Penetration Testing und Ethical Hacking Joel Tekeste, IBM Security Services Advisory IT Specialist

Transkript

1 Kunde und IBM vertraulich August 2011 Mögliche Sicherheitslücken im Unternehmen erkennen Die IBM Sicherheitsanalyse Kompakt Penetration Testing und Ethical Hacking Joel Tekeste, IBM Security Services Advisory IT Specialist 2011 IBM Corporation

2 Agenda Einordnung und Zielsetzung Vorgehensweise und Methodik Inhalte und Schritte des Penetration Tests Herbstpromotion und Preise 2 IBM und Kunde vertraulich

3 Warum Ethical Hacking / Penetration Testing? Welche Schwachstellen und Risiken bestehen in unserer IT-Infrastruktur? Welche Gefahren könnten von einem Hacker oder internen Mitarbeiter ausgehen? Auf welche vertraulichen Informationen und Daten könnte ein Hacker zugreifen? Ist unsere Webanwendung ausreichend vor Angriffen geschützt? Sind kritische Daten und Geschäftsanwendungen ausreichend vor Angriffen geschützt? 3 IBM und Kunde vertraulich

4 Einordnung Ethical Hacking / Penetration Testing (1/2) Abgrenzung zum Information Security Assessment Kick-off Meeting Security Process Review Interviews Abschlussbericht Dokumentenrevision Technical Security Review Physical Security Review Datenanalyse Geschäftsführung (CEO) IT-Leiter (CIO) IT-Sicherheitsbeauftragter (ISO) Datenschutzbeauftragter Leiter Gebäudemanagement, Betrieb, Anwendungsentwicklung, Netzwerk, Personal, Revision... OPTIONAL: Follow-on Workshop Management Presentation Security Implementation Review 4 IBM und Kunde vertraulich

5 Einordnung Ethical Hacking / Penetration Testing (1/2) Abgrenzung zum Information Security Assessment Kick-off Meeting Security Process Review Interviews Abschlussbericht Dokumentenrevision Technical Security Review Physical Security Review Datenanalyse Geschäftsführung (CEO) IT-Leiter (CIO) IT-Sicherheitsbeauftragter (ISO) Datenschutzbeauftragter Leiter Gebäudemanagement, Betrieb, Anwendungsentwicklung, Netzwerk, Personal, Revision... OPTIONAL: Follow-on Workshop Management Presentation Security Implementation Review Penetration Testing und Ethical Hacking 5 IBM und Kunde vertraulich

6 Einordnung Ethical Hacking / Penetration Testing (2/2) Ethical Hacking Aufwand / Zeit Penetration Testing Weiterführende Techniken Ausnutzen von Schwachstellen Vulnerability Scanning Ausnutzen von Schwachstellen Prüfung auf Schwachstellen Portscanning Prüfung auf bekannte Schwachstellen Prüfung auf bekannte Schwachstellen Identifikation laufende Dienste Identifikation laufende Dienste Identifikation laufende Dienste Identifikation laufende Dienste Identifikation Server im Netzwerk 6 IBM und Kunde vertraulich

7 Begriffsklärung: Ethical Hacking / Penetration Testing Ethical Hacking / Penetration Testing ist die zeitlich beschränkte und kontrollierte Simulation eines echten Hackerangriffs und ist eine Methode, um eine Überprüfung eines Teils der IT- Sicherheit durchzuführen. Ethical Hacking / Penetration Testing ist gekennzeichnet durch: Analog zum Vorgehen von Hackern Ausnutzen der jeweils einfachsten Schwachstelle Kann nur negative Ergebnisse liefern Einbruch Erfolgreich: Systeme nicht sicher Einbruch Erfolglos: Keine Garantie für Sicherheit, da zuvor unbekannte Schwachstellen neue Angriffspunkte bieten können 7 IBM und Kunde vertraulich

9 Für die Durchführung von Ethical Hacking / Penetration Testing hat IBM eine Methodik entwickelt. IBM Ethical Hacking Methodology 9 IBM und Kunde vertraulich

10 Vorgehensweise Penetration Test Abfrage Netzwerkbasisinformationen Whois Record, DNS, traceroute Durchführung Portscans Identifizierung Dienste (offene TCP/IP Ports) Banner Informationen Durchführung TCP/IP Vulnerability Scans Liste von Schwachstellen Verifikation der Schwachstellen Recherche nach Schwachstellen, Verifikation (Testen von z.b. Buffer-Overflow und DoS Exploits), Brute-Force Loginversuche Eindringen in IT-Systeme Ausnutzung der verifizierten Schwachstellen Dokumentation der Ergebnisse Risiken, Gegenmaßnahmen, Handlungsempfehlungen 10 IBM und Kunde vertraulich

11 Agenda Einordnung und Zielsetzung Vorgehensweise und Methodik Inhalte und Schritte des Penetration Tests Zusammenfassung 11 IBM und Kunde vertraulich

12 Übersicht über das Vorgehen: Am Beispiel eines Internet und LAN Penetration Tests 1 Kickoff 2 Penetration Test Internet Systeme 3 LAN Penetration Test 4 Auswertung 5 Ergebnis- Workshop Übergabe relevanter Dokumente Absprache des Vorgehens Identifizierung von IT-Systemen Automatisiertes Scannen auf Schwachstellen Manuelle Verifizierung der Schwachstellen Eindringen in IT- Systeme Erstellen der Dokumentation Automatisiertes Scannen auf Schwachstellen Manuelle Verifikation der Schwachstellen Eindringen auf LAN IT-Systeme Untersuchung Mitarbeiter PC Abhören von Netzwerk- Datenverkehr Erstellen der Dokumentation Analyse der Ergebnisse Identifikation von Maßnahmen Erstellung Ergebnisreport Präsentation der Ergebnisse vor dem Auftraggeber Vereinbarung nächster Schritte Abgestimmtes Vorgehen Dokumentenübergabe Dokumentierter Internet Penetration Test Dokumentierter LAN Penetration Test Ergebnisbericht inklusive Empfehlungen Management- Bericht 12 IBM und Kunde vertraulich

13 Detaillierung zu Schritt 2: Penetration Test Internet Systeme 2 Penetration Test Internet Systeme Identifizierung von IT- Systemen Automatisiertes Scannen auf Schwachstellen Manuelle Verifizierung der Schwachstellen Eindringen in IT-Systeme Erstellen der Dokumentation Durchführung des Penetration Test Internet Systeme Ziel der technischen Überprüfung ist die Identifizierung von Schwachstellen in Bezug auf IT Sicherheit auf den IT- Systemen des Auftraggebers. Bei dieser Überprüfung werden ausgewählte Systeme im Internet untersucht. Es werden kommerzielle Tools, wie z.b. der Nessus Vulnerability Scanner, eingesetzt. Input Zustimmungserklärung des Auftraggebers Vereinbartes Vorgehen und Zielsysteme Aktivitäten Identifizierung von IT-Systemen und Anwendungen. Mittels Portscannern wird untersucht, welche Systeme im Internet sichtbar sind (Scan der Ports ). Das Ergebnis hierbei ist eine Liste von Systemen mit identifizierten offenen TCP/IP Ports. Automatisiertes Scannen der vereinbarten Systeme auf Schwachstellen. Es werden die ausgewählten Systeme je nach laufenden Services mittels verschiedener automatischer TCP/IP Vulnerability Scanner und Tools untersucht. Das Ergebnis ist eine Liste von potentiellen Schwachstellen. Manuelles Verifizieren von gefundenen Schwachstellen Es werden die gefundenen Schwachstellen Tool-basiert oder auch manuell verifiziert, um die tatsächliche oder potentielle Angreifbarkeit der Systeme und laufenden Dienste festzustellen. Eindringen in IT-Systeme unter Ausnutzung der Schwachstellen. Es wird stichprobenartig untersucht, ob die verifizierten Schwachstellen ausgenutzt werden können, um auf das jeweilige IT-System einzudringen und Kommandos auf Betriebssystemebene ausgeführt werden können. Erstellen der Dokumentation Um die Ergebnisse des Penetration Tests festzuhalten und als konkrete Grundlage für weitere Maßnahmen nutzen zu können, werden die gefundenen Sicherheitslücken dokumentiert und es werden Gegenmaßnahmen und Handlungsempfehlungen zur Erhöhung der IT-Sicherheit dargestellt. Output Dokumentierter Penetration Test der Internet Systeme Annahmen Es werden maximal 8 an das Internet angebundene Systeme (8 IP-Adressen) untersucht. Die IP-Adressen der IBM Internet Scanner Systeme, von dem aus die Tests durchgeführt werden, werden dem Auftraggeber vor Beginn der Scans mitgeteilt. Es werden auch Tests auf Denial-of-Service und Buffer-Overflow - Anfälligkeit durchgeführt. Die Durchführung von Brute-Force Loginversuchen wird nur nach Absprache mit dem Auftraggeber durchgeführt. 13 IBM und Kunde vertraulich

14 Detaillierung zu Schritt 3: LAN Penetration Test 3 LAN Penetration Test Automatisiertes Scannen auf Schwachstellen Manuelle Verifikation der Schwachstellen Eindringen auf LAN IT- Systeme Untersuchung Mitarbeiter PC Abhören von Netzwerk- Datenverkehr Erstellen der Dokumentation Durchführung LAN Penetration Test Ziel dieser technischen Überprüfung ist es, IT Systeme mit sicherheitsrelevanten Schwachstellen, wie z.b. Konfigurationsfehler und fehlende Security-Patches aufzufinden, aber auch Aussagen über z.b. die umgesetzte Passwort-Qualität treffen zu können. Zur Durchführung werden kommerzielle Tools, wie z.b. der Nessus Vulnerability Scanner, aber auch spezielle Hacker-Tools, wie z.b. das Metasploit Framework, und Password-Tools, wie z.b. Ophcrack, eingesetzt. Input Vereinbartes Vorgehen, welche Systeme und/oder Methoden zu wählen sind. Aktivitäten Durchführung von TCP/IP Vulnerability Scan ( Black-Box ) Auffinden von sicherheitsrelevanten Schwachstellen auf LAN IT-Systemen. IBM empfiehlt bei diesem Schritt möglichst viele LAN IT-Systeme automatisiert zu scannen, um realistische Aussagen bezüglich der IT-Sicherheit der LAN Systeme treffen zu können. Manuelles Verifizieren von gefundenen Schwachstellen ( Black Box ) Es werden die gefundenen Schwachstellen Tool-basiert oder auch manuell verifiziert, um die tatsächliche oder potentielle Angreifbarkeit der Systeme und laufenden Dienste festzustellen. Eindringen auf LAN IT-Systeme ( Black-Box ) Nach Rücksprache werden geeignete Schwachstellen ausgenutzt, um unberechtigten Zugriff auf IT-Systeme zu erlangen. Anschließend wird untersucht an welche Daten und Informationen ein möglicher Angreifer auf dem IT-System gelangen kann. Untersuchungen Mitarbeiter PC Es wird ermittelt auf welche Daten und Informationen auf einem Mitarbeiter PC oder Laptop zugegriffen werden kann, falls dieser z.b. durch Verlust in die Hände eines Hackers gerät oder z.b. ein nicht autorisierter externer Mitarbeiter physischen Zugang zu einem Mitarbeiter PC hat. Abhören Netzwerkdatenverkehr Es wird untersucht, an welche Daten und Informationen (z.b. Passwörter) ein Angreifer im LAN durch das Abhören von Netzwerkdatenverkehr gelangen kann. Erstellen der Dokumentation Um die Ergebnisse des Penetration Tests festzuhalten und als konkrete Grundlage für weitere Maßnahmen nutzen zu können, werden die gefundenen Sicherheitslücken dokumentiert und es werden Gegenmaßnahmen und Handlungsempfehlungen zur Erhöhung der IT-Sicherheit dargestellt. Output Dokumentierter LAN Penetration Test Annahmen IBM empfiehlt keine Tests auf Denial-of-Service und Buffer-Overflow - Anfälligkeit durchzuführen. Die Durchführung von Brute-Force Loginversuchen wird nur nach Absprache mit dem Auftraggeber durchgeführt. Es wird ein Mitarbeiter PC oder Laptop untersucht Es werden max. 100 LAN IT-Systeme automatisiert gescannt 14 IBM und Kunde vertraulich

15 Beispielhafter Zeitplan: Internet und LAN Penetration Test Woche 1) Kick-off Meeting 2) Internet Penetration Test 3) LAN Penetration Test 4) Auswertung 5) Ergebnisworkshop Die Projektplanung wird nach dem Kickoff Meeting angepasst und entsprechend detailliert. 15 IBM und Kunde vertraulich

16 Besonders Webanwendungen sind gefährdet! Security Sicherheit Ausgaben % der Angriffe % der Ausgaben Web Applications 10% 75% 90% 25% Network Server aller Angriffe auf Informationssicherheit 75% Finden im Web Application Layer statt 2/3 aller Webanwendungen sind gefährdet Quellen: Gartner, Watchfire 16 IBM und Kunde vertraulich 16

17 Sicherheitsuntersuchung von Webanwendungen mit IBM Rational AppScan Automatisiertes Tool zum Aufdecken von Sicherheitslücken in Web- Anwendungen (dynamische Analyse / Black Box Test) Zweistufiges Vorgehen: 1. Auslesen der URL-Struktur, um potentielle Angriffspunkte zu finden 2. Test der gefundenen Angriffspunkte Über vordefinierte Sicherheitsund Compliance-Tests Tests als nicht-autorisierter und autorisierter Benutzer 17 IBM und Kunde vertraulich

18 Beispiele aus Penetration Testing Projekten (1/2) Scan nach möglichen Schwachstellen (Nessus Vulnerability Scanner) Angriff: Fehlendes Sicherheitsupdate MS08-067: Eindringen auf IT-System und Auslesen von Windows Passwort Hashes (Metasploit Framework) Angriff: Kryptoanalyse auf einen Windows LM Passwort Hash mittels Rainbow Tables (Cain&Abel) 18 IBM und Kunde vertraulich

19 Beispiele aus Penetration Testing Projekten (2/2) Erfolgreicher Brute-Force Angriff auf einen MS-Cache Passwort Hash (JtR) Angriff: Abhören von Netzwerkdaten, Mitlesen von Passwort Hashes (Cain&Abel) Angriff: Mitlesen von Tastatureingaben mittels eines Keyboard-Sniffers (Metasploit Framework) 19 IBM und Kunde vertraulich

20 Erfahrungen aus Penetration Testing Projekten - Top Findings Top Findings: Security Policy oft nur unzureichend definiert Passwort Management Schwache Passwörter, identische Passwörter, kein Wechsel von Passwörtern Systemhärtung Konfiguration von Diensten, schwache Verschlüsselung bei Speicherung oder Übertragung von Passwort Hashes, Standard Passwörter Patch Management Microsoft und nicht-microsoft Produkte Keine Infos über neue Schwachstellen oder neu verfügbare Sicherheitsupdates Removable Media Handhabung von z.b. USB Sticks 20 IBM und Kunde vertraulich

21 Erfahrungen aus Penetration Testing Projekten - Beispiel Kunden LAN: Zugriff auf alle Systeme der Domäne Kritische MS Updates fehlen (18 Server Systeme) Hinzufügen ibmhacker Benutzer auf DC Auslesen von ca Domänen PW Hashes Domain Administrator PW MSSQL Datenbank mit Standard PW Lokales Administrator PW Zugriff auf über 73 Server Systeme Kritische MS Updates fehlen (10 Client Systeme) Lokales Administrator PW Weitere Angriffsmöglichkeiten Installation Keyboard Sniffer Windows Access Tokens Schwachstelle Abhören Netzwerkdatenverkehr Wichtigste Hacker Tools für Angriffe im LAN: Metasploit Framework Cain & Abel 21 IBM und Kunde vertraulich

22 Beispiel Ergebnisbericht Internet und LAN Penetration Test Cattail-Link zu Beispiel Report Internet und LAN Penetration Test 22 IBM und Kunde vertraulich

23 Zusammenfassung Penetration Testing / Ethical Hacking ist eine zeitlich beschränkte Simulation eines Hacker Angriffs Im Gegensatz zu einem umfassenden Information Security Assessment wird nur die technische Umsetzung von Sicherheitsmaßnahmen beurteilt (keine Prozesse und i.d.r. keine Dokumente) Penetration Testing: Hilft mögliche Angriffe auf das Netzwerk und Ausfälle zu verhindern Identifiziert Schwachstellen und ermittelt Risiken Gibt kurz-, mittel- und langfristige Handlungsempfehlungen zur Erhöhung der IT-Sicherheit Gerade für KMU eine attraktive Methode zur Ermittlung des aktuellen Standes der IT-Sicherheit 23 IBM und Kunde vertraulich

26 Penetration Testing Herbst-Promotion (gültig bis 30. November 2011) Penetration Testing von 5 IP-Adressen zum Pauschalpreis Von 5.000,-- excl. MwSt. Sollte IBM während der Testphase keine Schwachstellen finden, übernimmt IBM die Kosten von und verzichtet auf eine Rechnungslegung. Als Schwachstelle gilt: Systems have already been "hacked" by malicious hackers System can be compromised directly by IBM, (e.g. due to patches missing or bad configuration Cross Site Scripting issue on a Website SQL Injection capability on a Website Lack of IP port restrictions, e.g. SMB, FTP etc. are available Browse able directories Significant data leakage, e.g. Password file can be obtained Weak SSL certificates 26 IBM und Kunde vertraulich

27 Penetration Testing Preise Service Penetration Test Pricing EUR 5,000 Add-on scoping items/services Additional IP addresses: up to 20 Total IPs Total IPs oper IP add-on obase fee add-on Total IPs oper IP add-on obase fee add-on Base Scope 5 IP address Website testing: up to 10 user input pages, less than 1,000 total pages up to 40 user input pages, less than 5,000 total pages Exploitation beyond targeted devices (additional internal systems) Externally facing IPs or targeted internal IP addresses Tasks to include: Reconnaissance Vulnerability assessment of in scope IPs Exploitation of vulnerable devices Additional Cost EUR 375 EUR 250 EUR 1,000 EUR 190 EUR 2,000 EUR 2,000 EUR 4,000 EUR 2,500 Unit Per IP Per IP Per pen test Per IP Per pen test Per discrete website Per discrete website Per day 27 IBM und Kunde vertraulich