SICHERHEITSPRÜFUNGEN ERFAHRUNGEN

Transkript

1 Zürcher Tagung 2012 SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Ivan Bütler Compass Security AG, Switzerland Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

2 Ethical Hacker / Penetration Tester Gründer & CEO Compass Security AG University of Applied Science Rapperswil University of Applied Science Lucerne University of St Gallen BlackHat Las Vegas 2008 SmartCard (In) Security IT Underground Warsaw 2009 Advanced Web Hacking Swiss IT Leadership Forum Nice 2009 Cyber Underground Founder of Swiss Cyber Storm Sec Conference Board member of Information Security Society Switzerland (ISSS) Board member of Cyber Tycoons Anti-Warfare Foundation Slide 2

3 Agenda Einleitung Problemfälle aus der Praxis Herausforderungen Ansatz zur Lösung Resumée Slide 3

4 Übersicht Security Testing Firma Lieferant Compliance Budget Sign-Off Awareness Treiber für Security Tests Ergebnisse / Gefahren Information Security Management Slide 4

5 Übersicht Security Testing Methoden manuell vs. automatisiert einmalig vs. regelmässig Blackbox vs. Whitebox mit und ohne Login Hands-On vs. Review mit oder ohne Social Eng. mit oder ohne Source Code von aussen oder innen? Slide 5

6 Übersicht Security Testing Simulation von Angreifern Intensität des Penetration Tests Slide 6

7 Agenda Einleitung Problemfälle aus der Praxis Herausforderungen Ansatz zur Lösung Resumée Slide 7

8 Beispiel 1: Pentest E-Banking Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

9 E-Banking Ausfall Bank X ist Kunde einer Shared E-Banking Infrastruktur Slide 9

10 E-Banking Ausfall Bank X will das Incident Management überprüfen - Attacke Slide 10

11 E-Banking Ausfall Incident Management Bank X: Shutdown Bank Mandant X Slide 11

12 E-Banking Ausfall Führende Bank fährt alle Bank Mandanten herunter - Oje Slide 12

13 E-Banking Ausfall Problem von Shared Infrastruktur Wer übernimmt den Schaden bei Ausfall von Bank Y und Z? Slide 13

14 Beispiel 2: USB Stick Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

15 Virus Angriff mit USB Stick Covert Channel Delivery with USB-Stick/CD-ROM Attacker controls the computer of the victim Start via Auto-Start Company Network Internet Slide 15

16 Virus Angriff mit USB Stick Stick unzustellbar Retour zu Sender (Fake Sender) Compass hackt eine fremde Post! Post versucht Sender zu identifizieren Slide 16

17 Beispiel 3: Keylogger Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

18 Angriff mit Keylogger Malicious Mail Kontrolle über den Opfer-PC Microsoft Office Word Document Slide 18

19 Angriff mit Keylogger Der Keylogger ist ein Stück Software, das die Tastatur belauscht und sämtliche Zeichen (Passworte) aufzeichnet. Slide 19

20 Angriff mit Keylogger Slide 20

21 Agenda Einleitung Problemfälle aus der Praxis Herausforderungen Ansatz zur Lösung Resumée Slide 21

22 Herausforderungen für Pentester Slide 22

23 Fehlende IT Security Spezialisten Ein- bzw. austretende Erwerbstätige in Deutschland heute Erwerbstätige erreichen das 65. Lebensjahr Neuzugänge der 21jährigen Quelle: Statistisches Bundesamt, Fachserie 1, Reihe 4.1.1, 1999; Statistische Jahrbücher Slide 23

24 ETH Zurich: Neue Studenten seit 1981 Es fehlen IT Security Fachkräfte Slide 24

25 Agenda Einleitung Problemfälle aus der Praxis Herausforderungen Ansatz zur Lösung Resumée Slide 25

26 Anforderung an die Lösungsfindung Fachkräfte finden, ausbilden, nutzen Internationalisierung, Sprache, Zeiten, Kultur Angewandte Forschung / Hacking Tendenzen erkennen Vertrauensbeziehung / Web of Trust Ethical Hacking wird zum Standard bei SLAs Slide 26

27 Ansatz für die Lösung: Community Research Projects Platform Talent Quest Online Training Virtual Pentesting Team CERT Support CERT Slide 27

28 Ansatz für die Lösung: Community Österreich sucht im Rahmen der Cyber Defense Strategie geeignete Nachwuchs Security Talente. Im Juli/Aug/Sept/Okt findet die Online Qualifikation statt. Im November 2012 das Finale. Slide 28

29 Ansatz für die Lösung: Ländergesellschaft Compass Schweiz Compass Deutschland Compass Security Compass UK Zentrale Bereitstellung von Know-How, Test Cases, Tools, Methodik, Vorgehen, Technik, Talente und Ausbildung Ethical Hacking und Penetration Testing Know How wird von Ländergesellschaften geleistet Virtuelle Teams werden über die Community koordiniert Slide 29

30 Resumée Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel Fax

31 Resumée Juristisch Security Assessments bei Verhandlung in SLA aufnehmen Security Assessments nur mit Einverständniserklärung Penetration Test Technologie Angewandte Forschung ist notwendig Spezialisten für Themenbereiche fördern (iphone, Android, Sharepoint,...) Automatisiert wo möglich; Manuell für gezielte Tests Internationalisierung Anpassung an Sprache, Kultur, Zeitzone Cloud Provider Shared Umgebungen entspricht Mandantenfähiger Lösung Nur mit Einwilligung Provider möglich Im Nachhinein verhandeln ist tendenziell der mühsamere Weg Slide 31