Top Banner
Digicomp Hacking Day 2013 Erfahrungen aus über 10 Jahren Audits GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 10 Jahre Audits Ergebnisse, Erfahrungen, Lessons Learned Andreas Wisler, CEO GO OUT Production GmbH 1 Fakten Hacker haben den Weg ins Internet gefunden Quelle: Schweizer Familie 40/11
25

goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Aug 20, 2015

Download

Technology

Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

10 Jahre Audits Ergebnisse, Erfahrungen, Lessons Learned

Andreas Wisler, CEO

GO OUT Production GmbH

1

Fakten

Hacker haben den Weg ins Internet gefunden

• Quelle: Schweizer Familie 40/11

Page 2: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

Fakten

3

2012: 93’150 neue Schädlinge pro Tag

Fakten

• Anzahl nicht erkannter Malware

4

Page 3: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

Fakten

• Virenflut : Suisa

Fakten

• Virenflut : Bund / Polizei

Page 4: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

Fakten

Scareware : Beispiel eines Kunden

Phishing Angriff

Vorbereitung: Was weiss Yasni?

Page 5: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

Phishing Angriff

• Umfrage zur Qualität des Passwortes

9

Phishing Angriff

• Auswertung

• 56x Internet Explorer, 1x Chrome

Page 6: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

Phishing Angriff

• Auswertung

• Formular wurde 104x ausgefüllt

• Bewertung: 27x Mittel, 61x Sicher, 15x Sehr sicher

• 6 Personen nutzen das Passwort auch ausserhalb

• 22 Personen haben das Passwort vor Versand

wieder gelöscht

• auch einfache Passworte vorhanden: Sommer13,

Beckham13, Grauer123, Mario08, Batman123,

NewOrleans11, Fribourg36, DreamBox01,

Federer300, malediven13, Alex2002, Arna2012

Social Engineering

• «Verlorene» Kreditkarte

• Ablauf:

• Adresse Zielpersonen heraussuchen

• Brief 1, Kreditkarte verloren und Umzug

12

Page 7: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

Social Engineering

• Kontrolle des Arbeitsplatzes, «Dongle»

13

Social Engineering

• «Einbruch»

14

Page 8: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

Ablauf eines PTs

• Workshop• Definition der Ziele

• Art der Tests (White, Gray, Black Box)

• Testphase• Roter Faden im Auge behalten!

• Bericht

• Präsentation

• Weitere Informationen: http://www.pentest-standard.org

Pre-engagement Interactions

Intelligence Gathering

Threat Modeling

Vulnerability Analysis

ExploitationPost

ExploitationReporting

PT - Vorbereitungen

• Informationen im Internet

Page 9: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

PT - Ergebnisse

• Emailversand intern intern

PT - Ergebnisse

• Self Signed Zertifikate -> MITM-Potenzial

18

Page 10: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

PT - Ergebnisse

• Erreichbare Firewall-Konsolen. Passwort?

PT - Ergebnisse

• RDP (direkter Zugriff auf Terminalserver)

20

Page 11: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

PT - Ergebnisse

PT - Ergebnisse

• Seiteninhalt wird «überschrieben»

Page 12: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

PT - Ergebnisse

• Session Hijacking

PT - Ergebnisse

• Session Hijacking

Page 13: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

PT - Ergebnisse

25

Slowloris DoS

PT intern - Ergebnisse

26

Desktop Arbeitsplatz

Page 14: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

PT intern - Ergebnisse

27

Zugriff ins Netzwerk trotz MAC-Filter

PT intern - Ergebnisse

ARP Spoofing

OpferNetzwerkgateway

ARP-Tabelle10.x.y.2 00:0C:30:99:78:7F10.x.y.107 00:22:19:2F:04:1D10.x.y.121 5C:26:0A:0F:7B:DE...

ARP-Tabelle10.x.y.2 00:0C:30:99:78:7F10.x.y.107 00:22:19:2F:04:1D10.x.y.121 5C:26:0A:0F:7B:DE...

Auditor10.x.y.107MAC-Adresse:5C:26:0A:0F:7B:DE

Page 15: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

PT intern - Ergebnisse

29

ARP Spoofing

OpferNetzwerkgateway

ARP-Tabelle10.x.y.2 5C:26:0A:0F:7B:DE10.x.y.107 00:22:19:2F:04:1D10.x.y.121 5C:26:0A:0F:7B:DE...

ARP-Tabelle10.x.y.2 00:0C:30:99:78:7F10.x.y.107 5C:26:0A:0F:7B:DE10.x.y.121 5C:26:0A:0F:7B:DE...

Auditor10.x.y.107MAC-Adresse:5C:26:0A:0F:7B:DE

PT intern - Ergebnisse

30

unverschlüsselte Verbindungen

Page 16: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

PT intern - Ergebnisse

31

unverschlüsselte Verbindungen

LM / NTLM

• onlinehashcrack.com:

MD5, LM, NTLM, SHA1, MySQL, MD4, OSX, WPA(2)

• md5decrypter.co.uk:

MD5, LM, NTLM, SHA1

• cloudcracker.com:

WPA/WPA2, NTLM, SHA-512, MD5, MS-CHAPv2 (u.a.

PPTP)

• Oder Rainbow-Tables…

Cloud-Dienste

Page 17: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

Internes Audit

• Ablauf / Vorgehen

Auswertung

Präsentation

Nachbesprechung

Audit

Vorbereitung

Bedürfnisaufnahme

Audit:- Rundgang- Server-Dienste- Netzwerkelemente- Arbeitsplatz

Audit - Ergebnisse

• Rundgang

Page 18: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

Audit - Ergebnisse

• Rundgang

35

Schwachstellen

• Software-Schwachstellen nach Herstellern

Quelle: GFI, 07.02.13

Page 19: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

Audit - Ergebnisse

37

Patchmanagement

Audit - Ergebnisse

Berechtigungen

Page 20: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

Audit - Ergebnisse

Berechtigungen

Audit - Ergebnisse

40

Berechtigungen

Page 21: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

Audit - Ergebnisse

Terminal Server Berechtigungen

Audit - Ergebnisse

• Berechtigungen

Vergessene Skripts / offene Drucker

Page 22: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

Audit - Ergebnisse

43

Firewall

Audit - Ergebnisse

44

Domänenkontroller

Page 23: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

Audit - Ergebnisse

• Kein Gerätepasswort

für ActiveSync OTA

• Automatische Weiter-

leitung erlaubt

45

Exchange

Audit - Ergebnisse

• Dropbox mit geschäftlichen Daten

46

Clients

Page 24: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

Audit - Ergebnisse

47

Verseuchte Webseite?

Fazit

• Informations-Sicherheit ist eine ständige

Aufgabe (= Zeit und Budget notwendig)

• Patch-Management!

• Gefahr droht auch von Innen

• Nutzen der vorhandenen Möglichkeiten

Page 25: goSecurity: 10 Jahre Audits – Ergebnisse, Erfahrungen, Lessons Learned

Digicomp Hacking Day 2013 – Erfahrungen aus über 10 Jahren Audits

GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch

Mit uns wissen Sie,

wie es um Ihre IT-Sicherheit steht!

Th. Furrer

S. Walser K. Haase N. Rasstrigina

A. Wisler S. Müller M. Schneider E. Kauth

C. Wehrli

Dienstleistungen