Secure 2016 (26.10.2016) Borys Łącki

1. Urządzenia i usługi bezpieczeństwa IT
- pełna ochrona czy... zaproszenie dla
cyberprzestępców?
Borys Łącki 26.10.2016

2. Od ponad 10 lat testujemy bezpieczeństwo i
zabezpieczamy zasoby Klientów.
> 100 wykładów
Borys Łącki - Logicaltrust

3. Edukacja
http://sprawdzpesel.pl
https://quiz.securityinside.pl/quiz/start?id=1
https://quiz.securityinside.pl/quiz/start?id=2

4. Rozwiązania bezpieczeństwa
Kolor wykresu
vs.
Bezpieczeństwo platformy

5. Budowanie bezpieczeństwa
VS.

6. Rozwiązania bezpieczeństwa
2FA, AntiDDoS, Backup,
DLP, Szyfrowanie danych,
Firewall, IDS, IPS, PGP,
UTM, VPN, WAF, (...)

7. Rozwiązania bezpieczeństwa
Oprogramowanie
Antywirusowe
???

8. Nasza perspektywa
● Test penetracyjny – „proces
polegający na przeprowadzeniu
kontrolowanego ataku na system
teleinformatyczny, mający na
celu praktyczną ocenę
bieżącego stanu bezpieczeństwa
(...)”
Wikipedia

9. Nazwa i typ nie mają znaczenia

10. Security Appliance
Zazwyczaj:
● Brak aktualizacji
● Błędna konfiguracja
● Brak hardeningu
● Ujawnianie informacji
● Zbędne pakiety i zasoby
● Podstawowe błędy WWW
● Proste i stałe hasła
● Brak mechanizmów bezpieczeństwa (SELinux, AntiBruteForce)
● Stałe klucze/certyfikaty SSL (SelfSigned cert) - podsłuchiwanie

11. Rozwiązania bezpieczeństwa

12. E-mail

13. E-mail
Symantec Messaging Gateway (SMG)
Appliance 10.6.x management console was
susceptible to potential unauthorized loss of
privileged information due to an inadvertent
static link of an updated component library to a
version of SSL susceptible to the Heartbleed
vulnerability
Symantec Messaging Gateway Privilege Shell
Escape

14. Firewall

15. Firewall
NSA – Shadow Broker – (10 000$?)
Here are some code names that I
extracted from the free files offered as
a teaser on the Shadow broker blog,
the main targets from this dump
appeared to be Fortinet, TopSec,
Cisco & Juniper firewalls.

16. Firewall

17. WWW

18. Load balancer
'Name' => 'F5 BIG-IP SSH Private Key
Exposure'
F5 ships a public/private key pair on BIG-IP
appliances that allows passwordless
authentication to any other BIG-IP box. Since
the key is easily retrievable, an attacker can
use it to gain unauthorized remote access as
root.

19. WWW
Trend Micro InterScan Web Security
Virtual Appliance domains Remote
Code Execution Vulnerability

20. Web Application Firewall
# Exploit Title: Barracuda Web App
Firewall/Load Balancer Post Auth
Remote Root Exploit
# Date: 07/21/16
# Exploit Author: xort

21. Kopie zapasowe

22. Kopie zapasowe
'Name' => 'Veritas Backup Exec Remote Agent Overflow'
This module exploits a stack buffer overflow in the Veritas
BackupExec Windows Agent software. Reliable execution is
obtained by abusing the stack buffer overflow to smash a SEH
pointer.
'Name' => 'Symantec BackupExec Calendar Buffer Overflow'
This module exploits a stack buffer overflow in Symantec
BackupExec Calendar Control. By sending an overly long
string to the "_DOWText0" property located in the
pvcalendar.ocx control, an attacker may be able to execute
arbitrary code.

23. Platformy bezpieczeństwa

24. Platformy bezpieczeństwa
AlienVault Unified Security Management Remote
Authentication Bypass Vulnerability
Cobalt Strike RCE. Active Exploitation Reported.
There is a remote code execution vulnerability in the
Cobalt Strike team server.
The reporter states that the attacker cleared logs from the
server, cleared the downloaded files, and cleared the
Cobalt Strike data model and log files.

25. Platformy bezpieczeństwa
Palo Alto - Attacking Next - Generation
Firewalls
Felix Wilhelm
Unauthenticated command execution against
management web interface.
Uses (shuffled) device master key as AES key
By default: p1a2l3o4a5l6t7o8

26. Tester bezpieczeństwa

27. Tester bezpieczeństwa
'Name' => 'Wireshark LWRES Dissector
getaddrsbyname_request Buffer Overflow',
The LWRES dissector in Wireshark version 0.9.15
through 1.0.10 and 1.2.0 through 1.2.5 allows
remote attackers to execute arbitrary code due to
a stack-based buffer overflow.

28. Tester bezpieczeństwa
The following two issues combine
to constitute a pre-auth Remote
Code Execution vulnerability in
Metasploit Community, Express
and Pro.

29. Tavis Ormandy

30. Oprogramowanie antywirusowe

31. Oprogramowanie antywirusowe
AVG Internet Security avgtdix.sys
Kernel Memory Corruption
Privilege Escalation Vulnerability
Bitdefender Antivirus Plus
bdfwfpf Integer Overflow Privilege
Escalation Vulnerability

32. Bezpieczeństwo?

33. Przed zakupem:
● Analiza ryzyka
● Testy urządzenia
● Ile czasu urządzenie będzie objęte
aktualizacjami?
● Częstotliwość aktualizacji oprogramowania
● Reakcje producenta na błędy
bezpieczeństwa
● Jak tworzone jest oprogramowanie
(SDLC)?
Dobre praktyki

34. Po zakupie:
● Poprawna konfiguracja
● Włączenie mechanizmów bezpieczeństwa:
szyfrowanie (certyfikat), separacja,
podwójne uwierzytelnianie
● Separacja sieciowa
● Aktualizacja oprogramowania (firmware)
● Testy penetracyjne
Dobre praktyki

35. „Security” w nazwie
nie gwarantuje
„bezpieczeństwa”.
Do zapamiętania!

36. http://sprawdzpesel.pl
https://quiz.securityinside.pl/quiz/start?id=1
https://quiz.securityinside.pl/quiz/start?id=2
http://www.slideshare.net/logicaltrust
http://www.zerodayinitiative.com/advisories/ZDI-16-484/
https://metasploit.com
https://zdi.com
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=secur
ity_advisory&year=2016&suid=20160512_00
Hacking Appliances: Ironic exploits in security products - Ben Williams
https://media.blackhat.com/eu-13/briefings/B_Williams/bh-eu-13-hacking-appliances-bwilliams-slides.pdf
https://twitter.com/taviso?lang=pl
https://www.pinterest.com/kaix7/iso/
Ikony: https://www.iconfinder.com/Vecteezy
Materiały dodatkowe

37. https://z3s.pl/szkolenia/
-20%
Obowiązuje 21 dni
Hasło: SCR16
Szkolenia – rabat

38. Dziękuję za uwagę
Borys Łącki
b.lacki@logicaltrust.net
Pytania