Wybrane problemy bezpieczeństwa w systemach IT.

Transkrypt

1 Wybrane problemy bezpieczeństwa w systemach IT. Kraków r. Michał Sajdak, CISSP

2 O prelegencie Michał Sajdak Na co dzień prowadzę: Szkolenia testy penetracyjne

3 O prezentacji Wybrane problemy bezpieczeństwa w systemach IT Mini LAB Jak się chronić? Wszystkie informacje prezentowane są jedynie w celach edukacyjnych Proszę nie testować na systemach IT bez oficjalnego pozwolenia właściciela

4 Wybrane problemy Największy problem z bezpieczeństwem Nie wiemy nic o naszym systemie IT Czy był / jest atakowany? Czy ataki były skuteczne? Jeśli tak, to czym skutkowały? Czy znamy podatności (słabości) naszego systemu?

5 Wybrane problemy Domyślne hasła w systemach Switche/routery Drukarki/faxy/skanery Serwery aplikacyjne, bazy danych Aplikacje Po co stosować zaawansowane ataki?

6 Wybrane problemy Słabe hasła Używanie tych samych haseł w różnych systemach Case Włamanie do jednej aplikacji dostępnej publicznie Pobranie haseł wykorzystanie tych samych haseł do wewnętrznych systemów Crackery oparte o GPU Np.: hashcat, ighashgpu

7 ighashgpu

8 Wybrane problemy Inny case Około przejętych urządzeń sieciowych Wykorzystywany problem: domyślne hasła

9 Wybrane problemy Traktowanie części systemu IT jako czarną skrzynkę, której bezpieczeństwo delegujemy dalej Przykład: aplikacje Przykład: nietypowe urządzenie sieciowe Inne nietypowe przykłady na:

10 Wybrane problemy Domyślna konfiguracja urządzeń / aplikacji Przykład: switche i możliwość ataków MiTM w LAN Historycznie, urządzenia w LAN projektowane były z myślą o wydajności, nie bezpieczeństwie STP, VTP, DTP, HSRP,

11 Wybrane problemy Na marginesie Hardware is the new Software Prezentacja z konferencji BlackHat Dużo problemów teoretycznie czysto hardwareowych okazuje się problemami softwareowymi BlackHat: Hackowanie baterii do MAC-a Hackowanie pomp insulinowych Hackowanie telewizorów WiFi fuzzing

12 Wybrane problemy Oprogramowanie instalowane nie z paczki systemowej Przykład: Acrobat Reader, Flash, SCCM, SCUP Przykład: konkretna wersja bazy danych Przykład: konkretna wersja silnika CMS wykorzystanego do budowy portalu www Przykład: infrastruktura Blackberry Jak wyglądają aktualizacje takiego oprogramowania?

13 Wybrane problemy Oprogramowanie instalowane nie z paczki systemowej W momencie wdrożenia X jesteśmy bezpieczni Ale co może się wydarzyć w czasie X + np. rok? bugtraq secunia.com cve.mitre.org

14 Wybrane problemy Aplikacje www jeden wielki problem bezpieczeństwa ;-) Web jest wszędzie Badania twórcy nmap: port 80 TCP najpopularniejszą usługą w Internecie

15 Wybrane problemy Aplikacje www SQL injection XSS Listopad 2011, Steam: dostęp do danych 35 milionów kont OS command execution Cały czas niska świadomość problemów bezpieczeństwa w aplikacjach

16 Wybrane problemy Socjotechnika Najprostszy test: Wysyłam maile do pracowników z prośbą o zmianę hasła w wewnętrznym systemie Inny przykład: Zostawiam pendrive z odpowiednio przygotowanym malware Wsparcie oferuje np.: metasploit

17 Wybrane problemy Inne problemy z pracownikami: Słabe hasła (o tym już mówiliśmy) Przenoszenie poufnych danych Co z laptopami? Praca z wysokimi uprawnieniami (Administrator) Niskie restrykcje dla dostępu przez VPN Brak aktualizacji na komputerach

18 W jaki sposób się chronić? Testy penetracyjne Zlecenie ataku na system IT (w kontrolowany sposób, taki atak nie wywołuje negatywnych skutków, np. nie powoduje wycieku danych) Aby zweryfikować realną odporność systemu na ataki, najlepiej go realnie zaatakować

19 W jaki sposób się chronić? Analiza ryzyka / zarządzanie ryzykiem Mechanizmy umożliwiające racjonalne podejście do problemów bezpieczeństwa Między innymi racjonalnie przydzielać budżety Pierwszy pytanie: czy analiza ryzyka / zarządzanie ryzykiem przyniosły pozytywny efekt?

20 W jaki sposób się chronić? Monitorowanie bezpieczeństwa IT Aktywne Pasywne Przykład: przeglądanie logów firewalla to nie jest jedyny sposób monitoringu

21 W jaki sposób się chronić? Monitorowanie bezpieczeństwa IT przykład Snort & snorby System klasy Network IDS Graficzny analizator wyników

22 W jaki sposób się chronić?

23 W jaki sposób się chronić? Podnoszenie świadomości Pracowników technicznych / nietechnicznych

24 W jaki sposób się chronić? Przydatne materiały Bezpieczeństwo infrastruktury ok. 64 dokumentów Systemy operacyjne, bazy danych, urządzenia, Bezpieczeństwo aplikacji webowych: OWASP Top Ten Publikacje nist 800. Np. bezpieczeństwo WiFi, telefonów,

25 W jaki sposób się chronić? Przydatne materiały Penetration Test Framework (PTF) - One-stop reference for Pen Testers Open Source Security Testing Methodology Manual

26 W jaki sposób się chronić? Przydatne materiały Książki (umiarkowanie techniczne) The Failure of Risk Management: Why It's Broken and How to Fix It The Basics of Hacking and Penetration Testing: Ethical Hacking and Penetration Testing Made Easy Professional Penetration Testing: Creating and Operating a Formal Hacking Lab

27 W jaki sposób się chronić? Przydatne materiały Książki (techniczne) Counter Hack Reloaded The Tao of Network Security Monitoring: Beyond Intrusion Detection Network Security Architectures The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws

28 W jaki sposób się chronić? Przydatne materiały Narzędzia Ogólne skanowanie podatności Nessus Vulnerability Scanner OpenVAS Infrastruktura web Acunetix / Appscan / Burp Suite Pro W3AF Zaawansowane narzędzia testy penetracyjne Core Impact CANVAS Metasploit

29 W jaki sposób się chronić? Pytania? Zachęcam do odwiedzania securitum.pl I like na facebooku W szczególności sekcja: Publikacje Jeśli ktoś chciałby uczestniczyć w szkoleniu? Proszę o kontakt

30 Mini LAB Podsłuchiwanie telefonów IP przechwycenie komunikacji zdekodowanie odsłuchanie jak się zabezpieczyć? Wybrany atak na VPN Zdalne wydobycie hasła PSK z koncentratora VPN

31 Mini LAB Atak na infrastrukturę WWW Nieautoryzowany dostęp do bazy danych Jak się zabezpieczyć? Atak na urządzenie sieciowe Często urządzenia sieciowe traktuje się jako czarne skrzynki Jak się zabezpieczyć? Atak socjotechniczny Jak się zabezpieczyć?