Date post: | 27-Jun-2015 |
Category: |
Technology |
Upload: | digicomp-academy-ag |
View: | 1,199 times |
Download: | 2 times |
14.06.2012
1
Penetration Test Hacking Day 2012 – Future Security
Andreas Wisler Dipl. Ing. FH, CISSP, ISO 27001 Lead Auditor, IT-SIBE BSI, MCITP
Agenda
• Aktuelle Situation
• Informationen
• Vorgehen / Durchführung
• Hilfsmittel
• Ergebnisse, Schwachstellen
• Fazit
14.06.2012
2
Aktuelle Situation
• BSI Lagebericht 2011
– Gefährdungstrends
Aktuelle Situation
• BSI Lagebericht 2011
– Bot-Netze
14.06.2012
3
Aktuelle Situation
• BSI Lagebericht 2011
– Spam-Entwicklung
Ausschaltung
Rustock-Botnetz
zZ bei 80%
Virenflut
2010: 55’000 neue Schädlinge pro Tag
14.06.2012
4
Virenflut : Suisa Skimming
• Massive Zunahme, auch in der Schweiz
14.06.2012
5
Skimming Aktuelle Situation
• 13.06.12 erneut massive RDP Lücke, Patch vorhanden, noch kein Exploit
• Anfang Juni 12 Userdaten von Last.fm, eHarmony, LinkedIn (und weitere) gestohlen
• 07.06.12 Spionage-Trojaner: So missbrauchte Flame die MS Updatefunktion
• 05.06.12 Adobe schliesst kritische Sicherheitslücken in Photoshop und Illustrator CS5
(aber erst auf Druck der User)
• 01.06.12 Stuxnet war Teil eines Cyberangriffs der USA auf den Iran
• 23.05.12 Anonymous hackt Server des US-Justizministeriums
• 18.05.12 Fraunhofer-Institut kritisiert Sicherheitsmängel bei Cloud-Speicherdiensten
Weitere News: www.goSecurity.ch/security-news
14.06.2012
6
Informationen
• OSSTMM Open Source Security Testing Methodology Manual http://www.osstmm.org
• BSI Leitfaden https://www.bsi.bund.de/ContentBSI/Publikationen/Studien/pentest/index_htm.html
Informationen
• Technical Guide to Information Security Testing http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
• OWASP http://www.owasp.org/
14.06.2012
7
Zertifizierungen
• Certified Ethical Hacker http://www.eccouncil.org/
• Offensive Security Certified Professional http://www.offensive-security.com/
• Weitere bei Wikipedia http://de.wikipedia.org/wiki/Liste_der_IT-Zertifikate (2. Abschnitt)
Ablauf eines Penetration Tests
• Workshop
– Definition der Ziele
– Art der Tests (White, Gray, Black Box)
• Testphase
– Roter Faden im Auge behalten!
• Bericht
• Präsentation
14.06.2012
8
Werkzeuge
• BackTrack (http://www.backtrack-linux.org/)
– Bereiche
• Information Gathering
• Vulnerability Assessment
• Exploitation Tools
• Privilege Escalation
• Maintaining Access
• Reverse Engineering
• RFID Tools
• Stress testing
• Forensics
• Reporting Tools
• Services
• Miscellaneous
Werkzeuge
• BackTrack (http://www.backtrack-linux.org/)
– Integrierte Tools
• Metasploit (http://www.metasploit.com/)
• RFMON (Wireless Treiber) mit Aircrack-NG und Kismet
• Nmap
• Ophcrack
• Ettercap
• Wireshark
• BeEF (Browser Exploitation Framework)
• Hydra
• OWASP Security Framework
• und viele weitere
14.06.2012
9
Informationssuche
• Klassisch mit Suchmaschinen
– Stellenbeschreibungen
– (Projekt-) Referenzen
– Personen via Yasni
• Technische Informationen
– WHOIS
– DNS
Informationssuche
• IP- / Portscan
– nmap –sS –sV –O –p <IP>
14.06.2012
10
Ergebnisse : Mailversand
• Gefälschter Mail-Versand
Informationssuche
• Vulnerability Scanner
– Nessus / OpenVAS
14.06.2012
11
Web-Schwachstellen
• SQL Injection
• Cross Site Scripting XSS
Fehlerhafte Datenübergabe
• Formulare zur Datenübergabe
• Informationen werden in Hidden-Felder
übermittelt
• Gefahr: Tools zum Manipulieren der Daten
Web Developer
https://addons.mozilla.org/de/firefox/addon/60
14.06.2012
12
SQL Injection
• Benutzerverwaltung: Tabelle Users
– Skript login.php erhält die eingegebenen Zugangsdaten und verwendet diese in einer SQL Query
– Benutzername/Passwort existiert: Query gibt eine Zeile zurück der Benutzer ist identifiziert und erhält Zugang
user Pwd email
Pete perObINa [email protected]
John hogeldogel [email protected]
SELECT * FROM Users
WHERE user=' ' AND pwd=' '
SQL Injection
• Ziel des Angreifers: Zugang zum System ohne Kenntnis von Benutzername/Passwort
• Bei Logins funktioniert dies häufig mit ' or ''='
SELECT * FROM Users
WHERE user='' or ''='' AND pwd='' or ''=''
immer TRUE
Quelle: http://blogs.iis.net/nazim/archive/2008/04/30/sql-injection-demo.aspx
14.06.2012
13
Cross-Site Scripting (XSS)
• Javascript: In Webseiten eingefügter Code, der im Browser ausgeführt werden
• Oft enthalten dynamisch generierte Webseiten die von einem Benutzer eingegebenen Daten – Produktresultatseiten, Google etc. zeigen den eingegebenen
Suchstring an
• Bei XSS nutzt ein Angreifer dieses Feature aus:
Testen auf XSS
• Eingabe eines einfachen Javascripts in verschiedenen Feldern von Web-Formularen:
• Bei Erfolg öffnet sich ein Popup-Fenster
<script>alert("Testing XSS vulnerability");</script>
14.06.2012
14
Beispiel: XSS
• Opfer hat Account für einen Web-Shop, Angreifer möchte
Account-Daten erhalten.
• Angreifer hat ein entsprechendes JavaScript in einem Link in
einer Nachricht in einem Web-Forum platziert, Opfer hat die
Nachricht geöffnet.
(3) Code integriert einen Login-Screen in die Webseite des Web-Shops
(4) „Gutgläubiger“ Benutzer gibt seine Account-Daten an und klickt auf Login
(6) Script auf dem Server des Angreifers nimmt die Account-Daten entgegen
(1) Verwundbare Webseite des Shops wird geladen, dargestellt und Javascript
wird ausgeführt
Click Me!
(2) Javascript lädt Code von einem Server des Angreifers nach
(5) Account-Daten werdenzum Angreifer gesendet
Quelle: Marc Rennhard, ZHAW
XSS : Beispiel
14.06.2012
15
Beispiel: XSS
• Achtung: Der Link kann in verschiedenen
Dokumenten hinterlegt sein:
– Diskussions-Forum / Chat
– Instant Messaging
– PDF, Excel, Powerpoint, Word, etc.
– Hochgeladene Datei
• Welchen Quellen trauen Sie?
Session Hijacking
• Übernahme einer bestehenden Session
14.06.2012
16
Session Hijacking
• Übernahme einer bestehenden Session
Metasploit Framework
• Aufbau / Module
• Auxiliary
• Exploits
• Payloads
• Encoders
• Nops
32
14.06.2012
17
Metasploit Framework
• Auxiliary
• „admin“ – Tools für Angriffe
• „dos“ – DoS tools
• „fuzzers“ – Zur Ermittlung von Schwachstellen in Anwendungen
• „scanner“ – Zum Entdecken von Schwachstellen
• „sqli“ – SQL-Injection Tools
• „server“ – Servers, Fake-Servers … und vieles mehr
33
Metasploit Framework
• Exploits & Payloads
• „The gray side of Metasploit“
• Der Exploit nutzt die Schwachstelle aus, die Payload ist der auszuführende Code
• Kategorisierung nach OS
• Tägliche Updates (annähernd)
• „Gehen Hand-in-Hand“
34
14.06.2012
18
Metasploit Framework
• Encoders & Nops
• „The black side of Metasploit“
• Evasion techniques
• Nops zur Täuschung von IDS/IPS
• Encoders zur Täuschung von Antiviren-Software
35
Weitere Schwachstellen / Demos
• Armitage
• LM Hash Windows Passwörter
• Man in the Middle Angriffe
• Webseiten mit CSS verändern
• WEP Schwachstellen
14.06.2012
19
Fazit
• Regelmässiges Aktualisieren wichtig
– Antivirus, Betriebssystem, Applikationen
• Firewall notwendig
– Next Generation Firewall
Fazit
• Sensibilisierung wichtig
– Awereness schaffen
• Gesunder Menschenverstand
– Nicht auf alles Klicken!
14.06.2012
20
Mit uns wissen Sie,
wie es um Ihre IT-Sicherheit steht!
Th. Furrer S. Walser K. Haase N. Rasstrigina
A. Wisler R. Ott S. Müller M. Schneider
E. Kauth
Dienstleistungen …