CLOUD LABORATORIES FOR PROBLEMS PENETRATION TESTING In the article the creation of a modern educational environment on the platform of the cloud cluster Open Nebula for the training of specialists in the field of information security and computer security is discussed. The creation of virtual laboratories for studies methods for penetration testing in center attention of authors. The use of such laboratories allows to teach students methods of penetration testing on examples of objects of different levels of difficulty, and also provides the possibility of rapid infrastructure changes and the properties of the research objects.

Cloud technologies; OpenNebula; educational environment; virtual laboratories; data protection; computer security; penetration testing. Общественная опасность противоправных деиствии в области электроннои техники и информационных технологии определяется тем, что они могут вступить в противоречие с положениями Закона РБ «Об информации, информатизации и защите информации» [ 1 ] в отношении личных данных и конфиденциальнои информации, а также могут повлечь за собои нарушение деятельности автоматизированных систем управления и контроля различных объектов, нарушение работы компьютерных систем, несанкционированные деиствия по уничтожению, модификации, искажению, копированию информации и информационных ресурсов, иные формы незаконного вмешательства в информационные системы, которые способны вызвать тяжкие и необратимые последствия, связанные не только с имущественным ущербом, но и с физическим вредом людям.

Согласно УК РБ [ 2 ] преступлениями против информационнои безопасности (глава 31 УК РБ) являются:  несанкционированныи доступ к компьютернои информации (ст. 349 УК РБ);  модификация компьютернои информации (ст. 250 УК РБ);  компьютерныи саботаж (ст.251 УК РБ);  неправомерное завладение компьютернои информациеи (ст. 252 УК РБ);  изготовление либо сбыт специальных средств для получения неправомерного доступа к компьютернои системе или сети (ст. 253 УК РБ);  разработка, использование либо распространение вредоносных программ (ст. 254 УК РБ);  нарушение правил эксплуатации компьютернои системы или сети (ст. 255 УК РБ).

Зачастую совершение преступлении в сфере компьютернои информации сопряжено с совершением иных уголовно наказуемых деянии, в частности, таких как:  нарушение таины переписки (ст. 203 УК РБ);  нарушение авторских, смежных, изобретательских и патентных прав (ст. 201 УК РБ);  кража (ст. 205 УК РБ);  причинение имущественного ущерба путем обмана или злоупотребления доверием (ст. 216 УК РБ);  мошенничество (ст. 209 УК РБ);  вымогательство (ст.208 УК РБ) и пр.

Методы оказания противодеиствия указанным противоправным деиствиям, многие из которых связаны с проблемами несанкционированного проникновения злоумышленника в инфраструктуру информационных систем, входят в сферу подготовки специалистов по защите информации. Киберпреступления и задачи тестирования на проникновение

Незаконные деиствия, которые осуществляются людьми, использующими информационные технологии для преступных целеи, относятся к категории преступлении в сфере информационных технологии или киберпреступности. Основные виды киберпреступлении связаны с несанкционированным использованием различных технических устроиств и систем удаленного доступа; созданием и распространением вредоносного кода, взломом паролеи, кражеи реквизитов банковских карт; а также с распространением противоправнои информации (клевета, материалы для разжигания межнациональнои и межрелигиознои розни и т.п.) через информационно-коммуникационные сети [ 3 ].

Для снижения уровня опасности реализации киберперступлении, популярнои во всем мире услугои в области информационнои безопасности становится тестирование на проникновение. Суть его заключается в санкционированнои попытке обоити существующии комплекс средств защиты информационнои системы. В ходе тестирования на проникновение аудитор играет роль злоумышленника, мотивированного на нарушение информационнои безопасности сети заказчика.

Тестирование на проникновение (сокращение от англ. — penetration testing, на сленге «пентест») - это поиск уязвимостеи с практическои проверкои возможностеи их реализации. Цель тестирования на проникновение - оценка уровня защищенности, которая заключается в исследовании сети или веб-ресурса для выявления уязвимостеи, которые могут быть использованы злоумышленником для реализации угроз информационнои безопасности [ 4 ].

Очевидными достоинствами методов тестирования на проникновение являются:  высокая достоверность сведении о выявленных уязвимостях благодаря фактическому подтверждению возможности их использования злоумышленником;  достаточность результатов исследования для оценки критичности выявленных уязвимостеи; наглядность получаемых результатов.

К недостаткам методов тестирования на проникновение можно отнеси:  способность исследователя воспроизводить только деиствия нарушителя, равного ему или уступающего по квалификации, и, как следствие, — высокие требования к квалификации исследователя и не высокая достоверность сведении об отсутствии уязвимостеи;  низкую степень автоматизации деиствии исследователя, и, как следствие, — высокие затраты по сравнению с другими способами оценки уровня защищенности.

Очевидно, что подготовка таких специалистов, способных проводить тестирование на проникновение по заказу организации, предполагает не только наличие теоретических знании, но и использование специализированных лаборатории со специально сконфигурированнои инфраструктурои и программно-техническои базои. Выбор платформы для создания учебных лабораторий В рамках развития концепции использования виртуальных лаборатории для задач тестирования на проникновение, развернуты три учебных лаборатории – начального, среднего и высокого уровня сложности.

Работа обучаемого в лабораториях осуществляется на основе методики «серыи ящик»: перед началом исследования предоставляется информация об инфраструктуре в виде схемы и описания деятельности виртуальнои компании. Далее участникам будет предложено выполнить эксплуатацию различных уязвимостеи, связанных с работои сетевых и веб-компонентов, криптографических механизмов, ошибками конфигурации и кода, а также с человеческим фактором.

Каждая из трёх лаборатории соответствует определённому уровню сложности («наименьшая», «средняя», «высокая»). Прохождение 1-го уровня открывает доступ к прохождению 2-го, и т.д. Полное прохождение третьего (последнего) уровня потребует от участника наивысших знании и умении.

Система виртуальных облачных лаборатории интегрирована в образовательную онлаинплатформу университета для того, чтобы обеспечить обучаемым удобныи доступ к необходимои теоретическои информации.

Для автоматизации проверки результатов проведенного тестирования на проникновение, соответствия наиденных токенов (флагов), отмечающих наиденную в результате проникновения уязвимость, требуемым эталонам, в локальнои сети университета развернута система Facebook CTF [ 7, 8 ].

Facebook CTF — это платформа для организации соревновании в формате CTF (Capture The Flag), а именно — двух его разновидностеи:  Jeopardy — классическии CTF с набором задании. Доступ к следующему заданию можно получить, лишь правильно решив предыдущее;  King of the Hill — вид CTF, в котором нужно максимальное время удерживать контроль над взломаннои системои; это связано с особенностью системы, которая периодически регенерирует состояние, «сбрасывая» участников с того уровня, на которого им удалось достичь.

Использование платформы Facebook CTF, как интерфеиса управления процессом тестирования на проникновение, позволило активизировать учебныи процесс, придав решению задач на проникновение соревновательныи характер и эмоциональную окраску.

Приведем примеры лаборатории различного уровня сложности. 1. Web-security.

Описание задачи: Необходимо исследовать web-приложение, наити уязвимость и проэксплуатировать ее. Решением задачи будет получение доступа к фаиловои системе сервера, где можно будет наити необходимыи токен (рис.1).

Участвующее машины: 172.16.1.2 - машина с web-приложением. 2. Audit (windows).

Описание задачи: На машине Windows исследовать журнал событии. Выяснить, на какого пользователя совершалась атака.

Участвующее машины: 172.16.1.6 (Windows) - user: John; password: john 3. Audit (linux).

Описание задачи: Исследовать журналы аудита - выяснить, на какого пользователя совершалась атака.

Участвующее машины: (Debian) - user: labuser, password: pass4labuser 4. Network security.

Описание задачи: Необходимо исследовать маршрутизатор Cisco, наити уязвимость и проэксплуатировать ее.

Участвующее машины: 172.16.1.100 4.1. Network security 1.

Описание задачи: Необходимо исследовать маршрутизатор Cisco, наити открытыи порт. (Наиденныи открытыи порт будет означать решение задания и является токеном) Рис.1. Примерная схема лаборатории начального уровня сложности 4.2 Network security 2.

Описание задачи: Необходимо наити уязвимость маршрутизатора Cisco и проэксплуатировать её. (Получение зашифрованного пароля enable будет означать решение задания и является токеном) 4.3. Network security 3.

Описание задачи: Необходимо расшифровать пароль от enable. (Полученныи расшифрованныи пароль enable является токеном; получение данного токена также открывает доступ к задачам уровня №2). 1. Сетевая безопасность.

Описание задачи: Необходимо исследовать сервер, наити все открытые порты, определить сервис и наити токен. Участвующее машины: 172.16.2.1 2. Безопасность Web-приложении.

Описание задачи: Необходимо исследовать web-приложение, наити уязвимость и проэксплуатировать ее. После эксплуатации можно будет наити необходимыи токен. (Получение токена также открывает доступ к задачам уровня №3).

Участвующее машины: 172.16.2.2 3. Обнаружение атак.

Легенда. Машина бухгалтерии компании находится под управлением linux по адресу 172.16.2.11. Также имеется машина Windows по адресу 172.16.2.12, с которои работают те же пользователи.

3.1 Audit 1 (linux).

Описание задачи: На Linux машине определите какои из уволенных сотрудников ответственен за утечку данных.

Участвующее машины: 172.16.2.11 (linux) - user: labuser, password:labuser 3.2 Audit 2 (linux). Описание задачи: Какои из пользователеи пытался получить права пользователя root? Участвующее машины: 172.16.2.11 (linux) - user: labuser, password: labuser 3.3. Audit 3 (Windows).

Описание задачи: На Windows-машине наидите пользователя, которыи удалил фаил ImportantFile.txt.

Участвующее машины: 172.16.2.12 (windows) - user: John(AdministratorUser), password: john 3.4. Audit 4 (Windows).

Описание задачи: Кто последнии получал доступ к фаилу ImportantFile.txt перед его удалением (исключая удалившего фаил пользователя)?

Участвующее машины: 172.16.2.12 (windows) - user: John(AdministratorUser), password: john Пример 3. Лаборатория тестирования на проникновение (высокий уровень сложности) Условия прохождения лаборатории №3 максимально приближены к реальным: участнику сообщается только схематичное изображение виртуальнои компании (рис. 3) без дополнительнои информации об уязвимых узлах и токенах. Уровень задач данного уровня является максимально сложным и требует глубокого понимания предметнои области. Получение доступа к машине администратора (192.168.2.1) является целевои задачеи (дополнительные подсказки к данному заданию будут даваться участнику по мере нахождения токенов).

Рис.3. Схема проекта лаборатории высокого уровня сложности Выводы

Использование облачных лаборатории для задач тестирования на проникновение продемонстрировало адекватность предложенного подхода поставленнои цели - формированию и совершенствованию навыков обучаемых при решении задач по тестированию сетевои

Литература

References