Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla cyberprzestępców?

Post on 15-Apr-2017

116 views 2 download

Preview:

Click to see full reader
Report this document
SHARE

Transcript of Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla cyberprzestępców?

Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla

cyberprzestępców?

Borys Łącki 26.10.2016

Od ponad 10 lat testujemy bezpieczeństwo i

zabezpieczamy zasoby Klientów.

> 100 wykładów

Borys Łącki - Logicaltrust

Edukacja

http://sprawdzpesel.pl

https://quiz.securityinside.pl/quiz/start?id=1

https://quiz.securityinside.pl/quiz/start?id=2

http://sprawdzpesel.pl/
https://quiz.securityinside.pl/quiz/start?id=1
https://quiz.securityinside.pl/quiz/start?id=2

Rozwiązania bezpieczeństwa

Kolor wykresuvs.

Bezpieczeństwo platformy

Budowanie bezpieczeństwa

VS.

Rozwiązania bezpieczeństwa

2FA, AntiDDoS, Backup, DLP, Szyfrowanie danych, Firewall, IDS, IPS, PGP,

UTM, VPN, WAF, (...)

Rozwiązania bezpieczeństwa

OprogramowanieAntywirusowe

???

Nasza perspektywa

● Test penetracyjny – „proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa (...)”

Wikipedia

Nazwa i typ nie mają znaczenia

Security Appliance

Zazwyczaj:

● Brak aktualizacji

● Błędna konfiguracja

● Brak hardeningu

● Ujawnianie informacji

● Zbędne pakiety i zasoby

● Podstawowe błędy WWW

● Proste i stałe hasła

● Brak mechanizmów bezpieczeństwa (SELinux, AntiBruteForce)

● Stałe klucze/certyfikaty SSL (SelfSigned cert) - podsłuchiwanie

Rozwiązania bezpieczeństwa

E-mail

E-mail

Symantec Messaging Gateway (SMG) Appliance 10.6.x management console was susceptible to potential unauthorized loss of privileged information due to an inadvertent static link of an updated component library to a version of SSL susceptible to the Heartbleed vulnerability

Symantec Messaging Gateway Privilege Shell Escape

Firewall

Firewall

NSA – Shadow Broker – (10 000$?)

Here are some code names that I extracted from the free files offered as a teaser on the Shadow broker blog, the main targets from this dump appeared to be Fortinet, TopSec, Cisco & Juniper firewalls.

Firewall

WWW

Load balancer

'Name' => 'F5 BIG-IP SSH Private Key Exposure'

F5 ships a public/private key pair on BIG-IP appliances that allows passwordless authentication to any other BIG-IP box. Since the key is easily retrievable, an attacker can use it to gain unauthorized remote access as root.

WWW

Trend Micro InterScan Web Security Virtual Appliance domains Remote Code Execution Vulnerability

Web Application Firewall

# Exploit Title: Barracuda Web App Firewall/Load Balancer Post Auth Remote Root Exploit

# Date: 07/21/16

# Exploit Author: xort

Kopie zapasowe

Kopie zapasowe

'Name' => 'Veritas Backup Exec Remote Agent Overflow'

This module exploits a stack buffer overflow in the Veritas BackupExec Windows Agent software. Reliable execution is obtained by abusing the stack buffer overflow to smash a SEH pointer.

'Name' => 'Symantec BackupExec Calendar Buffer Overflow'

This module exploits a stack buffer overflow in Symantec BackupExec Calendar Control. By sending an overly long string to the "_DOWText0" property located in the pvcalendar.ocx control, an attacker may be able to execute arbitrary code.

Platformy bezpieczeństwa

Platformy bezpieczeństwa

AlienVault Unified Security Management Remote Authentication Bypass Vulnerability

Cobalt Strike RCE. Active Exploitation Reported.

There is a remote code execution vulnerability in the Cobalt Strike team server.

The reporter states that the attacker cleared logs from the server, cleared the downloaded files, and cleared the Cobalt Strike data model and log files.

Platformy bezpieczeństwa

Palo Alto - Attacking Next - Generation Firewalls

Felix Wilhelm

Unauthenticated command execution against management web interface.

Uses (shuffled) device master key as AES key

By default: p1a2l3o4a5l6t7o8

Tester bezpieczeństwa

Tester bezpieczeństwa

'Name' => 'Wireshark LWRES Dissector getaddrsbyname_request Buffer Overflow',

The LWRES dissector in Wireshark version 0.9.15 through 1.0.10 and 1.2.0 through 1.2.5 allows remote attackers to execute arbitrary code due to a stack-based buffer overflow.

Tester bezpieczeństwa

The following two issues combine to constitute a pre-auth Remote Code Execution vulnerability in Metasploit Community, Express and Pro.

Tavis Ormandy

Oprogramowanie antywirusowe

Oprogramowanie antywirusowe

AVG Internet Security avgtdix.sys Kernel Memory Corruption Privilege Escalation Vulnerability

Bitdefender Antivirus Plus bdfwfpf Integer Overflow Privilege Escalation Vulnerability

Bezpieczeństwo?

Przed zakupem:

● Analiza ryzyka● Testy urządzenia● Ile czasu urządzenie będzie objęte aktualizacjami?

● Częstotliwość aktualizacji oprogramowania● Reakcje producenta na błędy bezpieczeństwa

● Jak tworzone jest oprogramowanie (SDLC)?

Dobre praktyki

Po zakupie:

● Poprawna konfiguracja● Włączenie mechanizmów bezpieczeństwa: szyfrowanie (certyfikat), separacja, podwójne uwierzytelnianie

● Separacja sieciowa● Aktualizacja oprogramowania (firmware)● Testy penetracyjne

Dobre praktyki

„Security” w nazwienie gwarantuje

„bezpieczeństwa”.

Do zapamiętania!

http://sprawdzpesel.pl

https://quiz.securityinside.pl/quiz/start?id=1

https://quiz.securityinside.pl/quiz/start?id=2

http://www.slideshare.net/logicaltrust

http://www.zerodayinitiative.com/advisories/ZDI-16-484/

https://metasploit.com

https://zdi.com

https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2016&suid=20160512_00

Hacking Appliances: Ironic exploits in security products - Ben Williams

https://media.blackhat.com/eu-13/briefings/B_Williams/bh-eu-13-hacking-appliances-bwilliams-slides.pdf

https://twitter.com/taviso?lang=pl

https://www.pinterest.com/kaix7/iso/

Ikony: https://www.iconfinder.com/Vecteezy

Materiały dodatkowe

http://sprawdzpesel.pl/
https://quiz.securityinside.pl/quiz/start?id=1
https://quiz.securityinside.pl/quiz/start?id=2
http://www.slideshare.net/logicaltrust
http://www.zerodayinitiative.com/advisories/ZDI-16-484/
https://metasploit.com/
https://zdi.com/
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2016&suid=20160512_00
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2016&suid=20160512_00
https://media.blackhat.com/eu-13/briefings/B_Williams/bh-eu-13-hacking-appliances-bwilliams-slides.pdf
https://twitter.com/taviso?lang=pl
https://www.pinterest.com/kaix7/iso/
https://www.iconfinder.com/Vecteezy

https://z3s.pl/szkolenia/

-20%Obowiązuje 21 dni

Hasło: SCR16

Szkolenia – rabat

https://z3s.pl/szkolenia/

Dziękuję za uwagę

Borys Łącki

b.lacki@logicaltrust.net

Pytania

Top related

Pełna treść artykułu (pdf)
 Documents
ZAPROSZENIE DO WROCŁAWIA
 Documents
Pełna treść ogłoszenia
 Documents
Pełna praca licenc
 Documents
Pełna oferta w PDF
 Documents
ZAPROSZENIE - mrn.pl
 Documents
Pełna treść dokumentu
 Documents
Kuchnia pełna smaku
 Documents
SymbioCity Conference - zaproszenie
 Documents
Zaproszenie do wysłania
 Documents
Rojam oferta pełna 2014
 Documents
zaproszenie na wernisaż
 Documents
LeftHand Pełna Księgowość
 Documents
Jak kraść pieniądze w sieci? - przegląd technik używanych przez cyberprzestępców
 Technology
Egzamin certyfikatowy - TravellerNote.com · Zaproszenie – zawiadomienie adresata o ważnym wydarzeniu w życiu nadawcy i zaproszenie go do wzięcia udziału w tym wydarzeniu. Zaproszenie
 Documents
Zaproszenie na Ślub
 Art & Photos
Publikacja Szkola pełna energii
 Documents
Zaproszenie Pedagogika Uksw
 Documents
OPENKontakt.com - pełna prezentacja
 Documents
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
 Technology

Copyright © 2022 FDOCUMENTS