nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyborowego zespołu nad...
DESCRIPTION
http://secure.edu.pl http://virtualstudy.pl Prezentacja z konferencji SECURE 2012 oraz VirtualStudy.plTRANSCRIPT
2013.03.26
Nietuzinkowe przypadki
z testów penetracyjnych
czyli historia o wyższości wyborowego
zespołu nad automatycznymi
narzędziami
Borys Łącki
02 28
Borys Łącki testy penetracyjne, audyty, szkolenia, konsultacje
logicaltrust.net, ISEC Security Research
www.bothunters.pl ~ 5 lat blogowania o cyberprzestępstwach
Prelekcje: Secure, Internet Banking Security, ISSA, Securecon, SEConference, SekIT, PTI, Open Source Security, PLNOG, Software Freedom Day, Pingwinaria, Grill IT (…)
http://www.goldenline.pl/borys-lacki
03 28
Test penetracyjny
„Proces polegający na przeprowadzeniu
kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną
ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności
znanych podatności i odporności na próby
przełamania zabezpieczeń” - Wikipedia
04 28
Skuteczny test penetracyjny
„Jedynym ograniczeniem jest Twoja wyobraźnia*”
* - wiedza + doświadczenie + kreatywność
05 28
Asymetrie i motywacje Dobry specjalista od defensywy musi być przede wszystkim specjalistą
od ofensywy – nieosiągalne w warunkach organizacji
Występuje asymetria domen i wiedzy
Strona defensywna musi zajmować się wszystkimi zasobami pod swoją
jurysdykcją i martwić się o inne jurysdykcje
Intruz szuka najkrótszej drogi do systemu, wybierając najsłabsze ogniwo – często
zasób poza zasięgiem atakowanej organizacji
06 28
Teza
07 28
Złożoność systemów Odmienne:
Systemy operacyjne, platformy
Rozwiązania
Aplikacje
Potrzeby biznesowe
Wymagania prawne
Dostawcy oprogramowania
Wewnętrzni
Zewnętrzni
Cloud
Out of box
08 28
Skanery automatyczne
09 28
Podatności
13 28
Nietuzinkowe przypadki...
nietuzinkowy
wyróżniający się spośród ogółu, rzadko spotykany
14 28
SMTP box
Moduł antispam – 0day
Identyfikacja podatności w komponencie dekompresującym załączniki do poczty
Atak directory traversal: ../../../../inny_katalog/dowolna nazwa
Manipulacja mechanizmem autoryzacji webmail poprzez wstrzyknięcie plików sesji
Błędy w konfiguracji oprogramowania
Owned
15 28
Past Google Code Injection
Google zaindeksowało incydent bezpieczeństwa
Snapshot listy procesów, katalogów, zawartości plików
Dane uwierzytelniające zapisane w aplikacji
Dostęp do kodów źródłowych aplikacji
Analiza kodów źródłowych
Wykrycie podatności
Owned
16 28
Past Google Code Injection
17 28
Scary Movie
Szczegółowa analiza treści serwisów WWW
Poklatkowa analiza filmu reklamowego
Zrzut ekranów platformy programistycznej
Dostęp do chronionych zasobów
Profilowane słowniki haseł
Code execution
Owned
18 28
http://www.youtube.com/watch?&v=nKlu9yen5nc
What most schools don't teach - 10 009 861
19 28
SQL Injection
%0a – blind SQL injection
URL Rewrite – blind SQL injection
aplikacja.SWF – blind SQL injection
potwierdzenie rejestracji – one shot injection
login/pass – auth + SQL injection
20 28
XSS – Cross Site Scripting
Brak wykrytych podatności krytycznych
Blind XSS
Uruchomienie kodu JS
Uzyskanie dostępu do BOK
SQL Injection
Eskalacja uprawnień
Owned
21 28
22 28
VoIP
Phishing
Dostęp do panelu centrali telefonicznej – 0-day
Zestawienie tuneli VoIP do centrali firmy
Telefon do pracowników z „numeru wewnętrznego”
Eskalacja uprawnień wewnątrz sieci
Owned
23 28
Bug tracking
Podatność – uzyskanie loginów
Profilowane słowniki haseł
Uzyskanie dostępu do systemu śledzenia błędów
Zakup domeny bliźniaczo podobnej do producenta oprogramowania
Utworzenie fałszywej strony z „poprawką”
Utworzenie zgłoszenia o ważnej aktualizacji
Owned
24 28
?
25 28
Ochrona
Polityka haseł
Aktualizacje systemów i aplikacji
Edukacja użytkowników, szkolenia
Segmentacja sieci
Testy penetracyjne
Ograniczenia kont
Aplikacje bezpieczeństwa na hostach: AV, FV, (DEP, ASLR, ...)
26 28
Ochrona Używanie przeglądarek WWW oraz aplikacji z opcją Sandbox
Migracja do nowych OS - Windows Vista, 7
Dwustopniowe uwierzytelnianie
Dezaktywacja funkcjonalności
Firewall (IPv4+IPv6)
Filtry zawartości WWW (in/out) / IDS, IPS, DLP
Porządek – OS, Sieć, Urządzenia - dokumentacja
Wi-Fi
Komunikacja z zewnętrznymi podmiotami / Dział bezpieczeństwa
Centralne, zsynchronizowane logowanie
Zarządzanie fizycznym dostępem
Urządzenia przenośne / Full Disk Encryption
Backup / Disaster Recovery Plan
27 28