Seat 2007
Vulnerability Assessment
Background
 Start-up
Avvio del Vulnerability Assessment, svolto con il contributo della Funzione DITP-TI
e DINT, su committment della funzione Tutela di DRU, attraverso la costituzione di
un gruppo di lavoro con risorse Seat e M&PSkyLab. Una volta definito il perimetro
di intervento, è stato necessario dotarsi di:
1. Metodogia
2. Strumenti
3. Reportistica di dettaglio

Obiettivi che ci si è posti (entro primi mesi 2008):
verificare possibili intrusioni dall’esterno e dall’interno dell’azienda, su
infrastrutture e sistemi informativi di SEAT Pagine Gialle SPA, da un punto di vista
della sicurezza delle informazioni trattate.
Piano del progetto
Di seguito sono elencate le principali attività che il piano prevede, a valle
dell’analisi effettuata da M&P, e la percentuale di completamento
CDB
Schedulato
Settembre
EAI
terminato
Credit Scoring
Non ancora
schedulato
SEM
In corso
Schedulati
Ottobre
Novembre
Piano del progetto (cont.)
Di seguito sono elencate le principali attività che il piano prevede, a valle
dell’analisi effettuata da M&P, e la percentuale di completamento
Disp.Mobili
terminato
VOIP
terminato
MPLS router
terminato
Piano del progetto (cont.)
Di seguito sono elencate le principali attività che il piano prevede, a valle
dell’analisi effettuata da M&P, e la percentuale di completamento
Non ancora
scedulato
Schedulati
Settembre
Non ancora
scedulato
Non ancora
scedulato
Overview
Di seguito riportiamo la nostra Metodologia, gli Strumenti utilizzati e la
struttura del Report con cui vengono descritti i risultati
ottenuti per il Security Probe e Vulnerability Assessment
di varie componenti dell’infrastruttura informativa
di SEAT Pagine Gialle
Metodologia (network probe)
Vulnerability Assessment
Metodology
Test
Testdidiintrusione
intrusioneda
dapersonale
personaleesperto
espertoininethical
ethical
hacking
hackingnon
nonaaconoscenza
conoscenzadell’infrastruttura
dell’infrastruttura
del
cliente
del cliente
SiSiportano
portanoi irisultati
risultatiottenuti
ottenutisenza
senzaessere
essereaa
conoscenza
conoscenzadell’infrastruttura
dell’infrastrutturadel
delcliente
clienteeecol
col
personale
personaleITITdel
delcliente
clientesisiprocede
procedeaaprendere
prendere
conoscenza
conoscenzadell’architettura
dell’architetturaininesame
esameeeaa
focalizzarsi
focalizzarsisugli
suglielementi
elementipiù
piùimportanti
importantiche
chenella
nella
prima
fase
possono
essere
stati
prima fase possono essere statitrascurati
trascurati
Autorizzazione
all’attività
e start
Security Probe Blind
dall’esterno
Riunione con discussione dei
risultati alla fine della fase
Blind
Documento
Documentofinale
finalecon
con: :
Executive
ExecutiveSummary
Summary
Esigenze
del
cliente
Esigenze del cliente
Principi
PrincipiMetodologici
Metodologici
Report
Reportcronologico
cronologicoprobe
probeblind
blind
Report
cronologico
Report cronologicoprobe
probedisclosure
disclosure
Valutazione
di
rischio
tecnica
sui
server
Valutazione di rischio tecnica sui serveranalizzati
analizzati
Operazioni
Operazionicorrettive
correttiveed
edintegrazioni
integrazionisuggerite
suggerite
Security Probe
Full Disclosure
dall’esterno
Riunione con discussione del
documento draft dei risultati
Tuning e consegna del
documento finale del
security probe
Metodologia (web appl. probe)
Profile the infrastucture
Attack Web Servers
Survey the appplication
Attack the authorization
schemes
Attack the management
interfaces
Attack the client
Launch a DOS
Exploit the data
connectivity
Attack the authentication
mechanism
Perform input validation
attacks
Metodologia

Passi della metodologia ‘classica’ di Security Probe:







Footprinting
Scanning
Enumeration
Gaining Access
Escalating Privileges
Pilfering (*)
Covering traces and creating back doors (*)

(*) attività di hacking non eseguite in un security probe autorizzato
Probe applicativo

Probe Applicativo (Web Application Vulnerability Assessment – WAVA)
Questa analisi è costituita da una serie di tentativi d’attacco che coinvolgono i protocolli e
le logiche di comunicazione utilizzati dagli utenti finali per interagire con le applicazioni.
Nel caso specifico delle applicazioni web, tali attacchi sono basati su manipolazioni dei
pacchetti HTTP che vengono scambiati fra i browser degli utenti ed il web server.
Esistono diverse categorie di attacchi verso applicazioni web, che possono portare
alla compromissione di uno o più layer dell’intera infrastruttura applicativa: Web Server,
Application Server, Middle Tier, Database Management System.
Strumenti

Strumenti
Le analisi saranno svolte da personale esperto umano e non da semplici tools automatici in grado di generare
report rigidi e privi di intelligenza (al contrario di un vero attaccante alla vostra infrastruttura).
Il nostro personale userà gli stessi tools in mano alla comunità hacker e si mantiene costantemente
aggiornato sulle nuove vulnerabilità scoperte o su nuove tecniche o tools di intrusione e di protezione.
Alcuni esempi di tools usati sono :












nmap
hping
cain & abel
Atstake LC5
Exploit Always updated per specifiche vulnerabilità di servizi e applicazioni
Keygrab
Ethereal
Ettercap
Acunetix (WAVA)
Sandcat Suite (WAVA)
KisMet per le reti 802.11 (wi-fi)
etc.
Report (Macroblocchi del Report Tecnico finale)
Executive
Summary
Modus
Operandi
Report
Cronologico
Attività
Minime
Consigliate
Report
Il risultato finale di un security probe è un documento tecnico dove sono
evidenziate le problematiche riscontrate sia attraverso l’analisi ‘a tavolino’
con la parte tecnica del cliente e sia attraverso una fase di scansioni e attacchi
simulati. Il documento dovrebbe sempre concludersi con i suggerimenti per
l’assessment della situazione con un elenco di contromisure minime da
applicare per sanare le problematiche evidenziate.
Elementi di rischio segnalati - EAI
Elementi di rischio segnalati – Disp.Mobili
Elementi di rischio segnalati – Disp.Mobili
Elementi di rischio segnalati – VOIP
Elementi di rischio segnalati – MPLS router