Útoky prováděné po Internetu
ISSS 2003
Department namewww.cz.ibm.com
Sofistikovanost útoků vs. znalosti útočníků
Typický síťový útok
Lokalizacezranitelného
systémuZahlazení
stop
Instalacezadníchvrátek
Útok na dalšísystém
Jinéneautorizvané
činnosti
Zcizení nebozměna
informací
Získáníužvatelského
přístupu
Získáníprivilegovaného
přístupu
Internetoví čmuchalové• Program pro odposlech dat: sniffer• Útočníci používají sniffer pro:
– Analýzu obousměrného síťového provozu
– Získání UserID + Passwd (obvykle telnet, ftp)
– Odposlech elektronické pošty
• Informace, procházející Internetem, mohou být odposlechnuty v kterémkoli mezilehlém segmentu sítě
• Kompromitovaný server může ohrozit systémy v jiných částech sítě
Scan
• Metody scanování umožňují:– Zjistit OS a jeho verzi– Zjistit služby, spuštěné na daném serveru– Skrýt identitu (zdrojovou IP adresu) útočníka
• Příklad: Nmap– Connect scan – zjištění otevřených portů (služeb)
• snadno detekovatelný
– Syn scan - neukončený TCP handshake– UDP scan – pomalý– OS fingerprint – identifikace OS
• Nmap má databázi cca 200 OS
• Znalost OS + verze umožňuje nalézt neošetřená zranitelná místa
IP spoofing• Útočník používá vymyšlenou IP adresu v odchozích paketech• Umožňuje:
– Skrýt identitu při provádění DoS útoků
– Neoprávněný vstup do systému kontrolovaný IP adresou• HostA kontroluje IP adresu příchozích IP paketů• Jestliže zdrojová adresa patří HostB, je umožňen přístup bez
UserID+Passwd (tento logovací mechanismus používají např. služby RLOGIN a RSHELL)
Internet
ÚtočníkHost Z
IP:24.3.3.3
Host AIP:9.2.2.2
Host BIP:9.1.1.1
HostA důvěřuje IP addrHostB
heslo není požadováno(rshell, rlogin)
Předstíraná zdrojová IP adresaZávadná App.Data/Command
Src:9.1.1.1 Dst:9.2.2.2Data: Add user "newroot" with NULL password
Paket s předstíranou IP adresou:
Buffer Overflow
• Způsobí přetečení interního bufferu a vloží vlastní program• Jednoduché - dostupné programy a podrobné návody
MAINPROGRAM
PROC_ONE
PROC_TWO
PROC_ONE(A,B,C)
CB
Z
RET ADDR
BOGUSCODE
RET ADDR
X
BUFFER
Y
A
Útoky typu Denial-of-Service – I.
• Cílem útočníka je znepřístupnit systém pro oprávněné uživatele• Relativně snadný:
– Během posledních let byla popsána řada DoS útoků– Programy pro DoS jsou dostupné na Internetu– Většinu DoS útoků lze provádět anonymně (IP spoofing)
• Typy DoS útoků:– Obsazení přenosového pásma
• Síťové aplikace: mnoho agentů (DDoS), všesměrové vysílání
– Obsazení systémových zdrojů• Zahlcuje zdroje serveru (SYN flood)
– Využití vad v aplikacích• Porušené pakety, aplikační data buffer overflow
– Spoofing směrování/DNS/ARP• Porušení konzistence směrovacích/DNS/ARP tabulek
Útoky typu Denial-of-Service – II.
• Ping O‘Death– Ping = ICMP ECHO paket, max. Délka 64k-1 Bytes– Ping O‘Death posílá pakety >64kB (fragmentace, buffer overflow)– Může způsobit pád systému, reboot, nestabilní stavy– Ohroženy: UNIX, MAC, NetWare, tiskárny, směrovače
• SYN Flood– Využívá zranitelnosti TCP protokolu – zpracování nových požadavků na spojení
je náročné na systémové zdroje– Útočník zaplaví systém požadavky na spojení na různých portech, s neexistující
zdrojovou adresou– Napadený systém čeká na navázání spojení (SYN ACK), oprávnění uživatelé se
nemohou připojit
• Land.C– Založen na bugu v TCP/IP protokolu– Útočník pošle TCP SYN paket se zdrojovou a cílovou adresou napadeného
systému; zdrojový a cílový port jsou stejné– Systém je zahlcen posíláním ACK segmentů ve smyčce– Zranitelné jsou různé OS, směrovače, síťová zařízení
Útoky typu Denial-of-Service – III.• Smurf
– Útočník pošle ICMP Echo request na broadcast adresu, jako zdrojovou použije adresu napadeného systému
– Napadený systém je zaplaven ICMP Echo Reply, dochází k zahlcení sítě– Posílání ICMP Echo request rychlostí 400kb/s na 200 počítačů generuje
80Mb/s odpovědí (ICMP Echo Reply) směrovaných na napadený systém
Internet
Útočník10.34.2.9
Modem Router
10.233.6.12
Router
Router
ÚtočníkNetwork:10.34.2.0
Cíl_BNetwork:
10.233.6.0
Útočník posílá ICMP echo request paket naCíl_A (Direct Broadcast).
Zdrojová adresa paketu je Cíl_B10.233.6.12 to 10.3.3.255
3.1 3.43.33.2
3.5 3.83.73.6
každý počítač ze sítě Cíl_Anetwork posílá ICMP echo
reply paket na Cíl_B 10.233.6.12
Cíl_ANetwork: 10.3.3.0
Distribuovaný DoS - DDoS
• Zesílení tradičních DoS útoků– V sítích, ze kterých je veden útok, mohou být instalovány
stovky démonů provádějících DoS útok– Jedním útokem lze „zabrat“ stovky Mbps
• DDoS sestává z:– Klientský program– Master server– Agenty (zombie) programy
Postup DDoS útoku – 1
Internet
Útočník
Útočník vyhledávánezabezpečené
systémy naInternetu
Postup DDoS útoku – 2
Internet
Útočník
Útočník instaluje nanapadené počítače
utajené agenty(zombie)
Postup DDoS útoku – 3
MASTERSERVER
Internet
Útočník
Útočník na jeden znapadených
počítačů instaluje"Master Server"
Postup DDoS útoku – 4
Cílový systém
Internet
MasterServer
Útočník
Útočník posíláprostřednictvímMaster Serverupříkaz agentům
(zombie) kprovedení útoku
Postup DDoS útoku – 5
Internet
Útočník
Cílový systém jezahlcen
neoprávněnýmipožadavky na
službu.
Cílový systém
MasterServer
Červi (Worms)
• Nejznámější:– Code Red– Nimda
• Způsoby šíření (Nimda):– Klient klient pomocí e-mailu– Klient klient pomocí sdílení souborů– Web server klient pro prohlížení napadených WWW
stránek– Klient Web server aktivním scanováním s využitím
zranitelností MS IIS 4.0/5.0– Klient Web server aktivním scanováním s využitím zadních
vrátek zanechaných červy „Code Red II“ a „sadmin/IIS“
Rychlost šíření Code Red
SANS – Chyby IT profesionálů
• Nejhorší chyby IT profesionálů z hlediska bezpečnosti:– Připojení systému k Internetu před dostatečným zabezpečením („doděláme to
potom, teď už není čas“).– Připojení testovacích systémů k Internetu s default uživatelskými oprávněními.– Nedostatečná nebo žádná instalace bezpečnostních záplat na známé
zranitelnosti systému.– Používání telnetu, ftp a dalších nešifrovaných protokolů pro přístup
(management) k serverům, směrovačům, FW apod.– Předávání uživatelských hesel po telefonu bez dostatečné autentizace.– Nedostatečná nebo žádní implementace antivirového SW a IDS.– Nedostatečné bezpečnostní školení koncových uživatelů.– Nedostatečné nebo žádné zálohování. Obnova dat ze zálohy není prověřována.– Na serverech nejsou vypínány nepotřebné služby (ftpd, telnetd,finger,rpc,mail …)– Chybná implementace FW, bezpečnostní politiky na FW, které nezabrání
útokům.
SANS – chyby managementu
• Nejhorší chyby managementu z hlediska bezpečnosti:– Delegování nedostatečně vyškolených pracovníků pro administraci
bezpečnosti. Nedostatečné zdroje (personální, finanční).
– Nepochopení bezpečnosti IS jako problému fungování organizace – obvykle je problematika zužována na fyzickou bezpečnost.
– Malá podpora kontinuálního udržování potřebné úrovně bezpečnosti – občasná instalace opravných kódů je pokládána za dostatečnou.
– Instalace FW je pokládána za všespasitelnou.
– Neznalost hodnoty informačních aktiv (málo společností má dokončenu analýzu rizik). Podceňování hodnoty „dobrého jména“ organizace.
– „Problémy se časem vyřeší samy.“
Metodika bezpečnosti
Bezpečnostnípolitiky
Organizační bezpečnost
Personální bezpečnost
Klasifikace a kontrola
aktiv
Fyzická bezpečnost
Řízení přístupu
Zajištění kontinuity provozu
Vývoj a údržba systémů
Soulad se standardy a právními normami
Provozní bezpečnost
– Za účelem konzistentního zpracování výsledků a jejich opakovaného použití k posouzení změn v čase používá IBM bezpečnostní metodologii založenou na Britském standardu 7799: "A Code of Practice for Information Security Management”.
Služby IBM v oblasti bezpečnosti
Policy DefinitionStandards DefinitionProcess Dev't
Enterprise ArchInternet ArchSecure Soln DesignPKI Arch
Prod Selection
Product Implementation
+ Firewall+ Directory+ PKI+ Intrusion Detection+ Anti-Virus+ Authentic'n Servers
Emergency Response withr/t Intrusion Detection
Managed Firewall
RunRunImplementImplementDesignDesignPlanPlanAssessAssess
+ Custom PKI End to End Services
Ethical HackingHealth CheckAssessments
SiteProcessSystemNetworkInternetApplication
WorkshopsSecurityPKIPrivacy
Info Asset Profile
+ Privacy Strategy and Implementation
• Děkuji za pozornostIng. Stanislav Bíža
http://www.ibm.com/cz/services/bis/sec.html
Otázky?