14.06.2012

1

Penetration Test Hacking Day 2012 – Future Security

Andreas Wisler Dipl. Ing. FH, CISSP, ISO 27001 Lead Auditor, IT-SIBE BSI, MCITP

Agenda

• Aktuelle Situation

• Informationen

• Vorgehen / Durchführung

• Hilfsmittel

• Ergebnisse, Schwachstellen

• Fazit

14.06.2012

2

Aktuelle Situation

• BSI Lagebericht 2011

– Gefährdungstrends

Aktuelle Situation

• BSI Lagebericht 2011

– Bot-Netze

14.06.2012

3

Aktuelle Situation

• BSI Lagebericht 2011

– Spam-Entwicklung

Ausschaltung

Rustock-Botnetz

zZ bei 80%

Virenflut

2010: 55’000 neue Schädlinge pro Tag

14.06.2012

4

Virenflut : Suisa Skimming

• Massive Zunahme, auch in der Schweiz

14.06.2012

5

Skimming Aktuelle Situation

• 13.06.12 erneut massive RDP Lücke, Patch vorhanden, noch kein Exploit

• Anfang Juni 12 Userdaten von Last.fm, eHarmony, LinkedIn (und weitere) gestohlen

• 07.06.12 Spionage-Trojaner: So missbrauchte Flame die MS Updatefunktion

• 05.06.12 Adobe schliesst kritische Sicherheitslücken in Photoshop und Illustrator CS5

(aber erst auf Druck der User)

• 01.06.12 Stuxnet war Teil eines Cyberangriffs der USA auf den Iran

• 23.05.12 Anonymous hackt Server des US-Justizministeriums

• 18.05.12 Fraunhofer-Institut kritisiert Sicherheitsmängel bei Cloud-Speicherdiensten

Weitere News: www.goSecurity.ch/security-news

14.06.2012

6

Informationen

• OSSTMM Open Source Security Testing Methodology Manual http://www.osstmm.org

• BSI Leitfaden https://www.bsi.bund.de/ContentBSI/Publikationen/Studien/pentest/index_htm.html

Informationen

• Technical Guide to Information Security Testing http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf

• OWASP http://www.owasp.org/

14.06.2012

7

Zertifizierungen

• Certified Ethical Hacker http://www.eccouncil.org/

• Offensive Security Certified Professional http://www.offensive-security.com/

• Weitere bei Wikipedia http://de.wikipedia.org/wiki/Liste_der_IT-Zertifikate (2. Abschnitt)

Ablauf eines Penetration Tests

• Workshop

– Definition der Ziele

– Art der Tests (White, Gray, Black Box)

• Testphase

– Roter Faden im Auge behalten!

• Bericht

• Präsentation

14.06.2012

8

Werkzeuge

• BackTrack (http://www.backtrack-linux.org/)

– Bereiche

• Information Gathering

• Vulnerability Assessment

• Exploitation Tools

• Privilege Escalation

• Maintaining Access

• Reverse Engineering

• RFID Tools

• Stress testing

• Forensics

• Reporting Tools

• Services

• Miscellaneous

Werkzeuge

• BackTrack (http://www.backtrack-linux.org/)

– Integrierte Tools

• Metasploit (http://www.metasploit.com/)

• RFMON (Wireless Treiber) mit Aircrack-NG und Kismet

• Nmap

• Ophcrack

• Ettercap

• Wireshark

• BeEF (Browser Exploitation Framework)

• Hydra

• OWASP Security Framework

• und viele weitere

14.06.2012

9

Informationssuche

• Klassisch mit Suchmaschinen

– Stellenbeschreibungen

– (Projekt-) Referenzen

– Personen via Yasni

• Technische Informationen

– WHOIS

– DNS

Informationssuche

• IP- / Portscan

– nmap –sS –sV –O –p <IP>

14.06.2012

10

Ergebnisse : Mailversand

• Gefälschter Mail-Versand

Informationssuche

• Vulnerability Scanner

– Nessus / OpenVAS

14.06.2012

11

Web-Schwachstellen

• SQL Injection

• Cross Site Scripting XSS

Fehlerhafte Datenübergabe

• Formulare zur Datenübergabe

• Informationen werden in Hidden-Felder

übermittelt

• Gefahr: Tools zum Manipulieren der Daten

Web Developer

https://addons.mozilla.org/de/firefox/addon/60

14.06.2012

12

SQL Injection

• Benutzerverwaltung: Tabelle Users

– Skript login.php erhält die eingegebenen Zugangsdaten und verwendet diese in einer SQL Query

– Benutzername/Passwort existiert: Query gibt eine Zeile zurück der Benutzer ist identifiziert und erhält Zugang

user Pwd email

Pete perObINa peter@pan.org

John hogeldogel john@wayne.us

SELECT * FROM Users

WHERE user=' ' AND pwd=' '

SQL Injection

• Ziel des Angreifers: Zugang zum System ohne Kenntnis von Benutzername/Passwort

• Bei Logins funktioniert dies häufig mit ' or ''='

SELECT * FROM Users

WHERE user='' or ''='' AND pwd='' or ''=''

immer TRUE

Quelle: http://blogs.iis.net/nazim/archive/2008/04/30/sql-injection-demo.aspx

14.06.2012

13

Cross-Site Scripting (XSS)

• Javascript: In Webseiten eingefügter Code, der im Browser ausgeführt werden

• Oft enthalten dynamisch generierte Webseiten die von einem Benutzer eingegebenen Daten – Produktresultatseiten, Google etc. zeigen den eingegebenen

Suchstring an

• Bei XSS nutzt ein Angreifer dieses Feature aus:

Testen auf XSS

• Eingabe eines einfachen Javascripts in verschiedenen Feldern von Web-Formularen:

• Bei Erfolg öffnet sich ein Popup-Fenster

<script>alert("Testing XSS vulnerability");</script>

14.06.2012

14

Beispiel: XSS

• Opfer hat Account für einen Web-Shop, Angreifer möchte

Account-Daten erhalten.

• Angreifer hat ein entsprechendes JavaScript in einem Link in

einer Nachricht in einem Web-Forum platziert, Opfer hat die

Nachricht geöffnet.

(3) Code integriert einen Login-Screen in die Webseite des Web-Shops

(4) „Gutgläubiger“ Benutzer gibt seine Account-Daten an und klickt auf Login

(6) Script auf dem Server des Angreifers nimmt die Account-Daten entgegen

(1) Verwundbare Webseite des Shops wird geladen, dargestellt und Javascript

wird ausgeführt

Click Me!

(2) Javascript lädt Code von einem Server des Angreifers nach

(5) Account-Daten werdenzum Angreifer gesendet

Quelle: Marc Rennhard, ZHAW

XSS : Beispiel

14.06.2012

15

Beispiel: XSS

• Achtung: Der Link kann in verschiedenen

Dokumenten hinterlegt sein:

– Email

– Diskussions-Forum / Chat

– Instant Messaging

– PDF, Excel, Powerpoint, Word, etc.

– Hochgeladene Datei

• Welchen Quellen trauen Sie?

Session Hijacking

• Übernahme einer bestehenden Session

14.06.2012

16

Session Hijacking

• Übernahme einer bestehenden Session

Metasploit Framework

• Aufbau / Module

• Auxiliary

• Exploits

• Payloads

• Encoders

• Nops

32

14.06.2012

17

Metasploit Framework

• Auxiliary

• „admin“ – Tools für Angriffe

• „dos“ – DoS tools

• „fuzzers“ – Zur Ermittlung von Schwachstellen in Anwendungen

• „scanner“ – Zum Entdecken von Schwachstellen

• „sqli“ – SQL-Injection Tools

• „server“ – Servers, Fake-Servers … und vieles mehr

33

Metasploit Framework

• Exploits & Payloads

• „The gray side of Metasploit“

• Der Exploit nutzt die Schwachstelle aus, die Payload ist der auszuführende Code

• Kategorisierung nach OS

• Tägliche Updates (annähernd)

• „Gehen Hand-in-Hand“

34

14.06.2012

18

Metasploit Framework

• Encoders & Nops

• „The black side of Metasploit“

• Evasion techniques

• Nops zur Täuschung von IDS/IPS

• Encoders zur Täuschung von Antiviren-Software

35

Weitere Schwachstellen / Demos

• Armitage

• LM Hash Windows Passwörter

• Man in the Middle Angriffe

• Webseiten mit CSS verändern

• WEP Schwachstellen

14.06.2012

19

Fazit

• Regelmässiges Aktualisieren wichtig

– Antivirus, Betriebssystem, Applikationen

• Firewall notwendig

– Next Generation Firewall

Fazit

• Sensibilisierung wichtig

– Awereness schaffen

• Gesunder Menschenverstand

– Nicht auf alles Klicken!

14.06.2012

20

Mit uns wissen Sie,

wie es um Ihre IT-Sicherheit steht!

Th. Furrer S. Walser K. Haase N. Rasstrigina

A. Wisler R. Ott S. Müller M. Schneider

E. Kauth

Dienstleistungen …