Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyborowego zespołu nad automatycznymi narzędziami.
1.
2. 02 28
2013.03.26
Nietuzinkowe przypadki
z testów penetracyjnych
czyli historia o wyższości wyborowego
zespołu nad automatycznymi
narzędziami
Borys Łącki
3. 03 28
Borys Łącki
testy penetracyjne, audyty, szkolenia, konsultacje
logicaltrust.net, ISEC Security Research
www.bothunters.pl ~ 5 lat blogowania o cyberprzestępstwach
Prelekcje: Secure, Internet Banking Security, ISSA,
Securecon, SEConference, SekIT, PTI, Open Source
Security, PLNOG, Software Freedom Day, Pingwinaria, Grill
IT (…)
http://www.goldenline.pl/borys-lacki
4. 04 28
Test penetracyjny
„Proces polegający na przeprowadzeniu
kontrolowanego ataku na system
teleinformatyczny, mający na celu praktyczną
ocenę bieżącego stanu bezpieczeństwa
tego systemu, w szczególności obecności
znanych podatności i odporności na próby
przełamania zabezpieczeń” - Wikipedia
5. 05 28
Skuteczny test penetracyjny
„Jedynym ograniczeniem jest Twoja wyobraźnia*”
* - wiedza + doświadczenie + kreatywność
6. 06 28
Asymetrie i motywacje
Dobry specjalista od defensywy musi być przede wszystkim specjalistą
od ofensywy – nieosiągalne w warunkach organizacji
Występuje asymetria domen i wiedzy
Strona defensywna musi zajmować się wszystkimi zasobami pod swoją
jurysdykcją i martwić się o inne jurysdykcje
Intruz szuka najkrótszej drogi do systemu, wybierając najsłabsze ogniwo – często
zasób poza zasięgiem atakowanej organizacji
14. 14 28
Nietuzinkowe przypadki...
nietuzinkowy
wyróżniający się spośród ogółu, rzadko spotykany
15. 15 28
SMTP box
Moduł antispam – 0day
Identyfikacja podatności w komponencie
dekompresującym załączniki do poczty
Atak directory traversal:
../../../../inny_katalog/dowolna nazwa
Manipulacja mechanizmem autoryzacji webmail
poprzez wstrzyknięcie plików sesji
Błędy w konfiguracji oprogramowania
Owned
16. 16 28
Past Google Code Injection
Google zaindeksowało incydent bezpieczeństwa
Snapshot listy procesów, katalogów, zawartości
plików
Dane uwierzytelniające zapisane w aplikacji
Dostęp do kodów źródłowych aplikacji
Analiza kodów źródłowych
Wykrycie podatności
Owned
23. 23 28
VoIP
Phishing
Dostęp do panelu centrali telefonicznej – 0-day
Zestawienie tuneli VoIP do centrali firmy
Telefon do pracowników z „numeru wewnętrznego”
Eskalacja uprawnień wewnątrz sieci
Owned
24. 24 28
Bug tracking
Podatność – uzyskanie loginów
Profilowane słowniki haseł
Uzyskanie dostępu do systemu śledzenia błędów
Zakup domeny bliźniaczo podobnej do producenta
oprogramowania
Utworzenie fałszywej strony z „poprawką”
Utworzenie zgłoszenia o ważnej aktualizacji
Owned