Przegląd Teleinformatyczny = Teleinformatics Review. T. 2, 2014, nr 1/2

(1)

TOM 2 (20) Nr 1-2 (37)

WARSZAWA 2014

ISSN 2300-5149

PRZEGLĄD TELEINFORMATYCZNY

Dawniej: Biuletyn Instytutu Automatyki i Robotyki WAT ISSN 1427-3578

M. Furmankiewicz, P. Ziuziański

Wdrażanie kokpitu menedżerskiego w ramach systemu BI w organizacji ... 3

Z. Suski

Wybrane przypadki enumeracji systemu Windows Server 2012 ... 17

M. Antczak, Z. Świerczyński

PTER – metodyka testowania bezpieczeństwa aplikacji internetowych ... 35

Informacje dla autorów – sposób przygotowania tekstu dla redakcji

PRZEGLĄDU TELEINFORMATYCZNEGO ... 69

(2)

PRZEGLĄD TELEINFORMATYCZNY TELEINFORMATICS REVIEW

Dawniej: BIULETYN INSTYTUTU AUTOMATYKI I ROBOTYKI WAT (ISSN 1427-3578)

Ukazuje się od 1995 r.

RADA NAUKOWA Lt. Col. Janos Balogh MSc

dr hab. inż. Antoni M. Donigiewicz – przewodniczący Hacene Fouchal, PhD

prof. dr hab. inż. Włodzimierz Kwiatkowski prof. dr hab. inż. Bohdan Macukow

Lt. Col. Lajos Mucha, PhD prof. ing. Vladimír Olej, CSc.

KOLEGIUM RECENZENTÓW dr hab. inż. Marek Cieciura dr hab. inż. Andrzej B. Chojnacki

prof. dr hab. inż. Marian Chudy dr hab. inż. Leszek Jung prof. dr hab. inż. Stanisław Paszkowski

ADRES REDAKCJI

Redakcja Przeglądu Teleinformatycznego 00-908 Warszawa 49, ul. Gen. S. Kaliskiego 2

tel. 261 83 95 52, fax. 261 83 71 44 e-mail: pt [at] ita.wat.edu.pl WWW: http://przeglad.ita.wat.edu.pl/

Wersją pierwotną czasopisma jest wersja elektroniczna

REDAKTOR NACZELNY:

Antoni Donigiewicz

REDAKTOR WYDANIA Antoni Donigiewicz

OPRACOWANIE STYLISTYCZNE Renata Borkowska

PROJEKT OKŁADKI Barbara Chruszczyk

WYDAWCA: Instytut Teleinformatyki i Automatyki WAT ISSN 2300-5149

(3)

PRZEGLĄD TELEINFORMATYCZNY NR 1-2, 2014

3

Wdrażanie kokpitu menedżerskiego w ramach systemu BI w organizacji

Małgorzata FURMANKIEWICZ, Piotr ZIUZIAŃSKI

Uniwersytet Ekonomiczny w Katowicach, Wydział Informatyki i Komunikacji ul. 1 Maja 50, 40-287 Katowice

malgorzata.furmankiewicz@gmail.com, piotrziuzianski@gmail.com

STRESZCZENIE: W niniejszym artykule poruszono zagadnienie wdrażania kokpitu menedżerskiego w organizacji. Przedstawiono teoretyczne aspekty wdrażania systemów informatycznych, uwzględniając rolę wyboru właściwej strategii wdrażania, a także wskazano bariery wdrażania i scharakteryzowano czynniki implikujące skuteczne wdrożenie systemu.

Następnie opisano systemy Business Intelligence oraz scharakteryzowano fazy ich wdrażania.

Autorzy zdefiniowali kokpit menedżerski i scharakteryzowali proces wdrażania kokpitu menedżerskiego.

SŁOWA KLUCZOWE: Business Intelligence, kokpit menedżerski, wdrażanie systemów informatycznych

1. Teoretyczne aspekty wdrażania systemów informatycznych Wdrażanie systemu jest jednym z etapów wyróżnianych w cyklu życia systemu informatycznego (SI). Proces wdrażania systemu uważany jest za jedno z najtrudniejszych zadań, z uwagi na odczuwane obawy przed zmianami personelu organizacji, w której planowane jest wdrożenie [15]. Wdrażanie systemów informatycznych to złożony proces obejmujący instalację i konfigurację systemu w środowisku docelowym użytkownika, testowanie i uruchomienie na danych próbnych, w przypadku istnienia wcześniejszego systemu przeniesienie danych, szkolenia użytkowników i administratorów oraz przekazanie systemu do eksploatacji [2]. Niniejszy punkt charakteryzuje różne strategie wdrożenia SI, a także bariery, które mogą się pojawić podczas ich realizacji.

(4)

1.1. Strategie wdrażania systemów informatycznych

Podczas wdrażania systemu informatycznego można zastosować jedną z trzech strategii wdrażania, które zostały przedstawione na rys. 1. W związku z tym, że wybór nieodpowiedniej strategii może wiązać się ze znacznymi nakładami finansowymi lub nawet z niepowodzeniem wdrożenia systemu, należy dokładnie poznać strukturę organizacyjną firmy i wybrać najwłaściwszą strategię.

Rys. 1. Strategie wdrażania systemów [15]

Wdrażanie całościowe, znane również jako wdrażanie totalne, polega na implementacji nowego systemu przy równoczesnym wycofaniu z użytkowania obecnego systemu. Strategia ta uważana jest za najwygodniejszą i najtańszą, ale obarczoną dużym ryzykiem. Ryzyko to wynika z braku możliwości wycofania się z przedsięwzięcia wdrożenia nowego systemu, ponieważ wcześniejszy system już nie funkcjonuje. W sytuacji, gdy wdrożony system jest niedopracowany lub niedokładnie przetestowany, organizacja narażona jest znacznie na dodatkowe koszty, które związane są z koniecznością podjęcia czynności mających na celu usunięcie usterek oraz koniecznością realizacji bieżącej działalności. Ryzyko to jednak zmniejsza się wraz ze wzrostem doświadczenia zespołu, jak również poszczególnych osób, które zaangażowane są w projektowanie systemu. W przypadku organizacji, która wcześniej nie korzystała z rozwiązań informatycznych, strategia wdrażania całościowego stanowi jedyną możliwą strategię działania [15].

Wdrażanie cząstkowe jest obarczone mniejszym ryzykiem niepowodzenia niż wdrażanie totalne, ale najczęściej związane jest z większymi nakładami finansowymi. W sytuacji, gdy wdrażany jest złożony system, strategia wdrażania cząstkowego jest korzystniejsza od strategii totalnej, z uwagi na możliwość podziału systemu na części. Wybierając strategię cząstkową, powinno dążyć się do podziału systemu na części, czyli jego strukturalizacji.

Wśród kryteriów strukturalizacji systemu wyszczególnić można następujące podejścia [15]:

• podział przestrzenny,

• podział funkcjonalny.

(5)

Wdrażanie kokpitu menedżerskiego w ramach systemu BI w organizacji

Przegląd Teleinformatyczny, 1-2/2014 5

Podział przestrzenny zakłada możliwość wdrażania systemu w konkretnych filiach organizacji, natomiast podział funkcjonalny zakłada możliwość podziału systemu na moduły, takie jak np. moduł:

finansowo-księgowy, produkcji, marketingu, zaopatrzenia itp. Wśród strategii wdrażania cząstkowego można wyróżnić wdrażanie pilotażowe oraz próbne.

Strategia wdrażania równoległego uznawana jest za najbezpieczniejszą, ale jej stosowanie związane jest z większymi kosztami niż wcześniej opisane strategie. Strategia ta zakłada wykorzystywanie dotychczasowego systemu do momentu wdrożenia nowego [2]. Strategia wdrażania równoległego może okazać się trudna do zastosowania, z uwagi na powstające konflikty oraz opór pracowników przed zmianą systemu, którego obsługi się nauczyli [15].

1.2. Bariery wdrażania systemów informatycznych

Skutki wdrażania SI, personel organizacji, w której system jest wdrażany, odczuwa w różnym stopniu, w zależności od zajmowanej pozycji w organizacji.

Opór przed wdrażaniem SI wynikać może z następujących powodów [9]:

• zagrożenie pozycji lub władzy i niepewność wobec zmian;

• pozorna komplikacja pracy;

• brak znajomości nowoczesnych metod zarządzania;

• zagrożenie bezpieczeństwa ekonomicznego;

• zmiana stosunków pomiędzy przełożonym a podwładnym;

• utrata kontroli nad informacją;

• niepewność wynikająca z nieznajomości technologii;

• obawa przez utratą pracy;

• brak jednoznacznej roli w strukturze organizacyjnej;

• podporządkowanie się systemowi oraz czynnikowi czasu.

Wymienione powody, jak również opór personelu wobec nowych wdrożeń, przyczyniają się do tworzenia kłopotliwych i uciążliwych sytuacji, które utrudniają lub niekiedy nawet uniemożliwiają wdrożenie oraz wykorzystywanie tej formy zmian i postępu techniczno-ekonomicznego.

Na wdrożenie można spojrzeć jak na proces przekształcenia projektu systemu w narzędzie, którego wykorzystywanie jest możliwe. W tym przypadku wdrożenie uznać można za udane, jeśli spełnione są następujące warunki [2], [9]:

• projekt zrealizowano oraz wdrożono,

• końcowi użytkownicy zarówno akceptują wdrożony projekt, jak i wykorzystują go całościowo oraz zgodnie z założeniami;

(6)

• zakres projektu nie został ograniczony w stosunku do pierwotnie zakładanego;

• utrzymane zostały terminy zaplanowane w harmonogramie oraz nie przekroczono zaplanowanego budżetu;

• system uzyskał założoną sprawność w określonym czasie;

• wdrożenie systemu przyniosło zakładane rezultaty, co zostało potwierdzone rzetelnymi badaniami;

• system zgodny jest z mierzalnymi celami przedsiębiorstwa oraz pomaga w ich osiąganiu.

2. Systemy Business Intelligence w organizacji

Terminu „Business Intelligence” (BI) użyto pierwszy raz najprawdopodobniej w 1958 roku. Odnosił się on do narzędzi umożliwiających analizę danych. Z czasem termin ten zaczęto pojmować szerzej, jako łącznik różnych elementów infrastruktury wspomagania decyzji oraz źródło kompleksowych informacji dla decydentów [18]. Nadrzędnym zadaniem systemów Business Intelligence jest transkrypcja danych heterogenicznych, pochodzących z wielu różnych źródeł w wiedzę oraz dostarczenie wygodnego środowiska sprzyjającego efektywnemu podejmowaniu decyzji [19]. Cechy Business Intelligence zostały przedstawione na rys. 2.

Rys. 2. Cechy charakterystyczne Business Intelligence w ujęciu definicyjnym, przeznaczenia i danych

W systemie Bussines Intelligence opracowanym na potrzeby organizacji można wyróżnić cztery podstawowe elementy: hurtownię danych, narzędzia do ekstrakcji i przesyłania danych, narzędzia do analizowania i eksplorowania danych oraz warstwę prezentacji (ang. Presentation Layer – PL) [19].

(7)

Nieco inne podejście uwzględniające przepływ danych w organizacji od źródeł danych po narzędzia raportujące i analityczne zostało zaprezentowane na rys. 3.

Rys. 3. Architektura systemu Business Intelligence

Procesy ETL służą ekstrakcji, transformacji i ładowaniu danych (ang.

Extraction, Transformation, Loading). Ich zadaniem jest zasilenie hurtowni danych danymi transakcyjnymi, które pochodzą z różnych źródeł w organizacji.

Hurtownię danych można najprościej określić jako tematyczną, zintegrowaną, zmienną w czasie elektroniczną kolekcję danych opracowaną w celu wspomagania procesu podejmowania decyzji [17].

Kokpity menedżerskie są reprezentantem grupy aplikacji raportujących i analitycznych w systemie Business Intelligence organizacji [21].

Uwzględniając wcześniej przedstawione ujęcie, kokpity menedżerskie zaklasyfikować należy do warstwy prezentacji.

Do najważniejszych cech systemów Business Intelligence rozszerzających umiejętności analityczne w organizacji można zaliczyć [25]:

• możliwość przeprowadzania prognoz i analiz (uwzględniając drążenie danych);

• obsługiwanie wielu użytkowników, a także obsługę rozproszonych, niehomogenicznych źródeł danych;

• otwartość i łatwość dopasowania do standardów i potrzeb zarówno rynkowych, jak i firmowych;

• zastosowanie metod wizualizacji danych.

Wiele ze wskazanych cech realizuje kokpit menedżerski.

3. Wdrażanie systemu Business Intelligence w organizacji

Wdrażanie systemu Business Intelligence w organizacji jest procesem kompleksowym, obejmującym wiele etapów, które mogą się różnić w zależności od przyjętej metodyki wdrażania. Etapy mogą następować kolejno po sobie lub też przenikać się wzajemnie. Wybór podejścia zależny od specyfiki firmy.

Najczęściej jednak przyjmuje się, że proces wdrażania obejmuje etapy przedstawione na rys. 4.

(8)

Rys. 4. Etapy wdrażania BI w organizacji [12]

Na etapie planowania tworzony jest plan realizacji projektu, określana jest architektura hurtowni danych, określane są dostępne środki techniczne oraz definiowane są zadania. Podczas analizy wdrożeniowej konieczne jest zrozumienie potrzeb biznesowych oraz wymagań przyszłych użytkowników systemu BI. Trzecim etapem jest utworzenie fizycznej hurtowni danych poprzez utworzenie tabel wymiarów oraz faktów. Zlokalizowanie źródeł danych oraz analiza ich struktury jest kolejnym etapem w procesie wdrażania systemu BI. Na tym etapie konieczne jest także określenie wszystkich niezbędnych operacji, np.

transformacji, oczyszczania, w celu zapewnienia spójności oraz integralności danych zasilających hurtownię danych. Kolejno, oczyszczone dane zasilają hurtownię danych. Automatyzacja oraz harmonogramowanie zasilania hurtowni danych jest następnym etapem. Po zasileniu hurtowni danych przygotowywane są szablony i wzorce raportów, które będą dostępne dla użytkowników po wdrożeniu systemu. Następnie sprawdzana jest poprawność funkcjonowania hurtowni danych za pomocą utworzonych raportów. Ostatnim z wymienionych etapów są szkolenia zarówno użytkowników końcowych, jak i administratorów systemu [12].

Dodatkowo, przed wdrożeniem systemu klasy Business Intelligence w organizacji zalecane jest określenie tzw. kluczowych wskaźników wydajności (ang. Key Performance Indicators – KPI) [24]. Analiza tych wskaźników ma za zadanie pomagać kadrze zarządzającej w procesie podejmowania decyzji, a kadrze technicznej w lepszej eksploatacji wyposażenia i infrastruktur [4].

Wskaźniki te najczęściej przyjmują postać graficzną, np. ukierunkowanych Planowanie Analiza i zbieranie

wymagań

Utworzenie fizycznej HD

Pozyskanie danych Zasilenie HD Automatyzacja procesu

Tworzenie początkowego zbioru raportów

Kontrola poprawności, testowanie danych

Szkolenia

(9)

strzałek, dzięki czemu pozwalają na sprawną interpretację wyników, co umożliwia szybszą reakcję na pojawiające się problemy (np. spadek efektywności produkcji, spadek sprzedaży) [4].

Sukces wdrożenia systemu BI związany jest ściśle z wykorzystywaniem jego funkcjonalności przez poszczególnych użytkowników końcowych.

W praktyce oznacza to, że o sukcesie wdrożenia BI decyduje jego zgodność z oczekiwaniami organizacji decydującej się na wdrożenie takiego rozwiązania [22].

Zasadnicze korzyści, które związane są z udanym wdrożeniem systemu Business Intelligence w organizacji, zostały przedstawione na rys. 5.

Rys. 5. Korzyści wynikające z wdrażania BI w organizacji [11]

Zastosowanie HD, jako repozytorium zintegrowanych i zagregowanych danych operacyjnych organizacji, umożliwia dostęp do spójnej i wiarygodnej informacji. Zastosowanie systemów klasy BI pozwala na przekształcenie dużej ilości danych w wiedzę, z której posiadania organizacja może czerpać zyski.

Systemy BI można postrzegać jako doskonałe źródło informacji historycznej, jak również na temat bieżącej działalności organizacji. Należy mieć świadomość, że w dużej mierze to właśnie od skuteczności prognozowania, które przekłada się na podjęte decyzje, zależą przyszłe sukcesy organizacji.

Szybka reakcja na trendy pozwala na wypracowanie przewagi konkurencyjnej [11].

Wiarygodne i spójne informacje ze wszystkich

obszarów biznesowych

Dane firmy przekształcone w użyteczną wiedzę

Sprawne tworzenie prognoz dla firmy

Szybka reakcja na trendy rynkowe, wykrywanie

zagrożeń, szans w obszarze prowadzonej

działalności

Bieżące śledzenie odchyleń budżetu

Mniejsza ilość osób zaangażowanych w procesy decyzyjne

Większa ilość trafnych decyzji

Wyższy wskaźnik zwrotu z inwestycji

(10)

System klasy Business Intelligence integrując dane dotyczące kondycji finansowej organizacji, pozwala ocenić procent realizacji zakładanego budżetu.

W związku z tym zmniejsza się liczba osób zaangażowanych w procesy decyzyjne. Z uwagi na szerszy dostęp do informacji, podejmowana decyzja obarczona jest mniejszym ryzykiem niepowodzenia. Wszystkie wymienione korzyści przyczyniają się do wyższego wskaźnika zwrotu z inwestycji (ang. Rate of Investment – ROI) [11].

4. Wdrażanie kokpitu menedżerskiego w organizacji

Kokpit menedżerski wykorzystywany jest szeroko w organizacjach różnych branż ze względu na to, że dostarcza efektywnie w przyjazny, estetyczny sposób kluczowej dla decydentów wiedzy dzięki wykorzystaniu uproszczonych, łatwych w interpretacji elementów graficznych [23]. Kokpity znajdują zastosowanie w takich obszarach funkcjonowania przedsiębiorstwa, jak: sprzedaż, finanse, zarządzanie zasobami ludzkimi, marketing, zarządzanie produkcją, monitorowanie wsparcia technicznego, monitorowanie infrastruktury informatycznej [8] itp. Kokpit menedżerski reprezentuje warstwę prezentacji aplikacji Business Intelligence, która bezpośrednio współdziała z warstwą hurtowni danych [5].

Do zasadniczych celów kokpitu menedżerskiego należą: skuteczny pomiar, monitorowanie i zarządzanie dokonaniami konkretnej jednostki. Można wskazać, że kokpity menedżerskie to aplikacje wielopoziomowe bazujące na infrastrukturze, której zadaniem jest integracja danych z różnych źródeł organizacji [6]. Różne podejście do definiowania kokpitu zostało przedstawione na rys. 6. Każda z definicji kokpitu menedżerskiego kładzie nacisk na inny aspekt. Jedne skupiają się na formie prezentacji, inne z kolei na aspekcie organizacyjnym, jeszcze inne na zastosowanych rozwiązaniach technologicznych.

Efektywność kokpitu w dużej mierze zależy od jego właściwego wdrożenia. Proponowanym podejściem dla wdrożenia kokpitu menedżerskiego lub konserwacji (poprawy) istniejącego kokpitu jest podejście iteracyjne sterowane przypadkami użycia [7], które skupia się na użytkownikach, akcjach i procesach [14]. Fazy cyklu życia kokpitu menedżerskiego zostały zaprezentowane na rys. 7.

Pomyślna realizacja kokpitu to złożony proces i wymaga m.in. przyjęcia metodologii, uwzględniającej wszystkie aspekty cyklu życia projektu [20].

Prefaza „Inicjalizacja projektu” to ustalenie idei kokpitu menedżerskiego i ustanowienie procesów kontroli zmian. Kolejne fazy projektu powtarzane są w ciągłej pętli [14].

(11)

Rys. 6. Definicje kokpitu menedżerskiego [6] [7] [8] [16] [23] [26]

Rys. 7. Cykl życia kokpitu menedżerskiego [7]

(12)

Pierwsza faza cyklu życia kokpitu menedżerskiego polega m.in. na [14]:

• zidentyfikowaniu grupy docelowej (np. menedżerowie, lekarze),

• określeniu potencjalnych KPI i źródeł danych dla nich,

• ocenie bieżących i potencjalnych wymagań odnośnie do oprogramowania/sprzętu,

• identyfikacji przepływów pracy i związanych z nimi metod szkoleniowych.

Budowanie kokpitu opiera się na udostępnieniu niezbędnych mechanizmów dostarczających danych z różnych źródeł (np. systemów, aplikacji, dokumentów) oraz ustanowieniu procesów ETL i wyborze odpowiednich narzędzi w tym obszarze, a także wyborze konkretnych narzędzi raportujących. Ponadto na tym etapie powinny zostać opracowane materiały szkoleniowe. Kolejną fazą jest faza testowania, która ma dostarczyć odpowiedzi na dwa następujące pytania [14]:

1. Czy wszystkie narzędzia kooperują w celu dostarczenia dokładnych wyników?

2. Czy zaktualizowane procesy przepływu pracy współpracują z nowym kokpitem?

Przedostatnia faza to prowadzenie szkoleń i rozpoczęcie korzystania z kokpitu. Kolejna faza to monitorowanie i weryfikacja, czy wyniki są zadowalające, czy kokpit współpracuje z przepływem pracy, ocena wpływu danych i trendów z kokpitu na organizację, wyznaczenie dodatkowych KPI mierzących wydajność [14].

Projektowanie KPI stanowi niezwykle ważny punkt projektowania kokpitu menedżerskiego. Powinny zostać prawidłowo dobrane i powinna je cechować: wiarygodność, aktualność, czytelność i przejrzystość. Najważniejsze wskaźniki powinny zostać wyeksponowane [10]. Proces wyboru właściwych KPI może odbywać się zgodnie z następującymi etapami [13]:

1. Identyfikacja skutecznych obszarów działalności organizacji – proces definiowania kluczowych wskaźników wydajności rozpoczyna się od identyfikacji skutecznych obszarów swojej działalności, a następnie bezpośrednio skupia się na pomiarach, które są istotne i możliwe do osiągnięcia. Oczywiście obszary te różnią się w zależności od specyfiki organizacji.

2. Wykorzystanie burzy mózgów – zestawianie opinii zespołów:

pracowników i kadry zarządzającej odnośnie do skuteczności konkretnych obszarów. Następuje opracowanie listy z informacją, w jaki sposób można poprawić te obszary i czy są jakieś negatywy. Próba odpowiedzi na poniższe pytania dla każdego obszaru: „gdzie jesteśmy?”, „gdzie chcemy być (i kiedy)?”, „jak tam się dostać?”.

(13)

3. Określenie konkretnych miar – na podstawie określonych obszarów, kryteriów i list wskaźników KPI oraz ich właścicieli należy przejść do etapu poszukiwania najlepszych sposobów ich pomiaru, np.

w przypadku sklepu internetowego KPI metodami pomiaru konwersji sprzedaży mogą być m.in.: liczba unikatowych użytkowników lub liczba odwiedzających sprzedaży.

Zadaniem kokpitu jest wyświetlenie informacji odnośnie do KPI w taki sposób, by zarządzający nie mieli wątpliwości, na którym etapie w realizacji celów się znajdują.

Warto nadmienić, że podstawą projektowania kokpitu menedżerskiego powinno być precyzyjne określenie wymagań końcowego użytkownika kokpitu.

Wymagania te powinny poruszać następujące kwestie [1]:

• przekaz – czyli jakie są realizowane przez kokpit cele,

• KPI – wskaźników zgodnych z założonymi celami kokpitu,

• grono odbiorców – wyspecyfikowanie to pozwala na określenie bardziej szczegółowych wymagań,

• źródła danych – należy sprawdzić ich dostępność i jakość,

• wymiary i filtry, umożliwiające odpowiednio grupowanie i sortowanie danych,

• typ drążenia danych – odnoszący się do konkretnych miar,

• harmonogram aktualizacji – czyli informacje o częstotliwości aktualizowania danych.

5. Podsumowanie

Podsumowując dotychczasowe rozważania, można stwierdzić, że wdrażanie jest procesem złożonym i wieloetapowym, którego powodzenie zależy od wielu czynników, w tym od wyboru odpowiedniej strategii wdrażania.

Poprawnie przeprowadzone wdrożenie kokpitu menedżerskiego, uzależnione m.in. od poprawnego wdrożenia systemu Business Intelligence, daje szansę na zdobycie efektywnego narzędzia wspomagającego zarządzanie w organizacji.

Proces wdrożenia kokpitu menedżerskiego można ująć w kilku zasadniczych krokach [3]:

1. Zrozumienie potrzeb odbiorcy – należy przeprowadzić przegląd informacji zarządczej i potrzeb informacyjnych.

2. Dobór mierników i ich źródeł – należy wybrać zestaw mierników charakteryzujący się: adekwatnością, miarodajnością i łatwością interpretacji.

(14)

3. Zapewnienie efektywnej prezentacji – należy wykorzystać jednoznaczne i czytelne techniki prezentacji.

4. Testowanie i wdrożenie – należy dokładnie sprawdzić, czy postawione cele są realizowane poprawnie.

Poprawnie zaprojektowany i wdrożony kokpit menedżerski w organizacji w ramach systemu Business Intelligence może być pomocny w procesie decyzyjnym dla kadry zarządzającej i dostarczać niezbędnej wiedzy na poziomie nie tylko strategicznym, ale także operacyjnym i taktycznym.

Literatura

[1] A^LEXANDERM., WALKENBACH J., Analiza i prezentacja danych w Microsoft Excel, Helion, Gliwice 2011, s. 29-34.

[2] B^ILLEWICZ G., Wdrażanie systemów informatycznych, [w:] Informatyka w zarządzaniu, pr. zb. pod red. Celiny M. Olszak i Henryka Sroki, Wydawnictwo Akademii Ekonomicznej w Katowicach, Katowice 2003.

[3] BŁASZKOWSKI G., SZANSER P., Pulpit managerski – jak efektywnie zarządzać organizacją nie tylko w trudnych czasach, dostępne pod adresem:

http://www.mercomp.pl/blog/87-pulpit-managerski-czyli-jak-efektywnie- zarzadzac-organizacja-nie-tylko-w-trudnych-czasach

[4] B^URNOS A., Kluczowe wskaźniki efektywności, Przemysł Farmaceutyczny (2010), nr 2, s. 40.

[5] C^HOIŃSKI M., Business Intelligence. Rys historyczny, dostępne pod adresem:

http://bi.pl/keyword/1-business-intelligence#section_section-5

[6] E^CKERSON W.W., Performance Dashboards. Measuring, Monitoring and Managing Your Business, John Wiley & Sons, Hoboken 2006, s. 6.

[7] Executive Dashboard Implementation Guide 2010, Healthcare Information and Management Systems Society, 2010.

[8] F^EW S., Information Dashboard Design. Displaying data for at-a-glance monitoring, Analytics Press, Burlingame 2013.

[9] FURMANKIEWICZ M., Wdrożenie i ocena regułowego systemu ekspertowego na przykładzie systemu WIKex, Katowice 2013 (niepublikowane).

[10] G^UZEKJ., Pulpit menedżerski studenta jako narzędzie wizualizacji jego postępów w procesie e-learning, [w:] Rola informatyki w naukach ekonomicznych i społecznych. Innowacje i implikacje interdyscyplinarne, Zeszyt 2/2010, pr. zb.

pod red. Zbigniewa E. Zielińskiego, Wydawnictwo Wyższej Szkoły Handlowej, Kielce 2010, s. 41.

[11] http://edu.pjwstk.edu.pl/wyklady/hur/scb/wyklad13/w13.htm

(15)

[12] http://www.jcommerce.pl/business-intelligence/faq-business- intelligence/wdrozenie-business-intelligence/675.html [13] http://www.simplekpi.com/Resources/Choose-KPIs

[14] J^ACOBSON I., Object-Oriented Software Engineering – A Use Case Driven Approach, Addison-Wesley, 1992.

[15] KISIELNICKI J., SROKA H., Systemy informacyjne biznesu. Informatyka dla zarządzania, Wydawnictwo Placet, Warszawa, 2005.

[16] M^ARCINIAK B., Systemy wspomagające decyzje marketingowe w przedsiębiorstwach – aspekty teoretyczne i praktyczne, [w:] Studia i prace Kolegium Zarządzania i Finansów. Zeszyt Naukowy 110, pr. zb. pod red.

K. Kawerskiej, Szkoła Główna Handlowa, Warszawa 2011, s. 58.

[17] N^YCZM.,SMOK B., Zastosowanie narzędzi ETL w hurtowni danych, [w:] Systemy Wspomagania Organizacji SWO 2004, pr. zb. pod red. Henryka Sroki i Teresy Porębskiej-Miąc, Wydawnictwo Akademii Ekonomicznej, Katowice 2004, s. 333.

[18] O^LSZAK C.M., Przegląd i ocena wybranych modeli dojrzałości Business Intelligence, [w:] Informatyka ekonomiczna, nr 22, Wrocław 2011.

[19] O^LSZAK C.M., Tworzenie i wykorzystanie systemów Business Intelligence na potrzeby współczesnej organizacji, Wydawnictwo Akademii Ekonomicznej, Katowice 2007, s. 69-75.

[20] O^RTS D., Dashboard Implementation Methodology, dostępne pod adresem:

http://www.information-management.com/issues/20050601/1028733-1.html [21] O^RZECHOWSKI R., eBusiness Intelligence, e-mentor (2005), nr 2 (9), s. 67-69.

[22] R^AWICZ-MAŃKOWSKI G., Systemy Business Intelligence, [w:] Informatyka ekonomiczna. Podręcznik akademicki, pr. zb. pod red. Stanisława Wrycza, Polskie Wydawnictwo Ekonomiczne S.A., Warszawa 2010, s. 425.

[23] S^MOK B., Kokpit menedżerski a system wczesnego ostrzegania, [w:] Business Intelligence w zarządzaniu, pr. zb. pod red. Barbary Smok, Wydawnictwo Uniwersytetu Ekonomicznego we Wrocławiu, Wrocław 2010, s. 145.

[24] S^OŁTYSIK A., Hurtownie danych i narzędzia OLAP w procesach wspomagania decyzji, [w:] Inteligentne systemy wspomagania decyzji, pr. zb. pod red. Henryka Sroki i Wiesława Wolnego, Wydawnictwo Akademii Ekonomicznej im. Karola Adamieckiego w Katowicach, Katowice 2009.

[25] W^YRĘBEK H., Znaczenie aplikacji Business Intelligence w zarządzaniu w przedsiębiorstwie, [w:] Zeszyty Naukowe Uniwersytetu Przyrodniczo- Humanistycznego w Siedlcach. Administracja i Zarządzanie, nr 88, Wydawnictwo Uniwersytetu Przyrodniczo-Humanistycznego w Siedlcach, Siedlce 2011, s. 77-78.

[26] Z^IUZIAŃSKI P., Kokpit menedżerski jako efektywne narzędzie do wizualizacji danych w organizacji, [w:] Rola informatyki w naukach ekonomicznych i społecznych. Innowacje i implikacje interdyscyplinarne, Zeszyt 1/2014, pr. zb.

(16)

pod red. Zbigniewa E. Zielińskiego, Wydawnictwo Wyższej Szkoły Handlowej, Kielce 2014.

Implementation of the dashboard under the BI systems in organization

ABSTRACT: This paper considers the problem of management dashboard implementation. Firstly theoretical aspects of implementation of information systems including role of implementation strategy choice have been described. Lately, barriers of implementation and indications of the effective system implementation have been indicated. Next, Business Intelligence systems have been described and its phases of implementation. Authors defined management dashboard and characterized process of its implementation.

KEYWORDS: Business Intelligence, management dashboard, implementation of information systems

Praca wpłynęła do redakcji: 4.08.2014 r.

(17)

PRZEGLĄD TELEINFORMATYCZNY NR 1-2, 2014

17

Wybrane przypadki enumeracji systemu Windows Server 2012

Zbigniew SUSKI

Instytut Teleinformatyki i Automatyki WAT, ul. Gen. S. Kaliskiego 2, 00-908 Warszawa

z.suski@ita.wat.edu.pl

STRESZCZENIE: W artykule przedstawiono wybrane zagadnienia dotyczące enumeracji systemu Windows Server 2012. Zaprezentowano przegląd literatury w tym zakresie, opisano zbudowane dla potrzeb eksperymentów środowisko badawcze, oraz przedstawiono najważniejsze cechy interfejsu NetBIOS oraz protokołów NetBT i CIFS/SMB, które wykorzystują ten interfejs.

Zasadnicza część opracowania zawiera opis wybranych eksperymentów dotyczących enumeracji systemu Windows Server 2012 oraz omówienie uzyskanych wyników.

SŁOWA KLUCZOWE: bezpieczeństwo, systemy Windows, testy penetracyjne, enumeracja

1. Wprowadzenie

Słowo „enumeracja” pochodzi od łacińskiego słowa enumeratio i oznacza wyliczenie, wyszczególnienie, wymienienie [1]. Słowo to wykorzystywane jest w różnych kontekstach i nabiera wówczas różnych znaczeń. Przykładowo w teorii literatury oznacza charakterystyczny dla baroku środek stylistyczny polegający na wymienianiu w tekście kolejnych elementów pewnej całości, służący zwróceniu uwagi na prezentowane treści, wzmocnieniu znaczenia wypowiedzi. W informatyce może oznaczać m.in. zestaw nazwanych stałych liczb całkowitych [2] lub proces używany przez stos jądra sterownika USB, związany z wykrywaniem obecności urządzeń USB [3].

Niniejsze opracowanie dotyczy bezpieczeństwa systemów informatycznych i w tym obszarze wiedzy enumeracją nazywamy proces wyszukiwania informacji o zasobach systemu [4]. Zdobywane informacje dotyczą zasobów sieciowych i ich udostępniania, identyfikatorów kont i grup użytkowników, zainstalowanych aplikacji. Niektórzy autorzy do celów

(18)

enumeracji zaliczają również identyfikację systemu operacyjnego (fingerprinting). Nie jest to jednak ogólnie uznane podejście do zagadnień enumeracji i w niniejszym opracowaniu nie zostanie uwzględnione.

Duża część technik enumeracji jest skuteczna tylko w stosunku do określonego systemu operacyjnego lub rodziny systemów operacyjnych (np. MS Windows). Wobec tego ta faza uzyskiwania informacji o systemie powinna być poprzedzona właśnie wspomnianą identyfikacją systemu operacyjnego.

Enumeracja jest jednym z etapów działań realizowanych przez intruza, stawiającego sobie za cel uzyskanie jak największej ilości informacji o interesującym go systemie, aby w dalszej kolejności dokonać destrukcyjnego ataku. Powinna być wobec tego również uwzględniona podczas realizacji testu penetracyjnego. Wiedza o tym, jakich informacji może poszukiwać intruz oraz w jaki sposób nasz system może je udostępniać, pomoże w usunięciu tych luk w zabezpieczeniach.

W roku 1999 ukazało się pierwsze wydanie książki Hacking Exposed [4].

Jest to prawdopodobnie pierwsza publikacja, w której w miarę dokładnie przedstawiono przykłady enumeracji systemów Windows. Książka zdobyła ogromną popularność na rynku. W sumie pojawiło się 7 wydań. Ostatnie w 2012 roku [5]. Do 2012 roku sprzedano przeszło 600 000 egzemplarzy. Książka została przetłumaczona na 30 języków¹. Stuart McClure prowadzi również związaną z tą książką stronę internetową². W każdym wydaniu swojej książki, rozdział trzeci autorzy poświęcali enumeracji. Jednak zmiany obserwowane w kolejnych wydaniach nie były znaczące.

W roku 2001 Joel Scambray i Stuart McClure wydali książkę poświęconą bezpieczeństwu systemu Windows 2000 [6]. W niej również umieszczony został rozdział dotyczący enumeracji, tym razem ograniczonej do systemu Windows 2000. Książka doczekała się trzech wydań, ostatnie w roku 2008 [7]. Jest to pozycja, w której znaleźć można najwięcej informacji dotyczących enumeracji systemów Windows. W obu seriach wydawniczych nie znajdziemy jednak żadnej informacji o warunkach, w jakich uzyskano prezentowane wyniki.

Przez ostatnie siedem lat na rynku wydawniczym nie ukazała się żadna pozycja, która wprowadzałaby istotne zmiany w naszej wiedzy dotyczącej enumeracji systemów Windows. Wyszukiwanie stron, na których można by było znaleźć coś istotnie nowego w zakresie tego zagadnienia, nie daje rezultatu.

W nowych publikacjach dotyczących testów penetracyjnych enumeracja jest traktowana po macoszemu, często sprowadzana do pozyskiwania banerów (banner grabbing) lub nie wychodzi poza zagadnienia przedstawione w prezentowanych wcześniej publikacjach [10]. Jedynie w starszych

1 W Polsce przetłumaczono i opublikowano wydanie pierwsze (pod tytułem Hakerzy cała prawda) oraz wydanie piąte (pod tytułem Hacking zdemaskowany).

2 http://www.hackingexposed.com/

(19)

Wybrane przypadki enumeracji systemu Windows Server 2012

publikacjach można co nieco znaleźć [9]. Pojawia się wobec tego pytanie: czy jest już tak dobrze, że temat nie budzi zainteresowania? A może przez tych kilka lat nic się nie zmieniło – nie ma postępu i wobec tego nie ma o czym pisać.

To właśnie stanowiło inspirację przeprowadzenia badań dotyczących zagadnień enumeracji najnowszej wersji serwerowej systemów firmy Microsoft – Windows Server 2012. Pierwsze wyniki przedstawiono w niniejszym opracowaniu. Pozostałe zostaną zamieszczone w kolejnych publikacjach.

2. Środowisko badawcze

Środowisko badawcze zostało zbudowane z wykorzystaniem pakietu VMware Workstation 11 [11]. W pierwszej fazie eksperymentów wykorzystano trzy maszyny wirtualne z systemem Windows Server 2012. Ich najważniejsze parametry, mające wpływ na uzyskane wyniki, zamieszczono w tab. 1.

Tab. 1. Specyfikacja wykorzystywanych maszyn wirtualnych

Charakterystyka Nazwa maszyny

SECINT SECSTD SECHI

Przeznaczenie Maszyna intruza realizującego

enumerację

Maszyna podlegająca

enumeracji

Maszyna podlegająca enumeracji Adres IP 172.16.100.3 172.16.100.1 172.16.100.4

Zapora sieciowa Wyłączona Wyłączona Włączona

(konfiguracja domyślna) Hasło administratora Password2 Password1 Password1 Login/hasło intruza 1 Intruz/Password1 Intruz/Password1 Intruz/Password1 Login/hasło intruza 2 Tester/Password3 brak brak

Uwagi Na maszynach podlegających enumeracji SID systemu ustawiono inny niż na maszynie intruza

Maszyna SECINT pełniła funkcję maszyny – intruza dokonującego enumeracji. Pozostałe maszyny podlegały enumeracji. Zastosowano konfiguracje domyślne, uzyskiwane podczas przebiegu typowej instalacji, bez wprowadzania dodatkowych komponentów. Na maszynie SECSTD wyłączona została zapora sieciowa. Na maszynie SECHI pozostała ona włączona, w konfiguracji uzyskanej podczas instalowania systemu.

Hasło konta administratora na maszynie SECINT miało inną wartość niż hasła kont administratorów na pozostałych maszynach. W ten sposób

(20)

zamodelowano brak znajomości przez intruza hasła administratora na maszynach enumerowanych.

Podobnie identyfikator zabezpieczeń SID (Security Identifier) systemu SECINT miałinną wartość niż identyfikatory na pozostałych maszynach. W ten sposób zamodelowano unikatowość SID na różnych komputerach w sieci. Brak tej unikatowości mógłby mieć wpływ na uzyskiwane wyniki.

Brak zróżnicowania wartości SID i haseł administratorów na maszynach SECSTD i SECHI, nie ma żadnego znaczenia dla przebiegu i wyników przeprowadzonych eksperymentów. Systemy te nie współpracują ze sobą, tzn.

nie wymieniają żadnych danych, istotnych z punktu widzenia eksperymentów.

Ostatnim czynnikiem wziętym pod uwagę podczas opracowywania środowiska badawczego były parametry konta użytkownika realizującego enumerację zdalnego komputera. Należało tu wziąć pod uwagę pięć przypadków:

a) intruz zdobył login i hasło nieuważnego użytkownika komputera enumerowanego³,

b) intruz nie posiada żadnej wiedzy odnośnie do kont dostępnych na systemie podlegającym enumeracji i próbuje realizować enumerację zdalną, wykorzystując swoje lokalne konto bez uprawnień administracyjnych,

c) intruz nie posiada żadnej wiedzy odnośnie do kont dostępnych na systemie podlegającym enumeracji i próbuje realizować enumerację anonimowo,

d) intruz zna login i hasło wbudowanego konta administratora,

e) intruz „wszczepił” do systemu enumerowanego, poprzez odpowiedni malware, konto w grupie administratorów.

W pierwszej fazie badań wykorzystano wariant a). Mogłoby się wydawać, że jest to wariant nierealny, niemający zastosowania w rzeczywistości. Okazuje się jednak, że u sporej grupy użytkowników obserwuje się tendencję do wybierania haseł łatwych do odgadnięcia przez intruza. Teza taka pojawiła się w roku 1990, w tzw. raporcie Kleina [12]. Aktualnie potwierdzają to krótkie notatki publikowane na różnych stronach WWW⁴. Przedstawiają one wyniki

3 Zdobyte konto należy do użytkownika, który nie posiada żadnych specjalnych przywilejów, a zwłaszcza nie należy do żadnej z grup administracyjnych.

4 http://www.benchmark.pl/aktualnosci/Jesli_twoje_haslo_to_123456_-_zmien_je- 26351.html

http://tech.wp.pl/kat,1009785,title,Oto-najpopularniejsze-hasla-uzytkownikow- Adobecom,wid,16207123,wiadomosc.html

http://www.chip.pl/news/bezpieczenstwo/luki-bezpieczenstwa/2014/10/do-sieci- wyciekly-hasla-uzytkownikow-dropboxa

(21)

badań jakości haseł wykorzystywanych przez użytkowników w różnych środowiskach. Wynika z nich na przykład, że od lat najbardziej popularnym hasłem jest ciąg znaków „123456”. Skutkiem jest dość duża skuteczność słownikowego lub hybrydowego ataku na hasła.

W badaniach wykorzystywane było konto INTRUZ, które potraktowano jako reprezentanta dla omawianego przypadku. Zostało ono założone we wszystkich systemach środowiska badawczego. Dodatkowo wykorzystywano również konto TESTER. Konto to reprezentowało użytkownika, który nie ma rozeznania odnośnie do kont rezydujących na komputerze podlegającym enumeracji. Jego użycie pozwalało na porównywanie wyników możliwych do osiągnięcia w przypadkach a) oraz b).

W badaniach, których wyniki przedstawiono w niniejszym opracowaniu, nie wzięto pod uwagę pozostałych wariantów. Zostaną one wykorzystane w dalszych badaniach.

3. NetBIOS, NetBT, CIFS/SMB

NetBIOS (Network Basic Input/Output System) to mechanizm zaprojektowany we wczesnych latach 80 XX w. przez firmę IBM. Zapewnia podstawowy interfejs połączeń pomiędzy aplikacjami na różnych komputerach znajdujących się w tej samej sieci lokalnej. Umożliwia również współdzielenie danych.

NBT lub NetBT (NetBIOS over TCP/IP) to protokół sieciowy umożliwiający aplikacjom wykorzystującym API NetBIOS-u komunikację w sieciach TCP/IP [13], [14].

NetBIOS dostarcza trzech odrębnych usług:

• usługi nazw, służącej rejestracji i przyznawania nazw (port 137/udp),

• usługi przekazywania datagramów w komunikacji bezpołączeniowej (port 138/udp),

• usługi sesji w komunikacji połączeniowej (port 139/tcp).

Wszystkie wymienione usługi zostały zaimplementowane w NBT. Protokół NBT był zawsze i nadal jest dostępny w systemach Windows. Począwszy od Windows 2000, dodatkowo wykorzystywany jest port 445/tcp.

http://www.chip.pl/news/bezpieczenstwo/wirusy/2014/05/apple-ma-nowy-problem- wyciek-hasel-uzytkownikow

http://m.chip.pl/mobile/news/bezpieczenstwo/luki-bezpieczenstwa/2014/10/do-sieci- wyciekly-hasla-uzytkownikow-dropboxa/mobile_view

(22)

Przestrzeń nazewnicza NetBIOS jest płaska, co oznacza, że każda nazwa musi być unikatowa. Nazwa NetBIOS składa się z 16 bajtów. W nazwach zasobów sieciowych Windows (np. usług), 15 bajtów jest traktowane jako tzw. nazwa właściwa. Bajt 16 służy do określenia typu zasobu i jest określany mianem przyrostka NetBIOS.

Przykładowe przyrostki nazw NetBIOS zostały przedstawione w tab. 2.

Tab. 2. Przykładowe przyrostki nazw NetBIOS

Nazwa Przyrostek NetBIOS Typ zasobu

00h 20h 03h 06h 1Dh 00h

Usługa Workstation Usługa Server Usługa Messenger Usługa RAS Server Usługa Master Browser Domena lub grupa robocza SMB (Server Message Block) jest protokołem umożliwiającym m.in.

współdzielenie plików, drukarek, uwierzytelnienie w komunikacji międzyprocesowej, blokowanie plików i katalogów. CIFS (Common Internet File System) jest dialektem (jedną z wersji) SMB. W modelu sieciowym ISO są one umieszczane w warstwie 6 lub 7. W warstwie transportowej, oba protokoły najczęściej wykorzystują wspomniany wcześniej NBT. Nie jest to jednak rozwiązanie obowiązujące. Ma na celu zapewnić przede wszystkim tzw.

kompatybilność wsteczną⁵ systemów Windows.

Wymienione w niniejszym rozdziale mechanizmy były i są uważane za jedną z najważniejszych przyczyn „nadmiernej gadatliwości” systemów Windows, co skutkuje dość dużą łatwością pozyskiwania z nich informacji o zasobach.

4. Enumeracja za pomocą programu nbtstat

Program nbtstat jest wbudowanym narzędziem systemu Windows 2012, umożliwiającym przeglądanie tabeli nazw NetBIOS komputera. Na rysunku 1 przedstawiono raport uzyskany podczas enumeracji systemu SECHI.

Jest to system chroniony zaporą sieciową (patrz tab. 1). Wobec tego, jak można się było spodziewać, żądanie danych zostało zignorowane. Doskonale obrazuje to ruch sieciowy przedstawiony na rys. 2. Podczas eksperymentu

5 Zgodność funkcjonalna z poprzednimi, starszymi wersjami systemów. Dzięki temu możliwa jest współpraca nowych wersji systemów z wersjami starszymi.

(23)

uzyskano pozytywną odpowiedź na wysłane żądanie ARP. Trzykrotne próby nawiązania sesji na porcie 137/udp pozostały bez odpowiedzi. Zgodnie z opisem przedstawionym w rozdziale 2, próba enumeracji była przeprowadzona z komputera SECINT (172.16.100.3).

Rys. 1. Raport programu nbtstat uzyskany podczas enumeracji systemu SECHI

Rys. 2. Ruch sieciowy uzyskany podczas enumeracji systemu SECHI

Kolejny eksperyment dotyczył systemu, w którym zapora sieciowa została wyłączona. Był to komputer SECSTD (172.16.100.1).

Rys. 3. Raport programu nbtstat uzyskany podczas enumeracji systemu SECSTD

(z wykorzystaniem konta INTRUZ)

(24)

Na rysunku 3 przedstawiono raport uzyskany podczas tego eksperymentu.

Można z niego odczytać, że enumerowany system jest elementem domeny lub grupy roboczej o nazwie WORKGROUP, nosi nazwę SECSTD i uruchomione zostały na nim usługi Server i Workstation. Odczytać można również adres fizyczny (MAC) adaptera sieciowego. W raporcie zaznaczono wiersz uruchomienia polecenia whoami, z którego wynika, że enumeracja była realizowana przy użyciu konta INTRUZ.

Obraz ruchu sieciowego uzyskany podczas tego eksperymentu przedstawiono na rys. 4. Zaznaczono na nim pakiet zawierający odpowiedź na wysłane żądanie. Nie zamieszczono wyników dogłębnej analizy tego pakietu, gdyż nie wnosi to żadnej dodatkowej informacji.

Rys. 4. Ruch sieciowy uzyskany podczas enumeracji za pomocą programu nbtstat systemu SECSTD

Rys. 5. Raport programu nbtstat uzyskany podczas enumeracji systemu SECSTD

(z wykorzystaniem konta TESTER)

(25)

Wykorzystanie konta TESTER dało identyczne rezultaty. Wynika to z faktu, że w czasie dostępu do komputera zdalnego nie było wymagane uwierzytelnienie klienta żądającego danych. Raport uzyskany podczas tego eksperymentu przedstawia rys. 5.

5. Enumeracja za pomocą programu net view

Program net view jest wbudowanym narzędziem systemu Windows 2012, umożliwiającym uzyskiwanie informacji odnośnie do listy dostępnych domen, grup roboczych oraz funkcjonujących w nich komputerów. Dane te są dostarczane przez usługę Computer Browser. W domyślnej konfiguracji systemu Windows Server 2012 usługa ta jest wyłączona. Jak napisano w rozdziale 2, testowaniu podlegały domyślne konfiguracje systemu Windows Server 2012.

Wobec tego próby enumeracji nie przyniosły rezultatu. Raporty uzyskane podczas tych prób przedstawiono na rys. 6.

Rys. 6. Raporty programu net view uzyskane podczas enumeracji sieci środowiska badawczego

Specyfikacja programu net view przewiduje również możliwość uzyskania listy udziałów sieciowych udostępnionych na komputerze zdalnym.

Raport takiego przypadku użycia przedstawia rys. 7. Jak można na nim zauważyć, wykrywane są nie tylko udziały udostępniane w trybie tradycyjnym (WAZNE_DANE_JAWNE), ale również udziały udostępniane jako ukryte (BARDZO_WAZNE_UKRYTE_DANE$). Wykrywane są także udziały administracyjne, udostępniane automatycznie (ADMIN$, C$, E$), oraz udział stanowiący kanał komunikacji międzymaszynowej (IPC$).

(26)

Rys. 7. Raport programu net view uzyskany podczas enumeracji systemu SECSTD

Rys. 8. Fragment ruchu sieciowego uzyskany podczas enumeracji za pomocą programu net view systemu SECSTD (z wykorzystaniem konta INTRUZ)

Obraz fragmentu ruchu sieciowego uzyskany podczas tego eksperymentu przedstawiono na rys. 8. Należy zwrócić uwagę na sekwencję nawiązywania połączenia na porcie 445 (pakiety 3, 6, 7), sekwencję związaną z uwierzytelnieniem (m.in. pakiety 14 i 15) oraz żądanie podłączenia do zasobu

(27)

komunikacji międzymaszynowej IPC$ (pakiet 16). Interesujący jest fakt, że mimo podania niewłaściwej nazwy domeny (podano domenę enumeratora SECINT, a nie domenę hosta badanego SECSTD), uwierzytelnienie zakończyło się powodzeniem. Przyczyną jest stosowanie w fazie uwierzytelnienia protokołu NTLM [15]. Przy zastosowaniu tego protokołu, nazwa użytkownika jest przesyłana otwartym tekstem, co oznacza, że łatwo jest dokonać enumeracji kont użytkowników poprzez podsłuchiwanie ruchu sieciowego. Mimo że opisano już wiele podatności protokołu NTLM, w dalszym ciągu jest on powszechnie stosowany, nawet w najnowszych wersjach systemów Windows.

Zwykle tłumaczy się to koniecznością zachowania kompatybilności wstecznej.

Rys. 9. Raport programu net view uzyskany podczas enumeracji systemu SECSTD

Rys. 10. Ruch sieciowy uzyskany podczas enumeracji za pomocą programu net view systemu SECSTD (z wykorzystaniem konta TESTER)

(28)

W czasie badań zrealizowano również eksperyment, w którym wykorzystano konto TESTER. Jak napisano w rozdziale 2, reprezentowało ono intruza, który nie posiada żadnej wiedzy odnośnie do kont dostępnych na systemie podlegającym enumeracji i próbuje realizować enumerację zdalną, wykorzystując swoje lokalne konto bez uprawnień administracyjnych.

Raport z takiego badania przedstawiono na rys. 9. Intruzowi nie udało się uzyskać oczekiwanych danych. Przyczyną jest odrzucenie żądania uwierzytelnienia. Można to stwierdzić na podstawie obrazu ruchu sieciowego zamieszczonego na rys. 10 (pakiety 14 i 15).

6. Enumeracja za pomocą programu userinfo

Timothy Mullen występujący w sieci pod pseudonimem Hammer of God⁶ napisał program userinfo jako swoisty proof of concept. Jego celem, jak sam twierdzi, było pokazanie niespójności w implementacji mechanizmu związanego z ustawieniem rejestru RestrictAnonymous w systemach Windows. Ustawienie to miało być środkiem zabezpieczającym, uniemożliwiającym „wyciek”

wrażliwych danych z systemu. Timothy Mullen wykorzystał w swoim programie funkcję NetUserGetInfo⁷.

Na rysunku 11 przedstawiono raport z przebiegu programu userinfo uruchomionego na koncie użytkownika INTRUZ.

Żądanie enumeracyjne było skierowane do komputera SECSTD

(172.16.100.1) i dotyczyło konta lokalnego INTRUZ na tym komputerze. Jak widać, pozyskano wiele informacji o tym koncie:

• opis (Comment),

• identyfikator użytkownika (User ID): RID = 1001),

• identyfikator grupy (Primary Grp): 513 – wbudowana grupa Users,

• datę i czas ostatniej zmiany hasła (Password Age),

• datę i czas ostatniego logowania (LastLogon),

• ilość logowań (Num logons),

• ścieżkę dostępu (UNC) do profilu użytkownika (Profile),

• napęd logiczny, na którym zamapowano folder domowy (Homedir drive),

• ścieżkę dostępu (UNC) do folderu domowego (Home Dir).

6 www.hammerofgod.com

7https://msdn.microsoft.com/en-us/library/windows/desktop/aa370654%28v=vs.85%29

(29)

Rys. 11. Raport programu userinfo uzyskany podczas enumeracji systemu SECSTD

Nie wszystkie dane umieszczone w raporcie przedstawionym na rys. 11 są poprawne. Wynika to m.in. z faktu, że program userinfo przeznaczony jest w zasadzie do pozyskiwania informacji o zadanym koncie z kontrolera domeny.

W środowisku badawczym wykorzystywano tylko systemy autonomiczne, pracujące w grupie roboczej. Niektóre atrybuty kont użytkowników domenowych nie występują w przypadku kont lokalnych. Enumeracja w środowisku domenowym będzie przedmiotem osobnego opracowania.

(30)

Obraz fragmentu ruchu sieciowego uzyskany podczas tego eksperymentu przedstawiono na rys. 12. Należy zwrócić uwagę na sekwencję nawiązywania połączenia na porcie 445 (pakiety 1÷3), sekwencję związaną z uwierzytelnieniem (m.in. pakiety 10 i 11) oraz żądanie podłączenia do zasobu komunikacji międzymaszynowej IPC$ (pakiet 12). Podobnie jak w wynikach eksperymentu przedstawionego na rys. 8, można zauważyć, że mimo podania niewłaściwej nazwy domeny (podano domenę enumeratora SECINT a nie domenę hosta badanego SECSTD), uwierzytelnienie zakończyło się powodzeniem. Wykorzystany został protokół NTLM.

Rys. 12. Początkowy fragment ruchu sieciowego uzyskany podczas enumeracji za pomocą programu userinfo systemu SECSTD (z wykorzystaniem konta INTRUZ)

Obraz innego fragmentu ruchu sieciowego uzyskany podczas opisywanego eksperymentu przedstawiono na rys.13.

Rys. 13. Fragment ruchu sieciowego uzyskany podczas enumeracji za pomocą programu userinfo systemu SECSTD (z wykorzystaniem konta INTRUZ)

Jest to fragment pobierania szczegółowych danych dotyczących konta wskazanego w parametrach wywołania programu userinfo. Jak można

(31)

zauważyć, wykorzystywany jest do tego protokół SAMR (Security Account Manager Remote Procedure Call) [16]. Jest on integralnym podsystemem służącym do wykonywania zdalnych operacji menedżera kont, takich jak zarządzanie i manipulowanie kontami użytkowników. Interfejs protokołu SAMR definiuje zdalne metody menedżera kont wywoływane przez klienta. Dostępna jest m.in. funkcja SamConnect służąca do łączenia się z bazą danych tego menedżera.

W zaleceniach dla implementatorów tego protokołu można znaleźć zapis, aby zwrócili oni szczególną uwagę na dane wrażliwe, takie jak hasła, które mogą być przesyłane otwartym tekstem. W zbiorze dostępnych funkcji są bowiem również takie, które zapewniają ochronę kryptograficzną przesyłanych haseł.

W trakcie badań dokonano również prób uzyskania informacji o innych kontach użytkowników systemu SECSTD. Podobnie jak w opisywanym eksperymencie, wykorzystano konto INTRUZ. Jak napisano w rozdziale 2, konto INTRUZ reprezentuje napastnika, który zdobył login i hasło nieuważnego użytkownika komputera enumerowanego i wykorzystuje je do enumerowania zasobów tego komputera.

W czasie badań zrealizowano również eksperyment, w którym wykorzystano konto TESTER. Jak napisano w rozdziale 2, reprezentowało ono intruza, który nie posiada żadnej wiedzy odnośnie do kont dostępnych na systemie podlegającym enumeracji i próbuje realizować enumerację zdalną, wykorzystując swoje lokalne konto bez uprawnień administracyjnych.

Raport z takiego badania przedstawiono na rys. 14. Intruzowi nie udało się uzyskać oczekiwanych danych. Przyczyną jest odrzucenie żądania uwierzytelnienia. Można to stwierdzić na podstawie obrazu ruchu sieciowego zamieszczonego na rys. 15 (pakiety 14 i 15). Jak można zauważyć, jest to efekt taki sam jak w przypadku wykorzystania konta TESTER do enumeracji za pomocą programu net view.

Rys. 14. Raport programu userinfo uzyskany podczas enumeracji systemu SECSTD

(32)

Rys. 15. Ruch sieciowy uzyskany podczas enumeracji za pomocą programu userinfo systemu SECSTD (z wykorzystaniem konta TESTER)

7. Podsumowanie

W artykule przedstawiono wybrane, podstawowe techniki enumeracji systemu Windows Server 2012. Jak napisano we wprowadzeniu, inspirację przeprowadzenia badań dotyczących zagadnień enumeracji systemu Windows Server 2012 stanowiło stwierdzenie faktu, że przez ostatnie kilka lat na rynku wydawniczym nie ukazała się żadna pozycja, która wprowadzałaby istotne zmiany w naszej wiedzy dotyczącej enumeracji systemów Windows. Pojawiło się wobec tego pytanie: czy jest już tak dobrze, że temat nie budzi zainteresowania?. A może przez tych kilka lat nic się nie zmieniło – nie ma postępu i wobec tego nie ma o czym pisać.

Jak wykazały przedstawione wyniki badań, odpowiedzi na postawione pytanie należy poszukiwać pomiędzy tymi skrajnościami. System Windows Server 2012, podobnie jak starsze wersje, w dalszym ciągu jest podatny na działania enumeracyjne. Ze względu na brak specyfikacji środowisk, w których przeprowadzano badania dotyczące starszych systemów Windows, nie można dokonać wyczerpującego porównania. Nie jest to jednak chyba aż tak istotne.

Istotne jest udzielenie odpowiedzi na pytanie dotyczące stanu zabezpieczeń nowego systemu, jakim jest Windows Server 2012. A z tym nie jest najlepiej.

Udzielenie pełniejszej odpowiedzi na pytanie dotyczące bezpieczeństwa systemu Windows Server 2012 wymaga przeprowadzenia dalszych badań. W czasie eksperymentów należało wziąć pod uwagę pięć przypadków dotyczących kont wykorzystywanych w czasie enumeracji:

a) intruz zdobył login i hasło nieuważnego użytkownika komputera enumerowanego⁸,

b) intruz nie posiada żadnej wiedzy odnośnie do kont dostępnych na systemie podlegającym enumeracji i próbuje realizować enumerację

8 Zdobyte konto należy do użytkownika, który nie posiada żadnych specjalnych przywilejów, a zwłaszcza nie należy do żadnej z grup administracyjnych.

(33)

zdalną, wykorzystując swoje lokalne konto bez uprawnień administracyjnych,

c) intruz nie posiada żadnej wiedzy odnośnie do kont dostępnych na systemie podlegającym enumeracji i próbuje realizować enumerację anonimowo,

d) intruz zna login i hasło wbudowanego konta administratora,

e) intruz „wszczepił” do systemu enumerowanego, poprzez odpowiedni malware, konto w grupie administratorów.

W pierwszej fazie badań, opisanej w niniejszym opracowaniu, wykorzystano wariant a) oraz b) jako wariant porównawczy. Jak stwierdzono wyżej, konieczne jest prowadzenie dalszych badań. Ich wyniki zostaną przedstawione w kolejnych publikacjach.

Literatura

[1] S^OBOLE. (red.), Słownik wyrazów obcych, PWN, Warszawa 1995.

[2] MIKOŁAJCZAK P., Język C – podstawy programowania, UMCS, Lublin 2011.

[3] M^IELCZAREKW., USB – uniwersalny interfejs szeregowy, Helion, Gliwice 2005.

[4] S^CAMBRAYJ., MCCLURE S., KURTZ G., Hacking Exposed: Network Security Secrets & Solutions, McGraw Hill, Berkeley 1999.

[5] S^CAMBRAYJ., MCCLURE S., KURTZ G., Hacking Exposed: Network Security Secrets & Solutions 7^th edition, McGraw Hill, Berkeley 2012.

[6] S^CAMBRAYJ., MCCLURE S., Windows 2000 (Hacking Exposed), McGraw Hill, Berkeley 2001.

[7] S^CAMBRAYJ.,MCCLURE S., Hacking Exposed Windows 3^rd Edition, McGraw Hill, Berkeley 2008.

[8] A^LLENL., Advanced Penetration Testing for Highly-Secured Environments, Packt Publ. Ltd., Birmingham 2012.

[9] K^LEVINSKYT.J.,LALIBERTE S.,GUPTA A., Security through Penetration Testing, Addison Wesley, Birmingham 2002.

[10] ENGEBRETSON P., The Basics of Hacking and Penetration Testing, Syngress Press, Waltham 2011.

[11] VM^WARECORP., Using VMware Workstation, VMware Inc., Palo Alto 2014.

[12] K^LEIND.V.,“Foilling the Cracker”: A Survey of, and Improvements to, Password Security, [in:] Proceedings of the USENIX Second Security Workshop, Portland, Oregon 1990.