Andreas Wisler GO OUT Production GmbH · 2011. 11. 25. · Andreas Wisler GO OUT Production GmbH...
Transcript of Andreas Wisler GO OUT Production GmbH · 2011. 11. 25. · Andreas Wisler GO OUT Production GmbH...
Häufigste Security-Lücken
Andreas WislerGO OUT Production GmbH
Dipl. Ing FH, CISSP, ISO 27001 Lead Auditor
www.goSecurity.ch / [email protected]
Agenda
• Gefahren• Social Engineering• Penetration Test• Interne Audits
– Rundgang– Technische Kontrolle– Organisation
• Massnahmen
Gefahren
• 31.10.11 : 13. MELANI-Halbjahresbericht meldet tägliche Spionageangriffe in der Schweiz
• 26.10.11 : Israel verliert Meldedaten sämtlicher Staatsbürger
• 24.10.11 : Für Europa zuständige Datenschutzbehörde ermittelt gegen Facebook
• 21.10.11 : iPhone belauscht Desktoptastaturen• 21.10.11 : Adobe Flash-Fehler ermöglicht
Spionage per Webcam• 5.10.11 : IT-Security: Schwachstelle Mensch
Social Engineering
• Schwachstelle Mensch wird direkt ausgenutzt– Phishing-Angriff– Besuch vor Ort
• Monteur• «Einbruch»
– USB Stick• Gewonnen, per Post• Liegen gelassen
Angriffe auf den Mensch
Grüss Gott. Ich komme von der Deutschen Bank.Immer wieder versuchen Gauner über fingierte Emails an Kontoinformationen zu gelangen. Der neueste Trick ist, dass Leute, die offensichtlich keine Bankmitarbeiter sind, von Tür zu Tür gehen, um Kontodaten auszuspähen. Deshalb mussten wir ihre Konten umstellen. Geben Sie mir bitte alle Ihre Sparbücher, damit wir diese kostenlos für Sie aktualisieren können.
Quelle: http://ritsch‐renn.com/
InformationssucheYasni, Facebook, Xing und Co…
Phishing Funktionsweise
Beispiel - Email
• Email Adressen auf Homepage, bei Xing und Google gesucht -> 144 Adressen gefunden
Beispiel - Homepage
Beispiel - Ergebnisse
• 1. Antwort nach 2 Minuten• Nach 10 Minuten 18 Antworten• Total 37 Antworten• Danach wurde die Seite im Proxy geblockt.
• (Erfolgs-) Rate 25.7 %
Besuch vor Ort
Penetration Test
• Vorgehen eines Hackers– Informationssuche– IP- / Port-Scan– Detailuntersuchung, Schwachstellen– Ausnutzen der Schwachstelle
Penetration Test - Ergebnisse
• Informationen im Internet
Penetration Test - Ergebnisse
• Erreichbare Firewall-Konsolen
Penetration Test - Ergebnisse
• Zertifikatsfehler
Penetration Test - XSS
• Seiteninhalt wird «überschrieben»
Cross-Site Scripting (XSS)
• Javascript: In Webseiten eingefügter Code, der im Browser ausgeführt werden
• Oft enthalten dynamisch generierte Webseiten die von einem Benutzer eingegebenen Daten – Produktresultatseiten, Google etc. zeigen den eingegebenen
Suchstring an
• Bei XSS nutzt ein Angreifer dieses Feature aus:
Testen auf XSS
• Eingabe eines einfachen Javascripts in verschiedenen Feldern von Web-Formularen:
• Bei Erfolg öffnet sichein Popup-Fenster
<script>alert("Testing XSS vulnerability");</script>
Beispiel: XSS
• Opfer hat Account für einen Web-Shop, Angreifer möchte Account-Daten erhalten.
• Angreifer hat ein entsprechendes JavaScript in einem Link in einer Nachricht in einem Web-Forum platziert, Opfer hat die Nachricht geöffnet.
Quelle: Marc Rennhard, ZHAW
Beispiele: XSS
Penetration Test - Ergebnisse
• Emailversand intern intern
Internes Audit
• Vorgehen
Auswertung
Präsentation
Nachbesprechung
Audit
Vorbereitung
Bedürfnisaufnahme
Audit - Ergebnisse
• Rundgang
Audit - Ergebnisse
• Rundgang
Audit - Ergebnisse
• Grunddienste
Audit - Ergebnisse
• Firewall
Audit - Ergebnisse
• Dienste
Audit - Ergebnisse
• Berechtigungen
• Achtung LM Hash!
Audit - Ergebnisse
• Berechtigungen
Audit – Organisation
• Organisatorische Mängel– Keine Vorgaben an die IT– Keine Weisungen vorhanden– Keine Notfallplanung– Dokumentation nicht aktuell– Fehlerhafte Netzwerkpläne– Logdaten werden nicht ausgewertet– Administrator ohne Passwort
Massnahmen
• Technisch– Grunddienste sauber konfigurieren– Regelmässige Kontrollen– Von Extern erreichbare Dienste härten
• Organisatorisch– Erstellen von einfachen Regelwerken– Aktualisierung von Dokumentation– Schulung von Mitarbeitern
Massnahmen
Bevor Massnahmen ergriffen werden können, benötigt es das Verständnis für die Gefahren und Abläufe sowie den Zusammenhängen.
Massnahmen
Wichtig für die Geschäftsleitung, IT-Abteilung• Verständnis wichtig• Viele Anforderungen• Gefahren und Risiken vorhanden• Audit hilft Schwachstellen zu erkennen
und zeigt Lösungen• Massnahmenumsetzung benötigt genügend Zeit• Schrittweise Umsetzung
Erkenntnisse
Mit uns wissen Sie, wie es um Ihre IT-Sicherheit steht!
Th. Furrer S. Walser K. Haase N. Rasstrigina
A. Wisler R. OttS. Müller M. Schneider
E. Kauth
Dienstleistungen …