Wybrane problemy bezpieczeństwa w systemach IT. Kraków 21.04.2012r. Michał Sajdak, CISSP www.securitum.pl
O prelegencie Michał Sajdak Na co dzień prowadzę: Szkolenia www.securitum.pl/oferta/szkolenia/ testy penetracyjne
O prezentacji Wybrane problemy bezpieczeństwa w systemach IT Mini LAB Jak się chronić? Wszystkie informacje prezentowane są jedynie w celach edukacyjnych Proszę nie testować na systemach IT bez oficjalnego pozwolenia właściciela
Wybrane problemy Największy problem z bezpieczeństwem Nie wiemy nic o naszym systemie IT Czy był / jest atakowany? Czy ataki były skuteczne? Jeśli tak, to czym skutkowały? Czy znamy podatności (słabości) naszego systemu?
Wybrane problemy Domyślne hasła w systemach Switche/routery Drukarki/faxy/skanery Serwery aplikacyjne, bazy danych Aplikacje Po co stosować zaawansowane ataki?
Wybrane problemy Słabe hasła Używanie tych samych haseł w różnych systemach Case Włamanie do jednej aplikacji dostępnej publicznie Pobranie haseł wykorzystanie tych samych haseł do wewnętrznych systemów Crackery oparte o GPU Np.: hashcat, ighashgpu
ighashgpu
Wybrane problemy Inny case http://en.wikipedia.org/wiki/psyb0t Około 100.000 przejętych urządzeń sieciowych Wykorzystywany problem: domyślne hasła
Wybrane problemy Traktowanie części systemu IT jako czarną skrzynkę, której bezpieczeństwo delegujemy dalej Przykład: aplikacje Przykład: nietypowe urządzenie sieciowe Inne nietypowe przykłady na: www.securitum.pl/dh/
Wybrane problemy Domyślna konfiguracja urządzeń / aplikacji Przykład: switche i możliwość ataków MiTM w LAN Historycznie, urządzenia w LAN projektowane były z myślą o wydajności, nie bezpieczeństwie STP, VTP, DTP, HSRP, http://www.yersinia.net/attacks.htm
Wybrane problemy Na marginesie Hardware is the new Software Prezentacja z konferencji BlackHat Dużo problemów teoretycznie czysto hardwareowych okazuje się problemami softwareowymi BlackHat: Hackowanie baterii do MAC-a Hackowanie pomp insulinowych Hackowanie telewizorów WiFi fuzzing
Wybrane problemy Oprogramowanie instalowane nie z paczki systemowej Przykład: Acrobat Reader, Flash, SCCM, SCUP Przykład: konkretna wersja bazy danych Przykład: konkretna wersja silnika CMS wykorzystanego do budowy portalu www Przykład: infrastruktura Blackberry Jak wyglądają aktualizacje takiego oprogramowania?
Wybrane problemy Oprogramowanie instalowane nie z paczki systemowej W momencie wdrożenia X jesteśmy bezpieczni Ale co może się wydarzyć w czasie X + np. rok? bugtraq secunia.com cve.mitre.org
Wybrane problemy Aplikacje www jeden wielki problem bezpieczeństwa ;-) Web jest wszędzie Badania twórcy nmap: port 80 TCP najpopularniejszą usługą w Internecie
Wybrane problemy Aplikacje www SQL injection XSS Listopad 2011, Steam: dostęp do danych 35 milionów kont OS command execution Cały czas niska świadomość problemów bezpieczeństwa w aplikacjach
Wybrane problemy Socjotechnika Najprostszy test: Wysyłam maile do pracowników z prośbą o zmianę hasła w wewnętrznym systemie Inny przykład: Zostawiam pendrive z odpowiednio przygotowanym malware Wsparcie oferuje np.: metasploit
Wybrane problemy Inne problemy z pracownikami: Słabe hasła (o tym już mówiliśmy) Przenoszenie poufnych danych Co z laptopami? Praca z wysokimi uprawnieniami (Administrator) Niskie restrykcje dla dostępu przez VPN Brak aktualizacji na komputerach
W jaki sposób się chronić? Testy penetracyjne Zlecenie ataku na system IT (w kontrolowany sposób, taki atak nie wywołuje negatywnych skutków, np. nie powoduje wycieku danych) Aby zweryfikować realną odporność systemu na ataki, najlepiej go realnie zaatakować
W jaki sposób się chronić? Analiza ryzyka / zarządzanie ryzykiem Mechanizmy umożliwiające racjonalne podejście do problemów bezpieczeństwa Między innymi racjonalnie przydzielać budżety Pierwszy pytanie: czy analiza ryzyka / zarządzanie ryzykiem przyniosły pozytywny efekt?
W jaki sposób się chronić? Monitorowanie bezpieczeństwa IT Aktywne Pasywne Przykład: przeglądanie logów firewalla to nie jest jedyny sposób monitoringu
W jaki sposób się chronić? Monitorowanie bezpieczeństwa IT przykład Snort & snorby http://www.snort.org/ System klasy Network IDS http://snorby.org/ Graficzny analizator wyników
W jaki sposób się chronić?
W jaki sposób się chronić? Podnoszenie świadomości Pracowników technicznych / nietechnicznych
W jaki sposób się chronić? Przydatne materiały http://benchmarks.cisecurity.org/ Bezpieczeństwo infrastruktury ok. 64 dokumentów Systemy operacyjne, bazy danych, urządzenia, https://www.owasp.org/ Bezpieczeństwo aplikacji webowych: OWASP Top Ten http://csrc.nist.gov/publications/pubssps.html Publikacje nist 800. Np. bezpieczeństwo WiFi, telefonów,
W jaki sposób się chronić? Przydatne materiały http://www.vulnerabilityassessment.co.uk/ Penetration Test Framework (PTF) - One-stop reference for Pen Testers http://www.isecom.org/osstmm/ Open Source Security Testing Methodology Manual
W jaki sposób się chronić? Przydatne materiały Książki (umiarkowanie techniczne) The Failure of Risk Management: Why It's Broken and How to Fix It The Basics of Hacking and Penetration Testing: Ethical Hacking and Penetration Testing Made Easy Professional Penetration Testing: Creating and Operating a Formal Hacking Lab
W jaki sposób się chronić? Przydatne materiały Książki (techniczne) Counter Hack Reloaded The Tao of Network Security Monitoring: Beyond Intrusion Detection Network Security Architectures The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws
W jaki sposób się chronić? Przydatne materiały Narzędzia Ogólne skanowanie podatności Nessus Vulnerability Scanner OpenVAS Infrastruktura web Acunetix / Appscan / Burp Suite Pro W3AF Zaawansowane narzędzia testy penetracyjne Core Impact CANVAS Metasploit
W jaki sposób się chronić? Pytania? michal.sajdak@securitum.pl Zachęcam do odwiedzania securitum.pl I like na facebooku W szczególności sekcja: Publikacje Jeśli ktoś chciałby uczestniczyć w szkoleniu? www.securitum.pl/oferta/szkolenia Proszę o kontakt
Mini LAB Podsłuchiwanie telefonów IP przechwycenie komunikacji zdekodowanie odsłuchanie jak się zabezpieczyć? Wybrany atak na VPN Zdalne wydobycie hasła PSK z koncentratora VPN
Mini LAB Atak na infrastrukturę WWW Nieautoryzowany dostęp do bazy danych Jak się zabezpieczyć? Atak na urządzenie sieciowe Często urządzenia sieciowe traktuje się jako czarne skrzynki Jak się zabezpieczyć? Atak socjotechniczny Jak się zabezpieczyć?