Häufigste Security-Lücken

Andreas WislerGO OUT Production GmbH

Dipl. Ing FH, CISSP, ISO 27001 Lead Auditor

www.goSecurity.ch / wisler@goout.ch

Agenda

• Gefahren• Social Engineering• Penetration Test• Interne Audits

– Rundgang– Technische Kontrolle– Organisation

• Massnahmen

Gefahren

• 31.10.11 : 13. MELANI-Halbjahresbericht meldet tägliche Spionageangriffe in der Schweiz

• 26.10.11 : Israel verliert Meldedaten sämtlicher Staatsbürger

• 24.10.11 : Für Europa zuständige Datenschutzbehörde ermittelt gegen Facebook

• 21.10.11 : iPhone belauscht Desktoptastaturen• 21.10.11 : Adobe Flash-Fehler ermöglicht

Spionage per Webcam• 5.10.11 : IT-Security: Schwachstelle Mensch

Social Engineering

• Schwachstelle Mensch wird direkt ausgenutzt– Phishing-Angriff– Besuch vor Ort

• Monteur• «Einbruch»

– USB Stick• Gewonnen, per Post• Liegen gelassen

Angriffe auf den Mensch

Grüss Gott. Ich komme von der Deutschen Bank.Immer wieder versuchen Gauner über fingierte Emails an Kontoinformationen zu gelangen. Der neueste Trick ist, dass Leute, die offensichtlich keine Bankmitarbeiter sind, von Tür zu Tür gehen, um Kontodaten auszuspähen. Deshalb mussten wir ihre Konten umstellen. Geben Sie mir bitte alle Ihre Sparbücher, damit wir diese kostenlos für Sie aktualisieren können.

Quelle: http://ritsch‐renn.com/

InformationssucheYasni, Facebook, Xing und Co…

Phishing Funktionsweise

Beispiel - Email

• Email Adressen auf Homepage, bei Xing und Google gesucht -> 144 Adressen gefunden

Beispiel - Homepage

Beispiel - Ergebnisse

• 1. Antwort nach 2 Minuten• Nach 10 Minuten 18 Antworten• Total 37 Antworten• Danach wurde die Seite im Proxy geblockt.

• (Erfolgs-) Rate 25.7 %

Besuch vor Ort

Penetration Test

• Vorgehen eines Hackers– Informationssuche– IP- / Port-Scan– Detailuntersuchung, Schwachstellen– Ausnutzen der Schwachstelle

Penetration Test - Ergebnisse

• Informationen im Internet

Penetration Test - Ergebnisse

• Erreichbare Firewall-Konsolen

Penetration Test - Ergebnisse

• Zertifikatsfehler

Penetration Test - XSS

• Seiteninhalt wird «überschrieben»

Cross-Site Scripting (XSS)

• Javascript: In Webseiten eingefügter Code, der im Browser ausgeführt werden

• Oft enthalten dynamisch generierte Webseiten die von einem Benutzer eingegebenen Daten – Produktresultatseiten, Google etc. zeigen den eingegebenen

Suchstring an

• Bei XSS nutzt ein Angreifer dieses Feature aus:

Testen auf XSS

• Eingabe eines einfachen Javascripts in verschiedenen Feldern von Web-Formularen:

• Bei Erfolg öffnet sichein Popup-Fenster

<script>alert("Testing XSS vulnerability");</script>

Beispiel: XSS

• Opfer hat Account für einen Web-Shop, Angreifer möchte Account-Daten erhalten.

• Angreifer hat ein entsprechendes JavaScript in einem Link in einer Nachricht in einem Web-Forum platziert, Opfer hat die Nachricht geöffnet.

Quelle: Marc Rennhard, ZHAW

Beispiele: XSS

Penetration Test - Ergebnisse

• Emailversand intern intern

Internes Audit

• Vorgehen

Auswertung

Präsentation

Nachbesprechung

Audit

Vorbereitung

Bedürfnisaufnahme

Audit - Ergebnisse

• Rundgang

Audit - Ergebnisse

• Rundgang

Audit - Ergebnisse

• Grunddienste

Audit - Ergebnisse

• Firewall

Audit - Ergebnisse

• Dienste

Audit - Ergebnisse

• Berechtigungen

• Achtung LM Hash!

Audit - Ergebnisse

• Berechtigungen

Audit – Organisation

• Organisatorische Mängel– Keine Vorgaben an die IT– Keine Weisungen vorhanden– Keine Notfallplanung– Dokumentation nicht aktuell– Fehlerhafte Netzwerkpläne– Logdaten werden nicht ausgewertet– Administrator ohne Passwort

Massnahmen

• Technisch– Grunddienste sauber konfigurieren– Regelmässige Kontrollen– Von Extern erreichbare Dienste härten

• Organisatorisch– Erstellen von einfachen Regelwerken– Aktualisierung von Dokumentation– Schulung von Mitarbeitern

Massnahmen

Bevor Massnahmen ergriffen werden können, benötigt es das Verständnis für die Gefahren und Abläufe sowie den Zusammenhängen.

Massnahmen

Wichtig für die Geschäftsleitung, IT-Abteilung• Verständnis wichtig• Viele Anforderungen• Gefahren und Risiken vorhanden• Audit hilft Schwachstellen zu erkennen

und zeigt Lösungen• Massnahmenumsetzung benötigt genügend Zeit• Schrittweise Umsetzung

Erkenntnisse

Mit uns wissen Sie, wie es um Ihre IT-Sicherheit steht!

Th. Furrer S. Walser K. Haase N. Rasstrigina

A. Wisler R. OttS. Müller M. Schneider

E. Kauth

Dienstleistungen …