Das Dokument bietet einen umfassenden Überblick über die aktuelle Situation der IT-Sicherheit im Jahr 2012, einschließlich Risiken, 최신 해봄 비즈니스 등에 대한 설명 기술. Es werden Informationen zu Penetrationstests, Sicherheitslücken wie SQL-Injection und Cross-Site Scripting sowie relevante Werkzeuge und Methodiken bereitgestellt. Abschließend betont das Dokument die Notwendigkeit regelmäßiger Aktualisierungen, Sensibilisierung und Sicherheitssysteme zur Prävention von Cyberangriffen.

1. 14.06.2012
Agenda
• Aktuelle Situation
• Informationen
Penetration Test • Vorgehen / Durchführung
Hacking Day 2012 – Future Security • Hilfsmittel
• Ergebnisse, Schwachstellen
• Fazit
Andreas Wisler
Dipl. Ing. FH, CISSP, ISO 27001 Lead Auditor, IT-SIBE BSI, MCITP
1

2. 14.06.2012
Aktuelle Situation Aktuelle Situation
• BSI Lagebericht 2011 • BSI Lagebericht 2011
– Gefährdungstrends – Bot-Netze
2

3. 14.06.2012
Aktuelle Situation Virenflut
• BSI Lagebericht 2011
– Spam-Entwicklung
Ausschaltung
Rustock-Botnetz
zZ bei 80%
2010: 55’000 neue Schädlinge pro Tag
3

4. 14.06.2012
Virenflut : Suisa Skimming
• Massive Zunahme, auch in der Schweiz
4

5. 14.06.2012
Skimming Aktuelle Situation
• 13.06.12
erneut massive RDP Lücke, Patch vorhanden, noch kein Exploit
• Anfang Juni 12
Userdaten von Last.fm, eHarmony, LinkedIn (und weitere) gestohlen
• 07.06.12
Spionage-Trojaner: So missbrauchte Flame die MS Updatefunktion
• 05.06.12
Adobe schliesst kritische Sicherheitslücken in Photoshop und Illustrator CS5
(aber erst auf Druck der User)
• 01.06.12
Stuxnet war Teil eines Cyberangriffs der USA auf den Iran
• 23.05.12
Anonymous hackt Server des US-Justizministeriums
• 18.05.12
Fraunhofer-Institut kritisiert Sicherheitsmängel bei Cloud-Speicherdiensten
Weitere News: www.goSecurity.ch/security-news
5

6. 14.06.2012
Informationen Informationen
• OSSTMM • Technical Guide to Information Security Testing
Open Source Security Testing Methodology Manual http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
http://www.osstmm.org
• OWASP
http://www.owasp.org/
• BSI Leitfaden
https://www.bsi.bund.de/ContentBSI/Publikationen/Studien/pentest/index_htm.html
6

7. 14.06.2012
Zertifizierungen Ablauf eines Penetration Tests
• Certified Ethical Hacker • Workshop
http://www.eccouncil.org/
– Definition der Ziele
– Art der Tests (White, Gray, Black Box)
• Offensive Security Certified Professional • Testphase
http://www.offensive-security.com/
– Roter Faden im Auge behalten!
• Bericht
• Weitere bei Wikipedia
http://de.wikipedia.org/wiki/Liste_der_IT-Zertifikate (2. Abschnitt) • Präsentation
7

8. 14.06.2012
Werkzeuge Werkzeuge
• BackTrack (http://www.backtrack-linux.org/) • BackTrack (http://www.backtrack-linux.org/)
– Bereiche – Integrierte Tools
• Information Gathering • Metasploit (http://www.metasploit.com/)
• Vulnerability Assessment • RFMON (Wireless Treiber) mit Aircrack-NG und Kismet
• Exploitation Tools • Nmap
• Privilege Escalation • Ophcrack
• Maintaining Access • Ettercap
• Reverse Engineering • Wireshark
• RFID Tools • BeEF (Browser Exploitation Framework)
• Stress testing • Hydra
• Forensics • OWASP Security Framework
• Reporting Tools • und viele weitere
• Services
• Miscellaneous
8

9. 14.06.2012
Informationssuche Informationssuche
• Klassisch mit Suchmaschinen • IP- / Portscan
– Stellenbeschreibungen – nmap –sS –sV –O –p <IP>
– (Projekt-) Referenzen
– Personen via Yasni
• Technische Informationen
– WHOIS
– DNS
9

10. 14.06.2012
Ergebnisse : Mailversand Informationssuche
• Gefälschter Mail-Versand • Vulnerability Scanner
– Nessus / OpenVAS
10

11. 14.06.2012
Web-Schwachstellen Fehlerhafte Datenübergabe
• SQL Injection • Formulare zur Datenübergabe
• Cross Site Scripting XSS • Informationen werden in Hidden-Felder
übermittelt
• Gefahr: Tools zum Manipulieren der Daten
Web Developer
https://addons.mozilla.org/de/firefox/addon/60
11

12. 14.06.2012
SQL Injection SQL Injection
user Pwd email
• Benutzerverwaltung: Pete perObINa peter@pan.org • Ziel des Angreifers: Zugang zum System ohne
Tabelle Users John hogeldogel john@wayne.us Kenntnis von Benutzername/Passwort
SELECT * FROM Users • Bei Logins funktioniert dies häufig mit ' or ''='
WHERE user=' ' AND pwd=' '
SELECT * FROM Users
WHERE user='' or ''='' AND pwd='' or ''=''
– Skript login.php erhält die eingegebenen Zugangsdaten und immer TRUE
verwendet diese in einer SQL Query
– Benutzername/Passwort existiert: Query gibt eine Zeile zurück
 der Benutzer ist identifiziert und erhält Zugang
Quelle: http://blogs.iis.net/nazim/archive/2008/04/30/sql-injection-demo.aspx
12

13. 14.06.2012
Cross-Site Scripting (XSS) Testen auf XSS
• Javascript: In Webseiten eingefügter Code, der im • Eingabe eines einfachen Javascripts in verschiedenen
Browser ausgeführt werden Feldern von Web-Formularen:
<script>alert("Testing XSS vulnerability");</script>
• Oft enthalten dynamisch generierte Webseiten die von
einem Benutzer eingegebenen Daten • Bei Erfolg öffnet sich
– Produktresultatseiten, Google etc. zeigen den eingegebenen ein Popup-Fenster
Suchstring an
• Bei XSS nutzt ein Angreifer dieses Feature aus:
13

14. 14.06.2012
Beispiel: XSS XSS : Beispiel
• Opfer hat Account für einen Web-Shop, Angreifer möchte
Account-Daten erhalten.
• Angreifer hat ein entsprechendes JavaScript in einem Link in
einer Nachricht in einem Web-Forum platziert, Opfer hat die
Nachricht geöffnet.
Quelle: Marc Rennhard, ZHAW
Click Me!
(1) Verwundbare Webseite
des Shops wird geladen,
dargestellt und Javascript
wird ausgeführt (2) Javascript lädt Code von
einem Server des Angreifers nach
(5) Account-Daten werden
zum Angreifer gesendet
(3) Code integriert einen Login-Screen
in die Webseite des Web-Shops (6) Script auf dem Server
des Angreifers nimmt die
(4) „Gutgläubiger“ Benutzer gibt seine
Account-Daten an und klickt auf Login
Account-Daten entgegen
14

15. 14.06.2012
Beispiel: XSS Session Hijacking
• Achtung: Der Link kann in verschiedenen • Übernahme einer bestehenden Session
Dokumenten hinterlegt sein:
– Email
– Diskussions-Forum / Chat
– Instant Messaging
– PDF, Excel, Powerpoint, Word, etc.
– Hochgeladene Datei
• Welchen Quellen trauen Sie?
15

16. 14.06.2012
Session Hijacking Metasploit Framework
• Übernahme einer bestehenden Session • Aufbau / Module
• Auxiliary
• Exploits
• Payloads
• Encoders
• Nops
32
16

17. 14.06.2012
Metasploit Framework Metasploit Framework
• Auxiliary • Exploits & Payloads
• „admin“ – Tools für Angriffe
• „dos“ – DoS tools • „The gray side of Metasploit“
• „fuzzers“ – Zur Ermittlung von Schwachstellen in
Anwendungen
• „scanner“ – Zum Entdecken von Schwachstellen
• Der Exploit nutzt die Schwachstelle aus, die
• „sqli“ – SQL-Injection Tools Payload ist der auszuführende Code
• „server“ – Servers, Fake-Servers
… und vieles mehr
• Kategorisierung nach OS
• Tägliche Updates (annähernd)
33
• „Gehen Hand-in-Hand“ 34
17

18. 14.06.2012
Metasploit Framework Weitere Schwachstellen / Demos
• Encoders & Nops • Armitage
• LM Hash Windows Passwörter
• Man in the Middle Angriffe
• „The black side of Metasploit“ • Webseiten mit CSS verändern
• WEP Schwachstellen
• Evasion techniques
• Nops zur Täuschung von IDS/IPS
• Encoders zur Täuschung von Antiviren-
Software 35
18

19. 14.06.2012
Fazit Fazit
• Regelmässiges Aktualisieren wichtig • Sensibilisierung wichtig
– Antivirus, Betriebssystem, Applikationen – Awereness schaffen
• Firewall notwendig • Gesunder Menschenverstand
– Next Generation Firewall – Nicht auf alles Klicken!
19

20. 14.06.2012
Dienstleistungen …
Mit uns wissen Sie,
wie es um Ihre IT-Sicherheit steht!
A. Wisler S. Müller R. Ott M. Schneider
Th. Furrer S. Walser K. Haase N. Rasstrigina E. Kauth
20