Cieľom lokálneho systémového bezpečnostného auditu je kontrola lokálnej systémovej bezpečnosti daného OS v rozsahu:
- Overenie existencie nepoužívaných služieb a balíčkov – nepoužívané služby a balíčky zvyšuje totiž množstvo všetkých ciest, ako je možné daný systém kompromitovať
- Analýza zvláštneho chovania systému – kontrola „zvláštnych“ procesov a sieťových spojení („promiscous flag“), „zadných vrátok“, modifikovaných binárnych súborov, podozrivých záznamov v logoch, detekcia kernel rootkitov
- Kontrola systémových suid/sgid aplikácií a ich prípadná eliminácia – suid/sgid aplikácie vlastnené „rootom“ sú z hľadiska bezpečnosti kritické – ich zneužitie môže viesť ku kompromitácii celého systému
- Overenie aktuálnosti použitých bezpečnostných záplat všetkých balíkov a jadra – neudržovaný systém balíkov a staré jadro môže obsahovať veľké množstvo zraniteľností, ktoré dokáže potenciálny útočník zneužiť
- Návrh vhodného AC prístupu riadenia – Unixový DAC (Discretionary Access Control) je v mnohých prípadoch nedostačujúci. Na Linuxe, BSD ako aj Solarise existujú robustnejšie prístupy riadenia založené na DTE a RBAC modeli (SELinux, SEBSD,Trusted Solaris). Overíme doterajší prístup riadenia a navrhneme bezpečnejší.
- Overenie používateľov – overenie existujúcich používateľov, ich oprávnení, rolí, nastavení (napr. platnosť účtu), separácie do špeciálnych skupín, analýza použitých hashov hesiel a návrh bezpečnejších (blowfish), overenie možností vzdialeného root prihlásenia, používateľských cron taskov.
- Zhodnotenie konfigurácie použitých služieb – chybná konfigurácia služby môže viesť ku kompromitovaniu celého systému. Analýza, či všetky TCP/UDP služby na prenos citlivých údajov (loginy, heslá, ..) používajú bezpečné šifrovanie a autentizáciu (SSL), kontrola, či všetky kritické služby bežia pod neprivilegovaným používateľom v „chroote“. V prípade, že daná implementácia služby je z hľadiska bezpečnosti nevhodná (napríklad obsahovala v minulosti veľa bezpečnostných zraniteľností), navrhneme jej bezpečnejšiu alternatívu
- Kontrola bezpečného úložiska – overenie, či aplikácie používajú bezpečné úložisko (šifrovaný súborový systém), len povolené aplikácie pristupujú k zvoleným dátam, „boot manager“ je zabezpečený heslom a sú nastavené bezpečné oprávnenie k súborom
- Kontrola „host-based“ firewallu – overenie, či je zapnutý a správne nakonfigurovaný „host-based“ firewall, ktorý zvyšuje lokálnu bezpečnosť a komplikuje masové šírenie „wormov“.
Vlastnosti:
- podporované sú všetky rozšírené operačné systémy
- testovanie je v súlade s OSSTMM metodológiou, dôraz na fázy „Vulnerability Research and Verification (OSSTMM Section C/4)“ a „Privacy Review (OSSTMM Section C/5)“
- výsledkom je technická správa s manažérskym zhrnutím, všetkými odhalenými zraniteľnosťami a vhodnými odporučeniami