Application Assessment Applicazione ARCO



Documenti analoghi
Application Assessment Applicazione ARCO

TeamPortal. Servizi integrati con ambienti Gestionali

TeamPortal. Infrastruttura

PSNET UC RUPAR PIEMONTE MANUALE OPERATIVO

Client - Server. Client Web: il BROWSER

FtpZone Guida all uso

Restrizioni di accesso alle risorse Web

Manuale Debident. Per accedere al servizio, inserite il nome, il numero cliente e la password che vi è stata assegnata.

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

penetration test (ipotesi di sviluppo)

GUIDA AL PRONTUARIO MOBILE

RELAZIONE PROGETTO DATABASE GESTIONE BIBLIOTECA PERSONALE

Sistema di gestione Certificato MANUALE PER L'UTENTE

Manuale Gestore. STWS Web Energy Control - Servizio di telelettura sul WEB

Utilizzo della APP IrriframeVoice. Versione 1.0 maggio 2015

Guida all utilizzo di mysm 2.0. Ver 1.0 1

Manuale operatore per l utilizzo dell utente di dominio

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

Software Gestionale Politiche Giovanili

COMUNE DI IMOLA. Portale Servizi Demografici GUIDA ALL'ACCESSO

Assegnamento di un indirizzo IP temporaneo a dispositivi Barix

Istruzioni operative (v. 1.01) Servizio MB - Mobile Banking Banca Passadore

DIPARTIMENTO DI INGEGNERIA MECCANICA E INDUSTRIALE ISTRUZIONI PER L ACCESSO AI CALCOLATORI DEL LABORATORIO CAD DI VIA BRANZE

Guida Rapida di Syncronize Backup

Capitolo 3. L applicazione Java Diagrammi ER. 3.1 La finestra iniziale, il menu e la barra pulsanti

Wi-Pie Social Network Punti di accesso alla Rete Internet Manuale d'uso

Sistema Informativo Agricoltura

FidelJob gestione Card di fidelizzazione

Cup HiWeb. Integrazione dei servizi del CUP Marche in applicativi di terze parti

SOSEBI PAPERMAP2 MODULO WEB MANUALE DELL UTENTE

INFOSTAT-COVIP. Istruzioni per l accesso e le autorizzazioni

Servizio di Visualizzazione PROSPETTO PAGA E CUD IN FORMATO ELETTRONICO GUIDA AL PORTALE

COOKIES COSA SONO I COOKIES? COME UTILIZZIAMO I COOKIES?

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

COMPILAZIONE DEL RAPPORTO DI RIESAME ANNUALE 2014/15

Guida all attivazione ipase

Infostat-UIF. Istruzioni per l accesso e le autorizzazioni

VULNERABILITY ASSESSMENT E PENETRATION TEST

crazybrain snc Presentazione_VisualFTP.pdf Pag. 1 VisualFTP Presentazione del prodotto Web partner:

TFR On Line PREMESSA

Soluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG

MANUALE D USO DELLA PIATTAFORMA ITCMS

Come modificare la propria Home Page e gli elementi correlati

Presentazione della pratica online

Università degli Studi di Padova Centro di Calcolo di Ateneo

Offerta per fornitura soluzione di strong authentication

Manuale Servizi al Cittadino Piacenza Città Amica

Note per generazione file.txt per invio trimestrale V.P. all AGENZIA DELLE ENTRATE

CONDIZIONI SPECIFICHE DI SERVIZIO PACCHETTO HUBILITAS SYNC-COMMERCE OFFERTO DA BLUPIXEL IT SRL

Manuale Helpdesk per utenti

ISTRUZIONI OPERATIVE AGGIORNAMENTO DEL 18/04/2013

SCI Sistema di gestione delle Comunicazioni Interne > MANUALE D USO

Soluzioni di strong authentication per il controllo degli accessi

Uso di base delle funzioni in Microsoft Excel

ISCRIZIONE GARE NUOTO ON LINE ISTRUZIONI OPERATIVE PER LE SOCIETA

Manuale servizio

Guida all utilizzo del Token USB come Carta Nazionale dei Servizi

S.I.S.S.I. Versione 2013/2 Integrazioni e aggiornamenti della procedura informatizzata per. l Area Alunni Importazione Iscrizioni Online 2013/2014

Impostare il browser per navigare in sicurezza Opzioni di protezione

Procedura SMS. Manuale Utente

Outlook Plugin per VTECRM

Nella finestra Centro connessioni di rete e condivisione selezionare Gestisci connessioni di rete :

MANUALE REGISTRAZIONE UTENTE

NOTE LEGALI E PRIVACY

Guida alla registrazione on-line di un DataLogger

Manuale riferimento Registro Classe v. 2.0

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Guida di Pro Spam Remove

Consiglio regionale della Toscana. Regole per il corretto funzionamento della posta elettronica

Regione Piemonte Portale Rilevazioni Crediti EELL Manuale Utente

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

Guida all uso di Java Diagrammi ER

CONFIGURAZIONE DI UN AZIENDA IN MODALITÀ REAL TIME

IOL_guidaoperativa_gestione_allegati-1 0.doc 1 INTRODUZIONE ALL USO DELLA GUIDA SIMBOLI USATI E DESCRIZIONI GESTIONE ALLEGATI...

Mercato ittico all ingrosso di Pescara SERVIZI ON LINE

MANUALE D USO MANUALE D USO

INFORMATIVA SUI COOKIE

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

Registrazione utente. Manuale Utente

A.S.L. CN2. Manuale Uso software ConcertoWeb (ritiro referti di laboratorio)

SPORTELLO UNICO DELLE ATTIVITÀ PRODUTTIVE MANUALE OPERATIVO FUNZIONI DI PAGAMENTO ONLINE. Versione 05

SITI-Reports. Progetto SITI. Manuale Utente. SITI-Reports. ABACO S.r.l.

HORIZON SQL MENU' FILE

Durante la prova compare il messaggio Esame fallito

BMSO1001. Orchestrator. Istruzioni d uso 02/10-01 PC

Manuale servizio ScambioDati

Sistema Gestionale FIPRO. Dott. Enea Belloni Ing. Andrea Montagnani

Guida Compilazione Piani di Studio on-line

uadro Soluzioni software per L archiviazione elettronica dei documenti Gestione Aziendale Fa quadrato attorno alla tua azienda

GUIDA UTENTE... 2 Come si accede alla piattaforma del FORMAS?... 2 Quali sono i Browser da utilizzare?... 2 Quali sono le modalità di iscrizione?...

Manuale di configurazione di Notebook, Netbook e altri dispositivi personali che accedono all Hot e di programmi per la comunicazione

DINAMIC: gestione assistenza tecnica

Transcript:

GESI Application Assessment Applicazione ARCO Versione 2 Milano 14 Luglio 2006 Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 1 di 9

Descrizione delle attività L attività ha avuto come oggetto il testing della sicurezza dell applicazione ARCO in due modalità differenti: Black Box: simulando un tentativo d attacco da parte di un intrusore che non sia in possesso di informazioni o credenziali relative all applicazione, sono stati effettuati svariati tentativi di accesso non autorizzato o Login bypass: Sono state utilizzate tecniche come SQL injection, parameter tampering, etc., nel tentativo di accedere all applicazione aggirando il processo di login. o Brute Force: Sono stati utilizzati dei tool automatici allo scopo di individuare delle coppie username/password valide, sulla base di un grosso numero di tentativi d accesso. White Box: simulando il comportamento malizioso di un utente effettivo dell applicazione, sono stati tentati degli attacchi allo scopo di: o Accedere/manipolare direttamente i dati presenti nel back-end applicativo o Incrementare i privilegi a disposizione dell utente o Impersonificare altri utenti dell applicazione Data la mole di componenti applicative presenti, alcune parti di questa attività sono state effettuate avvalendosi di tool di assessment automatici. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 2 di 9

Conoscenze pregresse Per la fase di analisi black-box non sono state fornite dal Cliente informazioni pregresse, ad esclusione dell indirizzo del server da analizzare (promotore.rasbank.it). Per la fase di analisi white-box il Cliente ha fornito un utenza di test valida nell ambiente di pre-produzione. Problematiche riscontrate Durante lo svolgimento delle attività sono state incontrate alcune problematiche che hanno rallentato o inficiato l analisi di alcune componenti applicative: Lentezza nelle risposte da parte del server Alcune componenti non risultavano presenti nell ambiente testato (es: Impersonificazione) Presenza di errori applicativi non deterministici (es: login dispositiva) Sicurezza lato server - Risultati In questo paragrafo vengono presentati i risultati relativi all analisi di sicurezza del lato server dell applicazione. E importante evidenziare come nessuno degli attacchi effettuati abbia permesso di accedere all applicazione in maniera non autorizzata o di ottenere privilegi superiori a quelli permessi dal profilo dell utente utilizzato per i test. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 3 di 9

- Attacco brute force sul form di login Gli attacchi brute force effettuati su sistemi applicativi diventano efficaci quando si possono effettuare almeno due livello di scrematura, al fine di diminuire le possibili coppie username/password da provare. Il primo livello di scrematura normalmente avviene sullo username. Per questo motivo, dati sensibili come i nomi degli utenti devono essere protetti. Da questo punto di vista ARCO risulta sicuro, utilizzato dei codici interni per identificare gli utenti. Il secondo livello di scrematura avviene sulle password, utilizzando wordlist contenenti le password più comuni per la realtà oggetto dell analisi. ARCO richiedere una password numerica di 8 o 9 cifre: nonostante il campo teorico sia più ristretto rispetto ad una password comprensiva di lettere e simboli, lo sforzo di risorse richiesto all attaccante diventa insostenibile, considerando anche i tempi di risposta rilevati per ogni tentativo di login. - Analisi del trattamento dati in input In applicativi fortemente dinamici e interattivi è necessaria una corretta gestione dell input. Attacchi come SQL-injection e Cross Site Scripting (XSS) possono compromettere la sicurezza di un server se non adeguatamente prevenuti. L applicativo ARCO risulta sicuro da questo punto di vista, effettuando un corretto trattamento anche delle stringhe più insidiose contenenti caratteri speciali (es: ; < > *, etc.). - Sicurezza ed analisi della sessioni stabilite Le sessioni applicative sono identificate e tracciate tramite l utilizzo di cookie. Alcuni sistemi rilasciano dei cookie che possono essere predicibili: avendo cioè a disposizione uno storico dei cookie rilasciati, è possibile prevedere, con buona approssimazione, quali saranno quelli associati alle sessioni successive. In questo modo potrebbe essere possibile impadronirsi della sessione applicativa relativa ad un altro utente. I cookie 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 4 di 9

rilasciati dall applicativo ARCO risultano non predicibili, come evidenziato dal seguente grafico. - Gestione degli errori Una gestione dei messaggi d errore corretta incrementa notevolmente la sicurezza di un applicativo. Un attaccante, cercando di causare malfunzionamenti, ha bisogno di riscontri per valutare il proprio operato. L applicativo ARCO redirige sulla pagina di login qualsiasi richiesta HTTP che non vada a buon fine, rendendo di fatto difficile verificare la reale presenza di determinate condizioni d errore o vulnerabilità. Questo rende anche inutilizzabile una parte dei tool automatici di scanning che non è in grado, se non correttamente configurata, di rilevare la redirezione come un errore. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 5 di 9

- Analisi sorgente della form di login L analisi del template di login non ha prodotto risultati di rilievo, confermando i risultati dell analisi black-box. Sicurezza lato client - Risultati L analisi effettuata ha messo in evidenza una serie di criticità che potrebbero esporre l utente al rischio di furto d identità qualora l applicazione venisse usata in un ambiente non controllato (es: PC personale utilizzato anche per la normale navigazione internet, postazioni condivise come in un internet cafè, etc.). In questo tipo di contesti il rischio di contrarre infezioni da parte di virus o spyware è particolarmente elevato, e l applicazione non fornisce delle adeguate misure di sicurezza per far fronte a queste minacce. In uno scenario di questo tipo è infatti molto semplice, per un software automatico (es: spyware), catturare credenziali e dati sensibili relativi all applicazione; la mancanza di misure di sicurezza mirate rende inoltre possibile il riutilizzo di questi dati, da parte di uno spyware, per una finestra temporale sufficientemente grande da poter permettere frodi o manomissioni. Modalità di inserimento delle credenziali: Username e password di accesso vengono inseriti in una normale edit box, digitandoli tramite tastiera. Questo rende molto facile la cattura delle credenziali da parte di software di tipo keylogger (componente presente in molti spyware attualmente in circolazione), che registra le sequenze di tasti battute. Utilizzo di credenziali statiche: L uso di password statiche come unica discriminante d accesso rende molto semplice il riutilizzo delle credenziali eventualmente catturate. Nonostante le password possano avere un tempo di validità più o meno lungo, questa finestra temporale è comunque sufficiente ad 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 6 di 9

un attaccante per utilizzare le credenziali d accesso all applicazione per compiere frodi o manomissioni. Funzionalità di cambio password: L utente è in grado di cambiare la password di accesso a piacimento. Sebbene il cambio periodico di password possa rappresentare un punto di forza per la sicurezza, permette all utente di impostare password numeriche di banale inferenza (es: date nel formato gg-mm-aaaa). In uno scenario di questo tip, un attacco di tipo brute force (vedere paragrafi precedenti) potrebbe risultare enormemente efficace. Mancata invalidazione dei cookie durante il logout: Anche in seguito alla fase di logout, i cookie utilizzati dall applicazione per tenere traccia delle sessioni non vengono invalidati. In questo modo, un software di tipo spyware che sia stato in grado di intercettare tali cookie, ha a disposizione una finestra temporale più grande per poterli riutilizzare ed accedere all applicazione senza dover fornire credenziali. Inoltre, se in seguito al logout il browser non viene chiuso per qualche motivo, è sufficiente premere il tasto back per rientrare nella sessione applicativa. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 7 di 9

Conclusioni finali In seguito all analisi effettuata, la parte server dell applicazione ha denotato un buon livello di sicurezza in rapporto alla criticità delle informazioni trattate. Le principali vulnerabilità rilevate riguardano infatti la sicurezza lato client e l esposizione dell utente al furto di identità (da parte di software malizioso che potrebbe essere installato sul PC dell operatore, qualora esso venga utilizzato in un ambiente non controllato). Sebbene risulti tecnicamente impossibile ottenere un livello di sicurezza assoluto sul client, è possibile implementare una serie di accorgimenti che possono rendere più complicati la cattura e il riutilizzo di credenziali in maniera automatica da parte di uno spyware: Utilizzo di form di login con tastierini numerici (ad esempio scritti in javascript) per l inserimento delle password numeriche. La disposizione dei tasti può essere casuale per impedire ad un software automatico di tracciare il codice digitato. Utilizzo di One Time Password che rendono minime le possibilità di successo di un attacco di tipo brute force e non rendono possibile il riciclo delle credenziali catturate. Corretta gestione della procedura di logout (con invalidamento dei cookies), per non permettere il riciclo di una sessione catturata e per evitare di rendere inutili gli accorgimenti sopra elencati. Ripetizione del test In data 12 Luglio è stato ripetuto il test per due ragioni: 1. completare l analisi con le parti che al momento del primo test non erano ancora disponibili 2. verificare la sistemazione delle vulnerabilità riscontrate nel primo test e sopra esposte 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 8 di 9

I risultati di questa seconda analisi sono riportati nei seguenti punti: In seguito al logout della sessione, riutilizzando il cookie precedentemente assegnato, l'applicazione rimanda sulla form di login. E' quindi possibile affermare che il problema di chiusura della sessione è stato risolto. Questo comunque non elimina i dubbi esposti riguardo all'utilizzo di password statiche, inserite da tastiera, per l'accesso all'applicazione da postazioni di lavoro non controllate. La login dispositiva non è risultata vulnerabile alle comuni classi di attacco applicativo. Sebbene il numero di errori non deterministici sia notevolmente calato, l'applicazione continua a risultare lenta in alcune componenti (es: ricerca) e non totalmente stabile (es: a volte viene presentato un secondo form di login prima di poter effettivamente accedere all'applicazione). Questi particolari non compromettono ovviamente la sicurezza dell'applicazione, ma possono renderne tedioso l'utilizzo da parte degli operatori. Non e' inoltre possibile fornire evidenze specifiche del fatto, data la sua natura. 2006 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 9 di 9

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back