2. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 2
Chi sono
ricercatore indipendente
da più di quindici anni
da dieci mi occupo di
penetration testing e
vulnerability assessment
testimone della nascita del
progetto sikurezza.org
non mi occupo (ancora)
delle sole logiche aziendali
4. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 4
A young boy, with greasy blonde hair, sitting in a
dark room. The room is illuminated only by the
luminescense of the C64's 40 character screen.
Taking another long drag from his Benson and
Hedges cigarette, the weary system cracker telnets
to the next faceless ".mil" site on his hit list. "guest
-- guest", "root -- root", and "system -- manager" all
fail. No matter. He has all night... he pencils the host
off of his list, and tiredly types in the next potential
victim...
1993, Improving the Security ofYour Site by Breaking Into it
5. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 5
However, there is a far more dangerous type of
system cracker out there. One who knows the ins
and outs of the latest security auditing and cracking
tools, who can modify them for specific attacks,
and who can write his/her own programs. One
who not only reads about the latest security holes,
but also personally discovers bugs and
vulnerabilities. A deadly creature that can both
strike poisonously and hide its tracks without a
whisper or hint of a trail. The uebercracker is
here.
1993, Dan Farmer e WietseVenema
6. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
1983,Wargames
1988, Internet Worm
1990, Hacker Crackdown
6
Il documento del 1993 riflette una realtà ormai
evidente, ma le tecniche descritte sono
ancora semplicistiche; è necessario aspettare il
1995 per il paper di Mudge sugli overflow
sicurezza, storia e parallelismi (3)
7. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
1985, Morris
1989, Bellovin
1994 Takedown,‘95 Joncheray,‘96 RFC1948
2001, strani attrattori
7
la fine degli anni ’90 mostra un deciso salto
qualitativo per quanto riguarda le tecniche di
attacco e difesa, le pubblicazioni indipendenti,
i tool e gli exploit...
sicurezza, storia e parallelismi (4)
8. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
10 - 12 anni per un uso mainstream dei b0f
15 anni perchè compaiano le prime metodiche
di protezione sistematica
10 anni per le prime prese di posizione contro la
generazione debole degli ISN
20 anni per mitigare (non risolvere) il
problema del tcp spoofing
8
sicurezza, storia e parallelismi (5)
11. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
infrastrutture perimetrali(?!) semplici
poche e note implementazioni dei demoni
pochi paper, meno tool, praticamente
nessuna comunità professionale online
compromissione dei sistemi con i soliti
metodi
11
penetration test, più di dieci anni fa
12. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
password guessing
passwd theft
NSF/NIS/Telnet/FTP
world wide web? gopher e veronica, grazie
in poco tempo l’avvento dei Windows in
rete darà il via alle danze SMB/CIFS
1997, su Phrack #51 fyodor presenta
nmap
12
penetration test, più di dieci anni fa (2)
13. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
no canvas, no core impact, no metasploit,
no... praticamente niente ;-p
exploit importantissimi, differenza tra
PT con e senza risultati concreti
quasi totale assenza di skill specifici per i
sistemi Win32
la kb personale del tester fa la differenza
1998, nasce nessus
13
penetration test, più di dieci anni fa (3)
14. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
gli 0-day sono rari
gli 0-day sono privati (fino a un certo
punto)
gli 0-day sono preziosissimi
anche gli exploit noti sono rari, soprattutto
se
multi-piattaforma, multi-architettura,
multi-target
funzionanti :-p
14
penetration test, più dieci anni fa (4)
19. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
oggi gli exploit servono meno (con le dovute
eccezioni)
strumenti come metasploit facilitano
enormemente la creazione di codice di
attacco
i pt richiedono altro
sicurezza fisica
logiche client-side
conoscenza dell’ambiente bersaglio, delle
infrastrutture, delle tecnologie
19
penetration test, oggi (4)
20. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
spesso i pt sono
sotto-stimati
(“meglio un assessment classico”)
non compresi
(“fate quel che dovete, ma non toccate nulla, non copiate o
modificate alcun dato, non impersonate utenze altrui, non
aumentate il carico della macchina, non...”)
menomati da logiche aziendali estranee
(“ok i sistemi A, C e D. Il B no, perchè fa parte della linea di
esercizio e sistemi, che fa capo a X. I sistemi da E a H non li
testiamo perchè non siamo riusciti a contattare il referente
internoY.”)
20
penetration test, oggi (5)
21. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
spesso i pt sono
sotto-stimati
(“meglio un assessment classico”)
non compresi
(“fate quel che dovete, ma non toccate nulla, non copiate o
modificate alcun dato, non impersonate utenze altrui, non
aumentate il carico della macchina, non...”)
menomati da logiche aziendali estranee
(“ok i sistemi A, C e D. Il B no, perchè fa parte della linea di
esercizio e sistemi, che fa capo a X. I sistemi da E a H non li
testiamo perchè non siamo riusciti a contattare il referente
internoY.”)
21
penetration test, oggi (5)
22. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 22
vulnerabilità aziendali - case history
vulnerabilità semplici
errori di configurazione
errori logici, di design
disattenzioni, dimenticanze
spesso più efficaci di qualunque exploit
il problema è umano (tanto più vero al
crescere dell’azienda, delle policy, delle linee
gerarchiche, degli screzi tra quadri/dirigenti, ...)
27. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
in media il 5% - 10% delle utenze
presenta la password uguale (o simile) allo
username
tutte le aziende hanno una policy per le
password, poche policy sono accettate dai
dipendenti, pochissime sono sicure
27
vulnerabilità aziendali - case history
Totti
28. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 28
vulnerabilità aziendali - case history
Totti
in media il 5% - 10% delle utenze
presenta la password uguale (o simile) allo
username
tutte le aziende hanno una policy per le
password, poche policy sono accettate dai
dipendenti, pochissime sono sicure
29. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
teoricamente un sistema in produzione è
più pulito e controllato dell’ambiente di
deployment
nella pratica, spesso non esistono repliche
di collaudo e gli sviluppatori lavorano
direttamente negli ambienti di produzione
29
vulnerabilità aziendali - case history
multi-user e single-user, per me pari sono
30. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
anni di sistemi casalinghi mono-utente
hanno creato una generazione di single-
user noncuranti dei privilegi del file-system
credenziali e/o informazioni sensibili nei file
batch di prova
file leggibili da chiunque
nessuna separazione dei privilegi
30
vulnerabilità aziendali - case history
multi-user e single-user, per me pari sono
32. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
(falsema) /opt/home/oracle/DBA/PROD_SRV >
create public database link PPL_PROD.ACME.ORG
connect to PPL_RO identified by aqw23nm45 using 'PPL_PROD';
more cr_public_db.sql
(falsema) /opt/home/oracle/DBA/PROD_SRV/PPL >
arch:identified by ACME06AQUA
arch: IDENTIFIED BY "ppl_ro" DEFAULT TABLESPACE "OPSPPL"
arch: IDENTIFIED BY "ACME2006P" DEFAULT TABLESPACE "USERZ"
cr_db_link.sql: identified by ACME06AQUA
cr_role_ppl_ro.sql: IDENTIFIED BY "ppl_ro" DEFAULT TABLESPACE
"OPSPPL"
cr_user_ppl_ro.sql: IDENTIFIED BY "IRP2006P" DEFAULT TABLESPACE
"USERZ"
grep identified *
32
33. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti
ACME-NET-Guest
dlink
PseudoRandomSSIDGenerator
shelab
Free Public WiFi
Squeeze 2
acmeMYnet
Wannabe_7941
demo Billy
Agere Systems
HFG11
hpsetup
Pronto_Network_1
LDPY
beverlac419
CX2000
Mario Rossi's Network
wicked
b2
rmc_ap
PGNetwork
test02MacLeod
Tonino's Home WLAN
A97-MMCS03
COMPAQ
WIRELESS
ESP7
BMX
Forest
AKU2TT-LINK
YES78
33
vulnerabilità aziendali - case history
34. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 34
vulnerabilità aziendali - case history
FW/IDS applicativo
grande azienda
progetto da 1 milione di EUR per la
protezione e l’archiviazione delle operazioni
di n database critici
stringenti policy per AAA verso l’appliance e i
db
policy password
policy accesso
appliance a 6 zeri
36. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 36
vulnerabilità aziendali - case history
appliance a 6 zeri
due differenti modalità operative
attiva (inspect & forward)
passiva (sniffer/IDS)
logging esteso del traffico SQL
elevato throughput
questo dipende da una precisa scelta operata
dagli sviluppatori dell’appliance in termini di
capacità di sniffing dei datagrammi
56. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 56
vulnerabilità aziendali - case history
!
0wned Domain
chained exploit, lotek edition
Password
Guessing
SADMIND
Exploit
Local
Privilege
Escalation
Srv Enable
Netbackup
Administration
Software
Leech
Windows 2003 server R2 32bit edition
Netbackup 5.1 install + patch
Win2003
VM
AD
half restore
57. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 57
vulnerabilità aziendali - case history
!
0wned Domain
chained exploit, lotek edition
Password
Guessing
SADMIND
Exploit
Local
Privilege
Escalation
Srv Enable
Netbackup
Administration
Software
Leech
Win2003
VM
AD
half restore
restore del server AD di backup
reinstallazione driver
installazione servizio nel registro
creazione di utenza di dominio
58. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 58
vulnerabilità aziendali - case history
!
0wned Domain
chained exploit, lotek edition
Password
Guessing
SADMIND
Exploit
Local
Privilege
Escalation
Srv Enable
Netbackup
Administration
Software
Leech
Win2003
VM
AD
half restore
AD
corruption
61. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 61
vulnerabilità aziendali - considerazioni
pt esterno
applicazioni web
proprietarie (circa 4 su 5)
configurazioni errate
password
niente più NFS/NIS/FTP/SMB/CIFS
pt interno
password
problemi derivanti dalla gestione logica
delle risorse IT
eterogeneità architetture / piattaforme
complessità gestione policy
differenti organigrammi, differenti
responsabilità
62. x89xfbx6ax02x
x6ax3fx58xcdx
x49x79xf8x6ax
x58x99x52x68
x2fx73x68x68x0wning the Business, Reloaded - SMAU2010 - Milano, 22 Ottobre 2010 - Matteo Falsetti 62
0wning the Business,Reloaded
Matteo Falsetti - mfalsetti[at]enforcer.it - fusys[at]sikurezza.org
le immagini del fumetto Dilbert e del progetto Metasploit sono di proprietà dei rispettivi autori
Domande?