z testów penetracyjnych

Transkrypt

1 SECURE / 2012 Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyborowego zespołu nad automatycznymi narzędziami Borys Łącki

2 Borys Łącki testy penetracyjne, audyty, szkolenia, konsultacje logicaltrust.net, ISEC Security Research ~ 5 lat blogowania o cyberprzestępstwach Prelekcje: Internet Banking Security, ISSA, Securecon, SEConference, SekIT, PTI, Open Source Security, PLNOG, Software Freedom Day, Pingwinaria, Grill IT ( )

3 Test penetracyjny Proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń - Wikipedia

4 Skuteczny test penetracyjny Jedynym ograniczeniem jest Twoja wyobraźnia* * - wiedza + doświadczenie + kreatywność

5 Asymetrie i motywacje Dobry specjalista od defensywy musi być przede wszystkim specjalistą od ofensywy nieosiągalne w warunkach organizacji Występuje asymetria domen i wiedzy Strona defensywna musi zajmować się wszystkimi zasobami pod swoją jurysdykcją i martwić się o inne jurysdykcje Intruz szuka najkrótszej drogi do systemu, wybierając najsłabsze ogniwo często zasób poza zasięgiem atakowanej organizacji

6 Teza

7 Złożoność systemów Odmienne: Systemy operacyjne, platformy Rozwiązania Aplikacje Potrzeby biznesowe Wymagania prawne Dostawcy oprogramowania Wewnętrzni Zewnętrzni Cloud Out of box (...)

8 Skanery automatyczne

9

10

11

12 Podatności

13 Nietuzinkowe przypadki... nietuzinkowy wyróżniający się spośród ogółu, rzadko spotykany

14 SMTP box Moduł antispam 0day Identyfikacja podatności w komponencie dekompresującym załączniki do poczty Atak directory traversal:../../../../inny_katalog/dowolna nazwa Manipulacja mechanizmem autoryzacji webmail poprzez wstrzyknięcie plików sesji Błędy w konfiguracji oprogramowania Owned

15 Past Google Code Injection Google zaindeksowało incydent bezpieczeństwa Snapshot listy procesów, katalogów, zawartości plików Dane uwierzytelniające zapisane w aplikacji Dostęp do kodów źródłowych aplikacji Analiza kodów źródłowych Wykrycie podatności Owned

16 Scary Movie Szczegółowa analiza treści serwisów WWW Poklatkowa analiza filmu reklamowego Zrzut ekranów platformy programistycznej Dostęp do chronionych zasobów Profilowane słowniki haseł Code execution Owned

17 SQL Injection %0a blind SQL injection URL Rewrite blind SQL injection aplikacja.swf blind SQL injection potwierdzenie rejestracji one shot injection login/pass auth + SQL injection

18 XSS Brak wykrytych podatności krytycznych Blind XSS Uruchomienie kodu JS Uzyskanie dostępu do BOK SQL Injection Eskalacja uprawnień Owned

19 VoIP Phishing Dostęp do panelu centrali telefonicznej 0-day Zestawienie tuneli VoIP do centrali firmy Telefon do pracowników z numeru wewnętrznego Eskalacja uprawnień wewnątrz sieci Owned

20 Bug tracking Podatność uzyskanie loginów Profilowane słowniki haseł Uzyskanie dostępu do systemu śledzenia błędów Zakup domeny bliźniaczo podobnej do producenta oprogramowania Utworzenie fałszywej strony z poprawką Utworzenie zgłoszenia o ważnej aktualizacji Owned

21 ?

22 Ochrona Polityka haseł Aktualizacje systemów i aplikacji Edukacja użytkowników, szkolenia Segmentacja sieci Testy penetracyjne Ograniczenia kont Aplikacje bezpieczeństwa na hostach: AV, FV, (DEP, ASLR,...)

23 Ochrona Używanie przeglądarek WWW oraz aplikacji z opcją Sandbox Migracja do nowych OS - Windows Vista, 7 Dwustopniowe uwierzytelnianie Dezaktywacja funkcjonalności Firewall (Ipv6) Filtry zawartości WWW (in/out) / IDS, IPS Porządek OS, Sieć, Urządzenia - dokumentacja Wi-Fi Komunikacja z zewnętrznymi podmiotami / Dział bezpieczeństwa Centralne, zsynchronizowane logowanie Zarządzanie fizycznym dostępem Urządzenia przenośne / Full Disk Encryption Backup / Disaster Recovery Plan Data Loss Prevention

24 Dziękuję za uwagę Pytania?