VURORE/NOREA IT Audit Themadag

CONCEPT

VURORE/NOREA IT Audit ThemadagVURORE/NOREA

IT Audit Themadag

Technical-audits en monitoring:

simpele, effectieve voorbeelden

Petr Kazil – EDP Audit Pool

Technical-audits en monitoring:

simpele, effectieve voorbeelden

Petr Kazil – EDP Audit Pool

Dia 2

Verwachtingsmanagement - Disclaimer !

• Praktijkervaringen : Informeel : Ongesorteerd

• Techniek : Windows : Active Directory

• Spelen met vragen :

• 1: Frequentie interne incidenten ?

• 2: Detectie misbruik ?

• 3: Detectie zwakke plekken ?– Interne systemen

– Externe websites

– Windows infrastructuren

Demo’s alleen als tijd over!

Alles staat in sheets.

Dia 3

Vraag 1 : Frequentie interne incidenten

Ik denk niet dat de infra-

structuur wordt

misbruikt

Meet- of detecteer je

misbruik proactief ?

Niet echt …

Hoe kun je het dan zeker weten

?

Vicieuzecirkel

Nou, we merken

nooit wat van misbruik

…

Dia 4

Vraag 1 : Klassieke interne fraude

Geen kennisvan fraude 66%

Wel kennisvan fraude 34%

Niet gemeld61%

Wel gemeld14%

Soms gemeld25%

• Iemand anders had het gemeld • Bezorgd over reactie collega’s • Bezorgd over positie in bedrijf

• Gebruiken / stelen bezit bedrijf• Te hoge / privé declaraties • Declareren niet gewerkte tijd

Bron: Kennis van fraude in bedrijven, Regioplan publicatienr.1166, 2004 – 503 respondenten

Fraude vaak niet gezien / gemeld

Dia 5

• Krantenartikel zomer 2006: “Samen de kassa van de baas plunderen”

• PwC constateerde in zijn jaarlijkse onderzoek dat in 2005

• de helft van de plegers van een economisch delict uit de eigen onderneming afkomstig is.

• 'De fraude die we niet kennen neemt toe', zegt Bob Hoogenboom(forensische studies Nivra-Nyenrode). 'Wat we zien is het topje van de ijsberg.

• We weten steeds minder over de aard en omvang van fraude.‘

• Werknemers hebben recht op vertrouwen, maar ook op controle.

Vraag 1 : Klassieke fraude - controle & toezicht

Dia 6

Vraag 1 : ICT misbruik – eerste poging

• Krantenartikelen 2005/6 (Lexis/Nexis)

• Security mailing lijsten (SANS/Govcert)

• Conferenties / presentatie / publicaties

• Niet iedereen integer (ook ambtenaren niet)

• Niet alle infrastructuren goed beveiligd

• Aanvallers worden slimmer

• Schadelijke software slimmer en onzichtbaar

• Criminelen verdienen geld met ICT / data

Dia 7

1: Life-cycle van beveiligingsincidenten

Extern

Intern

Beheerder

Medewerker

HackerGelegen-

heid

Motief

Midde-len

Misbruik Detectie

Het hele plaatje is redelijk in te vullen met gerenommeerd en recent onderzoek !

Dia 8

1: Onderzoeken – public domain

Dia 9

?!*@$!

Dia 10

Extern versus intern : 50-50

Bron: The Information Security Breaches Survey 2006, UK Department of Trade and Industry, PricewaterhouseCoopers

Dia 11

Extern misbruik

Bron: The ASIS Foundation Security Report: Scope and Emerging Trends, ASIS, 2005

Dia 12

Intern misbruik

Dia 13

Dia 14

Motief :

• “Kijk wat ik kan”

• Wraak

• Misbruik middelen

• Financieel

Dia 15

Oorzaak :

• Laag beveiligingsbewustzijn

• Zwakke beveiliging

Dia 16

Gelegenheid :

• Weinig goede beheerders

• Weinig kennis/opleiding staf

• Slecht ingerichte systemen

Dia 17

ICT-Beheerders extra risicobron

• Hoge bevoegdheden + Weinig functiescheiding

• Veel externen + Weinig screening

• Veel vertrouwen + Weinig toezicht– Vreemde werktijden

– Remote beheertoegang

– Complexiteit en specialisme werkgebied

• Praktijkvoorbeelden sabotage: – “Backdoor toegang”

– Logische bommen

– Meestal pas achteraf ontdekt, toen storing optrad

Bron: Insider Threat Study: Computer System Sabotage in Critical Infrastructure Sectors, May 2005, Software Engineering Institute, National Threat Assessment Center

Dia 18

Gangbare detectie = voorspelbaar

Detectiesoftware logging+monitoring periodieke audit scans

Beter dan ons gevoel !

Dia 19

Klopt met eigen informele navraagOmdat men denkt dat er zeer weinig incidenten zijn!

Detectie percentage : 90% ?

Maar is dat gevoel terecht?

Volgens ons gevoel niet !

Dia 20

Vraag 1 : Mogelijke conclusies

• Organisatie kan niet zonder

vertrouwen maar:– Beheerders en gebruikers hebben

recht op toezicht

• Actief ontdekken en opsporen van :

– Aanvallen - Bewust Misbruik

– Toe-eigenen van functionaliteit

– Slordigheden - Gemakzucht

Consistent met ‘klassieke’ fraude

literatuurInterne controle? Taak IT-Auditor?

Of niet?

Dia 21

Vraag 1 : Mogelijk vervolg ?

• Belastingdienst : Jaarlijkse trendanalyse !

• Norea ? IT-Audit opleidingen ?

Dia 22

Inhoud



• 3: Detectie zwakke plekken ?


– Windows infrastructurenInterne systemen

Dia 23

Vraag 2: Detectie - Analyse Windows logfiles

Elke Windows server houdt (minimaal) 3 logfiles bij :

Zitten vol met interessante informatieVooral “security” log interessant voor auditorsBeheerders:Kijken meestal achteraf naar logfiles – analyse storingenKijken vooral naar “application” en “system” logs

Dia 24

2: Analyse Windows logfiles

Dia 25

Wat staat analyse in de weg ?

• Logs verspreid over vele systemen

– Soms meer dan 50 Domain Controllers

• Logfiles zijn groot

– 100Mb en meer

• “Events” zijn technisch

• Onduidelijk welke events kritisch zijn

• Microsoft levert nu bruikbare hulpmiddelen

• Gratis !

Dia 26

Welke events zijn belangrijk?

• In 2005 heeft Microsoft richtlijnen uitgebracht voor loganalyse

• Voor de eerste keer !

Dia 27

2: Welke events zijn belangrijk?

Dia 28

2: Hoe haal je de kritische events er uit?

• Microsoft tool : Logparser

• Leest gestructureerde bestanden en selecteert gegevens op basis van SQL-queries

• Krachtige en toch eenvoudige programmeertaal

• Is in een dag te leren (eigen ervaring)

• Verbazingwekkend snel

Dia 29

2: Selectie van succesvolle logins

• Uitstekende help files van Microsoft

• Query is met “trial en error” in een kwartier te knutselen

Dia 30

2: Selectie van succesvolle logins

Dia 31

2: Verzamelen van files

Dia 32

Wat kun je zo uit de files halen

• Handelingen van beheerders

– Aanmaken van accounts en groepen

– Wijzigen van policies

– Wie doen beheer en zijn ze geautoriseerd

• Handelingen van gebruikers

– Login / logout

– Toegang tot bestanden

• Mogelijke aanvallen / misbruik

– Mislukte toegangspogingen

– Grootschalige toegangspogingen

– Vreemde tijden

Prima

bestaanscontrole!

Dia 33

Vraag 2 : Detectie : Het ideaal

Log

parser

Event

comb

Queries

volgens

Microsoft

Samen

vatting

Auditors

Beheerders

Scripts die wekelijks draaien

E-mail

Controle werking wordt mogelijk !

Dia 34



• Centraal tools beoordelen en aanbevelen?

• Centraal richtlijnen voor monitoring opstellen?

• Aantoonbaar:

• Bent U in control?

Dia 35

Inhoud




– Interne systemen



Dia 36

3a : Interne scan

• Grootschalige port scan

• Handmatig nalopen van resultaten

• Zoeken van de “foute” systemen

Auditor

Nmap / superscan

Dia 37

3a : “Vergeten” en heel oude servers

Dia 38

Webtoegang tot servers

Dia 39

Webtoegang tot servers

Dia 40

Beheer interfaces

Dia 41

Beheer-interfaces

Dia 42

Niet beveiligde printers

Dia 43

Oracle : wachtwoord = accountnaam

Op (xxx.bd.minxxx.local) zijn accounts aanwezig met wachtwoord gelijk aan de accountnaam. Het is

mogelijk om in te loggen en de structuur van de database tabellen te zien.

Dia 44

Netwerkbeheer – default wachtwoord

Dia 45

FTP-server : personeelsgegevens open

Op server ka5xxx04 is een anoniem toegankelijke FTP-server aangetroffen met back-up bestanden

van een personeelsdatabase (sofinummers, bankrekeningnummers, salarisgegevens,

ziekteverzuim).

Dia 46

“Gevonden gegevens”

In meerdere onderzoeken aangetroffen !

Dia 47

Interne “vulnerability” scan

GFI Languard

Eenvoudig tool

Niet heel kostbaar

Maar kan toch heel “enge”resultaten aan het licht brengen

Dia 48

Interne vulnerability scan

Gebruikers die heel lang niet hebben ingelogd

Zouden die nog op initieel wachtwoord staan?

Zou het wachtwoord te raden zijn?

Dia 49

Wachtwoorden raden

User Applixservice --- applix -iUser aquard --- aquard -iUser BHRD --- admin -iUser Srv_KaUser --- = -i omgekeerd -User Srv_InstallXP --- install -iUser Srv_OSDService --- service -iUser XpEnteo --- enteo -i ---User xpfunctioneel1 --- = -iUser xpfunctioneel2 --- xpfunctioneel -iUser xpfunc3 --- = -iUser xpfunctioneel5 --- beheer -iUser xpfunctioneel6 --- = -iUser xpfunctioneel7 --- admin -iUser xpfunctioneel8 --- windowsxp -iUser xpfunctioneel9 --- welkom -iUser xpfunctioneel10 --- tester -iUser xptech2 --- = -iUser xptech3 --- xptech -iUser xptech4 --- tester -iUser xptech5 --- testnummer5 -iUser xptech6 --- gebruiker -iUser xptech8 --- xptech8 -iUser xptech9 --- welkom -iUser xpintake1 --- xpintake -iUser xpintake2 --- welkom -iUser xpintake3 --- = -iUser xpintake4 --- geheim -iUser xptech1 --- project -iUser momoperator --- = -

User pkmuser06 --- user06 > geheimUser pkmuser07 --- 123456 -User pkmuser08 --- qwerty -User pkmuser09 --- user09 ***** > geheim

User pkmuser06 --- user06 > geheimUser pkmuser07 --- 123456 -User pkmuser08 --- qwerty -User pkmuser09 --- user09 > geheim

Toen ik er aan begon dacht ik niet dat het zou lukken …

Geduld nodig, score : 20 keer proberen om één wachtwoord te raden

Uiteindelijk Domain Admin wachtwoord geraden – GAME OVER!

Dia 50

3a : Niet goed! – Maar hoe komt dit?

• Ik wist niet dat dit aanwezig was …

– Als het werkt is het goed genoeg

– Als ik het kan bedienen is het goed genoeg

– Gebrek aan tijd, belangstelling, hobbyisme

– Complexiteit infrastructuren

– Versnippering beheerorganisaties

• Even snel iets oplossen – en dan vergeten

Dus: Controle en toezicht is nuttig !Rol voor IT-

Auditor?

Dia 51

Inhoud







Dia 52

3b : Webserver scans

• Openingen in firewall voor buitenwereld naar webserversen webapplicaties

• Denk aan : subsidieaanvraag systemen, databanken met regelingen, milieu-informatie etc.

• Kwetsbaarheden in achterliggende systemen niet afgeschermd door firewall

Geldt al jaren lang !

Dia 53

Detectie in Webinspect

Webinspect :

Loopt meest voor de hand liggende fouten na

Dia 54

Voorbeelden : Installeren en vergeten …

En hoe zit het met de patches en updates ?

Dia 55

Voorbeeld : Niet-uitgezette functies

Logging en monitoringvoor iedereen

bereikbaar – niet gevaarlijk, maar niet

netjes

Dia 56

Cross-site scripting : stelen wachtwoorden

Dia 57

Scripts die foute invoer accepteren :

Toegang tot commandoregel !

Ook mogelijk :

- Opvragen wachtwoord bestand

- Lezen en plaatsen van bestanden

- Inloggen

Dia 58

3b: Waarom gebeurt dit ?

• Web-technologie is vriendelijk :

• Applicatie is snel in de lucht

• Kant-en-klare functies en modules

• Snel te downloaden

• Kwaliteit niet bekend

• Beheerders :

• Geen detailkennis nodig

• Geen gevoel voor de risico’s

Dus:

Toezicht is nuttig !

Dia 59

Inhoud







Dia 60

3c : Windows / Active Directory

• Servers

• Werkstations

• Users

• Groepen

• Policies

• Beveiliging

Hoe audit je dit

monster?

Dia 61

3c : Ideaal : Audit versnellen

Auditor krijgt automatisch samenvatting van belangrijkste gegevens4

Doorlooptijd audit : slechts enkele uren5

Standaard commando op Windows

Kost beheerder nauwelijks tijd

2

CSVDE Tool:

Auditor vraagt beheerder om één bestand te dumpen en te mailen1

Kan maandelijks : toezicht op WERKING6

Auditor analyseert bestand met CSVDE tool3

Waarschuwing : Ik maak reclame voor eigen product!

Maar het is goed bedoeld …

Dia 62

Dump CSVDE bestand (stap 1-2)

Commando: csvde –f uitvoer.txt

Dia 63

Inhoud CSVDE files

(Bijna) Alles wat

auditor over Windows

en Active Directory

wil weten

Dia 64

Analyse CSVDE bestand (stap 3)

• Open het CSVDE bestand

• Programma leest bestand en vertaalt inhoud naar leesbaar formaat

www.xs4all.nl/~kazil/testfiles/analyzecsvde

Dia 65

Analyse CSVDE bestand – stap 3

Lijst van uitvoerbestanden :

• samenvatting

• details – leesbaar in Excel

Dia 66

Uitvoer : Domain policy – stap 4

Dia 67

Uitvoer : Statistieken users en groepen

Dia 68

Uitvoer : Statistieken computers

Dia 69

Uitvoer : Speciale beheeraccounts

Dia 70

Uitvoer : Slapende users

Dia 71

Uitvoer : Recent gemaakte objecten

En nog veel meer …

Dia 72

Extra opties : niet-persoonsgebonden accts.

Met behulp van uitgebreide namenlijsten

wordt onderscheid gemaakt tussen

personen en niet-personen

Dia 73


Dia 74


Dia 75

3c : Audit zinvol ?

• Structureel vinden wij :

• Beheerders die wachtwoord wijziging uitzetten

• Hoge managers die wachtwoord wijziging (laten?) uitzetten

• Veel testaccounts en tijdelijke accounts

• Veel slapende accounts

Dus:

Toezicht is nuttig !

Dia 76



• Centraal tools beoordelen en aanbevelen?

• Ervaringen over meest gangbare zwakke plekken uitwisselen?

• Oorzaken zwakke plekken structureel analyseren?

• Meer theorievorming?

Dia 77

Samenvatting

• Detectie en toezicht blijven nuttig

• Informatie over actuele risico’s aanwezig

• Relatief eenvoudige onderzoeken leveren veel op

• Tools zijn er genoeg

• Experimenten zijn zinvol

VURORE/NOREA IT Audit Themadag

Documents

VURORE/NOREA IT Audit Themadag