Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyborowego zespołu nad automatycznymi narzędziami.

1,078 views

Published on

http://secure.edu.pl

http://virtualstudy.pl

Prezentacja z konferencji SECURE 2012 oraz VirtualStudy.pl

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,078
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
17
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyborowego zespołu nad automatycznymi narzędziami.

  1. 1. 02 28 2013.03.26 Nietuzinkowe przypadki z testów penetracyjnychczyli historia o wyższości wyborowego zespołu nad automatycznymi narzędziami Borys Łącki
  2. 2. 03 28 Borys Łącki testy penetracyjne, audyty, szkolenia, konsultacje logicaltrust.net, ISEC Security Research www.bothunters.pl ~ 5 lat blogowania o cyberprzestępstwach Prelekcje: Secure, Internet Banking Security, ISSA, Securecon, SEConference, SekIT, PTI, Open Source Security, PLNOG, Software Freedom Day, Pingwinaria, Grill IT (…)http://www.goldenline.pl/borys-lacki
  3. 3. 04 28 Test penetracyjny „Proces polegający na przeprowadzeniu kontrolowanego ataku na systemteleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń” - Wikipedia
  4. 4. 05 28 Skuteczny test penetracyjny„Jedynym ograniczeniem jest Twoja wyobraźnia*”* - wiedza + doświadczenie + kreatywność
  5. 5. 06 28 Asymetrie i motywacje Dobry specjalista od defensywy musi być przede wszystkim specjalistą od ofensywy – nieosiągalne w warunkach organizacji Występuje asymetria domen i wiedzy  Strona defensywna musi zajmować się wszystkimi zasobami pod swoją jurysdykcją i martwić się o inne jurysdykcje  Intruz szuka najkrótszej drogi do systemu, wybierając najsłabsze ogniwo – często zasób poza zasięgiem atakowanej organizacji
  6. 6. 07 28Teza
  7. 7. 08 28 Złożoność systemów Odmienne:  Systemy operacyjne, platformy  Rozwiązania  Aplikacje  Potrzeby biznesowe  Wymagania prawne Dostawcy oprogramowania  Wewnętrzni  Zewnętrzni  Cloud  Out of box
  8. 8. 09 28Skanery automatyczne
  9. 9. 13 28Podatności
  10. 10. 14 28 Nietuzinkowe przypadki... nietuzinkowywyróżniający się spośród ogółu, rzadko spotykany
  11. 11. 15 28 SMTP box Moduł antispam – 0day Identyfikacja podatności w komponencie dekompresującym załączniki do poczty Atak directory traversal: ../../../../inny_katalog/dowolna nazwa Manipulacja mechanizmem autoryzacji webmail poprzez wstrzyknięcie plików sesji Błędy w konfiguracji oprogramowania Owned
  12. 12. 16 28 Past Google Code Injection Google zaindeksowało incydent bezpieczeństwa Snapshot listy procesów, katalogów, zawartości plików Dane uwierzytelniające zapisane w aplikacji Dostęp do kodów źródłowych aplikacji Analiza kodów źródłowych Wykrycie podatności Owned
  13. 13. 17 28Past Google Code Injection
  14. 14. 18 28 Scary Movie Szczegółowa analiza treści serwisów WWW Poklatkowa analiza filmu reklamowego Zrzut ekranów platformy programistycznej Dostęp do chronionych zasobów Profilowane słowniki haseł Code execution Owned
  15. 15. 19 28http://www.youtube.com/watch?&v=nKlu9yen5nc What most schools dont teach - 10 009 861
  16. 16. 20 28 SQL Injection %0a – blind SQL injection URL Rewrite – blind SQL injection aplikacja.SWF – blind SQL injection potwierdzenie rejestracji – one shot injection login/pass – auth + SQL injection
  17. 17. 21 28 XSS – Cross Site Scripting Brak wykrytych podatności krytycznych Blind XSS Uruchomienie kodu JS Uzyskanie dostępu do BOK SQL Injection Eskalacja uprawnień Owned
  18. 18. 22 28
  19. 19. 23 28 VoIP Phishing Dostęp do panelu centrali telefonicznej – 0-day Zestawienie tuneli VoIP do centrali firmy Telefon do pracowników z „numeru wewnętrznego” Eskalacja uprawnień wewnątrz sieci Owned
  20. 20. 24 28 Bug tracking Podatność – uzyskanie loginów Profilowane słowniki haseł Uzyskanie dostępu do systemu śledzenia błędów Zakup domeny bliźniaczo podobnej do producenta oprogramowania Utworzenie fałszywej strony z „poprawką” Utworzenie zgłoszenia o ważnej aktualizacji Owned
  21. 21. 25 28?
  22. 22. 26 28 Ochrona Polityka haseł Aktualizacje systemów i aplikacji Edukacja użytkowników, szkolenia Segmentacja sieci Testy penetracyjne Ograniczenia kont Aplikacje bezpieczeństwa na hostach: AV, FV, (DEP, ASLR, ...)
  23. 23. 27 28 Ochrona Używanie przeglądarek WWW oraz aplikacji z opcją Sandbox Migracja do nowych OS - Windows Vista, 7 Dwustopniowe uwierzytelnianie Dezaktywacja funkcjonalności Firewall (IPv4+IPv6) Filtry zawartości WWW (in/out) / IDS, IPS, DLP Porządek – OS, Sieć, Urządzenia - dokumentacja Wi-Fi Komunikacja z zewnętrznymi podmiotami / Dział bezpieczeństwa Centralne, zsynchronizowane logowanie Zarządzanie fizycznym dostępem Urządzenia przenośne / Full Disk Encryption Backup / Disaster Recovery Plan
  24. 24. Pytania?b.lacki@logicaltrust.net

×