Top Findings bei Security Audits. DI (FH) Wolfgang Köppl

Transkript

1 Top Findings bei Security Audits DI (FH) Wolfgang Köppl

2

3 DI(FH) Wolfgang Köppl Top Findings bei Security Audits Absolvent Studiengang und Mediensicherheit / FH Hagenberg Gründer des Hagenberger Kreises, Organisator der ersten beiden Security Foren Berater bei Xenium in München Security Consultant bei Siemens CERT in München

4 Top Findings bei Sicherheitsuntersuchungen Security Forum 2006 Wolfgang Köppl, Siemens CERT Siemens AG, CT IC CERT

5 Es war einmal ein Geschirrspüler...

6 Was bietet dieser Vortrag? Scheinwerfer auf Schwachstellen, die unabhängig vom Unternehmen häufig anzutreffen, geschäftskritisch und vielen nicht bewusst sind Was wird nicht geboten Überblick über alle wichtigen Schwachstellen Bezugnahme auf bestimmte Untersuchungen/Infrastruktur (fiktive Beispiele) Ziel des Vortrags Schärfung Ihrer Sinne Erkennen Sie in Ihrem Unternehmen auftretende Probleme

7 Top Security Findings Überblick (1) Versteckspiel (2) Heimwerker (3) Schwachpunkt (4) Bisserl mehr (5) Offene Wunden

8 Top Finding 1 Versteckspiel oder Security by Hiding funktioniert nicht

9 Top Finding 1: Versteckspiel Einfacher Datenaustausch? /intexch/busopportunities.pdf Vertraulich!

10 Top Finding 1: Versteckspiel Varianten Passwort im Sourcecode versteckt Algorithmen nur sicher weil geheim Verstecken von Funktionen durch unbekannte Parameter Applikation muss nicht mehr geschützt werden. Die IP/URL kennt ja keiner

11 Top Finding 1: Versteckspiel Lesson learned Verstecken bietet keine Sicherheit! Sicherheitsmaßnahmen aufgrund Risikoanalyse treffen Beispiele: Öffentliche Information -> kein Schutz Alles was nicht morgen in der Zeitung stehen sollte -> Mit personalisierter Authentisierung schützen

12 Top Finding 2 Heimwerker oder Selbstgemacht ist auch unsicher

13 Angriffsversuche gegen selbstentwickelte Applikationen - Erfahrungswerte Penetration Testing auf Web Applikationen Erfolgreiches Hacking Unberechtigter Zugriff Berechtigungen umgangen XX 70 % Absturz Service abgestürzt oder inakzeptable Antwortzeit XX 90 %

14 Top Finding 2: Heimwerker Typische Aussagen Unsere Firewall blockt alle Angriffe ab! Wir verwenden Java/.NET das ist sicher! Wir verwenden das Framework XY! Das kümmert sich um Sicherheit! Wir verschlüsseln mit SSL/TLS Wir sind sicher! Kein Werkzeug löst alle Sicherheits-Probleme Jede Technik kann man unsicher einsetzen

15 Top Finding 2: Heimwerker Lesson learned Entwickler auf Sicherheit schulen Sicherheit im gesamten Entwicklungs-Prozess beachten Fehler am Beginn beseitigen ist billiger Wichtige Applikationen sicherheitsmäßig testen lassen Neugierig geworden?

16 Top Finding 3 Schwachstelle oder Die Hintertür ist nicht abgeschlossen

17 Top Finding 3: Immer auf die Schwachen Eine abgesicherte Infrastruktur

18 Top Finding 3: Immer auf die Schwachen Das schwächste Glied in der Kette Datenbank produktiv Entwicklungssystem Kopie der Livedaten

19 Top Finding 3: Immer auf die Schwachen Lesson learned Sicherheit so gut wie schwächstes Glied Entwicklungssysteme und Teilkomponenten absichern! Gesamtbild betrachten

20 Top Finding 4 Darfs ein bisserl mehr sein

21 Top Finding 4: Darfs ein bisserl mehr sein So solls sein... Kostenrechnung Konkurrenz Einkauf Verkauf Einkauf Kosten Verkauf Fred Maier Rechte in Business-Applikation:

22 Top Finding 4: Darfs ein bisserl mehr sein So ist es oft... Kostenrechnung Konkurrenz Einkauf Rechte in Business-Applikation: Kosten Verkauf + Einkauf Fred Maier + Verkauf

23 Top Finding 4: Darfs ein bisserl mehr sein Lesson learned Rechte so eng wie möglich so weit wie nötig vergeben Regelmäßige Überprüfung der Rechte Rechteänderung in Prozess für Personaländerung integrieren

24 Top Finding 5 Offene Wunde oder Unbewußt und unsicher

25 Top Finding 5: Offene Wunden Interview mit Verantwortlichen 443 Nur Zugriff mit HTTPS Betriebssystem und Web server gepatched Server nach NSA Guidelines gehärtet

26 Top Finding 5: Offene Wunden Die Realität ist nicht bewusst Services installiert und vergessen Kein Patch-Prozess Unsichere Konfiguration

27 Top Finding 5: Offene Wunden Die vernachlässigten Fremdkomponenten Unsichere Hilfskomponenten Standardpasswörter nicht geändert Ausnutzbare Schwachstellen Unsichere Authentisierung Unrestriktierter Zugriff auf Ressourcen... Fremdkomponenten zunehmend auch in eigenen Applikationen und Produkten

28 Top Finding 5: Offene Wunden Lesson learned ALLE unbenötigten Services abschalten Patchprozess für ALLE ansprechbaren Komponenten/Services Sichere Konfiguration ALLER Services Entscheidung für Fremdkomponente: Sicherheit bedenken!

29 Vielleicht entdecken Sie die Bilder auch in Ihrem Unternehmen