Dangers of Dual-Ethernet Interface on ICS-SCADA Networks


It is always hard to balance business operation with security and it is even harder for ICS-SCADA networks since they are designed for continuous business operations. Sometimes security officers are not able to implement their solutions into ICS-SCADA networks because of  the business needs therefor compensative controls are the best option to apply such as designing isolated networks.

All castles have a weak entry point to conquer so isolated networks have weaknesses also.  Actually most of the isolated networks are not isolated as desired. There are lots of  scenarios get into ICS-SCADA network. My favourite is taking advantage of dual-ethernet interface bridging. It is one of greatest sin for ICS-SCADA networks. I think, engineers and operators are not aware of its risk. Dual interfaces allow attackers to access restricted networks. It is an undeniable fact that it is a great opportunity to access networks using one  simple workstation without further authorization and authentication but it is only raising risk for critical infrastructure.

How to detect dual interfaces?
Black-Box
1-Using SNMP Read(If applicable)
2-Exploit(OS,Application etc) (If applicable)

Grey-Box
1-Analyze Layer2 device configuration and map all directly connected devices

White-Box
1-OS Audit with administrative privileges
2-Physical audit

Conclusion & Solutions
It is highly critical to protect isolated network to reduce attack surface.There are some solutions to avoid/mitigate this risk.
1-Do net let users to change network settings (Remove local admin privileges)
2-Implement network access controls (using NAC solutions, port security etc)
3-Monitor assets
4-Implement VLANs and control traffic between VLANs

Common Pentest Scoping Mistakes for ICS-SCADA


Cyber criminals are interested in critical infrastructures more than ever before therefor cyber threats are raising dramatically for critical infrastructures. Catastrophic attacks are just a matter of time so we need  realistic risk assessments and penetration tests.

My major concern is not only how (methodologies) but also what (scope) about ICS-SCADA penetration tests and audits.  There are some common mistakes about scoping penetration tests;

1-Excluding ICS-SCADA components
Most of the penetration tests  and audits are missing ICS-SCADA networks and components. This means most of the threats&risks are missing related to ICS-SCADA. I understand the logic behind this behavior.  Nobody wants to their core operation shut down during an audit/pentest but this risk is always on the table  and you can not avoid this risk with just closing your eyes. Ignorance is not blessing for critical infrastructure. To be honest real intruders will have no mercy.

2-Excluding supportive ICS-SCADA components
There is an another common mistake related to scoping a pentest is excluding supportive ICS-SCADA networks. What I mean by that it is not enough to include core operation ICS-SCADA networks for example power generation is much more than turbines. Remember, we are responsible for whole operation. It should be up and running whenever we need.

3-Missing Network and Connections
Penetration testers and auditors should not be rely on topologies, network diagrams, and IP Blokcs. All possible connections and networks should  be identified. This task requires configuration analysis, site visits, firewall analysis and more.

Conclusion
Penetration test/audit scope is highly critical to identify what to protect. All critical infrastructure networks and components should be in audit scope.

Tümleşik Zafiyet Yönetimi: Ekip Üyelerini Belirleme Paradoksu


1.2 Proje Ekibini Belirleme Paradoksu

Tümleşik zafiyet yönetimine ilişkin yazının ilk bölümüne bu bağlantıdan erişebilirsiniz.

Proje ekibinin belirlenmesi yeterli uzman sayısının azlığı ve kaynak yetersizliği sebebiyle tam verimli şekilde işletilememektedir. Kısa bir süreliğine bu problemi göz ardı ederek proje ekibini belirlemeye çalışalım.

Her ne kadar uygun rol ve yetkide kişileri atamak kolay bir adım gibi görünse de karmaşık ve büyük organizasyonlarda istenilen sonuçları elde edebilmek için ekip üyelerinin kişisel ve karakter özellikleri de önem taşımaktadır. Öncelikle proje süresince kaşılaşacağımız karakterleri ve projeye etkilerini anlamaya çalışalım.

1.2.1 Sabırsızlar

Güvenlik operasyonlarının kurulması ve işletimi iş operasyonları devam ettiği sürece devam edecek bir süreçtir. Bu bağlamda bugünden yarına hızlı değişimi arzu edenlerin hatalı kararlar vermesi ve ekibi hataya sürüklemesi kaçınılmazdır. Proje yönetiminde ve teknik analizlerde sabır en önemli başarı faktörüdür. Proje süresince e-postalarınız cevaplanmayacak, toplantılarınız ısrarlı şekilde ertelenecek, tespit edilen bulguları çözecek kişilerin yoğunlukları hiç azalmayacak, teknik ekibin motivasyonu düşecek ve güvenlik ekibi olarak, diğer ekiplerin başına sürekli iş çıkartan bir ekip olma algısı uzun süre kıralamayacaktır.

1.2.2 Çok konuşkanlar

Bilgi güvenliğine ilişkin projelerde çalışan ekip üyeleri ketum olabilmelidir. Elde edilen bulgular ve devam eden süreçler hakkında sürekli olarak ilgili ilgisiz kişilere her türlü detayı anlatan ve bunu gösteriş amacıyla yapan kişiler proje bünyesine dahil edilirken temkinli davranmalıdırlar.

1.2.3 Risk Sevenler

Proje süresince belirli noktalarda risk almak elzem olacaktır. Bununla birlikte yerli yersiz risk alan ve projeyi maceraya sürükleyen kişiler dizginlenmelidir. Herhangi bir aksiyon almadan veya aksiyonsuzluk kararı vermeden önce tüm olası sonuçlar masaya yatırılmalıdır.

1.2.4 “Bunu hep böyle yapmıştık”cılar

Alışkanlıkların değiştirilmesi beraberinde bir direnç doğuracaktır. Uzun yıllar organizasyon bünyesinde görev alan çalışanların yenilikler karşısında direnç göstermesi ve olası ilerleme fırsatlarını baskılaması muhtemeldir. Süreçler geliştirilmezse kuruluş yeni bir şey kazanmayacak tabiri caizse eski tas eski hamam işlerini yürütecektir. Özellikle kuruluş bünyesinde belirli bir kıdemde olan, egosu yüksek teknik uzmanlar veya önyargılı kimselerin bu tavrı takınması muhtemeldir. Öte yandan kuruluş bünyesinde belirli süre görev almış uzmanların uyarı ve eleştirileri dikkatle analiz edilmeli ve olası direnç noktaları belirlenmelidir.

1.2.5 Dikkati Dağınıklar

Her konuya yetişmeye çalışan proje ekip üyeleri kısa vadede projeyi hızlandırsalar dahi uzun vadede ekip içerisinde başarısız olmaları muhtemeldir. Teknik çalışmalarda bir konuya odaklanma ve çözüm üretene kadar konunun takipçisi olmak kritik derecede önemlidir. Bu sebeple uzun kişiler proje süresince en çok ihtiyaç duyulan kişiler olacaktır.

1.2.6  “O iş öyle olmaz”cılar

Bu sözü sıkça duyacaksınız o sebeple kendi içinizden de tekrar etmeniz faydalı olabilir. Yapıcı eleştirileri bir kenara bırakırsak yapılacak çalışmalara ilişkin sürekli olumsuz görüş bildiren ve bir haliyle arka planda süreçleri baltalayan veya kasıtlı iş yavaşlatma uygulayan ekip üyelerini projeden mümkün olduğunca uzak tutmak gerekebilir.

1.2.7 Sorumluluktan kaçanlar

Yapılan işler süresince sürekli insiyatif almaktan kaçınıp sorumluluğu sürekli paylaşmak isteyen ekip üyeleri uzun vadede diğer ekip üyelerine ek yük getirecektir. Öte yandan uygun görevler için kişilerin yetkilendirilmesi ve karar alabilmelerinin de önü açılması gereklidir. Sorumlulukla birlikte yetki verilmemesi son derece tehlikeli bir durumdur.

1.2.8 Negatifler

Bilgi güvenliğinin temel felsefesi olumsuz ve negatif düşünebilme sanatıdır. Unutulmamalıdır ki her sistem, altyapı ve insan zaaftır. Önemli olan o zaafın tespit edilebilmesidir. Bu tespit süresince negatif düşünerek olası hataları tespit etmek gerekir bununla birlikte bu negatif bakış yaklaşımı teknik çalışmalarla sınırlı kalmalıdır. Bu sınır aşıldığında tüm çalışma sırasında olası felaket senaryolarından ekipler çalışamaz hale gelebilir o sebeple negatif ekip üyelerini sınırlamak faydalıdır.

1.2.9 Teknik Gurular

Proje süresince en çok bu grubun gönlü hoş tutulmalıdır. Teknik guruların tecrübeleri ve tespitleri son derece önemlidir fakat teknik gurular yapıları gereği çok teknik detaylara inmesi muhtemeldir. Bu durum tatlı su bataklığına yavaş yavaş gömülme halini alabilir. Bu durumda teknik ekibin çırpındıkça batması muhtemeldir. O sebeple teknik guruların hedef odaklı sınırlandırılması proje süresince katkı sağlayacaktır.

1.2.10 Gelenekseller

Kuruluş bünyesinde uzun süre belirli görevlerde çalışan kişiler şüphesiz ki proje açısından büyük avantajdır. Fakat bu kişilerin aşırı geleneksel olması özellikle danışmanlarla koordinasyonda aksaklıklara yol açabilir. Bilgi güvenliği konusunda çalışan kişilerin rahat çalışması ve özgür bırakılması son derece önemlidir. Bu sebeple geleneksel yaklaşıma sahip kişilerin danışmanlarla çatışma yaşaması olasıdır. Teknik çalışanlarla geleneksel yapıya sahip kişiler arasında denge kurabilecek proje yöneticilerinin etkin görev alması gerekecektir.

1.2.11 “Too many chiefs but now enough indians”

Proje süresince elini operasyonlarla kirletecek saha/görev adamlarına ihtiyaç olacaktır ama her nasılsa zamanla tüm ekip üyeleri acaba iş yapmadan bu projeyi nasıl yönetirim hissine kapılacaktır. Ekip üyelerinin proje yönetmesinde hiçbir sakınca yoktur fakat yirmi proje sorumlusu bir teknik adamın çıktısını organize ediyorsa ciddi bir problem vardır. Proje süresince uygun sayıda ve yetenekte teknik operasyonları yürütecek ekip üyelerinin görevlendirilmesi elzemdir.

1.2.12 “Game of Thrones”

Hangi ekip bünyesinde olursa olsun insanın olduğu her yerde güç savaşlarının yaşanması muhtemeldir. Güç savaşlarının ekip dengesini ve uyumunu bozacağı unutulmamalıdır. Öte yandan bazı ekipler içerisinde belirli seviyede rekabet desteklenmektedir. Bu durum tamamıyla kurum kültürü ile ilişkilidir. Kurum kültürüne uygun olmayan her davranış proje başarısını olumsuz etkileyecektir.

Yukarıda başlıklar halinde karşılaşılması muhtemel özellikleri belirlemeye çalıştık. Uygun yönlendirme ile her kişi proje başarımına katkı sunabilir. Bu noktada hangi grubun hangi riski taşıdığını belirlemek ve uygun aksiyonları yeri geldiğinde alabilmek önem taşıyor. Bu bilgiler ışığında uygulayıcı kuruluş ve danışmanlık ekibi için bu bağlantı ile erişebileceğiniz gruplamaları dikkate alarak danışmanlık ekibi ve uygulayıcı ekip(kurumsal ekip) için 4 seviyeli bir organizasyon yapısı oluşturulmuştur.

1.2.13 Danışmanlık Ekibi

Danışmanlık ekibi için aşağıdaki gibi dört seviyeli bir üst modelin oluşturulması ilk aşamada faydalı olacaktır.

ekip1

1.2.14 Uygulayıcı Ekip (Kurumsal Ekip)

Uygulayıcı ekip için aşağıdaki gibi dört seviyeli bir üst modelin oluşturulması ilk aşamada faydalı olacaktır.

ekip2

The need of Upstream Proxy for Burp Suite


This is one of the core need for penetration tester to have upstream proxy configuration for burp suite. For example if you want test your application through a proxy on your penetration test environment  or if you need to test web proxy/url filter directly including proxy bypass test scenarios then having upstream proxy configuration will be very useful.

This configuration will allow burp suite forward all intercepted traffic to defined proxy server.

To configure upstream proxy;

1-Go user option
2-Click Upstream Proxy Settings “Add”
3-Define your proxy server settings as needed. It also support NTML authentication which is very useful for corporate infrastructure

upstream_proxy

Tek Bir Siber Saldırı ile Tüm Enerji Altyapısını Devre Dışı Bırakmak Mümkün Mü?


Enerji güvenliği son dönemde bir çok ülkenin  gündemini meşgul ediyor. Enerji iletim güvenliğinde en temel noktalardan birisi de hiç şüphesiz ilgili altyapıların siber güvenliğidir. Enerji güvenliği kendi içerisinde bir çok alt başlığı barındırıyor. Ülkemizde son dönemde yaşanan büyük çaplı elektrik kesintileri acaba siber saldırı kaynaklı mı sorusunu akıllara getiriyor. Bu durumun bilgi güvenliği farkındalığının geniş kitlelere ulaşması bakımından olumlu bir faydası olmakla birlikte yanlış bir algı yaratması da muhtemel.

Yazının devamına buradan erişebilirsiniz.

Neden Tümleşik Zafiyet Yönetimi?


Zafiyet yönetimi, bilgi güvenliği olgunluğu belirli bir seviyenin üzerinde olan kuruluşlar için son dönemde bilgi güvenliği ekiplerinin gündemini oldukça meşgul etmektedir.

Özellikle kuruluş altyapı bileşenleri belirli periyotlarda çeşitli yöntemler ile denetime tabi tutulan ve bu denetimleri farklı üçüncü parti firmalarla yöneten organizasyonlar bu sürecin optimizasyonuna ve iyileştirmesine ihtiyaç duymaktadır. İyileştirme sürecinde her kuruluşun kendine özgü özelleşmiş ihtiyaçları bulunmakla birlikte ortak ihtiyaçlarının var olduğu gözlemlenmektedir.

Güvenlik operasyonları mevcut hali ile bir çok kuruluş için ek iş gücü yükü oluşturmaktadır. Güvenlik operasyonlarını yürüten ekipler kurum içinde süreçlerin yürütülmesine ilişkin dirençle karşılaşmaktadır. Bu durum hali hazırda yönetimi zor olan güvenlik süreçlerini çıkmaza sürüklemektedir.  Öte yandan tüm paydaşların güvenlik süreçlerine dahil edilmesi önem arz etmektedir. Özellikle üst yönetim ve paydaşlar tarafından desteklenmeyen süreçler zamanla yönetilemeyen atıl iş süreçleri halini almaktadır.

Oluşturulan ve yürütülmekte olan güvenlik süreçleri, altyapı analiz çalışmaları paydaşların işlerini çoğunlukla kolaylaştırmaktan ziyade zorlaştırmaktadır. Paydaşların; raporlar, bulgular, riskler, toplantılar arasında kaybolduğu  görülmektedir.

Teknoloji karmaşıklığı ve uzmanlık alanlarının çeşitliliği ile birlikte bir kuruluşun tüm güvenlik süreçlerine ilişkin bir uzman istihdam etmesi ve bu istihdamı koruması gün geçtikçe zor bir hal almaktadır. Bu durumda kuruluşları üçüncü taraf danışmanlık firmalarından destek almaya yönlendirmektedir. Bu noktada alınan desteğin doğru ve etkili bir biçimde yönetilmesi gerekliliği doğmaktadır.

Güvenlik süreçlerinin doğru yönetilmesinin kilit noktalarından bir tanesi de doğru ekip ile çalışmaktır. Kuruluş bünyesinde ve destek alınan üçüncü taraf firma çalışanlarının da çalışmaya uygun kişilerden seçilmesi gereklidir.

Bu yazı dizisi, bilgi güvenliğine ilişkin süreçleri henüz olgunlaşmamış veya artan olgunlukla birlikte süreçlerin operasyonel yük getirdiği kuruluşlarda merkezi ve tümleşik bir zafiyet yönetimi altyapısının nasıl kurgulanması gerektiğini aktarmak amacıyla hazırlanmıştır. Bu kurgu sırasında tüm süreç bir proje olarak ele alınmış ve sürece ilişkin sorumluluklar uygulayıcı kuruluş ile danışmanlık projesi ekibine kılavuzluk etmesi hedeflenmiştir.

Bu yazı serisi kapsamında merkezi ve tümleşik zafiyet yönetimi her ne kadar proje olarak ele alınsa da bu kurgu ile amaçlanan sürekli iyileştirilebilir ve sürdürülebilir bir bilgi güvenliği çatısı oluşturmaktır.  Ek olarak güvenlik süreçlerine ilişkin farkındalık programları, güvenlik operasyonları merkezi v.b bütünleyici güvenlik maddelerine bu yazı serisi kapsamında değinilmemiştir.

Zafiyet yönetim sisteminin olası çözümlerine geçmeden önce mevcut problemlerin sınırını oluşturmaya çalışalım,

1.Kurum içindeki farklı birimlerin gösterdikleri veya gösterebilecekleri direnç

2.Farklı tipte sistemler ve uygulamalar için tek bir tarama aracının yeterli olmaması, işleve ve fonksiyona göre özelleşmiş denetim araçlarının kullanılması ihtiyacı ve bu araçların tümleşik yönetimi ile merkezi raporlama ihtiyaçları

3.Güvenlik tarama araçlarına ait çıktıları yorumlayabilecek ve bu süreçleri aktif olarak yönetebilecek bilgi güvenliği uzmanı sayısının yetersizliği ve kaliteli insan gücünü efektif kullanabilme ihtiyacı

4.Mevcut altyapılar üzerinde güvenliğe doğrudan etkisi olabilecek değişimlerin aktif takip ihtiyacı

5.Kaynak kod analizi, manuel yöntemlerle (pentest v.b) elde edilen bulguların merkezi olarak yönetilmesi

6.Kurum sistemlerinin dağıtık olması ve sahiplerinin belirlenmesinde yaşanabilecek sıkıntılar

Yukarıda listelenen problemleri etkin bir şekilde yönetebilmek için olası çözüm önerileri aşağıda başlıklar halinde listelenmiştir.

1.1 Strateji ve Hedef Belirleme

Bilgi güvenliği strateji ve hedeflerinin belirlenmesi projenin omurgasını oluşturması bakımından önemlidir. Bu hedef ve stratejiler S.M.A.R.T[1] kriterine uygun olarak seçilmesi fayda sağlayacaktır. Öncelikle bu kriterleri hızlıca anlamaya çalışalım.

S(Specific):    Özel bir konuya odaklanmış iyileştirme (Ör: Son kullanıcı farkındalığı)
M(Measurable):    Ölçülebilir bir nitelik belirleme (Ör: % 70 iyileştirme)
A(Achievable):    Hedeflerin ayakları yere basmalıdır. Belirli bir sürede belirli kaynaklarla çalışılacağı unutulmamalıdır.
R(Realistic):    Elimizdeki kaynaklarla gerçeklenebilir hedefi gerçekleştirebilir miyiz sorusunun cevabı aranmalıdır.
T(Time-related):    Her hedef belirli bir zaman diliminde gerçekleştirilebilir olmalıdır. Belirli zaman dilimlerinde kontrol noktaları belirlenerek sapmalar belirlenebilmelidir.

Yukarı maddelere uygun hedefler belirlemek ne yazık ki tanımlamaları kadar kolay olmamaktadır.

1.1.1 Strateji Belirlemede Doğru Bilinen Yanlışlar

Kuruluşlar bilgi güvenliğine ilişkin strateji ve hedef belirlerken sıklıkla aşağıdaki hataları yapmaktadırlar.

  1. Kimse tarafından anlaşılamayan hedefler belirlemek
  2. Ucu açık, ölçülemeyen, yoruma açık hedefler belirlemek
  3. Üst yönetim tarafından habersiz/benimsenmeyen hedefler belirlemek
  4. Kuruluş felsefesine uygun olmayan hedefler belirlemek
  5. Kuruluş amacına hizmet etmeyen, uygulanması güç ve maliyetli hedefler belirlemek

Hedefler açık ve net bir biçimde belirlenip üst yönetim desteği sağlanamadığında bu projenin bir kerelik gerçekleştirilip rafa kalkması ve proje çöplüğünde yerini alması muhtemeldir. Kişisel görüş olarak hızlıca hedeflerin en önemli dayanak noktası kuruluşun proje süresince olası aksaklıklarda ve anlaşmazlıkların çözümünde referans alınacak parametre olmasıdır. Strateji ve hedeflerin belirlenmesi ile birlikte proje ekibinin belirlenmesi gerekecektir ki bu adıma yapılacak yanlış atamaların telafisi olmayacaktır.

Taking Full Control of SCADA HMI Workstation


This is one of the questions I have been hearing lately. Can an operator take full control of SCADA Human Machine Interface (HMI)? The answer is yes. But how? There are various methods to accomplish this but on this post I will mostly focus on physical attacks so before reading further I should warn you about there is nothing new in town. I will be talking about known methodologies and  their effect on SCADA environment.

By the way, what is the HMI? HMI is mostly a desktop application allows engineers and operators to monitor critical infrastructure field devices such as power plants. Some HMI application also can update/control data or field devices.  You may be thinking what is the risk about taking full control of HMI workstation. It really depends on environment but following scenarios are real.

Following scenarios are extremely dangerous on alive system. It is your own risk to take a shot!

1-Privilege escalation
2-Unauthorized access to critical HMI functions
3-Denial of Service (Workstation)
4-Accessing SCADA Network and deploying complicated attacks.

So here are methodologies.

Method 1: Using Windows 7 Misconfiguration
Since most ICS/SCADA network has legacy systems such as Windows XP. Following years most ICS/SCADA workstations will be Windows 7

Step 1: Force Operation System to shutdown multiple time.
Step 2: Go into Repair mode

repairmode

Step 3: Click Hide Problem Details and save error details

txt file

Step 4: Replace cmd.exe to sethc.exe

cmd to sethc

Step 5: Restart computer
Step 6: Call stick key method, simply press shift 5 times
Step 7: Yay! Command prompt. Add your user. Change your user group to administrators add remote desktop users and so on. Use your imagination.

commondprompt

adduser

Method 2: Using Operating System ShortCuts

People love shortcuts since most HMI runs on windows, there are some useful short cuts!

1-Step 1: Try out all possible keyboard combination

2-Step 2: There are some nice most used short cuts can be useful for testing.
Windows+Lock
Windows+B
CTRL+ALT+DEL
Using this method.  Go to task manager. Click for a new task. Run cmd.exectrlaltdel2

Method 3: Using Bootable Flash Disk
There is nothing special in this method also. Simply prepare a bootable flash disk and restart workstation, during boot option run workstation from your bootable flash disk. Now you can access entire disk.

Conclusion&Mitigation
To be successful on these methods attacker should have physical access to workstation. It is not likely but possible. Be aware that one of your operator can harm your business.

  1. Harden your workstation OS
  2. Disallow USB for data transfer
  3. Restrict physical access to workstations. Only allow access to HMI Monitors
  4. Disable shortcuts
  5. Implement effective log management on workstations
  6. Consider BIOS security implementations

 

 

 

Bypassing Restricted Networks Using IBM Tivoli Monitoring Agent


You plugged your network cable into corporate network. Hola! You cant access anything!(At least for a while). Corporate network welcomes you with Quarantina network so you are in restricted zone with limited access but most probably you will have access at least one of the following; DHCP Server or HotSpot applications. If there is a DHCP server, it means you have a IP therefor you have chance to escape from Quarantina network.

Before go further and complicated scenarios best thing you could at this point understanding network and identifying active hosts and services. In our case we liked one host on the network. It has all nice services and it is most probably Domain Controller integrated DHCP Server. A quick port scan results illustrated as following;
nmap -sS -PN <HOST> (You can use nmap and this command for quick port scan)

portscan

So at this point banner grabbing is a good idea and Port Number 49175 seems like something yummy! Something familiar! It is IBM Tivoli Monitoring Agent.

49175 (IBM Tivoli Monitoring http config) http-title: IBM Tivoli Monitoring Service Index

IBM Tivoli agent basically allows you to manage large numbers of remote locations or devices.

In default configuration IBM Tivoli agent running on 1920, 3661 and some other high ports and again in default configuration IBM Tivoli agent acts as a proxy server and allows you to access both internal and external resources.

Basically you can define a proxy server on your browser to escape/bypass Quarantina network if there is IBM Tivoli Agent runs around your network.

proxy

Now, you can access internal/external resources using tivoli agent. Up to your imagination you can set up HTTP tunneling or some other methods to go further.

Note: This blog post firsly published on http://www.bilgiguvenliginotlari.com/blog/2016/02/10/ibm-tivoli-monitoring-agenti-kullanarak-kisitli-aglardan-kacis/ in Turkish language.

 

 

Penetration Testers Old Friend: 8.3 File Name


As sun Tzu Said “If you know the enemy and know yourself, you need not fear the result of a hundred battles” or as summary: know yourself and your enemy.  Knowing an enemy kinda creepy process but from penetration tester perspective it can be easy there is an old friend can help you to mapping your application during application tests.

When you create a new file on Windows based operation system, OS also generates  a short file name (windows shortname as known as 8.3 format) Detailed information can be found on the following link.

This only works when your file name is longer than 8 character. This feature still stands to stay compatible MS-DOS based or Windows 16 Bit programs. Because they may need to access these long name files.

If your application runs on windows based operating system with IIS web server it is highly possible to access sensitive information.

There is a great tool which is newly updated that you can test your web server. Solving this issue is very easy, you just need to work on registry. For more detail visit microsoft advisory.

Key:   HKLM\SYSTEM\CurrentControlSet\Control\FileSystem
Name:  NtfsDisable8dot3NameCreation 
Value:        1

 

http://www.acunetix.com/blog/articles/windows-short-8-3-filenames-web-security-problem/
https://support.microsoft.com/en-us/kb/142982
https://github.com/irsdl/IIS-ShortName-Scanner
https://support.microsoft.com/en-us/kb/121007

A Risky Burp Suite Module: Active Spider


I am sure, most of you are familiar with Burp Suite. It has a lot of wonderful modules for pentesters but some of them can be dangerous such as Spider.

During application pentest the most important step is increasing attack surface and understanding the application. Web spidering is a application mapping technique and can be done both manually or automaticly. Various tools can perform automated spidering of websites.

Burp Suite has two different options for spidering: active and passive. If you choose to work with active mode you should be aware of its danger. Active spidering visits all pages you have visited during application tests.

If you test a vulnerable application and this vulnerable application allows you to;

1-Unauthorized access to its functions

2-Trigger functions with HTTP GET Method

You can even delete, update some critical data as much as they are supported by application and triggers with GET Method.

For example when you request following link you may delete id=1 record.

<vulnerableHost>function.php?id=1&action=delete

POST Method can be dangerous too but while spidering it will pop-up form parameters so it is much more safe compared to GET Method.

Spider very nice module if you know application behavior. So it is recommended not to use active spidering at beginning of testing but when it is mandatory to use then it would be good idead to use logging extension such logger++.