Od 2 stycznia 2023 r. CERT Polska korzysta z nowego narzędzia Artemis do przeprowadzania skanowania witryn należących do podmiotów objętych ustawą o krajowym systemie cyberbezpieczeństwa. Chodzi przede wszystkim o jednostki edukacyjne, szpitale czy jednostki samorządowe. Od strony technicznej nie są wykorzystywane nowatorskie techniki, są to podstawowe testy, które każdy powinien wykonać samodzielnie.
Wszystkie stosowane kroki opisane zostały na dedykowanej podstronie https://cert.pl/skanowanie/. Artemis wykonuje typowy rekonesans. Najpierw zbiera informacje o istniejących subdomenach wybranej domeny. W kolejnym kroku następuje skanowanie otwartych portów (służy do tego przykładowo Nmap) i identyfikacja działających na nich usług. W praktyce otrzymane wyniki mają znaczenie w kontekście bezpieczeństwa.
Starting Nmap 7.80 ( https://nmap.org ) at 2023-01-26 19:45 CET
Nmap scan report for 10.0.0.10
Host is up (0.00048s latency).
Not shown: 995 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.9p1 Ubuntu 3 (Ubuntu Linux; protocol 2.0)
80/tcp open http nginx 1.23.3
443/tcp open ssl/http nginx 1.23.3
2222/tcp open ssh OpenSSH 8.4p1 Debian 5+deb11u1 (protocol 2.0)
8080/tcp open http-proxy
Załóżmy, że podczas skanowania zostanie wykryty serwer WWW NGINX. Domyślnie w nagłówku Server wysyłana jest jego wersja oraz nazwa systemu, na którym jest uruchomiony. Znając wersję serwera WWW, atakujący może wyszukać dostępne exploity i wykorzystać je do ataku. Dlatego istotne jest „ukrywanie” podobnych szczegółów oraz monitorowanie, jakie usługi z naszej infrastruktury są publicznie dostępne. Świetnie nadaje się do tego wyszukiwarka Shodan.
Narzędzie od CERT weryfikuje jeszcze, czy nasza witryna nie jest podatna. Przykładowo sprawdzane są wersje popularnych systemów zarządzania treścią oraz ewentualna zawartość charakterystycznych ścieżek (np. /backup, /.git). Nigdy nie powinniśmy przechowywać kopii zapasowych (w tym kopii baz danych) w katalogu z witryną. Trzeba też zadbać o to, aby serwer WWW nie listował zawartości katalogów (domyślne zachowanie serwera Apache).
Jak wspomniałem, nie jest to szczególnie zaawansowane skanowanie, chociaż z drugiej strony podobne analizy nie powinny być inwazyjne. Zaletą jest fakt, że narzędzie Artemis powinno pomóc w wykryciu niepoprawnie zabezpieczonych elementów środowisk objętych jego skanowaniem. Warto pamiętać, że nie każdy posiada nawet podstawową wiedzę o tych aspektach IT. Częste podejście to „działa, nie ruszać”, czego skutkiem jest ogromna ilość przestarzałego oprogramowania (dostępnego z zewnątrz), które skutecznie można przełamać.
