x6a\x3f\x58\xcd\x x49\x79\xf8\x6a\x x58\x99\x52\x68\ x2f\x73\x68\x68\x 0wning the Business Matteo Falsetti mfalsetti[at]enforcer.

Transcript

1 0wning the Business Matteo Falsetti mfalsetti[at]enforcer.it 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 1

2 Chi sono ricercatore indipendente penetration testing e delle sole logiche aziendali da dieci anni da sei mi occupo di vulnerability assessment non mi occupo (ancora) 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 2

3 Agenda sicurezza, storia e parallelismi penetration test, fino a dieci anni fa finestra delle vulnerabilità penetration test, oggi vulnerabilità aziendali - case history 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 3

4 A young boy, with greasy blonde hair, sitting in a dark room. The room is illuminated only by the luminescense of the C64's 40 character screen. Taking another long drag from his Benson and Hedges cigarette, the weary system cracker telnets to the next faceless ".mil" site on his hit list. "guest -- guest", "root -- root", and "system -- manager" all fail. No matter. He has all night... he pencils the host off of his list, and tiredly types in the next potential 1993, Improving the Security of Your Site by Breaking Into it victim... 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 4

5 However, there is a far more dangerous type of system cracker out there. One who knows the ins and outs of the latest security auditing and cracking tools, who can modify them for specific attacks, and who can write his/her own programs. One who not only reads about the latest security holes, but also personally discovers bugs and vulnerabilities. A deadly creature that can both strike poisonously and hide its tracks without a whisper or hint of a trail. The uebercracker is 1993, Dan Farmer e Wietse Venema here. 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 5

6 sicurezza, storia e parallelismi (3) 1983, Wargames 1988, Internet Worm 1990, Hacker Crackdown Il documento del 1993 riflette una realtà ormai evidente, ma le tecniche descritte sono ancora semplicistiche; è necessario aspettare il 1995 per il paper di Mudge sugli overflow 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 6

7 sicurezza, storia e parallelismi (4) 1985, Morris 1989, Bellovin 1994, Takedown, RFC1948, Joncheray 2001, strani attrattori la fine degli anni 90 mostra un deciso salto qualitativo per quanto riguarda le tecniche di attacco e difesa, le pubblicazioni indipendenti, i tool e gli exploit... 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 7

8 sicurezza, storia e parallelismi (5) anni per un uso mainstream dei b0f 15 anni perchè compaiano le prime metodiche di protezione sistematica 10 anni per le prime prese di posizione contro la generazione debole degli ISN 20 anni per mitigare (non risolvere) il problema del tcp spoofing 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 8

9 sicurezza, storia e parallelismi (5) incidente / paper patch / nuovi trend / nuovi incidenti torpore Vi ricorda qualcosa? 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 9

10 penetration test, fino a dieci anni fa infrastrutture perimetrali(?!) semplici poche e note implementazioni dei demoni pochi paper, meno tool, praticamente nessuna comunità professionale online compromissione dei sistemi con i soliti metodi 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 10

11 penetration test, fino a dieci anni fa (2) password guessing passwd theft NSF/NIS/Telnet/FTP world wide web? gopher e veronica, grazie in poco tempo l avvento dei Windows in rete darà il via alle danze SMB/CIFS 1997, su Phrack #51 fyodor presenta nmap 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 11

12 penetration test, fino a dieci anni fa (3) no canvas, no core impact, no metasploit, no... praticamente niente ;-p exploit importantissimi, differenza tra PT con e senza risultati concreti quasi totale assenza di skill specifici per i sistemi Win32 la kb personale del tester fa la differenza 1998, nasce nessus 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 12

13 penetration test, fino a dieci anni fa (4) gli 0-day sono rari gli 0-day sono privati (fino a un certo punto) gli 0-day sono preziosissimi anche se gli exploit noti sono rari, soprattutto multi-piattaforma, multi-architettura, multi-target funzionanti :-p 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 13

14 penetration test, fino a dieci anni fa (5) password NFS/NIS exploit Altro 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 14

15 finestra delle vulnerabilità rilascio patch annuncio installazione patch scoperta 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 15

16 finestra delle vulnerabilità (2) oggi come in passato, molti 0-day non sono annunciati la finestra è dunque potenzialmente enorme molte patch derivano dalla scoperta in-thewild, non dagli annunci al vendor 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 16

17 finestra delle vulnerabilità (3) se non so di essere vulnerabile, come posso proteggermi? se sapessi prima quali sono gli exploit in the wild... potrei abbonarmi a quel vulnerability sharing club... 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 17

18 finestra delle vulnerabilità (4) se non so di essere vulnerabile, come posso proteggermi? la non consapevolezza, in caso di 0-day non se sapessi prima quali sono gli annunciato, è la norma exploit in the wild... conoscere una vulnerabilità è solo l anticamera della patch, del rientro potrei abbonarmi a quel non vulnerability rappresenta sharing l origine club... delle metodologie e delle policy, ma uno dei punti di arrivo 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 18

19 finestra delle vulnerabilità (5) se non so di essere vulnerabile, in-the-wild = vicini alla patch come posso proteggermi? se sapessi prima quali sono gli exploit in the wild... potrei abbonarmi a quel in-the-wild vulnerability = già potenziali sharing vittime club... da tempo 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 19

20 finestra delle vulnerabilità (6) se se non non so di hanno essere creato vulnerabile, l exploit, come possono conoscerlo? come posso proteggermi? se hanno acquisito un exploit di alto profilo e non ne hanno comunicato responsabilmente l esistenza alla comunità, come se posso sapessi fidarmi? prima quali sono gli exploit in the wild... se non è di alto profilo, mi interessa conoscerlo? potrei abbonarmi a quel vulnerability sharing club... 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 20

21 penetration test, oggi the network is the computer? no, the web http e xml il nuovo esperanto tutto è un applicazione web 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 21

22 penetration test, oggi (2) deployment in cluster distribuiti (BEA?) vm e beans per ogni stagione (java, enterprise, management, RMI?) virtualizzazioni e complessi scenari perimetrali 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 22

23 penetration test, oggi (3) non esistono più exploit pesanti iis, apache, ssh? a remote in ssh is a dead dream (anonimo) se esistessero non sarebbero venduti ai soliti noti commerciali (o si?!) 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 23

24 penetration test, oggi (4) oggi gli exploit servono meno (con le dovute eccezioni) strumenti come metasploit facilitano enormemente la creazione di codice di attacco i pt richiedono altro logiche client-side sicurezza fisica conoscenza dell ambiente bersaglio, delle infrastrutture, delle tecnologie 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 24

25 penetration test, oggi (5) spesso i pt sono sotto-stimati ( meglio un assessment classico ) non compresi ( fate quel che dovete, ma non toccate nulla, non copiate o modificate alcun dato, non impersonate utenze altrui, non aumentate il carico della macchina, non... ) menomati da logiche aziendali estranee ( ok i sistemi A, C e D. Il B no, perchè fa parte della linea di esercizio e sistemi, che fa capo a X. I sistemi da E a H non li testiamo perchè non siamo riusciti a contattare il referente interno Y. ) 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 25

26 penetration test, oggi (5) spesso i pt sono sotto-stimati ( meglio un assessment classico ) non compresi ( fate quel che dovete, ma non toccate nulla, non copiate o modificate alcun dato, non impersonate utenze altrui, non aumentate il carico della macchina, non... ) menomati da logiche aziendali estranee ( ok i sistemi A, C e D. Il B no, perchè fa parte della linea di esercizio e sistemi, che fa capo a X. I sistemi da E a H non li testiamo perchè non siamo riusciti a contattare il referente interno Y. ) 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 26

27 vulnerabilità aziendali - case history vulnerabilità semplici disattenzioni, dimenticanze spesso più efficaci di qualunque exploit il problema è umano (tanto più vero al errori di configurazione errori logici, di design crescere dell azienda, delle policy, delle linee gerarchiche, degli screzi tra quadri/dirigenti,...) 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 27

28 vulnerabilità aziendali - case history password multi-user, single-user multi-homed policy multi-line 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 28

29 vulnerabilità aziendali - case history password 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 29

30 vulnerabilità aziendali - case history password wmilan abc123 totti marco9 alice1 pippo321 aereo881 fragolin Andrea63 queen123 mundogol falcao82 pomodor R0m4n0 capitan0 Gelato!! Madonna luxor98 C0ns0l3 testtest gandalf slamdunk abcabc19 redwine amendola Amore71 lucilla password mare19 GretA Arturo79 sesso69 OKpassw cambiami Temp123 wlafranc 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 30

31 vulnerabilità aziendali - case history 43% 47% 7 anni di password 10% dizionario forza bruta 3gg non ottenute 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 31

32 vulnerabilità aziendali - case history password in media il 5% - 10% delle utenze presenta la password uguale allo username tutte le aziende hanno una policy per le password, poche policy sono accettate dai dipendenti, pochissime sono sicure 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 32

33 vulnerabilità aziendali - case history password in media il 5% - 10% delle utenze presenta la password uguale allo username tutte le aziende hanno una policy per le password, poche policy sono accettate dai dipendenti, pochissime sono sicure 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 33

34 vulnerabilità aziendali - case history multi-user, single-user teoricamente un sistema in produzione è più pulito e controllato dell ambiente di deployment nella pratica, spesso non esistono repliche di collaudo e gli sviluppatori lavorano direttamente negli ambienti di produzione 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 34

35 vulnerabilità aziendali - case history multi-user, single-user anni di sistemi casalinghi mono-utente hanno creato una generazione di singleuser noncuranti dei privilegi del file-system credenziali e/o informazioni sensibili nei file batch di prova file leggibili da chiunque nessuna separazione dei privilegi 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 35

36 financegw:/export/home/bea/otp/scripts $ ls -la /usr/local/admin/backup/oracle total 128 drwxr-xr-x 4 oracle fin-bck 8192 Nov 7 20:24. drwxr oracle fin-bck 8192 Nov 7 21:12 export -rwxr oracle fin-bck 1054 Dec export_otpofn.sh drwxr-x--- 2 oracle fin-bck Nov 7 20:24 log -rwxr oracle fin-bck 883 Nov online_otpofn archive_otpofn connect catalog OTPOFN/OTPOFN@bckman connect target legato/ipocondria75@otpofn run {... drwxr-xr-x 3 root root 8192 Oct 8 11:43.. -rwxr-xr-x 1 oracle fin-bck 1073 Jun 21 15:25 archive_otpofn financegw:/export/home/bea/otp/scripts $ more /usr/local/admin/backup/oracle/ 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 36

37 printer02:/var/spool/cron/crontabs $ ls -la /export/home/bea/crontab/ -rwxrwxrwx 1 andrea utenti 2003 Oct 8 13:43 /export/home/ trunc_partition.sh.bck bea/crontab/trunc_partition.sh.bck printer02:/var/spool/cron/crontabs $ grep PRTL9 /export/home/bea/crontab/ trunc_partition.sh.bck DBSTRING=PRTL@PRTL9/0p3nPr1n73r 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 37

38 test_j:/export/home/bea/tst/log/procedure/emiliano # more import java.util.iterator; ListAllMBeans.java import javax.naming.context; import java.util.set; import weblogic.jndi.environment; import weblogic.management.mbeanhome; import weblogic.management.weblogicmbean; import weblogic.management.weblogicobjectname; public class ListAllMBeans{ String username = "weblogic";... public static void main(string args[]) { String url = "t3://tstadmin:18001"; String password = "TsTAdmin007"; 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 38

39 vulnerabilità aziendali - case history multi-homed policy wan con circa 600 sistemi Unix circa 1000 pdl Win32 in dominio stringenti policy per AAA policy password policy accesso ACL a livello IP 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 39

40 vulnerabilità aziendali - case history multi-homed policy wan con circa 1800 credenziali in comune circa 300 credenziali Administrator uguali stringenti policy per AAA nuova password uguale per tutti abilitazione di default ai servizi base telnet/ssh/ftp raggiungibili ovunque 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 40

41 vulnerabilità aziendali - case history multi-line 100 server Solaris 3 differenti linee aziendali di riferimento sistemi esercizio it a valore aggiunto reti e servizi 3 differenti gestioni 3 differenti budget 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 41

42 vulnerabilità aziendali - case history multi-line 40 Solaris 9 e Solaris 8 patchati 23 Solaris 8 non patchati sicurezza) la linea di sicurezza non riesce a convincere il terzo gruppo ad aggiornare i sistemi, in quello stato per applicazioni proprietarie legacy (mai testate per problemi di 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 42

43 vulnerabilità aziendali - case history 5 anni fa oggi misconfiguration / hardening logica client side web input validation buffer overflow 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 43

44 vulnerabilità aziendali - case history pt esterno applicazioni web proprietarie (circa 4 su 5) configurazioni errate password niente più NSF/NIS/FTP/SMB/CIFS 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 44

45 vulnerabilità aziendali - case history pt interno password problemi derivanti dalla gestione logica delle risorse IT eterogeneità architetture / piattaforme complessità gestione policy differenti organigrammi, differenti responsabilità 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 45

46 Domande? 0wning the Business Matteo Falsetti - mfalsetti[at]enforcer.it le immagini del fumetto Dilbert sono di proprietà dei rispettivi autori 0wning the Business - Net&System Security - Pisa, 27 Novembre Matteo Falsetti 46