Upload
andjelkomarkulin
View
557
Download
0
Embed Size (px)
Citation preview
Ranjivosti i prijetnje informacijskog sustava
SEMINARSKI RAD
RANJIVOSTI I PRIJETNJE
INFORMACIJSKOG SUSTAVA
Student: ANĐELKO MARKULIN, 77100465
Mentor: dr.sc. Krunoslav Antoliš
Velika Gorica, lipanj 2011.
Ranjivosti i prijetnje informacijskog sustava
1
Sažetak
Današnji informacijski sustavi izloženi su brojnim prijetnjama, kako vanjskim tako i
unutarnjim. Da bi se neka prijetnja mogla realizirati ona mora iskoristiti postojeću ranjivost
informacijskog sustava.
U ovom radu definirat ćemo meĎunarodni i hrvatski pravni okvir za pružanje
informacijske sigurnosti, kao osnovu za uspostavu mehanizma provjere ranjivosti informacijskog
sustava. Taj se mehanizam sastoji od triju segmenata: kontrolnih lista za provjeru sigurnosti
konfiguracije, aplikacija za provjeru ranjivosti informacijskog sustava, te aplikacija za
penetracijsko testiranje informacijskog sustava.
Ključne riječi: prijetnje informacijskog sustava, ranjivost informacijskog sustava, provjera
ranjivosti informacijskog sustava, penetracijsko testiranje informacijskog
sustava
Summary
Modern information systems are subjected to numerous threats, from outside and from
inside. In order to a threat to be executed it needs to use an existing vulnerability of the
information system.
In this paper we will define international and Croatian legal framework for providing
information security, as a basis for developing the mechanism for information system
vulnerability scanning. This mechanism consists of three parts:
. Taj se mehanizam sastoji od triju segmenata: security configuration checklist,
applications for information system vulnerability scanning, and applications for information
system penetration testing.
Ključne riječi: information system threats, information system vulnerability, information
system vulnerability scanning, information system penetration testing
Ranjivosti i prijetnje informacijskog sustava
2
Uvod
Informacijski sustavi bilo koje organizacije izloženi su raznim vrstama prijetnji (threat).
Prijetnja može prouzročiti neželjenu situaciju, čija posljedica može biti nanošenje štete resursima
dotične organizacije. Prijetnja mora iskoristiti postojeću ranjivost (vulnerability) informacijskog
sustava da bi se realizirala i rezultirala štetom.
Ranjivosti su manjkavosti softvera (defect), softverske pogreške (bug) ili propusti u
podešavanju softvera (misconfiguration) koje napadač može iskoristiti za narušavanje tajnosti,
integriteta ili raspoloživosti podataka.
Ranjivosti u mrežnim informacijskim sustavima u današnje vrijeme predstavljaju najveći
izvor rizika informacijske sigurnosti, jer one organizaciju i njene resurse izlažu vanjskim
prijetnjama. Nove ranjivosti otkrivaju se svakodnevno, i u trenutku dok ovo pišemo Nacionalna
baza podataka ranjivosti (US National Vulnerability Database) u svom registru ima zabilježeno
46.640 poznatih ranjivosti.
Zbog gore navedenog, organizacije koje ovise o pouzdanosti svojeg informacijskog
sustava moraju često provjeravati svoju izloženost tim ranjivostima – kako bi mogle upravljati
rizicima. Danas upravljanje ranjivostima informacijskog sustava nije više samo tehničko pitanje,
ono je postalo i pravno obvezujuće za mnoge organizacije koje žele ispuniti najnovije uvjete
sukladnosti (compliance regulations), te koje žele poslovati na meĎunarodnom planu.
Ranjivosti i prijetnje informacijskog sustava
3
1. Prijetnje i ranjivosti
Prijetnje mogu biti prirodne ili uzrokovane ljudskim djelovanjem, slučajnim ili
namjernim. Potrebno je točno utvrditi karakter svih prijetnji s kojima se suočava naš
informacijski sustav, kao i njihovu razinu i vjerojatnost (velike, srednje i male). Primjeri prijetnji
prikazani su u sljedećoj tablici.
Tablica 1. Strukturirani prikaz primjera prijetnji informacijskom sustavu
Ranjivost je slabost koju je moguće slučajno aktivirati ili namjerno iskoristiti, a
posljedica toga može biti nanošenje štete informacijskom sustavu i poslovnim ciljevima
organizacije. Ranjivosti koje se povezuju s resursima uključuju, izmeĎu ostalog, slabosti fizičke
sigurnosti, organizacije, internih akata, zaposlenika, upravljačke strukture, hardvera, softvera i
informacija. Ranjivost sama po sebi ne nanosi štetu, nego ranjivost možemo definirati kao stanje
ili skup stanja koji može omogućiti nekoj prijetnji da utječe na resurse neke organizacije. Analiza
ranjivosti je procjena slabosti koje identificirane prijetnje mogu iskoristiti.
Ranjivosti i prijetnje informacijskog sustava
4
2. Međunarodni pravni okvir za pružanje informacijske sigurnosti
Sa ciljem poboljšanja opće sigurnosti, povećanja učinkovitosti Vladinih agencija,
smanjenja broja slučajeva kraĎe identiteta te zaštite osobne privatnosti, predsjednik Sjedinjenih
američkih država dana 27. kolovoza 2004. godine izdao je "Predsjedničku direktivu o
domovinskoj sigurnosti 12" (Homeland Security Presidential Directive 12 – HSPD-12) pod
nazivom "Politika jedinstvenog identifikacijskog standarda državnih službenika i namještenika"
(Policy for a Common Identification Standard for Federal Employees and Contractors).
Nacionalni institut za standarde i tehnologiju SAD-a (National Institute of Standards and
Technology – NIST) je odgovoran za izradu standarda i smjernica, što uključuje i specifikaciju
minimalnih zahtjeva, za pružanje odgovarajuće informacijske sigurnosti svih organizacijskih
aktivnosti i resursa – osim za sustave nacionalne sigurnosti. Temeljem te Direktive NIST je
2005. godine izradio i objavio "Državni standard za obradu informacija 201-1" (Federal
Information Processing Standard – FIPS 201-1) pod nazivom "Provjera osobnog identiteta
državnih službenika i namještenika" (Personal Identity Verification (PIV) of Federal Employees
and Contractors).
Da bi zadovoljio HSPD-12 i FIPS 201-1, NIST je pokrenuo izradu "Smjernica za
akreditiranje izdavatelja osobnih identifikacijskih kartica" (Guidelines for the Accreditation of
Personal Identity Verification Card Issuers) i objavio ih kao "Specijalnu publikaciju NIST-a
800-79" (NIST Special Publication (SP) 800-79). Ta, i druge važne publikacije mogu se pronaći
ovdje: http://csrc.nist.gov/publications/PubsSPs.html
Ranjivosti i prijetnje informacijskog sustava
5
3. Hrvatski pravni okvir za pružanje informacijske sigurnosti
Pojam informacijske sigurnosti, mjere i standardi informacijske sigurnosti, područja
informacijske sigurnosti, te nadležna tijela za donošenje, provoĎenje i nadzor mjera i standarda
informacijske sigurnosti utvrĎeni su Zakonom o informacijskoj sigurnosti ("Narodne novine",
broj 79/2007). Članak 7. tog zakona propisuje:
"Mjere informacijske sigurnosti propisat će se uredbom koju donosi Vlada Republike
Hrvatske, a standardi za provedbu mjera propisat će se pravilnicima koje donose čelnici
središnjih državnih tijela za informacijsku sigurnost."
Navedena Uredba o mjerama informacijske sigurnosti ("Narodne novine", broj 46/2008)
u članku 54. propisuje:
"Kontrola uporabe informacijskih sustava podrazumijeva evidentiranje aktivnosti
korisnika informacijskog sustava.
Pored aktivnosti iz stavka 1. ovog članka, primjenjuju se mjere za spriječavanje
zlouporabe informacijskih sustava kroz instaliranje sustava za otkrivanje neovlaštenog upada u
mrežu, definiranje, pregledavanje i analiziranje zapisnika rada sustava i provođenje analiza
ranjivosti informacijskog sustava."
Ranjivosti i prijetnje informacijskog sustava
6
4. Kontrolne liste za provjeru sigurnosti konfiguracije
Kontrolna lista za provjeru sigurnosti konfiguracije (security configuration checklist) još
se naziva i vodičem za postavljanje ograničenja (lockdown guide), vodičem za očvršćivanje
(hardening guide), sigurnosnim vodičem (security guide), vodičem za primjenu tehničke
sigurnosti (security technical implementation guide – STIG), te sustavom mjerila (benchmark).
To je niz uputstava za konfiguriranje IT proizvoda prema odreĎenom operativnom okružju.
Kontrolne liste mogu biti u obliku predložaka (templates) ili automatiziranih skripti, zakrpi
(patch) ili opisa zakrpi, XML (Extensible Markup Language) datoteka, ili drugih procedura.
Smisao kontrolnih listi je da ih svaka organizacija prilagodi prema svojim specifičnim
sigurnosnim i operativnim zahtjevima. Neke kontrolne liste sadrže i upute za provjeru
ispravnosti konfiguracije odreĎenog proizvoda.
Kontrolne liste u pravilu izraĎuju proizvoĎači IT opreme za svoje vlastite proizvode, ali
ih izraĎuju i druge organizacije koje imaju nužne tehničke kompetencije, kao što su sveučilišta,
konzorciji i vladine agencije. Upotreba dobro napisanih, standardiziranih kontrolnih lista može
značajno smanjiti izloženost IT opreme ranjivostima. Kontrolne liste mogu osobito biti od
pomoći malim organizacijama i pojedincima koji imaju ograničena sredstva za zaštitu svojih
sustava.
Sadržaj kontrolne liste
Kontrolna lista za provjeru sigurnosti konfiguracije može sadržavati nešto ili sve od
navedenog:
konfiguracijske datoteke koje automatski verificiraju sigurnosne postavke (npr.
aplikacija, sigurnosni mehanizam koji mijenja postavke, XML datoteke koje sadrže
SCAP, te skripte):
dokumentaciju (npr. tekstualna datoteka) koja korisnika kontrolne liste vodi u ručnom
konfiguriranju IT proizvoda;
dokument koji objašnjava preporučene postupke za sigurno instaliranje i konfiguriranje
ureĎaja;
pisane politike koje postavljaju smjernice za aktivnosti kao što su revizija, mehanizmi
autentikacije (npr. lozinke) i rubna sigurnost (perimeter security).
Ranjivosti i prijetnje informacijskog sustava
7
Ne odnose se sve upute u kontrolnim listama na sigurnosne postavke. Kontrolne liste
mogu uključivati i administrativne postupke koji povećavaju sigurnost IT proizvoda. Često su
uspješni napadi na informacijski sustav posljedica lošeg administriranja sustava, kao što je
neprimjena proizvoĎačkih zakrpa ili nemijenjanje početnih lozinki.
U općem slučaju, administrator IT sustava ili krajnji korisnik treba slijediti upute
navedene u kontrolnoj listi da bi konfigurirao proizvod ili sustav na onu razinu sigurnosti koja je
deklarirana u kontrolnoj listi, ili da bi provjerio je li proizvod ili sustav već ispravno
konfiguriran. Administrator sustava će možda trebati izmijeniti kontrolnu listu da bi u nju
uključio lokalne sigurnosne politike.
Primjer ureĎaja ili softvera za koje se koriste sigurnosne kontrolne liste su:
operacijski sustav opće namjene;
uobičajene aplikacije stolnih računala, kao što su klijenti elektroničke pošte, internetski
preglednici, programi za obradu teksta, osobni vatrozid i antivirusni softver;
infrastrukturni ureĎaji kao što su usmjerivači, vatrozidi, sučelja virtualne privatne mreže
(VPN), sustavi za sprečavanje upada (IDS), bežične pristupne točke i telekomunikacijski
sustavi;
aplikacijski serveri kao što su DNS, DHCP, SMTP, web, baze podataka;
ostali mrežni ureĎaji kao što su mobiteli, skeneri, pisači, kopirke i faksevi.
Primjeri kontrolnih lista
Temeljem Saveznog zakona o upravljanju sigurnošću informacija (Federal Information
Security Management Act – FISMA) iz 2002. godine NIST je razvio "Nacionalni program
kontrolnih lista IT proizvoda – Smjernice za korisnike i izraĎivače" NIST (SP) 800-70 rev. 2
(National Checklist Program for IT Products—Guidelines for Checklist Users and Developers),
skraćeno NCP. Prema tom programu NIST je izradio i održava Nacionalni repozitorij kontrolnih
lista (National Checklist Repository - NCR), što je javno dostupni servis koji sadrži informacije
o mnoštvu kontrolnih lista za provjeru sigurnosti konfiguracije za točno odreĎene IT proizvode
ili kategorije IT proizvoda. Repozitorij se nalazi na adresi http://checklists.nist.gov i sadrži
metapodatke koji opisuju svaku kontrolnu listu.
Da bi pronašli odreĎenu kontrolnu listu koja im je potrebna korisnici mogu pregledavati i
pretraživati metapodatke repozitorija korištenjem brojnih kriterija, meĎu kojima su: kategorija
Ranjivosti i prijetnje informacijskog sustava
8
proizvoda, naziv proizvoĎača, organizacija koja ju je izradila. Postojanje takvog centraliziranog
repozitorija olakšava organizacijama pronalaženje važećih i vjerodostojnih verzija kontrolnih
lista i odabir one koje najbolje zadovoljava njihove potrebe.
Tablica 2. Primjer kontrolne liste za Windows Vista i XP (prikazano samo 11 od 229 politika)
U gornjoj tablici prikazan je vrlo kratki izvadak iz jedne od kontrolnih lista, pri čemu
CCE znači Jednoznačno označavanje konfiguracija (Common Configuration Enumeration). Taj
sustav izradila je organizacija MITRE www.mitre.org, a kompletne liste oznaka mogu se
preuzeti ovdje: http://cce.mitre.org/lists/cce_list.html.
NIST radi na usklaĎivanju repozitorija kontrolnih lista s Protokolom o automatizaciji
sigurnosnog sadržaja (Security Content Automation Protocol – SCAP – http://scap.nist.gov), koji
omogućuje automatsku provedbu provjere konfiguracije korištenjem NCP-ovih kontrolnih lista.
Na primjer, repozitorij sadrži kontrolne liste (i pokazivače prema alatima) za kontrolu
konfiguracije sustava koji koriste Konfiguracijski standard za Vladu SAD-a (United States
Government Configuration Baseline – USGCB), te Državni standard za konfiguraciju strolnih
računala (Federal Desktop Core Configuration – FDCC), koji oba koriste SCAP. NCR takoĎer
ima pokazivače na ostale kontrolne liste koje podržavaju SCAP, koje su proizveli proizvoĎači IT
opreme i vladine organizacije. Ažurne informacije o aktivnostima NIST-a nalaze se na
stranicama NIST-ovog Centra za informacije o računalnoj sigurnosti (Computer Security
Ranjivosti i prijetnje informacijskog sustava
9
Resource Center) utemeljenog pri njegovom Odjelu za računalnu sigurnost (Computer Security
Division) http://csrc.nist.gov.
Kao primjer dokumenta kojim se inicira proces provjere ranjivosti navodimo sljedeći
dokument, kojeg je izradio Zavod za sigurnost informacijskih sustava:
Tablica 3. Izvadak s prve stranice Zahtjeva za provjeru ranjivosti
Ranjivosti i prijetnje informacijskog sustava
10
5. Besplatni alati za provjeru ranjivosti informacijskog sustava
Dok na tržištu postoji cijela jedna grana softverske industrije posvećena prodaji alata za
provjeru ranjivosti mreže i informacijskog sustava, neki od najboljih postojećih alata su
besplatni. Iako komercijalni alati nisu loši, zajednica otvorenog koda (open source community) i
neke tvrtke razvile su odlične alate za testiranje i nude ih bez naknade. Navedimo neke od
najboljih.
Nmap, iako strogo tehnički gledano ovo i nije skener ranjivosti (nego skener mreže i
portova), Nmap je često upravo onaj alat s kojim započinjemo pregled mreže i otkrivanje što se u
njoj nalazi. Ponekad je ranjivost sistema vrlo očigledna – ali je ne vidimo, jer ne gledamo u tom
smjeru. Nmap nam pomaže otkriti upravo takve potencijalne probleme koji su nevidljivi
rutinskom pregledu. Ispočetka je Nmap radio u komandnom modu, i bilo je jako teško naučiti
sve opcije koje je nudio, ali sada postoji grafičko sučelje naziva Zenmap (za Linux, Windows,
Mac OS, BSD, itd.) koje umnogome olakšava upotrebu Nmap-a.
Slika 1. Prikaz dijela skenirane mreže i aktivnih portova na jednom serveru
Microsoft Baseline Security Analyzer (MBSA) je nenadmašan u otkrivanju problema na
Microsoft Windows operacijskim sustavima nastalim zbog nepostojanja sigurnosnih zakrpa.
Ranjivosti i prijetnje informacijskog sustava
11
Zbog velikog broja Windows servera automatizirano ažuriranje zakrpa bilo bi vrlo teško
nadzirati i procjenjivati sigurnost na svim računalima u informacijskom sustavu bez jednog
ovakvog alata.
Slika 2. Prikaz administrativnih ranjivosti na jednom serveru (domain controller)
Nessus je vrlo brzi alat, koji omogućuje iznimno veliku širinu i dubinu skeniranja.
Besplatan je sve dok ga se ne koristi u komercijalne svrhe, a poslovne organizacije mogu ga
koristiti uz kupnju licence. Trenutačno provjerava više od 40.000 sigurnosnih propusta,
uključujući i one za iPhone, iPod Touch te Android mobilne aplikacije. Podržava velik broj
operacijskih sustava (Debian, Fedora, Red Hat, SuSE, Ubuntu, FreeBSD, Mac OS, Solaris), a
verzija za Windowse zove se NeWT i podržava Windows XP, Server 2003, Server 2008, Vistu i
Windows 7.
Ranjivosti i prijetnje informacijskog sustava
12
Nikto je skener koji se primarno fokusira na sigurnost web servera. U stanju je otkriti više
od 6.400 potencijalno opasnih datoteka/CGI-ja, pronalazi zastarjele verzije na više od 1.000
servera te probleme koji su specifični za neku verziju na više od 270 servera. Nikto može
skenirati veći broj portova na jednom serveru, ili veći broj servera kroz ulazne datoteke
(uključujući i one nastale u Nmap-u).
Postoje još mnogi besplatni alati, zatim alati namijenjeni za otkrivanje specifičnih
ranjivosti, ili pak za točno odreĎene platforme, itd. Kad napravite prvi test ranjivosti na jednom
informacijskom sustavu, trebat ćete proanalizirati rezultate i identificirati ranjivosti i njen izvor.
Dobra ideja je napraviti još jedan test ranjivosti – ali drugim alatom, koji pouzdano prepoznaje
otkrivenu ranjivost, kako bi se nedvojbeno potvrdilo njeno postojanje. Nakon što ste instalirali
zakrpu ili izmijenili konfiguraciju računala te tako (nadajmo se) otklonili ranjivost, ponovno
pokrenite test da biste potvrdili da je ranjivost doista uklonjena, ili pak napravite penetracijski
test.
Slika 3. Prikaz učestalosti visokorizičnih ranjivosti prema vrsti uređaja
Ranjivosti i prijetnje informacijskog sustava
13
6. Komercijalni alati za provjeru ranjivosti informacijskog sustava
Bez namjere da bilo koga posebno ističemo, ili "reklamiramo", kao primjer komercijalne
aplikacije namijenjene provjeri ranjivosti informacijskih sustava razmotrit ćemo upotrebu jednog
tipičnog alata.
Outpost 24 je globalna kompanija sa sjedištem u Švedskoj, te uredima u cijelom svijetu.
Njihov alat Outscan spada u skupinu softvera na zahtjev (Software as a Service), što znači da se
koristi izravno s Interneta, bez ikakve instalacije na lokalnom informacijskom sustavu.
Skeniranje mreže korištenjem Outscana obavlja se slanjem mrežnih paketa i
analiziranjem dobivenih odgovora, kako bi se utvrdile karakteristike udaljenog objekta. To se
odvija u sljedećim fazama: otkrivanje sjedišta (host), skeniranje portova, odreĎivanje protokola,
odreĎivanje operativnog sustava te odreĎivanje aplikacije.
U fazi otkrivanja sjedišta šalje se mali broj poruka prema udaljenom objektu kako bi se
vidjelo hoće li biti odziva. Objekt se "napada" u obliku IP adrese ili domenskog naziva (FQDN),
a zatim se šalje mali broj poruka TCP-a, UDP-a, DNS-a, ICMP-a i ARP-a. Šalju se tri TCP
paketa na 30 različitih portova, s meĎusobnim razmakom od 200 milisekundi. Zatim se šalju 4
UDP paketa, prvi na port 500, a sljedeća tri na slučajno odabrane portove u rasponu izmeĎu
50000 i 65000. Paketi se šalju na portove udaljenog objekta s nadom da će pogoditi zatvoreni
port i dobiti ICMP odziv o nedostupnom portu. Tri zahtjeva za ICMP odziv se šalju s razmakom
od 1000 ms. TakoĎer se šalju tri ARP zahtjeva s meĎusobnim razmakom 200 ms. Ako bilo koja
od poruka dobije odgovor, to znači da se objekt nalazi na toj lokaciji i dalje se ne šalju paketi. U
najlošijoj varijanti trebat će 27,8 sekundi da skeniranje u fazi otkrivanja zaključi da objekta nema
ili se ne odaziva.
Kad se pronaĎe odreĎeno sjedište pristupa se fazi skeniranja portova, sa ciljem
pronalaska onih koji su otvoreni. To je donekle deterministički pristup – skenira se jedan po
jedan port s popisa portova, prema unaprijed postavljenoj brzini PPS (paket u sekundi).
Dopuštena su najviše 4 pregleda, pri kome se svaki sljedeći radi na polovici PPS (npr. prvi na
200, drugi na 100, treći na 50 i četvrti na 25 paketa u sekundi). Po definiciji se koristi popis od
5559 TCP portova i 104 UDP portova, ali korisnik može postaviti i skeniranje većeg ili manjeg
broja bilo kojih od njih.
Ranjivosti i prijetnje informacijskog sustava
14
Detektiranje protokola je faza u kojoj se kao ulazni podatak uzima popis pronaĎenih
otvorenih portova. Aplikacija se spaja na te portove i traži poklapanja s nekim od 5000 poznatih
servisa. Ako utvrdi poklapanje onda označava port tim servisom, a ako ne utvrdi tada nastavlja
slati poruke na desetak najčešćih protokola. Ako ni tu ne naĎe potpuno poklapanje, što se rijetko
dogaĎa, onda se odreĎuje statistički najsličniji servis.
Tijekom skeniranja protokola prikuplja se veliki broj zabilješki o portovima (banner),
koje se zatim analiziraju i iz njih se utvrĎuje najvjerojatniji operativni sustav udaljenog ureĎaja. I
na kraju, preko TCP, ICMP i UDP poruka odreĎuje se kojim aplikacijama pripadaju odreĎene
poruke.
Kako smo vidjeli, cijeli ovaj proces radi se na relativno niskim brzinama, tako da
prosječno vrijeme da bi aplikacija pronašla dva otvorena servisa po ureĎaju traje 6 minuta, pri
brzini slanja i primanja podataka od 2 megabita po sekundi. Prosječno skeniranje koje uključuje
sve faze poslat će i primiti oko 9 megabajta podataka.
Ranjivosti i prijetnje informacijskog sustava
15
7. Penetracijsko testiranje
Penetracijski test je simulacija napada visoko motiviranog i osposobljenog napadača na
informacijski sustav korisnika. Prije nego što nabavimo prvi takav alat i pokrenemo ga, trebali
bismo odrediti koji su ciljevi našeg penetracijskog testiranja. Svrha toga je da se postigne
maksimalna učinkovitost testiranja, tako što ćemo za unaprijed poznati zadatak odabrati
najpogodniji alat. Nije isto testiramo li jednu aplikaciju ili cjeloviti sustav, provjeravamo li jesu li
sve zakrpe instalirane ili analiziramo pravila vatrozida, ispitujemo li kućnu instalaciju ili
računalnu mrežu u tvrtki, radimo li provjeru vlastitog sustava ili po narudžbi treće strane,
provodimo li analizu za interne potrebe ili ćemo o rezultatima nekoga izvijestiti...?
Nakon što smo definirali ciljeve testiranja potrebno je izraditi plan testiranja. U načelu
postoje dvije kategorije penetracijskog testiranja: naslijepo (s nepoznatim ciljem) ili specifično (s
definiranim ciljem). Testiranje naslijepo uključuje skeniranje jedne IP adrese, raspona IP adresa
ili cijele podmreže – a da unaprijed ne znamo kakva su sjedišta na mreži, koja se oprema koristi
(npr. usmjerivači, preklopnici, vatrozidi, web serveri, printeri itd), niti znamo detalje o
operativnim sustavima, platformama ili verzijama aplikacija. Za testiranje s definiranim ciljem
unaprijed će biti detaljno opisano koji se sustavi testiraju i koja vrsta ranjivosti se istražuje. Na
primjer, testiranje IIS web servera na računalu s Windows 2000 za ispitivanje ranjivosti
dodijeljenih privilegija je slučaj definiranog testiranja.
Alati i postupci koje ćemo koristiti ovisit će upravo o tako definiranoj vrsti testiranja. Za
slijepo testiranje možda ćemo upotrijebiti besplatni skener mreže i portova kao što je Nmap. Kad
doznamo što se sve nalazi u mreži uzet ćemo sljedeći alat, na primjer Nessus. Ako koristimo
komercijalne alate vjerojatno ćemo prvo uraditi incijalni snimak, a zatim prema dobivenim
rezultatima možemo pokrenuti specifični test za odreĎenu vrstu zlonamjernog softvera (exploit).
Svoje nalaze moramo oblikovati u pregledni izvještaj, potkrijepljen snimkama ekrana ili
drugim dokazima o ostvarenim penetracijama u informacijski sustav, kako bismo mogli
interpretirati nalaze i preporučiti aktivnosti za otklanjanje ranjivosti.
Ranjivosti i prijetnje informacijskog sustava
16
Zaključak
Informacijska tehnologija omogućuje korištenje i upravljanje informacijama, te podržava
i unapreĎuje poslovne procese kako bi se što djelotvornije ostvarivali poslovni ciljevi i postigla
konkurentska prednost organizacije. MeĎudjelovanje informacijske tehnologije, podataka i
postupaka za obradu podataka te ljudi koji prikupljaju i koriste navedene podatke čini
informacijski sustav.
Sigurnost informacijskog sustava je područje informacijske sigurnosti u okviru kojeg se
utvrĎuju mjere i standardi informacijske sigurnosti klasificiranog i neklasificiranog podatka koji
se obraĎuje, pohranjuje ili prenosi u informacijskom sustavu te zaštite cjelovitosti i
raspoloživosti informacijskog sustava u procesu planiranja, projektiranja, izgradnje, uporabe,
održavanja i prestanka rada informacijskog sustava.
Provjera ranjivosti predstavlja jednu od komponenata upravljanja ranjivostima
informacijskog sustava i jedan je od najboljih načina preventivnog djelovanja sa ciljem zaštite
informacijskih sustava od narušavanja osnovnih načela informacijske sigurnosti.
Ranjivosti i prijetnje informacijskog sustava
17
Literatura
Clemmer, Lee. The Best Free Vulnerability Scanners. Preuzeto 19. svibnja 2011. s
http://www.brighthub.com/computing/smb-security/articles/43614.aspx
Helsinki University of Technology, Software Business Research Unit (2010). A study of Network
Perimeter Security.
Microsoft Security TechCenter. Microsoft Baseline Security Analyzer. Preuzeto 19. svibnja 2011.
s http://technet.microsoft.com/en-us/security/cc184923
National Institute of Standards and Technology (2008). Guidelines for the Accreditation of
Personal Identity Verification Card Issuers.
National Institute of Standards and Technology (2011). National Checklist Program for IT
Products – Guidelines for Checklist Users and Developers.
National Vulnerability Database. Preuzeto 19. svibnja 2011. s http://nvd.nist.gov
Hrvatska narodna banka (2006). Smjernice za upravljanje informacijskim sustavom u cilju
smanjenja operativnog rizika.
Zavod za sigurnost informacijskih sustava. Preuzeto 19. svibnja 2011. s http://www.zsis.hr
Ranjivosti i prijetnje informacijskog sustava
18
Pitanja za provjeru naučenoga
1. Što su ranjivosti informacijskog sustava?
Ranjivosti su manjkavosti softvera (defect), softverske pogreške (bug) ili propusti u
podešavanju softvera (misconfiguration) koju napadač može iskoristiti za narušavanje tajnosti,
integriteta ili raspoloživosti podataka.
2. Što su kontrolne liste za provjeru sigurnosti konfiguracije?
Kontrolne liste za provjeru sigurnosti konfiguracije, su dokumenti kojima proizvoĎač
opreme ili druga organizacija s tehničkim kompetencijama definira način konfiguriranja IT
opreme prema odreĎenom operativnom okružju.
3. Što je penetracijski test?
Penetracijski test je simulacija napada visoko motiviranog i osposobljenog napadača na
informacijski sustav korisnika.