Így válhat Ön is etikus hekkerré

A magyarországi etikus hekkerek az elmúlt évek során kitettek magukért, és a nemzetközi porondon is bizonyítottak. Jay Bavisi, az EC-Council elnöke a Biztonságportálnak adott korábbi interjújában méltatta a hazánkban kialakult biztonsági közösséget. Az EC-Council azonban nemcsak szavakkal igyekezett kifejezni az elismerését, hanem azzal is, hogy a legújabb, 7-es verziójú Certified Ethical Hacker (CEH) képzését az elsők között Magyarországon tartotta meg. Az EC-Council hazai képviseletét ellátó NetAcademia jóvoltából a Biztonságportál is betekintést nyerhetett az etikus hekkerek képzésébe.

A CEH egy ötnapos képzést takar, melynek során a tanfolyam részvevői 40 órás, valóban gyakorlatorientált oktatásban részesülnek. A mostani tanfolyamot - hasonlóan az eddigiekhez - Zsíros Péter és Deim Ágoston, a NetAcademia oktatói tartották. A hallgatók notebookokra telepített virtuális környezetek segítségével ismerkedhettek meg az etikus hekkelés szabályaival, rejtelmeivel, trükkjeivel. Természetesen az etikusság minden egyes napon a középpontban volt. A tanfolyam résztvevőinek kivétel nélkül nyilatkozniuk kellett, hogy a képzés során megszerzett ismereteket nem használják fel jogszerűtlenül. Az etikus hekkelés és a penetrációs tesztek célja ugyanis a biztonsági gyengeségek feltérképezése, a védelmi hiányosságok feltárása. E tevékenységek elvégzése megbízás alapján történik, szigorú szabályok és alaposan kidolgozott szerződések szerint. Mielőtt egy etikus hekker nekilát a munkájának - ami nem egy esetben nem kis megszállottsággal párosul - pontosan meg kell határozni, hogy mi az, amit megtehet, mikor végezheti a feladatát, milyen rendszereket térképezhet fel, és kik azok, akik a vizsgálat alá vont szervezeten belül tudhatnak a tevékenységéről. Nem utolsó sorban pedig tisztázni kell, hogy mennyi idő áll a rendelkezésére a tesztek elvégzéséhez. Természetesen ezek a feltételek korlátozzák az etikus hekkert, de mégis nélkülözhetetlenek a rendelkezésre állás biztosítása, illetve a nemkívánatos események elkerülése érdekében.

A következőkben bemutatjuk, hogy a CEH-képzés keretén belül melyek voltak azok a hekkelési területek, amelyekkel a hallgatók megismerkedhettek.

Első a felderítés

Attól függően, hogy whitebox, graybox vagy blackbox penetrációs tesztekről beszélünk, az etikus hekkernek először különböző mélységű felderítő munkát kell végeznie. A CEH képzésen a résztvevők az egyszerű WHOIS-lekérdezéstől, a webes keresők és az azokra épülő szoftverek használatán át egészen a port scannelés legmélyebb szintű alkalmazásáig minden lényeges technikával megismerkedtek. A felderítés során fontos információk szerezhetők egy vállalat, intézmény informatikai infrastruktúrájáról, az alkalmazott hardver- és szoftvereszközökről, de egyes esetekben akár egy sima webes kereséssel is fényt lehet deríteni arra, hogy egy-egy cégnél milyen víruskeresőt használnak. Ezek az információk a további tesztek során nélkülözhetetlenné válhatnak. A felderítésre az emberi tényezők kihasználására építkező social engineering kapcsán is nagy szükség van, ugyanis ezáltal tárható fel, hogy egy szervezeten belül mely munkatársakat, milyen megtévesztő trükkökkel érdemes „megkörnyékezni" bizalmas adatok megszerzése érdekében.

A képzés első napján a hallgatók először igazán akkor tapasztalhatták meg, hogy nemcsak különféle eszközök puszta nézegetéséről lesz szó, amikor a port scannelési technikák ismertetése következett. Ekkor ugyanis nemcsak az Nmap Windows-os felületének megtekintésére került sor, hanem az oktató azokat a hálózati ismereteket, elméleti alapokat is felvázolta, amelyek az Nmap háttérműködésének valamint az olyan módszerek, mint például a connect scan, a SYN Stealth, a reverse mapping, a decoy vagy az Idle scan háttérben zajló folyamatainak megértéséhez nélkülözhetetlenek.

Az oktatás egészéről elmondható, hogy az egyes témakörök elméleti alapjainak áttekintése után a gyakorlatra helyeződött a hangsúly, és a résztvevők a notebookjaik előtt az oktatók segítségével próbálhatták ki kockázatmentesen a különféle támadási lehetőségeket.

Jelszavak és bizalmas információk megkaparintása

Amikor a hekkelés szóba kerül, akkor sokan - természetesen nem alaptalanul - a jelszavakkal való ügyeskedésre gondolnak. Mivel a jelszóalapú hitelesítés a rengeteg gyengesége ellenére napjainkban (és minden bizonnyal még jó ideig) a legelterjedtebb azonosítási megoldásnak számít, ezért a CEH-képzés is nagy hangsúlyt helyezett a hitelesítő adatok megszerzési lehetőségeinek tárgyalására. Alapvetően két részre bomlott e témakör bemutatása. Először a lokális jelszószerzés, jelszótörés lehetőségei kerültek terítékre, majd a hálózaton keresztül történő jelszólopás technikáinak ismertetése következett. Az LM, NTLM (v1/v2) mélyreható elméleti alapjainak elsajátítása után a hallgatók elé tárultak többek között a közbeékelődő támadást lehetővé tevő ARP poisoning, az ICMP redirect és a Mac flooding technikák.

A képzés során kipróbált több tucat alkalmazás közül a legtöbbször a Wireshark és Cain & Abel szoftverek jelentek meg a képernyőkön, amelyek nemcsak a gyakorlati életben képesek segíteni a penetrációs teszteket, hanem oktatási célokra is kiválóan alkalmasak. Itt érdemes megjegyezni, hogy a Windows alapú hekkelések Windows Server 2008-at futtató virtuális gépeken történtek. Azonban az oktatók minden technika vagy alkalmazás esetében ismertették, hogy a különféle Windows verziók az adott helyzetben miként viselkednek.

A jelszavak mellett természetesen egyéb bizalmas információk megkaparintásának lehetőségei is szóba kerültek. Így például a VPN (elsősorban a PPTP alapú VPN), a nyomtatók és a VoIP-lehallgatás rejtelmei is. A nyomtatók azért játszanak fontos szerepet az etikus hekkelésben, mert a mai, papírmentes irodai környezetre való „törekvés jegyében" tulajdonképpen előbb utóbb minden kikerül a nyomtatókra, és legyen szó PCL vagy PS megoldásokról, a lehallgatásra, illetve a dokumentumok újraépítésére egy közbeékelődéses támadás segítségével jó lehetőségek kínálkoznak. A képzés egyik különösen izgalmas része volt, amikor a résztvevők egy Linux alatt futó, Asterisk VoIP kiszolgálón keresztül egymás beszélgetéseit hallgatták le, majd rögzítették a hívásokat MP3-formátumú audio állományokba.

A rejtőzködés művészete

A feketekalapos hekkerek a legtöbbször láthatatlanságra törekszenek. Céljuk, hogy úgy férhessenek, hozzá különböző rendszerekhez, hogy ne hagyjanak nyomokat, és ezzel nehezítsék meg a felderítést, illetve a nyomozást. Nyilván az etikus hekkereknek is ismerniük kell a rejtőzködési lehetőségeket, legyen szó akár a technikai környezetek vizsgálatáról, akár a social engineering típusú támadásokról.

A CEH-képzés során a hallgatók számos rejtőzködést segítő technikával ismerkedhettek meg. Szóba kerültek például a proxy chainnek, a wrapperek, a szteganográfia és a különféle hálózati adatforgalmakba való rejtőzési (tunneling) lehetőségek is. A CEH v7 tananyagába bekerült Barta Csaba forensic szakértő által készített rootkit is, amelyet maga a fejlesztő demonstrált a hallgatóknak, és magyarázta el annak működését. A program segítségével egy Windows Server 2008 operációs rendszeren úgy rejthetők el a folyamatok, fájlok vagy naplózhatók a billentyűleütések, hogy abból sem a felhasználó, sem a rendszergazda nem vesz észre semmit. Sőt még a Windows legszigorúbb policy-k szerint beállított naplózása is manipulálhatóvá válhat.

Kihasznált sebezhetőségek

Az egyes biztonsági incidensek nyilvánosságra hozatalakor a híradások sokszor arról szólnak, hogy a támadók ilyen-olyan sérülékenységeket használnak ki a céljaik eléréséhez. A biztonsági rések „anatómiájának" megértéséhez, azok veszélyeinek mélyreható megismeréséhez a CEH-képzés is igyekszik hozzájárulni, nem is kis mértékben. A mostani tanfolyamon a hallgatók tüzetesen megismerkedhettek a Metasploit Framework lehetőségeivel és használatával. A Metasploit bemutatása azonban nem merült ki a beépített payloadok, exploitok megtekintésében, ugyanis az oktatás résztvevői az exploitkészítésbe is betekintést nyerhettek. Noha ezt a részt inkább a programozói vénával megáldott hallgatók szemlélték csillogó szemekkel, az oktató minden elkövetett azért, hogy azok is átláthassák a puffertúlcsordulási hibák lényegét, akik soha nem dolgoztak vermekkel, nem debuggoltak, nem keresgéltek az EIP, ESP, stb. CPU regiszterekben.

A sérülékenységek kihasználásának két további fontos területe sem maradt ki a tananyagból. Természetesen górcső alá kerültek az SQL injection valamint az XSS (cross-site scripting) alapú támadások is. Az előbbi esetében a Microsoft Access, az MS SQL és a MySQL adatbázisok elleni támadásokról volt szó, de nyilván azok, akik e technikákat ismerik, más adatbáziskezelőkkel is megbirkóznak. A CEH részét képezte azon eszközök bemutatása is, amelyek az SQL injection valamint az XSS automatizálását teszik lehetővé.

Támadás alatt a vezeték nélküli hálózatok

A CEH-képzés a vezeték nélküli hálózatok ellen kezdeményezhető támadásokat Windows és Linux alapú eszközök segítségével ismertette. A Wireless LAN felderítési módszerek után a titkosítatlan, illetve a WEP és a WPA/WPA2 titkosítást alkalmazó hálózatok célkeresztbe állítására került sor. A tanfolyam utolsó napján a WiFi törés mellett nagy hangsúlyt kaptak az úgynevezett Layer 2-es támadások is, így például a VLAN (virtual LAN), az STP (Spanning Tree Protocol), a DHCP szemügyre vétele sem maradt el. A tanfolyam e részében a BlackTrack Linux és az azon található alkalmazások kaptak szerepet.

Hogyan kell védekezni?

A CEH-képzés egyik legfontosabb, ha nem a legfontosabb célja, hogy a hallgatók minden egyes támadási módszer megismerése és végrehajtása után azokat az ismereteket is megszerezzék, amelyek ahhoz szükségesek, hogy a feketekalapos hekkerek által alkalmazott technikákat sikeresen kivédhessék. Emellett lehetővé válik számukra, hogy olyan biztonsági eszközöket, védelmi intézkedéseket, konfigurációs beállításokat alkalmazhassanak vagy javasolhassanak az ügyfeleiknek, amelyek révén a valódi, kártékony célokkal bekövetkező támadások kockázatait tudják minimalizálni.