CONCEPT VURORE/NOREA IT Audit Themadag VURORE/NOREA IT Audit Themadag Technical-audits en monitoring: simpele, effectieve voorbeelden Petr Kazil – EDP Audit Pool Technical-audits en monitoring: simpele, effectieve voorbeelden Petr Kazil – EDP Audit Pool
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
VURORE_PKA_Nov_2006 v03IT Audit Themadag
Technical-audits en monitoring:
simpele, effectieve voorbeelden
Technical-audits en monitoring:
simpele, effectieve voorbeelden
Dia 2
Verwachtingsmanagement - Disclaimer !
– Externe websites
– Windows infrastructuren
Alles staat in sheets.
Ik denk niet dat de infra-
structuur wordt
?
Niet gemeld 61%
Wel gemeld 14%
Soms gemeld 25%
• Iemand anders had het gemeld • Bezorgd over reactie collega’s • Bezorgd over positie in bedrijf
• Gebruiken / stelen bezit bedrijf • Te hoge / privé declaraties • Declareren niet gewerkte tijd
Bron: Kennis van fraude in bedrijven, Regioplan publicatienr.1166, 2004 – 503 respondenten
Fraude vaak niet gezien / gemeld
Dia 5
• Krantenartikel zomer 2006: “Samen de kassa van de baas plunderen”
• PwC constateerde in zijn jaarlijkse onderzoek dat in 2005
• de helft van de plegers van een economisch delict uit de eigen onderneming afkomstig is.
• 'De fraude die we niet kennen neemt toe', zegt Bob Hoogenboom (forensische studies Nivra-Nyenrode). 'Wat we zien is het topje van de ijsberg.
• We weten steeds minder over de aard en omvang van fraude.‘
• Werknemers hebben recht op vertrouwen, maar ook op controle.
Vraag 1 : Klassieke fraude - controle & toezicht
Dia 6
• Krantenartikelen 2005/6 (Lexis/Nexis)
• Niet alle infrastructuren goed beveiligd
• Aanvallers worden slimmer
• Criminelen verdienen geld met ICT / data
Dia 7
Midde- len
Misbruik Detectie
Het hele plaatje is redelijk in te vullen met gerenommeerd en recent onderzoek !
Dia 8
Extern versus intern : 50-50
Bron: The Information Security Breaches Survey 2006, UK Department of Trade and Industry, PricewaterhouseCoopers
Dia 11
Extern misbruik
Bron: The ASIS Foundation Security Report: Scope and Emerging Trends, ASIS, 2005
Dia 12
Intern misbruik
Dia 13
Dia 14
– Remote beheertoegang
Bron: Insider Threat Study: Computer System Sabotage in Critical Infrastructure Sectors, May 2005, Software Engineering Institute, National Threat Assessment Center
Dia 18
Beter dan ons gevoel !
Dia 19
Klopt met eigen informele navraag Omdat men denkt dat er zeer weinig incidenten zijn!
Detectie percentage : 90% ?
Volgens ons gevoel niet !
recht op toezicht
– Aanvallen - Bewust Misbruik
– Toe-eigenen van functionaliteit
Of niet?
Dia 21
Elke Windows server houdt (minimaal) 3 logfiles bij :
Zitten vol met interessante informatie Vooral “security” log interessant voor auditors Beheerders: Kijken meestal achteraf naar logfiles – analyse storingen Kijken vooral naar “application” en “system” logs
Dia 24
• Logs verspreid over vele systemen
– Soms meer dan 50 Domain Controllers
• Logfiles zijn groot
– 100Mb en meer
• “Events” zijn technisch
• Gratis !
• Voor de eerste keer !
Dia 28
• Microsoft tool : Logparser
• Leest gestructureerde bestanden en selecteert gegevens op basis van SQL-queries
• Krachtige en toch eenvoudige programmeertaal
• Is in een dag te leren (eigen ervaring)
• Verbazingwekkend snel
Dia 29
2: Selectie van succesvolle logins
• Uitstekende help files van Microsoft
• Query is met “trial en error” in een kwartier te knutselen
Dia 30
Dia 31
• Handelingen van beheerders
– Wijzigen van policies
• Handelingen van gebruikers
Log
parser
Event
comb
Queries
volgens
Microsoft
Samen
vatting
Auditors
Beheerders
• Aantoonbaar:
Auditor
Dia 38
Op (xxx.bd.minxxx.local) zijn accounts aanwezig met wachtwoord gelijk aan de accountnaam. Het is
mogelijk om in te loggen en de structuur van de database tabellen te zien.
Dia 44
Op server ka5xxx04 is een anoniem toegankelijke FTP-server aangetroffen met back-up bestanden
van een personeelsdatabase (sofinummers, bankrekeningnummers, salarisgegevens,
ziekteverzuim).
Maar kan toch heel “enge” resultaten aan het licht brengen
Dia 48
Zou het wachtwoord te raden zijn?
Dia 49
Wachtwoorden raden
User Applixservice --- applix -i User aquard --- aquard -i User BHRD --- admin -i User Srv_KaUser --- = -i omgekeerd - User Srv_InstallXP --- install -i User Srv_OSDService --- service -i User XpEnteo --- enteo -i --- User xpfunctioneel1 --- = -i User xpfunctioneel2 --- xpfunctioneel -i User xpfunc3 --- = -i User xpfunctioneel5 --- beheer -i User xpfunctioneel6 --- = -i User xpfunctioneel7 --- admin -i User xpfunctioneel8 --- windowsxp -i User xpfunctioneel9 --- welkom -i User xpfunctioneel10 --- tester -i User xptech2 --- = -i User xptech3 --- xptech -i User xptech4 --- tester -i User xptech5 --- testnummer5 -i User xptech6 --- gebruiker -i User xptech8 --- xptech8 -i User xptech9 --- welkom -i User xpintake1 --- xpintake -i User xpintake2 --- welkom -i User xpintake3 --- = -i User xpintake4 --- geheim -i User xptech1 --- project -i User momoperator --- = -
User pkmuser06 --- user06 > geheim User pkmuser07 --- 123456 - User pkmuser08 --- qwerty - User pkmuser09 --- user09 ***** > geheim
User pkmuser06 --- user06 > geheim User pkmuser07 --- 123456 - User pkmuser08 --- qwerty - User pkmuser09 --- user09 > geheim
Toen ik er aan begon dacht ik niet dat het zou lukken …
Geduld nodig, score : 20 keer proberen om één wachtwoord te raden
Uiteindelijk Domain Admin wachtwoord geraden – GAME OVER!
Dia 50
– Als ik het kan bedienen is het goed genoeg
– Gebrek aan tijd, belangstelling, hobbyisme
– Complexiteit infrastructuren
– Versnippering beheerorganisaties
Dus: Controle en toezicht is nuttig !Rol voor IT-
Auditor?
• Denk aan : subsidieaanvraag systemen, databanken met regelingen, milieu-informatie etc.
• Kwetsbaarheden in achterliggende systemen niet afgeschermd door firewall
Geldt al jaren lang !
Dia 54
Dia 55
netjes
Toegang tot commandoregel !
- Inloggen
• Kant-en-klare functies en modules
Dus:
Doorlooptijd audit : slechts enkele uren5
Standaard commando op Windows
Kost beheerder nauwelijks tijd
CSVDE Tool:
Auditor vraagt beheerder om één bestand te dumpen en te mailen1
Kan maandelijks : toezicht op WERKING6
Auditor analyseert bestand met CSVDE tool3
Waarschuwing : Ik maak reclame voor eigen product!
Maar het is goed bedoeld …
Dia 62
Commando: csvde –f uitvoer.txt
• Open het CSVDE bestand
www.xs4all.nl/~kazil/ testfiles/analyzecsvde
Lijst van uitvoerbestanden :
Dia 67
Dia 68
wordt onderscheid gemaakt tussen
personen en niet- personen
• Hoge managers die wachtwoord wijziging (laten?) uitzetten
• Veel testaccounts en tijdelijke accounts
• Veel slapende accounts
• Ervaringen over meest gangbare zwakke plekken uitwisselen?
• Oorzaken zwakke plekken structureel analyseren?
• Meer theorievorming?
Dia 77
• Informatie over actuele risico’s aanwezig
• Relatief eenvoudige onderzoeken leveren veel op
• Tools zijn er genoeg
Technical-audits en monitoring:
simpele, effectieve voorbeelden
Technical-audits en monitoring:
simpele, effectieve voorbeelden
Dia 2
Verwachtingsmanagement - Disclaimer !
– Externe websites
– Windows infrastructuren
Alles staat in sheets.
Ik denk niet dat de infra-
structuur wordt
?
Niet gemeld 61%
Wel gemeld 14%
Soms gemeld 25%
• Iemand anders had het gemeld • Bezorgd over reactie collega’s • Bezorgd over positie in bedrijf
• Gebruiken / stelen bezit bedrijf • Te hoge / privé declaraties • Declareren niet gewerkte tijd
Bron: Kennis van fraude in bedrijven, Regioplan publicatienr.1166, 2004 – 503 respondenten
Fraude vaak niet gezien / gemeld
Dia 5
• Krantenartikel zomer 2006: “Samen de kassa van de baas plunderen”
• PwC constateerde in zijn jaarlijkse onderzoek dat in 2005
• de helft van de plegers van een economisch delict uit de eigen onderneming afkomstig is.
• 'De fraude die we niet kennen neemt toe', zegt Bob Hoogenboom (forensische studies Nivra-Nyenrode). 'Wat we zien is het topje van de ijsberg.
• We weten steeds minder over de aard en omvang van fraude.‘
• Werknemers hebben recht op vertrouwen, maar ook op controle.
Vraag 1 : Klassieke fraude - controle & toezicht
Dia 6
• Krantenartikelen 2005/6 (Lexis/Nexis)
• Niet alle infrastructuren goed beveiligd
• Aanvallers worden slimmer
• Criminelen verdienen geld met ICT / data
Dia 7
Midde- len
Misbruik Detectie
Het hele plaatje is redelijk in te vullen met gerenommeerd en recent onderzoek !
Dia 8
Extern versus intern : 50-50
Bron: The Information Security Breaches Survey 2006, UK Department of Trade and Industry, PricewaterhouseCoopers
Dia 11
Extern misbruik
Bron: The ASIS Foundation Security Report: Scope and Emerging Trends, ASIS, 2005
Dia 12
Intern misbruik
Dia 13
Dia 14
– Remote beheertoegang
Bron: Insider Threat Study: Computer System Sabotage in Critical Infrastructure Sectors, May 2005, Software Engineering Institute, National Threat Assessment Center
Dia 18
Beter dan ons gevoel !
Dia 19
Klopt met eigen informele navraag Omdat men denkt dat er zeer weinig incidenten zijn!
Detectie percentage : 90% ?
Volgens ons gevoel niet !
recht op toezicht
– Aanvallen - Bewust Misbruik
– Toe-eigenen van functionaliteit
Of niet?
Dia 21
Elke Windows server houdt (minimaal) 3 logfiles bij :
Zitten vol met interessante informatie Vooral “security” log interessant voor auditors Beheerders: Kijken meestal achteraf naar logfiles – analyse storingen Kijken vooral naar “application” en “system” logs
Dia 24
• Logs verspreid over vele systemen
– Soms meer dan 50 Domain Controllers
• Logfiles zijn groot
– 100Mb en meer
• “Events” zijn technisch
• Gratis !
• Voor de eerste keer !
Dia 28
• Microsoft tool : Logparser
• Leest gestructureerde bestanden en selecteert gegevens op basis van SQL-queries
• Krachtige en toch eenvoudige programmeertaal
• Is in een dag te leren (eigen ervaring)
• Verbazingwekkend snel
Dia 29
2: Selectie van succesvolle logins
• Uitstekende help files van Microsoft
• Query is met “trial en error” in een kwartier te knutselen
Dia 30
Dia 31
• Handelingen van beheerders
– Wijzigen van policies
• Handelingen van gebruikers
Log
parser
Event
comb
Queries
volgens
Microsoft
Samen
vatting
Auditors
Beheerders
• Aantoonbaar:
Auditor
Dia 38
Op (xxx.bd.minxxx.local) zijn accounts aanwezig met wachtwoord gelijk aan de accountnaam. Het is
mogelijk om in te loggen en de structuur van de database tabellen te zien.
Dia 44
Op server ka5xxx04 is een anoniem toegankelijke FTP-server aangetroffen met back-up bestanden
van een personeelsdatabase (sofinummers, bankrekeningnummers, salarisgegevens,
ziekteverzuim).
Maar kan toch heel “enge” resultaten aan het licht brengen
Dia 48
Zou het wachtwoord te raden zijn?
Dia 49
Wachtwoorden raden
User Applixservice --- applix -i User aquard --- aquard -i User BHRD --- admin -i User Srv_KaUser --- = -i omgekeerd - User Srv_InstallXP --- install -i User Srv_OSDService --- service -i User XpEnteo --- enteo -i --- User xpfunctioneel1 --- = -i User xpfunctioneel2 --- xpfunctioneel -i User xpfunc3 --- = -i User xpfunctioneel5 --- beheer -i User xpfunctioneel6 --- = -i User xpfunctioneel7 --- admin -i User xpfunctioneel8 --- windowsxp -i User xpfunctioneel9 --- welkom -i User xpfunctioneel10 --- tester -i User xptech2 --- = -i User xptech3 --- xptech -i User xptech4 --- tester -i User xptech5 --- testnummer5 -i User xptech6 --- gebruiker -i User xptech8 --- xptech8 -i User xptech9 --- welkom -i User xpintake1 --- xpintake -i User xpintake2 --- welkom -i User xpintake3 --- = -i User xpintake4 --- geheim -i User xptech1 --- project -i User momoperator --- = -
User pkmuser06 --- user06 > geheim User pkmuser07 --- 123456 - User pkmuser08 --- qwerty - User pkmuser09 --- user09 ***** > geheim
User pkmuser06 --- user06 > geheim User pkmuser07 --- 123456 - User pkmuser08 --- qwerty - User pkmuser09 --- user09 > geheim
Toen ik er aan begon dacht ik niet dat het zou lukken …
Geduld nodig, score : 20 keer proberen om één wachtwoord te raden
Uiteindelijk Domain Admin wachtwoord geraden – GAME OVER!
Dia 50
– Als ik het kan bedienen is het goed genoeg
– Gebrek aan tijd, belangstelling, hobbyisme
– Complexiteit infrastructuren
– Versnippering beheerorganisaties
Dus: Controle en toezicht is nuttig !Rol voor IT-
Auditor?
• Denk aan : subsidieaanvraag systemen, databanken met regelingen, milieu-informatie etc.
• Kwetsbaarheden in achterliggende systemen niet afgeschermd door firewall
Geldt al jaren lang !
Dia 54
Dia 55
netjes
Toegang tot commandoregel !
- Inloggen
• Kant-en-klare functies en modules
Dus:
Doorlooptijd audit : slechts enkele uren5
Standaard commando op Windows
Kost beheerder nauwelijks tijd
CSVDE Tool:
Auditor vraagt beheerder om één bestand te dumpen en te mailen1
Kan maandelijks : toezicht op WERKING6
Auditor analyseert bestand met CSVDE tool3
Waarschuwing : Ik maak reclame voor eigen product!
Maar het is goed bedoeld …
Dia 62
Commando: csvde –f uitvoer.txt
• Open het CSVDE bestand
www.xs4all.nl/~kazil/ testfiles/analyzecsvde
Lijst van uitvoerbestanden :
Dia 67
Dia 68
wordt onderscheid gemaakt tussen
personen en niet- personen
• Hoge managers die wachtwoord wijziging (laten?) uitzetten
• Veel testaccounts en tijdelijke accounts
• Veel slapende accounts
• Ervaringen over meest gangbare zwakke plekken uitwisselen?
• Oorzaken zwakke plekken structureel analyseren?
• Meer theorievorming?
Dia 77
• Informatie over actuele risico’s aanwezig
• Relatief eenvoudige onderzoeken leveren veel op
• Tools zijn er genoeg
Related Documents
