3 robert randall osstmm

1

Dreamlab Technologies AGSecurity Testing & Vulnerability Landscape Switzerland

Today. Tomorrow. Secure.

1

© by Dreamlab Technologies AG 2011

2

Referent

Robert Randall

OSSTMM Instruktor, Produkt Manager, Projekt ManagerDreamlab Technologies AGDipl. Ing. FH IT Security, OPSA, OPST

15 Jahre zwischen Technik und Business und immer mit Sicherheit

Email: [email protected]: +41313986666

2

mailto:[email protected]

mailto:[email protected]


3

Dreamlab Technologies AG

Dreamlab Technologies arbeitet seit fast 15 Jahren

erfolgreich in der Sicherheitsindustrie.

Standorte in:

Berne (Headquarter)ZürichLyon (F)Chile / LATAM

3


4

Dreamlab Technologies AG

Consulting

EducationSolutions/ Operation

Audit

Security

Open standards

Security Consulting

Security Testing

Security Operations

Operational excellence

Bringing together research and industry

4


5

Agenda

Sicherheitstests, wozu?Wie man Diamanten raubt.

Wie man Sicherheit misst.

Wie man eindringt.

Wie man das Risiko managt.

Zusammenfassung

Diskussion

5

6

Sicherheitstests, wozu?

6


7

Etwas schützen.

7


8

Funktioniert mein Sicherheitsmechanismus?

8


9

Etwas schützen.

Der Wert, der geschützt werden sollte: Information.

9


10

Schutzziele

Vertraulichkeit

Nachvollziehbarkeit

Integrität

Verfügbarkeit

10


11

Geräte, die einfach funktionieren sollten.

11


12

Geräte, die einfach funktionieren sollten.

Wie der Sydney Morning Herald berichtet, ermittelte eine Studie, dass mehr als 100'000 Patienten einen Herzschrittmacher im Körper haben, der via WLAN gehackt werden kann.

12


13

Pleiten, Pech und Pannen.

13


14

No comment!

14

15

Wie man Diamanten raubt.

15


16

Was im Film funktioniert, klappt auch in der Realität...Quelle: Wired 14.04

16


17

... die Folge.

Quelle: Wired 14.04

17

18

Wie man Sicherheit misst.

18


19

Das Methodenhandbuch für Sicherheitstests

Standardisiert Sicherheitstests, macht sie objektiv überprüfbar und leicht reproduzierbar.

Ist offen zugänglich (www.osstmm.org), von Herstellern und Technologien unabhängig.

Setzt auf die Kreativität der Tester und auf Wissen statt Automatismen.

Wurde von der ISECOM entwickelt.

OSSTMM

19


20

Ein OSSTMM-Sicherheitstest ist

Eine qualifizierte Untersuchung

Eine Messung von

• Konfiguration, • Best Practice, • Belastbarkeit (rechtlichen Aspekten), • Prozesssicherheit,• Limitationen & Kontrollen.

Quantitativ + Qualitativ

20


22

Strukturierte Tests

Target

Channels

Find

ings

Vektor Scope

PHYSEC

COMSEC

SPECSEC

OSSTMM

21


23

Wirtschaftlicher Nutzen• Erfolgsfaktor Sicherheit: Return on Investment

• Managementkompatibel: Key Performance Index (KPI)

• Reproduzierbare Resultate: Risk Assesment Value (RAV)

OSSTMM

22


24

Technischer Nutzen• Sicherheit wird messbar.

• Maximale Testqualität.

• Unabhängigkeit und Kreativität.

OSSTMM

23

24

Zurück zum Diamantenraub.

24


26

Systematisches Vorgehen

Zielsystem definieren (Scope). Einflussfaktoren definieren (Scope). Angriffswinkel definieren (Vektor). Angriffsmethode wählen (Channel).

25


27

Zugang zum Gebäude verschaffen

26


28

Operative Sicherheit

Sichtbarkeit

Zugang

Vertrauensstellung

Limitationen

Kontrollen

Prozesse

27


29

Kontrollen → Limitationen

28


30

29


31

Im Vorraum zum Tresor

30


32

31


33

Diamantenraub

Gründliches und methodisches VorgehenEinbruch ist ein Handwerk

32


34

OSSTMM: Risk Assessment Value

- +

Limitations ControlsOperational Security

33


35

OSSTMM: Risk Assessment Value

- +

Visibility

Limitations ControlsOperational Security

Access

Trust

Vulnerability

Weakness

Anomaly

Exposure

Concern

VerschlüsselungConfidentiality

Alarming

Authentication

Monitoring

...

34


36

35


37

Der Fehler...

36


38

30. März 2011Basel: Diamanten für Millionen geraubt

An der Uhren- und Schmuckmesse „Baselworld“ haben Unbekannte vier Diamanten mit Millionenwert gestohlen. Trotz sofort verriegelter Halle gelang es den Tätern zu entkommen. Drei Unbekannte hätten die Angestellten eines Diamantenhändlers abgelenkt, sagte ein Sprecher der Staatsanwaltschaft. Derweil stahlen weitere Unbekannte die vier Diamanten aus einer Vitrine.

Quelle: Tamedia.

37

38

Wie man eindringt.(Beispiele)

38


40

Beispiele für systematisches Vorgehen

Treiber-Attacke Anatomie eines Webangriffes Aktuelle Ereignisse

39


41

Oktober 2009

Tausende Login-Daten bei Hotmail geklautPhishing: Täter veröffentlichen Passwörter von etwa 10'000 E-Mail-Konten im Internet. Auch Konten von Google's Gmail sollen betroffen sein.

Quelle: http://www.abendblatt.de/ratgeber/multimedia/article1216906/Tausende-Login-Daten-bei-Hotmail-geklaut.html

40


42

Aug. 2010iPhone und iPad mit SicherheitslückeDass man das iPhone, iPad und iPod Touch einfach per Webseitenbesuch hacken kann, ist für manche User praktisch, doch sicherheitstechnisch sehr bedenklich. Das Öffnen eines PDFs genügt, um die Kontrolle über das System zu verlieren.

Quelle: Computerworld.de; http://www.f-secure.com/weblog/archives/00002003.html

41


43

April 2011FBI gelingt massiver Schlag gegen Coreflood-BotnetzDer US-Polizeibehörde FBI ist ein massiver Schlag gegen Online-Kriminelle gelungen. Ein durch den Computervirus Coreflood aufgebautes Botnetz, in dem fast zweieinhalb Millionen Computer eingebunden waren, konnte abgeschaltet werden. Mit dem Botnetz sollen vermutlich aus Russland stammenden Cybergangster bis zu 100 Millionen US-Dollar erbeutet haben.

http://computer.t-online.de/coreflood-fbi-legt-gefaehrliches-mega-botnetz-lahm/id_45751270/index

42


44

HB Gary's Firmen-E-Mails gehackt und publiziert

Quelle: http://search.hbgary.anonleaks.ch/43

44

Wie man das Risiko managt.

44


46

Risk Assessment Value (RAV)Ist ein Prozentwert, basierend auf verschiedenen

Einflussgrössen:

Operative Sicherheit

Verwundbarkeit

Schutzmassnahmen

Er basiert auf technisch schlüssigen, verifizierbaren Fakten.

Risiko-Management kann damit objektiv unterstützt werden.

45


47

Risk Management

Probability Impact* = Rx

46


48

Risk Management & RAV

probability impact* = Rx

RAV

Critical application

CMS

DHCP / DNS

...

RAVx

RAVx

RAVx

RAVx

RAVx

47


49

Risk Map

Med

Med

High

Low

Rx

RxRx

Rx

Rx

Rx

Rx

Rx

RxRx

Rx

impact CHF

probability

48


50

Return on Investment:Better RAV, lower probability

Rx

impact CHF

probability

Target

RAV = 90 %

Probability Impact* Rx = Probability Impact* Rx =

49


51

Return on Investment:Lower probability, lower risk.

Rx

impact CHF

probability

Target

RAV = 90 %

Probability Impact* Rx =

50


Ziel: Integrales Security-Management

51

52

Zusammenfassung

52


54

Vorteile des OSSTMM (1):Sie haben den Zustand Ihrer Systeme im Blick.

53


55

Vorteile des OSSTMM (2):Sie erhalten zuverlässige und vergleichbare Daten.

54


56

Vorteile des OSSTMM (3):Grundlage von Compliance

Vision

Strategy

Operation

Implementation

Regulatorien & Standards

Gesetze

OSSTMM erfüllt alle Anforderungen von Regulatorien, Standards & Gesetzen zur Überprüfung der Compliance

55


57

Skalierbare Tests

56


58

Der Risk Assessment Value

Target

Findings

Scope

57


59

Messbare Sicherheit

Rav = 77 %

Rav = 73,5 %

Rav = 88 %Rav = 95 %

Rav = 70 %

Rav = 96 %

Rav = 60 %

Rav = 86 %

58


Sie bleiben frei und unabhängig.

59


61

60

61

Questions & Answers

61

3 robert randall osstmm

Technology