Dette er skrevet til folk der normalt ikke er i berøring med IT-sikkerhed.
Da en kollega spurgte til hvordan han sikrede sin hjemmeside mod hacking og defaces, fik vi en lille snak om værktøjer og metoder.
Typisk, når der er tale om små og mellemstore virksomheder, plejer jeg at anbefale dem at få lavet sikkerhedstest, pentesting og sikkerhedspolitik via et eksternt konsulentfirma som f.eks. Aconiac.com.
I dette tilfælde er min kollega selv i stand til at køre et par programmer, og har ikke noget super kritisk på sit system. Så han tager selv ansvaret, og ønsker blot lidt info om nemme og brugervenlige programmer til selv at lave sikkerhedstest med, mod sin ene server med sin ene hjemmeside.
Sikkerheden, og dermed også sikkerhedstesten, skal ses i to adskildte kategorier. Serverens programmer og services for sig, og web-applikationerne for sig. Det er vigtigt at teste begge dele.
Før i tiden var mange sikkerhedsfejl i servernes programmer, og det var gennem f.eks. en usikker mailserver eller webserver en server blev udnyttet. I dag er det i højere grad gennem webapplikationerne. Idet de kan mere og mere, og bliver mere og mere komplekse, giver det større grundlag for flere sikkerhedshuller.
For at anbefale et par programmer til sikkerhedstest af server og webapplikationer, er det nemmest at linke til de to gode lister her: sectools.org/vuln-scanners.html og sectools.org/web-scanners.html
Nogle af programmerne er dog ret dyre, og nogle kan være besværlige at bruge, hvis du ikke interesserer dig for sikkerhed.
For at starte med serveren, så er det absolut bedste værktøj Nessus. Det er gratis at bruge privat, med en “home feed”, der skal registreres med en mail-adresse. Det indeholder mange tusinde tests mod forskellige operativsystemer og typiske serverprogrammer. Et skan med en opdateret Nessus bør give dig udemærkede informationer om den nuværende status. Du får en rapport, hvor de fundne sårbarheder er markeret med rødt eller gult, alt efter hvor kritiske de er.
Som regel er rapporten godt uddybende, inklusiv information om hvordan du udbedrer de fundte sårbarheder. Hvis du alligevel har behov for hjælp med at sikre serveren, er du meget velkommen til at kontakte mig.
Af dyrere betalingsprogrammer bør både Retina og Core Impact nævnes. Du kan prøve en gratis demo af dem på www.eeye.com og www.coresecurity.com
Hvis du ikke selv har mulighed for at købe programmerne, kan du relativt billigt købe skanninger med programmerne hos diverse sikkerhedsfirmaer.
Til webapplikationerne er det gratis Nikto i top. Det skanner efter tusinder af sårbarheder, og kan benytte diverse plugins til yderligere funktionalitet. Desværre kommer opdateringerne til sårbarhedsdatabasen ikke så ofte som den kunne. Men Nikto er stadig et super godt udgangspunkt.
Af betalingsprogrammer til webapplikationssikkerheden, bør WebInspect og Acunetix nævnes. Ligesom med betalingsprogrammerne til serversikkerheden, findes disse to også i gratis prøveudgaver på www.spidynamics.com og www.acunetix.com
Ligesom med servertestprogrammerne, kan du få lavet enkelte skanninger med de nævnte programmer, relativt billigt.
Er du i den situation at du selv har udviklet en webapplikation, eller har en skræddersyet løsning kørende, er det vigtigt at du får lavet manuel gennemgang af den også. De nævnte programmer virker typisk mest effektivt overfor udbredte webapplikationer.
Udover de omtalte programmer, er det bedste du kan gøre, at holde dine serverprogrammer og webapplikationer opdaterede.
Mange har tilknyttet en mail-liste hvor der kun sendes info om opdateringer og patches ud på. Sådan en liste er det vigtigt at være tilmeldt, så du får info om opdateringer og kan nå at opdatere _før_ et hul er udnyttet, og ikke blot opdatere når du tilfældigt opdager der er en ny version.
Hvis du ikke har tiden til det, anbefaler jeg igen at få et eksternt firma til det.
Du er velkommen til at skrive, hvis du har problemer eller spørgsmål til programmerne, eller deres brug.
Jeg er selv blevet meget glad for w3af og hvis man specielt skal arbejde med websikkerhed er der megen hjælp at hente hos OWASP.org og check også OWASP.dk – der er en mailingliste med danskere
Samurai LiveCD med webtesting tools gør det ligeledes nemt at afvikle værktøjerne, uden at skulle lære for meget Unix/Linux
Pæn liste, jeg kendte dog godt til værktØjerne i forvejen.
Har dog aldrig hØrt om Aconiac, det lyder lidt mere som reklame
Men det er helt i orden, det er jo din blog og ikke min
@kramse => Man kan ikke overhovedet ikke lære “for meget” Linux og Unix i IT-sikkerhedsbranchen, sikke noget vrØvl.
BackTrack har alle værktØjerne Samurai har, med den undtagelse at der ikke er nogen super easy guide til at hjælpe med.
W3AF er godt, Owasp.org har også mange gode artikler, men for nyligt har jeg offentlig gjort en del sårbarheder i diverse php systemer, og endda også skrevet mails til computerworld, ekstrabladet, berlingske tidende, version2, samt mange andre. De havde alle sammen de velkendte XSS / Cross Site Scripting huller, som de programmer jeg også kØrer slet ikke ville kunne opfange.
Det skal dog siges at diverse værktØjer har faktisk hjulpet mig nogle gange, til at finde mapper eller sikkerhedshuller jeg ikke lige ville have tænkt på at lede efter, men som regel er de alt for langsomme og upräcise.
Måske ville nogle af dem, men de fleste af dem ville have rigtig mange problemer med at “bypasse” diverse “no html” filtre og “no injection” filtre hvilket der var en pæn slat af på ovenstående.
~ MaXe