Published

 

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,135
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
15
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 14.06.2012 Agenda • Aktuelle Situation • InformationenPenetration Test • Vorgehen / DurchführungHacking Day 2012 – Future Security • Hilfsmittel • Ergebnisse, Schwachstellen • FazitAndreas WislerDipl. Ing. FH, CISSP, ISO 27001 Lead Auditor, IT-SIBE BSI, MCITP 1
  • 2. 14.06.2012Aktuelle Situation Aktuelle Situation• BSI Lagebericht 2011 • BSI Lagebericht 2011 – Gefährdungstrends – Bot-Netze 2
  • 3. 14.06.2012Aktuelle Situation Virenflut• BSI Lagebericht 2011 – Spam-Entwicklung Ausschaltung Rustock-Botnetz zZ bei 80% 2010: 55’000 neue Schädlinge pro Tag 3
  • 4. 14.06.2012Virenflut : Suisa Skimming • Massive Zunahme, auch in der Schweiz 4
  • 5. 14.06.2012Skimming Aktuelle Situation • 13.06.12 erneut massive RDP Lücke, Patch vorhanden, noch kein Exploit • Anfang Juni 12 Userdaten von Last.fm, eHarmony, LinkedIn (und weitere) gestohlen • 07.06.12 Spionage-Trojaner: So missbrauchte Flame die MS Updatefunktion • 05.06.12 Adobe schliesst kritische Sicherheitslücken in Photoshop und Illustrator CS5 (aber erst auf Druck der User) • 01.06.12 Stuxnet war Teil eines Cyberangriffs der USA auf den Iran • 23.05.12 Anonymous hackt Server des US-Justizministeriums • 18.05.12 Fraunhofer-Institut kritisiert Sicherheitsmängel bei Cloud-Speicherdiensten Weitere News: www.goSecurity.ch/security-news 5
  • 6. 14.06.2012Informationen Informationen• OSSTMM • Technical Guide to Information Security Testing Open Source Security Testing Methodology Manual http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf http://www.osstmm.org • OWASP http://www.owasp.org/• BSI Leitfaden https://www.bsi.bund.de/ContentBSI/Publikationen/Studien/pentest/index_htm.html 6
  • 7. 14.06.2012Zertifizierungen Ablauf eines Penetration Tests• Certified Ethical Hacker • Workshop http://www.eccouncil.org/ – Definition der Ziele – Art der Tests (White, Gray, Black Box)• Offensive Security Certified Professional • Testphase http://www.offensive-security.com/ – Roter Faden im Auge behalten! • Bericht• Weitere bei Wikipedia http://de.wikipedia.org/wiki/Liste_der_IT-Zertifikate (2. Abschnitt) • Präsentation 7
  • 8. 14.06.2012Werkzeuge Werkzeuge• BackTrack (http://www.backtrack-linux.org/) • BackTrack (http://www.backtrack-linux.org/) – Bereiche – Integrierte Tools • Information Gathering • Metasploit (http://www.metasploit.com/) • Vulnerability Assessment • RFMON (Wireless Treiber) mit Aircrack-NG und Kismet • Exploitation Tools • Nmap • Privilege Escalation • Ophcrack • Maintaining Access • Ettercap • Reverse Engineering • Wireshark • RFID Tools • BeEF (Browser Exploitation Framework) • Stress testing • Hydra • Forensics • OWASP Security Framework • Reporting Tools • und viele weitere • Services • Miscellaneous 8
  • 9. 14.06.2012Informationssuche Informationssuche• Klassisch mit Suchmaschinen • IP- / Portscan – Stellenbeschreibungen – nmap –sS –sV –O –p <IP> – (Projekt-) Referenzen – Personen via Yasni• Technische Informationen – WHOIS – DNS 9
  • 10. 14.06.2012Ergebnisse : Mailversand Informationssuche• Gefälschter Mail-Versand • Vulnerability Scanner – Nessus / OpenVAS 10
  • 11. 14.06.2012Web-Schwachstellen Fehlerhafte Datenübergabe• SQL Injection • Formulare zur Datenübergabe• Cross Site Scripting XSS • Informationen werden in Hidden-Felder übermittelt • Gefahr: Tools zum Manipulieren der Daten Web Developer https://addons.mozilla.org/de/firefox/addon/60 11
  • 12. 14.06.2012SQL Injection SQL Injection user Pwd email• Benutzerverwaltung: Pete perObINa peter@pan.org • Ziel des Angreifers: Zugang zum System ohne Tabelle Users John hogeldogel john@wayne.us Kenntnis von Benutzername/Passwort SELECT * FROM Users • Bei Logins funktioniert dies häufig mit or = WHERE user= AND pwd= SELECT * FROM Users WHERE user= or = AND pwd= or = – Skript login.php erhält die eingegebenen Zugangsdaten und immer TRUE verwendet diese in einer SQL Query – Benutzername/Passwort existiert: Query gibt eine Zeile zurück  der Benutzer ist identifiziert und erhält Zugang Quelle: http://blogs.iis.net/nazim/archive/2008/04/30/sql-injection-demo.aspx 12
  • 13. 14.06.2012Cross-Site Scripting (XSS) Testen auf XSS• Javascript: In Webseiten eingefügter Code, der im • Eingabe eines einfachen Javascripts in verschiedenen Browser ausgeführt werden Feldern von Web-Formularen: <script>alert("Testing XSS vulnerability");</script>• Oft enthalten dynamisch generierte Webseiten die von einem Benutzer eingegebenen Daten • Bei Erfolg öffnet sich – Produktresultatseiten, Google etc. zeigen den eingegebenen ein Popup-Fenster Suchstring an• Bei XSS nutzt ein Angreifer dieses Feature aus: 13
  • 14. 14.06.2012Beispiel: XSS XSS : Beispiel • Opfer hat Account für einen Web-Shop, Angreifer möchte Account-Daten erhalten. • Angreifer hat ein entsprechendes JavaScript in einem Link in einer Nachricht in einem Web-Forum platziert, Opfer hat die Nachricht geöffnet. Quelle: Marc Rennhard, ZHAW Click Me! (1) Verwundbare Webseite des Shops wird geladen, dargestellt und Javascript wird ausgeführt (2) Javascript lädt Code von einem Server des Angreifers nach (5) Account-Daten werden zum Angreifer gesendet (3) Code integriert einen Login-Screen in die Webseite des Web-Shops (6) Script auf dem Server des Angreifers nimmt die (4) „Gutgläubiger“ Benutzer gibt seine Account-Daten an und klickt auf Login Account-Daten entgegen 14
  • 15. 14.06.2012Beispiel: XSS Session Hijacking• Achtung: Der Link kann in verschiedenen • Übernahme einer bestehenden Session Dokumenten hinterlegt sein: – Email – Diskussions-Forum / Chat – Instant Messaging – PDF, Excel, Powerpoint, Word, etc. – Hochgeladene Datei• Welchen Quellen trauen Sie? 15
  • 16. 14.06.2012Session Hijacking Metasploit Framework• Übernahme einer bestehenden Session • Aufbau / Module • Auxiliary • Exploits • Payloads • Encoders • Nops 32 16
  • 17. 14.06.2012Metasploit Framework Metasploit Framework• Auxiliary • Exploits & Payloads• „admin“ – Tools für Angriffe• „dos“ – DoS tools • „The gray side of Metasploit“• „fuzzers“ – Zur Ermittlung von Schwachstellen in Anwendungen• „scanner“ – Zum Entdecken von Schwachstellen • Der Exploit nutzt die Schwachstelle aus, die• „sqli“ – SQL-Injection Tools Payload ist der auszuführende Code• „server“ – Servers, Fake-Servers … und vieles mehr • Kategorisierung nach OS • Tägliche Updates (annähernd) 33 • „Gehen Hand-in-Hand“ 34 17
  • 18. 14.06.2012Metasploit Framework Weitere Schwachstellen / Demos• Encoders & Nops • Armitage • LM Hash Windows Passwörter • Man in the Middle Angriffe• „The black side of Metasploit“ • Webseiten mit CSS verändern • WEP Schwachstellen• Evasion techniques• Nops zur Täuschung von IDS/IPS• Encoders zur Täuschung von Antiviren- Software 35 18
  • 19. 14.06.2012Fazit Fazit• Regelmässiges Aktualisieren wichtig • Sensibilisierung wichtig – Antivirus, Betriebssystem, Applikationen – Awereness schaffen• Firewall notwendig • Gesunder Menschenverstand – Next Generation Firewall – Nicht auf alles Klicken! 19
  • 20. 14.06.2012 Dienstleistungen … Mit uns wissen Sie, wie es um Ihre IT-Sicherheit steht! A. Wisler S. Müller R. Ott M. SchneiderTh. Furrer S. Walser K. Haase N. Rasstrigina E. Kauth 20