Pobierz: Konferencja ERP Silesia: Testy penetracyjne
Transkrypt
Pobierz: Konferencja ERP Silesia: Testy penetracyjne
Testy penetracyjne infastruktury IT – czy są potrzebne? Leszek Miś http://www.emerge.pl ERP Silesia 2009 Emerge Systems Emerge Systems – specjalistyczna firma świadcząca usługi w następujących obszarach IT: ● Testy penetracyjne ● Audyty bezpieczeństwa ● Zabezpieczanie systemów oraz usług (hardening) ● Wdrażanie systemów Linux/BSD oraz administracja ● ● Edukacja IT – autorskie warsztaty i szkolenia techniczne – Hacking Academy Promocja oprogramowania open source http://www.emerge.pl Czym jest test penetracyjny? ● Jedna z najskuteczniejszych metod badania poziomu bezpieczeństwa systemu IT polegająca na jak najbliższym naśladowaniu działań intruza ● Symulowany atak na system informatyczny ● Legalny hacking :) ● Szukanie dziury w całym Aby poprawnie wykonać test penetracyjny należy myśleć jak prawdziwy atakujący! Czym jest test penetracyjny? ● Typy testów penetracyjnych: ● ● blackbox (minimum wiedzy na temat badanego systemu) whitebox (pełna wiedza na temat badanego systemu) Ważne, aby testy penetracyjne przeprowadzane były przez firmę zewnętrzną ! Czym jest test penetracyjny? ● Zaczynamy dostrzegać problem bezpieczeństwa IT ● Bezpieczeństwo danych zaczyna być w cenie! ● Coraz większe zainteresowanie polskiego rynku usługami z branży IT Security dowodem na ciągły rozwój Aktualne trendy ataków sieciowych ● Aplikacje webowe dostępne z poziomu przeglądarki internetowej: – Krytyczne błędy SQL Injection, XSS, CSRF, Local/Remote File Inclusion i inne Aktualne trendy ataków sieciowych ● Usługi oraz systemy dostępne z Internetu: – ● Przepełnienia buforów, niepoprawne uprawnienia, niepoprawna konfiguracja, brak filtrów pakietów (firewall) Zwykły użytkownik: – Exploitowanie podatności przeglądarek WWW, playerów flashowych, przeglądarek plików PDF w rezultacie → podłączenie do sieci BOTNET Aktualne trendy ataków sieciowych ● ● ● Ilość przeprowadzanych ataków stale rośnie i staje się coraz bardziej niebezpieczna Wystarczy kilka minut na odkrycie podatności! Wystarczy uruchomienie jednego programu i cierpliwość, aby poznać loginy i hasła użytkowników (sniffing) Aktualne trendy ataków sieciowych ● Przykłady ataków: Aktualne trendy ataków sieciowych ● Przykłady ataków: Aktualne trendy ataków sieciowych ● Przykłady ataków: – Urząd Miasta Tarnowskie Góry: http://www.tarnowskiegory.pl/index.php? lang=pl&menu=0&dzial=1&kat=58&flash=7%20an d%20%28version%28%29=5%29 – http://www.um.piekary.pl/index.php? site=,80&cont=125%20and%20(select %20version())%20=%205 – http://www.kantor.zywiec.pl/index.php? _id=10%20and%20(select%20version()=4) Aktualne trendy ataków sieciowych ● W rezultacie atakujący otrzymuje dostęp do: ● Baz danych, kodu źródłowego portali firmowych ● Systemów poczty elektronicznej ● ● Haseł użytkowników, które zazwyczaj są takie same, np. do serwisu nasza-klasa.pl oraz banku ;-) Poufnych, korporacyjnych danych Czy testy penetracyjne są potrzebne? TAK! Korzyści czyli bezpieczeństwo nas wszystkich ● ● ● Wysoki poziom bezpieczeństwa systemów poprzez sprawne zarządzanie podatnościami Obniżenie poniesionych kosztów związanych z przestojem działania systemów oraz infrastruktury! Uzasadnienie inwestycji związanych z bezpieczeństwem infrastruktury IT ● Zaspokojenie odgórnych wymagań ● Ochrona marki oraz partnerów biznesowych ● Wiedza na temat faktycznego stanu bezpieczeństwa sieci i systemów Podsumowanie ● Z bezpieczeństwem IT (a szczególnie z bezpieczeństwem aplikacji webowych) nie jest dobrze. ● Praktycznie każda strona posiada błąd! ● Praktycznie każda firma posiada stronę :) Podsumowanie ● Należy: – Słuchać, czytać, pytać, interesować się tematyką – Korzystać z pomocy specjalistów – Dbać o poprawną konfigurację usług i systemów – Podnosić kwalifikacje pracowników – szkolenia i warsztaty techniczne Podsumowanie Dziękuję za uwagę:) Leszek Miś - [email protected]