Ethical Hacking - Silent Signal - Kezdőlap · 2017. 5. 25. · 3 Meghatározások • Ethical...
Transcript of Ethical Hacking - Silent Signal - Kezdőlap · 2017. 5. 25. · 3 Meghatározások • Ethical...
![Page 1: Ethical Hacking - Silent Signal - Kezdőlap · 2017. 5. 25. · 3 Meghatározások • Ethical hacking Írásos megbízás, hacker technikák, bizt. szint növelése • Penetration](https://reader033.fdocuments.in/reader033/viewer/2022051903/5ff4efc8119cce29081652c7/html5/thumbnails/1.jpg)
Ethical Hacking
“Give Me Shell or Give Me Death”
Pánczél Zoltán, CISSP,OSCP,[email protected]
1
Thursday, April 22, 2010
![Page 2: Ethical Hacking - Silent Signal - Kezdőlap · 2017. 5. 25. · 3 Meghatározások • Ethical hacking Írásos megbízás, hacker technikák, bizt. szint növelése • Penetration](https://reader033.fdocuments.in/reader033/viewer/2022051903/5ff4efc8119cce29081652c7/html5/thumbnails/2.jpg)
2010.04.21 Pánczél Zoltán / ZMNE 2
Tartalomjegyzék
MeghatározásokVizsgálati lehetőségekVizsgálati eredményekProblémákNemzetközi módszertanokEsettanulmányokEszközök
Thursday, April 22, 2010
![Page 3: Ethical Hacking - Silent Signal - Kezdőlap · 2017. 5. 25. · 3 Meghatározások • Ethical hacking Írásos megbízás, hacker technikák, bizt. szint növelése • Penetration](https://reader033.fdocuments.in/reader033/viewer/2022051903/5ff4efc8119cce29081652c7/html5/thumbnails/3.jpg)
3
Meghatározások
• Ethical hackingÍrásos megbízás, hacker technikák, bizt. szint növelése
• Penetration testingHozzáférés szerzése, védelmi megoldások kikerülése
• Biztonsági felmérés Sérülékenység azonosítása, papír hack :)
2010.04.21 Pánczél Zoltán / ZMNE
Thursday, April 22, 2010
![Page 4: Ethical Hacking - Silent Signal - Kezdőlap · 2017. 5. 25. · 3 Meghatározások • Ethical hacking Írásos megbízás, hacker technikák, bizt. szint növelése • Penetration](https://reader033.fdocuments.in/reader033/viewer/2022051903/5ff4efc8119cce29081652c7/html5/thumbnails/4.jpg)
Vizsgálati lehetőségek
Információ mennyisége alapján– BlackBox– GreyBox– WhiteBox
Vizsgálat iránya alapján– Külső, internet irányából– Belső, intranet felől
42010.04.21 Pánczél Zoltán / ZMNE
Thursday, April 22, 2010
![Page 5: Ethical Hacking - Silent Signal - Kezdőlap · 2017. 5. 25. · 3 Meghatározások • Ethical hacking Írásos megbízás, hacker technikák, bizt. szint növelése • Penetration](https://reader033.fdocuments.in/reader033/viewer/2022051903/5ff4efc8119cce29081652c7/html5/thumbnails/5.jpg)
Vizsgálat tárgya szerint
• Hálózati teszt• Webes alkalmazás teszt• Vezeték nélküli hálózat• Social Engineering• Kliens oldali biztonsági teszt• Alkalmazás audit• Forráskód analízis
52010.04.21 Pánczél Zoltán / ZMNE
Thursday, April 22, 2010
![Page 6: Ethical Hacking - Silent Signal - Kezdőlap · 2017. 5. 25. · 3 Meghatározások • Ethical hacking Írásos megbízás, hacker technikák, bizt. szint növelése • Penetration](https://reader033.fdocuments.in/reader033/viewer/2022051903/5ff4efc8119cce29081652c7/html5/thumbnails/6.jpg)
Egyéb lehetőségek
• Konfiguráció felülvizsgálata• Architektúra vizsgálat• Interjúztatás
62010.04.21 Pánczél Zoltán / ZMNE
Thursday, April 22, 2010
![Page 7: Ethical Hacking - Silent Signal - Kezdőlap · 2017. 5. 25. · 3 Meghatározások • Ethical hacking Írásos megbízás, hacker technikák, bizt. szint növelése • Penetration](https://reader033.fdocuments.in/reader033/viewer/2022051903/5ff4efc8119cce29081652c7/html5/thumbnails/7.jpg)
Vizsgálati eredmények
• Legtöbb sérülékenység feltárása• Külső támadó mihez férhet hozzá?• Kliens oldali támadások
72010.04.21 Pánczél Zoltán / ZMNE
Thursday, April 22, 2010
![Page 8: Ethical Hacking - Silent Signal - Kezdőlap · 2017. 5. 25. · 3 Meghatározások • Ethical hacking Írásos megbízás, hacker technikák, bizt. szint növelése • Penetration](https://reader033.fdocuments.in/reader033/viewer/2022051903/5ff4efc8119cce29081652c7/html5/thumbnails/8.jpg)
Problémák, kritikák
• Kevés a rendelkezésre álló idő• Nem megfelelő hozzáférés biztosítása• Minimalizált eszköz készlet• Vizsgálatot végző személyek:
– Szakmai hozzáértése, kompetenciája– Helyzetfelismerő képessége
82010.04.21 Pánczél Zoltán / ZMNE
Thursday, April 22, 2010
![Page 9: Ethical Hacking - Silent Signal - Kezdőlap · 2017. 5. 25. · 3 Meghatározások • Ethical hacking Írásos megbízás, hacker technikák, bizt. szint növelése • Penetration](https://reader033.fdocuments.in/reader033/viewer/2022051903/5ff4efc8119cce29081652c7/html5/thumbnails/9.jpg)
Módszertan szerinti vizsgálati lehetőségek
• Open Source Security Testing Methodology Manual (OSSTMM)
• NIST Special Publication 800-42: Guideline to Network Security Testing
• Open Web Application Security Project (OWASP) Testing Guide
• Penetration Testing Framework
92010.04.21 Pánczél Zoltán / ZMNE
Thursday, April 22, 2010
![Page 10: Ethical Hacking - Silent Signal - Kezdőlap · 2017. 5. 25. · 3 Meghatározások • Ethical hacking Írásos megbízás, hacker technikák, bizt. szint növelése • Penetration](https://reader033.fdocuments.in/reader033/viewer/2022051903/5ff4efc8119cce29081652c7/html5/thumbnails/10.jpg)
Esettanulmány Levelező rendszer
• Iskolapélda kezdőknek• Perzisztens XSS• SQL injection (szinte mindenhol)• Plain text jelszavak (millió)• Végső csapás, SQL rootként
102010.04.21 Pánczél Zoltán / ZMNE
Thursday, April 22, 2010
![Page 11: Ethical Hacking - Silent Signal - Kezdőlap · 2017. 5. 25. · 3 Meghatározások • Ethical hacking Írásos megbízás, hacker technikák, bizt. szint növelése • Penetration](https://reader033.fdocuments.in/reader033/viewer/2022051903/5ff4efc8119cce29081652c7/html5/thumbnails/11.jpg)
Esettanulmány Pénzintézet
• Feltöltés funkció hibája• Kliens oldali ellenőrzés • Jogosultsági problémák miatt adminisztrátori
hozzáférés
112010.04.21 Pánczél Zoltán / ZMNE
Thursday, April 22, 2010
![Page 12: Ethical Hacking - Silent Signal - Kezdőlap · 2017. 5. 25. · 3 Meghatározások • Ethical hacking Írásos megbízás, hacker technikák, bizt. szint növelése • Penetration](https://reader033.fdocuments.in/reader033/viewer/2022051903/5ff4efc8119cce29081652c7/html5/thumbnails/12.jpg)
Esettanulmány Tartalom szolgáltató
• Feltöltési hiba• Fejlesztői hibák• Hozzáférés vezérlési problémák• Gyenge jelszó policy, algoritmus
122010.04.21 Pánczél Zoltán / ZMNE
Thursday, April 22, 2010
![Page 13: Ethical Hacking - Silent Signal - Kezdőlap · 2017. 5. 25. · 3 Meghatározások • Ethical hacking Írásos megbízás, hacker technikák, bizt. szint növelése • Penetration](https://reader033.fdocuments.in/reader033/viewer/2022051903/5ff4efc8119cce29081652c7/html5/thumbnails/13.jpg)
Hálózati érdekesség
• Eltérítés, lehallgatás?• ARP spoofing (Cain, Ettercap)• Routing protokollok hibái• Videó
132010.04.21 Pánczél Zoltán / ZMNE
Thursday, April 22, 2010
![Page 14: Ethical Hacking - Silent Signal - Kezdőlap · 2017. 5. 25. · 3 Meghatározások • Ethical hacking Írásos megbízás, hacker technikák, bizt. szint növelése • Penetration](https://reader033.fdocuments.in/reader033/viewer/2022051903/5ff4efc8119cce29081652c7/html5/thumbnails/14.jpg)
Kliens oldali támadás
• Egyre gyakoribb• Szinte minden szoftver érintett• Felhasználói beavatkozás szükséges(SE)• Szinte észrevehetetlen• Video
142010.04.21 Pánczél Zoltán / ZMNE
Thursday, April 22, 2010
![Page 15: Ethical Hacking - Silent Signal - Kezdőlap · 2017. 5. 25. · 3 Meghatározások • Ethical hacking Írásos megbízás, hacker technikák, bizt. szint növelése • Penetration](https://reader033.fdocuments.in/reader033/viewer/2022051903/5ff4efc8119cce29081652c7/html5/thumbnails/15.jpg)
Exploit írás
• Miért szükséges? (POC)• Stack overflow• Alapok a megértéshez (memória,
regiszterek, assembly)• Debugger a hiba azonosítására
152010.04.21 Pánczél Zoltán / ZMNE
Thursday, April 22, 2010
![Page 16: Ethical Hacking - Silent Signal - Kezdőlap · 2017. 5. 25. · 3 Meghatározások • Ethical hacking Írásos megbízás, hacker technikák, bizt. szint növelése • Penetration](https://reader033.fdocuments.in/reader033/viewer/2022051903/5ff4efc8119cce29081652c7/html5/thumbnails/16.jpg)
Köszönöm megtisztelő figyelmüket!
Pánczél Zoltán, CISSP,OSCP,[email protected]
http://www.silentsignal.hu
Thursday, April 22, 2010