5. Закон Мёрфи
• Закон Мёрфи: если есть вероятность того,
что какая-нибудь неприятность может
случиться, то она обязательно произойдёт.
6. «Судьба» или риск менеджмент
• Взлом был всегда возможен
• Остаточный риск
• Безопасность на бумаге и безопасность
в дата центре
• Как удостоверится, что все контроли
работают как и ожидается
• Роль комплексной оценки
7. Семантика
• Пентест (испытание на проникновение):
– Главная цель ***проникновение***
– Проверка всех хостов – не цель
– Проверка всех дыр – не цель
• Оценка на уязвимость:
– Главная цель ***оценка***
– Проверка всех хостов и приложений
– Проверка всех дыр
8. Методологии
• OSSTMM – детальная, бесплатная
• NIST SP 800-115 – менее детальный,
бесплатная; для правительственных
организаций
9. Методология
• Исследование цели
• Зондирование цели
• Идентификация цели
• Оценка уязвимостей
• Верификация (Эксплуатация)
уязвимостей
• Восстановление систем
• Внешняя и внутренние фазы
10. Важные бизнес «мелочи»
• Rules of Engagement
• Детальный план тестирования
• Процедура поддержания связи
• Формат и частота отчётов
• Whole Disk Encryption или Truecrypt
контейнеры
• Исключеные сети и системы
14. Проблемы конфигурации
• Огромный супер принтер, который сохранял всё, что
печатал на открытой NFS share. Было найдено много
абсолютно конфиденциальных документов.
15. Классическая Инъекция
• 87 веб серверов: в
пентесте выбирают
low-hanging fruit,
самое слабое звено в
цепи
• Маловажное веб
приложение
позволило
классическую SQL
Injection, но без прав
админа
16. Информация куки в чистом виде
• К счастью, это можно было
исправить изменив значение
переменной UserLevel в куке
• Админ доступ дал доступ к
паролям 40 других
пользователей в чистом, не
зашифрованном виде
• 2 из этих паролей сработали
на Ситрикс сервере и на VPN
сервере
• Они же оказались админами
в Active Directory..... Та-да-а-
а-а!
17. Persistent XSS
• Здесь ещё одна классика:
persistent XSS (чаще
встречаются только reflected
XSS)
• Крадём идентификатор сессии
админа, создаём у себя куки с
этим идентификатором, и
владеем сервером....
18. JBOSS
• Сервер JBOSS, на котором «забыли»
защитить деплойер
• Анонимный пользователь мог внедрить
любое приложение написаное в JAVA; мы
внедрили простую шел
19. JBOSS
• На Интернете не
мало уязвимых
JBOSS серверов
• На ноутбуке мы
быстро сделали
наипростейшее шел
приложение
• Потом установили
это на JBOSS сервер
• Последний шаг...
ревёрс шэл...
(фантазия не
бохатая)
20. В заключение
• Зубы нужно чистить, желательно после каждого
приёма пищи, даже если к вечеру они опять
загрязнятся...
• Нужно постоянно готовиться к защите от ПуПСика,
пока это рентабельно.
• Комплексная оценка безопасности всегда самый
эффективный способ удостовериться, что ваши
средства безопасности «ловят мышей».
• Комерческие инструменты, в большинстве случаев,
экономят деньги и повышают эффективность
• Правильное проектное управление экономит деньги
***всегда***
21. Буду рад вашим бизнес
предложениям!
• Fishing – не Phishing…
• Организую рыбалку в
следующие выходные (на
форель недалеко от Киева)
• Alex.eden@rimacom.com
• Мои профессиональные
сертификаты: CISSP, CISM,
PMP, и несколько других
• 063-149-1776 (Киев)
• 097-441-5414 (Киев)