12 dicembre 2015 1 Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.

Slides:

Advertisements

Presentazioni simili

XmlBlackBox La presentazione Alexander Crea 11 Aprile 2010 La presentazione Alexander Crea 11 Aprile 2010.

Advertisements

VIA GIULIO RATTI, CREMONA – Tel. 0372/27524

Prototipo del Portale Fiscale per le Aziende. Portale Fiscale x le Aziende Area informativa news Area abbonati, accesso alla home page personalizzata,

CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

© 2007 SEI-Società Editrice Internazionale, Apogeo Unità B1 Introduzione alle basi di dati.

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.

| | Microsoft Certificate Lifecycle Manager.

Sistema di gestione flussi documentali

Java Enterprise Edition (JEE)

INTERNET FIREWALL Bastion host Laura Ricci.

Connessione con MySQL.

Pagina 1 PRESENTAZIONE DELLA POSIZIONE ESPRESSA DA TIM NELLA CONSULTAZIONE PUBBLICA SU ENUM Napoli, 4 novembre 2003.

XmlBlackBox La presentazione Alexander Crea 7 Giugno 2010 La presentazione Alexander Crea 7 Giugno 2010.

2-1 Trasferimento di file: ftp Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights.

APPLICAZIONI E BASI DATI DISTRIBUITE

Seconda parte: i sistemi informativi in rete

UNIVERSITÀ DI PERUGIA DIPARTIMENTO DI MATEMATICA E INFORMATICA Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della.

Architettura Three Tier

Il Framework di riferimento del progetto

UNIVERSITÀ DEGLI STUDI DI BOLOGNA

Remote file access sulla grid e metodi di interconnesione di rete M. Donatelli, A.Ghiselli e G.Mirabelli Infn-Grid network 24 maggio 2001.

Gruppo ISP1 Commessa tuttipunti.org. Sommario Descrizione commessa Organizzazione del lavoro Lavoro svolto Problematiche di sicurezza Impostazioni di.

CAPITOLO 2 INTRODUZIONE AL LINGUAGGIO JAVA E ALL'AMBIENTE HOTJAVA.

Daniel Stoilov Tesi di Laurea

Architettura Java/J2EE

Integrazione dei dati e reportistica avanzata in SURplus: un esempio

Ing. Enrico Lecchini BetaTre S.r.l.

Guida IIS 6 A cura di Nicola Del Re.

UN SOFTWARE PER LACQUISIZIONE E LA FRUIZIONE DEI DATI La Carta della salute dellagricoltore.

Gestimp IV Il pacchetto software GESTIMP© di Isea S.r.l., di seguito indicato con GESTIMP©, permette di gestire la supervisione e la telegestione di impianti.

DAGLI ARCHIVI AI DATABASE

UNIVERSITÀ DEGLI STUDI DI MODENA E REGGIO EMILIA Facoltà di Ingegneria “Enzo Ferrari” – Sede di Modena Corso di Laurea Specialistica in Ingegneria Informatica.

PORTALE SERVIZI. Laccesso al portale avviene attraverso lutilizzo di un codice operatore e di una password comunicati in busta chiusa personalizzata ai.

Progetto RETE SME ALESSANDRO PASSONI

1 w w w. g a t 4. c o m WI GAT WebIngelligence rappresenta una piattaforma funzionale e tecnologica per la creazione e gestione di un datawarehouse che.

Sistemi Informativi sul Web

Predisposizione, presentazione e trattamento della domanda di emersione dal lavoro irregolare per extracomunitari addetti al lavoro domestico 2009.

Applicazione Web Informatica Abacus Informatica Classe VIA 2008/2009 N.Ceccon INF (01) Revisione 4.0 settembre 2008.

Active Directory e Gestione Utenti di Valerio Di Bacco.

Universita’ degli Studi Roma Tre

Corso di WebMaster Mercoledì 14 Novembre. Parte I – Introduzione al Corso Lezione 1: Presentazione Descrizione Breve del Corso Semplice Valutazione.

Protocolli e architetture per WIS. Web Information Systems (WIS) Un Web Information System (WIS) usa le tecnologie Web per permettere la fruizione di.

SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.

Carta Regionale dei Servizi

Architetture a componenti Java per la realizzazione di DSS distribuiti Giordano Vicoli - ENEA 28 Ottobre 2003.

Patient file Anagrafe persone fisicheAnagrafe sanitaria Anagrafe dei professionisti sanitari La utilizzazione di dati clinici (patient file) Modelli di.

Interazione col DB Per interagire con una base dati da una pagina PHP occorre procedere come segue: Eseguire la connessione al DBMS MySQL in ascolto;

Relatore: Prof. Ing. Stefano SalsanoLaureando: Flaminio Antonucci.

Reti di calcolatori LS1 Service Middleware Reti di calcolatori LS progetto di Andrea Belardi Infrastruttura dedicata alla gestione di servizi disponibili.

Alex Marchetti Infrastruttura di supporto per l’accesso a un disco remoto Presentazione del progetto di: Reti di calcolatori L-S.

Progettazione e realizzazione di un’applicazione J2EE Parte 2.

21 gennaio Sirti S.p.A. VA/PT di: 3 reti pubbliche (indirizzi selezionati)‏ 3 reti private (indirizzi selezionati)‏ 7 (6) applicazioni web.

Tecnologie lato Server: i Server Web © 2005 Stefano Clemente I lucidi sono in parte realizzati con materiale tratto dal libro di testo adottato tradotto.

Consultazione Referti Medici

Eprogram SIA V anno.

Sicurezza e attacchi informatici

Eprogram informatica V anno.

TOE Livello Applicativo Target Of Evaluation: livello applicativo Analisi applicazione GP (prenotazioni visite specialistiche) Analisi applicazione GA.

31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.

Postecom B.U. CA e Sicurezza Offerta Sicurezza Scenario di servizi ed integrazioni di “Certificazione”

Analisi di sicurezza della postazione PIC operativa

Riccardo Veraldi - INFN Firenze sslpasswd e sslpwdd Una soluzione OpenSSL client/server.

8 febbraio Social engineering relativo ad intrusioni fisiche nei locali.

INTRODUZIONE. INTRODUZIONE ordinare la stampa dei documenti personalizzati Postel On The Net (PON) è un sistema integrato per gestire via internet.

La Carta Regionale dei Servizi e i suoi molteplici usi, dalla Sanità ai Servizi degli Enti Locali.

Eprogram informatica V anno. Programmare in rete.

Progetto WELL-FIR Manuale Utente del Web GIS Versione 0.1.

FatIn: Fatturazione Interventi Applicazione di facile utilizzo che permette la prenotazione, la gestione e la fatturazione di interventi e prestazioni.

23 giugno Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.

Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.

Transcript della presentazione:

12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client

TOE: Applicazione CRS-SISS Analisi: di livello applicativo e architetturale applicativo Approccio: black-box (zero knowledge) Analisi applicazione GP (prenotazioni visite specialistiche) Analisi applicazione GA Web (consultazione carta del cittadino) Analisi applicazione CRM (consultazione referti medici) 12 dicembre 2015 © 2007 Hacking Team All Rights Reserved 2

Analisi: punti di riflessione E’stata rilevata una architettura molto complessa, che demanda alcune funzioni critiche al client SISS La complessità architetturale, soprattutto client-side, rende intrinsecamente meno sicuro il sistema CRS- SISS Sono state evidenziate nuove problematiche a livello client rispetto al black-box della fase 1. Carenza di security design 12 dicembre 2015 © 2007 Hacking Team All Rights Reserved 3

Analisi: controlli client-side Lo schema architetturale mostra come molti controlli e richieste sono demandate a servizi locali che si interfacciano con la pagina Web. 12 dicembre 2015 © 2007 Hacking Team All Rights Reserved 4

Sommario delle criticità 12 dicembre 2015 © 2007 Hacking Team All Rights Reserved 5

Applicazione SISS – Criticità di elevata pericolosità (1) V01: il pc del legittimo utente è esposto a richieste (attacchi) non autorizzate Descrizione: errata implementazione del meccanismo di controllo di accesso al SEBContainer Impatto: è possibile richiamare funzionalità dell’applicazione da remoto senza alcuna limitazione V02: la logica client è scaricabile e completamente manipolabile Descrizione: errata implementazione del meccanismo di controllo di accesso alla APPLET Impatto: è possibile richiamare le funzionalità dell’applicazione client (applet) senza autenticazione V03*: l’accesso ai menù web non è adeguatamente controllato Descrizione: errata implementazione del meccanismo di controllo dell'accesso al menu SISS Impatto: è possibile accedere a viste e menù in modo non autorizzato 12 dicembre 2015 © 2007 Hacking Team All Rights Reserved 6

Applicazione SISS – Criticità di elevata pericolosità (2) V04*: molti controlli di sicurezza sono implementati lato client Descrizione: Controlli client-side Impatto: è possibile manipolare la logica V05*: l’accesso alla ricerca di referti non è adeguatamente controllata Descrizione: accesso non autorizzato alla funzionalità di ricerca referti Impatto: è possibile accedere alla lista dei referti con alcune informazioni sensibili 12 dicembre 2015 © 2007 Hacking Team All Rights Reserved 7

V06*: gli utenti amministrativi del DB locale non hanno password Descrizione: errata configurazione del DBMS MySQL Impatto: è possibile accedere in modo indiscriminato a tutte le informazioni presenti nel database locale V07*: la logica client non è protetta (vedere anche V02) Descrizione: logica client-side Impatto: è possibile decompilare la logica client e manipolarla a proprio piacimento V08: le comunicazioni fra le componenti client sono in chiaro Descrizione: errata scelta di protocolli in chiaro per comunicazioni client/client. Impatto: è possibile intercettare localmente i flussi di comunicazione e reperire informazioni sensibili Applicazione SISS – Criticità di media pericolosità (1) 12 dicembre 2015 © 2007 Hacking Team All Rights Reserved 8

Applicazione SISS – Criticità di media pericolosità (2) V09: le comunicazioni fra il client ed alcune componenti server sono trasferite in chiaro Descrizione: errata scelta di protocolli in chiaro per comunicazioni client/server Impatto: è possibile intercettare i flussi di comunicazione e reperire informazioni sensibili V10: reperibilità dei permessi per ogni utente Descrizione: accesso non autorizzato alla lista di funzionalità disponibile per tutte le utenze Impatto: è possibile ottenere tutte le associazioni funzionalità-ID V11: mancata validazione dei campi in input Descrizione: analisi della gestione delle condizioni di errore 1 Impatto: è possibile fare eseguire codice di scripting su un pc vittima 12 dicembre 2015 © 2007 Hacking Team All Rights Reserved 9

Applicazione SISS – Criticità di media pericolosità (3) V12: esposizione di informazioni sistemistiche del server Descrizione: analisi della gestione delle condizioni di errore 2. Impatto: è possibile ottenere l’alberatura del sistema remoto V13: il servizio è accedibile senza adeguati controlli Descrizione: mancanza di controlli di sessione nell'accesso alle funzionalità remote Impatto: è possibile interrogare un web service senza una logica di sessione V14: esposizione di informazioni potenzialmente sensibili inserite nei file del sistema Descrizione: presenza di informazioni sensibili nei file di configurazione. Impatto: è possibile 12 dicembre 2015 © 2007 Hacking Team All Rights Reserved 10

Applicazione SISS – Risultati (1) Il sistema ha evidenziato forti carenze di sicurezza lato client E’ infatti stato possibile: Caricare la applet da una pagina proveniente da un host arbitrario, ottenendo il controllo completo dell’utenza definita dalla smart card inserita nel momento dell’attacco. 12 dicembre 2015 © 2007 Hacking Team All Rights Reserved 11

Applicazione SISS – Risultati (2) Accedere al SebContainer in maniera ‘Blind’ da una pagina html proveniente da un host arbitrario. Accedere all SebContainer da un host remoto con accesso alla porta Si ottiene così parte o completo controllo sulle operazioni effettuabili dall’utenza definita dalla smart card inserita nel momento dell’attacco. 12 dicembre 2015 © 2007 Hacking Team All Rights Reserved 12

Applicazione SISS – Risultati (3) Utilizzando uno dei due attacchi suddetti in concomitanza all’abuso dei metodi SOAP esposti, è stato possibile ottenere controllo totale della macchina client e dei dati. 12 dicembre 2015 © 2007 Hacking Team All Rights Reserved 13

Applicazione SISS - Risultati (4) E’risultato possibile accedere: Ai menu applicativi corrispondenti a ruoli non attivi sulla smart card operatore consegnata ad HT per i test. Alla lista delle funzionalità di tutte le tipologie di utenze. E’stato realizzato uno scenario di attacco in cui un operatore con ruolo “Impiegato Amministrativo”(54) accede a parte delle funzionalità previste per il ruolo “Medico di Pronto Soccorso”(52) E’stato possibile accedere ad alcuni dati di natura sanitaria (patologie, ricoveri) relativi ad un “cittadino”di test 12 dicembre 2015 © 2007 Hacking Team All Rights Reserved 14

Analisi Rischio-Skill 12 dicembre 2015 © 2007 Hacking Team All Rights Reserved 15

Analisi Rischio-Effort 12 dicembre 2015 © 2007 Hacking Team All Rights Reserved 16

Azioni Correttive Correzione delle vulnerabilità individuate secondo quanto indicato nel documento “Azioni correttive” Alcune delle problematiche non sono probabilmente risolvibili nel breve periodo dal momento che coinvolgono aspetti architetturali del sistema. 12 dicembre 2015 © 2007 Hacking Team All Rights Reserved 17