5. 14.06.2012
Skimming Aktuelle Situation
• 13.06.12
erneut massive RDP Lücke, Patch vorhanden, noch kein Exploit
• Anfang Juni 12
Userdaten von Last.fm, eHarmony, LinkedIn (und weitere) gestohlen
• 07.06.12
Spionage-Trojaner: So missbrauchte Flame die MS Updatefunktion
• 05.06.12
Adobe schliesst kritische Sicherheitslücken in Photoshop und Illustrator CS5
(aber erst auf Druck der User)
• 01.06.12
Stuxnet war Teil eines Cyberangriffs der USA auf den Iran
• 23.05.12
Anonymous hackt Server des US-Justizministeriums
• 18.05.12
Fraunhofer-Institut kritisiert Sicherheitsmängel bei Cloud-Speicherdiensten
Weitere News: www.goSecurity.ch/security-news
5
6. 14.06.2012
Informationen Informationen
• OSSTMM • Technical Guide to Information Security Testing
Open Source Security Testing Methodology Manual http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
http://www.osstmm.org
• OWASP
http://www.owasp.org/
• BSI Leitfaden
https://www.bsi.bund.de/ContentBSI/Publikationen/Studien/pentest/index_htm.html
6
7. 14.06.2012
Zertifizierungen Ablauf eines Penetration Tests
• Certified Ethical Hacker • Workshop
http://www.eccouncil.org/
– Definition der Ziele
– Art der Tests (White, Gray, Black Box)
• Offensive Security Certified Professional • Testphase
http://www.offensive-security.com/
– Roter Faden im Auge behalten!
• Bericht
• Weitere bei Wikipedia
http://de.wikipedia.org/wiki/Liste_der_IT-Zertifikate (2. Abschnitt) • Präsentation
7
11. 14.06.2012
Web-Schwachstellen Fehlerhafte Datenübergabe
• SQL Injection • Formulare zur Datenübergabe
• Cross Site Scripting XSS • Informationen werden in Hidden-Felder
übermittelt
• Gefahr: Tools zum Manipulieren der Daten
Web Developer
https://addons.mozilla.org/de/firefox/addon/60
11
12. 14.06.2012
SQL Injection SQL Injection
user Pwd email
• Benutzerverwaltung: Pete perObINa peter@pan.org • Ziel des Angreifers: Zugang zum System ohne
Tabelle Users John hogeldogel john@wayne.us Kenntnis von Benutzername/Passwort
SELECT * FROM Users • Bei Logins funktioniert dies häufig mit ' or ''='
WHERE user=' ' AND pwd=' '
SELECT * FROM Users
WHERE user='' or ''='' AND pwd='' or ''=''
– Skript login.php erhält die eingegebenen Zugangsdaten und immer TRUE
verwendet diese in einer SQL Query
– Benutzername/Passwort existiert: Query gibt eine Zeile zurück
der Benutzer ist identifiziert und erhält Zugang
Quelle: http://blogs.iis.net/nazim/archive/2008/04/30/sql-injection-demo.aspx
12
13. 14.06.2012
Cross-Site Scripting (XSS) Testen auf XSS
• Javascript: In Webseiten eingefügter Code, der im • Eingabe eines einfachen Javascripts in verschiedenen
Browser ausgeführt werden Feldern von Web-Formularen:
<script>alert("Testing XSS vulnerability");</script>
• Oft enthalten dynamisch generierte Webseiten die von
einem Benutzer eingegebenen Daten • Bei Erfolg öffnet sich
– Produktresultatseiten, Google etc. zeigen den eingegebenen ein Popup-Fenster
Suchstring an
• Bei XSS nutzt ein Angreifer dieses Feature aus:
13
14. 14.06.2012
Beispiel: XSS XSS : Beispiel
• Opfer hat Account für einen Web-Shop, Angreifer möchte
Account-Daten erhalten.
• Angreifer hat ein entsprechendes JavaScript in einem Link in
einer Nachricht in einem Web-Forum platziert, Opfer hat die
Nachricht geöffnet.
Quelle: Marc Rennhard, ZHAW
Click Me!
(1) Verwundbare Webseite
des Shops wird geladen,
dargestellt und Javascript
wird ausgeführt (2) Javascript lädt Code von
einem Server des Angreifers nach
(5) Account-Daten werden
zum Angreifer gesendet
(3) Code integriert einen Login-Screen
in die Webseite des Web-Shops (6) Script auf dem Server
des Angreifers nimmt die
(4) „Gutgläubiger“ Benutzer gibt seine
Account-Daten an und klickt auf Login
Account-Daten entgegen
14
15. 14.06.2012
Beispiel: XSS Session Hijacking
• Achtung: Der Link kann in verschiedenen • Übernahme einer bestehenden Session
Dokumenten hinterlegt sein:
– Email
– Diskussions-Forum / Chat
– Instant Messaging
– PDF, Excel, Powerpoint, Word, etc.
– Hochgeladene Datei
• Welchen Quellen trauen Sie?
15
17. 14.06.2012
Metasploit Framework Metasploit Framework
• Auxiliary • Exploits & Payloads
• „admin“ – Tools für Angriffe
• „dos“ – DoS tools • „The gray side of Metasploit“
• „fuzzers“ – Zur Ermittlung von Schwachstellen in
Anwendungen
• „scanner“ – Zum Entdecken von Schwachstellen
• Der Exploit nutzt die Schwachstelle aus, die
• „sqli“ – SQL-Injection Tools Payload ist der auszuführende Code
• „server“ – Servers, Fake-Servers
… und vieles mehr
• Kategorisierung nach OS
• Tägliche Updates (annähernd)
33
• „Gehen Hand-in-Hand“ 34
17
18. 14.06.2012
Metasploit Framework Weitere Schwachstellen / Demos
• Encoders & Nops • Armitage
• LM Hash Windows Passwörter
• Man in the Middle Angriffe
• „The black side of Metasploit“ • Webseiten mit CSS verändern
• WEP Schwachstellen
• Evasion techniques
• Nops zur Täuschung von IDS/IPS
• Encoders zur Täuschung von Antiviren-
Software 35
18
19. 14.06.2012
Fazit Fazit
• Regelmässiges Aktualisieren wichtig • Sensibilisierung wichtig
– Antivirus, Betriebssystem, Applikationen – Awereness schaffen
• Firewall notwendig • Gesunder Menschenverstand
– Next Generation Firewall – Nicht auf alles Klicken!
19
20. 14.06.2012
Dienstleistungen …
Mit uns wissen Sie,
wie es um Ihre IT-Sicherheit steht!
A. Wisler S. Müller R. Ott M. Schneider
Th. Furrer S. Walser K. Haase N. Rasstrigina E. Kauth
20