Peetcijski peizkusi: jblke, huške i kvi Mitj Klšek ACROS d... www.cs.si 2.2.2010 1
PENETRACIJSKI PREIZKUSI VARNOSTNE ANALIZE Zmed z izzi zuji 63 tji blck bx white bx ze kwledge destuktive edestuktive vdi test ivssttii peetcijskiled peizkus ljljiv g d e ppegle tii sskkee vsti sstpegled v v izij t eevvizij s t s v v ivssttii e ljljiv j e j i s ti sskkeei ljljiivvsti e j e j i tteesstti ssttii v s u v k s iz dee ppeeizku sttii vvd s p d izkkuuss dp ppeeiz... 2
Peetcijsk peizkušje čeld (vi: bikechtte.c.uk) (vi: wildcuty.c.uk) Gelšk peetcijsk peizkušje 3
ISACA i peetcijski peizkusi IS AUDITING PROCEDURE, Dcumet P8: Secuity Assessmet peetti Testig Ad Vulebility Alysis (2004) Zuji peetcijski peizkus (Iteet, mdemi) Ntji peetcijski peizkus (iskje tjih ljivsti) Fiziči dstp (ezvvi kmuikcijski piključki) Scili ižeiig (telefski dstp, bskje p smeteh) Bezžič kmuikcij Splete plikcije ISACA kfeec 2001: Peetcijsk peizkušje ifmcijskih sistemv Iteeti ske Iteet DMZ Ntje mežje 4
Vsti pegled tjeg mežj Iteet DMZ Ntje mežje Vsti pegled plikcije Iteet DMZ Ntje mežje 5
Simulcij vd: Tipi+i vsti cilji 1. 2. 3. 4. 5. 6. 7. 8. 9. Spememb splete pedstvitve Pidbitev dstp d tjeg mežj Pidbitev dmiisttiveg dstp v Widws dmei Pidbitev dz d mežjem Pidbitev bleg dstp d klju+ih pdtkv v bzi Pidbitev zupih dkumetv upve Pidbitev ifmcij iz kdvske li pve službe (bke) Pes 1 z izbeg +u svj +u (bke) Pidbitev fi+ih ifmcij izbeg kmitet (li vseh) 10.(ifstuktu) Pevzem upvljj s sistemm 11.Oespsbitev pmembe pslve plikcije 12.Oespsbitev sve dejvsti INTERNET Simulcij vd v bk ebk B2B itet WWW DB dmi DB Bckup NOTRANJE OMREŽJE DMZ emil 6
Sestvljje ljivsti v simulciji vd tje mežje pdlec INTERNET pdtkv bz 1 upbik 2 je DMZ upbik 1 pž pegd DMZ Bistvee zlike med pegledm i peizkusm Pegled (iskje ljivsti) jti čimveč ljivsti sm iskje ljivsti hiptetiče pistp sm ze ljivsti zpije vstih lukej mž pecejšj vtmtizcij Peizkus (simulcij vd) jti čim bljše ljivsti z dsegje zstvljeih pdlskih ciljev iskje i izb ljivsti pktiče pistp tudi eze ljivsti dejski peizkus vsti pedvsem č (mžgsk) del je edii či, d ugtvim stje vsti 7
Zgdb vsti Tč pdlčev cilj Obmb ustvljje pd Pegled iskje ljivsti Peizkus simulcij vd Npd Vzdževje i peizkušje vsti Iskje ljivsti: Psti Nčik Pdcejevje tjih pdv Omejevje vtmtizie peglede Speglede pmembe plikcije Izvjlec Dbim dlg sezm vseh sumv li pečes sezm ptjeih ljivsti? S dkite ljivsti cejee pvšl li glede kketi ktekst v šem klju? S pipčil izvedljiv v šem klju? S pipčil stkv bjektiv li s eklmi mteil? Je ce sumljiv izk? 8
Simulcij vd: Psti Nčik Več dlšje Omejevje izvjlc Izvjlec Ali izvjlec lvi tč dlčee cilje, ki s z s tudi jblj kitiči? Ali izvjlec dejsk dseže zstvljee (edestuktive) cilje i e zglj pisuje, kk bi jih lhk dsegel? Ali izvjlec upblj tudi eze ( 0-dy ) ljivsti? Je spsbe dkivj ezih ljivsti v šem sistemu? Kk blizu zstvljeim ciljem je izvjlec pišel? S pipčil izvedljiv v šem klju? S pipčil stkv bjektiv li s eklmi mteil? Ppl vst i mgč. Njpej: Kkš splh je š vst? 9
pegled peizkus pegled pegled peizkus peizkus Mitj Klšek mitj.klsek@cs.si www.cs.si 10