Corner Banca. Ethical Hacking. Analisi delle Vulnerabilità del sistema di autorizzazione delle transazioni. con carte di credito MasterCard e VISA

Transcript

1 Corner Banca Ethical Hacking Analisi delle Vulnerabilità del sistema di autorizzazione delle transazioni con carte di credito MasterCard e VISA Milano Hacking Team S.r.l. Via della Moscova, 13 info@hackingteam.it 20121MILANO (MI) - Italy Tel Fax Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 1 di 80

2 TORIA DEL DOCUMENTO Versione Data Modifiche Effettuate Settembre 2005 Prima stesura 1.1 Internal assessment Novembre 2005 // // // Application assessment INFORMAZIONI Data di Emissione Versione 1.2 Tipologia Documento Documento di Progetto Numero di Protocollo // Numero Pagine 80 Numero Allegati 0 Redatto da Approvato da Massimo Chiodini Gianluca Vadruccio 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 2 di 80

3 INDICE 1 Architettura e descrizione del progetto Ambiente di lavoro Targets Metodologie e attività svolte External network assessment Analisi di rete Sistemi target Router Cisco Router Cisco Router Cisco ep2p.ac-multink.ch ep2t.ac-multink.ch Risultati ottenuti e scenari d attacco Internal network assessment Analisi di rete Server rilevanti Nortel Passport Nortel Networks Nortel Passport CS9P1A [ ] CS9T1B - [ ] MCFW2-NG - [ ] SERVNT7AE - [ ] SERVNT7AF [ ] SNTXD201- [ ] SNTXD210A [ ] SNTXD210B - [ ] SNTXD211 [ ] SNTXD212 [ ] WK9AL01 - [ ] WK9AP1B - [ ] WK9AT1A - [ ] WK9AT1B [ ] Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 3 di 80

4 Access Gate [ ,137,138,140,142,143] Access Gate [ ,136,139,141] Risultati ottenuti e scenari d attacco Scenario Scenario Riassunto criticità e soluzioni proposte External Application assessment Fuzzing header Ep Fuzzing messaggio Ep Risultati ottenuti e contromisure Internal Application assessment Definizione dell attivita Risultati ottenuti e contromisure Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 4 di 80

5 1 Architettura e descrizione del progetto Corner Banca ha richiesto un analisi del livello di sicurezza del proprio sistema di autorizzazione delle transazioni MasterCard e VISA. L analisi è stata effettuata sia sulle componenti infrastrutturali e sistemistiche (rete, dispositivi di sicurezza perimetrale, application server, database server, ecc.), sia quelle applicative (logica di gestione delle transazioni). Lo svolgimento del progetto è stato suddiviso in quattro differenti fasi: External Network Assessment: analisi a livello network/services delle componenti pubbliche (raggiungibili da internet) del sistema di autorizzazione. L obiettivo di questa fase è l individuazione di vulnerabilità di livello sistemistico sui sistemi di acquiring accessibili tramite la rete pubblica, al fine di prenderne il controllo e/o causare una interruzione del servizio (Denial of Service). Questa attività viene svolta con l ausilio di tool di scanning e di attacco commerciali, di pubblico dominio o proprietari, componendosi di una fase preliminare, svolta manualmente, e di una di rifinitura effettuata utilizzando sistemi automatici. External Application Assessment: questa attività ha lo scopo di analizzare la robustezza implementativa del protocollo applicativo fra i POS e Corner Banca come Acquirer e fra i POS e Corner Banca come Issuer. Tale analisi prevede l esecuzione di test volti a provocare anomalie nel sistema di gestione delle transazioni, mediante l invio di messaggi malformati non previsti dal normale flusso applicativo. Questa fase è la più complessa di tutto il lavoro di progetto e prevedere l acquisizione del Kwon-how (da parte del personale di HackingTeam srl) relativamente al sistema di acquiring, necessario per giungere alla definizione di una possibile strategia di attacco verso le componenti implementative, eventualmente supportata dallo sviluppo di tools ad hoc per la modifica automatica dei messaggi applicativi (contestualmente al protocollo) Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 5 di 80

6 Internal Network Assessment: questa fase consiste di tutte le attività necessarie a portare un attacco a livello network alle componenti interne del sistema di autorizzazione. L obiettivo è individuare possibili scenari di attacco che potrebbero essere attuati da parte di: o personale che abbia accesso ai segmenti di rete, locali o remoti, su cui sono attestati i componenti del sistema (application server, database server, sistema host, firewall); o software malizioso (trojan horse, worm, backdoor interattive, ecc.) involontariamente introdotto sulla rete. Internal Application Assessment: consiste di un analisi dei flussi applicativi: interfacciamento fra access gates e application server, fra application server e database server. Lo scopo è l individuazione di vulnerabilità applicative che permettano la manipolazione delle transazioni o l eventuale interruzione del servizio. Corner Banca ha reso disponibile uno strumento HW/SW in grado di simulare un POS configurato per accedere al sistema di autorizzazione in oggetto, in particolare al sistema in test. Tale strumento è stato utilizzato per l analisi dei protocolli di livello applicativo utilizzati dai POS (EP2). Nei capitoli che seguono vengono riportate in maniera esaustiva tutti i dettagli riguardanti le attività e le modalità di svolgimento del progetto, con particolare attenzione ai risultati ottenuti e alle possibili soluzioni proposte per risolvere le eventuali criticità riscontrate durante il lavoro Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 6 di 80

7 1.1 Ambiente di lavoro Le fasi di progetto descritte precedentemente sono state eseguite nei contesti di seguito descritti, con il pieno appoggio del cliente. L esame dei sistemi pubblici di acquiring di Corner Banca è stato effettuato da HackingTeam srl presso la sede di Milano utilizzando la propria connettività pubblica (indirizzi IP [ /28] ), simulando un ipotetico attacco da parte di un hacker attraverso internet,. Le componenti testate sono: o Elementi di instradamento e sicurezza perimetrale (es. router, firewall, ids, ecc.) sia a livello di servizi che di protocolli abilitati; o I sistemi di Acquiring di produzione e di test; o Tutti gli eventuali sistemi visibili da internet legati direttamente od indirettamente ai sopra citati sistemi. L analisi interna dei sistemi e del network corporate è stata invece svolta presso il Cliente, utilizzando una normale postazione di lavoro con accesso alla rete locale. A tal proposito, questa fase è stata suddivisa in due differenti approcci: la prima si prefigge di simulare uno scenario in cui un potenziale attaccante è fisicamente ubicato in un sede remota, ed effettua un tentativo di accesso non autorizzato agli elementi del sistema di acquiring. Lo scopo è quello di testare la sicurezza dell infrastruttura di rete che fornisce la connettività verso i sistemi target, e la possibilità di effettuare un attacco ai sistemi di acquiring partendo da una LAN presa come campione, il più rappresentativo possibile, nel contesto della rete di Corner Banca. Questa fase è stata svolta utilizzando una postazione all interno della LAN della sede di Aduno a Bedano. Il secondo approccio è pensato in ottica più tecnica, e prevede un assessment dei sistemi più tradizionale: in questa fase sono state analizzate le componenti applicative e di supporto in maniera puntuale ed esaustiva, allo scopo di enumerare le possibili lacune di sicurezza presenti nei sistemi. Il lavoro è stato effettuato da una postazione privilegiata, prevalentemente ponendosi nella sottorete in cui sono ospitati i sistemi target, per avere il meno possibili elementi di instradamento o filtraggio che possano falsare i risultati dei test. Questa attività è stata effettuata presso la sede di Corner Banca a Pregassona, all interno della sala macchine ospitante i server in oggetto di studio. Lo studio esterno dell implementazione del protocollo applicativo dei sistemi di acquiring è stato effettuato da HackingTeam srl presso la sede di Milano, utilizzando la propria connettività internet 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 7 di 80

8 (indirizzi IP [ /28]). L utilizzo del POS fornito dal cliente è specificamente stato ristretto ai sistemi in test (ep2t.multilink.ch), con il solo scopo di studiare i meccanismi transazionali del sistema. L analisi applicativa interna è stata invece svolta presso il Cliente, utilizzando una postazione nella sottorete in cui sono ubicati i sistemi target, per avere il meno possibili elementi di instradamento o filtraggio che possano falsare i risultati del test. Anche questa fase di lavoro è stata effettuata presso la sede di Corner Banca a Pregassona, all interno della sala macchine ospitante i server in oggetto di studio Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 8 di 80

9 1.2 Targets In fase di pianificazione, sono stati individuati con il cliente gli elementi infrastrutturali che compongono il sistema di acquiring. Il cliente ha fornito tutte le informazioni necessarie al compimento del lavoro, mettendo a disposizione schemi di rete ed indirizzamenti delle componenti applicative. I sistemi target, analizzati nelle quattro fasi sono i seguenti: External Network Assessment: in questa fase sono stati analizzati i sistemi applicativi, le componenti responsabili della connettività verso internet ed i dispositivi di sicurezza perimetrale, più precisamente: o Router o Firewall o Sistemi applicativi Internal Network Assessment: i sistemi esaminati sono quelli non direttamente raggiungibili da internet, ospitati nella rete interna di Corner Banca. In questa fase sono state prese in esame anche le componenti di instradamento presenti nella sede remota di Aduno allo scopo di testare potenziali vulnerabilità che possano inficiare la sicurezza dell infrastruttura di acquiring. La fase preliminare ha permesso di identificare i seguenti sistemi: o o o o o o o Switch/router locale Switch/router remoto Server applicativi Server di back-end Sistemi di log Sistemi di posta Server Trident External Application Assessment: i sistemi analizzati sono sostanzialmente il front-end applicativo e il POS fornito dal cliente. L analisi si compone di una fase preliminare di studio dei protocolli relativi ai meccanismi transazionali, per poi focalizzare l attenzione sui sistemi applicativi di test: ep2t.ac-multilink.ch [IP ] 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 9 di 80

10 Internal Application Assessment: il lavoro di analisi estende la fase precedente prendendo in esame le restanti componenti applicative legate al meccanismo di autorizzazione delle transazioni: o o Server applicativi di test: Server database di test: 1.3 Metodologie e attività svolte L attività di assessment segue una metodologia ben consolidata che prevede il reperimento del maggior numero di informazioni utili per poter, in seguito, portare con successo un attacco verso i sistemi target. In generale l attacco ad un sistema sfrutta vulnerabilità intrinseche nei servizi (sia di natura logicoarchitetturale, sia di natura implementativa) per indurre comportamenti anomali in quest ultimi, le cui conseguenze possono essere le più disparate: crash dell applicazione, accesso ai sistemi su cui i servizi sono in esecuzione, ecc. Allo scopo di inquadrare il tema della sicurezza, sia in termini di opportunità offerte all intrusore, sia di minacce per le potenziali vittime, si dà una sintetica descrizione delle fasi che compongono un attacco. I concetti e la terminologia introdotti saranno utilizzati nel presente documento per descrivere i risultati dell assessment svolto. Le principali attività effettuate sul perimetro e sulla rete interna di si possono riassumere in: Network analysis: comprende tutte le attività di reverse engineering delle rete del cliente, che và dalla raccolta di informazioni di pubblico dominio come i nomi e gli indirizzi assegnati, fino all analisi dei componenti di connettività ed instradamento verso internet. Fingerprinting dei sistemi, attivo e passivo: il fingerprinting consiste nell individuazione dei sistemi operativi e della loro catalogazione in base alle risposte a sollecitazioni non invasive sui protocolli abilitati. Scanning: è la fase che conclude l attività non invasiva, che consente di rafforzare le ipotesi fatte durante il l attività di fingerprinting e di rilevare servizi e applicazioni attive sui sistemi. Enumeration: lo scopo è quello di enumerare le risorse dei sistemi in termini di servizi aperti al pubblico e di raccogliere informazioni quanto più dettagliate sulla tipologia e 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 10 di 80

11 versione di quest ultimi, allo scopo di rintracciare vulnerabilità che affliggono le versioni dei software utilizzati. Attacco: è la fase più complessa e delicata dell intera attività, in cui tutte le informazioni precedentemente raccolte vengono validate e utilizzate con l obiettivo di compromettere i sistemi target. Le modalità e le tecniche che vengono utilizzate possono variare notevolmente a seconda dello scenario. Privileges Escalation: l attività consiste nel tentativo di elevare i privilegi con cui si accede ad un sistema compromesso durante la fase precedente, allo scopo di consentire l accesso al maggior numero di risorse possibile (documenti riservati, servizi, applicazioni, ecc.) Le fasi sono state effettuate utilizzando una serie di tools proprietari e/o di pubblico dominio, come ad esempio strumenti di analisi dei protocolli, port scanner, Sniffer, remote exploit, ecc. L insieme dei tools e il loro utilizzo permette, in caso di successo, di definire un processo che consente di validare un ipotetico scenario di attacco, in cui le lacune e vulnerabilità che potenzialmente affliggono i sistemi, vengono sfruttate con l intenzione di avere il maggior impatto possibille sui sistemi e sulla infrastruttura oggetto d attacco. L analisi applicativa del sistema di acquiring, non può seguire un iter standardizzato, ma deve essere effettuata secondo una metodologia di indagine non convenzionale. I sistemi ed i protocolli, su cui si basa l applicazione, utilizzano degli standard di bassa diffusione e di conseguenza non esistono in commercio strumenti di analisi che possano supportare il lavoro di indagine, come di solito avviene per i più diffusi applicativi (es. sistemi WEB, WEB services, ecc.). Di conseguenza l esame dei meccanismi implementativi non può utilizzare tecniche conformi a criteri consolidati, ma deve per forza seguire una metodologia euristica, sviluppata a seconda dei casi. L approccio seguito per intraprende questa fase di lavoro, segue la falsa riga dei metodi e delle tecniche utilizzate per la ricerca di nuove vulnerabilità dei software. Questo tipo di attività è solitamente molto complessa e difficoltosa e spesso, a fronte di un notevole dispendio di forze, porta a risultati minimi, in termini di anomalie riscontrate (a tutto vantaggio del cliente [ndr]). A fronte di questo tipo di problematiche le possibili vie da seguire sono principalmente l analisi del codice sorgente (source code review), o l esecuzione di stress test sui protocolli applicativi Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 11 di 80

12 Il primo metodo può risultare molto lungo e complesso, ma se svolto con perizia e attenzione, dà risultati molto precisi e puntuali. Il contro è dato dal fatto che il costo è in diretta relazione alla complessità e alla dimensione del sistema applicativo e vista la natura delle moderne applicazioni distribuite, non è solitamente consigliato. Il secondo metodo di indagine si basa sulla possibilità di sondare la bontà della logica applicativa (in termini di sicurezza) attraverso il suo protocollo: in tutte le applicazioni muti-layer un client invia delle informazioni attraverso le richieste che saranno elaborate dalla logica centrale, la manipolazione di queste informazioni, seguendo opportuni criteri, può indurre comportamenti anomali nella logica applicativa se non implementata con appropriate precauzioni. Qualsiasi attacco che utilizza una vulnerabilità di un servizio, sfrutta il suo protocollo applicativo per veicolare delle informazioni maliziose, basandosi sul fatto che non è stata correttamente realizzata una regola per eliminare quella determinata classe di costrutti lessicali all interno del contesto applicativo. La conseguenza di questa lacuna applicativa e soprattutto il suo impatto sul sistema, può variare notevolmente a seconda del contesto e della tipologia della vulnerabilità: si può partire da un semplice crash del servizio, fino a arrivare al controllo completo del sistema e delle sue risorse da parte di chi ha intrapreso l attacco. Per intraprendere questa fase di progetto si è scelto di seguire quest ultimo approccio. Le attività effettuate possono essere riassunte come segue: Information gathering: comprende l insieme delle passi relativi alla acquisizione dell opportuno know-how sulla natura del sistema, le tecnologie utilizzate, la natura applicativa, i protocolli di comunicazione, ecc. L obiettivo è giungere ad un livello di conoscenza tale da permette di analizzare con cognizione di causa il sistema, e definire una modalità con cui operare nelle successive fasi. Analisi logica dei protocolli applicativi: partendo dalle nozioni acquisite nel punto precedente, si cerca di esaminare ad alto livello lo standard utilizzato per implementare il meccanismo di scambio delle informazioni, alla ricerca di possibili punti di debolezza in termini di sicurezza ed integrità del flusso informativo. Selezione di un campione applicativo: con l accordo del cliente, si definisce un insieme minimale e rappresentativo di processi applicativi sui cui focalizzare l attenzione durante i test. Questo campione di procedure applicative permette di ridurre i tempi di lavoro e 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 12 di 80

13 consente di circoscrivere gli elementi di logica strategicamente rilevanti ai fini di una analisi della sicurezza del sistema. Definizione del test pool : in base alle ipotese fatte, vengono definiti una serie di possibili variabili di attacco, su cui effettuare gli stress test verso la logica centrale. Gli elementi componenti il protocollo vengono analizzati in base alle congetture relative alla tipologia dei dati che rappresentano, e definiti una serie di possibili manipolazioni dei valori che possono assumere. Creazione di strumenti di test: l esecuzione dei test avviene utilizzando strumenti creati ad hoc sulla base delle attività sopra esposte. Questi strumenti permettono di automatizzare il processo di indagine verso il sistema applicativo, e rendere più veloce il lavoro di test delle vulnerabilità ipotizzate. Esecuzione degli stress test: l esecuzione dei test avviene seconda una logica e una cronologia definita in base alla criticità e ai possibili impatti che i test stessi possono portare sul sistema: in ordine, prima i meno invasivi e successivamente quelli che ipoteticamente impattano maggiormente sul sistema. Analisi dei risultati: le risposte alle sollecitazioni inviate tramite gli strumenti vengono analizzate una per una e catalogate in base alla tipologia di test e risposte ottenute. Questo consente di avere una visione precisa del comportamento del sistema sotto le diverse condizioni di lavoro, e consente eventualmente affinare i test per arrivare ad un livello di dettaglio maggiore. Raffinamento: sulla base dei risultati ottenuti, viene affinata la logica dei test da eseguire e modificati gli strumenti creati nei punti precedenti, allo scopo di ottenere una visione più congruente delle debolezze possibili. I test vengono nuovamente eseguiti dando vita ad un processo iterativo (esecuzione->risultati->raffinamento), che si ferma solo a risultati ritenuti accettabili, in base ai vincoli e agli obiettivi di progetto. La conclusione dei test dovrebbe evidenziare una eventuale serie di punti di debolezza e fornire un corrispondente insieme di possibili soluzioni, in grado di elevare il grado di sicurezza dell infrastruttura applicativa. È bene far notare che in questo tipo di attività, i risultati ottenuti sono fortemente dipendenti da diversi fattori, principalmente legati alle tecnologie e al loro utilizzo: a questo proposito l accurata scelta dei supporti applicativi, i linguaggi di programmazione, e lo sviluppo, tenendo conto delle più diffuse best practices di sicurezza, influisce in maniera determinante sul grado di sicurezza complessivo dell infrastruttura applicativa Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 13 di 80

14 Le scelte progettuali e le metodologie di sviluppo e messa in produzione, soprattutto per quanto concerne lo sviluppo del codice, ricoprono un peso fondamentale nel quadro globale delle sicurezza applicativa, soprattutto per quanto riguarda le possibili strategie di intervento correttivo a fronte di lacune che possono inficiare la sicurezza delle informazioni trattate. Come ultima fase di progetto, allo scopo di avere una visione globale della sicurezza dell applicativo, vengono esaminati i meccanismi e i canali di comunicazione utilizzati dai vari elementi applicativi (front-end, application server, database di back-end, ecc.) A fronte di un possibile attacco interno (portato dalle rete interna del cliente), risulta di vitale importanza l utilizzo di sistemi in grado di interagire tra loro in maniera sicura e confidenziale. Essendo un sistema distribuito, l applicativo deve tener conto del fatto che tutte o gran parte delle informazioni transitano su di una infrastruttura che per forza di cose può introdurre elementi di debolezza. La scelta di utilizzare standard o meccanismi in grado di offrire un buon grado di protezione delle informazioni può ritornare molto utile in caso di una possibile compromissione di uno o più elementi infrastrutturali. Tenendo conto di questo, in questa ultimo stadio di progetto vengono analizzati meccanismi di comunicazione ed i sistemi di integrità e confidenzialità dei flussi informativi. In dettaglio vengono esaminati: Canali di comunicazione Meccanismi di passaggio dell informazioni Sessioni applicative Interazione con i database Varie ed eventuali E bene evidenziare che l individuazione di una singola vulnerabilità molto spesso non è sufficiente, nella maggior parte dei casi, per compromettere la sicurezza di una sistema. Un attacco che abbia come obiettivo l accesso ad informazioni riservate, il furto di identità ad altri utenti, o, in generale, qualsiasi utilizzo non consentito delle risorse richiede l elaborazione di strategie a volte anche molto complesse che comprendono tecniche e vulnerabilità diverse. È quindi necessario, sulla base dei risultati della fase di individuazione delle vulnerabilità, definire le strategie di attacco che possono essere utilizzate per una specifico sistema. Questa attività deve essere svolta caso per caso in modo completamente artigianale, da parte di figure professionali con competenze sia di livello architetturale/sistemistico, sia implementativo Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 14 di 80

15 2 External network assessment In questo paragrafo vengono elencati i risultati ottenuti a seguito all analisi dell infrastruttura perimetrale, dei server in esse ospitati, dei servizi risultati attivi ed accessibili da remoto, direttamente od indirettamente in relazione con il sistema di Acquiring. 2.1 Analisi di rete La procedure di discovery delle rete target utilizza una metodologia e un insieme di tecniche basate sulla analisi delle risposte a sollecitazione non invasive utilizzando alcuni tipici protocolli internet (icmp, ip/tcp, ip/udp, snmp, ecc). L analisi dei pacchetti di risposta consente di stabilire le possibili relazioni tra gli apparati dell infrastruttura di rete, i sistemi attivi, l entità delle macchine, i protocolli abilitati a funzionare sui sistemi, ecc. Sebbene il procedimento non dia risultati certi al cento per cento, vista la complessità e le numerosissime configurazioni possibili delle moderne reti di computer, un analisi accurata consente di avere una visione più approfondita dei sistemi da attaccare, dando la possibilità di definire una strategia di attacco il più efficace possibile. Partendo dalle informazioni fornite del cliente riguardo i sistemi di acquiring (produzione e test) l attività si compone delle seguenti fasi: Information gathering Tracerouting e network discovery System discovery e identification Analisi dei protocolli topologia ipotizzata di rete Utilizzando i database pubblici è possibile individuare informazioni abbastanza dettagliate riguardo gli indirizzamenti pubblici della rete da attaccare, domini di posta, numeri telefonici e persone di riferiemento ecc. inetnum: netname: CORNERBANCA-NET descr: 6963 Pregassona country: CH admin-c: WM5132-RIPE tech-c: CAN6-RIPE status: ASSIGNED PA "status:" definitions mnt-by: AS8404-MNT source: RIPE # Filtered 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 15 di 80

16 role: cablecom GmbH NOC address: Foerrlibuckstrasse 181 address: CH-8005 Zurich address: Switzerland source: RIPE # Filtered person: Wilson Mehringer address: Cablecom GmbH address: Foerrlibuckstrasse 181 address: CH-8005 Zurich address: Switzerland phone: remarks: *************************************************** remarks: For Spam/Abuse, please contact abuse@cablecom.ch remarks: s to the persons below will be IGNORED!! remarks: *************************************************** wilson.mehringer@cablecom.ch nic-hdl: WM5132-RIPE Partendo dagli indirizzi IP dei sistemi target per mezzo di tools di sistema o strumenti di analisi più avanzati scaricabili da internet, è possibile rilevare i sistemi di instradamento e connettività utilizzati per accedere ad internet. 10: TTL 0 during transit from ip= name=tengig-2-4.mlrzhz006.gw.cablecom.net 11: TTL 0 during transit from ip= name= business.cablecom.ch 12: 13: TTL 0 during transit from (unknown host name) 13: TTL 0 during transit from (unknown host name) 13: TTL 0 during transit from (unknown host name) 13: TTL 0 during transit from (unknown host name) 13: TTL 0 during transit from (unknown host name) 13: TTL 0 during transit from (unknown host name) 14: len=46 ip= ttl=47 DF id=62609 sport=3000 flags=sa seq=8 win=24656 rtt=31.1 ms Il log evidenzia un dispositivo utilizzato per la connettività internet [IP. Add ], un sistema intermedio di cui non si hanno pacchetti di risposta (hop numero 12), e devices che rispondono con gli indirizzi interni (ipoteticamente sistemi in alta affidabilità) [IP. Add ]. Il successivo scan ICMP per la ricerca delle macchine attive evidenzia i seguenti indirizzi IP: L analisi degli IP id dei pacchetti di risposta dei sistemi [IP ] e [IP ] permette di ipotizzare il fatto i due dispositivi costituiscano la stessa macchina: 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 16 di 80

17 hping -S -p HPING (eth ): S set, 40 headers + 0 data bytes len=46 ip= ttl=239 id=63196 sport=3000 flags=ra seq=0 win=0 rtt=29.9 ms len=46 ip= ttl=239 id=63197 sport=3000 flags=ra seq=1 win=0 rtt=29.1 ms len=46 ip= ttl=239 id=63199 sport=3000 flags=ra seq=2 win=0 rtt=32.4 ms len=46 ip= ttl=239 id=63200 sport=3000 flags=ra seq=3 win=0 rtt=29.8 ms len=46 ip= ttl=239 id=63201 sport=3000 flags=ra seq=4 win=0 rtt=30.4 ms hping -S -p HPING (eth ): S set, 40 headers + 0 data bytes len=46 ip= ttl=239 id=63203 sport=3000 flags=ra seq=0 win=0 rtt=31.1 ms len=46 ip= ttl=239 id=63204 sport=3000 flags=ra seq=0 win=0 rtt=31.1 ms len=46 ip= ttl=239 id=63205 sport=3000 flags=ra seq=1 win=0 rtt=29.8 ms len=46 ip= ttl=239 id=63207 sport=3000 flags=ra seq=2 win=0 rtt=32.6 ms hping -1 -n HPING (eth ): icmp mode set, 28 headers + 0 data bytes len=46 ip= ttl=49 id=11105 icmp_seq=0 rtt=27.9 ms len=46 ip= ttl=49 id=11106 icmp_seq=1 rtt=24.2 ms len=46 ip= ttl=49 id=11107 icmp_seq=2 rtt=27.7 ms hping -1 -n HPING (eth ): icmp mode set, 28 headers + 0 data bytes len=46 ip= ttl=239 id=37039 icmp_seq=0 rtt=31.8 ms len=46 ip= ttl=239 id=24983 icmp_seq=1 rtt=30.2 ms len=46 ip= ttl=239 id=34729 icmp_seq=2 rtt=33.9 ms len=46 ip= ttl=239 id=44341 icmp_seq=3 rtt=30.2 ms hping -1 -n HPING (eth ): icmp mode set, 28 headers + 0 data bytes len=46 ip= ttl=49 id=61536 icmp_seq=0 rtt=31.4 ms len=46 ip= ttl=49 id=61539 icmp_seq=1 rtt=30.0 ms len=46 ip= ttl=49 id=61542 icmp_seq=2 rtt=29.7 ms len=46 ip= ttl=49 id=61545 icmp_seq=3 rtt=28.9 ms Utilizzando I dati ottenuti dall analisi si può dedurre la topologia di rete che segue. Lo schema riportato, è frutto delle attività di reverse engineering effettuato utilizzando le tecniche sopra esposte. E bene ribadire che il disegno che ne scaturisce non sempre corrisponde a tutti gli effetti a quello reale, ma rispecchia ciò che è possibile ipotizzare eseguendo tale attività secondo le modalità esposte Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 17 di 80

18 Figura 1 Topologia della rete di perimetro 2.2 Sistemi target Questa sezione contiene una descrizione della macchine analizzate basata sui dati ottenuti durante lo svolgimento delle attività di ethical hacking. Insieme alle informazioni di carattere generale (servizi aperti, OS fingerprint, etc.), vengono riportate le eventuali vulnerabilità puntuali riscontrate e il relativo livello di criticità Router Cisco OS fingerprint Open TCP services Open UDP services General Info Cisco IOS 11.x-12.x Number Service Number Service 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 18 di 80

19 La macchina risulta attiva e risponde alle principali sollecitazioni tramite il protocollo internet ICMP. Gli strumenti di fingerprinting permettono di ipotizzare un sistema Cisco Systems. Le attività di scanning e di enumeration non hanno rilevato servizi aperti e risorse utilizzabili dalla rete pubblica Router Cisco OS fingerprint Open TCP services Open UDP services General Info Cisco IOS 11.x-12.x Number Service Number Service La macchina risulta attiva e risponde alle principali sollecitazioni tramite il protocollo internet ICMP. Gli strumenti di fingerprinting permettono di ipotizzare un sistema Cisco Systems. Le attività di scanning e di enumeration non hanno rilevato servizi aperti e risorse utilizzabili dalla rete pubblica Router Cisco OS fingerprint Open TCP services Open UDP services General Info Cisco IOS 11.x-12.x Number Service Number Service La macchina risulta attiva e risponde alle principali sollecitazioni tramite il protocollo internet ICMP. Le attività di scanning e di enumeration non hanno rilevato servizi aperti e risorse utilizzabili dalla rete pubblica. Gli strumenti di fingerprinting permettono di ipotizzare un sistema Cisco Systems 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 19 di 80

20 ep2p.ac-multink.ch OS fingerprint Open services General Info Number 3000/tcp 3100/tcp 3200/tcp 3300/tcp Service Ppp unknown unknown unknown La macchina risulta attiva e risponde alle principali sollecitazioni tramite i protocolli internet (Tcp, Udp). La macchina risulta protetta da un dispositivo di filtraggio del traffico (firewall). A parte i servizi legati direttamente al sistema di acquiring non sono stati rilevati altre porte aperte ep2t.ac-multink.ch OS fingerprint Open services General Info Number 3000/tcp 3100/tcp 3200/tcp 3300/tcp Service Ppp unknown unknown unknown La macchina risulta attiva e risponde alle principali sollecitazioni tramite i protocolli internet (Tcp, Udp). La macchina risulta protetta da un dispositivo di filtraggio del traffico (firewall). A parte i servizi legati direttamente al sistema di acquiring non sono stati rilevati altre porte aperte Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 20 di 80

21 2.3 Risultati ottenuti e scenari d attacco Dall analisi effettuata si conclude che i dispositivi di instradamento e di sicurezza perimetrale del cliente sono efficaci e puntuali nel consentire l accesso ai servizi volutamente resi fruibili dal Cliente. I sistemi di acquiring di produzione e test non denotano servizi accessibili pubblicamente, fatta eccezione per le porte dedicate a gestire le transazioni Ep2 (l analisi di tali servizi è rimandata nel capitolo [External Application assessment]). L infrastruttura di rete risulta essere ben progettata ed implementata; il livello di hardening è risultato essere più che ottimo, denotando una notevole attenzione alla sicurezza dei sistemi e dei dispositivi presenti sul perimetro. L infrastruttura ed i sistemi, possono essere considerati di ottimo livello risultando essere più che idonei a proteggere le delicate informazioni trattate. Di conseguenza, non si sono potute delineare strategie e ipotetici scenari di attacco ai sistemi da un punto di vista strettamente legato ai servizi pubblici e di rete Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 21 di 80

22 3 Internal network assessment In questo capitolo vengono riportati i risultati dell analisi svolta presso la sede del Cliente. L accesso alla rete è stato garantito dal cliente all interno di una lan utilizzata da normali utenti della società e successivamente presso la sala macchine in cui sono ospitati direttamente i server oggetto di indagine. Nel paragrafo 3.1 viene presentata un analisi completa dei servizi e delle relative vulnerabilità potenziali (verificate dove possibile) per i server identificati come critici dal Cliente. In seguito sono descritte le varie aree che sono state oggetto di analisi, secondo un approccio Black Box, e sono riportati tutti i sistemi e le applicazioni a cui si è potuto avere accesso, o che si sono potuti compromettere durante lo svolgimento dell attività, ognuno accompagnato dalle cause che hanno reso possibili tali accessi non autorizzati. Separatamente a questo documento viene consegnato al cliente la reportistica generata dai tools di scan automatico, utilizzati nella seconda fase dell attività interna. I risultati presentati contengono un analisi delle vulnerabilità potenziali, la cui verifica è stata effettuata ove possibile (sempre nel rispetto della regola di non creare disservizi). Riguardo a questo argomento è opportuno mettere in chiaro il fatto che la verifica da remoto di una falla di sicurezza non sempre garantisce risultati attendibili: l unica maniera di effettuare questa verifica è quella di sfruttare effettivamente la vulnerabilità stessa, utilizzando un remote exploit. Questo tipo di approccio può risultare molto aleatorio perchè fortemente dipendente da fattori non univocamente determinabili. Capita spesso che una vulnerabilità reale non sia sfruttata per penetrare un sistema perchè il remote exploit non è pubblico, oppure i parametri da utilizzare non sono deducili dalle poche informazioni raccolte sulla tipologia e versione del servizio fallato, ecc. La maniera più sicura e attendibile per eliminare un falso positivo consiste nel verificare la presenza della hotfix che risolve la vulnerabilità. Questo comporta un intervento manuale da parte dell amministratore del sistema o al massimo utilizzando sistemi di vulnerability management, che rendono automatico questo compito. La reportistica è stata organizzata raggruppando i risultati per omogeneità di sistema all interno di un documento ipertestuale facilmente leggibile in formato elettronico Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 22 di 80

23 3.1 Analisi di rete Come già esposto per l analisi di perimetro, la procedure di discovery delle rete target dall interno utilizza una metodologia e un insieme di tecniche del tutto simili a quelle presentate in precedenza. L attività di penetration test è stata effettuata all interno del network del cliente presso la sede di Bedano, utilizzando un indirizzo IP interno [ip addr/netmask /24]. preso tramite il sistema di gestione indirizzamento dinamico DHCP della rete del cliente. Partendo dalle informazioni fornite del cliente riguardo i sistemi di acquiring (indirizzi IP, nomi, domni, ecc.) le attività effettuate possono essere riassunte in: Tracerouting e network discovery System discovery e identification Analisi dei protocolli Partendo dagli indirizzi IP dei sistemi target per mezzo di tools di sistema o strumenti di analisi più avanzati scaricabili da internet, è possibile rilevare i sistemi di instradamento e connettività utilizzati per accedere ad internet. hping -z -t 1 -n -S -p : TTL 0 during transit from : TTL 0 during transit from Il log evidenzia i dispositivi utilizzati per la connettività internet [IP ] e [IP ]. Uno sniffing passivo attestato sulla rete locale, evidenzia l utilizzo di protocolli di gestione automatica dei dispositivi layer 2 (STP) Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 23 di 80

24 Figura 3-1 Analisi dei protocolli Lo Spanning Tree Protocol (STP) permette di mantenere una topologia "loop free" in una rete di switch che contenga percorsi ridondati. L'assenza di loop in una infrastruttura di rete è essenziale, perchè assicura che il traffico in broadcast non venga inoltrato all'infinito e,parallelamente, la ridondanza permette di mantenere un buon grado di fault-tolerance. STP crea un albero di copertura (privo quindi di loop) del grafo rappresentante la LAN (o VLAN). Questo albero di copertura viene generato partendo dall'elezione di uno switch "root", che ne diverrà appunto la radice. Tale elezione avviene tramite l'invio da parte di ogni switch di una serie di pacchetti (BPDU) contenenti ognuno un identificativo di priorità dello switch stesso. Lo switch con priorità più elevata viene considerato il "root". Sfruttando configurazioni poco sicure, un attaccante è in grado di inviare finti pacchetti BPDU annunciandosi come nuova radice (pacchetti con massima priorità). Come radice dell'albero, l'attaccante potrà essere in grado di intercettare tutto il traffico "unmanaged" che transita attraverso gli switch "foglie", ed effettuare attacchi di sniffing, MITM e DoS. (in alcuni casi particolari). L'attacco diventa ancora più efficace, se l'attaccante è in grado di portarsi in una posizione di"dual homing" (fisicamente connesso a due switch differenti nello stesso momento). Le possibili contromisure a questo tipo di attacco sono: Disabilitare il protocollo STP sulle LAN (VLAN) prive di loop 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 24 di 80

25 Disabilitare selettivamente il protocollo STP (se permesso dall'apparato) sulle porte a cui connessi client, lasciandolo attivo unicamente sulle porte di uplink che collegano due switch differenti. Utilizzare le feature di protezione RootGuard e BPDU Guard (presenti sui prodotti Cisco) sulle porte "utente". Attraverso l'analisi del traffico intercettato, è possibile rilevare come il protocollo STP risulti attivo anche sulle porte "utente" (sono stati intercettate BPDU dalla postazione da cui è stato effettuato l'attacco). Se non sono state applicate ulteriori contromisure di sicurezza, è possibile ipotizzare che, in questo contesto, un attacco verso STP sia attuabile, con le conseguenze precedentemente descritte. Uno scan ICMP per la ricerca delle macchine attive sulla rete remota di acquiring permette di rilevare i seguenti indirizzi IP: [..] [..] L analisi degli IP id dei pacchetti di risposta dei sistemi [IP ] e [IP ] permette di ipotizzare il fatto i due dispositivi costituiscano la stessa macchina. 3.2 Server rilevanti Di seguito vengono riassunti i risultati delle analisi svolte: sui server indicati dal cliente come strategicamente importanti. sui server dove sono state riscontrate vulnerabilità degne di nota. Insieme alle informazioni di carattere generale vengono riportate, per ogni macchina, le vulnerabilità riscontrate ed effettive (dove presenti) durante la fase di penetration test e le relative proposte per il loro fixing Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 25 di 80

26 N.B. Trattandosi di macchine in produzione, non sono state testate le vulnerabilità che avrebbero potuto compromettere il buon funzionamento dei sistemi, e non sono stati portati attacchi di tipo Denial Of Service (negazione del servizio) Nortel Passport 1600 OS fingerprint Open services General Info Number 23/tcp Nortel Service telnet La macchina risulta attiva e risponde alle principali sollecitazioni tramite i protocolli internet (Tcp, Udp, ICMP, ecc.) Gli strumenti di fingerprinting permettono di ipotizzare un sistema Nortel Networks Il servizio di gestione remota Telnet non utilizza meccanissmi di crittografia delle connessioni, consentendo il transito delle credenziali in chiaro attraverso la rete. Ciò può esporre l apparato ad attacchi tipo Man in the middle con il conseguente furto dei codici di accesso al dispositivo. Il servizio di gestione remota Telnet può essere attaccato con tecniche di tipo Remote Password Guessing alla ricerca di account di servizio deboli. Se possibile e se non già utilizzati, si consiglia di attivare meccanismi di blocco dei tentativi di account errati. Vulnerabilities #n Level Name Description Threat Fix L1 Low ClearText Protocol Il sistema utilizza servizi di gestione remota non cifrata Questo espone il sistema a possibili furti di credenziali utente tramite tecniche di intercettazione del traffico Utilizzare servizi di amministrazione che si appoggiano a standard di cifratura forte o encryption del traffico tramite tunnel vpn 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 26 di 80

27 Nortel Networks OS fingerprint Open services General Info Number 23/tcp 161/udp Nortel Service telnet snmp La macchina risulta attiva e risponde alle principali sollecitazioni tramite i protocolli internet (Tcp, Udp, ICMP, ecc.) Gli strumenti di fingerprinting permettono di ipotizzare un sistema Nortel Networks Il servizio di gestione remota Telnet non utilizza meccanissmi di crittografia delle connessioni, consentendo il transito delle credenziali in chiaro attraverso la rete. Ciò può esporre l apparato ad attacchi tipo Man in the middle con il conseguente furto dei codici di accesso al dispositivo. Il servizio di gestione remota Telnet può essere attaccato con tecniche di tipo Remote Password Guessing alla ricerca di account di servizio deboli. Se possibile e se non già utilizzati, si consiglia di attivare meccanismi di blocco dei tentativi di account errati. Il servizio di gestione Snmp utilizzati community di lettura/scrittura di default [public/private], consentendo un facile accesso alle informazioni del dispositivo. Si consiglia di modificare le credenziali con community di difficile inferenza. Vulnerabilities #n Level Name Description Threat Fix M1 Medium/High Weak Password Policy Non c è alcuna policy per la creazione o il cambio delle password. Alcuni utenti hanno password di banale inferenza. Questa vulnerabilità può portare alla compromissione totale della macchina. Utilizzando tecniche di password guessing è possibile recuperare le credenziali utente protette da password deboli, per accedere da remoto alle risorse del sistema Modificare la politica di gestione degli account e inserire password non alfanumeriche o derivabili dallo user name e se possibile utilizzare meccanismi di lockout dei tentavi di accesso fallito 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 27 di 80

28 L2 Low ClearText Protocol Il sistema utilizza servizi di gestione remota non cifrata Questo espone il sistema a possibili furti di credenziali utente tramite tecniche di intercettazione del traffico Utilizzare servizi di amministrazione che si appoggiano a standard di cifratura forte o encryption del traffico tramite tunnel vpn Nortel Passport 1600 OS fingerprint Open services General Info Number 23/tcp 161/udp Nortel Service telnet snmp La macchina risulta attiva e risponde alle principali sollecitazioni tramite i protocolli internet (Tcp, Udp, ICMP, ecc.) Gli strumenti di fingerprinting permettono di ipotizzare un sistema Nortel Networks Il servizio di gestione remota Telnet non utilizza meccanissmi di crittografia delle connessioni, consentendo il transito delle credenziali in chiaro attraverso la rete. Ciò può esporre l apparato ad attacchi tipo Man in the middle con il conseguente furto dei codici di accesso al dispositivo. Il servizio di gestione remota Telnet può essere attaccato con tecniche di tipo Remote Password Guessing alla ricerca di account di servizio deboli. Se possibile e se non già utilizzati, si consiglia di attivare meccanismi di blocco dei tentativi di account errati. Il servizio di gestione Snmp utilizzati community di lettura/scrittura di default [public/private], consentendo un facile accesso alle informazioni del dispositivo. Si consiglia di modificare le credenziali con community di difficile inferenza Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 28 di 80

29 Vulnerabilities #n Level Name Description Threat Fix M2 Medium/High Weak Password Policy Non c è alcuna policy per la creazione o il cambio delle password. Alcuni utenti hanno password di banale inferenza. Questa vulnerabilità può portare alla compromissione totale della macchina. Utilizzando tecniche di password guessing è possibile recuperare le credenziali utente protette da password deboli, per accedere da remoto alle risorse del sistema Modificare la politica di gestione degli account e inserire password non alfanumeriche o derivabili dallo user name e se possibile utilizzare meccanismi di lockout dei tentavi di accesso fallito L3 Low/Medium ClearText Protocol Il sistema utilizza servizi di gestione remota non cifrata Questo espone il sistema a possibili furti di credenziali utente tramite tecniche di intercettazione del traffico Utilizzare servizi di amministrazione che si appoggiano a standard di cifratura forte o encryption del traffico tramite tunnel vpn CS9P1A [ ] High Medium Low 1 Levels 1 0 # Vulnerabilities General Info OS fingerprint HP-UX 11.X Open services Number Service 7/tcp echo 9/tcp discard 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 29 di 80

30 13/tcp 19/tcp 21/tcp 23/tcp 25/tcp 37/tcp 111/tcp 113/tcp 135/tcp 199/tcp 512/tcp 513/tcp 514/tcp 515/tcp 543/tcp 544/tcp 868/tcp 1501/tcp 1508/tcp 1521/tcp 2006/tcp 2121/tcp 4045/tcp 4444/tcp 5300/tcp 5301/tcp 5302/tcp 5303/tcp daytime chargen ftp telnet smtp time rpcbind auth msrpc smux exec login shell printer klogin kshell unknown sas-3 diagmond oracle invokator ccproxy-ftp lockd krb524 hacl-hb hacl-gs hacl-cfg hacl-probe La macchina risulta attiva e risponde alle principali sollecitazioni tramite i protocolli internet (Tcp, Udp, ICMP, ecc.) Il sistema presenta numerosi servizi aperti: questo tipo di situazione si presenta principalmente a macchina appena installata o su sistemi in cui non sono stati effettuate operazioni di armoring del sistema operativo. Ciò può offrire molte chance ad un attaccante vista la notevole scelta di servizi raggiungibili dalla rete. È superfluo ribadire il concetto che ogni servizio lascito aperto al pubblico può divenire una porta aperta sul sistema se non 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 30 di 80

31 opportunamente curata la sicurezza del software che lo implementa. Il consiglio è di effettuare prima possibile un hardening (blindatura) mantenendo attivi solamente i servizi strettamente necessari, e applicando le raccomanded patch del produttore per i restanti e necessari programmi. Il servizio di gestione remota Telnet e scambio files FTP e altri non utilizzano meccanismi di crittografia delle connessioni, consentendo il transito delle credenziali in chiaro attraverso la rete. Ciò può esporre l apparato ad attacchi tipo Man in the middle con il conseguente furto dei codici di accesso al dispositivo. Il servizio di gestione remota Telnet può essere attaccato con tecniche di tipo Remote Password Guessing alla ricerca di account di servizio deboli. Se possibile e se non già utilizzati, si consiglia di attivare meccanismi di blocco dei tentativi di account errati. Utilizzando un tool direttamente scaricabile da internet e utilizzando una breve dizionario di utenti comuni, in pochi secondi si è potuto recuperare la seguente lista di utenze e usarle per accedere al sistema: [23][telnet] host: login: ftp_cop password: ftp_cop [23][telnet] host: login: ftp_dev password: ftp_dev [23][telnet] host: login: ftp_int password: ftp_int [23][telnet] host: login: ftp_rel password: ftp_rel [23][telnet] host: login: a_rel password: a_rel [23][telnet] host: login: oracle password: oracle [23][telnet] host: login: tracker password: tracker Vulnerabilities #n Level Name Description Threat Fix M3 Medium/High Weak Password Policy Non c è alcuna policy per la creazione o il cambio delle password. Alcuni utenti hanno password di banale inferenza. Questa vulnerabilità può portare alla compromissione totale della macchina. Utilizzando tecniche di password guessing è possibile recuperare le credenziali utente protette da password deboli, per accedere da remoto alle risorse del sistema Modificare la politica di gestione degli account e inserire password non alfanumeriche o derivabili dallo user name e se possibile utilizzare meccanismi di lockout dei tentavi di accesso fallito L4 Low/Medium ClearText Protocol Il sistema utilizza servizi di gestione remota non cifrata Questo espone il sistema a possibili furti di credenziali utente tramite tecniche di intercettazione del traffico Utilizzare servizi di amministrazione che si appoggiano a standard di cifratura forte o encryption del traffico tramite tunnel vpn 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 31 di 80