Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this presentation? Why not share!

Like this? Share it with your network

Share

Smau Milano 2010 Igor Falcomatà

on

  • 656 views

Esempi di intrusioni reali...

Esempi di intrusioni reali...

Statistics

Views

Total Views
656
Views on SlideShare
503
Embed Views
153

Actions

Likes
0
Downloads
22
Comments
0

2 Embeds 153

http://www.smau.it 152
http://www.rdueb.it 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Smau Milano 2010 Igor Falcomatà Presentation Transcript

  • 1. Esempi di intrusioni reali.. relatore: Igor Falcomatà Client side attacks, covert channels, social networks, .. - come cambiano gli attacchi e quanto sono efficiaci le misure di sicurezza tradizionali (firewall, IPS, IDS, DPS, PDS, ..)? SMAU 2010 – seminari AIPSI 25 ott 10 - Milano free advertising > Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano http://creativecommons.org/licenses/by-sa/2.0/it/deed.it © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 1
  • 2. about: aka “koba” • attività professionale: •analisi delle vulnerabilità e penetration testing •security consulting •formazione Relatore: • altro: •sikurezza.org Igor Falcomatà •(Er|bz)lug Chief Technical Officer ifalcomata@enforcer.it Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 2
  • 3. One-Click-Exploit (sperando che Ama*on non reclami i diritti) Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 3
  • 4. Just click to launch.. ..the good ole Internet Exploder.. (Click) Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 4
  • 5. Meanwhile, back at the ranch.. ..a cowboy sitting in the dark.. Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 5
  • 6. Game Over thnxs/credits: unknow +hdm@metasploit.com Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 6
  • 7. Instant Replay 0wn1ng the Enterprise 2.0 web server mail server db server Mr. Malicious 2.0 ext. router file server firewall dep. server access point utente remoto desktop desktop desktop wifi user wifi user VPN gw utente remoto dep. server desktop desktop Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 7
  • 8. Instant Replay Vettore di attacco web server mail server db server 3rd party Mr. Malicious 2.0 ext. router file server firewall dep. server access point utente remoto desktop desktop desktop wifi user wifi user VPN gw utente remoto dep. server desktop desktop Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 8
  • 9. Instant Replay Vettore di attacco: link verso sito malicious web server mail server db server 3rd party • semplici: Mr. Malicious 2.0 •chat ext. router file server •e-mail firewall dep. server •link su social network access point utente remoto • un po' meno semplici: desktop desktop •MiTM / dns spoofing / .. desktop wifi user wifi user utente remoto •malicious code in sito legittimo VPN gw dep. server •.. desktop desktop Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 9
  • 10. Instant Replay Vettore di attacco: identificabile? web server mail server db server 3rd party • semplici: Mr. Malicious 2.0 •chat ext. router file server •e-mail • firewall: improbabile firewall dep. server •link su social network • antivirus: improbabile access point utente remoto • un po' •meno semplici: IDS/IPS: improbabile desktop desktop •MiTM / dns spoofing / .. desktop wifi user utente remoto • DPS: N/A •malicious code in sito legittimo VPN gw wifi user dep. server •.. • PDS: uh? desktop desktop Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 10
  • 11. Instant Replay Vettore di attacco: connessione http(s) web server mail server db server 3rd party Mr. Malicious 2.0 ext. router file server firewall dep. server access point utente remoto desktop desktop desktop wifi user wifi user VPN gw utente remoto dep. server www.malicious.com desktop desktop Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 11
  • 12. Instant Replay Vettore di attacco: connessione http(s) web server mail server db server 3rd party • NB: Mr. Malicious 2.0 •connessione verso l'esterno ext. router file server •probabilmente in https firewall dep. server •sito malicious non catalogato access point utente remoto • oppure: desktop desktop •modifica in-line del traffico da desktop wifi user wifi user utente remoto un sito legittimo (vedi MiTM) VPN gw dep. server www.malicious.com desktop desktop Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 12
  • 13. Instant Replay Vettore di attacco: identificabile? web server mail server db server 3rd party • NB: Mr. Malicious 2.0 •connessione verso l'esterno ext. router file server •anche in https • firewall: improbabile firewall dep. server •sito malicious non catalogato • antivirus: improbabile access point utente remoto • e anche: • IDS/IPS: improbabile desktop desktop •modifica del traffico in-line desktop wifi user utente remoto • DPS: N/A VPN gw wifi user dep. server • PDS: uh? www.malicious.com desktop desktop Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 13
  • 14. Instant Replay Vettore di attacco: exploit web server mail server db server 3rd party Mr. Malicious 2.0 ext. router file server firewall dep. server access point utente remoto desktop desktop desktop wifi user wifi user VPN gw utente remoto dep. server www.malicious.com desktop desktop Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 14
  • 15. Instant Replay Vettore di attacco: exploit web server mail server db server 3rd party • Microsoft IE mshtml.dll Use-After-Free Mr. Malicious 2.0 Arbitrary Code Execution (Aurora) : ext. router file server •CVE: 2010-0249 •Microsoft Bullettin: MS10-002 firewall dep. server •OSVDB: 61697 access point utente remoto • NB: desktop desktop •0 day vs google, adobe, ... desktop wifi user wifi user •ancora effettivo in molti casi.. utente remoto VPN gw dep. server www.malicious.com desktop desktop Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 15
  • 16. Instant Replay http://osvdb.org/show/osvdb/61697 web server mail server db server 3rd party • Microsoft IE mshtml.dll Use-After-Free Mr. Malicious 2.0 Arbitrary Code Execution (Aurora) : ext. router file server •CVE: 2010-0249 •Microsoft Bullettin: MS10-002 firewall dep. server •OSVDB: 61697 access point utente remoto • NB: desktop desktop •0 day vs google, adobe, ... desktop wifi user wifi user •ancora effettivo in molti casi.. utente remoto VPN gw dep. server www.malicious.com desktop desktop Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 16
  • 17. Instant Replay Vettore di attacco: identificabile? web server mail server db server 3rd party • Microsoft IE mshtml.dll Use-After-Free Mr. Malicious 2.0 Arbitrary Code Execution (Aurora) : ext. router file server •CVE: 2010-0249 • firewall: improbabile •Microsoft Bullettin: MS10-002 firewall dep. server •OSVDB: 61697 • antivirus: potrebbe access point utente remoto • NB: • IDS/IPS: dovrebbe (SSL?!) desktop desktop •0 day vs google, adobe, ... desktop wifi user •ancora • DPS: IE6 out of support :) wifi user utente remoto effettivo in molti casi.. VPN gw dep. server • PDS: uh? www.malicious.com desktop desktop Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 17
  • 18. Instant Replay http://www.sans.org/newsletters/newsbites/newsbites.php?vol=12&issue=21 web server mail server db server 3rd party • Microsoft IE mshtml.dll Use-After-Free Mr. Malicious 2.0 Arbitrary Code Execution (Aurora) : ext. router file server •CVE: 2010-0249 • firewall: improbabile •Microsoft Bullettin: MS10-002 firewall dep. server •OSVDB: 61697 • antivirus: potrebbe access point utente remoto • NB: • IDS/IPS: dovrebbe (SSL?!) desktop desktop •0 day vs google, adobe, ... desktop wifi user •ancora • DPS: IE6 out of support :) wifi user utente remoto effettivo in molti casi.. VPN gw dep. server • PDS: uh? www.malicious.com desktop desktop Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 18
  • 19. Instant Replay Vettore di attacco: covert channel web server mail server db server 3rd party Mr. Malicious 2.0 ext. router file server firewall dep. server access point utente remoto desktop desktop desktop wifi user wifi user VPN gw utente remoto dep. server desktop desktop Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 19
  • 20. Instant Replay Vettore di attacco: covert channel web server mail server db server 3rd party • praticamente qualsiasi tipo di Mr. Malicious 2.0 traffico: ext. router file server •dns firewall dep. server •http(s) utente remoto •chat (msn, irc, skype, ..) access point •piccione viaggiatore? (rfc1149) desktop desktop •.. desktop wifi user wifi user VPN gw utente remoto dep. server desktop desktop Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 20
  • 21. Instant Replay Vettore di attacco: covert channel web server mail server db server 3rd party • praticamente qualsiasi tipo di Mr. Malicious 2.0 traffico: ext. router file server •dns • firewall: improbabile firewall dep. server •http(s) utente remoto •chat • antivirus: improbabile (msn, irc, skype, ..) access point •piccione viaggiatore? (rfc1149) • IDS/IPS: improbabile desktop desktop •.. desktop wifi user utente remoto • DPS: N/A VPN gw wifi user dep. server • PDS: uh? desktop desktop Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 21
  • 22. Solo IE6? http://secunia.com/advisories/ Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 22
  • 23. Solo IE6? http://secunia.com/advisories/ Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 23
  • 24. Complessità dell'attacco? YEAH, piece of cake! Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 24
  • 25. Per i più pigri.. http://www.secmaniac.com/download/ Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 25
  • 26. Bonus Track #1 Adobe CoolType SING Table "uniqueName" Stack b0f (CVE-2010-2883) Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 26
  • 27. Bonus Track #1 Il file (scansione a/v) viene identificato.. Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 27
  • 28. Bonus Track #1 ma NON quando aperto tramite plug-in IE.. Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 28
  • 29. Bonus Track #2 Custom backdoor.. (meterpreter payload) Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 29
  • 30. Bonus Track #2 Custom backdoor.. (reverse tcp payload) Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 30
  • 31. Bonus Track #2 Custom backdoor.. (reverse tcp payload) Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 31
  • 32. in conclusione.. (come mitigare il rischio) • least privilege • user != administrator • sandboxing (chrome, adobe?, ..) • non c'è/non si rompe.. • patch management • win/distro update • 3rd party sofware? • patch assessment.. • (H)IPS/end point security/.. Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 32
  • 33. qualche link.. Metasploit, SET, Fast-Track & Co.: http://www.metasploit.com/ http://www.offensive-security.com/metasploit-unleashed/Client_Side_Attacks http://www.offensive-security.com/metasploit-unleashed/Client_Side_Exploits http://www.offensive-security.com/metasploit-unleashed/Mass_Client_Attack http://blog.0x0e.org/2010/10/17/364/ http://flexi-train.blogspot.com/2010/05/client-side-attack-by-using-evil-pdf.html http://www.darkreading.com/blog/archives/2009/09/anatomy_of_a_cl.html http://www.secmaniac.com/download/ http://www.enterprisenetworkingplanet.com/netsecur/article.php/3869906/Automat e-Pen-Testing-with-Fast-Track-Client-Side-Attacks.htm http://exploit.co.il/hacking/client-side-attack-using-evil-java-applets/ http://www.freedomcoder.com.ar/2010/07/09/client-side-penetration-testing-with- esearchy-emaily Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 33
  • 34. (Domande?) Carenata o 5 porte? Basta che sia 2.0 .. SMAU 2010 – seminari AIPSI 25 ott 10 - Milano free advertising > Esempi di intrusioni reali all'epoca del web 2.0 – SMAU 2010 – seminari AIPSI – 25 nov 09 – Milano http://creativecommons.org/licenses/by-sa/2.0/it/deed.it © Igor Falcomatà <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 34