Med säkerhetsskannern Retina slipper du det manuella trasslet med att söka igenom system efter säkerhetsdefekter. Produkten ska till och med hitta hittills okända defekter.

Text: Hans Husman

SÄKERHETSSKANNER
• Vi har undersökt om Retina finner några säkerhetsbrister.
• Testet innefattade både kända och hittills okända defekter.
• Du får veta hur produkten kan användas i praktiken.

Retina har genomfört en undersökning av Windows 2000-datorn. En hel del säkerhetsdefekter har hittats. För varje defekt ges information om hur den kan korrigeras, och ibland erbjuder sig Retina att fixa problemet. Rapporterna som genereras innehåller information om alla säkerhetsdefekter och korrigeringar. De innehåller också en hel del statistik och olika sammanfattningar. Här ser vi hur Retina korrekt dragit slutsatsen att testdatorn är tämligen osäker.

Retina, säkerhetsskannern från Eeye (eEye) Digital Security, används när man regelbundet vill söka igenom stora nät efter säkerhetsdefekter och när man vill kontrollera en enskild dator före driftsättning. Den viktigaste funktionen hos en säkerhetsskanner är att identifiera välkända säkerhetsdefekter. Vid sidan om detta har de också ofta funktioner för att samla information om en dator eller ett nät. Retina uppges dessutom ha en funktion för att upptäcka hittills helt okända säkerhetsdefekter.

För att testa Retina satte vi upp en dator med Windows 2000 med webbserver och installerade en hel del vanliga användarapplikationer, Microsoft Office, Macromedia Flash med flera. För operativsystemet slog vi på alla officiella fellagningar. Webbservern och alla användarapplikationer hade välkända säkerhetsdefekter. Anledningen till att vi installerade användarapplikationerna är att det är troligare att en säkerhetsskanner missar här än för vanliga serverapplikationer.

Vidare fanns ett antal mindre säkerhetsproblem, som att det var tillåtet med nullsessioner, anonymt FTP och en tämligen olämplig lösenordspolicy.

På en annan dator installerade vi Red Hat Linux 7.1. Vi tog sedan källkoden till en FTP-server och ändrade den på ett sådant sätt att namnet och versionen inte kunde identifieras. Den kompilerade FTP-servern hade en oskyddad buffert som kunde missbrukas.

Vi installerade också en webbserver och en databas. Webbservern innehöll möjlighet till ett SQL-injection-angrepp som inte är standardmässigt och inte är helt enkelt att upptäcka.

Den första datorn var avsedd att testa Retina som ett hjälpmedel när en server ska säkerhetskonfigureras. Den andra var avsedd att testa Retinas förmåga att upptäcka okända säkerhetsproblem.

Söker uppdateringar självmant
Sedan laddade vi ner och installerade Retina. Installationen gick enkelt och snabbt. Datorn behöver inte startas om, utan man kan köra igång direkt. När man sedan startar Retina går den ut på nätet och kontrollerar om någon uppdatering finns tillgänglig. Detta gör sedan programmet varje gång man startar det, vilket innebär att databasen hålls uppdaterad utan att man behöver tänka på det. Uppdateringsfunktionen kan fritt konfigureras och köras separat. Användargränssnittet är mycket enkelt, och nästan ingen konfigurering krävs innan man kan börja använda verktyget – föredömligt.

Om en skanner ska göra ett bra arbete räcker det inte med att hitta säkerhetsdefekterna. Den behöver också korrekt identifiera dem. Anges defekten felaktigt är risken stor att man inte åtgärdar felet på rätt sätt. Vidare ska en bra säkerhetsskanner ge enkla instruktioner om hur problemet ska åtgärdas och ge länkar till mer information. För att testa Retinas förmåga att korrekt identifiera säkerhetsproblem körde vi den mot Windows 2000-datorn.

Våra tester visade att Retina identifierar samtliga säkerhetsdefekter, och gör detta korrekt, vilket förvånade oss. Vår erfarenhet är annars att säkerhetsskannrar ofta kan missa något. Dessutom identifierade Retina en allvarlig defekt i Internet Explorer 6, som vi själva inte var medvetna om.

Förutom att ange defekterna ger Retina också instruktioner om hur felen ska lagas. Instruktionerna är pedagogiskt utformade i numrerade listor och är lätta för en systemadministratör att följa. De är i samtliga fall korrekta och åtgärdar verkligen problemet. Man får även ett ID till Bugtraq och CVE, vilket gör att mer information lätt kan inhämtas. Där det är relevant finns också länkar till Cert, Microsoft och liknande källor till information om fellagningar och defekter. Retina identifierade också de mindre problemen i sammanhanget, möjligheten att upprätta null-session, den anonyma inloggningen på FTP och så vidare.

Retina har också funktioner för att hitta okända defekter med hjälp av sin CHAM-modul. Denna är avsedd att fungera mot FTP, POP3, SMTP och HTTP. CHAM-modulen i Retina uppges ha hittat flera tidigare okända säkerhetsdefekter, bland annat en i Ultraseek, som är Infoseeks sökmotor.

Varnar för FTP-defekter
Vilka tester som CHAM-modulen gör och vad den exakt kan förväntas hitta har vi inte funnit någon dokumentation om. För att testa funktionen körde vi skannern mot Linux-datorn. Retina varnade helt korrekt för säkerhetsdefekten i FTP-servern. Detta är positivt. De flesta FTP-servrar delar ett gemensamt kodskelett men har sedan namngivits hos olika tillverkare som behövt en FTP-server. En säkerhetsdefekt kan därför vara rapporterad på vissa servrar men i verkligen finnas i många fler. SQL injection-angreppet hittade skannern inte, vilket vi i och för sig inte heller hade förväntat oss.

Förmågan att hitta och korrekt identifiera säkerhetsdefekter blev alltså klart godkänd. CHAM-modulen var också något som kan visa sig vara användbart. En annan viktig fråga är hur flexibel skannern är. I ett större företag kan det vara personer med olika roller som ska använda skannern. Säkerhetschefen kanske vill att testledarna kör skannern mot inköpta eller utvecklade system innan de driftsätts. Här kan det mycket väl vara så att han vill att väldigt speciella saker testas. Man kanske vill ha en modul som ser till att data som skickas till en webbserver passerar igenom ett speciellt filter som företaget utvecklat eller liknande.

Retina har funktioner för att lägga till egna moduler. En del säkerhetsprogram använder egenutvecklade skriptspråk för detta, vilket kan vara irriterande. Med Retina kan man utveckla modulerna i vilket språk som helst, bara det går att länka in dll som kommer med. Detta är funktionellt genom att man kan utveckla i det språk man är van vid. Det blir också lätt att plocka ner angreppskod från Internet.

För få kodexempel visas
För att testa denna funktion kompilerade vi testprogrammet som kom med programmet och gjorde några olika varianter av det. Samtliga fungerade som tänkt. Vad som dock var störande var att bara ett exempel kom med. Flera kodexempel hade varit användbart, speciellt borde ett större väldokumenterat exempel finnas. Kodexempel för hur varje funktion i API:et ska användas är också ett minimikrav.

Även beskrivningarna av funktionerna i API:et är dåliga. De består bara av funktionsdeklarationen och en kort rad som i de flesta fall är oklar. Som det ser ut idag är det nog ganska få personer som väljer att experimentera sig fram till vad funktionerna gör. Dessutom måste man lägga till seriös dokumentation av API:et.

Det finns också en länkknapp i skannern. Klickar man på den dyker det upp en lista över bra sidor. Detta är ju typiskt något som man själv kan vilja bygga ut. Det går också att göra genom att editera Retina-filerna, men tråkigt nog är det inte beskrivet i manualen, vilket gör att man lätt missar det.

Man kan också vilja lägga till fler knappar, kanske en för externa webbresurser och en för interna. Vi är tämligen säkra på att det går att lägga till fler knappar, men instruktionerna för det saknas.

Flera bra extrafunktioner
Det finns några roliga extrafunktioner, till exempel en inbyggd enkel webbläsare. Den kan säkert vara användbar – många av de enheter man kan vilja säkerhetsskanna har administrationsgränssnitt exponerade över webb­en. Vidare finns en funktion som kallas Miner, en modul skriven med Retina-API:et. Den samlar in intressant information som exponeras genom en webbserver. Den söker också igenom webbservrar efter vanliga säkerhetsdefekter.

Det finns även en spårningsfunktion som visar alla IP-adresser mellan datorn där skannern finns och datorn som testas. Sammanfattningsvis tycker vi att Retina är den skarpaste och trevligaste av de säkerhetsskannrar vi arbetat med.

Retina Version: 4.9.82 Leverantör: Eeye Digital Security Distributör: Upstream (www.upstream.se) Cirkapris: För 16 IP-adresser kostar den 9 000 kr, för 256 IP-adresser ungefär 60 000 kronor. Priser finns däremellan. Plattform: Retina kan installeras på Microsoft Windows. S&S tycker: En mycket trevlig skanner som är lätt att komma igång med. Den identifierar korrekt säkerhetsdefekter och ger pedagogisk information om hur de ska korrigeras. Skannern erbjuder sig rent av att själv korrigera en del fel. Dokumentationen av hur man bygger ut skannern med egna moduler måste dock bli mycket bättre. Betyg: 4/5

Den är oerhört lätt att komma igång med. Den är snabb och har inga problem att hitta och korrekt identifiera säkerhetsproblem. En intressant funktion för att hitta vissa typer av hittills okända säkerhetsdefekter finns också. Vad som måste bli bättre är dokumentationen av funktionerna som finns för att bygga ut skannern. Eeye Digital Security profilerar dessa funktioner hårt i marknadsföringen, vilket gör att det är viktigt att dessa verkligen är så enkla som man påstår.

Slutligen några ord om priset. För 16 IP-adresser kostar skannern 9 000 kronor, medan den för 256 IP-adresser ligger på ungefär 60 000 kronor. Detta är helt rimliga priser att betala för en enkel och effektiv skanner som Retina. En fyra i betyg är därför lagom för Retina.