FPZ Consulting

• Solaris ld.so local root
• Nokia 6310i Bluetooth
• tnftpd remote root
• ntpd remote root
• wu-ftpd remote root
• więcej »

• Techtrans sp. j.
• Instytut Pamięci Narodowej

wiedza i doświadczenie

Od wielu lat zajmujemy się testami penetracyjnymi systemów, sieci oraz aplikacji, a także analizą powłamaniową. Stosujemy unikalne na polskim rynku podejście do tej tematyki -- nie korzystamy z gotowych narzędzi, wykorzystujemy przede wszystkim naszą wiedzę i doświadczenie. Nie obawiamy się innowacyjności -- dzięki niej potrafimy odnaleźć nieznane wcześniej zagrożenia w powszechnie wykorzystywanych aplikacjach, a także w systemach autorskich, działających również w Twoim przedsiębiorstwie.

przebieg audytu

Dokładny przebieg audytu ustalamy zawsze na podstawie analizy wymagań klienta. Możemy jednak przedstawić Państwu ogólną charakterystykę wykorzystywanych technik.

etap black-box (internet)

1. przed rozpoczęciem etapu, zostanie przesłany uszczegółowiony harmonogram wykonywania poszczególnych testów
2. testy wykonywane będą z siedziby Audytora, przed ich rozpoczęciem, pracownicy Zamawiającego zostaną poinformowani o adresach IP, z których wykonywane będą testy
3. pracownicy Zamawiającego udzielą informacji o zakresach adresów IP, dla których testy mają zostać przeprowadzone, określą również proponowane godziny, w których testy mają zostać przeprowadzone
4. Audytor wykona zdalną pasywną i aktywną analizę topologii sieci (w oparciu o zachowanie urządzeń aktywnych, informacje zawarte w nagłówkach IP, TCP, UDP, informacje pozyskane z WhoisDB i DNS), której wynikiem będzie schemat sieci widziany z punktu potencjalnego napastnika
5. Audytor wykona zdalny pasywny i aktywny skaning usług działających w sieci Zamawiającego, z uwzględnieniem wersji oprogramowania oraz wersji systemów operacyjnych (OS fingerprinting)
6. dla poszczególnych systemów operacyjnych i aplikacji działających w sieci zostanie przeprowadzony test podatności na znane błędy implementacyjne i konfiguracyjne
7. dla poszczególnych systemów operacyjnych i aplikacji zostaną przeprowadzone testy mające na celu wykrycie nieznanych błędów implementacyjnych (klasy: buffer overflow, format string bugs, race conditions, XSS, SQL injection, błędna walidacja danych wejściowych, niewłaściwa autoryzacja, itd.) oraz błędów konfiguracyjnych
8. sprawdzona zostanie podatność urządzeń aktywnych w sieci, firewalla i systemów operacyjnych na ataki typu spoofing, flooding, błędnie skonstruowane pakiety IP, TCP, UDP, DNS spoofing, poisoning, itd.
9. zostanie sporządzony pośredni raport z wykonanych działań

etap black-box (sieć lokalna)

1. przed rozpoczęciem etapu, zostanie przesłany uszczegółowiony harmonogram wykonywania poszczególnych testów
2. testy wykonywane będą z siedziby Audytora
3. pracownicy Zamawiającego umożliwią podłączenie do testowanych sieci komputerów, które będą używane do przeprowadzenia testu, przyznają adresy IP, udzielą informacji o zakresach adresów IP, dla których testy mają zostać przeprowadzone, określą również proponowane godziny, w których testy mają zostać przeprowadzone
4. Audytor wykona zdalną pasywną i aktywną analizę topologii sieci (w oparciu o zachowanie urządzeń aktywnych, informacje zawarte w nagłówkach IP, TCP, UDP, informacje pozyskane z DNS)
5. Audytor wykona zdalny pasywny i aktywny skaning usług działających w sieci Zamawiającego, z uwzględnieniem wersji oprogramowania oraz wersji systemów operacyjnych (OS fingerprinting)
6. dla poszczególnych systemów operacyjnych i aplikacji działających w sieci zostanie przeprowadzony test podatności na znane błędy implementacyjne i konfiguracyjne
7. dla poszczególnych systemów operacyjnych i aplikacji zostaną przeprowadzone testy mające na celu wykrycie nieznanych błędów implementacyjnych (klasy: buffer overflow, format string bugs, race conditions, XSS, SQL injection, błędna walidacja danych wejściowych, niewłaściwa autoryzacja, itd.) oraz błędów konfiguracyjnych
8. sprawdzona zostanie podatność urządzeń aktywnych w sieci, firewalla i systemów operacyjnych na ataki typu spoofing, flooding, błędnie skonstruowane pakiety IP, TCP, UDP, DNS spoofing, poisoning, itd.
9. sprawdzona zostanie możliwość pasywnego i aktywnego (z wykorzystaniem np. arpspoofingu) sniffingu danych w sieci
10. sprawdzona zostanie podatność stacji roboczych użytkowników na ataki skierowane w aplikacje klienckie (WWW, FTP, poczta elektroniczna) poprzez przechwytywanie sesji HTTP, FTP, SMTP użytkowników sieci.
11. zostanie sporządzony pośredni raport z wykonanych działań

etap white-box

1. przed rozpoczęciem etapu, zostanie przesłany uszczegółowiony harmonogram wykonywania poszczególnych testów
2. testy wykonywane będą z siedziby Zamawiającego
3. pracownicy Zamawiającego umożliwią podłączenie do testowanych sieci komputerów, które będą używane do przeprowadzenia testu, przyznają adresy IP, udzielą informacji o zakresach adresów IP, dla których testy mają zostać przeprowadzone, określą również proponowane godziny, w których testy mają zostać przeprowadzone, założą wymagane konta i umożliwią dostęp z uprawnieniami typowego użytkownika do testowanych systemów, w razie potrzeby dostarczą pliki konfiguracyjne testowanych usług/urządzeń
4. Audytor przeprowadzi lokalne ataki, wykorzystujące znane błędy implementacyjne na systemy operacyjne i aplikacje działające na serwerach
5. Audytor przeprowadzi lokalne ataki, wykorzystujące nieznane błędy implementacyjne na systemy operacyjne i aplikacje działające na serwerach
6. przeanalizowana zostanie konfiguracja aktywnych urządzeń sieciowych (przełączniki, routery, firewalle)
7. przeanalizowana zostanie konfiguracja systemów operacyjnych pracujących na serwerach
8. przeanalizowana zostanie konfiguracja aplikacji pracujących na serwerach
9. przeanalizowany zostanie model uprawnień dostępu do urządzeń sieciowych oraz serwerów, wraz z testem złożoności haseł użytkowników
10. zostaną przeanalizowane dzienniki zdarzeń z systemów operacyjnych i urządzeń sieciowych (firewalle, sondy IDS) w celu weryfikacji poprawności wykrywania i raportowania zdarzeń, które miały miejsce podczas poprzednich etapów audytu
11. zostanie przeanalizowane działanie koncentratora VPN pod kątem poprawności szyfrowania i autoryzacji tuneli VPN oraz filtrowania dostępu do sieci Zamawiającego z poziomu tuneli VPN
12. zostanie sporządzony pośredni raport z wykonanych działań

etap prezentacji

1. Audytor sporządzi raport, zawierający szczegółowy opis wykrytych zagrożeń, wraz z zaproponowanym rozwiązaniem, a także informacje o metodologiach, technikach i narzędziach używanych podczas trwania testu bezpieczeństwa
2. raport zostanie przedstawiony na spotkaniu, a następnie przekazany w formie elektronicznej i wydrukowanej

etap wprowadzania zmian zalecanych przez audytora

1. zmiany zostaną wprowadzone przez pracowników Zamawiającego
2. lider zespołu audytującego pełnić będzie rolę konsultanta, wspomagając pracowników Zamawiającego we właściwym zaimplementowaniu proponowanych zmian

etap weryfikacji wprowadzonych zmian

1. Audytor w oparciu o sporządzony raport z audytu przeprowadzi weryfikację dalszego występowania luk bezpieczeństwa opisanych w raporcie, zarówno dla błędów wykrytych podczas testu zewnętrznego, jak i testu wewnętrznego
2. założenia dotyczące weryfikacji (tzn. miejsce przeprowadzania testu i wymagane zaangażowanie ze strony pracowników Zamawiającego) pozostają takie same, jak w punktach opisujących faktyczny przebieg audytu
3. po zakończeniu weryfikacji, raport z audytu zostanie uzupełniony o informacje z przebiegu weryfikacji