goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

10 Jahre Audits Ergebnisse, Erfahrungen, Lessons Learned

Andreas Wisler, CEO

GO OUT Production GmbH

1

Fakten

Hacker haben den Weg ins Internet gefunden

• Quelle: Schweizer Familie 40/11



Fakten

3

2012: 93’150 neue Schädlinge pro Tag

Fakten

• Anzahl nicht erkannter Malware

4



Fakten

• Virenflut : Suisa

Fakten

• Virenflut : Bund / Polizei



Fakten

Scareware : Beispiel eines Kunden

Phishing Angriff

Vorbereitung: Was weiss Yasni?



Phishing Angriff

• Umfrage zur Qualität des Passwortes

9

Phishing Angriff

• Auswertung

• 56x Internet Explorer, 1x Chrome



Phishing Angriff

• Auswertung

• Formular wurde 104x ausgefüllt

• Bewertung: 27x Mittel, 61x Sicher, 15x Sehr sicher

• 6 Personen nutzen das Passwort auch ausserhalb

• 22 Personen haben das Passwort vor Versand

wieder gelöscht

• auch einfache Passworte vorhanden: Sommer13,

Beckham13, Grauer123, Mario08, Batman123,

NewOrleans11, Fribourg36, DreamBox01,

Federer300, malediven13, Alex2002, Arna2012

Social Engineering

• «Verlorene» Kreditkarte

• Ablauf:

• Adresse Zielpersonen heraussuchen

• Brief 1, Kreditkarte verloren und Umzug

12



Social Engineering

• Kontrolle des Arbeitsplatzes, «Dongle»

13

Social Engineering

• «Einbruch»

14



Ablauf eines PTs

• Workshop• Definition der Ziele

• Art der Tests (White, Gray, Black Box)

• Testphase• Roter Faden im Auge behalten!

• Bericht

• Präsentation

• Weitere Informationen: http://www.pentest-standard.org

Pre-engagement Interactions

Intelligence Gathering

Threat Modeling

Vulnerability Analysis

ExploitationPost

ExploitationReporting

PT - Vorbereitungen

• Informationen im Internet

http://www.pentest-standard.org/



PT - Ergebnisse

• Emailversand intern intern

PT - Ergebnisse

• Self Signed Zertifikate -> MITM-Potenzial

18



PT - Ergebnisse

• Erreichbare Firewall-Konsolen. Passwort?

PT - Ergebnisse

• RDP (direkter Zugriff auf Terminalserver)

20



PT - Ergebnisse

PT - Ergebnisse

• Seiteninhalt wird «überschrieben»



PT - Ergebnisse

• Session Hijacking

PT - Ergebnisse

• Session Hijacking



PT - Ergebnisse

25

Slowloris DoS

PT intern - Ergebnisse

26

Desktop Arbeitsplatz




27

Zugriff ins Netzwerk trotz MAC-Filter


ARP Spoofing

OpferNetzwerkgateway

ARP-Tabelle10.x.y.2 00:0C:30:99:78:7F10.x.y.107 00:22:19:2F:04:1D10.x.y.121 5C:26:0A:0F:7B:DE...

ARP-Tabelle10.x.y.2 00:0C:30:99:78:7F10.x.y.107 00:22:19:2F:04:1D10.x.y.121 5C:26:0A:0F:7B:DE...

Auditor10.x.y.107MAC-Adresse:5C:26:0A:0F:7B:DE




29

ARP Spoofing

OpferNetzwerkgateway

ARP-Tabelle10.x.y.2 5C:26:0A:0F:7B:DE10.x.y.107 00:22:19:2F:04:1D10.x.y.121 5C:26:0A:0F:7B:DE...

ARP-Tabelle10.x.y.2 00:0C:30:99:78:7F10.x.y.107 5C:26:0A:0F:7B:DE10.x.y.121 5C:26:0A:0F:7B:DE...

Auditor10.x.y.107MAC-Adresse:5C:26:0A:0F:7B:DE


30

unverschlüsselte Verbindungen




31

unverschlüsselte Verbindungen

LM / NTLM

• onlinehashcrack.com:

MD5, LM, NTLM, SHA1, MySQL, MD4, OSX, WPA(2)

• md5decrypter.co.uk:

MD5, LM, NTLM, SHA1

• cloudcracker.com:

WPA/WPA2, NTLM, SHA-512, MD5, MS-CHAPv2 (u.a.

PPTP)

• Oder Rainbow-Tables…

Cloud-Dienste



Internes Audit

• Ablauf / Vorgehen

Auswertung

Präsentation

Nachbesprechung

Audit

Vorbereitung

Bedürfnisaufnahme

Audit:- Rundgang- Server-Dienste- Netzwerkelemente- Arbeitsplatz

Audit - Ergebnisse

• Rundgang



Audit - Ergebnisse

• Rundgang

35

Schwachstellen

• Software-Schwachstellen nach Herstellern

Quelle: GFI, 07.02.13



Audit - Ergebnisse

37

Patchmanagement

Audit - Ergebnisse

Berechtigungen



Audit - Ergebnisse

Berechtigungen

Audit - Ergebnisse

40

Berechtigungen



Audit - Ergebnisse

Terminal Server Berechtigungen

Audit - Ergebnisse

• Berechtigungen

Vergessene Skripts / offene Drucker



Audit - Ergebnisse

43

Firewall

Audit - Ergebnisse

44

Domänenkontroller



Audit - Ergebnisse

• Kein Gerätepasswort

für ActiveSync OTA

• Automatische Weiter-

leitung erlaubt

45

Exchange

Audit - Ergebnisse

• Dropbox mit geschäftlichen Daten

46

Clients



Audit - Ergebnisse

47

Verseuchte Webseite?

Fazit

• Informations-Sicherheit ist eine ständige

Aufgabe (= Zeit und Budget notwendig)

• Patch-Management!

• Gefahr droht auch von Innen

• Nutzen der vorhandenen Möglichkeiten



Mit uns wissen Sie,

wie es um Ihre IT-Sicherheit steht!

Th. Furrer

S. Walser K. Haase N. Rasstrigina

A. Wisler S. Müller M. Schneider E. Kauth

C. Wehrli

Dienstleistungen

goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Technology

Transcript of goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned