Wybrane problemy bezpieczeństwa w systemach IT.



Podobne dokumenty
SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Agenda. Quo vadis, security? Artur Maj, Prevenity

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Portal Security - ModSec Enterprise

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

Badanie bezpieczeństwa infrastruktury sieciowej

WARSZTAT (ETHICAL) HACKERA

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Audyty bezpieczeństwa i zgodności oprogramowania Leszek Miś RHC{A,SS,X} Linux Polska Sp. z o.o.

Bezpieczeństwo IT Audyty bezpieczeństwa i testy penetracyjne

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

9:45 Powitanie. 12:30 13:00 Lunch

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Jak bezpieczne są Twoje dane w Internecie?

WARSZTAT (ETHICAL) HACKERA

Bezpieczeństwo usług na przykładzie VoIP

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

JAK DOTRZYMAĆ KROKU HAKEROM. Tomasz Zawicki, Passus

Wybrane ataki na urządzenia sieciowe Secure Michał Sajdak, Securitum sekurak.pl

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

BEZPIECZEŃSTWO W SIECIACH

POLITYKA E-BEZPIECZEŃSTWA

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Gdzie czyha niebezpieczeństwo i czego się boimy? Tomasz Zawicki, Passus

Skanowanie podatności systemów informatycznych

24/10/2011 Norma bezpieczeństwa PCI DSS. Korzyści i problemy implementacji. 1

OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM

Podstawy bezpieczeństwa

Opis Przedmiotu Zamówienia

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

ANALITYK BEZPIECZEŃSTWA IT

Bezpieczeństwo IT w środowisku uczelni

Testy penetracyjne Metasploit Framework (MSF) Metody penetracji. Arkadiusz Talarczyk. 18 marca 2014

Sieci bezprzewodowe WiFi

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

! Retina. Wyłączny dystrybutor w Polsce

Szczegółowy opis przedmiotu zamówienia:

PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)

Robaki sieciowe. + systemy IDS/IPS

Bezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP The OWASP Foundation

Sharpdesk Najważniejsze informacje

z testów penetracyjnych

Nazwa usługi. Usługa nie obejmuje: Telefonii VOIP telefonii PSTN Stanowiska pracy nie związanego z IT (akcesoria biurowe)

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Laboratorium nr 1 Skanowanie sieci i ataki aktywne

Audyty bezpieczeństwa dla samorządów i firm. Gerard Frankowski, Zespół Bezpieczeństwa PCSS

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Wybrane problemy bezpieczeństwa w urządzeniach sieciowych SEConference Michał Sajdak, Securitum sekurak.pl

oprogramowania F-Secure

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP The OWASP Foundation

Wstęp do Microsoft Forefront. Jakub Januszewski Technology Adviser - Security Microsoft

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

OWASP OWASP. The OWASP Foundation Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek

Administratorzy kontrolują systemy IT, a kto kontroluje administratorów?

Ochrona biznesu w cyfrowej transformacji

Application Security Verification Standard. Wojciech Dworakowski, SecuRing

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS

Metody ochrony przed zaawansowanymi cyberatakami

Wymagania systemowe. Wersja dokumentacji 1.12 /

7. zainstalowane oprogramowanie zarządzane stacje robocze

9. System wykrywania i blokowania włamań ASQ (IPS)

Metody ataków sieciowych

Zarządzanie bezpieczeństwem w sieciach dr inż. Robert Banasiak, mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ, 2013

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Metody zabezpieczania transmisji w sieci Ethernet

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

17-18 listopada, Warszawa

CYBEROAM Unified Treatment Management, Next Generation Firewall

Polityka Bezpieczeństwa ochrony danych osobowych

Praca w branŝy Information Security w Polsce, Europie, Azji i Ameryce Północnej, zarobki i moŝliwości rozwoju

BEZPIECZNY BIZNES GDZIEKOLWIEK CIĘ ZAPROWADZI. Protection Service for Business

Narzędzia OWASP dla developerów OWASP ESAPI & AppSensor OWASP The OWASP Foundation

OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Zdobywanie fortecy bez wyważania drzwi.

Open(Source) Web Application Security Project

OCHRONA PRZED RANSOMWARE

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

BDG.V PC Warszawa, dnia r.

CENTRUM OPROGRAMOWANIA

Ataki socjotechniczne prawda czy fikcja? Jak się przed nimi bronić?

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Kompleksowe Przygotowanie do Egzaminu CISMP

Bezpieczeństwo dziś i jutro Security InsideOut

Wykład 8. Temat: Hakerzy, wirusy i inne niebezpieczeństwa. Politechnika Gdańska, Inżynieria Biomedyczna. Przedmiot:

Bezpieczeństwo systemów SCADA oraz AMI

Marek Krauze

Bezpieczeństwo w sieci.

Kto kontroluje twój modem?

Webapplication Security Pentest Service

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Wprowadzenie do zagadnień związanych z firewallingiem

Transkrypt:

Wybrane problemy bezpieczeństwa w systemach IT. Kraków 21.04.2012r. Michał Sajdak, CISSP www.securitum.pl

O prelegencie Michał Sajdak Na co dzień prowadzę: Szkolenia www.securitum.pl/oferta/szkolenia/ testy penetracyjne

O prezentacji Wybrane problemy bezpieczeństwa w systemach IT Mini LAB Jak się chronić? Wszystkie informacje prezentowane są jedynie w celach edukacyjnych Proszę nie testować na systemach IT bez oficjalnego pozwolenia właściciela

Wybrane problemy Największy problem z bezpieczeństwem Nie wiemy nic o naszym systemie IT Czy był / jest atakowany? Czy ataki były skuteczne? Jeśli tak, to czym skutkowały? Czy znamy podatności (słabości) naszego systemu?

Wybrane problemy Domyślne hasła w systemach Switche/routery Drukarki/faxy/skanery Serwery aplikacyjne, bazy danych Aplikacje Po co stosować zaawansowane ataki?

Wybrane problemy Słabe hasła Używanie tych samych haseł w różnych systemach Case Włamanie do jednej aplikacji dostępnej publicznie Pobranie haseł wykorzystanie tych samych haseł do wewnętrznych systemów Crackery oparte o GPU Np.: hashcat, ighashgpu

ighashgpu

Wybrane problemy Inny case http://en.wikipedia.org/wiki/psyb0t Około 100.000 przejętych urządzeń sieciowych Wykorzystywany problem: domyślne hasła

Wybrane problemy Traktowanie części systemu IT jako czarną skrzynkę, której bezpieczeństwo delegujemy dalej Przykład: aplikacje Przykład: nietypowe urządzenie sieciowe Inne nietypowe przykłady na: www.securitum.pl/dh/

Wybrane problemy Domyślna konfiguracja urządzeń / aplikacji Przykład: switche i możliwość ataków MiTM w LAN Historycznie, urządzenia w LAN projektowane były z myślą o wydajności, nie bezpieczeństwie STP, VTP, DTP, HSRP, http://www.yersinia.net/attacks.htm

Wybrane problemy Na marginesie Hardware is the new Software Prezentacja z konferencji BlackHat Dużo problemów teoretycznie czysto hardwareowych okazuje się problemami softwareowymi BlackHat: Hackowanie baterii do MAC-a Hackowanie pomp insulinowych Hackowanie telewizorów WiFi fuzzing

Wybrane problemy Oprogramowanie instalowane nie z paczki systemowej Przykład: Acrobat Reader, Flash, SCCM, SCUP Przykład: konkretna wersja bazy danych Przykład: konkretna wersja silnika CMS wykorzystanego do budowy portalu www Przykład: infrastruktura Blackberry Jak wyglądają aktualizacje takiego oprogramowania?

Wybrane problemy Oprogramowanie instalowane nie z paczki systemowej W momencie wdrożenia X jesteśmy bezpieczni Ale co może się wydarzyć w czasie X + np. rok? bugtraq secunia.com cve.mitre.org

Wybrane problemy Aplikacje www jeden wielki problem bezpieczeństwa ;-) Web jest wszędzie Badania twórcy nmap: port 80 TCP najpopularniejszą usługą w Internecie

Wybrane problemy Aplikacje www SQL injection XSS Listopad 2011, Steam: dostęp do danych 35 milionów kont OS command execution Cały czas niska świadomość problemów bezpieczeństwa w aplikacjach

Wybrane problemy Socjotechnika Najprostszy test: Wysyłam maile do pracowników z prośbą o zmianę hasła w wewnętrznym systemie Inny przykład: Zostawiam pendrive z odpowiednio przygotowanym malware Wsparcie oferuje np.: metasploit

Wybrane problemy Inne problemy z pracownikami: Słabe hasła (o tym już mówiliśmy) Przenoszenie poufnych danych Co z laptopami? Praca z wysokimi uprawnieniami (Administrator) Niskie restrykcje dla dostępu przez VPN Brak aktualizacji na komputerach

W jaki sposób się chronić? Testy penetracyjne Zlecenie ataku na system IT (w kontrolowany sposób, taki atak nie wywołuje negatywnych skutków, np. nie powoduje wycieku danych) Aby zweryfikować realną odporność systemu na ataki, najlepiej go realnie zaatakować

W jaki sposób się chronić? Analiza ryzyka / zarządzanie ryzykiem Mechanizmy umożliwiające racjonalne podejście do problemów bezpieczeństwa Między innymi racjonalnie przydzielać budżety Pierwszy pytanie: czy analiza ryzyka / zarządzanie ryzykiem przyniosły pozytywny efekt?

W jaki sposób się chronić? Monitorowanie bezpieczeństwa IT Aktywne Pasywne Przykład: przeglądanie logów firewalla to nie jest jedyny sposób monitoringu

W jaki sposób się chronić? Monitorowanie bezpieczeństwa IT przykład Snort & snorby http://www.snort.org/ System klasy Network IDS http://snorby.org/ Graficzny analizator wyników

W jaki sposób się chronić?

W jaki sposób się chronić? Podnoszenie świadomości Pracowników technicznych / nietechnicznych

W jaki sposób się chronić? Przydatne materiały http://benchmarks.cisecurity.org/ Bezpieczeństwo infrastruktury ok. 64 dokumentów Systemy operacyjne, bazy danych, urządzenia, https://www.owasp.org/ Bezpieczeństwo aplikacji webowych: OWASP Top Ten http://csrc.nist.gov/publications/pubssps.html Publikacje nist 800. Np. bezpieczeństwo WiFi, telefonów,

W jaki sposób się chronić? Przydatne materiały http://www.vulnerabilityassessment.co.uk/ Penetration Test Framework (PTF) - One-stop reference for Pen Testers http://www.isecom.org/osstmm/ Open Source Security Testing Methodology Manual

W jaki sposób się chronić? Przydatne materiały Książki (umiarkowanie techniczne) The Failure of Risk Management: Why It's Broken and How to Fix It The Basics of Hacking and Penetration Testing: Ethical Hacking and Penetration Testing Made Easy Professional Penetration Testing: Creating and Operating a Formal Hacking Lab

W jaki sposób się chronić? Przydatne materiały Książki (techniczne) Counter Hack Reloaded The Tao of Network Security Monitoring: Beyond Intrusion Detection Network Security Architectures The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws

W jaki sposób się chronić? Przydatne materiały Narzędzia Ogólne skanowanie podatności Nessus Vulnerability Scanner OpenVAS Infrastruktura web Acunetix / Appscan / Burp Suite Pro W3AF Zaawansowane narzędzia testy penetracyjne Core Impact CANVAS Metasploit

W jaki sposób się chronić? Pytania? michal.sajdak@securitum.pl Zachęcam do odwiedzania securitum.pl I like na facebooku W szczególności sekcja: Publikacje Jeśli ktoś chciałby uczestniczyć w szkoleniu? www.securitum.pl/oferta/szkolenia Proszę o kontakt

Mini LAB Podsłuchiwanie telefonów IP przechwycenie komunikacji zdekodowanie odsłuchanie jak się zabezpieczyć? Wybrany atak na VPN Zdalne wydobycie hasła PSK z koncentratora VPN

Mini LAB Atak na infrastrukturę WWW Nieautoryzowany dostęp do bazy danych Jak się zabezpieczyć? Atak na urządzenie sieciowe Często urządzenia sieciowe traktuje się jako czarne skrzynki Jak się zabezpieczyć? Atak socjotechniczny Jak się zabezpieczyć?