Digicomp Hacking Day 2013 Erfahrungen aus über 10 Jahren Audits. 10 Jahre Audits Ergebnisse, Erfahrungen, Lessons Learned

Transkript

1 10 Jahre Audits Ergebnisse, Erfahrungen, Lessons Learned Andreas Wisler, CEO GO OUT Production GmbH 1 Fakten Hacker haben den Weg ins Internet gefunden Quelle: Schweizer Familie 40/11

2 Fakten 2012: neue Schädlinge pro Tag 3 Fakten Anzahl nicht erkannter Malware 4

3 Fakten Virenflut : Suisa Fakten Virenflut : Bund / Polizei

4 Fakten Scareware : Beispiel eines Kunden Phishing Angriff Vorbereitung: Was weiss Yasni?

5 Phishing Angriff Umfrage zur Qualität des Passwortes 9 Phishing Angriff Auswertung 56x Internet Explorer, 1x Chrome

6 Phishing Angriff Auswertung Formular wurde 104x ausgefüllt Bewertung: 27x Mittel, 61x Sicher, 15x Sehr sicher 6 Personen nutzen das Passwort auch ausserhalb 22 Personen haben das Passwort vor Versand wieder gelöscht auch einfache Passworte vorhanden: Sommer13, Beckham13, Grauer123, Mario08, Batman123, NewOrleans11, Fribourg36, DreamBox01, Federer300, malediven13, Alex2002, Arna2012 Social Engineering «Verlorene» Kreditkarte Ablauf: Adresse Zielpersonen heraussuchen Brief 1, Kreditkarte verloren und Umzug 12

7 Social Engineering Kontrolle des Arbeitsplatzes, «Dongle» 13 Social Engineering «Einbruch» 14

8 Ablauf eines PTs Workshop Definition der Ziele Art der Tests (White, Gray, Black Box) Testphase Roter Faden im Auge behalten! Bericht Präsentation Preengagement Interactions Intelligence Gathering Threat Modeling Vulnerability Analysis Exploitation Post Exploitation Reporting Weitere Informationen: PT - Vorbereitungen Informationen im Internet

9 PT - Ergebnisse versand intern intern PT - Ergebnisse Self Signed Zertifikate -> MITM-Potenzial 18

10 PT - Ergebnisse Erreichbare Firewall-Konsolen. Passwort? PT - Ergebnisse RDP (direkter Zugriff auf Terminalserver) 20

11 PT - Ergebnisse PT - Ergebnisse Seiteninhalt wird «überschrieben»

12 PT - Ergebnisse Session Hijacking PT - Ergebnisse Session Hijacking

13 PT - Ergebnisse Slowloris DoS 25 PT intern - Ergebnisse Desktop Arbeitsplatz 26

14 PT intern - Ergebnisse Zugriff ins Netzwerk trotz MAC-Filter 27 PT intern - Ergebnisse ARP Spoofing Netzwerkgateway Auditor 10.x.y.107 MAC-Adresse: 5C:26:0A:0F:7B:DE Opfer ARP-Tabelle 10.x.y.2 10.x.y x.y :0C:30:99:78:7F 00:22:19:2F:04:1D 5C:26:0A:0F:7B:DE ARP-Tabelle 10.x.y.2 10.x.y x.y :0C:30:99:78:7F 00:22:19:2F:04:1D 5C:26:0A:0F:7B:DE

15 PT intern - Ergebnisse ARP Spoofing Netzwerkgateway Auditor 10.x.y.107 MAC-Adresse: 5C:26:0A:0F:7B:DE Opfer ARP-Tabelle 10.x.y.2 00:0C:30:99:78:7F 10.x.y.107 5C:26:0A:0F:7B:DE 10.x.y.121 5C:26:0A:0F:7B:DE... ARP-Tabelle 10.x.y.2 10.x.y x.y C:26:0A:0F:7B:DE 00:22:19:2F:04:1D 5C:26:0A:0F:7B:DE 29 PT intern - Ergebnisse unverschlüsselte Verbindungen 30

16 PT intern - Ergebnisse unverschlüsselte Verbindungen 31 LM / NTLM Cloud-Dienste onlinehashcrack.com: MD5, LM, NTLM, SHA1, MySQL, MD4, OSX, WPA(2) md5decrypter.co.uk: MD5, LM, NTLM, SHA1 cloudcracker.com: WPA/WPA2, NTLM, SHA-512, MD5, MS-CHAPv2 (u.a. PPTP) Oder Rainbow-Tables

17 Internes Audit Ablauf / Vorgehen Bedürfnisaufnahme Vorbereitung Audit Audit: - Rundgang - Server-Dienste - Netzwerkelemente - Arbeitsplatz Auswertung Präsentation Nachbesprechung Rundgang

18 Rundgang 35 Schwachstellen Software-Schwachstellen nach Herstellern Quelle: GFI,

19 Patchmanagement 37 Berechtigungen

20 Berechtigungen Berechtigungen 40

21 Terminal Server Berechtigungen Vergessene Skripts / offene Drucker Berechtigungen

22 Firewall 43 Domänenkontroller 44

23 Exchange Kein Gerätepasswort für ActiveSync OTA Automatische Weiterleitung erlaubt 45 Clients Dropbox mit geschäftlichen Daten 46

24 Verseuchte Webseite? 47 Fazit Informations-Sicherheit ist eine ständige Aufgabe (= Zeit und Budget notwendig) Patch-Management! Gefahr droht auch von Innen Nutzen der vorhandenen Möglichkeiten

25 Mit uns wissen Sie, wie es um Ihre IT-Sicherheit steht! A. Wisler Th. Furrer S. Müller M. Schneider E. Kauth C. Wehrli S. Walser K. Haase N. Rasstrigina Dienstleistungen