Введение
В этой публикации я продемонстрирую, как можно определить уязвимости в вашей системе. Безопасность сервера должна быть в приоритете! Ведь каждое устройство может быть подвергнуто взлому, поэтому разработчики «ПО» закрывают открытые дыры в своих программах как можно скорее, тем самым нам требуется регулярно обновлять «ПО», иначе злоумышленник воспользуется уязвимостью и причинит вред серверу, а может и целой компании.
Facebook на протяжении 3 лет с 2019 по 2021 подвергся взлому, что повлекло за собой публикацию более чем 950 миллионов пользователей. Среди этих данных была информация о номерах телефонах, почтовых адресов пользователей, даты рождения и другая личная информация пользователей. Всего этого можно избежать, если уделять время кибербезопасности, и своевременно следить за программным обеспечением что вы используете.
Как происходит кибер-атака ?
Kill-chain – это последовательность действий которые выполняет злоумышленник для получения доступа к серверу.
Всего существует 4 этапа цепочки кибератаки (kill-chain):
- Сбор информации об системе (какие службы работают; какая версия ПО).
- Поиск уязвимостей в системе.
- Создание или использование вредоносного кода (эксплойт).
- Доставка эксплойта жертве (путем отправки сообщения на почту; зараженного сайта или как то иначе)
Предупреждён — значит вооружён, ведь при помощи знании kill-chain, есть возможность обезопасить сервер на сколько это возможно, тем самым усложнив злоумышленнику получение доступа к серверу.
Как проверить систему?
Для проверки системы используется утилита nmap, установите ее следуя инструкции.
apt install nmap
Проверим какие запущенные службы на нашем сервере.
nmap 127.0.0.1
Как мы видим, на моем тестовом сервере запущенна служба «ssh», работающая на 22 порту, а так же «http» служба< работающая на 80 порту.
Чтобы проверить открытые «udp» порты, используйте команду ниже.
sudo nmap -sU 127.0.0.1
На тестовом сервере отсутствуют открытые «udp» порты.
Глазами злоумышленника, он получил информацию об 2 открытых портах (22;80), а так же на сервере запущена служба «openssh» благодаря которой он может нанести кибер-атаку, если у данного ПО присутствуют уязвимости.
Чтобы узнать какой версии установлена программа, воспользуйтесь командой.
nmap -sV 127.0.0.1
Мы узнали что на сервере установлена старая версия утилиты «OpenSSH», проверим ее на уязвимости.
Для нахождения уязвимостей в утилитах обратитесь к базе данных Google;Cisco;CVE где расписаны версии разного ПО, и их уязвимости которые были найдены благодаря другим людям.
Обратившись к истории обновлений «OpenSsh», а именно версии 7.2.p.2, мы узнаем об открытой уязвимости запущенного ПО.
Всего две уязвимости, но они дают полный доступ к правам суперпользователя, злоумышленнику остается лишь поместить эксплойт на сервер жертвы путем доставки, это может быть: фишинг, зараженное письмо или сайт.
Вывод
В этой публикации я провел анализ тестового сервера на наличие уязвимостей, благодаря ней злоумышленник может принести большой вред компании.
На примере компании Facebook, которая подвергла свыше 950 миллионов пользователей – следует как только выходит обновление, тут же его устанавливать на вашу операционную систему, а так же обновлять программное обеспечение. Повышать безопасность сети путем добавления промежуточных устройств, и добавляя разные степени защиты в вашу ЛВС.