Audit con strumenti OpenSource: un esempio per il network mapping. Luca Pertile CISA

Transcript

1 Audit con strumenti OpenSource: un esempio per il network mapping Luca Pertile CISA

2 GNU General Public License

3

4 Chief executive officer Auditor Hacker Cracker Chief executive officer Auditor Hacker Cracker Chi è il criminale?

5 Linus Torvalds Chief executive officer Auditor Hacker Cracker Kevin Mitnick Chief executive officer Auditor Hacker Cracker Chi è il criminale? Poi i programmatori OpenSource diventano criminali...

6

7 Come fanno i crackers

8

9 NMAP Open Source GNU GPL Lo usano loro, lo usiamo anche noi

10 Dal punto di vista dell'auditor Attività Vulnerabilità utilizzate Control Objectives Accesso fisico ai punti di accesso alla rete (Torrette, Dial-up servers, Nodi Wi-Fi, etc), Riconoscibilità dei parametri di rete, Assenza di autenticazione e/o crittografia a livello di rete (es. IPSec),... Network Scanning Port Scanning Version Scanning Raggiungibilità degli hosts (instradamento, segregazione degli ambienti, firewalling, etc) Mancanza di differenziazione dei profili di accesso a livello di rete su una stretta base di Need to know ed analisi dei rischi, Carente monitoraggio dei tentativi non autorizzati di accesso, Mancanza di una sottorete di controllo separata,... DS5 ensuring systems security DS9 Manage the configuration DS12.1 Physical Security PO2.4 Security Levels PO4.10 Segregation of duties AI3.3 System Software Security AI3.5 System Software Maintenance

11 NMAP: Network Scanning

12 NMAP: Port Scanning - Connect Scan - SYN Stealth Scan - ACK Stealth Scan - FIN ACK Stealth Scan - FIN Stealth Scan - NULL Stealth Scan - Xmas tree Stealth Scan - TCP window Scan - UDP Port Scan - Idle Scan

13 NMAP: Version Scanning

14 Altri strumenti Open Source Altri Strumenti Open Source per il Network Mapping: Identificare i parametri ed i protocolli della rete (Promiscuous Mode Sniffing): TCPDump (Unix, Win) GPL Ethereal (Unix, Win) GPL Network Scanning: Nmap (Unix, Win) GPL Xprobe2 (Unix) GPL Wfingerpring (Win) GPL Nbtscan (Unix, Win) GPL THC-Amap (Unix) GPL Port Scanning: Nmap (Unix, Win) GPL THC-Amap (Unix) GPL Version Scanning: Nmap (Unix, Win) GPL THC-Amap (Unix) GPL

15 OpenSource: pro per un Auditor Totale libertà di analisi, senza limiti né di tempo, di campione, di ripetibilità Condivisibilità con gli auditati Anche gli strumenti (oltre l'abilità ad usarli) sono parte del bagaglio personale. Cambiando azienda seguono l'auditor, non l'azienda. Auditabilità del codice sorgente

16 Considerazioni Facendo semplicemente Network Mapping in NESSUN caso ACCEDIAMO o TENTIAMO di ACCEDERE ad un servizio. Siamo AUDITOR, non cracker. Non abbiamo nulla da nascondere: dichiariamo esplicitamente nelle nostre mission l'attività di Network Mapping e gli Strumenti, Open Source o meno, che utilizzeremo. Coinvolgiamo i responsabili e/o amministratori: non è una gara tra la nostra bravura contro la loro incompetenza.

17 Considerazioni Usiamo scansioni palesi invece che stealth e verifichiamo che la nostra attività risulti nei log Sono strumenti di Software Libero: diciamo apertamente cosa e come lo abbiamo usato e dove lo abbiamo reperito. Non abbiamo nulla da nascondere.

18 Considerazioni E' Software Libero, non Perfetto. Verifichiamo attentamente cosa abbiamo scaricato: Scegliamo strumenti ampiamente recensiti, online o su riviste cartacee. E' software libero: se in tutto Internet nessuno lo usa, oltre che pericoloso è probabilmente anche scadente. La stragrande maggioranza degli strumenti è già presente nelle distribuzioni GNU\Linux: basta cercare nei CD. Procuriamoci le firme digitali GPG-MD5 per verificare l'integrità delle versioni in nostro possesso. Test, test, test. Come qualunque software. Un laboratorio di prova, anche minimo, è necessario

19 Considerazioni Stiamo giocando con strumenti potenti: cautela. Non diamo per scontato che se lo strumento segnala un rischio questo esista: se possibile, verifichiamo a mano. I falsi positivi sono frequenti. Usiamo solo le funzioni che abbiamo compreso esattamente cosa facciano.

20 Considerazioni Usiamo più strumenti e confrontiamo i risultati. Discutiamo tutti i risultati con i responsabili e con i tecnici. Se non ci sono particolari esigenze, eseguiamo anche le analisi con loro....ho già detto di usare solo le funzioni di cui si è compreso cosa facciano? E che dobbiamo testarlo?

21 Credits Essendo una presentazione sull'open Source, beh, almeno per coerenza, è stata realizzata solo con prodotti Open Source: OpenOffice.org Impress GNU\Linux 9.2 Konqueror The Gimp Nessun animale è stato utilizzato nella stesura di questa presentazione, in compenso un certo numero di betulle sono state abbattute durante le stampe di prova...

22 Contatti: Luca Pertile