(More or Less Ethical) Hacking Attacchi a reti informatiche: Come
Transcript
(More or Less Ethical) Hacking Attacchi a reti informatiche: Come
Shorr Kan digital security AIEA Overview Associazione Italiana Information Systems Auditors I punti trattati in questo incontro saranno : • Modus Operandi e tools di un potenziale intruso nella vostra rete (less ethical) Progettare la Business Security La tutela delle risorse immateriali e dei sistemi informativi • Ethical Hacking: Metodologia, Strumenti e Report di un security probe autorizzato (more ethical) (More or Less Ethical) Hacking (Davide Casale, [email protected]) Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 Versione 2.1 – Marzo 2006 Shorr Kan digital security Less Ethical www.shorr-kan.com/security Shorr Kan digital security Profilo degli attaccanti Attacchi a reti informatiche: Come procede un eventuale o potenziale intruso della vostra rete Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security • Script kiddies – Attacchi verso intere classi di indirizzi senza un obiettivo preciso con lo scopo di ottenere ‘scores’ e nuove macchine da usare come teste di ponte • Black Hats – L’hacker/cracker/intruso intende carpire o modificare delle informazioni da una specifica macchina o rete procedendo con attacchi sistematici più o meno stealth contro di questa Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security 1 Shorr Kan Shorr Kan digital security digital security Come inizia un attacco • L’hacker si connette ad Internet attraverso la rete pubblica telefonica o connessioni a larga banda (usando come ponte server violati in precedenza) Information gathering • DNS (Domain Name Service) • Whois • Finger • Web Search Engine (es: google hacking) • Scan a largo spettro alla ricerca di servizi notoriamente vulnerabili • DNS, Whois, Social Engineering alla ricerca di aziende con particolari attrattive Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 Shorr Kan Shorr Kan digital security digital security Service Discovery Analisi della topologia della rete da attaccare • Packet filter discovery Ricerca di Access Control List sui router intermedi tra l’attaccante e la rete sotto attacco • Firewall discovery Ricerca della presenza o meno di sistemi di protezione firewall sulla rete sotto attacco • TTL modulation (Firewalk, Traceroute) Analisi delle tipologie di traffico TCP/IP autorizzate ad attraversare il firewall Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security www.shorr-kan.com/security • Port scanning La maggior parte dei servizi risponde su porte TCP prefissate : una scansione delle porte attive sui server della rete sotto attacco permette di stabilire quali servizi sono presenti • Version and application gathering Si analizza in modo più attento i servizi presenti recuperandone il produttore e la versione alla ricerca di well-known bug specifici • Remote OS Fingerprinting Analisi del sistema operativo remoto (produttore e versione) Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security 2 Shorr Kan Shorr Kan digital security digital security Attacchi diretti ai servizi presenti su sistemi remoti Attacchi diretti ai servizi presenti su sistemi remoti • Social engineering Trarre in inganno l’utente autorizzato per carpire informazioni • Impersonation Usare login e password sottratte all’utente autorizzato • Exploits (esempio: Buffer Overflow) programmi scritti appositamente per ottenere privilegi sfruttando bug del software (es: Qpop) • Transitive Trust Fuorviare i sistemi di autenticazione reciproca tra server e/o tra reti Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security • Data driven (application) application) Sfruttare bugs del software applicativo (es (es:: Outlook) • Infrastructure (protocol and architecture) architecture) Usare debolezze insite nel progetto di un protocollo di comunicazione o di una infrastruttura informatica • DoS (Denial (Denial Of Service attack) attack) Attacchi effettuati per bloccare determinati servizi Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security Shorr Kan Shorr Kan digital security digital security Web spoofing con DNS cache poisoning • Si attacca il server DNS usato dal client • Si redireziona www.banca.it su ‘evil hacker’ • ‘Evil Hacker’ effettuerà in modo trasparente la transazione col vero server bancario, trattenendo però tutti i dati di autenticazione dell’utente. Attacchi indiretti ai servizi (obiettivo : il client) • Il server A è sicuro • Il client B contiene una backdoor al proprio interno, tale per cui l’ hacker è in grado di controllarne tutte le funzionalità, come ad esempio : keystrokes grabbing, video snapshot, filesystem access, network redirection, ... Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 Attacchi a sistemi di Home Banking (server) www.shorr-kan.com/security SSL Home Banking Server Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 Hacker SSL LOG SSL CLIENT www.shorr-kan.com/security 3 Shorr Kan digital security Attacchi a sistemi di Home Banking (client) Shorr Kan digital security Client corruption • Tramite una delle varie tecniche di attacco viste in precedenza si installa un software trojan, contenente anche una back-door, sul client dell’utente. Tramite questo trojan si controllerà il client dell’utente e si registreranno tutte le password di questo Home Banking Server D.o.S. attack (attacchi ai servizi) • Usati per interrompere un servizio Virus Trojan Network flooding Worm Application Overflow SSL CLIENT Trojan Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security Shorr Kan More Ethical digital security D.O.S. Network Redirection Attacks per far ricadere su terzi la provenienza degli attacchi Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 Shorr Kan digital security www.shorr-kan.com/security Metodologia Fasi dell’attività di analisi : Ethical Hacking Security Probe Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security 4 Shorr Kan digital security Metodologia Shorr Kan digital security Metodologia Passi della metodologia ‘classica’ di Security Probe: Footprinting • • • • • • • Questa fase ha lo scopo di raccogliere il maggior numero di informazioni sull’obiettivo che si intende attaccare senza riferirsi direttamente all’obiettivo stesso, ovvero effettuando una cosiddetta “analisi non invasiva”. In particolare in questa fase è importante determinare: Footprinting Scanning Enumeration Gaining Access Escalating Privileges Pilfering (*) Covering traces and creating back doors (*) domini, blocchi di rete e gli indirizzi ip dei sistemi direttamente collegati ad internet. Gli strumenti utilizzati sono i motori di ricerca, gli archivi pubblici whois, Arin, Ripe e le interrogazioni ai server dns. (*) attività di hacking non eseguite in un security probe autorizzato Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 Shorr Kan digital security www.shorr-kan.com/security Metodologia Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 Shorr Kan digital security www.shorr-kan.com/security Metodologia Scanning Enumeration L’obiettivo dello scanning è ottenere una mappa il più dettagliata possibile del sistema da attaccare; ciò significa acquisire informazioni su quali ip dei blocchi di rete trovati nella fase precedente siano effettivamente contattabili dall’esterno (ip discovery) e, relativamente a tali ip, scoprire che servizi abbiano attivi (Tcp/udp port scan) e che sistemi operativi posseggano. Gli strumenti utilizzati sono: interrogazioni ICMP (gping, hping, ecc.), la scansione delle porte tcp e udp (strobe, netcat, nmap, rascan) e fingerprint dello stack (nmap, queso). Con questa fase si inizia “l’analisi invasiva” infatti si effettuano connessioni dirette ai server ed interrogazioni esplicite, il che potrebbe (a seconda della configurazione presente sui sistemi target) originare dei logs. Attraverso l’enumerazione si vuole giungere a identificare, sulle macchine riscontrate come raggiungibili, degli account validi (list user accounts), delle risorse condivise (list file shares) e delle applicazioni attive sulle porte in ascolto (identify application). Le tecniche utilizzate variano dai sistemi operativi delle macchine che si vogliono analizzare. Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security 5 Shorr Kan digital security Metodologia Shorr Kan digital security Metodologia Gaining Access Escalating Privileges Una volta ottenute le informazioni del punto precedente inizia il vero e proprio attacco che ha come obiettivo il riuscire ad entrare nel sistema remoto. I metodi utilizzati anche in questo caso dipendono dal sistema operativo della macchina target, ma si basano sostanzialmente sulla ricerca di password corrispondenti agli utenti trovati (password guessing), sullo sfruttamento di errori progettuali delle applicazioni e servizi attivi sul server (buffer overflows, attacchi data driven, ecc.) o del sistema operativo stesso. L’obiettivo di questa fase è sfruttare i risultati ottenuti nella fase precedente per ottenere il pieno controllo del sistema remoto attaccato. Questo si può ottenere reperendo i files presenti sul sistema che contengono le password e tentando di decifrare le password in essi contenute (password cracking), oppure utilizzando codice appositamente studiato per ottenere i privilegi di amministratore (exploits). Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 Shorr Kan digital security www.shorr-kan.com/security Probe applicativo Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 Shorr Kan digital security www.shorr-kan.com/security Probe applicativo Probe Applicativo (Web Application Vulnerability Assessment – WAVA) Probe Applicativo: classi di attacco (1) Questa analisi è costituita da una serie di tentativi d’attacco che coinvolgono i protocolli e le logiche di comunicazione utilizzati dagli utenti finali per interagire con le applicazioni. Nel caso specifico delle applicazioni web, tali attacchi sono basati su manipolazioni dei pacchetti HTTP che vengono scambiati fra i browser degli utenti ed il web server. Esistono diverse categorie di attacchi verso applicazioni web, che possono portare alla compromissione di uno o più layer dell’intera infrastruttura applicativa: Web Server, Application Server, Middle Tier, Database Management System. • Cross-site scripting: attacchi che sfruttano una non corretta validazione dei contenuti restituiti dal server in risposta a richieste HTTP opportunamente modificate. • Parameter tampering: attacchi che sfruttano una non corretta validazione dei parametri passati dal browser al web server. • Backdoors, opzioni di debug e configurazioni errate di cgi: attacchi basati su errori di configurazione e/o di programmazioni molto noti e diffusi. • Command injection: attacchi che mediante tecniche di injection mirano ad eseguire comandi sui server. Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security 6 Shorr Kan digital security Probe applicativo Shorr Kan Strumenti digital security Strumenti Le analisi sono di norma eseguite da esperti umani e non da semplici tools automatici in grado di generare report rigidi e privi di intelligenza (al contrario di un vero attaccante). I tools usati sono gli stessi in mano alla comunità hacker e si dovrebbe mantenere un costantemente aggiornamento sulle nuove vulnerabilità scoperte o su nuove tecniche o tools di intrusione e di protezione. Alcuni esempi di tools usati sono : Probe Applicativo: classi di attacco (2) • Full Spidering: attacchi che mirano ad accedere a risorse protette seguendo percorsi di navigazione non previsti. • Cookie poisoning: attacchi basati sulla manipolazione dei coockie di sessione HTTP. • Vulnerabilità note: attacchi che sfruttano la mancata applicazione di patch al server web o a script cgi noti. • SQL injection: attacchi che mirano all’esecuzione di query non previste sui DBMS di backend • • • • • • • • • • • • nmap hping cain & abel Atstake LC5 Exploit Always updated per specifiche vulnerabilità di servizi e applicazioni Keygrab Ethereal Ettercap Acunetix (WAVA) Sandcat Suite (WAVA) KisMet per le reti 802.11 (wi-fi) etc. Nel caso di analisi di reti WI-FI vengono utilizzate delle antenne appositamente costruite per aumentare l’efficacia del wardriving. Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 Shorr Kan digital security www.shorr-kan.com/security Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security Shorr Kan Report Report digital security Macroblocchi del Report Tecnico finale Il risultato finale di un security probe è un documento tecnico dove sono evidenziate le problematiche riscontrate sia attraverso l’analisi ‘a tavolino’ con la parte tecnica del cliente e sia attraverso una fase di scansioni e attacchi simulati. Il documento dovrebbe sempre concludersi con i suggerimenti per l’assessment della situazione con un elenco di contromisure minime da applicare per sanare le problematiche evidenziate. Executive Summary Modus Operandi Report Cronologico Attività Minime Consigliate Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security 7 Shorr Kan digital security Shorr Kan Report Le sezioni presenti in tale documento dovrebbero essere essenzialmente : Esempio punti di un Executive Summary - Probe Esterno 1 EXECUTIVE SUMMARY 2 INTRODUZIONE 3 MODUS OPERANDI 3.1 Rete Esterna 3.2 Rete Interna 4 PRINCIPI METODOLOGICI 4.1 Approccio metodologico di riferimento 4.1.1 ANALISI NON INVASIVA 4.1.2 ANALISI INVASIVA 4.1.3 ATTACCO 4.1.4 CONSOLIDAMENTO 4.2 Principi generali 5 REPORT CRONOLOGICO 5.1 Attacco Blind 5.1.1 Apparati di rete 5.1.2 Server di rete 6 Application level e Dati 7 VULNERABILITÀ RISCONTRATE E RISCHIO ASSOCIATO 7.1 Server 7.1.1 Rete 192.168.x.x 8 VALUTAZIONE DELLA RETE 9 SINTESI ATTIVITA’ MINIME CONSIGLIATE • Vulnerabilità rilevata: Sql injection (High Risk) Alcune pagine di autenticazione del sito WWW.CLIENTE.IT sono suscettibili ad una SQL injection. Difatti mediante una query contenente determinati parametri, si riescono a generare errori sql nel database di backend, il quale a sua volta ritornerà una pagina contenente tali errori insieme ai nomi dei campi delle tabelle del database. Dagli errori visualizzati si ottiene che inserendo nel campo login la seguente stringa (e come password qualsiasi stringa) si ottiene accesso ai servizi erogati dal portale Internet : *’ or 1=1 -- Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 Shorr Kan digital security Esempio Probe Esterno digital security www.shorr-kan.com/security Probe Esterno Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 Shorr Kan digital security www.shorr-kan.com/security Probe Esterno Esempio punti di un Executive Summary - Probe Esterno Esempio punti di un Executive Summary - Probe Esterno • Vulnerabilità rilevata: Assenza di lockdown dell’account (Medium Risk) • Vulnerabilità rilevata: Phishing (Low Risk) La pagina WWW.CLIENTE.IT/ADMIN presenta una mascherina di autenticazione, la quale consente di inserire credenziali fittizie numerose volte senza però bloccare l’account. Ciò risulta particolarmente utile ad un hacker nel caso voglia utilizzare un metodo di brute forcing. Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security Tramite opportuni parametri passati nell’url del browser alla pagina del forum di WWW.CLIENTE.IT è possibile eseguire codice java script sulla macchina dell’utente ignaro. Tale operazione risulta particolarmente semplice nel caso in cui tali parametri vengano scritti in esadecimale. Ciò permette di offuscare il codice e renderlo particolarmente difficile da leggere. Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security 8 Shorr Kan digital security Probe Esterno • Correggere gli errori di Sql injection e Phishing nel codice del portale Internet • Prevedere un sistema di autenticazione che imponga un timeout in seguito ad un numero predefinito di tentativi non validi, in modo da rendere più complicato l’utilizzo di metodi di password guessing automatici. Oppure prevedere il blocco dell’account dopo un certo numero di password errate. Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 digital security www.shorr-kan.com/security Probe Interno Esempio punti di un Executive Summary - Probe Interno • Probe Interno • Vulnerabilità rilevata: Macchine di dominio con accessi locali non protetti: Administrator senza password o password banali di utenti amministrativi (High Risk) Questo tipo di problemi ha a che fare con il principio generale della globalità. Una configurazione sbagliata di una macchina dalla quale posso accedere facilmente al dominio una volta eseguita un escalation di privilegi locali, può minare la sicurezza dell’intero dominio. Nella fattispecie, poiché la password di amministratore locale della macchina dell’utente XXXXXX era vuota, si è riusciti ad entrare sulla sua macchine ed intercettare a questo punto sia la password utilizzata per connettersi al pc con il software di accesso remoto Real-VNC e sia gli utenti di dominio e relativa password cifrata che avevano avuto accesso al computer in questione. Una volta crackate con test e confronto da vocabolario o a forza bruta le password abbiamo scoperto che l’utente antivirus, con password semplice, era anche amministratore di dominio. Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 Shorr Kan digital security www.shorr-kan.com/security Probe Interno Esempio punti di un Executive Summary - Probe Interno Vulnerabilità rilevata: Dati sensibili contenuti su share di rete (High Risk) Abbiamo trovato una grande quantità di informazioni riservate e sensibili non cifrate su condivisioni di rete (share) accessibili da utenti dotati di credenziali amministrative di dominio. Il dlgs 196/03 prevede che eventuali informazioni sensibili siano matenute cifrate sui supporti di memorizzazione elettronica ed è comunque buona norma mantenere le informazioni riservate su condivisioni di rete separate da dati non riservati. Questo vale in particolare per informazioni che permettano ad un utente non privilegiato di accedere a credenziali di utenti amministrativi o di accesso remoto. A titolo di esempio, ipotizzando di possedere le credenziali di Amministratore di Dominio e supponendo di recuperare dai file di sistema una coppia UserName/Password non scaduta associata ad un utente VPN, è possibile fare accesso alla VPN stessa con le credenziali di terze parti appena recuperate. Lo scenario di cui sopra va interpretato come violazione dell’ambito amministrativo. Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 digital security Esempio punti di un Executive Summary - Probe Interno Attività Minime Consigliate - Probe Esterno Shorr Kan Shorr Kan www.shorr-kan.com/security • Vulnerabilità rilevata: Dati sensibili contenuti su share di rete (High Risk) Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security 9 Shorr Kan digital security Probe Interno Esempio punti di un Executive Summary - Probe Interno Shorr Kan digital security Probe Interno Esempio punti di un Executive Summary - Probe Interno • Vulnerabilità rilevata: Server Web Stampanti (Low Risk) • Vulnerabilità rilevata: Enumerazione utenti locali della Sun 2.7 tramite vulnerabilità del servizio finger (Medium Risk) La macchina Server-XXX presenta la vulnerabilità nel servizio di finger. Infatti mediante un comando finger particolarmente formattato si riesce ad ottenere la lista di tutti gli utenti locali presenti sulla macchina Sun. Le stampanti di rete che offrono un’interfaccia web sulla porta tcp 80 mancano della password di amministratore. Questo potrebbe consentire ad un malintenzionato di collegarsi, tramite un browser, alla stampante e, dopo aver modificato a piacimento alcuni parametri, impostare la password di amministratore. A questo punto potrebbe impedire all’utenza di utilizzare tale stampante. Tale password potrebbe, in questo caso, venire resettata solo agendo su un pulsante di reset presente fisicamente sulla stampante. Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 Shorr Kan digital security www.shorr-kan.com/security Probe Interno Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 Shorr Kan digital security www.shorr-kan.com/security Probe Interno Attività Minime Consigliate - Probe Interno Attività Minime Consigliate - Probe Interno • Eliminare gli account di amministratori locali se possibile, in alternativa utilizzare una politica di login e password più forti (basate su acronimi, ad esempio). Discorso analogo vale per per gli account non interattivi come antivirus e di amministratore di dominio o per gli account dei servizi di web administration delle stampanti; in alternativa bloccare, se non usati, i servizi web delle stampanti • Installare le patch opportune sulla macchina Solaris 2.7 per il servizio finger • Si consiglia di cifrare documenti contenenti dati sensibili salvati sui NAS Server di rete (come richiesto anche dall’allegato B del Dlgs 196/03) o almeno di proteggerli con password (non banali) direttamente dal sistema Office. • Limitare il più possibile le condivisioni di rete tra client (impedendole anche tramite policy di dominio microsoft se lo si ritiene opportuno) Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security 10 Shorr Kan Domande? digital security Domande? Shorr Kan IT Engineerig srl Via Sestriere 28 10141 Torino Tel. 011 382 8358 Fax. 011 384 2028 www.shorr-kan.com/security 11