SlideShare a Scribd company logo

Alex Eden - Не доверяй и проверяй

UISGCON , profile picture
UISGCON

Документ обсуждает проблемы кибербезопасности и дает рекомендации по улучшению защиты данных, включая методологии тестирования на проникновение и оценку уязвимостей. Он подчеркивает важность постоянной подготовки к рискам и эффективности средств безопасности, а также освещает примеры уязвимостей в системах. В заключение, автор делится личными контактами и профессиональными сертификатами.

1 of 21
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Не доверяй и проверяй Американский опыт из части «проверяй» Алекс Идэн, РиМаКом
Вступление
Вступление • Колледж • Первая работа • Первый компютер (SS20)
APT (ПуПСик) • Постоянные Угрозы Повышенной Сложности – ПуПСик • Профессионалы безопасности: «от ЭйПиТи невозможно защититься» • Бизнес менеджеры реагируют
Закон Мёрфи • Закон Мёрфи: если есть вероятность того, что какая-нибудь неприятность может случиться, то она обязательно произойдёт.
«Судьба» или риск менеджмент • Взлом был всегда возможен • Остаточный риск • Безопасность на бумаге и безопасность в дата центре • Как удостоверится, что все контроли работают как и ожидается • Роль комплексной оценки
Семантика • Пентест (испытание на проникновение): – Главная цель ***проникновение*** – Проверка всех хостов – не цель – Проверка всех дыр – не цель • Оценка на уязвимость: – Главная цель ***оценка*** – Проверка всех хостов и приложений – Проверка всех дыр
Методологии • OSSTMM – детальная, бесплатная • NIST SP 800-115 – менее детальный, бесплатная; для правительственных организаций
Методология • Исследование цели • Зондирование цели • Идентификация цели • Оценка уязвимостей • Верификация (Эксплуатация) уязвимостей • Восстановление систем • Внешняя и внутренние фазы
Важные бизнес «мелочи» • Rules of Engagement • Детальный план тестирования • Процедура поддержания связи • Формат и частота отчётов • Whole Disk Encryption или Truecrypt контейнеры • Исключеные сети и системы
«Запорожец» или «Бумер»?
«Запорожец» или «Бумер»? • Оба могут выполнить задачу... • Скупой платит дважды • Ни один инструмент не гарантирует выполнение задачи
Аккаунты/пароли вендоров
Проблемы конфигурации • Огромный супер принтер, который сохранял всё, что печатал на открытой NFS share. Было найдено много абсолютно конфиденциальных документов.
Классическая Инъекция • 87 веб серверов: в пентесте выбирают low-hanging fruit, самое слабое звено в цепи • Маловажное веб приложение позволило классическую SQL Injection, но без прав админа
Информация куки в чистом виде • К счастью, это можно было исправить изменив значение переменной UserLevel в куке • Админ доступ дал доступ к паролям 40 других пользователей в чистом, не зашифрованном виде • 2 из этих паролей сработали на Ситрикс сервере и на VPN сервере • Они же оказались админами в Active Directory..... Та-да-а- а-а!
Persistent XSS • Здесь ещё одна классика: persistent XSS (чаще встречаются только reflected XSS) • Крадём идентификатор сессии админа, создаём у себя куки с этим идентификатором, и владеем сервером....
JBOSS • Сервер JBOSS, на котором «забыли» защитить деплойер • Анонимный пользователь мог внедрить любое приложение написаное в JAVA; мы внедрили простую шел
JBOSS • На Интернете не мало уязвимых JBOSS серверов • На ноутбуке мы быстро сделали наипростейшее шел приложение • Потом установили это на JBOSS сервер • Последний шаг... ревёрс шэл... (фантазия не бохатая)
В заключение • Зубы нужно чистить, желательно после каждого приёма пищи, даже если к вечеру они опять загрязнятся... • Нужно постоянно готовиться к защите от ПуПСика, пока это рентабельно. • Комплексная оценка безопасности всегда самый эффективный способ удостовериться, что ваши средства безопасности «ловят мышей». • Комерческие инструменты, в большинстве случаев, экономят деньги и повышают эффективность • Правильное проектное управление экономит деньги ***всегда***
Буду рад вашим бизнес предложениям! • Fishing – не Phishing… • Организую рыбалку в следующие выходные (на форель недалеко от Киева) • Alex.eden@rimacom.com • Мои профессиональные сертификаты: CISSP, CISM, PMP, и несколько других • 063-149-1776 (Киев) • 097-441-5414 (Киев)

More Related Content

PPTX
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
Clouds NN
 
PPS
ESET. Сергей Федоров. "ESET. Просто. Удобно. Надежно "
Expolink
 
PDF
InterSystems High Availability and Mirroring solutions
InterSystems
 
PPTX
Почему вам не нужен SOC
Kirill Ermakov
 
PDF
Роман Еникеев - PHP обязан умирать
DataArt
 
PPTX
Нагрузочное тестирование по-живому
Anton Stepanenko
 
PDF
HappyDev-lite-2016-осень, день 2 01 Денис Нелюбин. Жизнь после релиза
HappyDev-lite
 
PPTX
Rubicon
cnpo
 
CloudsNN 2014. Демидов Александр. Заоблачная безопасность: как обойти чужие г...
Clouds NN
 
ESET. Сергей Федоров. "ESET. Просто. Удобно. Надежно "
Expolink
 
InterSystems High Availability and Mirroring solutions
InterSystems
 
Почему вам не нужен SOC
Kirill Ermakov
 
Роман Еникеев - PHP обязан умирать
DataArt
 
Нагрузочное тестирование по-живому
Anton Stepanenko
 
HappyDev-lite-2016-осень, день 2 01 Денис Нелюбин. Жизнь после релиза
HappyDev-lite
 
Rubicon
cnpo
 

What's hot (20)

PDF
SECON'2017, Щеглова Нина, Как мы делаем это: тестирование в ecommerce междуна...
SECON
 
PPT
Compliance manamement for real security
guest787c89
 
PPT
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Positive Hack Days
 
PPTX
Алгоритмы пентестов. BaltCTF 2012
beched
 
PPTX
AgileCamp'11 Новосибирск - Unit Tests
Anton Katkov
 
PDF
Стачка 2017: Golang – опыт промышленной разработки
Yuriy Vasiyarov
 
ODP
enterprize yoba jabber bot
zxcby
 
ODP
DevOps в реальном времени
Andriy Samilyak
 
PPTX
МЭ и СОВ Рубикон
cnpo
 
PDF
Олег Миколайченко "Как перестать хранить секреты в git и начать использовать ...
Fwdays
 
PDF
Никита Галкин "Ловушки микросервисной архитектуры"
Fwdays
 
PPTX
Курс Java-2016. Занятие 05. Тестирование и Java
7bits
 
PDF
Максим Лапшин. Erlang production
Alina Dolgikh
 
PPTX
Подход QIWI к проведению тестирования на проникновение
Kirill Ermakov
 
PDF
Prometheus мониторинг микросервисных приложений / Виталий Левченко
Ontico
 
PPTX
Sqa days2010 polazhenko_osstm
Alexei Lupan
 
PDF
Отладка и эксплуатация Rails-приложений
Egor Baranov
 
PPTX
Как перестать хранить секреты в git и начать использовать Hashicorp Vault
Oleg Mykolaichenko
 
PDF
#MBLTdev: Безопасность iOS-устройств (viaForensics)
e-Legion
 
PDF
JavaScript Unit Testing Using Jasmine And Tools
2ГИС Технологии
 
SECON'2017, Щеглова Нина, Как мы делаем это: тестирование в ecommerce междуна...
SECON
 
Compliance manamement for real security
guest787c89
 
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Positive Hack Days
 
Алгоритмы пентестов. BaltCTF 2012
beched
 
AgileCamp'11 Новосибирск - Unit Tests
Anton Katkov
 
Стачка 2017: Golang – опыт промышленной разработки
Yuriy Vasiyarov
 
enterprize yoba jabber bot
zxcby
 
DevOps в реальном времени
Andriy Samilyak
 
МЭ и СОВ Рубикон
cnpo
 
Олег Миколайченко "Как перестать хранить секреты в git и начать использовать ...
Fwdays
 
Никита Галкин "Ловушки микросервисной архитектуры"
Fwdays
 
Курс Java-2016. Занятие 05. Тестирование и Java
7bits
 
Максим Лапшин. Erlang production
Alina Dolgikh
 
Подход QIWI к проведению тестирования на проникновение
Kirill Ermakov
 
Prometheus мониторинг микросервисных приложений / Виталий Левченко
Ontico
 
Sqa days2010 polazhenko_osstm
Alexei Lupan
 
Отладка и эксплуатация Rails-приложений
Egor Baranov
 
Как перестать хранить секреты в git и начать использовать Hashicorp Vault
Oleg Mykolaichenko
 
#MBLTdev: Безопасность iOS-устройств (viaForensics)
e-Legion
 
JavaScript Unit Testing Using Jasmine And Tools
2ГИС Технологии
 
Ad

Viewers also liked (6)

PDF
Adrian Furtuna - Practical exploitation of rounding vulnerabilities in intern...
DefconRussia
 
PDF
Tomas Hlavacek - IP fragmentation attack on DNS
DefconRussia
 
PDF
Nedospasov photonic emission analysis
DefconRussia
 
PDF
Anton Alexanenkov - Tor and Botnet C&C
DefconRussia
 
PDF
static - defcon russia 20
DefconRussia
 
PDF
Zn task - defcon russia 20
DefconRussia
 
Adrian Furtuna - Practical exploitation of rounding vulnerabilities in intern...
DefconRussia
 
Tomas Hlavacek - IP fragmentation attack on DNS
DefconRussia
 
Nedospasov photonic emission analysis
DefconRussia
 
Anton Alexanenkov - Tor and Botnet C&C
DefconRussia
 
static - defcon russia 20
DefconRussia
 
Zn task - defcon russia 20
DefconRussia
 
Ad

Similar to Alex Eden - Не доверяй и проверяй (20)

PPTX
Информационная безопасность в веб - основы
Alex Chistyakov
 
PDF
Адаптивная модель кибербезопасности для цифрового предприятия
Альбина Минуллина
 
PPTX
Как взломать вашу компанию в 3 клика
Vitaliy Yakushev
 
PPT
Безопасность веб-приложений сегодня
Dmitry Evteev
 
PPT
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
rit2011
 
PPTX
Как увидеть невидимые инциденты
Positive Hack Days
 
PDF
Как обеспечить безопасность клиентских сайтов
revisium
 
PDF
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Банковское обозрение
 
PDF
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Dmytro Petrashchuk
 
PPTX
Secure development
Ihor Uzhvenko
 
PDF
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
SEO Conference
 
PPTX
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
LETA IT-company
 
PDF
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Aleksey Lukatskiy
 
PPTX
Безопасность ИТ и приложений (Microsoft 2017)
Alexey Kachalin
 
PDF
OWASP: безопасное программирование на PHP.
EatDog
 
PDF
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex
 
PDF
11 лекция, петр волков
karina krew
 
PPTX
Security testing presentation
Uladzislau Murashka
 
PPTX
Информационная НЕбезопасность предприятия
Vasyl Melnychuk
 
PPTX
Softline: Информационная безопасность
Softline
 
Информационная безопасность в веб - основы
Alex Chistyakov
 
Адаптивная модель кибербезопасности для цифрового предприятия
Альбина Минуллина
 
Как взломать вашу компанию в 3 клика
Vitaliy Yakushev
 
Безопасность веб-приложений сегодня
Dmitry Evteev
 
безопасность веб приложений сегодня. дмитрий евтеев. зал 4
rit2011
 
Как увидеть невидимые инциденты
Positive Hack Days
 
Как обеспечить безопасность клиентских сайтов
revisium
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Банковское обозрение
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Dmytro Petrashchuk
 
Secure development
Ihor Uzhvenko
 
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
SEO Conference
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
LETA IT-company
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Aleksey Lukatskiy
 
Безопасность ИТ и приложений (Microsoft 2017)
Alexey Kachalin
 
OWASP: безопасное программирование на PHP.
EatDog
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex
 
11 лекция, петр волков
karina krew
 
Security testing presentation
Uladzislau Murashka
 
Информационная НЕбезопасность предприятия
Vasyl Melnychuk
 
Softline: Информационная безопасность
Softline
 

More from UISGCON (20)

PPT
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
UISGCON
 
PPTX
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
UISGCON
 
PPTX
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
UISGCON
 
PPT
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...
UISGCON
 
PPT
Mark Arena - Cyber Threat Intelligence #uisgcon9
UISGCON
 
PPTX
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9
UISGCON
 
PPTX
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
UISGCON
 
PPT
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
UISGCON
 
PPT
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9
UISGCON
 
PDF
Владимир Гнинюк - Управление Риском: Почему не работает?
UISGCON
 
PDF
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
UISGCON
 
PPSX
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
UISGCON
 
PDF
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
UISGCON
 
PDF
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...
UISGCON
 
PDF
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
UISGCON
 
PDF
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
UISGCON
 
PDF
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
UISGCON
 
PDF
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
UISGCON
 
PDF
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
UISGCON
 
PDF
Константин Корсун - Общественная организация UISG: что это и для чего?
UISGCON
 
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
UISGCON
 
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
UISGCON
 
Mikhail Kader - Можно ли обеспечить безопасность облачных вычислений? #uisgcon9
UISGCON
 
Mikhail Emelyannikov - А Вы готовы обменять свою приватность на безопасность ...
UISGCON
 
Mark Arena - Cyber Threat Intelligence #uisgcon9
UISGCON
 
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9
UISGCON
 
Dmitriy Ponomarev - Thinking outside the box #uisgcon9
UISGCON
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
UISGCON
 
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9
UISGCON
 
Владимир Гнинюк - Управление Риском: Почему не работает?
UISGCON
 
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
UISGCON
 
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
UISGCON
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
UISGCON
 
Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционно...
UISGCON
 
Александр Дмитриев - Практические аспекты внедрения системы менеджмента инфор...
UISGCON
 
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
UISGCON
 
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
UISGCON
 
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
UISGCON
 
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...
UISGCON
 
Константин Корсун - Общественная организация UISG: что это и для чего?
UISGCON
 

Alex Eden - Не доверяй и проверяй

  • 1. Не доверяй и проверяй Американский опыт из части «проверяй» Алекс Идэн, РиМаКом
  • 3. Вступление • Колледж • Первая работа • Первый компютер (SS20)
  • 4. APT (ПуПСик) • Постоянные Угрозы Повышенной Сложности – ПуПСик • Профессионалы безопасности: «от ЭйПиТи невозможно защититься» • Бизнес менеджеры реагируют
  • 5. Закон Мёрфи • Закон Мёрфи: если есть вероятность того, что какая-нибудь неприятность может случиться, то она обязательно произойдёт.
  • 6. «Судьба» или риск менеджмент • Взлом был всегда возможен • Остаточный риск • Безопасность на бумаге и безопасность в дата центре • Как удостоверится, что все контроли работают как и ожидается • Роль комплексной оценки
  • 7. Семантика • Пентест (испытание на проникновение): – Главная цель ***проникновение*** – Проверка всех хостов – не цель – Проверка всех дыр – не цель • Оценка на уязвимость: – Главная цель ***оценка*** – Проверка всех хостов и приложений – Проверка всех дыр
  • 8. Методологии • OSSTMM – детальная, бесплатная • NIST SP 800-115 – менее детальный, бесплатная; для правительственных организаций
  • 9. Методология • Исследование цели • Зондирование цели • Идентификация цели • Оценка уязвимостей • Верификация (Эксплуатация) уязвимостей • Восстановление систем • Внешняя и внутренние фазы
  • 10. Важные бизнес «мелочи» • Rules of Engagement • Детальный план тестирования • Процедура поддержания связи • Формат и частота отчётов • Whole Disk Encryption или Truecrypt контейнеры • Исключеные сети и системы
  • 12. «Запорожец» или «Бумер»? • Оба могут выполнить задачу... • Скупой платит дважды • Ни один инструмент не гарантирует выполнение задачи
  • 14. Проблемы конфигурации • Огромный супер принтер, который сохранял всё, что печатал на открытой NFS share. Было найдено много абсолютно конфиденциальных документов.
  • 15. Классическая Инъекция • 87 веб серверов: в пентесте выбирают low-hanging fruit, самое слабое звено в цепи • Маловажное веб приложение позволило классическую SQL Injection, но без прав админа
  • 16. Информация куки в чистом виде • К счастью, это можно было исправить изменив значение переменной UserLevel в куке • Админ доступ дал доступ к паролям 40 других пользователей в чистом, не зашифрованном виде • 2 из этих паролей сработали на Ситрикс сервере и на VPN сервере • Они же оказались админами в Active Directory..... Та-да-а- а-а!
  • 17. Persistent XSS • Здесь ещё одна классика: persistent XSS (чаще встречаются только reflected XSS) • Крадём идентификатор сессии админа, создаём у себя куки с этим идентификатором, и владеем сервером....
  • 18. JBOSS • Сервер JBOSS, на котором «забыли» защитить деплойер • Анонимный пользователь мог внедрить любое приложение написаное в JAVA; мы внедрили простую шел
  • 19. JBOSS • На Интернете не мало уязвимых JBOSS серверов • На ноутбуке мы быстро сделали наипростейшее шел приложение • Потом установили это на JBOSS сервер • Последний шаг... ревёрс шэл... (фантазия не бохатая)
  • 20. В заключение • Зубы нужно чистить, желательно после каждого приёма пищи, даже если к вечеру они опять загрязнятся... • Нужно постоянно готовиться к защите от ПуПСика, пока это рентабельно. • Комплексная оценка безопасности всегда самый эффективный способ удостовериться, что ваши средства безопасности «ловят мышей». • Комерческие инструменты, в большинстве случаев, экономят деньги и повышают эффективность • Правильное проектное управление экономит деньги ***всегда***
  • 21. Буду рад вашим бизнес предложениям! • Fishing – не Phishing… • Организую рыбалку в следующие выходные (на форель недалеко от Киева) • [email protected] • Мои профессиональные сертификаты: CISSP, CISM, PMP, и несколько других • 063-149-1776 (Киев) • 097-441-5414 (Киев)