Как жить и работать этичному хакеру под антироссийскими санкциями?

Как жить и работать этичному хакеру под антироссийскими санкциями?

Пентест (тестирование на проникновение) и анализ защищённости информационных систем требуют применения хороших инструментов. С марта этого года многие российские специалисты в сфере информационной безопасности столкнулись с трудностями: они попросту не смогли выполнять работу в прежнем объёме, применяя привычные решения, поскольку большинство из них оказалось под санкциями. С какими проблемами пришлось столкнуться пентестерам и как они их решают?

 

 

 

 

  1. Введение
  2. Ищем альтернативу Nessus
  3. Сложности с другими инструментами пентестера
  4. Выводы

Введение

Итак, первые проблемы появились у нас с отзывом лицензии на Nessus — основной инструмент для проведения выездного пентеста. Он необходим для поиска и обнаружения уязвимостей в сетевой инфраструктуре. Этот инструмент — идеальный вариант для пентестеров выезжающих на аудит к заказчикам. Он вполне прост в настройках и использовании, при этом обладает мощным сканером уязвимостей. Одним из главных его преимуществ можно считать то, что имеющиеся модели угроз в нём регулярно обновляются и постоянно доступны актуальные, на которые можно оперативно проверить сеть. К слову, даже правительство США применяет его для анализа защищённости ресурсов. Неудивительно, что продукт столь популярен среди сервисных компаний в России: более половины всех организаций, предоставляющих услуги пентеста, используют именно его. Без него сканирование осуществлять гораздо проблематичнее, дольше и дороже.

Итак, очевидно, что многим не хочется расставаться с этим удобным инструментом, поэтому пользователи активно ищут пути обхода ограничений. Какие варианты существуют?

Ищем альтернативу Nessus

Вариант 1 — «Идём на восток». Поскольку круг наших клиентов распространяется за пределы РФ, в качестве одного из возможных решений возникла идея купить новую лицензию на Nessus на юрлицо, например, в Казахстане. Обновления могут осуществляться через прокси. Просто и сердито. Но остаётся вопрос, что делать, когда санкции коснутся и Казахстана или, например, в какой-то момент обновление пойдёт не через прокси и лицензию снова «зарежут».

Вариант 2 — «С мужика взятки гладки». Посовещавшись с коллегами по рынку, мы выяснили, что отозвали лицензию только у юрлиц. Покупку на физлицо никто не отменял. Когда прикроют и эту лазейку — неизвестно. Однако этот вариант выглядит гораздо проще, чем обходной путь через Казахстан.

Вариант 3 — «Найдём другое решение». Можно и просто отказаться работать с вендором, который повёл себя подобным образом, ведь деньги заплачены, а обновления не получены. И выбрать другой инструмент.

Какие альтернативы существуют, если мы выбираем этот путь? К сожалению, сразу отпадают MaxPatrol и XSpider — их применение для пентеста запрещено лицензией. Прочие сканеры в ходе тестирования показывают низкую практическую эффективность. 

Также можно пойти в Open Source. Если поискать что-то на базе открытого исходного кода, сразу появятся несколько вариантов. Правда, все они — весьма слабые, но вполне можно собрать из них несколько рабочих «комбо»:

  • Nmap + плагины. Среди очевидных плюсов набора — скорость и доступность. Явные минусы — неактуальность и весьма узкий спектр целевых уязвимостей.
  • Owazp zap + плагины. Среди преимуществ можно отметить то, что это полностью открытый инструмент, который прост в использовании при тестировании веб-приложений. В явных минусах — ограниченная функциональность решения для анализа протоколов и серверного ПО в веб-приложении.
  • Burp Suite. Среди явных плюсов стоит отметить огромный перечень функций (с плагинами) для проведения ручного анализа веб-приложений. Минусы — требователен к вычислительным ресурсам.
  • Masscan — инструмент для перебора доступных портов. Достоинство — работает гораздо быстрее nmap при переборе портов. В то же время он не обладает функциональностью nmap и может применяться не столько как самостоятельный инструмент, сколько в качестве дополнения.
  • Sn1per — опенсорс-инструмент с функциональными модулями по сбору данных из сети, а также предоставлению информации об уязвимостях. Один из главных плюсов этого инструмента — в том, что он является весьма мощным и помогает тестировщикам автоматизировать процесс как сбора информации, так и проведения различных тестов.

При всех очевидных плюсах и возможностях, которые открывают решения на базе ПО с открытым исходным кодом, важно помнить о том, что количество уязвимостей в них постоянно растёт. Некоторые исследователи говорят о том, что в библиотеках открытого исходного кода количество проблем безопасности увеличилось в этом году втрое или даже в пять раз. Более того, в связи со сложной политической обстановкой возникают прецеденты намеренного внедрения в ресурсы, которыми пользуются разработчики из нашей страны, вредоносного кода. Например, свой протест против ситуации на Украине выразил американский разработчик, добавивший в популярный пакет опенсорс-решений вредоносную программу, шифрующую данные пользователей из России и Белоруссии. По всему очевидно, что пользоваться решениями с открытым кодом нужно очень и очень внимательно. Согласно статистике специалистов по кибербезопасности, число вредоносных закладок в Open Source выросло в 20 раз. Например, «Лаборатория Касперского» нашла по меньшей мере 100 подобных вложений в иностранном софте.

К сожалению, Nessus — не единственный удар по белым хакерам. Для многих из нас он оказался одним из основных, но тем, кто специализируется на других отраслях, пришлось столкнуться с трудностями связанными с другими зарубежными продуктами. Перечислим основные из них, а также прикинем, чем можно было бы их заменить.

Сложности с другими инструментами пентестера

Итак, трудности с лицензированием возникли также у Mandiant Security Validation — виртуальной платформы для оценки эффективности средств ИБ от компании Mandiant. На замену ей можно взять, например, CTRLHACK, который также позволяет проводить контролируемые проверки, имитирующие действия атакующего. Механизм создания набора проверок и комплексных сценариев оценки с применением скриптового языка позволяет использовать эту платформу как для проведения имитации операций хакеров, так и для автоматизации действий при проведении теста на проникновение.

Также ограничения коснулись Fortify. Это статический анализатор исходного кода, имеющий много преимуществ при анализе ПО. Он поддерживает более 27 языков программирования и соответствует требованиям и уровню автоматизации функций безопасности в среде CI / CD. Ему на замену можно использовать Appercut — систему анализа исходного кода бизнес-приложений на языках 1C, C#, Java, JavaScript, SQL, PHP, Python, SAP ABAP/4 и LotusScript. Продукт позволяет обнаружить в исходном коде программные закладки и недокументированные возможности.

Также создал немало проблем экспертам по безопасности ПО своим уходом производитель CxSuite — средства анализа исходного кода, которое позволяет на ранних стадиях программирования выявить проблемы с безопасностью или нарушением секретности бизнес-проектов и решений. Программа работает без компиляции исходного кода, создаёт логические диаграммы всех встроенных элементов и потоков кодирования, отсылает запросы и выстраивает собственный график кодирования. На замену этому решению можно взять CodeScoring, которое умеет выявлять лицензии обнаруженных опенсорс-зависимостей и проверять их совместимость между собой, а также интегрироваться с различными репозиториями исходных кодов: GitHub, Bitbucket, Azure DevOps. Помимо этого, CodeScoring добавлен в реестр российского ПО.

Трудности с лицензированием возникли и у Nexpose Vulnerability Scanner — ПО для локального развёртывания в корпоративных сетях, предназначенного для управления уязвимостями и их отслеживания в режиме реального времени. В качестве замены можно использовать RedCheck. Он представляет собой решение для анализа защищённости и управления информационной безопасностью организации любого масштаба и обеспечивает поиск и предотвращение багов, вызванных ошибками в коде, неверными настройками параметров безопасности, слабостью парольной защиты, несанкционированной установкой программного и аппаратного обеспечения, несвоевременной установкой критически важных обновлений, нарушением принятых политик безопасности.

Выводы

Таким образом, мы видим, что этичный хакинг для бизнеса стал гораздо сложнее в реализации, чем несколько месяцев назад. В этой ситуации должны увеличиться сроки проведения пентестов и повыситься требования к конкретным исполнителям: использовать приведённый выше набор инструментов могут далеко не все. Вследствие того что работа с решениями значительно затруднена, заказчикам следует планировать проведение работ по тестированию на проникновение чуть раньше, а исполнителям необходимо «подтянуть» знания своих сотрудников.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru