Technical-audits en monitoring: simpele, effectieve voorbeelden

CONCEPT

VURORE/NOREA IT Audit Themadag

Technical-audits en monitoring: simpele, effectieve voorbeelden Petr Kazil – EDP Audit Pool

Verwachtingsmanagement - Disclaimer ! • Praktijkervaringen : Informeel : Ongesorteerd • Techniek : Windows : Active Directory • • • •

Spelen met vragen : 1: Frequentie interne incidenten ? 2: Detectie misbruik ? 3: Detectie zwakke plekken ? – Interne systemen – Externe websites – Windows infrastructuren

Demo’s alleen als tijd over! Alles staat in sheets.

Dia 2

Vraag 1 : Frequentie interne incidenten

Ik denk niet dat de infrastructuur wordt misbruikt

Meet- of detecteer je misbruik proactief ? Vicieuze cirkel Niet echt …

Nou, we merken nooit wat van misbruik …

Hoe kun je het dan zeker weten ? Dia 3

Vraag 1 : Klassieke interne fraude

Fraude vaak niet gezien / gemeld Geen kennis van fraude 66% Wel kennis van fraude 34%

Niet gemeld 61% Wel gemeld 14% Soms gemeld 25%

• Iemand anders had het gemeld • Bezorgd over reactie collega’s • Bezorgd over positie in bedrijf

• Gebruiken / stelen bezit bedrijf • Te hoge / privé declaraties • Declareren niet gewerkte tijd

Bron: Kennis van fraude in bedrijven, Regioplan publicatienr.1166, 2004 – 503 respondenten Dia 4

Vraag 1 : Klassieke fraude - controle & toezicht • Krantenartikel zomer 2006: “Samen de kassa van de baas plunderen” • PwC constateerde in zijn jaarlijkse onderzoek dat in 2005

• de helft van de plegers van een economisch delict uit de eigen onderneming afkomstig is. • 'De fraude die we niet kennen neemt toe', zegt Bob Hoogenboom (forensische studies Nivra-Nyenrode). 'Wat we zien is het topje van de ijsberg.

• We weten steeds minder over de aard en omvang van fraude.‘ • Werknemers hebben recht op vertrouwen, maar ook op controle. Dia 5

Vraag 1 : ICT misbruik – eerste poging • Krantenartikelen 2005/6 (Lexis/Nexis) • Security mailing lijsten (SANS/Govcert) • Conferenties / presentatie / publicaties • • • • •

Niet iedereen integer (ook ambtenaren niet) Niet alle infrastructuren goed beveiligd Aanvallers worden slimmer Schadelijke software slimmer en onzichtbaar Criminelen verdienen geld met ICT / data Dia 6

1: Life-cycle van beveiligingsincidenten

Gelegenheid Middelen Motief

Extern

Hacker

Beheerder

Misbruik

Detectie

Intern Medewerker

Het hele plaatje is redelijk in te vullen met gerenommeerd en recent onderzoek ! Dia 7

1: Onderzoeken – public domain

Dia 8

?!*@$!

Dia 9

Extern versus intern : 50-50

Bron: The Information Security Breaches Survey 2006, UK Department of Trade and Industry, PricewaterhouseCoopers

Dia 10

Extern misbruik

Bron: The ASIS Foundation Security Report: Scope and Emerging Trends, ASIS, 2005 Dia 11

Intern misbruik

Dia 12

Dia 13

Motief : • “Kijk wat ik kan” • Wraak • Misbruik middelen • Financieel

Dia 14

Oorzaak : • Laag beveiligingsbewustzijn • Zwakke beveiliging

Dia 15

Gelegenheid : • Weinig goede beheerders • Weinig kennis/opleiding staf • Slecht ingerichte systemen Dia 16

ICT-Beheerders extra risicobron • Hoge bevoegdheden + Weinig functiescheiding • Veel externen + Weinig screening • Veel vertrouwen + Weinig toezicht – Vreemde werktijden – Remote beheertoegang – Complexiteit en specialisme werkgebied

• Praktijkvoorbeelden sabotage: – “Backdoor toegang” – Logische bommen – Meestal pas achteraf ontdekt, toen storing optrad Bron: Insider Threat Study: Computer System Sabotage in Critical Infrastructure Sectors, May 2005, Software Engineering Institute, National Threat Assessment Center Dia 17

Gangbare detectie = voorspelbaar Detectiesoftware logging+monitoring periodieke audit scans

Beter dan ons gevoel ! Dia 18

Detectie percentage : 90% ?

Klopt met eigen informele navraag Omdat men denkt dat er zeer weinig incidenten zijn! Maar is dat gevoel terecht? Volgens ons gevoel niet !

Dia 19

Vraag 1 : Mogelijke conclusies • Organisatie kan niet zonder vertrouwen maar: – Beheerders en gebruikers hebben recht op toezicht • Actief ontdekken en opsporen van : – Aanvallen - Bewust Misbruik – Toe-eigenen van functionaliteit – Slordigheden - Gemakzucht

Interne controle? Taak IT-Auditor? Of niet?

Consistent met ‘klassieke’ fraude literatuur Dia 20

Vraag 1 : Mogelijk vervolg ? • Belastingdienst : Jaarlijkse trendanalyse ! • Norea ? IT-Audit opleidingen ?

Dia 21

Inhoud • 1: Frequentie interne incidenten ? • 2: Detectie misbruik ? • 3: Detectie zwakke plekken ? – Externe websites – Windows infrastructuren Interne systemen

Dia 22

Vraag 2: Detectie - Analyse Windows logfiles Elke Windows server houdt (minimaal) 3 logfiles bij :

Zitten vol met interessante informatie Vooral “security” log interessant voor auditors Beheerders: Kijken meestal achteraf naar logfiles – analyse storingen Kijken vooral naar “application” en “system” logs Dia 23

2: Analyse Windows logfiles

Dia 24

Wat staat analyse in de weg ?

• Logs verspreid over vele systemen – Soms meer dan 50 Domain Controllers • Logfiles zijn groot – 100Mb en meer • “Events” zijn technisch • Onduidelijk welke events kritisch zijn • Microsoft levert nu bruikbare hulpmiddelen • Gratis ! Dia 25

Welke events zijn belangrijk? • In 2005 heeft Microsoft richtlijnen uitgebracht voor loganalyse • Voor de eerste keer !

Dia 26

2: Welke events zijn belangrijk?

Dia 27

2: Hoe haal je de kritische events er uit? • Microsoft tool : Logparser

• Leest gestructureerde bestanden en selecteert gegevens op basis van SQL-queries • Krachtige en toch eenvoudige programmeertaal • Is in een dag te leren (eigen ervaring) • Verbazingwekkend snel Dia 28

2: Selectie van succesvolle logins

• Uitstekende help files van Microsoft • Query is met “trial en error” in een kwartier te knutselen Dia 29

2: Selectie van succesvolle logins

Dia 30

2: Verzamelen van files

Dia 31

Wat kun je zo uit de files halen • Handelingen van beheerders – Aanmaken van accounts en groepen – Wijzigen van policies – Wie doen beheer en zijn ze geautoriseerd • Handelingen van gebruikers – Login / logout Prima – Toegang tot bestanden bestaanscontrole! • Mogelijke aanvallen / misbruik – Mislukte toegangspogingen – Grootschalige toegangspogingen – Vreemde tijden Dia 32

Vraag 2 : Detectie : Het ideaal

Scripts die wekelijks draaien

Event

Log

Samen

comb

parser

vatting

Queries

Beheerders E-mail

Auditors

volgens Microsoft

Controle werking wordt mogelijk ! Dia 33

Vraag 2 : Mogelijk vervolg ? • Norea ? IT-Audit opleidingen ? • Centraal tools beoordelen en aanbevelen? • Centraal richtlijnen voor monitoring opstellen? • Aantoonbaar: • Bent U in control?

Dia 34

Inhoud • 1: Frequentie interne incidenten ? • 2: Detectie misbruik ? • 3: Detectie zwakke plekken ? – Interne systemen – Externe websites – Windows infrastructuren Dia 35

3a : Interne scan • Grootschalige port scan • Handmatig nalopen van resultaten Nmap / superscan

Auditor

• Zoeken van de “foute” systemen Dia 36

3a : “Vergeten” en heel oude servers

Dia 37

Webtoegang tot servers

Dia 38

Webtoegang tot servers

Dia 39

Beheer interfaces

Dia 40

Beheer-interfaces

Dia 41

Niet beveiligde printers

Dia 42

Oracle : wachtwoord = accountnaam

Op (xxx.bd.minxxx.local) zijn accounts aanwezig met wachtwoord gelijk aan de accountnaam. Het is mogelijk om in te loggen en de structuur van de database tabellen te zien.

Dia 43

Netwerkbeheer – default wachtwoord

Dia 44

FTP-server : personeelsgegevens open

Op server ka5xxx04 is een anoniem toegankelijke FTP-server aangetroffen met back-up bestanden van een personeelsdatabase (sofinummers, bankrekeningnummers, salarisgegevens, ziekteverzuim). Dia 45

“Gevonden gegevens”

In meerdere onderzoeken aangetroffen ! Dia 46

Interne “vulnerability” scan

GFI Languard Eenvoudig tool Niet heel kostbaar Maar kan toch heel “enge” resultaten aan het licht brengen

Dia 47

Interne vulnerability scan

Gebruikers die heel lang niet hebben ingelogd Zouden die nog op initieel wachtwoord staan? Zou het wachtwoord te raden zijn?

Dia 48

Wachtwoorden raden User User User User User User User User User User User User User User User User User User User User User User User User User User User User User

Applixservice --- applix -i aquard --- aquard -i BHRD --- admin -i Srv_KaUser --- = -i omgekeerd Srv_InstallXP --- install -i Srv_OSDService --- service -i XpEnteo --- enteo -i --xpfunctioneel1 --- = -i xpfunctioneel2 --- xpfunctioneel -i xpfunc3 --- = -i xpfunctioneel5 --- beheer -i xpfunctioneel6 --- = -i xpfunctioneel7 --- admin -i xpfunctioneel8 --- windowsxp -i xpfunctioneel9 --- welkom -i xpfunctioneel10 --- tester -i xptech2 --- = -i xptech3 --- xptech -i xptech4 --- tester -i xptech5 --- testnummer5 -i xptech6 --- gebruiker -i xptech8 --- xptech8 -i xptech9 --- welkom -i xpintake1 --- xpintake -i xpintake2 --- welkom -i xpintake3 --- = -i xpintake4 --- geheim -i xptech1 --- project -i momoperator --- = -

User User User User

pkmuser06 pkmuser07 pkmuser08 pkmuser09

---------

user06 > geheim 123456 qwerty user09 ***** > geheim

User User User User

pkmuser06 pkmuser07 pkmuser08 pkmuser09

---------

user06 > geheim 123456 qwerty user09 > geheim

Toen ik er aan begon dacht ik niet dat het zou lukken … Geduld nodig, score : 20 keer proberen om één wachtwoord te raden Uiteindelijk Domain Admin wachtwoord geraden – GAME OVER!

Dia 49

3a : Niet goed! – Maar hoe komt dit? • Ik wist niet dat dit aanwezig was … – Als het werkt is het goed genoeg – Als ik het kan bedienen is het goed genoeg – Gebrek aan tijd, belangstelling, hobbyisme – Complexiteit infrastructuren – Versnippering beheerorganisaties • Even snel iets oplossen – en dan vergeten

Rol voor ITAuditor?

Dus: Controle en toezicht is nuttig ! Dia 50

Inhoud • 1: Frequentie interne incidenten ? • 2: Detectie misbruik ? • 3: Detectie zwakke plekken ? – Interne systemen – Externe websites – Windows infrastructuren Dia 51

3b : Webserver scans

Geldt al jaren lang !

• Openingen in firewall voor buitenwereld naar webservers en webapplicaties • Denk aan : subsidieaanvraag systemen, databanken met regelingen, milieu-informatie etc. • Kwetsbaarheden in achterliggende systemen niet afgeschermd door firewall Dia 52

Detectie in Webinspect

Webinspect : Loopt meest voor de hand liggende fouten na Dia 53

Voorbeelden : Installeren en vergeten …

En hoe zit het met de patches en updates ? Dia 54

Voorbeeld : Niet-uitgezette functies

Logging en monitoring voor iedereen bereikbaar – niet gevaarlijk, maar niet netjes

Dia 55

Cross-site scripting : stelen wachtwoorden

Dia 56

Scripts die foute invoer accepteren :

Toegang tot commandoregel !

Ook mogelijk : - Opvragen wachtwoord bestand - Lezen en plaatsen van bestanden - Inloggen Dia 57

3b: Waarom gebeurt dit ?

• • • • •

Web-technologie is vriendelijk : Applicatie is snel in de lucht Kant-en-klare functies en modules Snel te downloaden Kwaliteit niet bekend

Dus: Toezicht is nuttig !

• Beheerders : • Geen detailkennis nodig • Geen gevoel voor de risico’s Dia 58

Inhoud • 1: Frequentie interne incidenten ? • 2: Detectie misbruik ? • 3: Detectie zwakke plekken ? – Interne systemen – Externe websites – Windows infrastructuren

Dia 59

3c : Windows / Active Directory • • • • • •

Servers Werkstations Users Groepen Policies Beveiliging Hoe audit je dit monster?

Dia 60

3c : Ideaal : Audit versnellen

CSVDE Tool: 1

Auditor vraagt beheerder om één bestand te dumpen en te mailen

2

Standaard commando op Windows Kost beheerder nauwelijks tijd

3

Auditor analyseert bestand met CSVDE tool

4

Auditor krijgt automatisch samenvatting van belangrijkste gegevens

5

Doorlooptijd audit : slechts enkele uren

6

Kan maandelijks : toezicht op WERKING

Waarschuwing : Ik maak reclame voor eigen product! Maar het is goed bedoeld … Dia 61

Dump CSVDE bestand (stap 1-2)

Commando: csvde –f uitvoer.txt Dia 62

Inhoud CSVDE files

(Bijna) Alles wat auditor over Windows en Active Directory wil weten

Dia 63

Analyse CSVDE bestand (stap 3) • Open het CSVDE bestand

www.xs4all.nl/~kazil/ testfiles/analyzecsvde

• Programma leest bestand en vertaalt inhoud naar leesbaar formaat

Dia 64

Analyse CSVDE bestand – stap 3

Lijst van uitvoerbestanden : • samenvatting • details – leesbaar in Excel Dia 65

Uitvoer : Domain policy – stap 4

Dia 66

Uitvoer : Statistieken users en groepen

Dia 67

Uitvoer : Statistieken computers

Dia 68

Uitvoer : Speciale beheeraccounts

Dia 69

Uitvoer : Slapende users

Dia 70

Uitvoer : Recent gemaakte objecten

En nog veel meer … Dia 71

Extra opties : niet-persoonsgebonden accts. Met behulp van uitgebreide namenlijsten wordt onderscheid gemaakt tussen personen en nietpersonen

Dia 72

Extra opties : niet-persoonsgebonden accts.

Dia 73

Extra opties : niet-persoonsgebonden accts.

Dia 74

3c : Audit zinvol ?

• Structureel vinden wij : • Beheerders die wachtwoord wijziging uitzetten • Hoge managers die wachtwoord wijziging (laten?) uitzetten • Veel testaccounts en tijdelijke accounts • Veel slapende accounts Dus: Toezicht is nuttig !

Dia 75

Vraag 3 : Mogelijk vervolg ? • Norea ? IT-Audit opleidingen ? • Centraal tools beoordelen en aanbevelen? • Ervaringen over meest gangbare zwakke plekken uitwisselen? • Oorzaken zwakke plekken structureel analyseren? • Meer theorievorming?

Dia 76

Samenvatting • • • • •

Detectie en toezicht blijven nuttig Informatie over actuele risico’s aanwezig Relatief eenvoudige onderzoeken leveren veel op Tools zijn er genoeg Experimenten zijn zinvol

Dia 77