Audit con strumenti OpenSource: un esempio per il network mapping

Luca Pertile

CISA

GNU General Public License

Chief executive officer Auditor Hacker Cracker

Chi è il criminale?

Chief executive officer Auditor Hacker Cracker

Chief executive officer Auditor Hacker Cracker

Chi è il criminale?

Linus Torvalds

✔

Chief executive officer Auditor Hacker Cracker

Kevin Mitnick

✔ ✔

Poi i programmatori OpenSource diventano criminali....

Come fanno i crackers

NMAP

♦ Open Source GNU GPL

♦ Lo usano loro, lo usiamo anche noi

Dal punto di vista dell'Auditor

Attività Vulnerabilità utilizzate Control Objectives

Network Scanning

Port Scanning

Version Scanning

Accesso fisico ai punti di accesso alla rete (Torrette, Dial-up servers, Nodi Wi-Fi, etc), Riconoscibilità dei parametri di rete, Assenza di autenticazione e/o crittografia a livello di rete (es. IPSec), ...

DS5 – ensuring systems security DS9 – Manage the configuration DS12.1 – Physical Security PO2.4 – Security Levels PO4.10 – Segregation of duties AI3.3 – System Software Security AI3.5 – System Software Maintenance

Raggiungibilità degli hosts (instradamento, segregazione degli ambienti, firewalling, etc)Mancanza di differenziazione dei profili di accesso a livello di rete su una stretta base di “Need to know” ed analisi dei rischi, Carente monitoraggio dei tentativi non autorizzati di accesso, Mancanza di una sottorete di controllo separata, ...

NMAP: Network Scanning

NMAP: Port Scanning

- Connect Scan- SYN Stealth Scan- ACK Stealth Scan- FIN|ACK Stealth Scan- FIN Stealth Scan- NULL Stealth Scan- Xmas tree Stealth Scan- TCP window Scan- UDP Port Scan- Idle Scan

NMAP: Version Scanning

Altri strumenti Open SourceAltri Strumenti Open Source per il Network Mapping:

Identificare i parametri ed i protocolli della rete (Promiscuous Mode Sniffing):● TCPDump http://www.tcpdump.org/ (Unix, Win) GPL● Ethereal http://www.ethereal.com/ (Unix, Win) GPL

Network Scanning:● Nmap http://www.nmap.org/ (Unix, Win) GPL● Xprobe2 http://www.sys-security.com/html/projects/X.html (Unix) GPL● Wfingerpring http://winfingerprint.sourceforge.net/winfingerprint.php (Win) GPL● Nbtscan http://www.inetcat.org/software/nbtscan.html (Unix, Win) GPL● THC-Amap http://www.thc.org/ (Unix) GPL

Port Scanning:● Nmap http://www.nmap.org/ (Unix, Win) GPL● THC-Amap http://www.thc.org/ (Unix) GPL

Version Scanning:● Nmap http://www.nmap.org/ (Unix, Win) GPL● THC-Amap http://www.thc.org/ (Unix) GPL

OpenSource: pro per un Auditor

Totale libertà di analisi, senza limiti né di tempo, di campione, di ripetibilità

Condivisibilità con gli auditati

Anche gli strumenti (oltre l'abilità ad usarli) sono parte del bagaglio personale. Cambiando azienda seguono l'Auditor, non l'azienda.

Auditabilità del codice sorgente

Considerazioni

♦ Facendo semplicemente Network Mapping in NESSUN caso ACCEDIAMO o TENTIAMO di ACCEDERE ad un servizio.

♦ Siamo AUDITOR, non cracker. Non abbiamo nulla da nascondere: dichiariamo esplicitamente nelle nostre mission l'attività di Network Mapping e gli Strumenti, Open Source o meno, che utilizzeremo.

♦ Coinvolgiamo i responsabili e/o amministratori: non è una gara tra la nostra “bravura” contro la loro “incompetenza”.

♦ Usiamo scansioni palesi invece che “stealth” e verifichiamo che la nostra attività risulti nei log

♦ Sono strumenti di Software Libero: diciamo apertamente cosa e come lo abbiamo usato e dove lo abbiamo reperito. Non abbiamo nulla da nascondere.

Considerazioni

Considerazioni

♦ E' Software Libero, non Perfetto.Verifichiamo attentamente cosa abbiamo scaricato:– Scegliamo strumenti ampiamente recensiti, online o su riviste

cartacee. E' software libero: se in tutto Internet nessuno lo usa, oltre che pericoloso è probabilmente anche scadente.

– La stragrande maggioranza degli strumenti è già presente nelle distribuzioni GNU\Linux: basta cercare nei CD.

– Procuriamoci le firme digitali GPG-MD5 per verificare l'integrità delle versioni in nostro possesso.

♦ Test, test, test. Come qualunque software.– Un laboratorio di prova, anche minimo, è necessario

Considerazioni♦ Stiamo giocando con strumenti potenti: cautela.

♦ Non diamo per scontato che se lo strumento segnala un rischio questo esista: se possibile, verifichiamo a mano. I falsi positivi sono frequenti.

♦ Usiamo solo le funzioni che abbiamo compreso esattamente cosa facciano.

Considerazioni♦ Usiamo più strumenti e confrontiamo i risultati.

♦ Discutiamo tutti i risultati con i responsabili e con i tecnici. Se non ci sono particolari esigenze, eseguiamo anche le analisi con loro.

♦ ...ho già detto di usare solo le funzioni di cui si è compreso cosa facciano? E che dobbiamo testarlo?

Credits♦ Essendo una presentazione sull'Open Source, beh,

almeno per coerenza, è stata realizzata solo con prodotti Open Source:

OpenOffice.org Impress

GNU\Linux 9.2

The GimpKonqueror

Nessun animale è stato utilizzato nella stesura di questa presentazione, in compenso un certo numero di betulle sono state abbattute durante le stampe di prova....

Contatti:

Luca Pertileluca.pertile@audit.unicredit.itpertile@gmx.it