Technical-audits en monitoring: simpele, effectieve voorbeelden

Transcriptie

1 CONCEPT VURORE/NOREA IT Audit Themadag Technical-audits en monitoring: simpele, effectieve voorbeelden Petr Kazil EDP Audit Pool

2 Verwachtingsmanagement - Disclaimer! Praktijkervaringen : Informeel : Ongesorteerd Techniek : Windows : Active Directory Spelen met vragen : 1: Frequentie interne incidenten? 2: Detectie misbruik? 3: Detectie zwakke plekken? Interne systemen Externe websites Windows infrastructuren Demo s alleen als tijd over! Alles staat in sheets. Dia 2

3 Vraag 1 : Frequentie interne incidenten Ik denk niet dat de infrastructuur wordt misbruikt Nou, we merken nooit wat van misbruik Vicieuze cirkel Meet- of detecteer je misbruik proactief? Hoe kun je het dan zeker weten? Niet echt Dia 3

4 Vraag 1 : Klassieke interne fraude Fraude vaak niet gezien / gemeld Geen kennis van fraude 66% Wel kennis van fraude 34% Niet gemeld 61% Wel gemeld 14% Soms gemeld 25% Iemand anders had het gemeld Bezorgd over reactie collega s Bezorgd over positie in bedrijf Gebruiken / stelen bezit bedrijf Te hoge / privé declaraties Declareren niet gewerkte tijd Bron: Kennis van fraude in bedrijven, Regioplan publicatienr.1166, respondenten Dia 4

5 Vraag 1 : Klassieke fraude - controle & toezicht Krantenartikel zomer 2006: Samen de kassa van de baas plunderen PwC constateerde in zijn jaarlijkse onderzoek dat in 2005 de helft van de plegers van een economisch delict uit de eigen onderneming afkomstig is. 'De fraude die we niet kennen neemt toe', zegt Bob Hoogenboom (forensische studies Nivra-Nyenrode). 'Wat we zien is het topje van de ijsberg. We weten steeds minder over de aard en omvang van fraude. Werknemers hebben recht op vertrouwen, maar ook op controle. Dia 5

6 Vraag 1 : ICT misbruik eerste poging Krantenartikelen 2005/6 (Lexis/Nexis) Security mailing lijsten (SANS/Govcert) Conferenties / presentatie / publicaties Niet iedereen integer (ook ambtenaren niet) Niet alle infrastructuren goed beveiligd Aanvallers worden slimmer Schadelijke software slimmer en onzichtbaar Criminelen verdienen geld met ICT / data Dia 6

7 1: Life-cycle van beveiligingsincidenten Gelegenheid Middelen Motief Extern Intern Hacker Beheerder Misbruik Detectie Medewerker Het hele plaatje is redelijk in te vullen met gerenommeerd en recent onderzoek! Dia 7

8 1: Onderzoeken public domain Dia 8

9 Dia 9

10 Extern versus intern : Bron: The Information Security Breaches Survey 2006, UK Department of Trade and Industry, PricewaterhouseCoopers Dia 10

11 Extern misbruik Bron: The ASIS Foundation Security Report: Scope and Emerging Trends, ASIS, 2005 Dia 11

12 Intern misbruik Dia 12

13 Dia 13

14 Motief : Kijk wat ik kan Wraak Misbruik middelen Financieel Dia 14

15 Oorzaak : Laag beveiligingsbewustzijn Zwakke beveiliging Dia 15

16 Gelegenheid : Weinig goede beheerders Weinig kennis/opleiding staf Slecht ingerichte systemen Dia 16

17 ICT-Beheerders extra risicobron Hoge bevoegdheden + Weinig functiescheiding Veel externen + Weinig screening Veel vertrouwen + Weinig toezicht Vreemde werktijden Remote beheertoegang Complexiteit en specialisme werkgebied Praktijkvoorbeelden sabotage: Backdoor toegang Logische bommen Meestal pas achteraf ontdekt, toen storing optrad Bron: Insider Threat Study: Computer System Sabotage in Critical Infrastructure Sectors, May 2005, Software Engineering Institute, National Threat Assessment Center Dia 17

18 Gangbare detectie = voorspelbaar Detectiesoftware logging+monitoring periodieke audit scans Beter dan ons gevoel! Dia 18

19 Detectie percentage : 90%? Klopt met eigen informele navraag Omdat men denkt dat er zeer weinig incidenten zijn! Maar is dat gevoel terecht? Volgens ons gevoel niet! Dia 19

20 Vraag 1 : Mogelijke conclusies Organisatie kan niet zonder vertrouwen maar: Beheerders en gebruikers hebben recht op toezicht Actief ontdekken en opsporen van : Aanvallen - Bewust Misbruik Toe-eigenen van functionaliteit Slordigheden - Gemakzucht Interne controle? Taak IT-Auditor? Of niet? Consistent met klassieke fraude literatuur Dia 20

21 Vraag 1 : Mogelijk vervolg? Belastingdienst : Jaarlijkse trendanalyse! Norea? IT-Audit opleidingen? Dia 21

22 Inhoud 1: Frequentie interne incidenten? 2: Detectie misbruik? 3: Detectie zwakke plekken? Externe websites Windows infrastructuren Interne systemen Dia 22

23 Vraag 2: Detectie - Analyse Windows logfiles Elke Windows server houdt (minimaal) 3 logfiles bij : Zitten vol met interessante informatie Vooral security log interessant voor auditors Beheerders: Kijken meestal achteraf naar logfiles analyse storingen Kijken vooral naar application en system logs Dia 23

24 2: Analyse Windows logfiles Dia 24

25 Wat staat analyse in de weg? Logs verspreid over vele systemen Soms meer dan 50 Domain Controllers Logfiles zijn groot 100Mb en meer Events zijn technisch Onduidelijk welke events kritisch zijn Microsoft levert nu bruikbare hulpmiddelen Gratis! Dia 25

26 Welke events zijn belangrijk? In 2005 heeft Microsoft richtlijnen uitgebracht voor loganalyse Voor de eerste keer! Dia 26

27 2: Welke events zijn belangrijk? Dia 27

28 2: Hoe haal je de kritische events er uit? Microsoft tool : Logparser Leest gestructureerde bestanden en selecteert gegevens op basis van SQL-queries Krachtige en toch eenvoudige programmeertaal Is in een dag te leren (eigen ervaring) Verbazingwekkend snel Dia 28

29 2: Selectie van succesvolle logins Uitstekende help files van Microsoft Query is met trial en error in een kwartier te knutselen Dia 29

30 2: Selectie van succesvolle logins Dia 30

31 2: Verzamelen van files Dia 31

32 Wat kun je zo uit de files halen Handelingen van beheerders Aanmaken van accounts en groepen Wijzigen van policies Wie doen beheer en zijn ze geautoriseerd Handelingen van gebruikers Login / logout Toegang tot bestanden Mogelijke aanvallen / misbruik Mislukte toegangspogingen Grootschalige toegangspogingen Vreemde tijden Prima bestaanscontrole! Dia 32

33 Vraag 2 : Detectie : Het ideaal Scripts die wekelijks draaien Event comb Log parser Samen vatting Beheerders Queries Auditors volgens Microsoft Controle werking wordt mogelijk! Dia 33

34 Vraag 2 : Mogelijk vervolg? Norea? IT-Audit opleidingen? Centraal tools beoordelen en aanbevelen? Centraal richtlijnen voor monitoring opstellen? Aantoonbaar: Bent U in control? Dia 34

35 Inhoud 1: Frequentie interne incidenten? 2: Detectie misbruik? 3: Detectie zwakke plekken? Interne systemen Externe websites Windows infrastructuren Dia 35

36 3a : Interne scan Grootschalige port scan Handmatig nalopen van resultaten Nmap / superscan Auditor Zoeken van de foute systemen Dia 36

37 3a : Vergeten en heel oude servers Dia 37

38 Webtoegang tot servers Dia 38

39 Webtoegang tot servers Dia 39

40 Beheer interfaces Dia 40

41 Beheer-interfaces Dia 41

42 Niet beveiligde printers Dia 42

43 Oracle : wachtwoord = accountnaam Op (xxx.bd.minxxx.local) zijn accounts aanwezig met wachtwoord gelijk aan de accountnaam. Het is mogelijk om in te loggen en de structuur van de database tabellen te zien. Dia 43

44 Netwerkbeheer default wachtwoord Dia 44

45 FTP-server : personeelsgegevens open Op server ka5xxx04 is een anoniem toegankelijke FTP-server aangetroffen met back-up bestanden van een personeelsdatabase (sofinummers, bankrekeningnummers, salarisgegevens, ziekteverzuim). Dia 45

46 Gevonden gegevens In meerdere onderzoeken aangetroffen! Dia 46

47 Interne vulnerability scan GFI Languard Eenvoudig tool Niet heel kostbaar Maar kan toch heel enge resultaten aan het licht brengen Dia 47

48 Interne vulnerability scan Gebruikers die heel lang niet hebben ingelogd Zouden die nog op initieel wachtwoord staan? Zou het wachtwoord te raden zijn? Dia 48

49 Wachtwoorden raden User Applixservice --- applix -i User aquard --- aquard -i User BHRD --- admin -i User Srv_KaUser --- = -i omgekeerd - User Srv_InstallXP --- install -i User Srv_OSDService --- service -i User XpEnteo --- enteo -i --- User xpfunctioneel1 --- = -i User xpfunctioneel2 --- xpfunctioneel -i User xpfunc3 --- = -i User xpfunctioneel5 --- beheer -i User xpfunctioneel6 --- = -i User xpfunctioneel7 --- admin -i User xpfunctioneel8 --- windowsxp -i User xpfunctioneel9 --- welkom -i User xpfunctioneel tester -i User xptech2 --- = -i User xptech3 --- xptech -i User xptech4 --- tester -i User xptech5 --- testnummer5 -i User xptech6 --- gebruiker -i User xptech8 --- xptech8 -i User xptech9 --- welkom -i User xpintake1 --- xpintake -i User xpintake2 --- welkom -i User xpintake3 --- = -i User xpintake4 --- geheim -i User xptech1 --- project -i User momoperator --- = - User pkmuser user06 > geheim User pkmuser User pkmuser qwerty - User pkmuser user09 ***** > geheim User pkmuser user06 > geheim User pkmuser User pkmuser qwerty - User pkmuser user09 > geheim Toen ik er aan begon dacht ik niet dat het zou lukken Geduld nodig, score : 20 keer proberen om één wachtwoord te raden Uiteindelijk Domain Admin wachtwoord geraden GAME OVER! Dia 49

50 3a : Niet goed! Maar hoe komt dit? Ik wist niet dat dit aanwezig was Als het werkt is het goed genoeg Als ik het kan bedienen is het goed genoeg Gebrek aan tijd, belangstelling, hobbyisme Complexiteit infrastructuren Versnippering beheerorganisaties Even snel iets oplossen en dan vergeten Rol voor IT- Auditor? Dus: Controle en toezicht is nuttig! Dia 50

51 Inhoud 1: Frequentie interne incidenten? 2: Detectie misbruik? 3: Detectie zwakke plekken? Interne systemen Externe websites Windows infrastructuren Dia 51

52 3b : Webserver scans Geldt al jaren lang! Openingen in firewall voor buitenwereld naar webservers en webapplicaties Denk aan : subsidieaanvraag systemen, databanken met regelingen, milieu-informatie etc. Kwetsbaarheden in achterliggende systemen niet afgeschermd door firewall Dia 52

53 Detectie in Webinspect Webinspect : Loopt meest voor de hand liggende fouten na Dia 53

54 Voorbeelden : Installeren en vergeten En hoe zit het met de patches en updates? Dia 54

55 Voorbeeld : Niet-uitgezette functies Logging en monitoring voor iedereen bereikbaar niet gevaarlijk, maar niet netjes Dia 55

56 Cross-site scripting : stelen wachtwoorden Dia 56

57 Scripts die foute invoer accepteren : Toegang tot commandoregel! Ook mogelijk : - Opvragen wachtwoord bestand - Lezen en plaatsen van bestanden - Inloggen Dia 57

58 3b: Waarom gebeurt dit? Web-technologie is vriendelijk : Applicatie is snel in de lucht Kant-en-klare functies en modules Snel te downloaden Kwaliteit niet bekend Beheerders : Geen detailkennis nodig Geen gevoel voor de risico s Dus: Toezicht is nuttig! Dia 58

59 Inhoud 1: Frequentie interne incidenten? 2: Detectie misbruik? 3: Detectie zwakke plekken? Interne systemen Externe websites Windows infrastructuren Dia 59

60 3c : Windows / Active Directory Servers Werkstations Users Groepen Policies Beveiliging Hoe audit je dit monster? Dia 60

61 3c : Ideaal : Audit versnellen CSVDE Tool: Auditor vraagt beheerder om één bestand te dumpen en te mailen Standaard commando op Windows Kost beheerder nauwelijks tijd Auditor analyseert bestand met CSVDE tool Auditor krijgt automatisch samenvatting van belangrijkste gegevens Doorlooptijd audit : slechts enkele uren Kan maandelijks : toezicht op WERKING Waarschuwing : Ik maak reclame voor eigen product! Maar het is goed bedoeld Dia 61

62 Dump CSVDE bestand (stap 1-2) Commando: csvde f uitvoer.txt Dia 62

63 Inhoud CSVDE files (Bijna) Alles wat auditor over Windows en Active Directory wil weten Dia 63

64 Analyse CSVDE bestand (stap 3) Open het CSVDE bestand testfiles/analyzecsvde Programma leest bestand en vertaalt inhoud naar leesbaar formaat Dia 64

65 Analyse CSVDE bestand stap 3 Lijst van uitvoerbestanden : samenvatting details leesbaar in Excel Dia 65

66 Uitvoer : Domain policy stap 4 Dia 66

67 Uitvoer : Statistieken users en groepen Dia 67

68 Uitvoer : Statistieken computers Dia 68

69 Uitvoer : Speciale beheeraccounts Dia 69

70 Uitvoer : Slapende users Dia 70

71 Uitvoer : Recent gemaakte objecten En nog veel meer Dia 71

72 Extra opties : niet-persoonsgebonden accts. Met behulp van uitgebreide namenlijsten wordt onderscheid gemaakt tussen personen en nietpersonen Dia 72

73 Extra opties : niet-persoonsgebonden accts. Dia 73

74 Extra opties : niet-persoonsgebonden accts. Dia 74

75 3c : Audit zinvol? Structureel vinden wij : Beheerders die wachtwoord wijziging uitzetten Hoge managers die wachtwoord wijziging (laten?) uitzetten Veel testaccounts en tijdelijke accounts Veel slapende accounts Dus: Toezicht is nuttig! Dia 75

76 Vraag 3 : Mogelijk vervolg? Norea? IT-Audit opleidingen? Centraal tools beoordelen en aanbevelen? Ervaringen over meest gangbare zwakke plekken uitwisselen? Oorzaken zwakke plekken structureel analyseren? Meer theorievorming? Dia 76

77 Samenvatting Detectie en toezicht blijven nuttig Informatie over actuele risico s aanwezig Relatief eenvoudige onderzoeken leveren veel op Tools zijn er genoeg Experimenten zijn zinvol Dia 77