuo computer è infetto da un Trojan, quali informazioni personali il tuo browser Web mostra su di te o sul tuo computer mentre sei online (questo test è stato negativo per me) e scansiona anche le porte alla ricerca di vulnerabilità. Il test dura meno di tre minuti. Successivamente, vedrai un messaggio completo con consigli su come migliorare la sicurezza del tuo sistema. Questo test è consigliato ai nuovi utenti e agli utenti che non hanno abbastanza tempo per completare tutti i test.

Apparentemente ci sono problemi con il browser, ma ne parleremo più avanti.

InvisibileTest– con questo test puoi determinare se il tuo computer è visibile ad altri utenti di Internet. Puoi anche utilizzare questo test per determinare quanto bene il tuo firewall nasconde le porte del tuo sistema (che è quello che volevo scoprire da solo). Per determinare se il tuo computer è visibile su Internet, questo test utilizza cinque metodi di navigazione: ping TCP, TCP NULL, TCP FIN, TCP XMAS e scansione UDP.

I risultati del test indicano che ha avuto successo; il sistema non ha risposto alle richieste, poiché è protetto e nascosto a tutti.

Navigatore Test- questo test controllerà se il tuo browser rivela le tue informazioni personali o i cookie - comunemente. E questi sono, prima di tutto, i tuoi login, password, dati di registrazione, informazioni bancarie, ecc. Una volta completato, il test consiglia di modificare alcune impostazioni nel tuo browser. E questo è ciò che abbiamo:

In breve: ho dei cookie che possono essere rubati; il mio consiglio è di installarli o configurarli se si dispone di un firewall o di un software anti-spyware. Il secondo punto è che il browser mostri informazioni private (i cosiddetti ‘referrer’), la raccomandazione è di bloccare la distribuzione di tali informazioni con un firewall.

Troiani Test— Questo test scansionerà il tuo sistema per rilevare la presenza dei Trojan più pericolosi e diffusi. Se viene trovato un Trojan sul tuo computer, il test fornisce consigli su come agire.

E queste sono solo le prime 10, e puoi immaginare che ci siano circa 50 specie lì? Stealthed – significa che le porte sono chiuse e invisibili e protetto da firewall . Q.E.D!!

Avanzate Porta Scanner— uno scanner delle porte controllerà il tuo sistema per individuare le porte aperte che possono essere utilizzate negli attacchi al tuo computer. È possibile scegliere quale modalità di visualizzazione verrà utilizzata durante il test: semplice connessione TCP (standard) o visualizzazione TCP SYN - con creazione della connessione incompleta. Puoi anche selezionare: le porte desiderate o un intervallo di porte, le porte più vulnerabili o Trojan, 20 porte casuali o tutte le porte. Questo test è consigliato agli utenti esperti.

Exploit Test— questo test rivelerà a quali tipi di attacchi il tuo computer è vulnerabile. Il test può essere utilizzato anche per testare la stabilità di firewall e router e le risposte a pacchetti imprevisti. La maggior parte delle azioni può portare a una negazione del servizio al sistema, quindi si consiglia di chiudere tutti i programmi aggiuntivi e, se necessario, riavviare. Potrebbero essere necessari fino a 5 minuti, a seconda della velocità della connessione Internet.

Puoi vedere dallo smiley che il risultato è positivo, il sistema è protetto dagli attacchi!

È tutto. Conclusione: il firewall è stato controllato e funziona bene. Per quanto mi riguarda, ho imparato che i problemi con i cookie possono essere risolti a livello di browser e, per l'affidabilità, anche a livello di firewall, questo è possibile. La sicurezza dei tuoi computer, server e reti è nelle tue mani. E lascia che sia a un livello decente.
Pace e prosperità al servizio PC Flank!

Vorrei ringraziare Bogdan per questa escursione in uno dei servizi di controllo della sicurezza informatica. A proposito, sul suo blog personale puoi trovare molte pubblicazioni simili, ad esempio un post sul Firewall. Puoi anche iscriverti agli RSS del blog e ricevere tutti gli aggiornamenti nel lettore. La sicurezza, così come la descrizione delle varie minacce, sono informazioni importanti e utili.

PS Guardia. Leggiamo come verificare se un sito è vietato in Yandex o Google.
Puoi anche dare un'occhiata al blog SEO di Aveb, una società ucraina di promozione di siti web.
Vuoi perdere peso? Possiamo perdere peso facilmente e correttamente con il portale femminile Feelgood.com.ua. Articoli sulle diete.

Che sono stati scoperti nei processori Intel, AMD e ARM dagli specialisti di Google. Le voci su Meltdown e Spectre si sono diffuse su Internet abbastanza rapidamente e hanno costretto molte aziende a rilasciare aggiornamenti per i loro prodotti. Tuttavia, le voci su un calo delle prestazioni del sistema operativo del 30-40% si sono rivelate puramente teoriche. Dopo la sconfitta del sistema, si è verificata una diminuzione della potenza, pari solo al 4-10%. Pertanto, il panico su Meltdown e Spectre si è rapidamente attenuato. Tuttavia, sulla rete è apparsa un'utilità per verificare la presenza di vulnerabilità Meltdown e Spectre nel processore. È stato rilasciato dalla nota azienda Ashampoo e consente di verificare la presenza nel sistema delle vulnerabilità sopra menzionate.

Come funziona Ashampoo Spectre Meltdown CPU Checker?

Puoi scaricare il programma per il controllo delle vulnerabilità dal sito Web ufficiale dello sviluppatore in modo assolutamente gratuito.

Il programma è facile da usare. Non richiede installazione. Basta scaricare il file exe sul tuo PC e avviare la scansione facendo clic sul pulsante "Avvia controllo di sicurezza".

Il sistema verrà scansionato per individuare eventuali vulnerabilità. Uno sfondo rosso indicherà il pericolo.

Cosa fare se il PC è a rischio?

Innanzitutto, devi scaricare gli ultimi aggiornamenti di sicurezza per la tua versione di Windows. In secondo luogo, è necessario aggiornare i browser, i driver della scheda video e, se possibile, il BIOS. Naturalmente, è necessario seguire le regole di sicurezza e, quando si aggiorna il firmware della scheda madre, leggere le istruzioni sul sito ufficiale del produttore. E, naturalmente, ti consigliamo di seguire le regole di sicurezza quando lavori su Internet. Non dovresti scaricare file da siti sospetti e visitare risorse con una dubbia reputazione.

Un processo chiamato scansione delle vulnerabilità è il processo di controllo di singoli host o reti per potenziali minacce.

E la necessità di verificare la sicurezza si presenta abbastanza spesso per gli specialisti IT, soprattutto quando si tratta di grandi organizzazioni che dispongono di informazioni preziose che potrebbero essere necessarie agli aggressori.

Gli amministratori di piccole reti non dovrebbero trascurare tale scansione, soprattutto perché nel 2017 centinaia di migliaia di computer sono stati sottoposti a gravi attacchi da parte di virus ransomware su larga scala lanciati dagli hacker.

Utilizzo di scanner di vulnerabilità

Gli specialisti della sicurezza delle informazioni utilizzano software appropriato per scansionare le reti alla ricerca di punti deboli nei loro sistemi di sicurezza.

Tali programmi sono chiamati scanner di vulnerabilità.

Il principio del loro funzionamento è controllare le applicazioni eseguite sui computer della rete e cercare i cosiddetti "buchi" che potrebbero essere utilizzati da estranei per ottenere l'accesso a informazioni importanti.

L'uso corretto di programmi in grado di rilevare le vulnerabilità della rete consente agli specialisti IT di evitare problemi con password rubate e risolvere i seguenti problemi:

• cercare codice dannoso entrato nel tuo computer;
• inventario del software e di altre risorse di sistema;
• creazione di report contenenti informazioni sulle vulnerabilità e sui modi per eliminarle.

Gli scanner delle vulnerabilità sono di particolare importanza per quelle organizzazioni le cui attività includono l'elaborazione e l'archiviazione di archivi preziosi e informazioni riservate. Tali programmi sono richiesti dalle aziende coinvolte nella ricerca scientifica, nella medicina, nel commercio, nell'informatica, nella pubblicità, nella finanza e in altre attività che potrebbero essere compromesse dalla fuga di informazioni.

Meccanismi di scansione

La scansione delle vulnerabilità viene eseguita utilizzando due meccanismi principali: scansione e sondaggio.

La prima opzione presuppone che il programma di scansione esegua un'analisi passiva, determinando la presenza di problemi di sicurezza solo tramite una serie di segnali indiretti, ma senza prove concrete.

Questa tecnica è chiamata "inferenza logica" e i suoi principi sono quelli di eseguire i seguenti passaggi:

1. Identificazione delle porte aperte su ciascun dispositivo della rete;

2. Raccolta di intestazioni associate alle porte e trovate durante il processo di scansione;

3. Confronto delle intestazioni ricevute con una tabella speciale contenente regole per identificare le vulnerabilità;

4. Ottenere conclusioni sulla presenza o assenza di problemi di sicurezza nella rete.

Un processo chiamato “probing” è una tecnica di test attivo che consente di verificare con quasi il cento per cento di certezza se ci sono o meno vulnerabilità nella rete.

È relativamente lento rispetto alla scansione, ma nella maggior parte dei casi è più accurato.

Il metodo, chiamato anche “conferma”, utilizza le informazioni ottenute durante la scansione preliminare per analizzare in modo più efficace ogni dispositivo di rete, confermando o smentindo la presenza di minacce.

Il vantaggio principale della seconda opzione non è solo la conferma di quei problemi che possono essere rilevati con una semplice scansione, ma anche il rilevamento di problemi che non possono essere rilevati utilizzando la tecnica passiva. Il controllo viene eseguito utilizzando tre meccanismi: controlli di intestazione, controlli di sondaggio attivo e attacchi simulati.

Controllo delle intestazioni

Un meccanismo il cui nome in inglese suona come "controllo banner", consiste in una serie di scansioni e consente di ottenere determinate conclusioni sulla base dei dati trasmessi al programma scanner in risposta alla sua richiesta.

Un esempio di tale controllo potrebbe essere la scansione delle intestazioni utilizzando l'applicazione Sendmail, che consente di determinare le versioni del software e verificare la presenza o meno di problemi.

La tecnica è considerata la più semplice e veloce, ma presenta una serie di svantaggi:

• Efficienza di verifica non molto elevata. Inoltre, gli aggressori possono modificare le informazioni dell'intestazione, rimuovendo i numeri di versione e altre informazioni utilizzate dallo scanner per trarre conclusioni. Da un lato, la probabilità di un tale cambiamento non è troppo alta, dall’altro non dovrebbe essere trascurata.
• Impossibilità di determinare con precisione se i dati contenuti nell'intestazione costituiscono prova di una vulnerabilità. Ciò vale innanzitutto per i programmi forniti con il testo sorgente. Quando si risolvono le vulnerabilità, i numeri di versione nelle intestazioni devono essere modificati manualmente - a volte gli sviluppatori semplicemente si dimenticano di farlo.
• IN la probabilità che una vulnerabilità appaia nelle versioni future del programma, anche dopo essere stato eliminato dalle modifiche precedenti.

Nel frattempo, nonostante alcuni inconvenienti e la mancanza di garanzie nel rilevamento di "buchi" nel sistema, il processo di controllo delle intestazioni può essere definito non solo il primo, ma anche una delle fasi principali della scansione. Inoltre, il suo utilizzo non interrompe il funzionamento né dei servizi né dei nodi della rete.

Controlli della sonda attivi

La tecnica, nota anche come “controllo di sondaggio attivo”, non si basa sul controllo delle versioni del software nelle intestazioni, ma sull’analisi e sul confronto delle “impronte” digitali dei programmi con informazioni sulle vulnerabilità già note.

Il principio del suo funzionamento un po’ come l’algoritmo delle applicazioni antivirus, che prevede il confronto dei frammenti scansionati con i database dei virus.

Nello stesso gruppo di tecniche rientra anche il controllo della data di creazione del software sottoposto a scansione o il checksum, che consente di verificare l'autenticità e l'integrità dei programmi.

Per archiviare informazioni sulle vulnerabilità vengono utilizzati database specializzati che contengono anche informazioni che consentono di eliminare il problema e ridurre il rischio di accesso non autorizzato alla rete.

Queste informazioni vengono talvolta utilizzate sia dai sistemi di analisi della sicurezza che dai software il cui compito è rilevare gli attacchi. In generale, la tecnica di test della sonda attiva utilizzata dalle principali aziende come ISS e Cisco è significativamente più veloce di altri metodi, sebbene sia più difficile da implementare rispetto al controllo delle intestazioni.

Attacchi simulati

Un altro metodo in inglese si chiama "controllo sfruttamento", che può essere tradotto in russo come "attacchi simulati".

Anche il controllo effettuato con il suo aiuto rientra tra le opzioni di indagine e si basa sulla ricerca dei difetti del programma rafforzandoli.

La tecnica ha le seguenti caratteristiche:

• alcune falle di sicurezza non possono essere rilevate finché non viene simulato un vero e proprio attacco contro servizi e nodi sospetti;
• i programmi scanner controllano le intestazioni del software durante un attacco falso;
• Durante la scansione dei dati, le vulnerabilità vengono rilevate molto più velocemente che in condizioni normali;
• simulando gli attacchi, puoi trovare più vulnerabilità (se esistevano inizialmente) rispetto ai due metodi precedenti - e la velocità di rilevamento è piuttosto elevata, ma utilizzare questo metodo non è sempre consigliabile;
• le situazioni che non consentono il lancio di "attacchi imitativi" sono divise in due gruppi: la minaccia di problemi con la manutenzione del software in fase di test o l'impossibilità fondamentale di attaccare il sistema.

Non è auspicabile utilizzare la tecnica se gli oggetti di ispezione sono server protetti con informazioni preziose.

Un attacco a tali computer può portare a gravi perdite di dati e al guasto di importanti elementi della rete, e i costi per il ripristino della funzionalità potrebbero essere troppo elevati, anche tenendo conto della maggiore sicurezza del sistema.

In questo caso è consigliabile utilizzare altri metodi di verifica, ad esempio il sondaggio attivo o il controllo dell'intestazione.

Nel frattempo, l'elenco delle vulnerabilità comprende anche quelle che non possono essere rilevate senza tentativi di simulazione di attacchi, tra cui ad esempio suscettibilità agli attacchi Packet Storm.

Per impostazione predefinita, tali metodi di verifica sono disabilitati nel sistema.

L'utente dovrà abilitarli autonomamente.

I programmi di scansione che utilizzano il terzo metodo di scansione delle vulnerabilità includono sistemi come Scanner Internet E Scanner CyberCop. Nella prima applicazione vengono evidenziati i controlli in una categoria separata “Negazione del servizio”. Quando si utilizza una qualsiasi funzione dall'elenco, il programma segnala il pericolo di guasto o riavvio del nodo scansionato, avvertendo che la responsabilità dell'avvio della scansione spetta all'utente.

Principali fasi del controllo delle vulnerabilità

La maggior parte dei programmi che eseguono la scansione delle vulnerabilità funziona così:

1. Raccoglie tutte le informazioni necessarie sulla rete, identificando innanzitutto tutti i dispositivi attivi nel sistema e il software in esecuzione su di essi. Se l'analisi viene eseguita solo a livello di un PC su cui è già installato uno scanner, questo passaggio viene saltato.

2. Cerca di trovare potenziali vulnerabilità, utilizzando appositi database per confrontare le informazioni ricevute con tipologie di falle di sicurezza già note. Il confronto viene eseguito utilizzando il sondaggio attivo o il controllo dell'intestazione.

3. Conferma le vulnerabilità rilevate utilizzando tecniche speciali– imitazione di un certo tipo di attacco che può dimostrare la presenza o l’assenza di una minaccia.

4. Genera report basati sulle informazioni raccolte durante la scansione, descrivendo le vulnerabilità.

La fase finale della scansione è una correzione automatica o un tentativo di risolvere i problemi. Questa funzionalità è disponibile in quasi tutti gli scanner di sistema e manca nella maggior parte delle applicazioni di scansione delle vulnerabilità della rete.

Differenze nel lavoro di diversi programmi

Alcuni scanner classificano le vulnerabilità in base al livello di minaccia.

Per esempio, Sistema NetSonar li divide in quelli di rete, che possono colpire i router, quindi più gravi, e quelli locali, che colpiscono le postazioni di lavoro.

Scanner Internet divide le minacce in tre livelli: basso, alto e medio.

Questi due scanner presentano molte altre differenze.

Con il loro aiuto, i report non vengono solo creati, ma anche divisi in diversi gruppi, ognuno dei quali è destinato a utenti specifici, dagli amministratori di rete ai leader organizzativi.

Inoltre, per i primi viene fornito il numero massimo di numeri, per la gestione: grafici e diagrammi dal design accattivante con una piccola quantità di dettagli.

I report generati dagli scanner contengono raccomandazioni per eliminare le vulnerabilità rilevate.

La maggior parte di queste informazioni sono contenute nei dati prodotti dal programma Internet Scanner, che fornisce istruzioni passo passo per risolvere il problema, tenendo conto delle caratteristiche dei diversi sistemi operativi.

Anche il meccanismo di risoluzione dei problemi è implementato in modo diverso negli scanner. Quindi, nello scanner di sistema c'è uno script speciale per questo, lanciato dall'amministratore per risolvere il problema. Allo stesso tempo, è in fase di realizzazione un secondo algoritmo in grado di correggere le modifiche apportate qualora il primo portasse al peggioramento delle prestazioni o al guasto dei singoli nodi. Nella maggior parte degli altri programmi scanner non è possibile ripristinare le modifiche apportate.

Azioni dell'amministratore per rilevare le vulnerabilità

Per trovare buchi di sicurezza, l'amministratore può utilizzare tre algoritmi.

La prima e più popolare opzione– controllare la rete solo per potenziali vulnerabilità. Consente di visualizzare in anteprima i dati del sistema senza interrompere il funzionamento dei nodi e fornendo la massima velocità di analisi.

Seconda opzione– scansione per verificare e confermare le vulnerabilità. La tecnica richiede più tempo e può causare malfunzionamenti nel software dei computer della rete durante l'implementazione del meccanismo di simulazione degli attacchi.

Metodo n. 3 implica l'uso di tutti e tre i meccanismi (con diritti sia di amministratore che di utente) e un tentativo di eliminare le vulnerabilità sui singoli computer. A causa della bassa velocità e del rischio di danneggiare il software, questo metodo viene utilizzato meno spesso, soprattutto quando vi sono prove serie della presenza di "buchi".

Funzionalità degli scanner moderni

I requisiti principali per un programma di scansione che controlla le vulnerabilità del sistema e dei suoi singoli componenti sono: Sono:

• Multipiattaforma o supporto per più sistemi operativi. Se disponi di questa funzionalità, puoi scansionare una rete composta da computer con piattaforme diverse. Ad esempio con diverse versioni di Windows o anche con sistemi come UNIX.
• Possibilità di scansionare più porte contemporaneamente– questa funzione riduce notevolmente i tempi necessari per la verifica.
• Scansione di tutti i tipi di software che solitamente sono suscettibili agli attacchi degli hacker. Tali software includono prodotti Adobe e Microsoft (ad esempio la suite di applicazioni per ufficio MS Office).
• Controllo della rete nel suo complesso e dei suoi singoli elementi senza la necessità di eseguire una scansione per ciascun nodo del sistema.

La maggior parte dei moderni programmi di scansione dispongono di un menu intuitivo e sono abbastanza facili da configurare in base alle attività eseguite.

Pertanto, quasi tutti gli scanner di questo tipo consentono di creare un elenco di host e programmi da scansionare, specificare le applicazioni per le quali gli aggiornamenti verranno installati automaticamente quando vengono rilevate vulnerabilità e impostare la frequenza di scansione e generazione di report.

Dopo aver ricevuto i report, lo scanner consente all'amministratore di eseguire la riparazione delle minacce.

Tra le funzionalità aggiuntive degli scanner si segnala la possibilità di risparmiare traffico, che si ottiene scaricando una sola copia della distribuzione e distribuendola su tutti i computer della rete. Un'altra funzione importante riguarda il salvataggio della cronologia delle scansioni passate, che consente di valutare il funzionamento dei nodi in determinati intervalli di tempo e valutare i rischi di nuovi problemi di sicurezza.

Scanner delle vulnerabilità della rete

La gamma di programmi per scanner nel moderno mercato del software è piuttosto ampia.

Tutti differiscono l'uno dall'altro per funzionalità, efficienza nella ricerca di vulnerabilità e prezzo.

Per valutare le capacità di tali applicazioni, vale la pena considerare le caratteristiche e le caratteristiche delle cinque opzioni più popolari.

GFI LanGuard

Il produttore GFI Software è considerato uno dei leader nel mercato globale della sicurezza informatica e i suoi prodotti sono inclusi nelle classifiche dei più convenienti ed efficaci nel verificare le vulnerabilità dei programmi.

Una di queste applicazioni che fornisce sicurezza alla rete e ai singoli computer è GFI LanGuard. le cui caratteristiche includono:

• valutazione rapida dello stato dei porti nel sistema;
• ricerca di impostazioni non sicure sui computer della rete e installazione vietata di programmi, componenti aggiuntivi e patch;
• la possibilità di scansionare non solo singoli computer e server, ma anche macchine virtuali incluse nel sistema e persino smartphone collegati;
• redigere un rapporto dettagliato basato sui risultati della scansione, indicando le vulnerabilità, i loro parametri e le modalità di eliminazione;
• controllo intuitivo e possibilità di configurare il funzionamento automatico: se necessario, lo scanner si avvia a una determinata ora e tutte le correzioni vengono eseguite senza l'intervento dell'amministratore;
• la capacità di eliminare rapidamente le minacce rilevate, modificare le impostazioni di sistema, aggiornare il software consentito e rimuovere i programmi vietati.

Ciò che distingue questo scanner dalla maggior parte dei suoi analoghi è l'installazione di aggiornamenti e patch per quasi tutti i sistemi operativi.

Questa funzionalità e altri vantaggi di GFI LanGuard gli consentono di essere in cima alle classifiche dei programmi per la ricerca delle vulnerabilità della rete.

Allo stesso tempo, il costo di utilizzo dello scanner è relativamente basso ed è accessibile anche alle piccole aziende.

Nesso

Il programma Nessus è stato lanciato per la prima volta 20 anni fa, ma solo dal 2003 è diventato a pagamento.

La monetizzazione del progetto non lo ha reso meno popolare: grazie alla sua efficienza e velocità, un amministratore su sei nel mondo utilizza questo particolare scanner.

I vantaggi di scegliere Nessus includono:

• database delle vulnerabilità costantemente aggiornato;
• installazione semplice e interfaccia intuitiva;
• rilevamento efficace dei problemi di sicurezza;
• l'uso di plugin, ognuno dei quali svolge il proprio compito, ad esempio scansiona il sistema operativo Linux o inizia a controllare solo le intestazioni.

Funzionalità scanner aggiuntiva– la possibilità di utilizzare test creati dagli utenti utilizzando software speciali. Allo stesso tempo, il programma presenta anche due gravi inconvenienti. Il primo è la possibilità di fallimento di alcuni programmi durante la scansione con il metodo degli “attacchi simulati”, il secondo è il costo piuttosto elevato.

Controllo di sicurezza Symantec

Security Check è uno scanner gratuito di Symantec.

Tra le sue funzioni vale la pena notare la ricerca non solo delle vulnerabilità, ma anche dei virus, inclusi virus macro, trojan e worm Internet. In effetti, l'applicazione è composta da 2 parti: lo scanner Security Scan, che garantisce la sicurezza della rete, e l'antivirus Rilevamento virus.

I vantaggi del programma includono la facile installazione e la possibilità di lavorare tramite un browser. Tra gli svantaggi si segnala la bassa efficienza: la versatilità del prodotto, che gli consente anche la ricerca di virus, lo rende poco adatto alla scansione della rete. La maggior parte degli utenti consiglia di utilizzare questo scanner solo per controlli aggiuntivi.

XSpider

Lo scanner XSpider è prodotto da Positive Technologies, i cui rappresentanti affermano che il programma non solo rileva le vulnerabilità già note, ma è anche in grado di trovare minacce che non sono ancora state create.

Le caratteristiche dell'applicazione includono:

• rilevamento efficace dei “buchi” nel sistema;
• la possibilità di lavorare in remoto senza installare software aggiuntivo;
• creazione di report dettagliati con suggerimenti per la risoluzione dei problemi;
• aggiornamento del database delle vulnerabilità e dei moduli software;
• scansione simultanea di un gran numero di nodi e workstation;
• salvataggio della cronologia dei test per un'ulteriore analisi del problema.

Vale anche la pena notare che il costo di utilizzo dello scanner è più conveniente rispetto al programma Nessus. Sebbene superiore a GFI LanGuard.

QualysGuard

Lo scanner è considerato multifunzionale e consente di ricevere un report dettagliato valutando il livello delle vulnerabilità, i tempi per eliminarle e il livello di impatto della “minaccia” sul business.

Lo sviluppatore del prodotto, Qualys, Inc., fornisce il programma a centinaia di migliaia di consumatori, tra cui metà delle più grandi aziende del mondo.

La differenza tra il programma è la presenza di un database di archiviazione cloud e un set di applicazioni integrato, che consente non solo di aumentare la sicurezza della rete, ma anche di ridurre i costi per adattarla ai vari requisiti.

Il software consente di scansionare siti Web aziendali, singoli computer e la rete nel suo insieme.

Il risultato della scansione è un rapporto che viene inviato automaticamente all'amministratore e contiene consigli per eliminare le vulnerabilità.

conclusioni

Considerando l’ampia gamma di applicazioni per la scansione delle vulnerabilità della rete e dei suoi nodi, il lavoro dell’amministratore risulta notevolmente facilitato.

Ora non è tenuto ad avviare manualmente tutti i meccanismi di scansione in modo indipendente: deve solo trovare un'applicazione adatta, selezionare un metodo di scansione, configurare e utilizzare i consigli del rapporto ricevuto.

Dovresti scegliere uno scanner adatto in base alla funzionalità dell'applicazione, all'efficacia del rilevamento delle minacce (che è determinata dalle recensioni degli utenti) e, cosa anche abbastanza importante, a un prezzo che dovrebbe essere paragonabile al valore delle informazioni archiviate protetto.