SECURE / 2012 Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyborowego zespołu nad automatycznymi narzędziami Borys Łącki
Borys Łącki testy penetracyjne, audyty, szkolenia, konsultacje logicaltrust.net, ISEC Security Research www.bothunters.pl ~ 5 lat blogowania o cyberprzestępstwach Prelekcje: Internet Banking Security, ISSA, Securecon, SEConference, SekIT, PTI, Open Source Security, PLNOG, Software Freedom Day, Pingwinaria, Grill IT ( ) http://www.goldenline.pl/borys-lacki
Test penetracyjny Proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń - Wikipedia
Skuteczny test penetracyjny Jedynym ograniczeniem jest Twoja wyobraźnia* * - wiedza + doświadczenie + kreatywność
Asymetrie i motywacje Dobry specjalista od defensywy musi być przede wszystkim specjalistą od ofensywy nieosiągalne w warunkach organizacji Występuje asymetria domen i wiedzy Strona defensywna musi zajmować się wszystkimi zasobami pod swoją jurysdykcją i martwić się o inne jurysdykcje Intruz szuka najkrótszej drogi do systemu, wybierając najsłabsze ogniwo często zasób poza zasięgiem atakowanej organizacji
Teza
Złożoność systemów Odmienne: Systemy operacyjne, platformy Rozwiązania Aplikacje Potrzeby biznesowe Wymagania prawne Dostawcy oprogramowania Wewnętrzni Zewnętrzni Cloud Out of box (...)
Skanery automatyczne
Podatności
Nietuzinkowe przypadki... nietuzinkowy wyróżniający się spośród ogółu, rzadko spotykany
SMTP box Moduł antispam 0day Identyfikacja podatności w komponencie dekompresującym załączniki do poczty Atak directory traversal:../../../../inny_katalog/dowolna nazwa Manipulacja mechanizmem autoryzacji webmail poprzez wstrzyknięcie plików sesji Błędy w konfiguracji oprogramowania Owned
Past Google Code Injection Google zaindeksowało incydent bezpieczeństwa Snapshot listy procesów, katalogów, zawartości plików Dane uwierzytelniające zapisane w aplikacji Dostęp do kodów źródłowych aplikacji Analiza kodów źródłowych Wykrycie podatności Owned
Scary Movie Szczegółowa analiza treści serwisów WWW Poklatkowa analiza filmu reklamowego Zrzut ekranów platformy programistycznej Dostęp do chronionych zasobów Profilowane słowniki haseł Code execution Owned
SQL Injection %0a blind SQL injection URL Rewrite blind SQL injection aplikacja.swf blind SQL injection potwierdzenie rejestracji one shot injection login/pass auth + SQL injection
XSS Brak wykrytych podatności krytycznych Blind XSS Uruchomienie kodu JS Uzyskanie dostępu do BOK SQL Injection Eskalacja uprawnień Owned
VoIP Phishing Dostęp do panelu centrali telefonicznej 0-day Zestawienie tuneli VoIP do centrali firmy Telefon do pracowników z numeru wewnętrznego Eskalacja uprawnień wewnątrz sieci Owned
Bug tracking Podatność uzyskanie loginów Profilowane słowniki haseł Uzyskanie dostępu do systemu śledzenia błędów Zakup domeny bliźniaczo podobnej do producenta oprogramowania Utworzenie fałszywej strony z poprawką Utworzenie zgłoszenia o ważnej aktualizacji Owned
?
Ochrona Polityka haseł Aktualizacje systemów i aplikacji Edukacja użytkowników, szkolenia Segmentacja sieci Testy penetracyjne Ograniczenia kont Aplikacje bezpieczeństwa na hostach: AV, FV, (DEP, ASLR,...)
Ochrona Używanie przeglądarek WWW oraz aplikacji z opcją Sandbox Migracja do nowych OS - Windows Vista, 7 Dwustopniowe uwierzytelnianie Dezaktywacja funkcjonalności Firewall (Ipv6) Filtry zawartości WWW (in/out) / IDS, IPS Porządek OS, Sieć, Urządzenia - dokumentacja Wi-Fi Komunikacja z zewnętrznymi podmiotami / Dział bezpieczeństwa Centralne, zsynchronizowane logowanie Zarządzanie fizycznym dostępem Urządzenia przenośne / Full Disk Encryption Backup / Disaster Recovery Plan Data Loss Prevention
Dziękuję za uwagę Pytania? b.lacki@logicaltrust.net www.logicaltrust.net