PHOENIX S.P.A. ANALISI DI SICUREZZA. Milano, 31 Ottobre Nome e Cognome Società Ruolo Riferimenti

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "PHOENIX S.P.A. ANALISI DI SICUREZZA. Milano, 31 Ottobre 2008. Nome e Cognome Società Ruolo Riferimenti"

Tito Oliva
8 anni fa
Visualizzazioni

1 PHOENIX S.P.A. ANALISI DI SICUREZZA Milano, 31 Ottobre 2008 PARTECIPANTI Nome e Cognome Società Ruolo Riferimenti Gianluca Vadruccio Ivan Roattino Silvano Viviani Hacking Team Hacking Team Direzione Tecnica Account Manager Security Manager g.vadruccio@hackingteam.it i.roattino@hackingteam.it Silvano.Viviani@phoenixspa.it Nicola Modena N.D. Consulente nicola.modena@phoenixspa.it ANALYSIS ACTIVITY TOE (Target of Evaluation) 1. ToE#1 Penetration Test da Internet circa 70 indirizzi IP (tutti server) a. Il range IP assegnato è /20 2. ToE#2 Analisi dalla filiale segregazione e raggiungibilità delle reti a. Il range di IP interessato è il range di indirizzi intranet assegnato a da ICCREA: da a b. La rete dei servizi intranet ( /19) dovrebbe comunque essere oggetto dello scan completo. c. La banca da cui faremo l'attività è vicina a Trento ed è collegata a con un Hdsl a 2 Mbit: è ipotizzabile che 1 Mbit max di banda sia utilizzabile in orario serale/notturno e week-end mentre in orario lavorativo la banda utilizzabile Pagina 1 di 6

Manager Security Manager g.vadruccio@hackingteam.it i.roattino@hackingteam.it Silvano.Viviani@phoenixspa.it Nicola Modena N.D. Consulente nicola.modena@phoenixspa.

2 potrebbe essere sotto i 400Kbit 3. ToE#3 Analisi applicativa 5 web applications Sorgente dell attacco Per le attività effettuate dall esterno, presso i laboratori di Hacking Team, verrà utilizzata la rete Internet /28. Per le attività di analisi interne, gli indirizzi sorgenti delle verifiche saranno IP interni assegnati temporaneamente a postazioni di proprietà Hacking Team. Difese esistenti Fra le sorgenti dell attacco ed il target dello studio saranno disattivati i meccanismi di difesa attivi che potrebbero rallentare pesantemente le attività di analisi. Descrizione Web Applications descrizione breve webmail URL principale alias autenticazione/accesso libero http/https webmail.phoenixspa.it - autenticazione http, https Bancalight bancalight.it autenticazione Buonconsiglio - accesso libero, autenticazione http, https Carta Ri-carica InBank https accesso libero, autenticazione http, https accesso libero, autenticazione https Per la salvaguardia sia del servizio che dei dati, le attività a loro riferite saranno condotte sui rispettivi ambienti di pre-produzione, allineati alla produzione. Eccezione per il web mail di per cui saranno condotte manualmente ed in ambiente di produzione. ToE#1 Penetration Test (analisi esterna) Pagina 2 di 6

Per le attività di analisi interne, gli indirizzi sorgenti delle verifiche saranno IP interni assegnati temporaneamente a postazioni di proprietà Hacking Team.

3 Dimensionamento: 70 indirizzi IP esposti e raggiungibili con una media di 10 servizi aperti per ognuno Attività: raggiungibilità, vulnerability assessment e penetration test Piattaforma: unix AIX, linux e windows2000/2003 Vincoli: non deve essere effettuata alcuna attività di verifica DoS, né di verifica buffer overflow. Effettuazione test: raggiungibilità (dal 4 al 14 Novembre con consegna lista il giorno dopo) in orari lavorativi (consentita anche la scansione notturna) vulnerability assessment (tutta la settimana del 24 Novembre con consegna della lista il giorno dopo) in orari lavorativi (consentita anche la scansione notturna) penetration test (dal 5 al 12 Dicembre) dalle 20:00 alle 7:00 in orari lavorativi IP sorgente: la provenienza degli attacchi coinciderà con la rete Hacking Team Necessità: disabilitazione dello smart-defense di perimetro ToE#2 Filiale (analisi interna) Dimensionamento: 300 circa i server che dovrebbero essere raggiungibili Attività: raggiungibilità (30 porte da definire) e Vulnerability Assessment Piattaforma: mainframe, as400, unix AIX, linux (servizi di infrastruttura come dns e proxy) e windows2000/2003 Vincoli: nessun DoS, nessun buffer overflow e nessuna modifica/corruzione dei dati sui target Effettuazione test: dalle 20:00 alle 7:00 e i weekend. 2 notti per la raggiungibilità, da effettuarsi presso la filiale Lavis (10 e 11 Novembre sera/notte, dalle 20:00 alle 7:00) 2 notti per la scansione dei servizi raggiungibili, da effettuarsi presso il weekend (21 e 22 Novembre, 21 notte per i target più critici) IP sorgente: da farsi assegnare in maniera statica dalla banca e da (portatili di due security engineers Hacking Team) Necessità: disabilitazione dello smart-defense, possibilità dei portatili HT di poter navigare (utenza proxy), attestazione al primo hop dopo il router principale della banca, consegna del piano di indirizzamento specifico per il test di raggiungibilità. Nota: Visto che il range è piuttosto ampio, una possibile riduzione potrebbe essere: fare lo scanning solo delle reti del tipo 10.bbb.n*32.0/24, dove <bbb> va da 120 a 135 e <n> va da 0 a 7. Questo dovrebbe permettere di verificare almeno in parte la segregazione limitando il numero di indirizzi IP di cui fare lo scanning. ToE#3 Portali Web (analisi applicativa) Pagina 3 di 6

Effettuazione test: raggiungibilità (dal 4 al 14 Novembre con consegna lista il giorno dopo) in orari lavorativi (consentita anche la scansione notturna) vulnerability assessment (tutta la settimana

4 Dimensionamento: 5 web application 1. Web mail (attività manuale ed in ambiente di produzione) 2. Bancalight (ambiente pre-produzione) 3. Buonconsiglio (ambiente pre-produzione) 4. Carta ri-carica (ambiente pre-produzione) 5. inbank.net (ambiente pre-produzione) Attività: web application assessment Vincoli: nessun DoS e nessun buffer overflow Liberatoria: i dati raggiungibili tramite gli applicativi testati sono alterabili in qualsiasi modo Effettuazione test: tutti tranne la web mail saranno in ambiente di pre-produzione con url raggiungibile da internet Pianificazione siti e finestre temporali di garanzia aderenza con l ambiente di produzione: 1. Webmail: dal 6 Novembre al 12 Novembre compresi 2. Bancalight: dal 13 Novembre al 21 Novembre compresi 3. Inbank: dal 24 Novembre al 5 Dicembre compresi 4. Buonconsiglio: dal 9 Dicembre al 15 Dicembre compresi 5. Carta ri-carica: dal 16 Dicembre al 22 Dicembre compresi Necessità: 4 URL di pre-produzione per la fase black-box, 6 credenziali (2 di profili diversi del sito Buonconsiglio) per la parte grey-box, togliere eventuali filtri applicativi che possano causare il rallentamento delle attività. Tempistiche e pianificazione (milestones e SAL) TOE#1, TOE#2, TOE#3: Inizio attività: martedì 4 Novembre Previsione di termine attività: primi di dicembre Consegna della documentazione: nella seconda metà di dicembre NB: Al termine delle attività di raggiungibilità relative ai TOE#1 e TOE#2 occorre ricevere l approvazione di prima di procedere con la fase di scanning. Evidenze ed exploiting Il cliente consente Hacking Team di effettuare screenshots durante le attività di test per fornire evidenza dei risultati ottenuti. Nel caso si riuscisse a prendere possesso di una macchina, il cliente autorizza Hacking Team (in maniera preventivamente concordata) a: inserire nel file system un file di testo nominato hackingteam.txt inserire nel sistema un utente nominato hackingteam Per tutti gli altri casi non contemplati, occorre un accordo sulle modalità scambiato via mail. Delivery Gli output (in lingua italiana) consegnati a fine lavoro saranno i seguenti: un documento tecnico per ognuno dei 3 TOE un executive summary globale e non tecnico Referenti interni generali Pagina 4 di 6

net (ambiente pre-produzione) Attività: web application assessment Vincoli: nessun DoS e nessun buffer overflow Liberatoria: i dati raggiungibili tramite gli applicativi testati sono alterabili in

5 Referente di progetto: Silvano Viviani Indirizzo di posta: Cellulare: +39 (335) Secondo Referente: Lorenzo Piazzi Indirizzo di posta: Cellulare: Referenti lato fornitori Account Manager: Ivan Roattino Indirizzo di posta: Cellulare: +39 (331) Responsabile tecnico: Roberto Banfi Indirizzo di posta: Cellulare: +39 (349) Project Manager: Luca Filippi Indirizzo di posta: Cellulare: +39 (338) Modalità di scambio di informazioni Qualsiasi comunicazione di Hacking Team verso avverrà coinvolgendo solo i referenti interni. Le mail saranno quindi dirette a Viviani e Piazzi. Le mail contenenti informazioni non sensibili saranno spedite in chiaro. Le mail contenenti informazioni sensibili verranno spedite mediante file zip cifrato con password. La password verrà concordata e trasmessa per via telefonica. AZIONI GIA INTRAPRESE Azione Responsabile Tempistiche Kick-off di progetto Hacking Team FATTO Firmare NDA e liberatoria Hacking Team FATTO AZIONI DA INTRAPRENDERE Azione Responsabile Tempistiche Organizzare le due giornate presso la banca di test in Lavis Predisporre le corrette prese di rete e le abilitazioni opportune per rendere operative le stazioni di test Hacking Team Pagina 5 di 6 Lunedì 3 Novembre Il giorno prima della giornata di effettuazione interna dei test

it Cellulare: +39 (331) 6237813 Responsabile tecnico: Roberto Banfi Indirizzo di posta: r.banfi@hackingteam.it Cellulare: +39 (349) 3505788 Project Manager: Luca Filippi Indirizzo di posta: l.

6 Comunicare le URL degli applicativi web da testare Fornire le credenziali di test degli applicativi web Fornire la lista delle 30 porte oggetto del test di raggiungibilità interna dalla banca di test Predisporre le stazioni di test con i tools necessari Hacking Team Il giorno prima dell inizio del TOE#3 Almeno il giorno prima dell effettuazione del test applicativo Almeno il giorno prima dell inizio del TOE#2 Entro l inizio delle attività Pagina 6 di 6

di test con i tools necessari Hacking Team Il giorno prima dell inizio del TOE#3 Almeno il giorno prima dell

Documenti analoghi

Piano di Verifica Puntuale (gantt allegato)

FORNITURA DI SERVIZI DI VERIFICA E SUPPORTO ALLA SICUREZZA INFORMATICA Piano di Verifica Puntuale (gantt allegato) Milano, 23 Aprile 2007 Pagina 1 di 6 ANALYSIS ACTIVITY Target dell attività: 4 Classi