Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
CONCEPT
VURORE/NOREA IT Audit ThemadagVURORE/NOREA
IT Audit Themadag
Technical-audits en monitoring:
simpele, effectieve voorbeelden
Petr Kazil – EDP Audit Pool
Technical-audits en monitoring:
simpele, effectieve voorbeelden
Petr Kazil – EDP Audit Pool
Dia 2
Verwachtingsmanagement - Disclaimer !
• Praktijkervaringen : Informeel : Ongesorteerd
• Techniek : Windows : Active Directory
• Spelen met vragen :
• 1: Frequentie interne incidenten ?
• 2: Detectie misbruik ?
• 3: Detectie zwakke plekken ?– Interne systemen
– Externe websites
– Windows infrastructuren
Demo’s alleen als tijd over!
Alles staat in sheets.
Dia 3
Vraag 1 : Frequentie interne incidenten
Ik denk niet dat de infra-
structuur wordt
misbruikt
Meet- of detecteer je
misbruik proactief ?
Niet echt …
Hoe kun je het dan zeker weten
?
Vicieuzecirkel
Nou, we merken
nooit wat van misbruik
…
Dia 4
Vraag 1 : Klassieke interne fraude
Geen kennisvan fraude 66%
Wel kennisvan fraude 34%
Niet gemeld61%
Wel gemeld14%
Soms gemeld25%
• Iemand anders had het gemeld • Bezorgd over reactie collega’s • Bezorgd over positie in bedrijf
• Gebruiken / stelen bezit bedrijf• Te hoge / privé declaraties • Declareren niet gewerkte tijd
Bron: Kennis van fraude in bedrijven, Regioplan publicatienr.1166, 2004 – 503 respondenten
Fraude vaak niet gezien / gemeld
Dia 5
• Krantenartikel zomer 2006: “Samen de kassa van de baas plunderen”
• PwC constateerde in zijn jaarlijkse onderzoek dat in 2005
• de helft van de plegers van een economisch delict uit de eigen onderneming afkomstig is.
• 'De fraude die we niet kennen neemt toe', zegt Bob Hoogenboom(forensische studies Nivra-Nyenrode). 'Wat we zien is het topje van de ijsberg.
• We weten steeds minder over de aard en omvang van fraude.‘
• Werknemers hebben recht op vertrouwen, maar ook op controle.
Vraag 1 : Klassieke fraude - controle & toezicht
Dia 6
Vraag 1 : ICT misbruik – eerste poging
• Krantenartikelen 2005/6 (Lexis/Nexis)
• Security mailing lijsten (SANS/Govcert)
• Conferenties / presentatie / publicaties
• Niet iedereen integer (ook ambtenaren niet)
• Niet alle infrastructuren goed beveiligd
• Aanvallers worden slimmer
• Schadelijke software slimmer en onzichtbaar
• Criminelen verdienen geld met ICT / data
Dia 7
1: Life-cycle van beveiligingsincidenten
Extern
Intern
Beheerder
Medewerker
HackerGelegen-
heid
Motief
Midde-len
Misbruik Detectie
Het hele plaatje is redelijk in te vullen met gerenommeerd en recent onderzoek !
Dia 10
Extern versus intern : 50-50
Bron: The Information Security Breaches Survey 2006, UK Department of Trade and Industry, PricewaterhouseCoopers
Dia 11
Extern misbruik
Bron: The ASIS Foundation Security Report: Scope and Emerging Trends, ASIS, 2005
Dia 16
Gelegenheid :
• Weinig goede beheerders
• Weinig kennis/opleiding staf
• Slecht ingerichte systemen
Dia 17
ICT-Beheerders extra risicobron
• Hoge bevoegdheden + Weinig functiescheiding
• Veel externen + Weinig screening
• Veel vertrouwen + Weinig toezicht– Vreemde werktijden
– Remote beheertoegang
– Complexiteit en specialisme werkgebied
• Praktijkvoorbeelden sabotage: – “Backdoor toegang”
– Logische bommen
– Meestal pas achteraf ontdekt, toen storing optrad
Bron: Insider Threat Study: Computer System Sabotage in Critical Infrastructure Sectors, May 2005, Software Engineering Institute, National Threat Assessment Center
Dia 18
Gangbare detectie = voorspelbaar
Detectiesoftware logging+monitoring periodieke audit scans
Beter dan ons gevoel !
Dia 19
Klopt met eigen informele navraagOmdat men denkt dat er zeer weinig incidenten zijn!
Detectie percentage : 90% ?
Maar is dat gevoel terecht?
Volgens ons gevoel niet !
Dia 20
Vraag 1 : Mogelijke conclusies
• Organisatie kan niet zonder
vertrouwen maar:– Beheerders en gebruikers hebben
recht op toezicht
• Actief ontdekken en opsporen van :
– Aanvallen - Bewust Misbruik
– Toe-eigenen van functionaliteit
– Slordigheden - Gemakzucht
Consistent met ‘klassieke’ fraude
literatuurInterne controle? Taak IT-Auditor?
Of niet?
Dia 21
Vraag 1 : Mogelijk vervolg ?
• Belastingdienst : Jaarlijkse trendanalyse !
• Norea ? IT-Audit opleidingen ?
Dia 22
Inhoud
• 1: Frequentie interne incidenten ?
• 2: Detectie misbruik ?
• 3: Detectie zwakke plekken ?
– Externe websites
– Windows infrastructurenInterne systemen
Dia 23
Vraag 2: Detectie - Analyse Windows logfiles
Elke Windows server houdt (minimaal) 3 logfiles bij :
Zitten vol met interessante informatieVooral “security” log interessant voor auditorsBeheerders:Kijken meestal achteraf naar logfiles – analyse storingenKijken vooral naar “application” en “system” logs
Dia 25
Wat staat analyse in de weg ?
• Logs verspreid over vele systemen
– Soms meer dan 50 Domain Controllers
• Logfiles zijn groot
– 100Mb en meer
• “Events” zijn technisch
• Onduidelijk welke events kritisch zijn
• Microsoft levert nu bruikbare hulpmiddelen
• Gratis !
Dia 26
Welke events zijn belangrijk?
• In 2005 heeft Microsoft richtlijnen uitgebracht voor loganalyse
• Voor de eerste keer !
Dia 28
2: Hoe haal je de kritische events er uit?
• Microsoft tool : Logparser
• Leest gestructureerde bestanden en selecteert gegevens op basis van SQL-queries
• Krachtige en toch eenvoudige programmeertaal
• Is in een dag te leren (eigen ervaring)
• Verbazingwekkend snel
Dia 29
2: Selectie van succesvolle logins
• Uitstekende help files van Microsoft
• Query is met “trial en error” in een kwartier te knutselen
Dia 32
Wat kun je zo uit de files halen
• Handelingen van beheerders
– Aanmaken van accounts en groepen
– Wijzigen van policies
– Wie doen beheer en zijn ze geautoriseerd
• Handelingen van gebruikers
– Login / logout
– Toegang tot bestanden
• Mogelijke aanvallen / misbruik
– Mislukte toegangspogingen
– Grootschalige toegangspogingen
– Vreemde tijden
Prima
bestaanscontrole!
Dia 33
Vraag 2 : Detectie : Het ideaal
Log
parser
Event
comb
Queries
volgens
Microsoft
Samen
vatting
Auditors
Beheerders
Scripts die wekelijks draaien
Controle werking wordt mogelijk !
Dia 34
Vraag 2 : Mogelijk vervolg ?
• Norea ? IT-Audit opleidingen ?
• Centraal tools beoordelen en aanbevelen?
• Centraal richtlijnen voor monitoring opstellen?
• Aantoonbaar:
• Bent U in control?
Dia 35
Inhoud
• 1: Frequentie interne incidenten ?
• 2: Detectie misbruik ?
• 3: Detectie zwakke plekken ?
– Interne systemen
– Externe websites
– Windows infrastructuren
Dia 36
3a : Interne scan
• Grootschalige port scan
• Handmatig nalopen van resultaten
• Zoeken van de “foute” systemen
Auditor
Nmap / superscan
Dia 43
Oracle : wachtwoord = accountnaam
Op (xxx.bd.minxxx.local) zijn accounts aanwezig met wachtwoord gelijk aan de accountnaam. Het is
mogelijk om in te loggen en de structuur van de database tabellen te zien.
Dia 45
FTP-server : personeelsgegevens open
Op server ka5xxx04 is een anoniem toegankelijke FTP-server aangetroffen met back-up bestanden
van een personeelsdatabase (sofinummers, bankrekeningnummers, salarisgegevens,
ziekteverzuim).
Dia 47
Interne “vulnerability” scan
GFI Languard
Eenvoudig tool
Niet heel kostbaar
Maar kan toch heel “enge”resultaten aan het licht brengen
Dia 48
Interne vulnerability scan
Gebruikers die heel lang niet hebben ingelogd
Zouden die nog op initieel wachtwoord staan?
Zou het wachtwoord te raden zijn?
Dia 49
Wachtwoorden raden
User Applixservice --- applix -iUser aquard --- aquard -iUser BHRD --- admin -iUser Srv_KaUser --- = -i omgekeerd -User Srv_InstallXP --- install -iUser Srv_OSDService --- service -iUser XpEnteo --- enteo -i ---User xpfunctioneel1 --- = -iUser xpfunctioneel2 --- xpfunctioneel -iUser xpfunc3 --- = -iUser xpfunctioneel5 --- beheer -iUser xpfunctioneel6 --- = -iUser xpfunctioneel7 --- admin -iUser xpfunctioneel8 --- windowsxp -iUser xpfunctioneel9 --- welkom -iUser xpfunctioneel10 --- tester -iUser xptech2 --- = -iUser xptech3 --- xptech -iUser xptech4 --- tester -iUser xptech5 --- testnummer5 -iUser xptech6 --- gebruiker -iUser xptech8 --- xptech8 -iUser xptech9 --- welkom -iUser xpintake1 --- xpintake -iUser xpintake2 --- welkom -iUser xpintake3 --- = -iUser xpintake4 --- geheim -iUser xptech1 --- project -iUser momoperator --- = -
User pkmuser06 --- user06 > geheimUser pkmuser07 --- 123456 -User pkmuser08 --- qwerty -User pkmuser09 --- user09 ***** > geheim
User pkmuser06 --- user06 > geheimUser pkmuser07 --- 123456 -User pkmuser08 --- qwerty -User pkmuser09 --- user09 > geheim
Toen ik er aan begon dacht ik niet dat het zou lukken …
Geduld nodig, score : 20 keer proberen om één wachtwoord te raden
Uiteindelijk Domain Admin wachtwoord geraden – GAME OVER!
Dia 50
3a : Niet goed! – Maar hoe komt dit?
• Ik wist niet dat dit aanwezig was …
– Als het werkt is het goed genoeg
– Als ik het kan bedienen is het goed genoeg
– Gebrek aan tijd, belangstelling, hobbyisme
– Complexiteit infrastructuren
– Versnippering beheerorganisaties
• Even snel iets oplossen – en dan vergeten
Dus: Controle en toezicht is nuttig !Rol voor IT-
Auditor?
Dia 51
Inhoud
• 1: Frequentie interne incidenten ?
• 2: Detectie misbruik ?
• 3: Detectie zwakke plekken ?
– Interne systemen
– Externe websites
– Windows infrastructuren
Dia 52
3b : Webserver scans
• Openingen in firewall voor buitenwereld naar webserversen webapplicaties
• Denk aan : subsidieaanvraag systemen, databanken met regelingen, milieu-informatie etc.
• Kwetsbaarheden in achterliggende systemen niet afgeschermd door firewall
Geldt al jaren lang !
Dia 55
Voorbeeld : Niet-uitgezette functies
Logging en monitoringvoor iedereen
bereikbaar – niet gevaarlijk, maar niet
netjes
Dia 57
Scripts die foute invoer accepteren :
Toegang tot commandoregel !
Ook mogelijk :
- Opvragen wachtwoord bestand
- Lezen en plaatsen van bestanden
- Inloggen
Dia 58
3b: Waarom gebeurt dit ?
• Web-technologie is vriendelijk :
• Applicatie is snel in de lucht
• Kant-en-klare functies en modules
• Snel te downloaden
• Kwaliteit niet bekend
• Beheerders :
• Geen detailkennis nodig
• Geen gevoel voor de risico’s
Dus:
Toezicht is nuttig !
Dia 59
Inhoud
• 1: Frequentie interne incidenten ?
• 2: Detectie misbruik ?
• 3: Detectie zwakke plekken ?
– Interne systemen
– Externe websites
– Windows infrastructuren
Dia 60
3c : Windows / Active Directory
• Servers
• Werkstations
• Users
• Groepen
• Policies
• Beveiliging
Hoe audit je dit
monster?
Dia 61
3c : Ideaal : Audit versnellen
Auditor krijgt automatisch samenvatting van belangrijkste gegevens4
Doorlooptijd audit : slechts enkele uren5
Standaard commando op Windows
Kost beheerder nauwelijks tijd
2
CSVDE Tool:
Auditor vraagt beheerder om één bestand te dumpen en te mailen1
Kan maandelijks : toezicht op WERKING6
Auditor analyseert bestand met CSVDE tool3
Waarschuwing : Ik maak reclame voor eigen product!
Maar het is goed bedoeld …
Dia 64
Analyse CSVDE bestand (stap 3)
• Open het CSVDE bestand
• Programma leest bestand en vertaalt inhoud naar leesbaar formaat
www.xs4all.nl/~kazil/testfiles/analyzecsvde
Dia 65
Analyse CSVDE bestand – stap 3
Lijst van uitvoerbestanden :
• samenvatting
• details – leesbaar in Excel
Dia 72
Extra opties : niet-persoonsgebonden accts.
Met behulp van uitgebreide namenlijsten
wordt onderscheid gemaakt tussen
personen en niet-personen
Dia 75
3c : Audit zinvol ?
• Structureel vinden wij :
• Beheerders die wachtwoord wijziging uitzetten
• Hoge managers die wachtwoord wijziging (laten?) uitzetten
• Veel testaccounts en tijdelijke accounts
• Veel slapende accounts
Dus:
Toezicht is nuttig !
Dia 76
Vraag 3 : Mogelijk vervolg ?
• Norea ? IT-Audit opleidingen ?
• Centraal tools beoordelen en aanbevelen?
• Ervaringen over meest gangbare zwakke plekken uitwisselen?
• Oorzaken zwakke plekken structureel analyseren?
• Meer theorievorming?