Artikel
Methodiek voor preventieve, testgerichte beveiligingsaudits (penetratietesten) Een praktijkcasus (deel II)
Maarten Wftrnan
In het eerste deel van Red-Green teaming bij Defensie (zie EDP-auditor 2007/2) is een methodlek gérntroduceerd voor het uitvoeren van een penetratietest. Dit
Een penetratietest is eentechniek dle getroffen beveffigIngsmaatregelen voor ICT-middelen onderwerpt aan ultgebrelde besei-
tweede deel geeft aan de hand van een (fictieve) casus
lIgIngstesls, uagevoerd vanuit een perspectlef van risIcobeheersing.
een praktische invulling aan een dergelijk onderzoek en
Deze tests verschaffen inzIcht In de kwalftelt van defeftelijke
de daarmee samenhangende onderzoeksactiviteiten. Relevante aandachtspunten, leermomenten en aanbevelingen zijn opgenomen.
Inrichting van een ICT-middel of samenstel daarva n. Het testen vindt plaats door de aanwezIgheId van Indringers en hieraan gekoppelde acliviterten in de (ICT.hamgevIng te slmuleren. In de u itvoering worden hIertoe methoden, techn ieken en middelen gehanteerd dle bInnen de hackergemeenschap gemeengoed zijn. Het vorlge artlkel ficht een methodiek toe waarmee op gestructureerde en beheerstewIize InvullIng gegeven kan worden aan een penetratletestIngonderzoek. De methodiek bestaat urt een fasen: 1.Formuleren opdracht 2. Opstellen plan van aanpak 3.Voorbereiding penetratietest 4. Uitvoering penetratiett 5.Afronding Servers, werkstations, netwerkapparatuur en applIcatIes vormen bij een penetratletest het voornaamste object van onderzoek Onderzoeksactivitelten zljn doorgaans dan ook op dere objecten gerIcht Zoals beschreven In het eerste artikel kunnen mIddels een penetratletest eveneens de effecten op minder harde materle zoals het gedrag en handelwijze van mensen waargersomen worden. Of en zo ja, In welke mate deze objecten in het onderzoek betrokken worden, hangt af van de gestelde onderzoeksvraag.
et artikel beoogt, met als leidraad de methodick, de H toegevocgde waarde van de penetratietestingtechniek voor een IT-auditor te illustreren. Aan de hand van een casus worden aandachtspunten en leermomenten tijdens het doorlopen van dit proces, toegelicht. De IT-auditor kan, indien juist toegepast, met dcze kennis en inzicht ook zijn of haar voordeel behalen in standaard IT-audits naar zowel opzet als bestaan. Ing. M. (Maarten) Vettman RE is sinds z000 werlo/aam bij het
ministerievan Defensie als senior IT-auditor bij deAudIt Dienst Defensle (ADD).
Aan de hand van een casus doorloopt het voorliggende artikel de diverse fasen en stappen binnen de methodiek. Dit artikel legt de nadruk op de uirvoeringsfase (fase 4). De uit-
j de EDP-Mator nummer i 1 zoo8
voeringsfase maakt aan de hand van concren onderzecksactiviteiten het gedachtegoed en werkwijze van een penetratietest inzichtelijk. Deze fase bestaat zoals in het eerste ardkel beschreven uit cen drietal stappen: a. informatievergaring; b.analyseren en c. ondernemen van vervolgstappen. Het doorlopen van deze stappen is een iteradef proces, wat inherent is aan een blackboxbenadering. Het is voor de auditor onmogclijk alle onderzocksactiviteiten vooraf tot in detail uit te werken. De aandacht voor de uitvoeringsfase (fase 4) laat onverlet dat de afitemming met de opdrachtgever (stap 1), het uitwerken van een plan van aanpak (stap 2) en de voorbercidende werkzaamheden voor de penetratietest (stap 3) uitermate belangdjk zijn en de basis vormen voor hetjuist kunnen uitvoeren (stap 4) van de penetratietest.
" De gestelde
onderzoeksvmag Is gerdateerd aan een tijdregIstratieInformatlesysteem op een Intern bedrijfsnetwerk De opdrachtgever wIl vastgesteld hebben of sprake Is van een toereikende logischetoegangsbevellIgIng waarblj alleen daartoe geautoriseerde beddjfsmedewerkers toegang kunnen krIjgen tat het informatiesysteem en de daarop aanwezIge gegevens. Het uttgangspunt voor het onderzoek Is een blackboxbenadering. Dit betekent dat bij aanvang van het onderzoek geen InformatIe beschikbaar is over de samenstelling en technische inrichtIng van het informatiesysteem. Er wordt voor het onderzoek een Intern profiel met beperkte rechten aangemeten. In de esus betekent dIt dat het team beschikt over een geautoriseerd werkstatIon en toega ng tot het kantoorautomatIserIngnetwerk. Daarbij Is sprake van een red team opdracht. BIJ een dergelljke opd racht zijn de dIrect voor het Informatlesysteem verantwoordelijken (eigenaar, functioneel en/of technIsch beheer) nIet op de hoogte gesteld van de uitvoering van het onderzoek
Fase i - 3: Voorbereiding onderzoek De voorbereidende fasen en activiniten hebben hoofdzakeLijk betrekking op projectmatige aspecten. Zo zijn in de rnethodiek onder meer activiteiten onderkend voor het formuleren, uitwerken en formaliseren van de onderzoeksopdracht, hieraan gerelateerde onderzeeksvragen en de samenstelling van een onderzoeksteam. Naast de vastlegging van deze generieke projectmadge aspecten stelt de projectleider van het onderzoeksteam op aangeven van de opdrachtgever ook specifieke aan penetradetesting gerelateerde uitgangspunten voor het onderzoek vast. Het betreft hier bijvoorbeeld de vaststelling van het te hanteren profiel, sccnario en daarmec de kleur van het team (redteam versus grecn team; zic hiertoe tevens toclichting bij de casus beschrijving).
In het kader van de voorbereidingen zijn nog enkele specifieke aandachtspunten ten aanzien van de inzet, gebruik en inrichting van technische hulpmiddelen noemenswaardig. Als onderdeel van de kwaliteitsborging enerzijds en reproduceerbaarheid anderzijds is het van belang dat vanaf het moment dat (technische) onderzoeksactiviteiten starten een registrade van de uitgevoerde activiteiten plaatsvindt. Deze registratie kan uiteenlopen van cen eenvoudige schriftelijke notitie onder vermelding van de activiteit, datum en tijdstip; tot een volledige integrale geautomadseerde vasdegging van alle handdingen clie het red team uitvoert vanafde ingezette hulpmiddelen. Deze laatste variant vereist naruurlijk wel de bcnocligde hulpmiddelen (b.v. het vastleggen van toetsaanslagen en beeldscherminformatie of het registreren van al het netwerkverkeer). Verder is van belang dat de werking van alle middelen (tooling) uitgebreid getest is (in een testomgcving), voordat het team deze inzet in een productieomgeving. Deze tests moeten nier uitsluitend gericht zlin op het uitsluiten van de aanwezighcid van eventuele virussen of trojan horses, maar eveneens op mogelijkc onnodige features c.q. eigenaardighedcn en de keuze voor de juiste instellingen van een tool. Het vooraf testen voorkomt in belangrijke mate onverwachte, en daarmee ongewenste, effecten bij de inzet van de tool. Voordat het red team eigen apparatuur, zoals ecn laptop of werkstation, inzet, is het verstandig een aantal voorzorgsmaatregelen te treffen, waaronder: • het systeem zodanig inrichten dat het zich zo passief mogelijk gedmagt op het netwerk. Met behulp van bijvoorbeeld een nenverksniffer kan het passieve gedrag gccontroleerd worden; • het uitschakelen van onnodige (netwerk)services teneinde eventuele kwetsbaarheid van het systeem zelf te beperken en de passieve werking van het systeem te benaderen; • het installeren van de meest recente (beveiligings)patches teneinde de kwetsbaarheid van het platform cn aanwezige applicaties te beperken; • het overnemen van het hardware adres (MAC-adres) van een geautoriseerd werkstation cn aansluiten op dezelfde netwerkpoort, tencinde eventueel aanwczige netwerkbeveiliging te omzeilen. Uiteraard moet de inzet van eigen middelen overeen komen met het gekozen scenario cn proficl cn bijdngen aan de beantwoording van de onderzoeksvraag. Fase 4 : Uitvoering penetratietest onderzoek Bij aanvang van deze penetratietest is alicen de informane beschikbaar uit de voorbereidingsfase. Hct team start dan ook met activiteiten dic gericht zijn op cen nadere informadevergaring (stap 4a).
n 1de EDILANEter nummer al xo-oe
Uitgangspunt van alle activiteiten die in dit kader ondernomen worden, is dat deze bijdraagt aan de beannvoording van de onderzocksvnag en aansluit op de onderzoeksdoelstelling. Stap a : InforrnatlevergarIng Het startpunt in de uirvoering van elke penetratietest is de stap informatievergaring. De stap is gericht op een verkenning van het onderzocksobject en de omgeving daarvan. Vooraf gedefiniecrdc activiteiten (onderdeel van stap 3) geven ecn initiële invulling aan deze stap Het team start met cen passieve vorm van informatievergaring. In dit stadium (start) is het doel met zo min mogelijk ruchtbaarheid zoveel mogelijk gegevens te verzamelen waamit bijvoorbeeld afgeleid kan worden: • de eigenschappen van het informatiesysteem, waaronder omvang, (technische) samenstelling en afhankelijkheden; • locaties (zowel fysick als technisch op het netwerk); • beheerverannvoordelijken, bctrokken afdelingen en personen Het scenario start met het gebruik van de standaard beschikbare (gcautoriseerde) werkplek (in de casus: Microsoft Windows) en daarop aanwezige hulpmiddelen zoals Internet Explorer en cormnando prompt (met DOS tools zoals ping en nslookup). Het gebruik van een afivijkend werkstation of afwijkende tooling kan namelijk mogelijk gedetecteerd worden door de beheerorganisatie. Dit zou een voortijdig einde van het onderzoek kunnen betekenen, wat overigens zowel positief als negatief uitgelegd kan worden. Stap 4a: Informatlevergaring -> Activtteit Inttiéle Informatlevergaring omgeving Een interessante en voor de hand liggende informatiebron om mee te starten, vormen de aanwezige intranet websites (bijvoorbeeld startpagina's, portals) en de daarop beschikbare zoekfunctionaliteit Bij grote ondernemingen zijn vaak diverse zoeksystemen (search engines) aanwczig die lang niet allemaal hetzelfde of op dezelfde manicr indexeren. Betrek deze dan ook in het ondcrzock. Bij het gebruik van zoeksystemen en websites ten behoeve van de stap informafievergaring kan gedacht worden aan het volgende: • Maak gebruik van de bekende (beperktc) beschikbare informatie als zoekterm zoals de naam van het informatiesysteem of ftmctionaliteit; dit kan leiden tot nieuwe informatie. Zo is het mogclijk dat de naam van het informatiesysteem terugkomt in een informatiebulletin, nicuwsbrief of een (gebruikers)forum; • Ook gepubliceerde pagina's met incident- of storingsmeldingen kunnen interessante informatie opleveren, zoals verwijzingen naar logische systeemnamen; • Als binnen de organisatie duidelijk is (of in de lijn van de verwachting ligt) welke afdeling veranrwoordelijk is voor het beheer en/of inrichring van hct informatiesysteem
dan ligt het voor de hand ook de websites van deze afdelingen te raadplegen. Mogelijk is sprake van een externe partij of systeemintegrator die betrokken is (of is geweest) bij ondersteuning of ontwikkeling. Een bczock aan de Internet website van deze exteme partij levert mogelijk nog aanvullende informatie op; • Een andere informatieve bron kan een geplaatste vacaturetekst zijn. Zo kan dit, zonder dat men zich dit realiseert, bruikbare informatie oplcvcren (denk aan gevraagde noodzakelijke kennis of technische opleidingen). • Het team kan systcemeigenschappen, afdelingen of betrokken personen dit de cerste informatieanalyse op Internet als sleutelwoorden googlen. Zo kan het voorkomen dat cen systeembeheerder op Internet een oplossing voor een opgetreden probleem zoekt op een gebruikersforum op Internet, wat weer kan leiden tot nieuwe informatie binnen het onderzoek. De bovenstaande voorbeelden illustreren dat het succes voor het verkrijgen van bruikbare informatic mede bepaald wordt door de creatIviteit van de leden van het red team. Stap 4b: Analyse Informatle utt actIvItett 7 Op basis van de verzamelde informatie kunnen met het nodige voorbehoud eerste voorzichtige conclusies getrokken en aanbevelingen gcdaan worden. Een vombehoud is hierbij op zijn plaats. Naar de achtergrond of bron van dcze waargenomen effecten gist het tcam in dit stadium namelijk nog. Zo kan hct in de onderstaande aanbeveling zijn dat in opzet toereikendc proccdures aanwezig zijn voor het screenen van informatie voordat een organisatie dcze op cen Internet site plaatst terwijl in bestaan/werking hicraan (op basis van waarneming) een ontoereikende invulling gegeven wordt
Mqgctt kkaan emellirtgen= Draag zorg dat alle publleke informatle zorgvuldig gescreend wordt voordat deze gepubliceerd wordt. 2) Draag zorg voor een bevellIgIngsbewustwording programma waarvan gedrag en uidatingen op Intemet/Intra net een onderdeel vormen.
Het is mogelijk om aanbevelingen tijdens de uirvoering van het onderzoek bij te stellen. Bij de eindrapportage zal aanscherping plaats moeten vinden. Het voorleggen van onderzoeksresultaten aan de systeemeigenaar speelt daarbij een belangrijke rol. Dit doet overigens nicts af aan het waargenomen effect in bestaan. Stap 4a: Inibrmatlevergaring -> Artivttett 2: Systeem Identtficatie Om gerichter onderzoek te kunnen uitvoeren is het van belang dat het team ten minste één systeem identificeert dat tc relateren is aan het object van onderzoek. Een mogelijke ingang voor het verkrijgen van een, in technische zin adresseerbaar systeem is hct bcvragen van de
de EDP-Aschor nummer al zoo8
bedrijfsinterne DNS (Domain Name Service) of WINS server. Deze servers dragen zorg voor de vertaling van cen logische naam (bijvoorbeeld organisatie.n1) naar een IP-adres en visa versa. Het team kan proberen een kopie van (delen van) de DNS databasc te verkrijgen. In DNS terminologie is dit bekend als cen DNS zone transfer. Als deze niet goed is afgeschermd, is het voordecl dat zonder de doelsystemen zelf te benadcren, kennisgenomen wordt van de naamgeving en IP-adresgegevens van de in het netwerk aanwezige systemen. Op basis van de naam kan dan mogclijk een aanknopingspunt gevonden worden. Let wel dat het uitvocren van een DNS zonc transfer gedetecteerd kan worden en binnen de organisatie mogelijk als incident wordt beschouwd. Als het DNS register afgeschermd is voor een zone transfer, bestaat nog de mogelijkheid om, al dan niet handmatig, systeemnamen te raden. Hicrbij gebruik makend van de eerder ingewonnen informatie. Een andere mogelijkheid is het Mtvoeren van een netwerkscan, waarbij atte mogelijke adressen binnen een netwerkdomein aangesproken worden. In potende levert dit meer netwerkverkeer op en is de kans groter dat activiteiten gedetecteerd worden (bijvoorbeeld door cen aanwezige
informatie ook het noodzakelijke inzicht voor de diverse logische tocgangspaden tot dit systeem. Bij ecn poortscan wordt via het netwerk contact gelegd met alle (of specifieke) TCP en/of UDP poorten van een systecm. Het succesvol opzetten van een verbinding betekent dat cen scrvice luistert op de aangesproken poort. Aangezien doorgaans sprake is van standaard service-poorttoewijzingen (zie [IANA] voor overzicht standaard poortnummertocwijzingen) kan eenvoudig een eerste indruk opgedaan worden van de eigenschappen van het systecm. In figuur I is het resultaat opgenomen van ecn standaard TCP SYN poortscan uitgevoerd met het hulpmiddel NMAP [NMAP] van alle TCP poorten tussen de I en 65535 op het gedentificeerde systeem met het IP-adres 10.0.0.100. sittn1ne siará 1.20 ( httPlailliacura.oeg arn~1np pOrti 019.9.0.100: lijOe an" eS4911 ClOted pOttt amit STATC 51rjklaCg jrZCP 0131M 000 cp eucilsectrcl Ple
linVer cp nep
firnvall).
> nslookup urenreg.companynl Server: dns.company.n1 Address: 10.1.1.11-1 Non-authoritative answer: Name: wa.companynl Address: lo.o.o.mo Aliases: urenreg.company.n1
arrP
4
°o9 ildter :1150e-d$ 31 5ACP oPeri-larrIzr; 54 Cg. open arpov zcp gt jEcp open ladi. larpr zcp opan prik now, 1. - ep open táliffidlill "ritt On 6rki iramown 1"2/t2i pan bpipc-c11.mt 102./z 115 4 naP 004 n itzr,ikkyl, eijt I. -- 'itTe--. toknown unlorrom .43371Cf1 44 CP
In de casus is, door de voorspelbare naanageving van het systeem, aan de hand van de DNS cen systeemnaam geïdentificeerd. Het betreft de systeemnaarn urenreg.company.nl , dat zich vertaalt naar:
0„1, 7;eviit_ nen pg:5147 set
Ond e Lestener
Ernp sener necurel <.IP-adres als aanknopIngspird
jOinuttelu 01~ en g/t_op erprve es*.rman ~esse iXe ret29t02.:79;r5 (miare)
EFTTP server
-address t bast Flguur1: Resultaten van een TCP poortscan met
NMAP.
Stap 4e: Informatfevergarfng -> Activitelt 3: Systeemeigenschappen Identiffratte
Nu een IP-adres/DNS naam bekend is, kan geprobeerd worden of het adres bcreikbaar is. Middels een ping (icmprequest) of traccroute wordt bekeken of het systeem antwoordt. Het niet bereikbaar zijn van het systeem kan wijun op een aanwezige netwerkbeveiligingsmaatregel op het communicatiepad naar het systeem toe. Ecn voorbeeld is een aanwerige netwerkfirtwallofhost-beveiliging. In de casus is het systccm nict nader afgeschermd door een netwerkfinwall.
Stap 4.6 :Ancnyseren informatle ult actlyttett 3 In stap 4b vindt analyse en interpretatie plaats van de informatie die tijdens de verkenning (stap 4a) verzameld is. De stappen informaticvergaring en analyseren worden iteratief toegepast. Een nieuw brokje informatie wordt geanatyseerd en leidt tot nicuwe onderzoeksactiviteiten dat weer kan leiden tot nieuwe informatie, dat weer geanatysecrd wordt, et cetera.
Een standaardtechniek voor het verkrijgen van systeemeigenschappen (en daarmee ook een indruk van de ftuactie/ toepassing van een systeem) is het uitvoeren van cen zogenaamde IP poortscan In het kader van de casus vormt deze
In de casus blijkt na analyse van de poortscan (zie figuur 1) dat sprake is van o.a.: - een Microsoft Windows platform. Dit is af te leiden door de combinatie van aanwezige netwerkpoorten 135, 139,
13 1 de 133P-Aadtor nummer 31 uooEl
445 en 3389. Overigens kan door gebruik te maken van andere opties in de gebruikte tool ook een voorspelling gedaan worden over de versie van het platform; de aanwezigheid van een Oracle listener op de standaard Oracle listener poort 1521. Dit duidt er op dat het systeem als DBMS is ingericht. In figuur 1 is, na analyse, een aantal poorten gearceerd die toebehoren tot de Oracle inrichting.
Oracle toegepaste netwerkpoorten is bijvoorbeeld vastgelegd in [MLN99721.I], [MLN235298.1] Stap gc : Ondernemen vervolgstappen en activiteiten
Het team brengt op basis van de geanalyseerde informatie mogelijke aanknopingspunten en vervolgactiviteiten alvast in kaart. In figuur 2 zijn deze aanknopingspunten in een schets afgebeeld.
De poortscan geeft vervolgens nog nadere informatie over de aanwezigheid van andere (netwerk)applicaties. Elke aansvezige service, luisterend op een poort, kan nader aan de tand gevoeld worden en daarmee in potentie gebruikt worden in de stap informatievergaring.
Gelet op de onderzoeksdoelstelling en vraag is na de analyse besloten om de aandacht in eerste instantie te richten op de aanwezige Oracle database. Er worden nu nieuwe onderzoeksactiviteiten uitgewerkt die gericht zijn op informatievergaring van de eigenschappen van de Oracle database inrichting. In de onderstaande beschrijving volgen de stappen informatievergaring, analyse en het ondernemen van vervolgstappen/activiteiten elkaar op.
De aanwezigheid van poort 1521 geeft op basis van de uitgevoerde poortscan geen garantie dat het hier ook een Oracle listener poort betreft. De toewijzing van poorten aan services kan namelijk handmatig gewijzigd worden. Om meer zekerheid te krijgen of deze poort in dit geval daadwerkelijk gebruikt wordt door Oracle kunnen andere tools ingezet worden. Een voorbeeld van een dergelijke tool is THC-AMAP [AMAP], dat beschikt over een zogenaamde fingerprint database waarmee met een redelijke mate van zekerheid vastgesteld kan worden welke applicatie en eventueel welke versie op de poort luistert.
Stap ga: Informatievergaring -> Activiteit es: Achterhalen database eigenschappen
Een voorname bron van informatie voor de eigenschappen van een Oracle DBMS vormt de Oracle listener. Aan de hand van de TCP poortscan (zie figuur 1) is de aanwezigheid van de Oracle listener en de poort 1521 waarop deze luistert, vastgesteld. Zaak is middels het juiste protocol (TNS) een verbinding met de Oracle listener op te zetten zodat informatie omtrent de inrichting van de Oracle database verkregen kan worden. Een eenvoudig Perl programma
Ook de aanwezigheid van een combinatie van poorten kan duiden op een specifieke toepassing. Een overzicht van door
Brute-force? Default account/pw?
Privilege escalation? PlsExtProc?
Injection?
Oracle listener SID? Security?
Client Attack? Database links?
HTTP server Inhoud? Versie webserver?
Brug naar OS FTP anon iem? FTP versie
Active directory Info?
Bekende fouten? SMTP VRFY?
SMTP DEBUG? SMTP versie
RPC endpoints?
vertrouwensrelatie? NetBIOS Share's? User Enum?
DNS Zone transfer? OS fingerprint
Figuur 2:
schets van mogelijke aanknopingspunten en vervolgactiviteiten.
14] de
FUP-Aerditor
nummer 312008
[TNSCMD] dat specifiek voor dit doeleinde ontwikkeld is, kan hiertoe ingezet worden. Uiteraard kan het team ook gebruik maken van de standaard SQL*PLIJS client van Oracle (200 MB installatie). De inzet van het Perl script op de database levert de in figuur 3 afgebeelde infixmatie op.
instances (SID's) aanwezig zijn. In het voorbeeld is alleen de instance GLOBDB aanwezig; • Tevens blijkt dat de ExtProc procedure (zie SERVICE_ NAME=PLSExtProc) actief is. Bekend is dat PLSExtProc misbruikt kan worden om commando's op besturingssysteemniveau uit te voeren. Dit zal niet nader in dit artikel uitgewerkt worden. Voor achtergrondinformatie zie [ORASEC57].
Stap 46 :Analyse informatle utt actlytteit
Aan de hand van de output van het TNS statuscommando (zie figuur 3) leidt het team onder meer het volgende afi • indicatie van merk en typc platfrwm waarop de database geïnstalleerd is (zie VERSION veld); • de versie van de Oracle database (9.2.0.1.0) (zie VERSION veld); • de locatie/pad waar de listener logfile zich bevindt (zie LOGFILE veld); • De uptime (zic UPT1ME veld). De uptime kan behulpzaam zijn om bijvoorbeeld in te schatten of patches/ updates geïnstalleerd zijn. Voor het installeren van een patch zal namclijk de database tijdelijk gestopt moeten worden (en daarmee dus ook de uptime). Een uptime van een halfjaar kan er op wijzen dat patches tenminste een halfjaar niet geïnstalleerd zijn. • Security opties zijn uitgeschakeld (zie SECURITY-OFF) - geen listener secutity, geen admin resnictions. Hierdoor kunnen wijzigingsopdrachten (SET) aan de listener verstrekt worden. Tevens kan dit in combinatie met het ontbreken van een listener wachtwoord misbruikt worden om de database op afstand te stoppen. • Security Identifier (zie SERVICE_NAME-GLOBDB). Een belangrijke eigenschap van de Oracle listener is de zogenaamde MD. Zonder deze SID (Security Identifier) kan geen succesvolle verbinding met de Oracle DBMS opgezet worden. Er kunnen overigens meerdere database
Op basis van de bovenstaande waarnemingen (en analyse daarvan) kunnen de volgende aanbevelingen gedaan worden om risico's te beperken.
1)Scherm detoegang tot de listener af met een wacktwoord? z) Stel ADMIN_RESTRIC11ONS in op de Listener (MLN272633.1] 3) Gebruik moeilijk te voorspellen namen voor de SIDs. 4) Als clIt niet nodig is, maak geen gebruik van PLSBrtProc.Zo nodig
maak gebruik van valid node checkIng. Draag op een Windows platform er voor zorg dat het proces nIet als SYSTEM actIef Is.
Elke toegang tot de listener en pogingen daartoe worden overigens geregistreerd in de listenerlog. Een oplettende beheerder zal deze registraties herkennen als afwijkend gedrag. In de praktijk worden logfiles van de listener vaak niet geanalyseerd. In het kader op de volgende pagina is een voorbeeld van de registratie in de listenerlog opgenomen bij gebruik van Oscanner (deze tool wordt verderop in het artikel nog besproken) en bij gebruik van de standaard Oracle SQL*PLUS client. Wat hieraan direct opvalt is dat bij gcbruik van SQL*PLUS veel meer gebruiksinformatie geregistreerd wordt dan de JDBC koppeling waarvan Oscanner gebruik maakt. De
-h 10.0.0.100 --tedefre ro 10.0.0.100:1521 (cohmger-DArtgiplWirio} hritlem)
a s> tedend natut
illiF 5 490 re.rd 1152
Tal
s. .. . . . ... . ...1... .. ...
snytetimmt-ano. imyrnLermaaces uatorrAtes-tegoom
"lieP ALIASeLlnéelEll SECUktrea for Wit2454. STAIMJ5Allt edAa-20 2211 PINFILEC TR/CIPC LIPTI Sul4P.OFF PID.90a
lielregfram lIttriáltILIWNCIteDel Preductlem
. .41
swe a racianrnrafrir lAorat
beatL.4. SrAVICE•• SaRvICefle INSTnee* ZPOSTMCEJSC.C1,0008
INDPOPIT. If.4101.411. SEWICE-Pagrv-asmproc
IosrMajushot.sk-npror le344. fmstuera_stnusgworwoloi Figuur Deel
va n de Informatie verkregen via de Orade TNS listener (status commando) 15 1 de IDP-Ashoe nummer 31 20-0B
cennint nistOuroanner 30- 11- 2007 13 39 02* (CONNECTliaza.C4300)(COMPROPAWP)STIdlx_09ERslil (ADCCESSI2/PROTOCariCPX HOST
ORTe2 /31» • niair • aCCIDIr
coinct met EVIDLUt
aoaaor ts.44 (comerr Trawvicoturacrware$Q-(PP x )- (AcceEssargoTocat.trost SQL*PLUS client stuurt standaard namelijk het complete pad, hostnaam en gebruikersnaam mee. Dit biedt ook weer mogelijkheden door bewust deze gegevens te manipuleren zodanig dat dit overeenkomt met de gebruikelijke registraties op het systeem, teneinde bemerking van activiteiten van het team te bemoeilijken. Stap ea : Informatievergaring -> Actleltelt 5: default Otewle account/wachtwoord Tijdens reguliere systeem IT-audits is cen van de standaardonderdelen te onderzoeken hoe het gesteld is met de wachtwoord policy, opslag en distributie van wachtwoorden. Bij een penetratietest is dic aandacht daarvoor nog nadrukkelijker. Als dit mechanisme verkeerd ingericht of toegepast wordt, vormt het de meest eenvoudige toegang tot cen informatiesysteem en in dit geval de database. Een bekend gegeven van Oracle databascs is dat eenmaal binnen (ook met minimalc rechten) diverse mogelijkheden bestaan om rechten binnen de database en op het systeem op te waarderen (Engek Privilege Escalation). Het slagingspercentage daarvan ncemt met name toe op het moment dat patchcs niet of niet tijdig geinstalleerd worden. Nu de SID (GLOBDB) bekend is uit de analyse van activiteit 4 kan de Oracle database instance rechtstreeks aangesproken worden. Het team start met het controleren of de Oracle database uitgerust is met default gebruikersnaam/ wachtwoordcombinaties. Binnen de Oracle DBMS omgeving en al haar deelapplicaties en verschillende versies, bestaan een groot aantal (honderden) default gebruikersnaam/wachtwoordcombinaties [FINNIGAN],[VULASS],[MLNI60861.1]. Ter nuancering: in de praktijk wordt nooit ecn database aangetroffen waar al deze accounts terugkomen, hooguit een handvol. Met name bij oudere versies van Oracle is vaak sprake van krachtige accounts met standaardwachtwoorden. Een van de redenen hiervoor is dat tijdens installatie tot en met Oracle versie 8 niet afgedwongen wordt dat het wachtwoord van het sys en system account gewijzigd wordt van de standaardwaardc. Oracle geeft namelijk cen standaard voorzet, tenvijl bij recentere Oracle versies de gebruiker zelf cen wachtwoord moet opgeven. In deze fase van het onderzock is het zaak dat het team alleen op de aanwerigheid van default combinaties controleert cn niet dat het op cen brute-force basis, alle mogelijke
logx ntat
IIIMh(
wachtwoord combinaties, probeert om toegang te verschaffen. Het risico is namelijk dat accounts blokkeren doordat het maximale aantal toegestane inlogpogingen bereikt is. Bovendien is op dit moment nog niet duidelijk welke accounts aanwezig zijn. Het controleren op de aanwezigheid van default account/ wachtwoordcombinaties kan met behulp van verschillende tools. Allereerst handmatig door zelf aan te loggen met een SQL client (bijv. SQL*PLUS). Daarnaast bestaan er verschillende tools (al dan niet commercieel) waarmee de aanwezigheid van default wachtwoorden geautomatiscerd vastgesteld kan worden. Voorbeelden van vrij verkrijgbare tools die zich richten op de default account/wachtwoordcombinaties zijn: • Oracle Auditing Tool (OAT) [OAT] (commandrme, op Java/JDBC gebaseerd); • OracSec [ORASEC] (GUI) en • Oscanner [OSCAN] (Java gebaseerd). In de casus wordt deze tool ingezet. Oscanner vaert standaard mccr uit dan alleen een default wachtwoordcontrolc. Middels een plugin bestand (oracleplugins.default) wordt aangegeven welke controles uitgevoerd moeten worden. Vcrstandig is om de eerste poging te beperken tot dc EnumerateSIDS en CheckCommonPasswords plugin. Hct bestand accounts.default waarin de default account/wachnvoordcombinaties zijn vastgelegd, kan aangevuld worden met de eerder genocmde default account overzichten. In figuur 4 is de output van de tool Oscanner vastgelegd. Het team start met het uitlezen van de SIDS. Dit is feitelijk een selectie van de output van het TNS status commando. Vervolgens wordt met de bekende default accounts ingelogd totdat een cerste hit ontstaat In de casus is elit het account dbsnmp met het default wachtwoord dbsnmp (zie figuur 4). Nu dit succesvol is, logt oscanner met het dbsnmp account in en laat een database query op de Oracle account database los (select uscrname from all_users) om zodoende dc aanwezige accounts binnen de Oracle instance op te vragen (zic grocn gearceerde tekst). Vervolgens probccrt het tool alleen dic accounts die ook daadwerkelijk aanwezig zijn. Bij het gebruik van de tool is het aan te bevelen om de verbose optie van deze tool te gebruiken. Dit is overigens nict in figuur 4 gebruikt. Met de verbose optie wordt namelijk ook duidelijk welke accounts wel geprobeerd zijn, maar waarvan het wachtwoord niet default is.
Ti 1 de IDINNaditew nummer 3 1 ao-o8
Stap 4b : Anatyse -> Bevindingen activitelt 5 (defautt accounts) Het resultaat van de inzet van de tool op de database is de vastgestelde aanwezigheid van twee default valide gebruikersnaam/wachnvoordcombinaties waarmee aangemeld kan worden op de databasc. orecle scarmer 1.0;6 by ntrik.cetre.netc theckifig host 10.0.0.100 ChteCkieg t i d (Gueeee) fer CeSti gestwords Accleonr4rf $,Mst tilisiliked 4romer iri ffirnItegt aC(90rts for.$»-Saen):. suzairul ty-_MIWalId 34 454~41: ICA541e_ PiCtaufst /14/44( is locked kettUrbt ND5•1$,44DSYS 4$ leCk441 moetine ort/o$ is locked Ao~-0LAPSIV~ICR is locked AocOont-OhbfitO12n5/0tOPtUalotS it lockad $ it locked MCOdrit efeDSYS Accoult 15 locked ACCOUM I44/PM Is l ocked f.tteunt 1 $ 1 etk ed Xceam - ls locked is locked ecccent ACC001* eitakeN/OS 8M»14$ locked Accon OS—CMi gt.45 t /ocked ACcogan 4$11,4CteSt t jfkked Accan Q3-034475-0. 5- fi -ned Accourit 45-1.5 -15,,—15.1i, ed 1 tigir ACCOLIM , ACCOUNtr - _ ACOXIOR 3 SK 13 l ocleid 44COUnt W1(31144t5r3 3 1442C4d
Figuurep Resultaten Oscanner tool debult account-wachtwoord combinaties
Overigens heeft Oracle zelf ook een Default password conrrole tool uitgebracht [MLN361482.1] met daarin bijna 700 default gebruikersnaam/wachtwoordcombinaties. De tool van Oracle is alleen beschikbaar via Metalink (account nodig). De tool is uitgevoerd als SQL script, dat met hoge rechten geactiveerd moet worden. Het script vergelijkt de output van opgehaalde Oracle hashes (select username, password from sys.dba_users) met de bekende door Oracle in het script vastgelegde hashes. Als deze overeenkomen is duidelijk dat het een default wachtwoord betreft. Oracle heeft zelf niet (integraal) de ontcijferde (klare tekst) wachtwoorden gepubliceerd. Voor de werking van de Oracle tool is dit namelijk ook niet nodig. Een belangrijke beperking van de door Oracle geleverde tool in het licht van de inzet voor een penetratietest is dat men al beschikt over hoge rechten om de hash-waarden van de wachtwoorden in de database uit te mogen lezen. Een andere beperking is dat deze controle nicts zegt over het gebruik van een zwak wachtwoord (niet zijnde default). Overigens staan (op cen enkele na) alle wachtwoorden waarop de Oracle tool controleert reeds in de cerder genoemde wachtwoordlijsten op Internet De aanwezigheid van ecn default account lijkt een open deur maar blijkt in de praktijk welvuldig voor te komen. Een voor de hand liggende aanbeveling is dan ook de volgende aanbeveling:
1Nachtwoorden moeten gewiplgd worden van hun standaardwaarde.
e7 1 de
Stap 4a: Inforrnatievergaring -> Actl yttett 6: Aanwefigheld zwakke wachtwoorden Naast het proberen van default gebruikersnaam/wachtwcord combinaties kan ook geprobccrd worden in te loggen met voorspelbare wachtwoorden (bijvcorbceld uit een woordenboek) of middels brute-forcc (alle mogelijke combinatics). De ervaring leert dat een woordenboekaanval met name bij gebruikersaccounts succesvol kan zijn. In dat geval moet wel eerst bekend zijn welke gebruikersaccounts op de Oracle database aanwezig zijn. Aangezien veelvuldig geprobccrd wordt in te loggen met cen account brengt een dergelijke aanpak ook risico's met zich mee. De kans bestaat dat een blokkade van een account optreedt, doordat men het maximaal aantal foutieve inlogpogingen ovetschrijdt. Het blokkeren van het SYS account is overigens niet mogelijk [MLN225529.1]. Daarnaast worden toegangspogingen ook geregistreerd in logbestanden, zodat de kans bestaat dat de penetratietestactiviteiten in een vroegtUdig stadium ontdekt worden. Door hct blokkeren van een account kan overigens wel achterhaald wordcn of en zo ja wat de password policy voor wat betreft het maximale aantal toegangspogingen is. Het is in dat gcval verstandig om dit bij een regulier gebruikersaccount te proberen. Het blokkeren van service en systecm accounts leidt mogelijk tot problemen in een productieomgeving. Deze activiteit is niet nader in de casus uitgewerkt, aangezien het idee daarachter voor zich spreekt. Stap 4e: Ondernemen venrolgstappen In de casus is vastgcsteld dat sprake is van nvec accounts die ungerust zijn met het bijbehorende default wachtwoord. Deze accounts beschikken over beperkte rechten binnen de Oracle omgeving. Het nicuw te stellen doel is met behulp van deze accounts hogere rechten binnen de Oracle omgcving te verkrijgen. Om dat docl te bereiken zijn vervolgactiviteiten nodig. Ook hier wordt op basis van de nu bekende informatie, vooronderzoek, kennis en ervaring een initile inschatting gemaakt van de mogelijkheden. Het ligt voor de hand te starten met relarief eenvoudig uit te voeren aanvalstechnieken gericht op bekende kwetsbaarheden met ccn grote impact. Het voorliggende artikel beschrijft als voorbeeld een tweetal vervolgstappen welke bcide kunnen leiden tot verkrijgcn van toegang met hoge rechten op de database. Het betreft hier twee activiteiten gericht op het binnendringen in cen informatiesysteem (activiteiten 7 en 8) die geen onderdeel vormen van de stappen informatievergaring (stap 4a) of analyse (stap 4b).
4D4-444tornummer t
1 eoa
H'
Lii ECtL
ffij VIHR fit) ffo YI . t 110
figuur 5: Rol toewijzIng gebruiker SCOTT voor de aanval.
C:,1 llti iigliii, Egio 1 'i:' 7-1 r ,. 1.,3154 .9 1. igEijE fi i g i i ‘, , . . . -..--....... .9s gïnn .1 *t 'E ..:1 fili I 2`-','`.1*. t»
§
i
lI
t
21 .2.1
777 47
7
74
lts il<j 70
; ,.., 4,- , to.
4
l't
‘713..rit tiaeza
2.
2.1 I' i 3m; zsto as 3ea
7
1 71. 74 » 74 Wo » 27
i» » i
-; fi
1--
0....., . ;* 0...• nn
cg 5`1•' ° 11 ).° 2 s'i.,
bu #11
» g' k g li ga
t
:
agg
n
32a.
a.t; ;! 00
7'
FIguur 6: Deel van Oracle client netwerksessle met bewuste alter
Figuur 8:
sesslon SQL commando.
SQL commando verstuurd wordt
•ede•Mits. 40 41 40 111 al fl 4 00 447MCII fl •*1TftÏ-- pri sik 4,1'ear fl fl
De gebruiker SCOTT (met defaultwachtwoord TIGER) beschikt over de volgende privileges.
te tr ere n 4.0 ritifflikEierr rtiakt tr,-ts Se 1711fl sh 0 re ,e1 t D.Keeptek fl Stil aoaa4748 5*5242 54 le arr moswrisol. LS11 . 44 -41 41 41 ir) 1.1 n n s n .• nenene 13-3i 113 tr 4c fl se Se xszocar enewmtzt:
Deel van Orade client netwerksessie waarin aangepast
Het concept achter de aanval is om tijdens het authenticatieproces het ALTER SESSION commando te vervangen door een eigen commando. In de casus is dit een commando waarmee database beheer (DBA) rechten toegekend worden aan het gevonden SCOTT account. Er zijn verschillende manieren om misbruik te maken van deze kwetsbaarheid [ADP], [OAK]. De eenvoudigste manier is het aanpassen van de binaire bestanden van de Oracle client,
figuur 7: AanpassIng van SQL commando in Oracle client sturingsprogramma.
Stap 4e: VervolgactIvItelt -.> Activitelt 7: Otucle client aanval
Ecn rclaticf eenvoudig uit te vceren aanval met in potentie een grote impact is de Oracle Access Control Bypass in Login kwetsbaarheid [IMPERVA]. De aanval is gcricht op een kwetsbaarheid in het login authenticatieproces als onderdeel van het TNS protocol. De technische achtergrond van de kwetsbaarheid is dat gedurende het inlogproces SQL commando's (ALTER SESSION) uitgevoerd worden voor het instellen van de sessie-attributen. Dit SQL commando wordt echter nict uitgevoerd met de rechten van de gebruiker die zich aanmeldt, maar met de hoge rechten van de SYS database gebruiker. Dit gegeven in combinatie met dc mogelijkhcid het SQL cornmando aan de clientzijde aan te passen, leidt tot grote risico's.
Met bchulp van een netwerksniffer (b.v. Wireshark, http:// www.wireshark.com ) kan de communicatie tussen de Oracle client (SQL*PLUS) en de Oracle database server afgeluisterd worden. In figuur 6 is de bewuste ALTER SESSION SQL statement tijdens het (reguliere) inlogproces gearceerd weergegeven. De Oracle client verstuurt deze opdracht. Dit betekent dat de feitelijke samenstelling van deze opdracht grzneht mcet worden aan de cliCntzijde. Het doorzoeken van de Oracic client binaries (in dit geval Wmdows) levert in één van de ondcrsteunende DLL's diverse hits op (zie arcering in figuur 7).
Randvoonvaarde, naast dat de database hiervoor nog niet gepatched is, is de beschikking over een geldig database account/wachnvoord met minimale rechten (create session). In de casus is bij activiteit 5 de aanwezigheid van twee accounts met een defaultwachtwoord vastgesteld. Deze accounts worden in de onderstaande uitwerking gebruikt.
Met behulp van een binaire editor (hexedit) vervangen wc vervolgens alle ALTER SESSION SET statements door een andere opdracht. In het geval van de penetratie test vervangt het team de opdracht door GRANT DBA TO SCOTT.
,
t==f
,2==
f:1 f
k
Figuur 9: Rol toewlfzIng gebrulker SCOU na aanval.
a de FDP-katita nummer
31
aool3
Na aanpassing van de client software stuurt deze tijdens het opstarten en aanmelden op de database het gewenste commando en voert dit op de database uit met SYS rechten (zie figuur 8).
dat elke gcauthenticeerde database gebruiker willekeurige SQL commando's kan uitvoeren met de rechten van een database beheerder (DBA). Zie tevens [DRILOAD], [ALERT68].
Na het terugbrengen van de Oracle client in zijn originele staat leert een controle van de rechtcn van de gebruiker SCOTT dat dezt nu DBA rechten heeft.
In de praktijk (zie casus) kan de aanval met een enkele opdracht uitgevoerd worden. De SQL injection aanval op de CTXSYS.DRILOAD package wordt hieronder streerd.
Op dit moment is toegang tot de database verschaft met hoge rechten en kunnen besloten delen van de database ingezien en aangepast worden. Dit biedt weer verdere mogelijkheden om bijvoorbeeld door te breken naar het onderliggende platform. Deze kwetsbaarheid is overigens in de Critical Patch Updatc (CPU) van Oracle in januari 2006 opgclost. In de casus is hicrmce vastgesteld dat de Oracle database kwetsbaar is voor deze fout. De onderstaande aanbeveling ligt daarbij voor de hand.
Volg de patch-cyclusvan Oracle, let op waarderingen/impact die door Oracle aangegeven zijn (met name remote, unauthentlated/ authenticated explons hebben hoge impact).
Een kanttekening in algemene zin is dat mogelijk sprake is van een valide onderbouwde afweging voor het al dan niet inzetten van een patch. Tijdens de Mtvoering van cen penetratictest kan het team op basis van een enkele waarneming niet vabLstellen of sprake is van ccn welovenvogen afweging. Bij de risicoafweging kan ook als mitigerende factor sprake zijn van monitoring en alannering waarbij de beheerorganisatie deze tocgang en gebruik van DBA rol privileges opmerkt en op basis daarvan (geautomatiseerde) acties uitztt.
Eerst controleert de aanvaller de rechten waarover het DBSNMP account beschikt, als volgt: SQL> solect • from user_role_privs; USERNAME DBSNMP
GRANTED_ROLE CONNECT
ADM DEF 05_ NO VES NO
Het DBSNMP account beschikt alleen over de connect roltoewijzing. Onderdeel daarvan is het minimale privilege dat nodig is voor het opzetten van een verbinding met de database. De aanvaller maakt middels het uitvoeren van de onderstaande SQL opdracht misbruik van een aanwezige SQL injection in de CTXSYS.DR1LOAD package. Een execute immediate geeft opdracht om DBA rechten toe kennen aan het DBSNMP-account. 91EL> exec cttsysabiload.valldate_strrttegrant dba to dbusmpl; BEGIN cbcsys.driload.valldate_stmt('grant dba to dbsnmp'); END; ERROR at llnei: ORA-o6sio: PL/SQL: unhandled user-defined exception ORA-06512: at "CTXSYS.DRILOAD", line 42 ORA-oloo3: no staternent parsed ORA-06512: at Ilne 1
Stap 4e: VervolgactIvItett -> Activttelt 13: SQL Infection
Om duidelijk te maken dat cr meerdere manieren bestaan om deze rechten te verkrijgen volgt ecn korte illustratie van een SQL injection aanval. In het kort heeft SQL injection betrekking op het niet of onjuist controleren van gebruikersinput wat kan leiden tot uitvoeren van opdrachten (SQL) op de database. Zie [WIKI] voor cen nadere toelichting. De Oracle package CTXSYS.DRILOAD bevat een bekende kwetsbaarheid [ALERT68]. De kwetsbaarheid in een notendop: De betreffende package van CTXSYS is voorzien van publieke toegangsrechten en gebruikt voor het uitvoeren van opdrachten de rechten van de eigenaar (DBA) in plaats van de rechten van degenc die de package aanroept. Daarnaast vormt de package zonder enige vorm van invoercontrole elk SQL commando uit. Het betreft daarmee een vorm van directe database SQL injection. Het risico bestaat 1s I de EDP.At
Een controle van de rechten van het DBSNMP leert dat DBA rechten zijn toegewezen.
SQL> select • from user_role_pdvs; USERNAME DBSNMP DBSNMP
GRANTED_ROLE CONNECT DBA
ADM DEF OS_ NO VES NO NO VES NO
Door het installeren van Oracle alert patch 68 wordt deze Invetsbaarheid verholpen. Zie tevens [MLN281189.1]. Ecn aanbeveling op basis van deze bevinding ligt in lijn met de aanbeveling gedaan bij de Oracle client hack.
nunirner 3 r aooli
Stap 4c: Venrolgartivitetten
Het ondernemen van vervolgactiviteiten is athankefijk van het al dan niet bereiken van de onderzoeksdoelstelling. Gegeven de beschikbare DBA rechten op de database (geillustreerd op een tweetal manieren) bchoren bijvoorbeeld de volgende activiteiten tot de mogelijkheden: • Het volledig in kaart brengen van het systeemlandschap van de database inclusicf eventuele vertrouwensrelaties met andere databases. In de gcschetste casus zou gekozen kunnen worden voor het bevragen van de aanwezige database profielen, waarin bijvoorbeeld eisen ten aanzien van wachtwoordsamenstelling, frequentie van wachtwoord wijzigen et cetera is vastgelegd. Ook het verkrijgen van inzicht in de toewijzing van database rollen en privileges past binnen de geschetste onderzocksdoehtelling. Daarnaast kan het team ook achterhalen wat op welke wijze gelogd wordt en welke database alarmering (triggers) ingesteld zijn. • Het opvragen van de vercijferde wachtwoorden (hashes) van alle Oracle accounts. Deze hashes kunnen vervolgens met geautomatiseerde hulpmiddelen offline gekraakt worden. Zie bijvoorbeeld [ORABENCH] voor een benchmark van verschillende tools. De gekraakte wachtwoorden geven inzicht in de sterkte van de gekozen wachtwoorden. Daarnaast is het mogelijk om deze identificatie- en authenticatiegegevens te gebruiken op het platform, applicaties of andere systemen. De kans dat dezelfde account/wachtwoordcombinaties aanwczig zijn op andere toepassingen is groot. • Vanuit de databaseomgeving kunnen we uitstapjes maken naar het onderliggende platform ofnetwerk In [ORAFEB] is een heel hoofilsruk ingeruimd dat beschrijft op welke wijze het uitvoeren van besturingssysteem commando's vanuit de database mogelijk is. Deze activiteit kan als opstap dienen voor het verkrijgen van volledige controle over het onderliggende besturingssysteem, applicaties en andere databases. Overigens is het ook mogelijk om vanuit het platform een aanvalsplan op te stellen. In figuur 2 is daartoe, op basis van de uitgevoerde poortscan (zie figuur 1) een voorzet gegeven. Activiteiten binnen dit aanvaisplan zijn, zoals in figuur 2 schematisch weergegeven, gericht op mogelijke kwetsbaarheden in aanwezige netwerkservices zoals SMTP, FIT en HTTP.
onderzoek en aanbevelingen voor aan de systeemeigenaar voor hoor en wederhoor. De afgestemde rapportage wordt voorgelegd aan de opdrachtgever. Alle verrichtte werkzaamheden en elektronische evidence voor het onderzock komen in het onderzoeksdossier terecht. Het onderzock wordt afgesloten middels een zelfevaluatie van het project om te leren van gemaakte fouten. Conclusie
Een penetratietest richt zich op het vaststellen van de eventuele aanwczigheid van een (technische) kwetsbaarheid en de negatieve uitwerking die dit heeft op het onderzoeksobject. Een garande over de afivezigheid van kwetsbaarheden kan de auditor niet bieden. In tegenstelling tot een reguliere IT-audit naar opzet en bestaan zijn bij een pcnetratietest met een red teamkarakter, de opzet, de inrichting van de beheerorganisatie, processen, proccdurcs en werkinstructies geen object van onderzoek. Op zich ook logisch aangezien de auditor, gelet op gehanteerde profielen en scenario's niet beschikt over deze informatie. De mate van zekerheid die een penetratietest biedt, is daarmee dan ook lager dan een reguliere IT-audit. De auditor zal deze beperkingen dan ook zowel vooraf als achteraf in de rapportage duidelijk moeten maken. Het voordeel van de penetratietesttechniek is dat door het in praktijk brengen van een realistisch scenario en dreigingproficl de onderzoeksbevindingen het management overtuigen en bovenal erg aansprekend werken. De auditor heeft vanuit de praktische insteek en bijbehorende waarnemingen ook uitstekende handvaten om de kans en impact van het manifest worden van bedreigingen te duiden. Het benodigde kennisniveau, middelen, matc van complexiteit en ervaringscijfers vormen bij het inschatten van risico's de belangrijkste referentiepunten voor de auditor. Daarnaast dwingt een dergelijke audirtechniek af dat de IT-auditor omgevingsfactoren in zijn onderzoek betrekt. Waarnemingen vinden namelijk in eerste instantie vanuit de omgcving plaats. Penetratietesting als techniek biedt daarmee de mogelijkheid om een accuraat en realistisch beeld van de kwaliteit van de technische beveiligingsinrichting van een geautomatiseerd systecm te verkrijgcn.
teasu Voor de voorbeelden Is gebruikgemaakt van een standaard Oracle gaai installatie op een Wndows 2000 server met 5P4 In VMWare.
In de uitwerking van de casus is direct toegewerkt naar DBA-toegang tot de database. In de praktijk zullen verschillende paden bewandeld worden, waarvan diverse paden doodlopen. In technische zin kunnen diverse technieken en methoden toegepast worden die in het kader van dit artikel te ver voeren.
Voor de duidellikheIch Voor het demonstratleve karakter Is een defauk installatie van een Oracle 9.101 data ba se op een Windows 2000 platform Ingencht. Detoegepaste en beschreven technieken en mIddelen zijn vnj verkrijgbaa r en bin nen de gebruikersgroep algemeen bekend. •
Fase 5: Afronding
In de afrondingsfase legt het team de resultaten van het a0 1 de •»utoRts• nummer 3 1 3008
Uteratuudijst [ADP]
ADP Ellog. On a breakable Oracle, ziklanuarl 2006,
[NMAP]
NMAP Secu My Scanner, Isttp:/finsecure.orp/
[0/8<]
Orade Assesment Kft, Davld Litchfield, http://wwwvol
httpijwwwadp-gmbh.ch/blaghoo6/m/24.php [ALERT681 [AMAP]
nerabilityassessmentm.uk/oakhtm
Oracle securfty alert 68 irttp://waworaclecomitechnology/
[DAT]
deploy/security/pdf/2004alett68.pdf
[ORABENCH] Oracle passwonl hackers benchmat*, http://www.
OmdeAuditing Tool w, http://www.cq ure.net
The Hackets Chalce AMAP ponscanner, http://freeworld.
red-dala base-securitycom/whttepaper/oracle_password_
ificarg/ [DRILOAD]
benchmadchtml
http://www.red-database-securitycom/advisory/orade_
[ORAHEI]
sql_injection_via_ctvsys_driloadhard
The Oracle Hacker's Handbook, David Iftchlield,Wley publishing. ISBN:978-o-47a-a8022-1
[FINNIGAN) Default Omcle Passwords, http://wvwv.petefinnigan.com/ default/default_password_lIsthtm
[ORASEC]
OraSEC, http://~woanycauk/projects/oracsechtml
[ORASEC87] Oracle secuniy alert 57, 4September 2003. httpijwww.
[FINNIGANa] Orade r,gpasswordalga4thrnrevealed, 24 september
oracle.com/technsilogy/deploy/security/pdf/2oo3alert57.
2007. http://vnwzpetefinnIgan.com/weblog/ archlves/000zna92.1rtm
[OSCAN]
Pdf Orade scanner r.o6, http://www.cgure.net/wpfipage_ld-3
[IANA]
IANA Port number assignment, http://wwwiallan (8/
[SANS]
An Assement of the Oracle Password HashIng Algotithm,
[IMPERVA]
assIgnments/P0d-numbers Full disclasure Omde DBMS Access Control bypass in
[SIDGUESS]
SIDGuesser Los, http://www.coure.net
fogin,i7januari 2006.
[TNSCMD]
TNSCMD Pen suipt, http://lwoof.Jammed.comftva/
[VULASS]
Defautt Oracle passwords overview, ratp://vwanvulnera
Management with Profiles, Metallnk note MU.12255292,
[WIKI]
SQL InJection, http://en.wlkipedia.org/wiki/SQL_injectIon
24 juni2003.
[WINSID]
loshua Wright, Carlos Od,18 oktober 2005.
[mis16o861.1] Orade Created Database Usen: Password, Usage and Elles References, Oracle Metalink Note
160861.1, 20
maart zom.
hacks/security/tnscmd
[M11(2255292] How to LOCK the S15 PASSWORD using Password
bilityassessmentco.uk/defautt_oracle_passwords.htm
[MLN222633.2) DesaiptIon and usage of the ADMIN RESTRICTIONS_
WInSID Pro, http://vavw.syntheticbytes.com (de tool is nIet meer beschlkbaar via de website).
Ilstener name parameter, Oracle Metallnk nate 2226332, 25 maart 2005. [MLN281189.1] FACIfor secuttly alert 68, Omde Melalink note 2811892, mel 2007. [MLN361482.1]
Noot
Frequently Asked Ouestions about Orncle Default Possword
Een drempel wordt opgeworpen wanneer de toegang tot de Ilstener met
Scanner, Oracle Metallnk Nate 364822,18 april 2006.
een waMtwoord zou zljn bevelligd.Om in deze gevallen toch een geldIge
[MLN9922u] listening Port numbers, Metalink Nate 99221.1, 8 aprIl 2008.
SID te verkajgen, kan geprobeerd worden om de SID te raden. Een tool waarmee dit mogelijk is, is SIDGuesser [SIDGUE55]. Een andere mogelijk-
[MLN2352982] Overview of Default Fbrts Used by EM rog Cdd Control, 08 Control and AS Control, Oracle Metallnk Note 2352982,
held is het raden van het listener wachtwoord. Dit kan bljvcorbeeld met de cammerciéle tool WInSID Pro [WINSID].
februari zoo8.
ADVERTENTIE
NUI
rtiv
edukans geef een kind een kans op school
postbus 1492 3800 bl amersfoort t (033)460 6010 f (033)460 60 20 info©edukans.n1 giro 515
' I i de E•ktidtbx
nummer 3
i
2008