Alex Eden - Не доверяй и проверяй

754 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
754
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Alex Eden - Не доверяй и проверяй

  1. 1. Не доверяй и проверяй Американский опыт из части «проверяй» Алекс Идэн, РиМаКом
  2. 2. Вступление
  3. 3. Вступление• Колледж• Первая работа• Первый компютер (SS20)
  4. 4. APT (ПуПСик)• Постоянные Угрозы Повышенной Сложности – ПуПСик• Профессионалы безопасности: «от ЭйПиТи невозможно защититься»• Бизнес менеджеры реагируют
  5. 5. Закон Мёрфи• Закон Мёрфи: если есть вероятность того, что какая-нибудь неприятность может случиться, то она обязательно произойдёт.
  6. 6. «Судьба» или риск менеджмент• Взлом был всегда возможен• Остаточный риск• Безопасность на бумаге и безопасность в дата центре• Как удостоверится, что все контроли работают как и ожидается• Роль комплексной оценки
  7. 7. Семантика• Пентест (испытание на проникновение): – Главная цель ***проникновение*** – Проверка всех хостов – не цель – Проверка всех дыр – не цель• Оценка на уязвимость: – Главная цель ***оценка*** – Проверка всех хостов и приложений – Проверка всех дыр
  8. 8. Методологии• OSSTMM – детальная, бесплатная• NIST SP 800-115 – менее детальный, бесплатная; для правительственных организаций
  9. 9. Методология• Исследование цели• Зондирование цели• Идентификация цели• Оценка уязвимостей• Верификация (Эксплуатация) уязвимостей• Восстановление систем• Внешняя и внутренние фазы
  10. 10. Важные бизнес «мелочи»• Rules of Engagement• Детальный план тестирования• Процедура поддержания связи• Формат и частота отчётов• Whole Disk Encryption или Truecrypt контейнеры• Исключеные сети и системы
  11. 11. «Запорожец» или «Бумер»?
  12. 12. «Запорожец» или «Бумер»?• Оба могут выполнить задачу...• Скупой платит дважды• Ни один инструмент не гарантирует выполнение задачи
  13. 13. Аккаунты/пароли вендоров
  14. 14. Проблемы конфигурации• Огромный супер принтер, который сохранял всё, что печатал на открытой NFS share. Было найдено много абсолютно конфиденциальных документов.
  15. 15. Классическая Инъекция• 87 веб серверов: в пентесте выбирают low-hanging fruit, самое слабое звено в цепи• Маловажное веб приложение позволило классическую SQL Injection, но без прав админа
  16. 16. Информация куки в чистом виде• К счастью, это можно было исправить изменив значение переменной UserLevel в куке• Админ доступ дал доступ к паролям 40 других пользователей в чистом, не зашифрованном виде• 2 из этих паролей сработали на Ситрикс сервере и на VPN сервере• Они же оказались админами в Active Directory..... Та-да-а- а-а!
  17. 17. Persistent XSS• Здесь ещё одна классика: persistent XSS (чаще встречаются только reflected XSS)• Крадём идентификатор сессии админа, создаём у себя куки с этим идентификатором, и владеем сервером....
  18. 18. JBOSS• Сервер JBOSS, на котором «забыли» защитить деплойер• Анонимный пользователь мог внедрить любое приложение написаное в JAVA; мы внедрили простую шел
  19. 19. JBOSS• На Интернете не мало уязвимых JBOSS серверов• На ноутбуке мы быстро сделали наипростейшее шел приложение• Потом установили это на JBOSS сервер• Последний шаг... ревёрс шэл... (фантазия не бохатая)
  20. 20. В заключение• Зубы нужно чистить, желательно после каждого приёма пищи, даже если к вечеру они опять загрязнятся...• Нужно постоянно готовиться к защите от ПуПСика, пока это рентабельно.• Комплексная оценка безопасности всегда самый эффективный способ удостовериться, что ваши средства безопасности «ловят мышей».• Комерческие инструменты, в большинстве случаев, экономят деньги и повышают эффективность• Правильное проектное управление экономит деньги ***всегда***
  21. 21. Буду рад вашим бизнес предложениям!• Fishing – не Phishing…• Организую рыбалку в следующие выходные (на форель недалеко от Киева)• Alex.eden@rimacom.com• Мои профессиональные сертификаты: CISSP, CISM, PMP, и несколько других• 063-149-1776 (Киев)• 097-441-5414 (Киев)

×