net12

Dr. Sabin-Corneliu Buraga www.infoiasi.ro/~busaco/

Retele decalculatoareIntroducere insecuritate I

SabinCorneliu Buraga

http://www.infoiasi.ro/~busaco


Dowhatyouknowbest;ifyourearunner,run,ifyoureabell,ring.

Ignas Bernstein


Cuprins

Preliminarii

Definitii

Aspecteimportante

Vulnerabilitati*

Atacuri*

* Multumiri lui Dragos Acostachioaie


Preliminarii Asigurareacalitatiiaplicatiilor(Internet):

corectitudine&robustete(reliability) extindere&reutilizare(modularitate) compatibilitate eficienta portabilitate usurintainutilizare(usability) functionalitate relevantamomentuluilansarii(timeliness) mentenabilitate(reflectareaschimbarilor+latedebugging)

securitate altii:verificabilitate,integritate,reparabilitate,economie


Definitii

Incidentdesecuritate evenimentaparutincadrulretelei,cuimplicatiiasuprasecuritatiiunuicalculatorsauaretelei Proveninddininteriorul oriexteriorul retelei

MulteprotocoaledebazaaleInternetuluinuauluatincalculvulnerabilitatileretelei IP,TCP,FTP,HTTP,POP,SMTPetc.

Cracker versus hacker


Definitii Realitati:

Peste 70%dinorganizatii sufera pierderi financiaredatorate incidentelor desecuritate

Cauze: Virusi informatici:>75% Acte malitioase interne:>40% Actiuni malitioase externe:25% Erori software:70% Spionaj industrial:10%

Securitatea este procesul dementinereaunui nivel acceptabil derisc perceptibil Securityisaprocess,notanendstate.(MitchKabay,1998)


Definitii Mituri:

Securitate prin obscuritate(securitybyobscurity) Ignorarea problemelor Nedocumentarea erorilor cunoscute Nedocumentarea algoritmilor decriptare folositi

Nui poate detecta nimenipe crackeriiascunsi (invizibili)

Organizarea ingrupuri malefice acrackerilor Deseori nu(exceptii:Alt2600,CultoftheDeadCow,)

Toti crackeriisint lafel


Definitii

Mituri(privindsiguranta): Softwareuldescanaredevirusioferaprotectiatotala

ConexiunileInternetnupotfidetectate Dinmomentceunfisierestesters,elsepierdepentrutotdeauna


Definitii Fazealeprocesului desecurizare:

Estimare ariscurilor (assessment) Activitati manageriale +actiuni tehnice

Protejare (protection) Prevenire

Detectare (detection) Identificarea incidentelor (intrusions)

Raspuns laatacuri (response) Restaurarea functionalitatii patch&proceed Alegerea remediilor legale pursue&prosecute


Definitii


Aspecte

ConfidentialitateaAutentificareaAutorizareaIntegritateaNerepudierea

Intimitatea (privacy)Disponibilitatea


Aspecte

Confidentialitatea Imposibilitatea uneiterteentitati sa aiba accesladatelevehiculateintre doireceptori

Solutii: conexiuni privateintre cele 2puncte terminale alecanalului decomunicatie;datele circula printruntunel oferit deoretea privata virtuala(VPN VirtualPrivateNetwork)

criptarea datelor viadiversetehnici(biblioteci specializate si/sau oferite demediilededezvoltare)


Aspecte

Autentificarea Mecanism cepermiteutilizatorilorsa accesezeunserviciudupa verificareaidentitatiiutilizatorului(uzual,pe baza denume +parola)

Solutii: serverulofera suportpentruautentificari debazasaubazatepealgoritmidetipdigest (e.g., MD5)

folosirea unor mecanisme dedicate:Kerberos,RADIUS,TACACS+,OpenID,


Aspecte

Autorizarea Specifica actiunile(rolurile)pecareunutilizatorlepoate realiza;asociataautentificarii

Sepermite administratoruluidefinirea politicilor decontrol al accesuluilaservicii

Solutii: drepturideacces(permisiuni)+ listedecontrolalaccesului(ACL AccessControlList)

controlulaccesuluibazatperoluri(RBAC RoleBasedAccessControl)

tehnici detipSSO(SingleSignOn)


Aspecte

Integritatea Inacestcontext,implicadetectareaincercarilor demodificareneautorizataadatelortransmise

Solutii:algoritmidetipdigestsemnaturidigitale


Aspecte

Nerepudierea Expeditorul mesajuluinupoateafirmaca nulatrimis Solutie:certificatedigitale

stocheaza dateleprivindidentitateauneientitatidetinatoare aunuisecret(parola,seriea cartii decredit,certificat digital,)

emise deoautoritatedecertificare(CA Certification Authority)

verificate deoautoritate deinregistrare(RA RegistrationAuthority)

uzual,serviciile PKIsunt puse ladispozitie desistem

Infrastructuracucheipublice(PKI

PublicKeyInfrastruc.)


Aspecte

Disponibilitatea O anumita resursa sa poata fiaccesatalamomentuloportun

Cauze aleindisponibilitatii: atacuriderefuzalserviciilorDoS (Denial OfService)

atacuri distribuite detipDDoS (Distributed DoS)


Aspecte

Intimitatea Confundata,deseori,cuconfidentialitatea Vizeaza drepturilecetrebuierespectateprivindcaracterul(subiectul)datelorvehiculate

Brese: stocareanecorespunzatoareadatelorlaniveldeserver(informationdisclosure)

atacuridetipphishing configurareanecorespunzatoareasistemelor


Aspecte

PentruInternet,securitateatrebuiasaiainconsideratie: Clientul:interactiune,datepersonale, Dateleintranzit:securitatearetelei,schimbsigurdemesaje,nerepudiere

Serverul:securitateaserveruluioriserverelor,securitateaaplicatiilor,disponibilitateaserviciilor

Atacurilepotvizaoricaredincele3aspecte!


Vulnerabilitati

Vulnerabilitate slabiciuneaunuisistemhardware/softwarecarepermiteutilizatorilorneautorizatisaaibaaccesasupraluiNiciunsistemnueste100%sigur! Vulnerabilitatileaparsidatoritaproasteiadministrari


Vulnerabilitati

Tipuri(exemple): Permiterearefuzuluiserviciilor(DoS DenialOfService)

Permitereautilizatorilorlocalicuprivilegiilimitatesasimareascaacesteprivilegiifaraautorizatie

Permitereautilizatorilorexternisaaccesezereteauasausistemullocalinmodneautorizat

Folosireaunorporturicapuntipentruatacurifocalizateasupraunororganizatii(domenii)specifice


Vulnerabilitati

Cauzeleexistenteivulnerabilitatilor Buguri(erori)existenteinprograme,introdusedeseorineintentionat

Ignorarea/nedocumentareabugurilorexistente(cunoscute)

Configurareanecorespunzatoareaprogramelor,serverelorsiretelelor

Lipsasuportuluidinparteaproducatorilor(e.g.,rezolvareagreoaieabugurilor)

Comoditateasaunecunoastereaproblemelordesecuritatedecatreadministratororideconducereaorganizatiei


Vulnerabilitati Riscuri desecuritate:

Accesul fizic laechipamentele reteleicanale decomunicatii (e.g.,cabluri),servere,sisteme intermediare routere,

Existenta suportului pentru ICMP atacuri viaping

Implementari DNSeronate e.g.,vulnerabilitatile BIND

Servicii anticeoperationale e.g.,telnet,TFTP,

Servicii/protocoale oferind datenecriptate exemple tipice:FTP,SMTP,POP,IRC


Vulnerabilitati

Riscuri desecuritate: Gauriprezente inaplicatii (applicationholes)

exemple:Apache,IIS,MSIE,Outlook,phpBB, Scripturile CGI(CommonGatewayInterface) Existenta conturilor/configuratiilor implicite Permisiuni inadecvate pentru fisiere,conturiutilizator,servicii etc.

Lipsa mecanismelor demonitorizare &detectare aintrusilor

Arhitecturi (topologii)deretea vulnerabile


Vulnerabilitati

Riscuridesecuritate: Suportpentrusistemedefisiereinretea

exemplu:NFS(NetworkFileSystem) Conexiunidetipnull

sistemeleNT/2000/XPoferindIPC(InterProcessComunication)

Parole/numedecontnecorespunzatoare Serviciideadministraredesistemdisponibileinmodremote exemplu: webmin


Vulnerabilitati

Riscuri desecuritate: Apelul deproceduri ladistanta

RPC,CORBA,DCOM,servicii Web, Servicii careruleaza inmodimplicit

e.g.,RemoteRegistry Virusi &malware

exemple:Melissa,LoveBug,componente ActiveX Existenta exemplelor deconfiguratii,programe demonstrativece potfi exploatate

Lipsa aplicarii patchurilor desecuritatesau actualizarii aplicatiilor


Vulnerabilitati


Vulnerabilitati

Riscuri desecuritate studiu decazporturi vulnerabile: 21 (FTP),23(Telnet),25 (SMTP),53 (DNS),67(DHCP),80 (HTTP),110 (POP3),111 (RPCportmapper),113(identd),135 (MSRPC),143 (IMAP),177 (XWindow),535 (CORBAIIOP),635(Linuxmountd),1433/1434 (MSSQL),1521 (Oracle),2049 (NFS),3306 (MySQL),3389 (MSTerminalServices), 5432 (PostgreSQL),666570 (IRC),8000/8080 (HTTP)etc.

Detalii:www.portsdb.org


Atacuri Cunoasterea profilului atacatorului Atribute ce trebuie considerate:

Resursele disponibile(financiare,tehnice,+pregatirea indomeniu)

Timpul alocat(atacatorii rabdatori vor avea mai mult succes)

Riscul asumat depinde deobiective(atacul ar putea fi revendicat sau nudecracker)

Accesul laInternet&calitatea acestuia:tip(wireless,conexiune satelit,),moddealocare aIPului

Obiectivele urmarite (recunoastere mondiala,denigrarea tintei,furt deinformatii,furt debani,)


Atacuri Niveluri deatac

Oportunist (scriptkid) Scop recreational Fara obiective/tinte clar definite Seutilizeaza programe disponibile liberpentru ascana sau testa vulnerabilitati uzuale(e.g.,softwaredescanare,rootkits,)

Nunecesita acces ininteriorul sistemului Cunostinte vagi despre sistemul/organizatia tinta Masuri deprecautie:

ziduri deprotectie (firewalluri)actualizarea versiunilor deprograme


Atacuri Nivelurideatac

Intermediar Obiectivconturat,lanivelulorganizatiei Sevorefectuaaceleasiactiunicalaataculrecreational,darseincearcaascunderealor

Atacatorularemaimultarabdare Cunostintetehnicemaiprofunde(uzual,lanivelulunuiadministratorderetea)

Probabilitatemaimaredesucces,posibilefectemaiputernice


Atacuri Nivelurideatac

Sofisticat Obiectivfoartebineconturat Tintaestedecelemaimulteorioorganizatie Atacurilepottrecepestemasuriledeprevedere Atacatorulvaaveamultarabdare Seinvestestetimppentrucolectareadeinformatiidespresistemul/organizatiatinta

Foartebuneabilitatitehnice Probabilitatemaredesucces


Atacuri Activitatitipiceintreprinsedeunatacator

DescoperireaunorinformatiideinteresNetworkenumeration(e.g.,scanaredeporturi,trasarearutei,capturialedatelor,)

Comenzifolositeuzual:whois,nslookup,host,traceroute,nmap,telnet

Analizareavulnerabilitatilor Identificareapotentialelorbresedesecuritate

Exploatarea(exploitation) Incercareadecompromiterearetelei(folosireadeexploituriexistente,creareadecodmalitios,atacareaporturiloretc.)


Atacuri Tipurideatac

Accesullaniveldeutilizator Atacprinaccesviauncontdeutilizatorobisnuitsaucuprivilegiisuperioare

Etape: Colectareadeinformatii(utilizatori,vulnerabilitatinotorii,configuratiidesistemtipice,)

Exploatarea Deteriorarea:accesladateimportante,alterareainformatiilor,asigurareaaccesuluiulteriorlasistem,modificareajurnalelordesistem

Solutii:eliminareaprogramelor,modulelor&serviciilorcarenusuntneaparatnecesare,analizareafisierelordejurnalizare


Atacuri Tipurideatac

Accesuldeladistanta Nunecesitaaccesutilizatorlasistem Creazarefuzurideserviciiprincereriincorecte,eventualcucadereaserviciilorprostproiectate DoS(DenialofService),DDoS (DistributedDoS)

Etape: Colectareadeinformatii identificareadeservicii Exploatarea trimitereadepachetelaportulgasit Deteriorarea

Distrugereaunuiserviciuderetea Defectarea/incetinirea(temporara)aunuiserviciusauasistemului


Atacuri Tipuri deatac

Accesul deladistanta ladiverseaplicatii Trimitere dedateinvalide aplicatiilor,nuserviciilor deretea (traficul nueafectat) Exemple:SQLinjection sau XSS(CrossSiteScripting)

Nunecesita obtinerea unui contdeutilizator Etape:

Colectarea deinformatii identificarea aplicatiei(e.g.,serversau clientWeb,aplicatie debirou,sistem destocare,solutie demesagerie,)

Exploatarea trimiterea continutului,directsau indirect(e.g.,viaemail ori FTP),spre aplicatie

Deteriorarea Stergerea/copierea fisierelor utilizatorilor Modificarea fisierelor deconfiguratie


Atacuri

Tipuri deatac Inocularea deprogramepe calculatorul utilizatorului Plasarea deprogramemalware(virusi,spioni,cai troieni,bombe,...) viascripturi,pluginuri,componente ActiveXetc.

Efecte: Apelarea neautorizata deprograme Colectarea/distrugerea deresurse Lansarea deatacuri spre alte sisteme Crearea deusi ascunde (traps,backdoors) Furtul identitatii utilizatorului si altele


Atacuri Tinta

Organizatiipublicesauguvernamentale Recunoastereinrindulcrackerilor Captareaatentieimassmediei Revendicarietice,politice,

FurnizorideserviciiInternet Sabotareaactivitatii

Companiiprivate Discreditare Furtdeinformatii Razbunaredinparteafostilorangajati

Persoanefizice Cuscoprecreational


Atacuri Categorii:

Abuzurifiziceasupracalculatoarelor Atacurilabootareasistemului Abuzurilaniveldescreensaver Atacuriprivitoarelaparole AbuzuriprivitoarelaPATH AtacuriasupraSMB(ServiceMessageBlock) AtacurivizindUPnP(UniversalPlugnPlay) AtacuriasupraunorserviciiWindows(HelpCenter,RemoteRegistry,RemoteDesktop,)

Atacuriprivitoarelasistemeledeautentificare

Acces direct


Atacuri Atacuri lanivel wireless(practici comune):

Diminuarea semnalului Capturarea pachetelor dedate(wirelesssniffing) Atacuri asupra WEP(WiredEquivalentPrivacy) Crearea devirusi /codmalitios

Exemple:Phage(PalmOS),Timofonica (sisteme GSM),Vapor(PDA),infectii asupra sistemelor WindowsCEetc.

Folosirea resurselor retelelorwireless publicesau aleunor companii Snooping (accesarea datelor private,cu/fara autentificare) Masquerading(furt deidentitate alunui dispozitiv) DoS (refuz alserviciilor)


Atacuri

Tipurideatacuri studiudecaz Spargereasaupenetrarea(cracking)

Actiuneadedescoperireaunorvulnerabilitatisideprofitaredepeurmaacestora

Accesneautorizatlasistemefectuatdecracker Accesare,faraaltaactiune rolpasiv Accesarecualterare/distrugereainformatiilor activ Accesarecucontrolasuprasistemului;uneoricucrearedeusidinspate(backdoors) rolactiv

Nuseacceseazasistemul,ciserealizeazaactiunidistructivederefuzalserviciilor


Atacuri

Moduri deatac Bomba email (emailbombing)

Trimiterea repetata aunui mesaj (dedimensiunimari)spre oadresa email aunui utilizator

Incetineste traficul,umple discul Unele atacuri potfolosi adrese emailmultipleexistente pe serverul tinta

Sepoate combina cufalsificarea adresei(emailspoofing)


Atacuri

Modurideatac Spam (emailspamming)

Trimitereademesajenesolicitate(reclame) Adresaexpeditoruluiestefalsa Efectulataculuiesteaccentuatdacamesajulvafitrimispeolistadediscutii

Abonarealalistedediscutii Ataccedeterminaenervareavictimei,facilitatdediverseprogramedisponibileinInternet

Cauzeazatraficinutilderetea


Atacuri

Moduri deatac Falsificarea adresei expeditorului(emailspoofing) Folosita pentru ascunderea identitatiiexpeditorului sau pentru determinareautilizatorului sa raspunda laatac ori sa divulgeinformatii (e.g.,parole)

Slabiciunea este datorata protocolului SMTPUtilizatoriitrebuieeducati sanuraspundaexpeditorilornecunoscuti sisanudivulgeinformatii confidentiale


Atacuri

Modurideatac Socialengineering

Manipulareautilizatorilordecatreuncracker phishing (preluareaidentitatii)

Tipuri:intimidare,santaj,presiune,autoritate,flatare,substitutiedepersoana,vanitateetc.

Atacatorulcolecteazadateprivitoarelapersoanasi/sauorganizatiavizatasiaplicaprincipiidepersuasiune

Detalii:http://online.securityfocus.com/infocus/1527


Atacuri

Moduri deatac Refuzul serviciilor (DenialofService)

Degradeaza calitatea functionarii unor serviciisau conduceladezafectarea lor

Bombardament cupachete (packetflood) setrimite unnumar maredepachetespre oanumita gazda delaosingura sursa oriprovenind delasurse multiple (DistributedDoS) Segmente TCP(cusetarea SYN,ACKsau RST) Pachete ICMP(pingflood) Pachete UDP


Atacuri

Moduri deatac Refuzul serviciilor (DenialofService)

Sepoate falsifica adresa IPaexpeditorului(IPspoofing)

Sepotmodifica porturile sursa/destinatie(pentru atrece defirewalluri)

Exemple SYNflood cereri multiplederealizare deconexiuni Pingofdeath atac cupachete ICMPmari Teardrop exploatarea implementarilor TCP/IPcarenugestioneaza corect pachetele IPsuprapuse

Smurf atac ICMPasupra adresei debroadcast


Atacuri Moduri deatac

Depasirea capacitatii bufferelor (bufferoverflow) Unele programe potaloca spatiu insuficient pentruunele date,depasirile survenite potproduceexecutarea decomenzi cautilizator privilegiat(root)

Unele functii C gets(),getwd(),strcpy(),strcat() ofera premisele aparitiei debufferoverflowuri

Exemple:suprascriere decod,alterarea stivei depointeri

Uzual,atacul provine dininterior,dar poate fi si dinexterior(viauncaltroian)


Atacuri

Moduri deatac Interceptarea retelei (IPsniffing)

Monitorizarea datelorcarecircula printrointerfata deretea sepotdetecta paroletransmise necriptate

Atacul provine dininterior Pentru retele deviteza mare(100Mb/s)unele pachete nupotfi captate desniffer

Exemple:tcpdump,Wireshark (exEthereal)


Atacuri

Moduri deatac Cai troieni (trojan horses)

Programe rau intentionate,deghizatesubformaunor executabile utile

Apeleaza programe neautorizate sausunt modificate,incluzind codnelegitim

Actiuni:colectarea deinformatii,distrugerea deinformatii,lansarea deatacuri spre alte sisteme

Exemple:sendmail,jocuri deretea sau vaduvaneagra(blocheaza/corupe browsere Web)


Atacuri

Modurideatac Usiascunse(backdoors/traps)

Cazparticulardecaitroieni Creazaopoarta(e.g.,utilizator,port,)carepermiteaccesululteriorlacalculatorsi/saucistigareadeprivilegii

Viermi (worms) Programecaresemultiplica,transferindusepealtegazdesiefectuind(eventual)distrugeri

Exemplucelebru:InternetWorm (1988)


Atacuri

Modurideatac Ghicireaparolelor (passwordguessing)

93%dinproceseledeautentificarefolosescparole

Cucitutilizatorultrebuiesaretinamaimulteparole,cuatitsistemuldeprotectieviaparoleestepredispuslabreseinsecuritate: Alegereaunorparoleslabe Partajareaparolelor(grupurideprieteni,colegi,...) Scriereaparolelorpehirtie(eventual,lavedere) Folosireauneiaceleasiparoletimpindelungat,pentrumaimulteaplicatii/sisteme


Atacuri

Moduri deatac Ghicirea parolelor (passwordguessing)

Folosirea unui programce determina paroleleprostalese (prea simple) Prea scurte,utilizeaza cuvinte dedictionar,numerice

Protectie prin /etc/shadow,reguli stricte deschimbare aparolelor,educarea utilizatorilor,folosirea deprograme detipspargator deparole(passwordcracker)

Alte solutii:SingleSignOn(SSO),smartcard,identificare biometrica etc.


Atacuri

Moduri deatac Virusi

Programe ce efectueaza operatii nedorite(distructive),cucapacitati demultiplicare infectarea altor programe (uzual,executabile)

Maiputin raspinditi inUnix/Linux,deobicei avindefect doar daca seexecuta subauspicii deroot

Potgenerasi emailbombing Remedii:utilizarea deantivirusi si porti deemail(e.g.,ClamAV)


Atacuri

Modurideatac Utilizareatehnicilor reversecodeengineering

Analizareaaplicatiilorbinarefaracodsursaaccesibil(closedsource),pentruaseobservamoduldeexecutielanivelscazut

Folositasipentruastudiacodulmalware Aparproblemedelegalitate! Instrumente:editoarehexa,dezasambloare,depanatoare,monitoaredesistem,


Atacuri

Modurideatac ExploatareafragmentariiIP

Folositalapacalireasistemelordedetectieaintrusilor(IDS IntrusionDetectionSystems),laconfectionareadepachetededimensiunimari(e.g.,pingofdeath)sialtele

Potfiutilizateinstrumentedisponibilecahping,fragroute,nmap


Rezumat

Preliminarii

Definitii

Aspecte importante

Vulnerabilitati

Atacuri


Intrebari?

Documents

net12