Pobierz: Konferencja ERP Silesia: Testy penetracyjne

Testy penetracyjne infastruktury IT –
czy są potrzebne?
Leszek Miś
http://www.emerge.pl
ERP Silesia 2009
Emerge Systems
Emerge Systems – specjalistyczna firma świadcząca usługi
w następujących obszarach IT:
●
Testy penetracyjne
●
Audyty bezpieczeństwa
●
Zabezpieczanie systemów oraz usług (hardening)
●
Wdrażanie systemów Linux/BSD oraz administracja
●
●
Edukacja IT – autorskie warsztaty i szkolenia
techniczne – Hacking Academy
Promocja oprogramowania open source
http://www.emerge.pl
Czym jest test penetracyjny?
●
Jedna z najskuteczniejszych metod badania poziomu
bezpieczeństwa systemu IT polegająca na jak najbliższym
naśladowaniu działań intruza
●
Symulowany atak na system informatyczny
●
Legalny hacking :)
●
Szukanie dziury w całym
Aby poprawnie wykonać test penetracyjny należy myśleć
jak prawdziwy atakujący!
Czym jest test penetracyjny?
●
Typy testów penetracyjnych:
●
●
blackbox (minimum wiedzy na temat badanego
systemu)
whitebox (pełna wiedza na temat badanego systemu)
Ważne, aby testy penetracyjne przeprowadzane były
przez firmę zewnętrzną !
Czym jest test penetracyjny?
●
Zaczynamy dostrzegać problem bezpieczeństwa IT
●
Bezpieczeństwo danych zaczyna być w cenie!
●
Coraz większe zainteresowanie polskiego rynku usługami z
branży IT Security dowodem na ciągły rozwój
Aktualne trendy ataków
sieciowych
●
Aplikacje webowe dostępne z poziomu przeglądarki
internetowej:
–
Krytyczne błędy SQL Injection, XSS, CSRF,
Local/Remote File Inclusion i inne
Aktualne trendy ataków
sieciowych
●
Usługi oraz systemy dostępne z Internetu:
–
●
Przepełnienia buforów, niepoprawne uprawnienia,
niepoprawna konfiguracja, brak filtrów pakietów
(firewall)
Zwykły użytkownik:
–
Exploitowanie podatności przeglądarek WWW,
playerów flashowych, przeglądarek plików PDF
w rezultacie → podłączenie do sieci BOTNET
Aktualne trendy ataków
sieciowych
●
●
●
Ilość przeprowadzanych ataków stale rośnie i staje się
coraz bardziej niebezpieczna
Wystarczy kilka minut na odkrycie podatności!
Wystarczy uruchomienie jednego programu i cierpliwość,
aby poznać loginy i hasła użytkowników (sniffing)
Aktualne trendy ataków
sieciowych
●
Przykłady ataków:
Aktualne trendy ataków
sieciowych
●
Przykłady ataków:
Aktualne trendy ataków
sieciowych
●
Przykłady ataków:
–
Urząd Miasta Tarnowskie Góry:
http://www.tarnowskiegory.pl/index.php?
lang=pl&menu=0&dzial=1&kat=58&flash=7%20an
d%20%28version%28%29=5%29
–
http://www.um.piekary.pl/index.php?
site=,80&cont=125%20and%20(select
%20version())%20=%205
–
http://www.kantor.zywiec.pl/index.php?
_id=10%20and%20(select%20version()=4)
Aktualne trendy ataków
sieciowych
●
W rezultacie atakujący otrzymuje dostęp do:
●
Baz danych, kodu źródłowego portali firmowych
●
Systemów poczty elektronicznej
●
●
Haseł użytkowników, które zazwyczaj są takie same,
np. do serwisu nasza-klasa.pl oraz banku ;-)
Poufnych, korporacyjnych danych
Czy testy penetracyjne są
potrzebne?
TAK!
Korzyści czyli
bezpieczeństwo nas wszystkich
●
●
●
Wysoki poziom bezpieczeństwa systemów poprzez
sprawne zarządzanie podatnościami
Obniżenie poniesionych kosztów związanych z przestojem
działania systemów oraz infrastruktury!
Uzasadnienie inwestycji związanych z bezpieczeństwem
infrastruktury IT
●
Zaspokojenie odgórnych wymagań
●
Ochrona marki oraz partnerów biznesowych
●
Wiedza na temat faktycznego stanu bezpieczeństwa sieci i
systemów
Podsumowanie
●
Z bezpieczeństwem IT (a szczególnie z bezpieczeństwem
aplikacji webowych) nie jest dobrze.
●
Praktycznie każda strona posiada błąd!
●
Praktycznie każda firma posiada stronę :)
Podsumowanie
●
Należy:
–
Słuchać, czytać, pytać, interesować się tematyką
–
Korzystać z pomocy specjalistów
–
Dbać o poprawną konfigurację usług i systemów
–
Podnosić kwalifikacje pracowników – szkolenia i
warsztaty techniczne
Podsumowanie
Dziękuję za uwagę:)
Leszek Miś - [email protected]