Libra external vulnerability aduditing:

Il documento riporta l'analisi effettuata dal personale Libra all'infrastruttura in esame.L'obbiettivo della analisi e' ottenere una fotografia completa delle informazioni reperibili pubblicamente fornedo agli ammistratori il "punto di vista" di un potenziale aggressore.

Footprinting

Si delinea il profilo pubblico dell'infrastruttura.
Attraverso specifici sistemi di ricerca fruibili su internet si organizzano informazioni quali:

• Gli indirizzi delle sedi
• Numeri telefonici
• Nomi e indirizzi e-mail di contatti
• La societa' o soggetti collegati
• Informazioni su fusioni o acquisizioni
• Collegamenti ad altri server Web legati all'azienda
  

Questo tipo di informazioni, spesso sottovalutate, possono fornire informazioni utili per le fasi successive.
Un esempio molto semplice delle informazioni reperibili e' liberamente testabile inserendo il proprio domino aziendale all'interno del form di ricerca del NIC.it.

Network Enumeration

Deliniato il profilo si procede in un analisi piu' specifica grazie alle informazioni ottenute nella fase precedente.
Sempre grazie a strumenti pubblici e mezzi leciti otteniamo le seguenti informazioni:

• Domini di interesse
• Range di indizizzi Ip
• Indirizzo Ip DnS autoritativo dominio
• Indirizzo Ip mail server
• Eventuali compagnie di supporto informatico coinvolte

Network Reconoissance

Definito quindi il campo d'interesse comincia una fase, sempre con mezzi leciti, di interazione con l'infrastruttura.
Gli strumenti ultilzzati basano il loro funzioamento sulle base dell'internetworking e si limitano a collezzioanre informazioni pubbliche che gli apparti sono tenuti in vari eforme a fornire.
Tipicamente in questa fase si efftuano analisi di Tracerouting che individuano i canali di accesso all'infrastruttura.
Interrogazioni ai DNS autoritativi enumerano le macchine ed i servizi offerti al pubblico.

Scanning

Deliniato il profilo ed i punti d'accesso comincia una fase di indagine piu' approfondita.
Operiamo ora in uno strato in cui i limiti del legito e dell'illecito non sono ancora ben definiti dalla legislazione.
Questo tipo di analisi e' tecnicamente possibile proprio per la natura pubblica della rete ma in molti ambienti e' considerato alla stregua del ladro che "sbircia alle finestre".
Attraverso potenti strumenti automatici sono idividuate le macchine componeti l'infrastruttura, viene delineata la topologia della rete, elencati i server ed i relativi servizi aperti (noti e non) si procede all'individuazione dei Sistemi Operativi.
Per ogni servizio viene analizzata la versione del sotware in uso.

Vulnerabilty test

L'analisi entra nel vivo e si avvicina sempre di piu' al limite del lecito. Viene eseguita un analisi minuziosa ed esaustiva dell'infrastruttura in base ad un ampio database di vunerabilita' note.
Enumerati i server pubblici si definisce il loro attuale stato di sicurezza. Spesso queste opeazioni se non effettuate da esperti possono essere facilmente tracciate e bloccati da sistemi IDS (Intrusion detection System).
Indivudate potenziali vulenrabilta' si analizzano le probabilita' di successo e si fornisco dettagli sulla probelamtica e sule contromisure da adottare.
Questo e' il limite estremo del lecito.
Utilizzare una vulnerabilta' per portare un attacco rientra nell'illecito e non e' previsto nell'analisi base.

Penetration test

Questa e' la fase piu' avanzata dell'analisi e non viene eseguita da strumenti automatici ma bensi manualmente dal personale Libra.
In questa fase, solo con accordo preventivo con il cliente, viene testato un attacco contro i sistemi.
Non solo vengono portati attacchi all'infrastruttura ma si applicano anche strategie di "Escalation" dei privilegi.
Una vulnerabilta' su un server poco utilizzato o di test puo' diventare la testa di ponte attraverso cui un aggressore puo' portare attacchi ben piu' massicci all'intera struttura o attraverso cui supera la protezione perimetrale raggiungedo la rete interna.