2013.03.26

Nietuzinkowe przypadki

z testów penetracyjnych

czyli historia o wyższości wyborowego

zespołu nad automatycznymi

narzędziami

Borys Łącki

02 28

Borys Łącki testy penetracyjne, audyty, szkolenia, konsultacje

logicaltrust.net, ISEC Security Research

www.bothunters.pl ~ 5 lat blogowania o cyberprzestępstwach

Prelekcje: Secure, Internet Banking Security, ISSA, Securecon, SEConference, SekIT, PTI, Open Source Security, PLNOG, Software Freedom Day, Pingwinaria, Grill IT (…)

http://www.goldenline.pl/borys-lacki

03 28

Test penetracyjny

„Proces polegający na przeprowadzeniu

kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną

ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności

znanych podatności i odporności na próby

przełamania zabezpieczeń” - Wikipedia

04 28

Skuteczny test penetracyjny

„Jedynym ograniczeniem jest Twoja wyobraźnia*”

* - wiedza + doświadczenie + kreatywność

05 28

Asymetrie i motywacje Dobry specjalista od defensywy musi być przede wszystkim specjalistą

od ofensywy – nieosiągalne w warunkach organizacji

Występuje asymetria domen i wiedzy

Strona defensywna musi zajmować się wszystkimi zasobami pod swoją

jurysdykcją i martwić się o inne jurysdykcje

Intruz szuka najkrótszej drogi do systemu, wybierając najsłabsze ogniwo – często

zasób poza zasięgiem atakowanej organizacji

06 28

Teza

07 28

Złożoność systemów Odmienne:

Systemy operacyjne, platformy

Rozwiązania

Aplikacje

Potrzeby biznesowe

Wymagania prawne

Dostawcy oprogramowania

Wewnętrzni

Zewnętrzni

Cloud

Out of box

08 28

Skanery automatyczne

09 28

Podatności

13 28

Nietuzinkowe przypadki...

nietuzinkowy

wyróżniający się spośród ogółu, rzadko spotykany

14 28

SMTP box

Moduł antispam – 0day

Identyfikacja podatności w komponencie dekompresującym załączniki do poczty

Atak directory traversal: ../../../../inny_katalog/dowolna nazwa

Manipulacja mechanizmem autoryzacji webmail poprzez wstrzyknięcie plików sesji

Błędy w konfiguracji oprogramowania

Owned

15 28

Past Google Code Injection

Google zaindeksowało incydent bezpieczeństwa

Snapshot listy procesów, katalogów, zawartości plików

Dane uwierzytelniające zapisane w aplikacji

Dostęp do kodów źródłowych aplikacji

Analiza kodów źródłowych

Wykrycie podatności

Owned

16 28

Past Google Code Injection

17 28

Scary Movie

Szczegółowa analiza treści serwisów WWW

Poklatkowa analiza filmu reklamowego

Zrzut ekranów platformy programistycznej

Dostęp do chronionych zasobów

Profilowane słowniki haseł

Code execution

Owned

18 28

http://www.youtube.com/watch?&v=nKlu9yen5nc

What most schools don't teach - 10 009 861

19 28

SQL Injection

%0a – blind SQL injection

URL Rewrite – blind SQL injection

aplikacja.SWF – blind SQL injection

potwierdzenie rejestracji – one shot injection

login/pass – auth + SQL injection

20 28

XSS – Cross Site Scripting

Brak wykrytych podatności krytycznych

Blind XSS

Uruchomienie kodu JS

Uzyskanie dostępu do BOK

SQL Injection

Eskalacja uprawnień

Owned

21 28

22 28

VoIP

Phishing

Dostęp do panelu centrali telefonicznej – 0-day

Zestawienie tuneli VoIP do centrali firmy

Telefon do pracowników z „numeru wewnętrznego”

Eskalacja uprawnień wewnątrz sieci

Owned

23 28

Bug tracking

Podatność – uzyskanie loginów

Profilowane słowniki haseł

Uzyskanie dostępu do systemu śledzenia błędów

Zakup domeny bliźniaczo podobnej do producenta oprogramowania

Utworzenie fałszywej strony z „poprawką”

Utworzenie zgłoszenia o ważnej aktualizacji

Owned

24 28

?

25 28

Ochrona

Polityka haseł

Aktualizacje systemów i aplikacji

Edukacja użytkowników, szkolenia

Segmentacja sieci

Testy penetracyjne

Ograniczenia kont

Aplikacje bezpieczeństwa na hostach: AV, FV, (DEP, ASLR, ...)

26 28

Ochrona Używanie przeglądarek WWW oraz aplikacji z opcją Sandbox

Migracja do nowych OS - Windows Vista, 7

Dwustopniowe uwierzytelnianie

Dezaktywacja funkcjonalności

Firewall (IPv4+IPv6)

Filtry zawartości WWW (in/out) / IDS, IPS, DLP

Porządek – OS, Sieć, Urządzenia - dokumentacja

Wi-Fi

Komunikacja z zewnętrznymi podmiotami / Dział bezpieczeństwa

Centralne, zsynchronizowane logowanie

Zarządzanie fizycznym dostępem

Urządzenia przenośne / Full Disk Encryption

Backup / Disaster Recovery Plan

27 28

Pytania? b.lacki@logicaltrust.net