Link do prezentacji

Narzędzia open source
w Audytach Bezpieczeństwa
dr. inż. Albert Sadowski
Kierownik Projektu
Referencje z Banków Spółdzielczych
Projekty zakończone oraz w toku
BS Lipsko
- Audyt bezpieczeństwa kompleksowy
BS Bielsko Biała
- Audyt bezpieczeństwa kompleksowy
BS Strzałkowo
- Audyt bezpieczeństwa kompleksowy
BS Kielce
- Analiza Luki dot. Rekomendacji D
BS Chynów
- Audyt bezpieczeństwa kompleksowy
BS Sędziszów
- Audyt bezpieczeństwa kompleksowy
BS Police
- Audyt bezpieczeństwa kompleksowy
BS Wisznice
- Audyt bezpieczeństwa kompleksowy
BS Żuromin
- Audyt bezpieczeństwa kompleksowy
BS Wolbrom
- Audyt bezpieczeństwa kompleksowy
BS Żołynia
- Audyt bezpieczeństwa kompleksowy
BS Głowaczów
- Audyt bezpieczeństwa kompleksowy
Referencje szkoleniowe z Banków
Spółdzielczych
Szkolenia dedykowane dla Banków Spółdzielczych
BS Kielce
BS Wolbrom
BS Żory
BS Biała Rawska
BS Strzałkowo
BS Jedlińsk
BS Mrozy
BS Końskie
BS Wisznice
BS Biszcza
BS Głowaczów
BS Żołynia
BS Rzemiosła Radom
BS Białystok
BS Kurów
BS Proszkowice
BS Radomyśl Wielki
BS Poddębice
BS Sędziszów
BS Kalwaria Zebrzydowska
BS Świerklaniec
BS Zawiercie
BS Kraśnik
BS Skępe
BS Police
BS Wronki
BS Lipno
BS Żuromin
BS Tarczyn
SKOK Piast Tychy
Opracowanie polityki bezpieczeństwa informatycznego; stworzenie dokumentacji.
Ocena istniejących dokumentów polityki bezpieczeństwa i procedur kontroli zabezpieczeń.
Audyt bezpieczeństwa organizacji (wewnętrzny).
Test penetracyjny typu "symulacja ataku zewnętrznego".
 Ochrona danych osobowych - konsulting prawny, stworzenie
lub weryfikacja wymaganej ustawą dokumentacji.
chrona danych osobowych - konsulting techniczny, ocena metod i systemów zabezpieczeń
Ekspertyza bezpieczeństwa i hardening systemu Unix/Linux
Ekspertyza bezpieczeństwa i hardening systemu Windows.
Ekspertyza bezpieczeństwa i hardening systemu operacyjnego firewalla.
Ekspertyza i hardening serwera WWW.
Ekspertyza i hardening serwera poczty elektronicznej.
Ekspertyza i hardening serwera aplikacyjnego lub bazodanowego.
Ocena konfiguracji firewalla sprzetowego lub programowego.
Instalacja i/lub skonfigurowanie popularnych systemów firewall, VPN,
skanerów bezpieczeństwa i systemów detekcji intruzów.
Ocena zabezpieczen infrastruktury usługi Internet Banking (system firewall,
serwery strefy DMZ, serwery komunikacyjne, aplikacyjne i bazodanowe)
Kurs ABI:
Polityka bezpieczeństwa systemu informatycznego (PBSI)
Ochrona danych osobowych - realizacja wymogów ustawy (ODOR)
Bezpieczeństwo systemów informatycznych (BSI)
Kurs IB:
Polityka bezpieczeństwa systemu informatycznego (PBSI)
Bezpieczeństwo systemów informatycznych (BSI)
Systemy firewall i VPN (FWVPN)
Wymóg realizacji
Audytów Bezpieczeństwa (1)
Rekomendacja D - 2002
- dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i
telekomunikacyjnym używanym przez banki (2002 r.):
„Niezależny audyt zewnętrzny powinien zweryfikować prawidłowość wyników
uzyskanych przez audyt wewnętrzny oraz uzupełnić go o specjalistyczne badania.”
„Audyt zewnętrzny może być przeprowadzany dla całego banku, lub dla wybranego
obszaru działalności.”
„Planowanie, przygotowanie i przeprowadzenie kontroli przez komórkę kontroli
wewnętrznej oraz zlecanie kontroli niezależnym specjalistom wyższego szczebla
zarządzania i profesjonalnym organizacjom zewnętrznym, specjalizującym się w
badaniu prawidłowego funkcjonowania standardów w zakresie ochrony danych jest
czynnikiem wzmacniającym bezpieczeństwo funkcjonowania systemów
informatycznych.”
Wymóg realizacji
Audytów Bezpieczeństwa (2)
Rekomendacja D - grudzień 2014
-dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska
teleinformatycznego w bankach /zalecenia wejdą w życie z dniem 31 grudnia 2014 r./
„Obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego
banku powinny być przedmiotem systematycznych, niezależnych audytów.”
„Audyt obszarów technologii informacyjnej i bezpieczeństwa środowiska
teleinformatycznego powinien być przeprowadzany regularnie oraz każdorazowo po
wprowadzeniu zmian mogących znacząco wpłynąć na poziom bezpieczeństwa
środowiska teleinformatycznego. Częstotliwość i zakres audytów powinny wynikać z
poziomu ryzyka związanego z poszczególnymi obszarami audytowymi oraz wyników
ich wcześniejszych przeglądów.”
KNF: Nie są wymagane certyfikaty!
Etapy Audytu Bezpieczeństwa





Audyt bezpieczeństwa pierwotny – prace audytorskie w siedzibie Klienta
Opracowanie i przekazanie Dokumentacji Po-Audytowej wraz z zaleceniami
Oczekiwanie na usunięcie luk bezpieczeństwa przez Klienta
Re-Audyt (audyt powtórny) – po usunięciu luk bezpieczeństwa
Wystawienie Certyfikatu Bezpieczeństwa Teleinformatycznego dla Banku
Po usunięciu przez Klienta zidentyfikowanych luk bezpieczeństwa, dokonywany jest Re-Audyt
(audyt powtórny) zakończony – przy pozytywnym wyniku – wystawieniem Certyfikatu
Bezpieczeństwa Teleinformatycznego firmy Kerberos OCHRONA INFORMACJI.
Zakres
Audytu
Audyt technicznych
aspektów zbezpieczeń
Testy penetracyjne z Internetu
Określenie adresów IP,
które maja być poddane testom penetracyjnym
(symulacjom włamania).
Audyt technicznych
aspektów zbezpieczeń
Audyt serwerów
Konieczność eliminacji luk bezpieczeństwa związanych z:











Brakami aktualizacji (service pack-i, upgrade’y, łatki) producentów
Błędami konfiguracyjnymi w plikach konfiguracyjnych, w rejestrze
Niepoprawną konfiguracją systemu uprawnień do plików i katalogów
Otwartymi zbędnymi portami, działaniem potencjalnie niebezpiecznych
serwisów sieciowych
Wykorzystaniem aktywnych elementów serwisów WWW
Funkcjonującymi aplikacjami
Serwerami baz danych
Istnieniem niebezpiecznych konto (konto typu gość)
Błędnie skonfigurowanym systemem uwierzytelniania użytkowników
Obecnością złośliwego oprogramowania i wirusów
Zbyt małą wydajnością sprzętu (podatności na ataki DOS)
Audyt technicznych
aspektów zbezpieczeń
Audyt stacji roboczych
Czy audytować wszystkie stacje
czy wybrane (reprezentatywne)?
Audyt technicznych
aspektów zbezpieczeń
Audyt routerów, firewalli i bramek VPN
Konieczność eliminacji luk bezpieczeństwa związanych z:












Brakami aktualizacji (service pack-i, upgrade’y, łatki) firmware’u
Niepoprawną konfiguracją systemów operacyjnych urządzeń
Otwartymi zbędnymi portami, działaniem potencjalnie niebezpiecznych
serwisów sieciowych
Wykorzystaniem podatności serwisów WWW oraz ssh / telnet – służących do
zarządzania urządzeniami
Zbyt słabymi metodami uwierzytelniania (np. stosowanie fabrycznych haseł)
Zbyt małą wydajnością sprzętu (podatności na ataki DOS, przegrzanie)
Zbyt małą przepustowością dla ruchu sieciowego
Niepoprawną konfiguracją reguł filtracji ruchu
Zbyt dużą (nadmiarową) liczbą reguł
Błędnie skonfigurowanymi kanałami VPN
Ogólnymi nieprawidłowościami w projekcie topologicznymi architektury
Brakiem wykorzystania funkcji IDS / IPS – o ile są zaimplementowane
Narzędzia open source
w Audytach Bezpieczeństwa
Miarodajne testy
=
Rzeczywiste narzędzia używane przez hackerów !
A oni używają open source i rozwijają
własne systemy środowiskowe!
Narzędzia open source
w Audytach Bezpieczeństwa
HconSTF
narzędzie do badania podatności na proste testy penetracyjne
występuje w 2 wersjach komercyjnej i darmowej
open source jest częścią składową backtrack
1. analizator malware
2. platforma z pewną pulą exploitów
3. wyszukiwanie konkretnych dziur na stronach (zaimplementowane w KaliLinux nowsza wersja Backtracka)
4. skaner portów
5. interfejs przeglądarki
6. skany XSS, sql injection
7. encodery - do robienia podpisów i sprawdzanie czy się nie zmienily
Narzędzia open source
w Audytach Bezpieczeństwa
HconSTF
narzędzie do badania podatności na proste testy penetracyjne
występuje w 2 wersjach komercyjnej i darmowej
open source jest częścią składową backtrack
1. analizator malware
2. platforma z pewną pulą exploitów
3. wyszukiwanie konkretnych dziur na stronach (zaimplementowane w KaliLinux nowsza wersja Backtracka)
4. skaner portów
5. interfejs przeglądarki
6. skany XSS, sql injection
7. encodery - do robienia podpisów i sprawdzanie czy się nie zmienily
Narzędzia open source
w Audytach Bezpieczeństwa
jSQL Injection
1. do symulacii ataków na bazy
2. do wstrzykiwania kodu
3. odczyt drzewa bazy danych
Narzędzia open source
w Audytach Bezpieczeństwa
mailSeeker
narzędzie do przeszukiwania internetu w celu wyszukiwania adresów e-mail
wpisujemy adres strony - na danej stronie wyszukujemy adresy e-mail
wyszukiwarka dowolnych fraz
Narzędzia open source
w Audytach Bezpieczeństwa
Nessus
Narzędzia open source
w Audytach Bezpieczeństwa
OWASP Xenotix
OWASP - organizacja tworzaca oprogramowanie do testów penetracyjnych
(konferencje w calej Polsce, głównie - Kraków )
Kerberos a OWASP
1. framework do explointówXSS
2. symuluje ataki wykorzystujące luki w JavaScrit do np. zmiany treści na stronie
3. header skaner do nagłówków stron (np. szukanie metod POST)
4. jeden z niewielu systemów posiadających potrójny silnik wyszukiwarki (IE, Firefox,
Chrome)
5. funkcja skanów: ping-skan, port-skan, skan wewnętrznej sieci
6. detektor dodatków do stron
6. największa baza exploitów związanych z WWW
7. schell do JavaScritów
9. spoofing stron - podstawianie zawartosci strony po znalezieniu luki
10. zaczytywanie danych z cookies
11. spakowane gotowe skrypty
Narzędzia open source
w Audytach Bezpieczeństwa
OWASP Xenotix
OWASP - organizacja tworzaca oprogramowanie do testów penetracyjnych
(konferencje w calej Polsce, głównie - Kraków )
Kerberos a OWASP
1. framework do explointówXSS
2. symuluje ataki wykorzystujące luki w JavaScrit do np. zmiany treści na stronie
3. header skaner do nagłówków stron (np. szukanie metod POST)
4. jeden z niewielu systemów posiadających potrójny silnik wyszukiwarki (IE, Firefox,
Chrome)
5. funkcja skanów: ping-skan, port-skan, skan wewnętrznej sieci
6. detektor dodatków do stron
6. największa baza exploitów związanych z WWW
7. schell do JavaScritów
Narzędzia open source
w Audytach Bezpieczeństwa
OWASP ZAP
1. pula skanerów automatycznych i manualnych
2. wyszukiwanie podatności głównie typu Web
3. narzędzie fuser - do automatycznego hackowania znalezionych podatności
4. funkcja plug&hack - dodatek do wyszukiwarek
5. spidering - narzedzie do przeszukiwania adr. URL pod katem konkretnych
podatności np. blędów XSS
6. tworzenie i podstawienie własnych certyfikatów SSL - transparentne
rozkodowywanie połączen SSL (łamanie SSL-a)
7. ataki Cross Site Request Forgery (CSRF) - podobne do XSS, różnica polega na
tym, ze XSS są wymierzone w strony internetowe natomiast CSRF dotyczy
serwerów ftp, użytkowników - czyli identyfikacja tego co wpisał użytkownik
Narzędzia open source
w Audytach Bezpieczeństwa
OWASP ZAP
1. pula skanerów automatycznych i manualnych
2. wyszukiwanie podatności głównie typu Web
3. narzędzie fuser - do automatycznego hackowania znalezionych podatności
4. funkcja plug&hack - dodatek do wyszukiwarek
5. spidering - narzedzie do przeszukiwania adr. URL pod katem konkretnych
podatności np. blędów XSS
6. tworzenie i podstawienie własnych certyfikatów SSL - transparentne
rozkodowywanie połączen SSL (łamanie SSL-a)
7. ataki Cross Site Request Forgery (CSRF) - podobne do XSS, różnica polega na
tym, ze XSS są wymierzone w strony internetowe natomiast CSRF dotyczy
serwerów ftp, użytkowników - czyli identyfikacja tego co wpisał użytkownik
Pytania:
Informacje organizacyjne o szkoleniach, zgłoszenia:
Ilona Białecka, Handlowiec, 531 731 511, [email protected]
Informacje handlowe nt. Audytów Bezpieczeństwa:
Artur Kosmala, Handlowiec, 794 147 631, [email protected]
Informacje merytoryczne nt. Audytów Bezpieczeństwa:
dr inż. Albert Sadowski, Kierownik Projektu, 600 200 633, [email protected]
Agata Felczak, Kierownik Projektu, 600 010 955, [email protected]