Audit con strumenti OpenSource - AIEA...Facendo semplicemente Network Mapping in NESSUN caso...
Transcript of Audit con strumenti OpenSource - AIEA...Facendo semplicemente Network Mapping in NESSUN caso...
Chief executive officer Auditor Hacker Cracker
Chi è il criminale?
Chief executive officer Auditor Hacker Cracker
Chief executive officer Auditor Hacker Cracker
Chi è il criminale?
Linus Torvalds
✔
Chief executive officer Auditor Hacker Cracker
Kevin Mitnick
✔ ✔
Poi i programmatori OpenSource diventano criminali....
Dal punto di vista dell'Auditor
Attività Vulnerabilità utilizzate Control Objectives
Network Scanning
Port Scanning
Version Scanning
Accesso fisico ai punti di accesso alla rete (Torrette, Dial-up servers, Nodi Wi-Fi, etc), Riconoscibilità dei parametri di rete, Assenza di autenticazione e/o crittografia a livello di rete (es. IPSec), ...
DS5 – ensuring systems security DS9 – Manage the configuration DS12.1 – Physical Security PO2.4 – Security Levels PO4.10 – Segregation of duties AI3.3 – System Software Security AI3.5 – System Software Maintenance
Raggiungibilità degli hosts (instradamento, segregazione degli ambienti, firewalling, etc)Mancanza di differenziazione dei profili di accesso a livello di rete su una stretta base di “Need to know” ed analisi dei rischi, Carente monitoraggio dei tentativi non autorizzati di accesso, Mancanza di una sottorete di controllo separata, ...
NMAP: Port Scanning
- Connect Scan- SYN Stealth Scan- ACK Stealth Scan- FIN|ACK Stealth Scan- FIN Stealth Scan- NULL Stealth Scan- Xmas tree Stealth Scan- TCP window Scan- UDP Port Scan- Idle Scan
Altri strumenti Open SourceAltri Strumenti Open Source per il Network Mapping:
Identificare i parametri ed i protocolli della rete (Promiscuous Mode Sniffing):● TCPDump http://www.tcpdump.org/ (Unix, Win) GPL● Ethereal http://www.ethereal.com/ (Unix, Win) GPL
Network Scanning:● Nmap http://www.nmap.org/ (Unix, Win) GPL● Xprobe2 http://www.sys-security.com/html/projects/X.html (Unix) GPL● Wfingerpring http://winfingerprint.sourceforge.net/winfingerprint.php (Win) GPL● Nbtscan http://www.inetcat.org/software/nbtscan.html (Unix, Win) GPL● THC-Amap http://www.thc.org/ (Unix) GPL
Port Scanning:● Nmap http://www.nmap.org/ (Unix, Win) GPL● THC-Amap http://www.thc.org/ (Unix) GPL
Version Scanning:● Nmap http://www.nmap.org/ (Unix, Win) GPL● THC-Amap http://www.thc.org/ (Unix) GPL
OpenSource: pro per un Auditor
Totale libertà di analisi, senza limiti né di tempo, di campione, di ripetibilità
Condivisibilità con gli auditati
Anche gli strumenti (oltre l'abilità ad usarli) sono parte del bagaglio personale. Cambiando azienda seguono l'Auditor, non l'azienda.
Auditabilità del codice sorgente
Considerazioni
♦ Facendo semplicemente Network Mapping in NESSUN caso ACCEDIAMO o TENTIAMO di ACCEDERE ad un servizio.
♦ Siamo AUDITOR, non cracker. Non abbiamo nulla da nascondere: dichiariamo esplicitamente nelle nostre mission l'attività di Network Mapping e gli Strumenti, Open Source o meno, che utilizzeremo.
♦ Coinvolgiamo i responsabili e/o amministratori: non è una gara tra la nostra “bravura” contro la loro “incompetenza”.
♦ Usiamo scansioni palesi invece che “stealth” e verifichiamo che la nostra attività risulti nei log
♦ Sono strumenti di Software Libero: diciamo apertamente cosa e come lo abbiamo usato e dove lo abbiamo reperito. Non abbiamo nulla da nascondere.
Considerazioni
Considerazioni
♦ E' Software Libero, non Perfetto.Verifichiamo attentamente cosa abbiamo scaricato:– Scegliamo strumenti ampiamente recensiti, online o su riviste
cartacee. E' software libero: se in tutto Internet nessuno lo usa, oltre che pericoloso è probabilmente anche scadente.
– La stragrande maggioranza degli strumenti è già presente nelle distribuzioni GNU\Linux: basta cercare nei CD.
– Procuriamoci le firme digitali GPG-MD5 per verificare l'integrità delle versioni in nostro possesso.
♦ Test, test, test. Come qualunque software.– Un laboratorio di prova, anche minimo, è necessario
Considerazioni♦ Stiamo giocando con strumenti potenti: cautela.
♦ Non diamo per scontato che se lo strumento segnala un rischio questo esista: se possibile, verifichiamo a mano. I falsi positivi sono frequenti.
♦ Usiamo solo le funzioni che abbiamo compreso esattamente cosa facciano.
Considerazioni♦ Usiamo più strumenti e confrontiamo i risultati.
♦ Discutiamo tutti i risultati con i responsabili e con i tecnici. Se non ci sono particolari esigenze, eseguiamo anche le analisi con loro.
♦ ...ho già detto di usare solo le funzioni di cui si è compreso cosa facciano? E che dobbiamo testarlo?
Credits♦ Essendo una presentazione sull'Open Source, beh,
almeno per coerenza, è stata realizzata solo con prodotti Open Source:
OpenOffice.org Impress
GNU\Linux 9.2
The GimpKonqueror
Nessun animale è stato utilizzato nella stesura di questa presentazione, in compenso un certo numero di betulle sono state abbattute durante le stampe di prova....