Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
10 Jahre Audits Ergebnisse, Erfahrungen, Lessons Learned
Andreas Wisler, CEO
GO OUT Production GmbH
1
Fakten
Hacker haben den Weg ins Internet gefunden
• Quelle: Schweizer Familie 40/11
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Fakten
3
2012: 93’150 neue Schädlinge pro Tag
Fakten
• Anzahl nicht erkannter Malware
4
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Fakten
• Virenflut : Suisa
Fakten
• Virenflut : Bund / Polizei
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Fakten
Scareware : Beispiel eines Kunden
Phishing Angriff
Vorbereitung: Was weiss Yasni?
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Phishing Angriff
• Umfrage zur Qualität des Passwortes
9
Phishing Angriff
• Auswertung
• 56x Internet Explorer, 1x Chrome
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Phishing Angriff
• Auswertung
• Formular wurde 104x ausgefüllt
• Bewertung: 27x Mittel, 61x Sicher, 15x Sehr sicher
• 6 Personen nutzen das Passwort auch ausserhalb
• 22 Personen haben das Passwort vor Versand
wieder gelöscht
• auch einfache Passworte vorhanden: Sommer13,
Beckham13, Grauer123, Mario08, Batman123,
NewOrleans11, Fribourg36, DreamBox01,
Federer300, malediven13, Alex2002, Arna2012
Social Engineering
• «Verlorene» Kreditkarte
• Ablauf:
• Adresse Zielpersonen heraussuchen
• Brief 1, Kreditkarte verloren und Umzug
12
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Social Engineering
• Kontrolle des Arbeitsplatzes, «Dongle»
13
Social Engineering
• «Einbruch»
14
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Ablauf eines PTs
• Workshop• Definition der Ziele
• Art der Tests (White, Gray, Black Box)
• Testphase• Roter Faden im Auge behalten!
• Bericht
• Präsentation
• Weitere Informationen: http://www.pentest-standard.org
Pre-engagement Interactions
Intelligence Gathering
Threat Modeling
Vulnerability Analysis
ExploitationPost
ExploitationReporting
PT - Vorbereitungen
• Informationen im Internet
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
PT - Ergebnisse
• Emailversand intern intern
PT - Ergebnisse
• Self Signed Zertifikate -> MITM-Potenzial
18
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
PT - Ergebnisse
• Erreichbare Firewall-Konsolen. Passwort?
PT - Ergebnisse
• RDP (direkter Zugriff auf Terminalserver)
20
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
PT - Ergebnisse
PT - Ergebnisse
• Seiteninhalt wird «überschrieben»
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
PT - Ergebnisse
• Session Hijacking
PT - Ergebnisse
• Session Hijacking
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
PT - Ergebnisse
25
Slowloris DoS
PT intern - Ergebnisse
26
Desktop Arbeitsplatz
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
PT intern - Ergebnisse
27
Zugriff ins Netzwerk trotz MAC-Filter
PT intern - Ergebnisse
ARP Spoofing
OpferNetzwerkgateway
ARP-Tabelle10.x.y.2 00:0C:30:99:78:7F10.x.y.107 00:22:19:2F:04:1D10.x.y.121 5C:26:0A:0F:7B:DE...
ARP-Tabelle10.x.y.2 00:0C:30:99:78:7F10.x.y.107 00:22:19:2F:04:1D10.x.y.121 5C:26:0A:0F:7B:DE...
Auditor10.x.y.107MAC-Adresse:5C:26:0A:0F:7B:DE
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
PT intern - Ergebnisse
29
ARP Spoofing
OpferNetzwerkgateway
ARP-Tabelle10.x.y.2 5C:26:0A:0F:7B:DE10.x.y.107 00:22:19:2F:04:1D10.x.y.121 5C:26:0A:0F:7B:DE...
ARP-Tabelle10.x.y.2 00:0C:30:99:78:7F10.x.y.107 5C:26:0A:0F:7B:DE10.x.y.121 5C:26:0A:0F:7B:DE...
Auditor10.x.y.107MAC-Adresse:5C:26:0A:0F:7B:DE
PT intern - Ergebnisse
30
unverschlüsselte Verbindungen
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
PT intern - Ergebnisse
31
unverschlüsselte Verbindungen
LM / NTLM
• onlinehashcrack.com:
MD5, LM, NTLM, SHA1, MySQL, MD4, OSX, WPA(2)
• md5decrypter.co.uk:
MD5, LM, NTLM, SHA1
• cloudcracker.com:
WPA/WPA2, NTLM, SHA-512, MD5, MS-CHAPv2 (u.a.
PPTP)
• Oder Rainbow-Tables…
Cloud-Dienste
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Internes Audit
• Ablauf / Vorgehen
Auswertung
Präsentation
Nachbesprechung
Audit
Vorbereitung
Bedürfnisaufnahme
Audit:- Rundgang- Server-Dienste- Netzwerkelemente- Arbeitsplatz
Audit - Ergebnisse
• Rundgang
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Audit - Ergebnisse
• Rundgang
35
Schwachstellen
• Software-Schwachstellen nach Herstellern
Quelle: GFI, 07.02.13
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Audit - Ergebnisse
37
Patchmanagement
Audit - Ergebnisse
Berechtigungen
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Audit - Ergebnisse
Berechtigungen
Audit - Ergebnisse
40
Berechtigungen
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Audit - Ergebnisse
Terminal Server Berechtigungen
Audit - Ergebnisse
• Berechtigungen
Vergessene Skripts / offene Drucker
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Audit - Ergebnisse
43
Firewall
Audit - Ergebnisse
44
Domänenkontroller
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Audit - Ergebnisse
• Kein Gerätepasswort
für ActiveSync OTA
• Automatische Weiter-
leitung erlaubt
45
Exchange
Audit - Ergebnisse
• Dropbox mit geschäftlichen Daten
46
Clients
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Audit - Ergebnisse
47
Verseuchte Webseite?
Fazit
• Informations-Sicherheit ist eine ständige
Aufgabe (= Zeit und Budget notwendig)
• Patch-Management!
• Gefahr droht auch von Innen
• Nutzen der vorhandenen Möglichkeiten
Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch
Mit uns wissen Sie,
wie es um Ihre IT-Sicherheit steht!
Th. Furrer
S. Walser K. Haase N. Rasstrigina
A. Wisler S. Müller M. Schneider E. Kauth
C. Wehrli
Dienstleistungen