Työasemien haavoittuvuustestaus

Abstract

Insinöörityön tarkoituksena oli testata työasemaympäristön haavoittuvuuksia eri käyttöjärjestelmillä. Ensisijainen testattava työasemaympäristö oli Windows, koska se on muita käyttöjärjestelmiä yleisemmin käytössä yrityksissä ja yksityisillä tahoilla. Toiseksi testattiin Linux-työasemaa, Ubuntua. Haavoittuvuustestaukseen käytettiin Kali Linux -jakelupakettia, joka sisälsi työn toteutukseen vaadittavia työkaluja ja moduuleja. Yksi insinöörityön tavoitteista oli oppia ymmärtämään, miten haavoittuvuuksia hyödynnetään, kuinka hyökkäyksiä työasemia kohti toteutetaan ja miten yleiset tietoturvamekanismit torjuvat niitä.

Haavoittuvuustestauksessa selvisi, että suojaamattomaan koneeseen on varsin helppo hyökätä, mikäli käyttäjä tekee vaadittavan virheen. Onnistunut hyökkäys vaati usean haavoittuvuuden hyväksikäytön, joten suojattuun koneeseen oli haastavampi hyökätä. Johtopäätöksenä voitiin todeta, että käyttäjät ovat turvassa, jos heillä on yleinen ymmärrys tietoturvasta ja riskeistä, joita tässä insinöörityössä käsiteltiin.

Insinöörityössä perehdyimme myös yleiseen tietosuoja-asetukseen ja tietoturvapolitiikkaan ja siihen, miten ne vaikuttavat globaalien yritysten ja organisaatioiden toimintaan Euroopan Unionissa. Kaikki testauksen tulokset kirjattiin ja dokumentoitiin insinöörityöhön.

The purpose of this thesis was to test the vulnerabilities in different workstations using the Kali Linux penetration testing tool. The main workstation that we chose to test for vulnerabilities was Windows operating system, as it is the most popular operating system used by organizations and private users in the present day. The second workstation that we tested for vulnerabilities was Ubuntu. One of our goals was to learn how the workstation vulnerabilities are exploited, how the attacks are executed, how the malicious software will function when executed and how to defend against these threats. In our testing, we discovered that it is easy to attack unprotected workstations, if the target user makes the required mistakes. A successful attack requires multiple exploits to work, which made attacking to protected workstations more difficult. As a conclusion, we could state that users are safe, if they have information security awareness and a general understanding of the risks, which are discussed in this thesis.

In this thesis, we also discuss the topics of data security standards and the general data protection regulation, how they affect global companies and organizations in the European Union. All inspected testing results have been described and documented in this thesis. The thesis was done as a pair-work, where the theory was written together and for vulnerability testing purposes both authors had own virtual environments.

Syftet med examensarbetet var att testa sårbarheter i olika arbetsstationer med hjälp av Kali Linux penetrations testverktyg. Den huvudsakliga arbetsstationen som vi valde att testa för sårbarheter var Windows-operativsystem, eftersom den är det mest populära operativsystemet som används av organisationer och privata användare idag. Den andra arbetsstationen som vi testade för sårbarheter var Ubuntu. Ett av våra mål var att lära oss hur arbetsstationers sårbarheter utnyttjas, hur attackerna utförs, hur den skadliga programvaran fungerar när den körs och hur man försvarar mot dessa hot. I våra test upptäckte vi att det är lätt att attackera oskyddade arbetsstationer, om användaren gör de nödvändiga misstagen. En framgångsrik attack kräver att flera exploiteringar fungerar, vilket gjorde attacker mot skyddade arbetsstationer svårare. Som en slutsats kan vi konstatera att användarna är säkra, om de har informationssäkerhetsmedvetenhet och en allmän förståelse för de risker som diskuteras i examensarbetet.

I denna avhandling diskuterar vi också datasäkerhetsstandarder och den allmänna dataskyddsförordningen, hur de påverkar globala företag och organisationer i Europeiska unionen. Alla testresultat har beskrivits och dokumenterats i examensarbetet. Examensarbetet gjordes som ett pararbete där teorin skrevs tillsammans och för sårbarhetsprovning hade vi båda egna virtuella miljöer.