Zürcher Tagung 2012 SICHERHEITSPRÜFUNGEN ERFAHRUNGEN Ivan Bütler Compass Security AG, Switzerland ivan.buetler@csnc.ch Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60 Fax+41 55-214 41 61 team@csnc.ch www.csnc.ch
Ethical Hacker / Penetration Tester Gründer & CEO Compass Security AG Lecturer @ University of Applied Science Rapperswil Lecturer @ University of Applied Science Lucerne Lecturer @ University of St Gallen Speaker @ BlackHat Las Vegas 2008 SmartCard (In) Security Speaker @ IT Underground Warsaw 2009 Advanced Web Hacking Speaker @ Swiss IT Leadership Forum Nice 2009 Cyber Underground Founder of Swiss Cyber Storm Sec Conference Board member of Information Security Society Switzerland (ISSS) Board member of Cyber Tycoons Anti-Warfare Foundation Slide 2
Agenda Einleitung Problemfälle aus der Praxis Herausforderungen Ansatz zur Lösung Resumée Slide 3
Übersicht Security Testing Firma Lieferant Compliance Budget Sign-Off Awareness Treiber für Security Tests Ergebnisse / Gefahren Information Security Management Slide 4
Übersicht Security Testing Methoden manuell vs. automatisiert einmalig vs. regelmässig Blackbox vs. Whitebox mit und ohne Login Hands-On vs. Review mit oder ohne Social Eng. mit oder ohne Source Code von aussen oder innen? Slide 5
Übersicht Security Testing Simulation von Angreifern Intensität des Penetration Tests Slide 6
Agenda Einleitung Problemfälle aus der Praxis Herausforderungen Ansatz zur Lösung Resumée Slide 7
Beispiel 1: Pentest E-Banking Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60 Fax+41 55-214 41 61 team@csnc.ch www.csnc.ch
E-Banking Ausfall Bank X ist Kunde einer Shared E-Banking Infrastruktur Slide 9
E-Banking Ausfall Bank X will das Incident Management überprüfen - Attacke Slide 10
E-Banking Ausfall Incident Management Bank X: Shutdown Bank Mandant X Slide 11
E-Banking Ausfall Führende Bank fährt alle Bank Mandanten herunter - Oje Slide 12
E-Banking Ausfall Problem von Shared Infrastruktur Wer übernimmt den Schaden bei Ausfall von Bank Y und Z? Slide 13
Beispiel 2: USB Stick Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60 Fax+41 55-214 41 61 team@csnc.ch www.csnc.ch
Virus Angriff mit USB Stick Covert Channel Delivery with USB-Stick/CD-ROM Attacker controls the computer of the victim Start via Auto-Start Company Network Internet Slide 15
Virus Angriff mit USB Stick Stick unzustellbar Retour zu Sender (Fake Sender) Compass hackt eine fremde Post! Post versucht Sender zu identifizieren Slide 16
Beispiel 3: Keylogger Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60 Fax+41 55-214 41 61 team@csnc.ch www.csnc.ch
Angriff mit Keylogger Malicious Mail Kontrolle über den Opfer-PC Microsoft Office Word Document Slide 18
Angriff mit Keylogger Der Keylogger ist ein Stück Software, das die Tastatur belauscht und sämtliche Zeichen (Passworte) aufzeichnet. Slide 19
Angriff mit Keylogger Slide 20
Agenda Einleitung Problemfälle aus der Praxis Herausforderungen Ansatz zur Lösung Resumée Slide 21
Herausforderungen für Pentester Slide 22
Fehlende IT Security Spezialisten Ein- bzw. austretende Erwerbstätige in Deutschland 250000 200000 150000 heute Erwerbstätige erreichen das 65. Lebensjahr Neuzugänge der 21jährigen 100000 50000 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 Quelle: Statistisches Bundesamt, Fachserie 1, Reihe 4.1.1, 1999; Statistische Jahrbücher Slide 23
ETH Zurich: Neue Studenten seit 1981 Es fehlen IT Security Fachkräfte Slide 24
Agenda Einleitung Problemfälle aus der Praxis Herausforderungen Ansatz zur Lösung Resumée Slide 25
Anforderung an die Lösungsfindung Fachkräfte finden, ausbilden, nutzen Internationalisierung, Sprache, Zeiten, Kultur Angewandte Forschung / Hacking Tendenzen erkennen Vertrauensbeziehung / Web of Trust Ethical Hacking wird zum Standard bei SLAs Slide 26
Ansatz für die Lösung: Community Research Projects Platform Talent Quest Online Training Virtual Pentesting Team CERT Support CERT Slide 27
Ansatz für die Lösung: Community Österreich sucht im Rahmen der Cyber Defense Strategie geeignete Nachwuchs Security Talente. Im Juli/Aug/Sept/Okt findet die Online Qualifikation statt. Im November 2012 das Finale. Slide 28
Ansatz für die Lösung: Ländergesellschaft Compass Schweiz Compass Deutschland Compass Security Compass UK Zentrale Bereitstellung von Know-How, Test Cases, Tools, Methodik, Vorgehen, Technik, Talente und Ausbildung Ethical Hacking und Penetration Testing Know How wird von Ländergesellschaften geleistet Virtuelle Teams werden über die Community koordiniert Slide 29
Resumée Compass Security AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Tel.+41 55-214 41 60 Fax+41 55-214 41 61 team@csnc.ch www.csnc.ch
Resumée Juristisch Security Assessments bei Verhandlung in SLA aufnehmen Security Assessments nur mit Einverständniserklärung Penetration Test Technologie Angewandte Forschung ist notwendig Spezialisten für Themenbereiche fördern (iphone, Android, Sharepoint,...) Automatisiert wo möglich; Manuell für gezielte Tests Internationalisierung Anpassung an Sprache, Kultur, Zeitzone Cloud Provider Shared Umgebungen entspricht Mandantenfähiger Lösung Nur mit Einwilligung Provider möglich Im Nachhinein verhandeln ist tendenziell der mühsamere Weg Slide 31