0wning the Business Matteo Falsetti mfalsetti[at]enforcer.it 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 1
Chi sono ricercatore indipendente penetration testing e delle sole logiche aziendali da dieci anni da sei mi occupo di vulnerability assessment non mi occupo (ancora) 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 2
Agenda sicurezza, storia e parallelismi penetration test, fino a dieci anni fa finestra delle vulnerabilità penetration test, oggi vulnerabilità aziendali - case history 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 3
A young boy, with greasy blonde hair, sitting in a dark room. The room is illuminated only by the luminescense of the C64's 40 character screen. Taking another long drag from his Benson and Hedges cigarette, the weary system cracker telnets to the next faceless ".mil" site on his hit list. "guest -- guest", "root -- root", and "system -- manager" all fail. No matter. He has all night... he pencils the host off of his list, and tiredly types in the next potential 1993, Improving the Security of Your Site by Breaking Into it victim... 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 4
However, there is a far more dangerous type of system cracker out there. One who knows the ins and outs of the latest security auditing and cracking tools, who can modify them for specific attacks, and who can write his/her own programs. One who not only reads about the latest security holes, but also personally discovers bugs and vulnerabilities. A deadly creature that can both strike poisonously and hide its tracks without a whisper or hint of a trail. The uebercracker is 1993, Dan Farmer e Wietse Venema here. 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 5
sicurezza, storia e parallelismi (3) 1983, Wargames 1988, Internet Worm 1990, Hacker Crackdown Il documento del 1993 riflette una realtà ormai evidente, ma le tecniche descritte sono ancora semplicistiche; è necessario aspettare il 1995 per il paper di Mudge sugli overflow 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 6
sicurezza, storia e parallelismi (4) 1985, Morris 1989, Bellovin 1994, Takedown, RFC1948, Joncheray 2001, strani attrattori la fine degli anni 90 mostra un deciso salto qualitativo per quanto riguarda le tecniche di attacco e difesa, le pubblicazioni indipendenti, i tool e gli exploit... 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 7
sicurezza, storia e parallelismi (5) 10-12 anni per un uso mainstream dei b0f 15 anni perchè compaiano le prime metodiche di protezione sistematica 10 anni per le prime prese di posizione contro la generazione debole degli ISN 20 anni per mitigare (non risolvere) il problema del tcp spoofing 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 8
sicurezza, storia e parallelismi (5) incidente / paper patch / nuovi trend / nuovi incidenti torpore Vi ricorda qualcosa? 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 9
penetration test, fino a dieci anni fa infrastrutture perimetrali(?!) semplici poche e note implementazioni dei demoni pochi paper, meno tool, praticamente nessuna comunità professionale online compromissione dei sistemi con i soliti metodi 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 10
penetration test, fino a dieci anni fa (2) password guessing passwd theft NSF/NIS/Telnet/FTP world wide web? gopher e veronica, grazie in poco tempo l avvento dei Windows in rete darà il via alle danze SMB/CIFS 1997, su Phrack #51 fyodor presenta nmap 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 11
penetration test, fino a dieci anni fa (3) no canvas, no core impact, no metasploit, no... praticamente niente ;-p exploit importantissimi, differenza tra PT con e senza risultati concreti quasi totale assenza di skill specifici per i sistemi Win32 la kb personale del tester fa la differenza 1998, nasce nessus 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 12
penetration test, fino a dieci anni fa (4) gli 0-day sono rari gli 0-day sono privati (fino a un certo punto) gli 0-day sono preziosissimi anche se gli exploit noti sono rari, soprattutto multi-piattaforma, multi-architettura, multi-target funzionanti :-p 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 13
penetration test, fino a dieci anni fa (5) password NFS/NIS exploit Altro 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 14
finestra delle vulnerabilità rilascio patch annuncio installazione patch scoperta 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 15
finestra delle vulnerabilità (2) oggi come in passato, molti 0-day non sono annunciati la finestra è dunque potenzialmente enorme molte patch derivano dalla scoperta in-thewild, non dagli annunci al vendor 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 16
finestra delle vulnerabilità (3) se non so di essere vulnerabile, come posso proteggermi? se sapessi prima quali sono gli exploit in the wild... potrei abbonarmi a quel vulnerability sharing club... 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 17
finestra delle vulnerabilità (4) se non so di essere vulnerabile, come posso proteggermi? la non consapevolezza, in caso di 0-day non se sapessi prima quali sono gli annunciato, è la norma exploit in the wild... conoscere una vulnerabilità è solo l anticamera della patch, del rientro potrei abbonarmi a quel non vulnerability rappresenta sharing l origine club... delle metodologie e delle policy, ma uno dei punti di arrivo 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 18
finestra delle vulnerabilità (5) se non so di essere vulnerabile, in-the-wild = vicini alla patch come posso proteggermi? se sapessi prima quali sono gli exploit in the wild... potrei abbonarmi a quel in-the-wild vulnerability = già potenziali sharing vittime club... da tempo 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 19
finestra delle vulnerabilità (6) se se non non so di hanno essere creato vulnerabile, l exploit, come possono conoscerlo? come posso proteggermi? se hanno acquisito un exploit di alto profilo e non ne hanno comunicato responsabilmente l esistenza alla comunità, come se posso sapessi fidarmi? prima quali sono gli exploit in the wild... se non è di alto profilo, mi interessa conoscerlo? potrei abbonarmi a quel vulnerability sharing club... 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 20
penetration test, oggi the network is the computer? no, the web http e xml il nuovo esperanto tutto è un applicazione web 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 21
penetration test, oggi (2) deployment in cluster distribuiti (BEA?) vm e beans per ogni stagione (java, enterprise, management, RMI?) virtualizzazioni e complessi scenari perimetrali 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 22
penetration test, oggi (3) non esistono più exploit pesanti iis, apache, ssh? a remote in ssh is a dead dream (anonimo) se esistessero non sarebbero venduti ai soliti noti commerciali (o si?!) 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 23
penetration test, oggi (4) oggi gli exploit servono meno (con le dovute eccezioni) strumenti come metasploit facilitano enormemente la creazione di codice di attacco i pt richiedono altro logiche client-side sicurezza fisica conoscenza dell ambiente bersaglio, delle infrastrutture, delle tecnologie 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 24
penetration test, oggi (5) spesso i pt sono sotto-stimati ( meglio un assessment classico ) non compresi ( fate quel che dovete, ma non toccate nulla, non copiate o modificate alcun dato, non impersonate utenze altrui, non aumentate il carico della macchina, non... ) menomati da logiche aziendali estranee ( ok i sistemi A, C e D. Il B no, perchè fa parte della linea di esercizio e sistemi, che fa capo a X. I sistemi da E a H non li testiamo perchè non siamo riusciti a contattare il referente interno Y. ) 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 25
penetration test, oggi (5) spesso i pt sono sotto-stimati ( meglio un assessment classico ) non compresi ( fate quel che dovete, ma non toccate nulla, non copiate o modificate alcun dato, non impersonate utenze altrui, non aumentate il carico della macchina, non... ) menomati da logiche aziendali estranee ( ok i sistemi A, C e D. Il B no, perchè fa parte della linea di esercizio e sistemi, che fa capo a X. I sistemi da E a H non li testiamo perchè non siamo riusciti a contattare il referente interno Y. ) 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 26
vulnerabilità aziendali - case history vulnerabilità semplici disattenzioni, dimenticanze spesso più efficaci di qualunque exploit il problema è umano (tanto più vero al errori di configurazione errori logici, di design crescere dell azienda, delle policy, delle linee gerarchiche, degli screzi tra quadri/dirigenti,...) 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 27
vulnerabilità aziendali - case history password multi-user, single-user multi-homed policy multi-line 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 28
vulnerabilità aziendali - case history password 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 29
vulnerabilità aziendali - case history password wmilan abc123 totti marco9 alice1 pippo321 aereo881 fragolin Andrea63 queen123 mundogol falcao82 pomodor R0m4n0 capitan0 Gelato!! Madonna luxor98 C0ns0l3 testtest gandalf slamdunk abcabc19 redwine amendola Amore71 lucilla password mare19 GretA Arturo79 sesso69 OKpassw cambiami Temp123 wlafranc 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 30
vulnerabilità aziendali - case history 43% 47% 7 anni di password 10% dizionario forza bruta 3gg non ottenute 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 31
vulnerabilità aziendali - case history password in media il 5% - 10% delle utenze presenta la password uguale allo username tutte le aziende hanno una policy per le password, poche policy sono accettate dai dipendenti, pochissime sono sicure 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 32
vulnerabilità aziendali - case history password in media il 5% - 10% delle utenze presenta la password uguale allo username tutte le aziende hanno una policy per le password, poche policy sono accettate dai dipendenti, pochissime sono sicure 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 33
vulnerabilità aziendali - case history multi-user, single-user teoricamente un sistema in produzione è più pulito e controllato dell ambiente di deployment nella pratica, spesso non esistono repliche di collaudo e gli sviluppatori lavorano direttamente negli ambienti di produzione 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 34
vulnerabilità aziendali - case history multi-user, single-user anni di sistemi casalinghi mono-utente hanno creato una generazione di singleuser noncuranti dei privilegi del file-system credenziali e/o informazioni sensibili nei file batch di prova file leggibili da chiunque nessuna separazione dei privilegi 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 35
financegw:/export/home/bea/otp/scripts $ ls -la /usr/local/admin/backup/oracle total 128 drwxr-xr-x 4 oracle fin-bck 8192 Nov 7 20:24. drwxr----- 2 oracle fin-bck 8192 Nov 7 21:12 export -rwxr----- 1 oracle fin-bck 1054 Dec 5 2005 export_otpofn.sh drwxr-x--- 2 oracle fin-bck 16384 Nov 7 20:24 log -rwxr----- 1 oracle fin-bck 883 Nov 22 2005 online_otpofn archive_otpofn connect catalog OTPOFN/OTPOFN@bckman connect target legato/ipocondria75@otpofn run {... drwxr-xr-x 3 root root 8192 Oct 8 11:43.. -rwxr-xr-x 1 oracle fin-bck 1073 Jun 21 15:25 archive_otpofn financegw:/export/home/bea/otp/scripts $ more /usr/local/admin/backup/oracle/ 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 36
printer02:/var/spool/cron/crontabs $ ls -la /export/home/bea/crontab/ -rwxrwxrwx 1 andrea utenti 2003 Oct 8 13:43 /export/home/ trunc_partition.sh.bck bea/crontab/trunc_partition.sh.bck printer02:/var/spool/cron/crontabs $ grep PRTL9 /export/home/bea/crontab/ trunc_partition.sh.bck DBSTRING=PRTL@PRTL9/0p3nPr1n73r 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 37
test_j:/export/home/bea/tst/log/procedure/emiliano # more import java.util.iterator; ListAllMBeans.java import javax.naming.context; import java.util.set; import weblogic.jndi.environment; import weblogic.management.mbeanhome; import weblogic.management.weblogicmbean; import weblogic.management.weblogicobjectname; public class ListAllMBeans{ String username = "weblogic";... public static void main(string args[]) { String url = "t3://tstadmin:18001"; String password = "TsTAdmin007"; 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 38
vulnerabilità aziendali - case history multi-homed policy wan con circa 600 sistemi Unix circa 1000 pdl Win32 in dominio stringenti policy per AAA policy password policy accesso ACL a livello IP 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 39
vulnerabilità aziendali - case history multi-homed policy wan con circa 1800 credenziali in comune circa 300 credenziali Administrator uguali stringenti policy per AAA nuova password uguale per tutti abilitazione di default ai servizi base telnet/ssh/ftp raggiungibili ovunque 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 40
vulnerabilità aziendali - case history multi-line 100 server Solaris 3 differenti linee aziendali di riferimento sistemi esercizio it a valore aggiunto reti e servizi 3 differenti gestioni 3 differenti budget 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 41
vulnerabilità aziendali - case history multi-line 40 Solaris 9 e 10 37 Solaris 8 patchati 23 Solaris 8 non patchati sicurezza) la linea di sicurezza non riesce a convincere il terzo gruppo ad aggiornare i sistemi, in quello stato per applicazioni proprietarie legacy (mai testate per problemi di 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 42
vulnerabilità aziendali - case history 5 anni fa oggi misconfiguration / hardening logica client side web input validation buffer overflow 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 43
vulnerabilità aziendali - case history pt esterno applicazioni web proprietarie (circa 4 su 5) configurazioni errate password niente più NSF/NIS/FTP/SMB/CIFS 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 44
vulnerabilità aziendali - case history pt interno password problemi derivanti dalla gestione logica delle risorse IT eterogeneità architetture / piattaforme complessità gestione policy differenti organigrammi, differenti responsabilità 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 45
Domande? 0wning the Business Matteo Falsetti - mfalsetti[at]enforcer.it le immagini del fumetto Dilbert sono di proprietà dei rispettivi autori 0wning the Business - Net&System Security - Pisa, 27 Novembre 2007 - Matteo Falsetti 46