Nemme IT-sikkerhedsværktøjer til egen test

Bemærk at denne tekst er over 15 år gammel, den er ikke nødvendigvis fuldt retvisende længere, eller afspejler mine holdninger.

Dette er skrevet til folk der normalt ikke er i berøring med IT-sikkerhed.

Da en kollega spurgte til hvordan han sikrede sin hjemmeside mod hacking og defaces, fik vi en lille snak om værktøjer og metoder.
Typisk, når der er tale om små og mellemstore virksomheder, plejer jeg at anbefale dem at få lavet sikkerhedstest, pentesting og sikkerhedspolitik via et eksternt konsulentfirma som f.eks. Aconiac.com.

I dette tilfælde er min kollega selv i stand til at køre et par programmer, og har ikke noget super kritisk på sit system. Så han tager selv ansvaret, og ønsker blot lidt info om nemme og brugervenlige programmer til selv at lave sikkerhedstest med, mod sin ene server med sin ene hjemmeside.

Sikkerheden, og dermed også sikkerhedstesten, skal ses i to adskildte kategorier. Serverens programmer og services for sig, og web-applikationerne for sig. Det er vigtigt at teste begge dele.

Før i tiden var mange sikkerhedsfejl i servernes programmer, og det var gennem f.eks. en usikker mailserver eller webserver en server blev udnyttet. I dag er det i højere grad gennem webapplikationerne. Idet de kan mere og mere, og bliver mere og mere komplekse, giver det større grundlag for flere sikkerhedshuller.

For at anbefale et par programmer til sikkerhedstest af server og webapplikationer, er det nemmest at linke til de to gode lister her: sectools.org/vuln-scanners.html og sectools.org/web-scanners.html

Nogle af programmerne er dog ret dyre, og nogle kan være besværlige at bruge, hvis du ikke interesserer dig for sikkerhed.

For at starte med serveren, så er det absolut bedste værktøj Nessus. Det er gratis at bruge privat, med en “home feed”, der skal registreres med en mail-adresse. Det indeholder mange tusinde tests mod forskellige operativsystemer og typiske serverprogrammer. Et skan med en opdateret Nessus bør give dig udemærkede informationer om den nuværende status. Du får en rapport, hvor de fundne sårbarheder er markeret med rødt eller gult, alt efter hvor kritiske de er.
Som regel er rapporten godt uddybende, inklusiv information om hvordan du udbedrer de fundte sårbarheder. Hvis du alligevel har behov for hjælp med at sikre serveren, er du meget velkommen til at kontakte mig.

Af dyrere betalingsprogrammer bør både Retina og Core Impact nævnes. Du kan prøve en gratis demo af dem på www.eeye.com og www.coresecurity.com
Hvis du ikke selv har mulighed for at købe programmerne, kan du relativt billigt købe skanninger med programmerne hos diverse sikkerhedsfirmaer.

Til webapplikationerne er det gratis Nikto i top. Det skanner efter tusinder af sårbarheder, og kan benytte diverse plugins til yderligere funktionalitet. Desværre kommer opdateringerne til sårbarhedsdatabasen ikke så ofte som den kunne. Men Nikto er stadig et super godt udgangspunkt.

Af betalingsprogrammer til webapplikationssikkerheden, bør WebInspect og Acunetix nævnes. Ligesom med betalingsprogrammerne til serversikkerheden, findes disse to også i gratis prøveudgaver på www.spidynamics.com og www.acunetix.com
Ligesom med servertestprogrammerne, kan du få lavet enkelte skanninger med de nævnte programmer, relativt billigt.

Er du i den situation at du selv har udviklet en webapplikation, eller har en skræddersyet løsning kørende, er det vigtigt at du får lavet manuel gennemgang af den også. De nævnte programmer virker typisk mest effektivt overfor udbredte webapplikationer.

Udover de omtalte programmer, er det bedste du kan gøre, at holde dine serverprogrammer og webapplikationer opdaterede.
Mange har tilknyttet en mail-liste hvor der kun sendes info om opdateringer og patches ud på. Sådan en liste er det vigtigt at være tilmeldt, så du får info om opdateringer og kan nå at opdatere før et hul er udnyttet, og ikke blot opdatere når du tilfældigt opdager der er en ny version.
Hvis du ikke har tiden til det, anbefaler jeg igen at få et eksternt firma til det.

Du er velkommen til at skrive, hvis du har problemer eller spørgsmål til programmerne, eller deres brug.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *