Seit über zehn Jahren führt die GO OUT Production GmbH IT-Security Audits und Penetration Tests durch. Was haben die Auditoren gefunden? Welche Auswirkungen könnte das haben? Was sind die daraus gewonnen Erfahrungen und Lessons Learned? Diese Key-Note zeigt erschreckende, aber auch amüsante Ergebnisse aus den vergangenen Jahren.
Referent: Andreas Wisler
goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned
1. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
10 Jahre Audits
Ergebnisse, Erfahrungen, Lessons Learned
Andreas Wisler, CEO
GO OUT Production GmbH
1
Fakten
Hacker haben den Weg ins Internet gefunden
• Quelle: Schweizer Familie 40/11
2. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Fakten
3
2012: 93’150 neue Schädlinge pro Tag
Fakten
• Anzahl nicht erkannter Malware
4
3. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Fakten
• Virenflut : Suisa
Fakten
• Virenflut : Bund / Polizei
4. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Fakten
Scareware : Beispiel eines Kunden
Phishing Angriff
Vorbereitung: Was weiss Yasni?
5. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Phishing Angriff
• Umfrage zur Qualität des Passwortes
9
Phishing Angriff
• Auswertung
• 56x Internet Explorer, 1x Chrome
6. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Phishing Angriff
• Auswertung
• Formular wurde 104x ausgefüllt
• Bewertung: 27x Mittel, 61x Sicher, 15x Sehr sicher
• 6 Personen nutzen das Passwort auch ausserhalb
• 22 Personen haben das Passwort vor Versand
wieder gelöscht
• auch einfache Passworte vorhanden: Sommer13,
Beckham13, Grauer123, Mario08, Batman123,
NewOrleans11, Fribourg36, DreamBox01,
Federer300, malediven13, Alex2002, Arna2012
Social Engineering
• «Verlorene» Kreditkarte
• Ablauf:
• Adresse Zielpersonen heraussuchen
• Brief 1, Kreditkarte verloren und Umzug
12
7. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Social Engineering
• Kontrolle des Arbeitsplatzes, «Dongle»
13
Social Engineering
• «Einbruch»
14
8. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Ablauf eines PTs
• Workshop
• Definition der Ziele
• Art der Tests (White, Gray, Black Box)
• Testphase
• Roter Faden im Auge behalten!
• Bericht
• Präsentation
• Weitere Informationen: http://www.pentest-standard.org
Pre-
engagement
Interactions
Intelligence
Gathering
Threat
Modeling
Vulnerability
Analysis
Exploitation
Post
Exploitation
Reporting
PT - Vorbereitungen
• Informationen im Internet
9. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
PT - Ergebnisse
• Emailversand intern intern
PT - Ergebnisse
• Self Signed Zertifikate -> MITM-Potenzial
18
10. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
PT - Ergebnisse
• Erreichbare Firewall-Konsolen. Passwort?
PT - Ergebnisse
• RDP (direkter Zugriff auf Terminalserver)
20
11. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
PT - Ergebnisse
PT - Ergebnisse
• Seiteninhalt wird «überschrieben»
12. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
PT - Ergebnisse
• Session Hijacking
PT - Ergebnisse
• Session Hijacking
13. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
PT - Ergebnisse
25
Slowloris DoS
PT intern - Ergebnisse
26
Desktop Arbeitsplatz
14. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
PT intern - Ergebnisse
27
Zugriff ins Netzwerk trotz MAC-Filter
PT intern - Ergebnisse
ARP Spoofing
Opfer
Netzwerkgateway
ARP-Tabelle
10.x.y.2 00:0C:30:99:78:7F
10.x.y.107 00:22:19:2F:04:1D
10.x.y.121 5C:26:0A:0F:7B:DE
...
ARP-Tabelle
10.x.y.2 00:0C:30:99:78:7F
10.x.y.107 00:22:19:2F:04:1D
10.x.y.121 5C:26:0A:0F:7B:DE
...
Auditor
10.x.y.107
MAC-Adresse:
5C:26:0A:0F:7B:DE
15. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
PT intern - Ergebnisse
29
ARP Spoofing
Opfer
Netzwerkgateway
ARP-Tabelle
10.x.y.2 5C:26:0A:0F:7B:DE
10.x.y.107 00:22:19:2F:04:1D
10.x.y.121 5C:26:0A:0F:7B:DE
...
ARP-Tabelle
10.x.y.2 00:0C:30:99:78:7F
10.x.y.107 5C:26:0A:0F:7B:DE
10.x.y.121 5C:26:0A:0F:7B:DE
...
Auditor
10.x.y.107
MAC-Adresse:
5C:26:0A:0F:7B:DE
PT intern - Ergebnisse
30
unverschlüsselte Verbindungen
16. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
PT intern - Ergebnisse
31
unverschlüsselte Verbindungen
LM / NTLM
• onlinehashcrack.com:
MD5, LM, NTLM, SHA1, MySQL, MD4, OSX, WPA(2)
• md5decrypter.co.uk:
MD5, LM, NTLM, SHA1
• cloudcracker.com:
WPA/WPA2, NTLM, SHA-512, MD5, MS-CHAPv2 (u.a.
PPTP)
• Oder Rainbow-Tables…
Cloud-Dienste
17. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Internes Audit
• Ablauf / Vorgehen
Auswertung
Präsentation
Nachbesprechung
Audit
Vorbereitung
Bedürfnisaufnahme
Audit:
- Rundgang
- Server-Dienste
- Netzwerkelemente
- Arbeitsplatz
Audit - Ergebnisse
• Rundgang
18. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Audit - Ergebnisse
• Rundgang
35
Schwachstellen
• Software-Schwachstellen nach Herstellern
Quelle: GFI, 07.02.13
19. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Audit - Ergebnisse
37
Patchmanagement
Audit - Ergebnisse
Berechtigungen
20. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Audit - Ergebnisse
Berechtigungen
Audit - Ergebnisse
40
Berechtigungen
21. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Audit - Ergebnisse
Terminal Server Berechtigungen
Audit - Ergebnisse
• Berechtigungen
Vergessene Skripts / offene Drucker
22. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Audit - Ergebnisse
43
Firewall
Audit - Ergebnisse
44
Domänenkontroller
23. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Audit - Ergebnisse
• Kein Gerätepasswort
für ActiveSync OTA
• Automatische Weiter-
leitung erlaubt
45
Exchange
Audit - Ergebnisse
• Dropbox mit geschäftlichen Daten
46
Clients
24. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Audit - Ergebnisse
47
Verseuchte Webseite?
Fazit
• Informations-Sicherheit ist eine ständige
Aufgabe (= Zeit und Budget notwendig)
• Patch-Management!
• Gefahr droht auch von Innen
• Nutzen der vorhandenen Möglichkeiten
25. Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Mit uns wissen Sie,
wie es um Ihre IT-Sicherheit steht!
Th. Furrer
S. Walser K. Haase N. Rasstrigina
A. Wisler S. Müller M. Schneider E. Kauth
C. Wehrli
Dienstleistungen