Sikkerhetstesting i ISTQB(?) perspektiv Trondheim 14. november Innhold

Transkript

1 Sikkerhetstesting i ISTQB(?) perspektiv Trondheim 14. november Innhold Dagens trusler og trends, hva er et Information Security Management System (ISMS), formelle standarder, auditing eller testing Secure development life cycle (SDLC) eksempler og testaktiviteter Uformelle standarder og open source retningslinjer og deres posisjon i et SDLC Statisk analyse, (web)applikasjon sikkerhet- og penetrasjon testing / hacking, infrastrukturtesting Opsjon: Demo IBM Appscan og Acunetix (free versjon), OWASP (feb 2009), Backtrack5R

2 Mitt navn: Om meg 25 år med kvalitet, standardisering, kvalitetssikring og testing Siden 2004 full time med programvare testing Tester, testleder og testkonsulent Involvert med informasjonssikkerhet siden 2004 Ikke fulltid dessverre Siden aug 2008 testleder i Brønnøysund (BRREG) ISTQB Full Advanced, Tmap Advanced Professional tester, EC Council Certified Ethical Hacker

3 Hvor sikker er vi? Kjenner vi alle risikoer? Kjenner vi alle avhengigheter, hvor stor er risikoen? Vi kan bruke en krypteringssystem som er 110% sikker (DLD)! Internett: tilgang til alt, for alle? Systemer blir mer og mer komplekse, påvirking av andre faktorer Vi kan ikke være 100% sikker, vi vet ikke heller hva 100% sikkerhet er! Sannheten er: Sikkerhet blir bedre og bedre, mer og mer vanskelig å hacke seg inn Største sårbarhet: mennesker (developing og bruk /drift) Hva er Informasjon eller datasikkerhet (Mine) data er sikret (= confidentiality) Data er pålitelig (under oppslag og transport) (= integrity) Data er tilgjengelige (= availability) Datamaskinen min er sikret! Og dette mens: Produksjon, lagring, bearbeiding, transport og sletting av data!

4 Sikkerhetstesting = Risikohåndtering Alle tests skal gjennomføres basert på trusselanalyse Hva slags data Hva er livssyklusen av disse data Hvilke trusler i hvilken fase Hva er (skade)effekten Hvilke risikoer aksepteres Undersøkelser og Rapporter Ikke alle er enig med hverandre Hva sier hackerne

5 Trustwave: The Web Hacking Incident Database Risikoer: DoS (33%), SQL (21%) XSS (9%) Hvorfor: Tilgjengelighet Vansiring Informasjon Målene: Offentlig (17%) Butikker (15%) Media (15%) Verizon: 2010 Data Breach Investigations Report Hvem er de: 45% eksternt 27% internt (din kollega?) 1% partner 27% ubestemt Hvor kommer de fra (eksternt): Eur-øst: 21% Am-N:19% Asia-øst:18% Eur-vest:10% (totalt ca 67%)

6 Threat metoder (Verizon) PWC: 2011 Global State of Information Security Survey Har en informasjon sikkerhetsstrategi: 65% Har en ISMS: 48% Bruker testverktøy: 53% Øker budsjett: 52% Trene ansattne: 49% Sjekker ansattes bakgrunn: 56% Trendlinjen er lit negativt for alle attributter!

7 OWASP Top (Previous) OWASP Top (New) A2 Injection Flaws A1 Injection A1 Cross Site Scripting (XSS) A2 Cross Site Scripting (XSS) A7 Broken Authentication and Session Management A4 Insecure Direct Object Reference A5 Cross Site Request Forgery (CSRF) <was T A10 Insecure Configuration Management> A8 Insecure Cryptographic Storage = = + A3 Broken Authentication and Session Management A4 Insecure Direct Object References A5 Cross Site Request Forgery (CSRF) A6 Security Misconfiguration (NEW) A7 Insecure Cryptographic Storage A10 Failure to Restrict URL Access A8 Failure to Restrict URL Access A9 Insecure Communications <not in T > A9 Insufficient Transport Layer Protection A10 Unvalidated Redirects and Forwards (NEW) A3 Malicious File Execution <dropped from T > A6 Information Leakage and Improper Error Handling <dropped from T > = OWASP Open Web Application Security Project Web application security Mange prosjekter Top Ten Live CD project Development guide Secure Coding Practices Code review guide Testing guide Med mer

8 A1 Injection (OWASP) Injection means Tricking an application into including unintended commands in the data sent to an interpreter Interpreters Take strings and interpret them as commands SQL, OS Shell, LDAP, XPath, Hibernate, etc SQL injection is still quite common Many applications still susceptible (really don t know why) Even though it s usually very simple to avoid Typical Impact Usually severe. Entire database can usually be read or modified May also allow full database schema, or account access, or even OS level access SQL Injection Illustrated Network Layer Application Layer HTTP request APPLICATION ATTACK Firewall Accounts Finance Administration Transactions Communication Knowledge Mgmt Custom Code App Server Web Server Hardened OS E-Commerce HTTP response SQL query Bus. Functions Firewall Databases Legacy Systems Web Services Directories Human Resrcs DB Table Billing "SELECT Account Summary * Account: FROM accounts SKU: SKU: WHERE acct= OR 1=1-- " Acct: Acct: Acct: Acct: Application presents a form to the attacker 2. Attacker sends an attack in the form data 3. Application forwards attack to the database in a SQL query 4. Database runs query containing attack and sends encrypted results back to application 5. Application decrypts data as normal and sends results to the user

9 Demo Cookie Injeksjon demo.testfire.net (nettbank) Firefox med cookie manager utvidelse Tilbud for en creditcard Manipulering av tilbud SQL injeksjon Praktisk bruk for SQL injeksjon!

10 SQL injeksjon manuell testing: = input validering blah or 1=1 Login:blah or 1=1 Password:blah or 1=1 or 1=1-- or 1=1-- or 1=1-- or a = a or a = a ) or ( a = a A2 Cross-Site Scripting (XSS) (OWASP) Occurs any time Raw data from attacker is sent to an innocent user s browser Raw data Stored in database Reflected from web input (form field, hidden field, URL, etc ) Sent directly into rich JavaScript client Virtually every web application has this problem Try this in your browser javascript:alert(document.cookie) Typical Impact Steal user s session, steal sensitive data, rewrite web page, redirect user to phishing or malware site Most Severe: Install XSS proxy which allows attacker to observe and direct all user s behavior on vulnerable site and force user to other sites

11 Cross-Site Scripting Illustrated 1 2 Attacker sets the trap update my profile Attacker enters a malicious script into a web page that stores the data on the server Victim views page sees attacker profile Application with stored XSS vulnerability Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Custom Code Script runs inside victim s browser with full access to the DOM and cookies 3 Script silently sends attacker Victim s session cookie Sikkerhetstesting i livssyklusen

12 Hva er et system? Bygges av systemelementer bl.a.: Hardware Programvare Prosedyrer Manuelle handlinger Mennesker Område miljø bygging Leverer / produserer produktet eller tjeneste All dette skal sikkerhet testes. Eller? Information Security Management System Et system Fokus på Mennesker Programvare Infrastruktur Bygning Miljø osv Revisjon Test

13 ISO og ISO ISO 27001: Information Technology Security techniques Information security management systems - Requirements ISO 27002: Information technology Security techniques Code of practise for information security management ISO 27001: Beskriver livssyklus fra, og en modell for, en data informasjon sikkerhetssystem ISO 27002: Beskriver prinsipper bak, og retningslinjer for implementering av, en data informasjon sikkerhetssystem ISO => ISO Forholder seg til ISO Annex A Gir hints og tips for implementering hver kontroll Egen sjekkliste Praktisk implementering basert på OSSTMM, OWASP, NIST, Google Hacking for Penetration Testers, m.m. OSSTMM = Open Source Security Testing Methodology Manual NIST = National Institute of Standards and Technology

14 ISO 17799:2005 Kapitler relatert til datainformasjon livssyklusen 5 Sikkerhetspolitikk 6 Sikkerhetsarbeid i organisasjonen 7 Klassifisering og sikring av aktiva 8 Personellsikkerhet 9 Fysisk og miljømessighet sikkerhet 10 Systemutvikling og vedlikehold 11 Tilgangskontroll 12 Innkjøp, utvikling og vedlikehold 13 Rapportering av sikkerhetshendelser 14 Kontinuitetsplanlegging 15 Overensstemmelse Secure Development Life Cycle (SDLC) Eksempler av SDLC Microsoft OWASP Fleste kopierer eller gjenbruker elementene fra MS Rekke sikkerhetsrelaterte aktiviteter Bevissthet Opplæring Test (granskning, hvit boks, svart boks) Utvikling og forvaltningsfase

15 Microsoft Secure Development Lifecycle Programvare utviklingsløp (ISO 12207)

16 Hva ønsker vi som tester / testleder? Integrering av vår dagens utviklingsprosess eller driftsprosess med datasikkerhet relaterte testaktiviteter Men: har du beskrevet utviklingsprosessen? Kanskje kan vi definere og beskrive aktiviteter som kan integreres. Kan det hjelpe? Hvor er ISTQB? Rettet mot programvare testing Sikkerhet bare en del Systemer leverer tjenesten produktet Skal vi ikke teste (hele) systemet? Hvordan skal vi planlegge, organisere og teste sikkerhet?

17 ISTQB og Sikkerhet Vi var ikke veldig flinke! Første tekster blir introdusert i Advanced Syllabus 2007 Avs : Functional security testing Prevent unauthorized access, autentisering, autorisasjon Avs : Technical security testing Infrastruktur og applikasjon Footmapping, vulnerability scan, hacking, penetration test Og nå skal vi lage en Ekspert Pensum rettet mot sikkerhetstesting Basert på.? Sikkerhetstesting i ISTQB perspektiv ISTQB har tradisjonell datatekniske systemer som fokus Testing er en del av utviklingsprosessen eller QA Sikkerhet derimot har ofte egen fokus i bedriften Hvordan skal vi implementere sikkerhetstesting? Hvem er interessenter, hva skal være omfanget? Hvordan skal vi organisere testingen?

18 Utfordringer = Strategi Bestemme hva skal testes Definere når og hvordan det kan testes Ingen åpen standarder (sikkerhet) brukt i utvikling og implementering Hver implementering er unik Forhåpentligvis lik i bedriften? Implementering ideell sett En data teststrategi informasjon skal implementeres sikkerhetssystem etter skal en implementeres gjennomført etter trusselanalyse en gjennomført trusselanalyse Hensikt for analysen er å kartlegge hvilke data er hvor tilgjengelige, hvilke krav settes til beskyttelse og sikkerhet, hvilke mulige risikoer finnes, og hva er konsekvenser når risiko oppdages Etterpå defineres hvilke risikoer aksepteres (frekvens, teknologi, effekt, o.s.v.) Implementering av tiltak Verifisering av tiltak Threat modelling og analysis

19 ISTQB mantra Forebygge at feil oppstår Så tidlig som mulig Testaktiviteter i alle faser av livssyklusløpet Sikkerhetstestaktiviteter i krav og designprosesser? Granskning aktiviteter Hva er mest effektivt Casper Jones: Inspeksjon, inspeksjon, inspeksjon, inspeksjon, testing Webappsec.org:

20 Sikkerhet i livsløpet - anbefaling Aktiviteter i alle livssyklusfaser Rettet på forebygging med statiske metoder Rettet på verifisering av implementeringen med dynamiske metoder Rettet på verifisering av vedlikehold med dynamiske / automatiske metoder Hvilke sikkerhet testrelaterte aktiviteter Statisk analyse code review Granskning - auditing Manuell code review Automatisk dynamisk test (hvit boks og svart boks, funksjonell og ikke funksjonell) Manuell dynamisk (hvit boks, svart boks, funksjonell og ikke funksjonell) Utvikling og drift! Trening!

21 Sikker utviklingsløp (eksempel) Krav inspeksjon / analyse med fokus på sikkerhet (trussel / sårbarheter) Risiko analyse / threat modelling Design / arkitektur gransking med fokus på sikkerhet Koding og ENHETSTESTING Utvikling enhetsintegrasjonstester Kontinuerlig integrering (+ enhetsintegrasjonstest) Statisk analyse (verifisering av koderegler rettet på sikkerhet, maling av kodekvalitet) Systemtest (+ webapplication security scan) Akseptansetest (+ penetrasjontest) Sikkerhet i produksjon / vedlikehold Nye trusler og sårbarheter avdekkes kontinuerlig Hardware og programvare endres kontinuerlig Arkitekturen endres Så, Vi skal teste periodisk (og planlagt)! Verktøy fri testing?

22 Testing hva og hvordan Threat modelling og analyse Decompose the application Determine and rank threats (STRIDE: Spoofing, Tampering, Repudation, Information, DoS, Escalation) Determine counter measures and mitigation

23 Infrastruktur rettet testing Hardened infrastruktur Patched Konfigurasjon DoS Sjekklister! OSSTMM og ISO som retningslinjer Verifiseres etterpå stort sett med hacking og penetrasjon testaktiviteter Applikasjonstest Funksjonell rettet Autentisering (er du hvem du sier du er) Autorisering (hvilke rettigheter har du) Logging (hvem har gjort hva) Audit trailing (forensics) Ikke glem back office (admin)

24 Webapplikasjon test Tilgang via internett (80 443) Kan jeg få tilgang (applikasjonstest) Kan jeg hente eller endre informasjon Kan jeg innfektere andre datamaskiner Kombinasjon fra infra og webapplikasjon tester Penetration test eller hacking? Ethical hacking Penetration testing (EC Council) Ethical Hacking: Ethical hacking is broadly defined as the methodology that ethical hackers adopt to discover existing vulnerabilities in information systems operating environments. Their job is to evaluate the security of targets, provide updates regarding any discovered vulnerabilities, and recommend appropriate mitigation procedures. Penetration testing: Penetration testing is the exploitation of vulnerabilities present in an organization's network. Penetration testing simulates methods that intruders use to gain unauthorized access to an organization s networked systems and then compromise them

25 Ethical hacking Penetration testing Ethical hacking Tids begrenset Hva som helst Finn sårbarheter Penetrasjon testing Mål rettet Ikke tid begrenset Utnytte kjente sårbarheter Hvordan testes sikkerhet Manuelt Kilde rettet Svart vanskelig Tidskrevende Automatisk Ikke alt Ikke i ett verktøy Konfigurasjon

26 Verktøyene Utrolig mange Spesialisert / spesifikk Command linje CEH: 4 DVD s Industries standards: Backtrack OWASP Verktøy utfordringer Konfigurering Gir ikke identisk resultat! Ulike testmetoder, ulike interpretering Fleste er rettet mot sikkerhets spesialister / teknikere / utviklere Ikke til de funksjonelle tester! Falsk tro på resultatene Design og logikk feil kan ikke (alltid) avdekkes

27 Webapplication sikkerhetstest Informasjon sikkerhetstermen Sårbarhet: svakhet i programvare eller systemet Threat agent: (potensielle) hacker Threat vektor: verktøy eller metode som blir brukt Exploit (utnytte): aktivitet hvor hackeren eller verktøy far tilgang grunnet av sårbarheten Effekt: tap på datakonfidensialitet, -integritet eller -tilgjengelighet som resultat av utnyttelse Risiko (gammel) (ny) = exploit = sårbarhet (n)* sårbarhet * effekt * effekt

28 Sårbarhetens livssyklus Systemet (programvare) er released Sårbarhet er avdekket (utvikler/test eller i / av hacker miljøet) Exploits er laget og blir brukt Sårbarhet blir kjent og publisert Patch er produsert Patch er installert Ny sårbarhet Sårbarhetens livssyklus - grafisk

29 Angrepsprosess (hacking og pen. test!) Reconnaisance - footprinting Kartlegging, innsamle informasjon, passiv og aktiv, Google Skanning Hvilke hosts, porter, tjenester, applikasjoner, versjoner, passivt/aktivt, finne mulige sårbarheten Akses Utnytte sårbarheten, nettverk, applikasjon, OS, Aksesforvaltning Trojans, backdoors, tilgang til andre Slett sporene For å beholde tilgang, bruk av ressurser, Så, hva kan vi gjøre som funksjonelle testere? Lære Forbedre utviklingsprosessen Enhetstest, statisk analyse Manuell test Automatisert test Verifiser at systemer og applikasjoner er up to date Selekter noen verktøy, lær dem, tilpass dem, bruk dem Det er ikke nødvendig å teste alt

30 Testprosess sikkerhetstest Reconnaisance: Scan (Zenmap, Google, Shodan) Webapplikasjon sikkerhetstest Aksess?: Penetration test Hvordan videre Backtrack og OWASP LiveCD som verktøy bibliotek Bygg et testlab (virtuelle maskiner) Vet statusen av (hvilke) data i systemet Lag en (egen) oversikt av trusler for din miljø / applikasjon Les OWASP testing guide Les How to Break Web Software (Andrews and Whittaker) Utforsk og selekter verktøyene (ikke for mye) Prøv og lær (Proxies / HTTP / HTML) Vær ikke overambisiøs

31 Backtrack - Testlab Penetrasjon testing To organisasjoner: Offensive-security.com Backtrack-linux.org) Versjon 5 tilgjengelig siden Mai 2011 VMware - Ubuntu Installer VMplayer, Create ny maskin, Installer disc image root / toor / startx OWASP: idem ingen passord Victim serveren kan startes separat (Administrator / password) OWASP broken web applications Pauze

32 Web applikasjon sikkerhet - BR Zenmap (NMap) IBM Appscan (full lisens) Nessus (home edition ) Metasploit - Armitage Wireshark Proxies for verifisering W3af (i utvikling)? Wlan telefon: ikke bestemt enda Aktiviteter BR Hver nye applikasjon / infra endring Portal (en gang hver år) Sub systemer (to ganger hver år) Back office: først analyse? Lan / kontor

33 Demo Noen websider Hacking websites Google Hacking DataBase: The web archives: What is that site running: Shodan Whois?

34 Infrastruktur test Nessus Backtrack 5R1 Zenmap Metasploit Armitage Web application security testtools IBM Appscan Acunetix Nessus OWASP? Sammenligning rapporter

35 Hackable websites Metasploit - Armitage ndex

36 Lykke Til! Infrastruktur versus web applikasjon Infrastruktur: brannmurer, nettverk, servere = tilgang Web applikasjon: webapplikasjon, webserver, database = informasjon