2. … Пътят на самурая. Според целта,
самураят изработва различни оръжия,
овладявайки добре особеностите и
начина на използването им. В това е
същността на Пътя на самурая. Ако не
успее да овладее използването на
оръжията и не разбере ползата от всяко
от тях, не е ли това повърхностност в
уменията на един самурай?
Миямото Мусаши
«Го Рин Но Шо»
(Ръкопис на Петте пръстена)
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 2
3. Програма
Стандартите за одит на информационни системи и CAATs
Общи изисквания и предизвикателства пред ползването на приложения
Видове приложения от полза за ИТ одитора в областите:
Data mining и/или анализ на данни
Оценка на мрежовата сигурност
• Събиране на информация, сканиране и тестване на устройства в мрежа
• Откриване на уязвимости
• Тестване на безжични мрежи
Извън обхват на презентацията:
• Одит на СУБД, уеб приложения и уеб сървъри
• Преглед и тестване на софтуер и програмен код
• Управление на ИТ одит ангажиментите
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 3
4. Стандартите за одит на информационни системи и CAATs
Guideline 3 - Use of Computer-Assisted Audit Techniques (CAATs)
CAATs обхващат всички одит техники, използващи компютърен хардуер и
софтуер за извършването на по-ефективни и ефикасни одит тестове и
ангажименти като цяло.
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 4
5. Какво искат ИТ одиторите от ползваните от тях приложения?
Да могат да бъдат ползвани върху различни операционни системи
Максимално богата функционалност и покритие на различни платформи
Лекота при използване и наличие на подходяща документация
Възможност за автоматизация на често повтарящи се или
последователно изпълнявани задачи (скриптиране)
Лесно управление, съхраняване и преносимост на конфигурацията
Извеждане на резултатите от работата във файлове или към друго
приложение
Оптимално използване на хардуерните ресурси
Ниска степен на влияние върху тестваните машини/мрежи
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 5
6. Какво може да ограничи ползването на приложенията
Няма възможност за закупуване и/или ползване
Липса на средства, време и подкрепа от одит мениджмънта
Невъзможност да се идентифицират подходящите приложения
Вътрешна съпротива в одит звеното
Инерция, отказ от промяна на навици, страх от новото
Недостатъчно познания, умения или мотивация
Неподходяща среда за одитиране
Отказ от предоставяне на информация
Непълни, некоректни и/или неактуални данни
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 6
7. Data mining и/или анализ на данни
Електронни таблици Системи за управление на бази
данни
MS Office Excel
MS Office Access
OpenOffice Calc
OpenOfiice Base
Lotus Symphony Spreadsheets
MS SQL 2005 Express
Data Warehouse
MySQL
Business Intelligence
PostgreSQL
ACL, IDEA
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 7
8. Пътна карта за работа в мрежата
Слой Функция
Приложен Приложни програми за крайния потребител
Транспортен Адресиране и доставяне на данни на приложения
Мрежов Базова комуникация, адресиране и маршрутизиране
Канален Мрежов хардуер и драйвери на устройствата
Физически Самият кабел или физическата преносна среда
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 8
9. Предизвикателства при ползването на приложения за анализ на
данни
Какво е нужно, за да сте ефективни
Много добро познаване на системите и данните, които ще одитирате
Безпрепятствен и своевременен достъп до тях (‘read only’)
Одиторски умения за работа с CAATs
Прилагане на най-добрите практики и референтни модели
Способност да се идентифицират проблемните области
Ползи
Увеличен обхват
• Преглед на цялата популация, вместо на извадка
Намалено време за извършване и документиране на тестовете
Повишена надеждност в резултата от тестовете
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 9
10. Оценка на мрежовата сигурност
Разузнаване
Снифъри и анализатори на мрежов трафик
Откриване и профилиране на устройства в мрежата
Скенери за уязвимости
Платформи за създаване на експлойти
LiveCD penetration testing toolkit
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 10
11. Разузнаване
SamSpade
ping
nslookup, dig
DNS zone transfer
whois, IP block search
traceroute
finger
SMTP VRFY, SMTP relay check
Анализ на еmail header
Email blacklist
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 11
12. Разузнаване
LDAP Browser
Explorer-like LDAP клиент за
преглед и анализ на LDAP
директории
Олекотена версия на Softerra
LDAP Administrator, без
възможност за редакция на
данните в LDAP директориите
Поддържа филтриране, търсене
и експорт на данни
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 12
13. Снифъри и анализатори на мрежов трафик
Wireshark (бивш Ethereal)
Мощни филтри при прихващане и
показване на пакетите
Поддържа множество формати
• tcpdump (libpcap), Pcap NG, Cisco
Secure IDS iplog, Microsoft Network
Monitor, Novell LANalyzer,
WildPackets EtherPeek /AiroPeek
Улавя в реално време пакети от
Ethernet, IEEE 802.11, PPP/HDLC,
ATM, Bluetooth, USB, Token Ring,
Frame Relay, FDDI
Поддържа декриптиране в IPsec,
ISAKMP, Kerberos, SNMPv3,
SSL/TLS, WEP, and WPA/WPA2
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 13
14. Снифъри и анализатори на мрежов трафик
Network Miner
Пасивен снифър
Събира данни за машините в
мрежата, а не за трафика
между тях
Ре-асемблира сертификати,
извлечени от пакетите
Cain & Abel
Възстановяване на пароли
чрез извличането им от
прихванат трафик
Възползва се от слабости в
(имплементацията на)
стандартите, методите за
автентикация и кеширане на
данните
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 14
15. Снифъри и анализатори на мрежов трафик
Tcpdump
network monitoring tool,
използващ libpcap за
прихващане на пакети в мрежа,
към която е включен
Често се ползва за debug-ване
на приложения, генериращи или
получаващи мрежов трафик
Пуснат на рутер/шлюз може да
прихваща и “показва”
некриптиран трафик, съдържащ
потребителски профили и
пароли
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 15
16. Снифъри и анализатори на мрежов трафик
Ettercap • MitM атаки срещу PPTP тунели
• “Събира” пароли от TELNET, FTP,
Многофункционален sniffer /
POP, RLOGIN, SSH1, ICQ, SMB,
interceptor / logger за LAN мрежа. MySQL, HTTP, NNTP, X11,
Поддържа активна и пасивна NAPSTER, IRC, RIP, BGP, SOCKS
дисекция на много протоколи 5, IMAP 4, VNC, LDAP, NFS, SNMP,
(вкл. криптирани) HALF LIFE, QUAKE 3, MSN, YMSG
• Вмъкване на символи в изградена • Филтриране или спиране на пакети
сесия • OS fingerprint
• Снифинг на SSH1 сесии • Прекъсване на сесии
• Снифинг на HTTPS сесии, дори • Пасивно сканиране на LAN
през прокси
• Проверка за други “тровещи”
• Remote traffic through GRE tunnel програмки
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 16
17. Снифъри и скенери в безжични мрежи
NetStumbler
Активен скенер, основно
използван за:
• Wardriving
• Потвърждаване на мрежовата
конфигурация
• Откриване на неоторизирани
("rogue") точки за достъп
Inssider
Open-source
Работи с 64-битови Win ОС, вкл.
Vista
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 17
18. Снифъри и скенери в безжични мрежи
Kismet
Пасивен wireless снифър
Има базови IDS възможности
(засичане на активни снифъри и
някои видове атаки)
Поддържа channelhopping
Може да записва прихванатите
пакети в tcpdump/Wireshark
формат
Работи под Linux, *BSD и
MacOS X
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 18
19. Профилиране на устройства
Nmap
Открива (инвентаризира)
компютри в мрежата
Генерира списък с “отворени”
портове на компютрите
Определя версиите на
приложенията, ползващи даден
порт
Определя вида и версията на ОС
на сканирания компютър, както и
някои от характеристиките на
мрежовия адаптер
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 19
20. Профилиране на устройства
ike-scan
Използва IKE протокола за
откриване, разпознаване и
тестване на IPsec VPN сървъри
Генерира и изпраща IKE Phase-
1 пакети към определени
машини
Декодира и визуализира
получения от тях отговор
Може да краква pre-shared keys
хешовете и да извлича
ключовете от тях
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 20
21. Профилиране на устройства
LanSpy
Улеснява събирането на
информация за отдалечени
машини
Преглед на стартирани процеси
Преглед на инсталирани
приложения
Открива
• споделени ресурси
• отворени портове и ползващи ги
приложения
• изградени сесии
• потребителски групи и профили
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 21
22. Бенчмарк, одит и документиране на конфигурации на мрежови
устройства
CIS Router Audit Tool (RAT)
Четири Perl програми
snarf: изтегля
конфигурационните файлове
ncat: чете правилата и
конфигурациите, генерира
резултат в CSV формат
ncat_report: чете CSV
файла, създава HTML доклад
rat: стартира останалите
програми
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 22
23. Бенчмарк, одит и документиране на конфигурации на мрежови
устройства
Nipper
Генерира отчети от
конфигурационни файлове на
мрежови устройства
Отчетът включва детайлен
одит на настройките в
съответствие с добрите
практики, както и списък със
самата конфигурация на
устройството
Поддържа устройства на
Cisco, Juniper, HP, CheckPoint,
Nortel, Nokia, 3Com,
SonicWALL и Bay Networks
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 23
24. Комплексни скенери за уязвимости
Nessus
Откриване и профилиране на
устройства
Тестване на конфигурации за
съответствие с политиките
Тества за наличие на пачове без
да изисква инсталиране на агент
Над 25 хил. плъгина за тестване
на определени уязвимости
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 24
25. Комплексни скенери за уязвимости
GFI LanGuard Network Security
Scanner
Проверка за уязвимости
(Windows и Linux)
Открива споделени дялове,
отворени портове и
потребителски акаунти на
работните станции
Проверява за липсващи
сервизни кръпки и пакети на
операционната система и се
грижи за инсталирането им
Retina Network Security Scanner
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 25
26. Комплексни скенери за уязвимости
Security Auditor's Research Assistant (SARA)
Характеристики
• Интегриран с National Vulnerability Database (NVD)
• Изпълнява SQL injection тестове
• Изпълнява XSS тестове
• Може да се ползва в среда със защитни стени
• Поддържа CVE
• Самостоятелна и сървърна (daemon) версия
• Поддържа потребителски разработени “допълнения”
• Базиран на SATAN модела
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 26
27. Платформи за създаване на експлойти
Metasploit
Среда за разработка, зареждане
и изпълнение на експлойти
срещу дадена машина
• Избор и настройване на експлойт
• Проверка дали мишената е
уязвима към избрания експлойт
• Избор и настройване на payload
• Избор на начин за криптиране на
payload-а, за да не бъде открит
• Изпълнение на експлойта
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 27
28. LiveCD penetration testing toolkit
BackTrack 3
Slackware базирана live
дистрибуция
Обединява Whax и Auditor
Security Collection LiveCD
Над 300 инструмента, логически
групирани по стадиите на
penetration testing методологиите
• Information Systems Security
Assessment Framework (ISSAF)
• The Open Source Security Testing
Methodology Manual (OSSTMM)
Тясно интегриран с Metasploit
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 28
29. Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 29
30. Безплатни инструменти за одит на компютърни мрежи
nipper (network infrastructure firewalk (determine what layer 4
configuration parser) protocols a given IP forwarding
http://www.sourceforge.net/projects/ni device will pass)
pper http://www.packetfactory.net/projects/f
irewalk/
nmap (network mapper)
http://www.insecure.org/nmap/ ike-scan (discover and fingerprint
IKE hosts (IPsec VPN servers))
rat (router audit tool and benchmark)
http://www.nta-monitor.com/tools/ike-
http://www.cisecurity.org/
scan/
wireshark (network sniffer)
sam spade (freeware network query
http://www.wireshark.org/
tool)
nessus (vulnerability scanner) http://preview.samspade.org/ssw/
http://www.nessus.org/
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 30
31. Благодаря за вниманието!
Николай Димитров, CISA, CIA, CCSA
Мениджър ИТ одит
е ndimitrov@dfkanda.bg
t (02) 859 0122
m (089) 351 9564
w http://www.dfkanda.bg
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 31