Nacionalni CERT

Provjera ranjivosti

Pravo na korištenje usluge automatske provjere ranjivosti imaju vlasnici internetskih usluga u Republici Hrvatskoj koji posjeduju svoju poslužiteljsku i mrežnu infrastrukturu (dalje u tekstu: naručitelj). Usluga provjere ranjivosti nije predviđena za CARNetove ustanove članice ili tijela državne uprave.

Usluga isto tako nije predviđena za provjeru ranjivosti poslužitelja koji se nalazi u okolini dijeljenoj s ostalim poslužiteljima ili uslugama (hosting). Vlasnik poslužitelja mora posjedovati vlastitu mrežnu i poslužiteljsku infrastrukturu.

Pružanje ove usluge je bez jamstva bilo koje vrste. Ocjena sigurnosti računala je vrlo složen postupak i ona je vremenom promjenjiva. CARNet ne pruža nikakvo jamstvo da će sve ranjivosti u mreži Naručitelja biti pronađene niti da su rezultati provjere uvijek točni  i bez grešaka.

CARNet nema obvezu tumačenja dobivenih rezultata, već ih u njihovom originalnom obliku prosljeđuje naručitelju provjere.

CARNet ima diskreciono pravo odbiti provođenje provjere ranjivosti nekog sustava po svojem nahođenju bez dodatnih objašnjenja.  Provjera ranjivosti se provodi po dogovoru, samo u dogovorenim i slobodnim terminima.

CARNet neće biti odgovoran Naručitelju ili trećoj osobi koju odredi Naručitelj za eventualne štete koje su posljedica izvođenja ugovorene  provjere ranjivosti  poslužitelja sa ugovorenim alatima. Naručitelj provjere ranjivosti je suglasan da koristi usluge isključivo na svoju odgovornost. 

CARNet šalje Naručitelju elektroničkom poštom kriptirane rezultate dobivene korištenjem alata za provjeru ranjivosti.

Provjera ranjivosti se unutar jednog termina, čije je trajanje od 9:00 do 16:00 radnim danom, ograničava na maksimalno 16 IP adresa za OpenVAS i Nikto programske alate, odnosno maksimalno jednu IP adresu ukoliko su odabrani svi (OpenVAS, Nikto i Skipfish) alati.

Usluga automatske provjere ranjivosti se sastoji od više alata otvorenog koda povezanih u jednu cjelinu. Moguće je provjeriti više aspekata infrastrukture sa automatskom provjerom ranjivosti, ovisno o željama korisnika.

Korišteni alati u automatskoj provjeri ranjivosti su:

OpenVas je besplatan alat namijenjen ispitivanju sigurnosti računalna i računalnih mreža. Moguće je uključivati dodatne module koji zatim funkcioniraju kao dio OpenVas okruženja, poput alata W3af koji služi alat za provjeru ranjivosti web aplikacija. Nastao je s ciljem da se razvije okruženje za pronalaženje i iskorištavanje ranjivosti web aplikacija, pri čemu je naglasak na jednostavnosti korištenja i proširljivosti. Pisan je u skriptnom jeziku Python, a podržan je na većini popularnih operacijskih sustava. Neke od ranjivosti koje je moguće otkriti korištenjem ovog alata su XSS (eng. cross-site scripting), "SQL injection" ranjivosti, uključivanje proizvoljnih lokalnih i udaljenih datoteka, ranjivost prepisivanja spremnika, itd.

SkipFish je u potpunosti automatiziran alat za provjeru sigurnosti Web aplikacija, pisan je u C-u te koristi međuostalom heurističke metode kako bi mogao testirati vrlo različite tehnologije u kojem su stvorene Web aplikacije

Nikto je alat otvorenog koda koji se koristi za provjeru ranjivosti. Može otkriti nekoliko vrsta problema kod web poslužitelja, kao što su pogreške u konfiguraciji, podrazumijevane datoteke i programi, nesigurne datoteke i programi, poslužitelji i programi koji su zastarjeli pa im je potrebna nadogradnja i sl.

Kako biste zatražili provjeru ranjivosti, ispunite ovaj obrazac. Nakon što ste obrazac ispunili, primit ćete obavijest na upisanu adresu elektroničke pošte te ćemo Vam se za daljnje korake javiti.