Attack Tool Kit (ATK) Project Marc Ruef Alle Rechte vorbehalten – Kopieren erlaubt.

Slides:

Advertisements

Ähnliche Präsentationen

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Advertisements

www.materna.de1 Evaluierung einer aus Open Source Komponenten bestehenden J2EE Umgebung Marcus Jäger ~ Fachinformatiker Anwendungsentwicklung ~

Quelloffene Software 1. Einleitung 2. Was ist Open?

Daten fließen lassen XML in Microsoft Office 2003 Lorenz Goebel Frank Fischer

Agenda DataAssist e.K. Probleme heutiger Ansätze der Netzwerkdokumentation Management der Netzwerkdokumentation Management von Rechnern Der NetDoc Server.

:33 Architektur Moderner Internet Applikationen – Prolog Copyright ©2003 Christian Donner. Alle Rechte vorbehalten. Architektur Moderner.

Systemverwaltung wie es Ihnen gefällt.

1© The Delos Partnership 2006 January 2006 LEAN ENTERPRISE Implementierungsworkshop.

Präsentationstechnik

Information und Technik Nordrhein-Westfalen Das personalisierte Portal Düsseldorf, Das personalisierte Portal.

WIESEL – Integration von Wissensmanagement und E-Learning auf der Basis von Semantic Web Technologien Matthias Rust, XML-Tage 2004, Berlin WIESEL Integration.

Framework für ein Intrusion Detection System

Das Build-Tool ANT ETIS SS05. ETIS SS05 - Nadine FröhlichANT 2 Gliederung Motivation Build - Datei –Allgemeiner Aufbau –Project –Target –Task –Properties.

Christian Kästner Modellgetriebene Softwareentwicklung Eclipse Modelling Framework.

XDoclet ETIS SS05.

Der Testprozess als Bestandteil des SE Prozesses:

Technik Gestaltung Navigation Daten. Übersicht Client Webbrowser InternetServer.

Brandenburgische Technische Universität Cottbus Program Profiling Andrzej Filipiak Übung Testen von Software SoSe 2006.

Erweiterung von Eclipse als Entwicklungs-Plattform aus Sicht des Eclipse-Boardmitgliedes TogetherSoft Together auf Basis von Eclipse.

1 Zwischenstandsbericht III Olaf Watteroth Computer Systems and Telematics Institute of Computer Science Freie Universität Berlin

Bookmarkverwaltungsdienst - Chipmark Steinbuch Centre for Computing KIT – die Kooperation von Forschungszentrum Karlsruhe GmbH und Universität.

TENEZ Hallenreservierungssystem Verwaltung von mehreren Vereinen Verwaltung von mehreren Standorten mit Hallen Kundenverwaltung Reports Mobile Version.

Aichinger Christian, Strasser Jürgen

I T – S I C H E R H E I T S H A N D B U C H Österreichisches IT-Sicherheitshandbuch Informationsveranstaltung am

Konkrete Entwicklungen Wiederverwendung von XÖV-Bausteinen Mirco Kuhlmann | LAVA-Unternehmensberatung 6. November 2013 | 6. XÖV-Anwenderkonferenz | Bremen.

Business Intelligence

In dem Login-Bereich können lektorat.de-Kunden ihren Datensatz eigenständig pflegen und aktualisieren. Wie gelangen Sie in diesen Bereich? Der Zugang zum.

Security Scanner Design am Beispiel von httprecon

Begleitung eines Vernetzungsprojektes zur Politischen Bildung im Internet

Clustered Neuronal Network A C#.NET project for Compute Cluster Server 2003.

Falko Trojahn SMI Softmark Informationstechnologien GmbH Webseiten mit.

Praxisbericht über den zielgerichteten Einsatz von Marketingsystemen

Service Design by EstherKnaus® Der Benchmark für Dienstleistungen

“Warum warten?” Upgrade Sales-Kampagne.

INFORMATIONSSYSTEM ZUR STUDIERENDENVERWALTUNG OPUS-College.

Sesame Florian Mayrhuber

Kanton Zürich Direktion der Justiz und des Innern Gemeinde XY Kick-off, 21. März 2035 KOMPAKT.

Cs108 Programmier-Projekt Präsentation Meilenstein 5 Frühjahrsemester 2013 Gruppenname (Gruppe Nr. x) Name 1 Name 2 Name 3 Name 4 Logo der Gruppe.

NDK Enterprise Technologien Informationen Infrastruktur und Fallstudie Daniel Nydegger Studienleiter Enterprise System Entwicklung.

Präsentation von Lukas Sulzer

CRM TimeLog… TimeLog … Wie gross ist der Anteil der Lohnkosten in Ihrem Unternehmen?

My Statistics Schinnerl, Mikes, Walehrach, Grieshofer PPM-Projekt

Zauberwort Metadaten Elementares Handwerkszeug des Content- und Wissensmanagement.

OpenStreetMap.org Einleitung und Erläuterung von OSM 1Created by: Rudolf Kremsner.

Leadgenerierung mit Case- Studies - Pakete -. Allgemeines zur Case Studies Lassen Sie Ihre Kunden sprechen! Case Study Basics Vorteile Whitepaper/Case.

Masc CJD Jugenddorf Offenburg Demonstration ProfilAC ® … powered by Polikles ® 29. November 2006 masc ag, rotkreuz

Telekommunikation und Hochfrequenztechnik

Fred 2.0 Projektvorstellung Christoph Müller

xRM1 Pilot Implementierung

Die Management-Tools von Z&H COACH beinhalten zentrale Hilfsmittel für ein Management-System. Sorgfältig angewendet führen diese Tools Ihr Unternehmen.

Eclipse – PHP Tool Integration (PTI) Sven Kiera, TWT Interactive GmbH.

Bildungszentren Rhein-Ruhr

Institut Experimentelles Software Engineering Fraunhofer IESE Vorstellung des neuen GI Arbeitskreis: Produktlinientools Isabel John, Fraunhofer IESE

Exploiting Web Applications

Ilmenau, den * * Torsten Kunze

ArcView als SDE - Client SDE Client inklusive! ArcViewGIS: ArcView GIS: Michael Jacobi ESRI GmbH ESRI EUROPEAN USER CONFERENCE.

Text Encoding Initiative Universität zu Köln Daten- und Metadatenstandards Seminarleitung: Patrick Sahle Seminarleitung: Patrick Sahle Referentin: Anna.

TENEZ Hallenreservierungssystem Verwaltung von mehreren Standorten mit Hallen Kundenverwaltung Reports Mobile Version Open Source.

Dynamic Threat Protection detect. prevent. respond. Desktop. Server. Netze.

Silver Monkey Rollout Center

Continuous Integration

Sicher verordnen mit Smart Medication

Opacc, CH-Kriens/LucerneOpaccConnect WebCRM Sales Online unterwegs 1 P1.

, Claudia Böhm robotron*SAB Anwendungsentwicklung mit dem Java und XML basierten Framework robotron*eXForms Simple Application Builder.

IT-Dienstleistungen E-Learning Systeme Content Management 1 Fallbeispiel ILIAS: Das Repository-Objekt-Plugin „Centra“

Seminarvortrag Mobile Darstellung der Backup-Reporte Analyse und Konzept Anita Ludermann Rechen- und Kommunikationszentrum Aachen Stand:

29. Magento Stammtisch Thema: IT-Sicherheit Gregor Bonney

Aufgabe 1: Begriffswelt

Präsentation transkript:

Attack Tool Kit (ATK) Project Marc Ruef Alle Rechte vorbehalten – Kopieren erlaubt

2/15 Ablauf der Präsentation Einführung Live Demonstration Vorteile des ATK Informationen zum Projekt Zukunft des Projekts Fragen Nachwort

3/15 Ablauf eines Penetration Tests Vorbereitung Analyse Exploiting Nachbearbeitung Whois, nslookup, ping, traceroute, nmap, telnet, Nessus, ISS Internet Scanner, … Manuelle Zugriffe, spezifische Exploits, MetaSploit Framework, raccess, …

4/15 Phase 1: Vulnerability Scanner als Automatisierung der Analyse Daten sammeln Potentielle Schwachstellen identifizieren Gesammelte Daten auswerten Resultate aufgearbeitet ausgeben

5/15 Wo stehen heutige Vulnerability Scanner an Automatismen verhindern eine umgebungsgerechte Analyse Automatismen durchlaufen unnötige Überprüfungen Erstellen neuer Checks nicht oder nur schwer möglich Modifizieren existenter Checks nicht oder nur schwer möglich Verifizieren von Resultaten nicht oder nur schwer möglich Effektives Ausnutzen zur Verifizierung nicht möglich

6/15 Phase 2: Ausnutzen gefundener Schwachstellen Manuelle Zugriffe Spezifische Exploits Ein automatisiertes Framework wie Metasploit oder raccess

7/15 Warum das Exploiting noch immer ineffizient ausfällt Automatisierungen sind nur bedingt möglich Umgebungsgerechte Exploits sind nur schwer umsetzbar Bestehende Frameworks sind nicht aktuell genug Bestehende Frameworks sind oftmals schwerfällig

8/15 Was macht das ATK besser Die Analyse- und Exploiting-Phase lässt sich kombinieren Durch integrierte Analyse von Zugriffen in Echtzeit können umgebungsgerechte Angriffe umgesetzt werden Erstellen oder anpassen von Checks ohne Programmierkenntnisse möglich

9/15 Live Demonstration

10/15 Vorteile des ATK Open-source (GPL) und frei verfügbar für jedermann Einfaches Ändern von Angriffen während der Laufzeit Plugins sind in XML geschrieben und ebenfalls open-source Modulares AutoUpdate für Plugins Modulare Architektur (z.B. Empfehlungen und Reporting) Darstellen der Angriffe und des Loggings in Echtzeit Detaillierte Rückantwort- und Angriffsanalyse Generierung individueller Reports Scanning- und Auswertungs-Tools integriert (Mapping, Portscanning) Unterstützung von Nessus NASL-Plugins (experimentell) Unterstützung für CVE names, SecurityFocus, CERT, Snort, etc.

11/15 Informationen zum Projekt Aktive Entwicklung seit Mitte 2003 Alle Teile unterliegen der GPL und sind somit open-source (OSS) Zentrale Verwaltung von Updates und Plugins durch Marc Ruef Zentrales Anbieten von Updates und neuen Plugins Mitarbeit in allen Bereichen (Core-Programming, Plugin-Entwicklung und Webseite-Unterhaltung) jederzeit erwünscht

12/15 Zukunft des Projekts Soll open-source (GPL) bleiben Erweiterungen der Funktionalität Verbessertes AutoUpdate Erweiterte Reporting-Möglichkeiten Erweiterung der Plugin-Strukturen Unterstützung konkurrierender Lösungen (z.B. NASL-Plugins) Regelmässiges Anbieten aktueller Plugins

13/15 Fragen? „Man hört nur die Fragen, auf welche man imstande ist, eine Antwort zu geben.“ Friedrich Wilhelm Nietzsche, , deutscher Philologe und Philosoph

14/15 Nachwort „Alle Technik ist ein faustischer Pakt mit dem Teufel.“ Neil Postman, , US-amerikanischer Medienkritiker und Soziologe

15/15 Danke für die Aufmerksamkeit Marc Ruef