|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
талогам. Часто пользователи с низкими привилегиями могут читать |
|
|
|
|
|
m |
||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
и записывать важные каталоги и файлы (например, исполняемыеdf-x chan |
.c |
|
||||||||
|
. |
|
|
|
|
|
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
e |
|
|
файлы служб), что позволяет упростить атаки с повышением при- вилегий. Действительно ли пользователям, не являющимся админи- страторами, нужен доступ для записи в C:\Program Files? Нужен ли каким-либо пользователям доступ к /root? Однажды мы оценивали встроенное устройство с несколькими сценариями запуска, которые былидоступныдляизменениярядовымипользователями,чтопозво- ляло злоумышленнику использовать локальный доступ для запуска собственных программ с правами root и получения полного контроля над системой.
Шифрование данных
Убедитесь, что конфиденциальные данные зашифрованы. Начните с определения наиболее конфиденциальныхданных,таких как Защи-
щенная медицинская информация (Protected Health Information – PHI) или личная информация (Personally Identifiable Information–PII).PHI
включаетв себялюбые записи о состоянии здоровья,предоставлении или оплате медицинских услуг, тогда как PII (Информация для уста- новленияличности)–этолюбыеданные,которыепотенциальномогут идентифицировать конкретного человека.Убедитесь,что этиданные зашифрованы,проверив конфигурацию системы на наличие крипто- графических примитивов.Если кому-то удалось украстьдиск устрой- ства, сможет ли он прочитать данные? Применяется ли шифрование всего диска, шифрование базы данных или любое другое шифрова- ние, и насколько оно криптографически устойчиво?
Неверная конфигурация сервера
Неверно настроенные службы могут быть небезопасными. Напри- мер, вы все еще можете найти FTP-серверы, на которых по умол- чанию включен гостевой доступ, что позволяет злоумышленникам анонимно подключаться и читать или писать в определенные папки. Мы однажды обнаружили Oracle Enterprise Manager, работающий как SYSTEM и доступный удаленно с учетными данными по умолчанию, который позволял злоумышленникам выполнять команды операци- онной системы, злоупотребляя хранимыми процедурами Java. Эта уязвимость позволила злоумышленникам полностью взломать си- стему через сеть.
Мобильное приложение и облачное тестирование
Проверьте безопасность любого мобильного приложения,связанного с системой IoT.В наши дни разработчики часто создают приложения, работающие под Android и iOS, для чего угодно – даже для кардио- стимуляторов! Подробнее о тестировании безопасности мобильных
Методология тестирования безопасности 85
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
|
|
|
X |
|
|
|
|
|
|||
|
|
|
|
|
- |
|
|
|
|
|
d |
|
||
|
|
|
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
|
r |
|||
|
|
|
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
BUY |
|
|
|||
приложений можно узнать в главе 14. Кроме того, ознакомьтесь со |
|
|
|
to |
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
m |
|||||
|
|
|
w Click |
|
|
|
|
|
|
|||||
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
df-x chan |
|
o |
|
|||||
списком «Топ-10 мобильных приложений» OWASP, документами Mo- |
. |
.c |
|
|||||||||||
|
|
|
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
e |
|
|
bile Security Testing Guide (Руководство по тестированию безопасности |
|
|
|
|
|
|
|
|
|
|
||||
мобильных приложений) и Mobile Application Security Verification Stan- |
|
|
|
|
|
|
|
|
|
|
||||
dard (Стандарт проверки безопасности |
мобильных приложений). |
|
|
|
|
|
|
|
|
|
|
|
||
В ходе недавней оценки мы обнаружили, что приложение отправ- |
|
|
|
|
|
|
|
|
|
|
||||
ляет персональные данные о состоянии здоровья в облако без ведо- |
|
|
|
|
|
|
|
|
|
|
||||
ма врача или медсестры, работающей с устройством. Это, по сути, не |
|
|
|
|
|
|
|
|
|
|
||||
техническаяуязвимость,носерьезноенарушениеконфиденциально- |
|
|
|
|
|
|
|
|
|
|
||||
сти, о котором должны знать заинтересованные стороны. |
|
|
|
|
|
|
|
|
|
|
|
|||
Также оцените состояние безопасности |
любого облачного компо- |
|
|
|
|
|
|
|
|
|
|
|||
нента, связанного с системой интернета вещей. Изучите взаимодей- |
|
|
|
|
|
|
|
|
|
|
||||
ствиемеждуоблакомикомпонентамиIoT.Обратитеособоевнимание |
|
|
|
|
|
|
|
|
|
|
||||
на серверные API и реализации на облачных платформах, включая, |
|
|
|
|
|
|
|
|
|
|
||||
помимо прочего, AWS, Azure и Google Cloud Platform. Часто встреча- |
|
|
|
|
|
|
|
|
|
|
||||
ются уязвимости, связанные с небезопасными прямыми ссылками на |
|
|
|
|
|
|
|
|
|
|
||||
объекты (IDOR), которые позволяют любому, кто знает правильный |
|
|
|
|
|
|
|
|
|
|
||||
URL, получить доступ к конфиденциальным данным. Например,AWS |
|
|
|
|
|
|
|
|
|
|
||||
иногда позволяет злоумышленнику получить доступ к так называе- |
|
|
|
|
|
|
|
|
|
|
||||
мым корзинам S3, используя URL-адрес, связанный с объектами дан- |
|
|
|
|
|
|
|
|
|
|
||||
ных, которые содержит корзина. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Многие задачи, связанные с тестированием облачных технологий, |
|
|
|
|
|
|
|
|
|
|
||||
будут пересекаться с оценкой безопасности |
мобильных и веб-прило- |
|
|
|
|
|
|
|
|
|
|
|||
жений.Впервомслучаепричинавтом,чтоклиент,использующийэти API,обычно является приложением для Android или iOS.В последнем случае мы принимаем во внимание,что многие облачные компонен- ты в основном являются веб-сервисами. Вы также можете проверить любые подключения к облаку для удаленного обслуживания и под- держки, как упоминалось в разделе «Обзор конфигурации хоста».
Намудалосьвыявитьрядоблачныхсервисовсуязвимостями:жест- ко запрограммированные облачные токены, ключи API, встроенные в мобильные приложения и двоичные файлы микропрограмм,отсут- ствие закрепления сертификатов TLS и уязвимость служб интрасети (таких как неаутентифицированный сервер кеширования Redis или службаметаданных)дляобщественностииз-занеправильнойконфи- гурации.Имейте в виду,что вам необходимо разрешение от владель- цаоблачныхсервисовдлявыполнениялюбоготестированиявоблаке.
Заключение
Некоторые члены нашей команды работали в отделах киберзащи- ты вооруженных сил. Там мы узнали, что проведение комплексной проверки является одним из наиболее важных аспектов информа- ционной безопасности . Важно следовать методике тестирования безопасности , чтобы не упустить некоторые очевидные вещи. Легко пропустить доступные уязвимости просто потому, что они кажутся слишком простыми.
86 Глава 3
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Итак, в этой главе рассмотрена методология тестирования дляwвы- |
|
|
|
|
|
m |
|||||
полнения оценки безопасности |
w Click |
|
|
|
|
|
o |
||||
|
w |
|
|
|
|
|
|
|
|
||
систем IoT. Мы обсудили пассивнуюdf-x chan |
.c |
|
|||||||||
|
|
. |
|
|
|
|
|
|
|||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
e |
|
|
разведку, а затем описали уровни (физический, сетевой, облачный, веб-приложение, хост и мобильное приложение) и разделили их на более мелкие сегменты.
Упомянутые в этой главе уровни редко встречаются в чистом виде; между двумя или более уровнями возможны пересечения.Например, атака разрядки батареи может быть частью оценки физического уровня, поскольку батарея является аппаратным устройством, или частью сетевого уровня, поскольку злоумышленник может провести атаку через протокол беспроводной сети компонента.Список компо- нентов для оценки также не является исчерпывающим, поэтому по мере необходимости мы будем давать ссылки на дополнительные ре- сурсы.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
ЧАСТЬII
ВЗЛОМ СЕТИ