Folien - DFN-CERT

Transcription

Folien - DFN-CERT

Erschließung,OptimierungundBewertungvon
VerwundbarkeitsanalysenmitöffentlichzugänglichenDatensammlern
KaiSimon,Cornelius Moucha
Hamburg,09.02.2016
©KaiSimon,CorneliusMoucha
VerwundbarkeitsanalysemitHilfevonDatensammlern
Überblick
1
Ansätze zurVerwundbarkeitsanalyse
2
Klassische Datensammler
3
Themenfeldorientierte Datensammler
4
Qualität dererzielten Ergebnisse
5
Zusammenfassung und Ausblick
2
AnsätzezurVerwundbarkeitsanalyse
Sicherheitslage
n Steigende AnzahlderAngriffeaufITSysteme
n Angriffauf50%derdeutschen
Unternehmen inletzten2Jahren
n Steigende Komplexität vonSoftwareSystemen
n Zunehmende AnzahlanSchwachstellen
n Zunehmender Bedarfaninterner
Auditierung undVerwundbarkeitsanalyse
Quelle:BSI„LagederIT-SicherheitinDeutschland2015“
3
Kontaktbehaftevs.kontaktloseVerfahren
n Penetrationstests
n kontaktbehaftete Verfahren
n u.a.Nessus, Nmap,OpenVAS,etc.
n alternativer Ansatz
n kontaktlose Verfahren
n u.a.Google,Shodan,etc.
4
Klassischevs.themenfeldorientierteDatensammler
n Klassische Datensammler
n andereHauptaufgabe als
Verwundbarkeitsermittlung
n bspw.Google,SuchenachWebseiten
und/oderInformationen
n Themenfeldorientierte Datensammler
n Hauptaufgabe: Verwundbarkeitsermittlung
n bspw.Shodan,portbasierte Suche
nachBannerinformationen
5
Fragestellung
n Fakten
n alternative Verfahrenwerdenim
Untergrundundz.T.vonBehörden
eingesetzt
n kontaktbehaftete Verfahrenz.T.
teuerundaufwändig
n Fragestellung
n Anwendbarkeit durchPrüfer
n Stärken/Schwächen
n Qualität derErgebnisse
6
Überblick
1
2
3
4
5
Zusammenfassung undAusblick
7
KlassischeDatensammler
Überblick/Google
n VerfügbareDatensammler
n Bing,Yahoo,Baidu,Google,etc.
n weltweite Marktdurchdringung von
Googlegrößerals90Prozent
n Ausnahme: Russland (Yandex),China
(Baidu)
n Google
n indiziertWebseiten
n Datenbasis: mehrals1BillionURLs
imIndex
Quelle:„gs.statcounter.com“
8
Methode
n Verwendungvonerweiterten Abfragemöglichkeiten
n erweiterte Suchparameter: „intext:“, „inurl:“,„site:“, etc.
n SuchenachBannerinformationen: z.B.überProduktundVersion
n Probleme
n u.a.Artikel,Präpositionen, Negationen undSonderzeichen wiez.B.„/“oder
Leerzeichen werdenignoriert
n Gegenmaßnahmen derDatensammler, keineautomatisierten Abfragen
9
Werkzeug
n Optimierungen
n händischerstellte „Dorks“,
Bestehende „Dork“-Datenbanken
vonschlechter Qualität(GHDB)
n FilterzurReduzierungder„falsepositives“ ->Sonderzeichen, etc.
n FilterzurReduzierungvonDubletten
->Deeplinks (Hosts)
n Gegenmaßnahmen zurVermeidung
derErkennung
10
Überblick
1
2
3
4
5
Zusammenfassung und Ausblick
11
ThemenfeldorientierteDatensammler
Überblick/Shodan
n VerfügbareDatensammler
n PunkSPIDER,ERIPP,Netcraft,Shodan
n Shodan größte/aktuellste Datenbasis
n Shodan
n verwendetIP-Portscans(Ports:
80/TCP,443/TCP,25/TCP,etc.)
n ca.500.000Millionen Einträge
n speichert Bannerinformationen und
Zusatzdaten (Domäne,Startseite,
etc.)
12
Methode
n Abrufderrelevanten Bannerinformationen von Shodan
Banner
SSH-2.0OpenSSH_4.3...
CPE
cpe:/a:openbsd:
openssh:4.3
CVE/CVSS
CVE-2014-1692
/7,5
n ExtraktionvonCPEs(CommonPlatform
Enumeration)
n Ermittlung relevanterCVE(Common
Vulnerabilies and Exposures) sowie
CVSS(CommonVulnerability Severity
Score)
13
Werkzeug
n Optimierungen
n Abrufvonerweiterten Informationen
(Stage1und2)
n Reduzierung von„false-positives“
durchFokussierungaufLevel-4CPEs
n Integration vonVergleich mitNessus
(Stage6und7)zur
Qualitätsbewertung
14
Überblick
1
2
3
4
Qualität dererzieltenErgebnisse
5
Zusammenfassung undAusblick
15
QualitätdererzieltenErgebnisse
Herausforderung
n Relevante Messgrößen
n Genauigkeit „precision“
n Trefferquote „recall“
n Probleme1
n “true-positives“, „false negatives“
Ø Aufwändig,aberhändisch
ermittelbar
n Probleme2
n tatsächliche Verwundbarkeiten
„relevantelements“
Ø Abschätzung/Vergleich z.B.Nessus
Quelle:Wikipedia,
https://en.wikipedia.org/wiki/Precision_and_recall
16
ErmittelteErgebnisse
n Referenzfürtatsächliche
Verwundbarkeiten
Genauigkeit Trefferquote
„precision“
„recall“
n Nessus-Prüflauf
n Prüfbasis
n Genauigkeit: ca.1.000IPs
n Trefferquote: ca.150.000IPs
Googlebasiertes
Verfahren
0,83
0,01
Shodanbasiertes
Verfahren
1
0,7
17
TypischeUrsachenfürQualitätsprobleme
n Shodan basiertes Werkzeug
n virtualisierte Webseiten (vHosts)
werdennichtindiziert
n Beide Verfahren
n Servernichtindiziert
n Backports:Versionsnummer wird
nachPatchnichthochgezählt
n Signaturbasis unzureichend
n Googlebasiertes Werkzeug
n Dorks undFilter„regex“ungenau
n Gegenmaßnahmen vorhanden
18
Überblick
1
2
3
4
5
ZusammenfassungundAusblick
19
ZusammenfassungundAusblick
n Alternative Verfahrenbesseralserwartet
n Genauigkeit vergleichbar mitbekannten Verfahren(z.B.Nessus)
n Trefferquote beithemenfeldorientierten Datensammlern deutlichbesser im
Vergleich zuklassischen Datensammlern
n MitOptimierungen kannErgebnisvoraussichtlich nochverbessert werden
n Kreuzaggregation beiderVerfahren(CPE-CVE-Methode mitklassischen Varianten,
Dork-Ansatzmitthemenfeldorientierten Datensammlern)
n Beide Verfahrenkombinieren
n Signaturdefinitionen erweiternundverbessern, etc.
20
Fragen
21

Folien - DFN-CERT

Transcription

Similar documents

- Lexon eU

Fragen und Antworten zur Maestro-Karte mit Kontaktlos

Änderung des Suchkriteriums für den Satelliten HotBird 13 E

Gesetzgebung für Handschuhe

HK-200513 - IT-Sicherheit - Hacking für

Website www.rkv.ch/verlag/verlag_download.html www

Jenoptik AG - e-mail Archivierung nach GDPdU

Datenblatt zum OMNIKEY 5421 Lesegerät

012_NeukundenAngebot Pentest

MP3-Find

Mädchen oder Junge ? Der chinesische Empfängniskalender verrät es