Útoky prováděné po Internetu

ISSS 2003

Department namewww.cz.ibm.com

Sofistikovanost útoků vs. znalosti útočníků

Typický síťový útok

Lokalizacezranitelného

systémuZahlazení

stop

Instalacezadníchvrátek

Útok na dalšísystém

Jinéneautorizvané

činnosti

Zcizení nebozměna

informací

Získáníužvatelského

přístupu

Získáníprivilegovaného

přístupu

Internetoví čmuchalové• Program pro odposlech dat: sniffer• Útočníci používají sniffer pro:

– Analýzu obousměrného síťového provozu

– Získání UserID + Passwd (obvykle telnet, ftp)

– Odposlech elektronické pošty

• Informace, procházející Internetem, mohou být odposlechnuty v kterémkoli mezilehlém segmentu sítě

• Kompromitovaný server může ohrozit systémy v jiných částech sítě

Scan

• Metody scanování umožňují:– Zjistit OS a jeho verzi– Zjistit služby, spuštěné na daném serveru– Skrýt identitu (zdrojovou IP adresu) útočníka

• Příklad: Nmap– Connect scan – zjištění otevřených portů (služeb)

• snadno detekovatelný

– Syn scan - neukončený TCP handshake– UDP scan – pomalý– OS fingerprint – identifikace OS

• Nmap má databázi cca 200 OS

• Znalost OS + verze umožňuje nalézt neošetřená zranitelná místa

IP spoofing• Útočník používá vymyšlenou IP adresu v odchozích paketech• Umožňuje:

– Skrýt identitu při provádění DoS útoků

– Neoprávněný vstup do systému kontrolovaný IP adresou• HostA kontroluje IP adresu příchozích IP paketů• Jestliže zdrojová adresa patří HostB, je umožňen přístup bez

UserID+Passwd (tento logovací mechanismus používají např. služby RLOGIN a RSHELL)

Internet

ÚtočníkHost Z

IP:24.3.3.3

Host AIP:9.2.2.2

Host BIP:9.1.1.1

HostA důvěřuje IP addrHostB

heslo není požadováno(rshell, rlogin)

Předstíraná zdrojová IP adresaZávadná App.Data/Command

Src:9.1.1.1 Dst:9.2.2.2Data: Add user "newroot" with NULL password

Paket s předstíranou IP adresou:

Buffer Overflow

• Způsobí přetečení interního bufferu a vloží vlastní program• Jednoduché - dostupné programy a podrobné návody

MAINPROGRAM

PROC_ONE

PROC_TWO

PROC_ONE(A,B,C)

CB

Z

RET ADDR

BOGUSCODE

RET ADDR

X

BUFFER

Y

A

Útoky typu Denial-of-Service – I.

• Cílem útočníka je znepřístupnit systém pro oprávněné uživatele• Relativně snadný:

– Během posledních let byla popsána řada DoS útoků– Programy pro DoS jsou dostupné na Internetu– Většinu DoS útoků lze provádět anonymně (IP spoofing)

• Typy DoS útoků:– Obsazení přenosového pásma

• Síťové aplikace: mnoho agentů (DDoS), všesměrové vysílání

– Obsazení systémových zdrojů• Zahlcuje zdroje serveru (SYN flood)

– Využití vad v aplikacích• Porušené pakety, aplikační data buffer overflow

– Spoofing směrování/DNS/ARP• Porušení konzistence směrovacích/DNS/ARP tabulek

Útoky typu Denial-of-Service – II.

• Ping O‘Death– Ping = ICMP ECHO paket, max. Délka 64k-1 Bytes– Ping O‘Death posílá pakety >64kB (fragmentace, buffer overflow)– Může způsobit pád systému, reboot, nestabilní stavy– Ohroženy: UNIX, MAC, NetWare, tiskárny, směrovače

• SYN Flood– Využívá zranitelnosti TCP protokolu – zpracování nových požadavků na spojení

je náročné na systémové zdroje– Útočník zaplaví systém požadavky na spojení na různých portech, s neexistující

zdrojovou adresou– Napadený systém čeká na navázání spojení (SYN ACK), oprávnění uživatelé se

nemohou připojit

• Land.C– Založen na bugu v TCP/IP protokolu– Útočník pošle TCP SYN paket se zdrojovou a cílovou adresou napadeného

systému; zdrojový a cílový port jsou stejné– Systém je zahlcen posíláním ACK segmentů ve smyčce– Zranitelné jsou různé OS, směrovače, síťová zařízení

Útoky typu Denial-of-Service – III.• Smurf

– Útočník pošle ICMP Echo request na broadcast adresu, jako zdrojovou použije adresu napadeného systému

– Napadený systém je zaplaven ICMP Echo Reply, dochází k zahlcení sítě– Posílání ICMP Echo request rychlostí 400kb/s na 200 počítačů generuje

80Mb/s odpovědí (ICMP Echo Reply) směrovaných na napadený systém

Internet

Útočník10.34.2.9

Modem Router

10.233.6.12

Router

Router

ÚtočníkNetwork:10.34.2.0

Cíl_BNetwork:

10.233.6.0

Útočník posílá ICMP echo request paket naCíl_A (Direct Broadcast).

Zdrojová adresa paketu je Cíl_B10.233.6.12 to 10.3.3.255

3.1 3.43.33.2

3.5 3.83.73.6

každý počítač ze sítě Cíl_Anetwork posílá ICMP echo

reply paket na Cíl_B 10.233.6.12

Cíl_ANetwork: 10.3.3.0

Distribuovaný DoS - DDoS

• Zesílení tradičních DoS útoků– V sítích, ze kterých je veden útok, mohou být instalovány

stovky démonů provádějících DoS útok– Jedním útokem lze „zabrat“ stovky Mbps

• DDoS sestává z:– Klientský program– Master server– Agenty (zombie) programy

Postup DDoS útoku – 1

Internet

Útočník

Útočník vyhledávánezabezpečené

systémy naInternetu

Postup DDoS útoku – 2

Internet

Útočník

Útočník instaluje nanapadené počítače

utajené agenty(zombie)

Postup DDoS útoku – 3

MASTERSERVER

Internet

Útočník

Útočník na jeden znapadených

počítačů instaluje"Master Server"

Postup DDoS útoku – 4

Cílový systém

Internet

MasterServer

Útočník

Útočník posíláprostřednictvímMaster Serverupříkaz agentům

(zombie) kprovedení útoku

Postup DDoS útoku – 5

Internet

Útočník

Cílový systém jezahlcen

neoprávněnýmipožadavky na

službu.

Cílový systém

MasterServer

Červi (Worms)

• Nejznámější:– Code Red– Nimda

• Způsoby šíření (Nimda):– Klient klient pomocí e-mailu– Klient klient pomocí sdílení souborů– Web server klient pro prohlížení napadených WWW

stránek– Klient Web server aktivním scanováním s využitím

zranitelností MS IIS 4.0/5.0– Klient Web server aktivním scanováním s využitím zadních

vrátek zanechaných červy „Code Red II“ a „sadmin/IIS“

Rychlost šíření Code Red

SANS – Chyby IT profesionálů

• Nejhorší chyby IT profesionálů z hlediska bezpečnosti:– Připojení systému k Internetu před dostatečným zabezpečením („doděláme to

potom, teď už není čas“).– Připojení testovacích systémů k Internetu s default uživatelskými oprávněními.– Nedostatečná nebo žádná instalace bezpečnostních záplat na známé

zranitelnosti systému.– Používání telnetu, ftp a dalších nešifrovaných protokolů pro přístup

(management) k serverům, směrovačům, FW apod.– Předávání uživatelských hesel po telefonu bez dostatečné autentizace.– Nedostatečná nebo žádní implementace antivirového SW a IDS.– Nedostatečné bezpečnostní školení koncových uživatelů.– Nedostatečné nebo žádné zálohování. Obnova dat ze zálohy není prověřována.– Na serverech nejsou vypínány nepotřebné služby (ftpd, telnetd,finger,rpc,mail …)– Chybná implementace FW, bezpečnostní politiky na FW, které nezabrání

útokům.

SANS – chyby managementu

• Nejhorší chyby managementu z hlediska bezpečnosti:– Delegování nedostatečně vyškolených pracovníků pro administraci

bezpečnosti. Nedostatečné zdroje (personální, finanční).

– Nepochopení bezpečnosti IS jako problému fungování organizace – obvykle je problematika zužována na fyzickou bezpečnost.

– Malá podpora kontinuálního udržování potřebné úrovně bezpečnosti – občasná instalace opravných kódů je pokládána za dostatečnou.

– Instalace FW je pokládána za všespasitelnou.

– Neznalost hodnoty informačních aktiv (málo společností má dokončenu analýzu rizik). Podceňování hodnoty „dobrého jména“ organizace.

– „Problémy se časem vyřeší samy.“

Metodika bezpečnosti

Bezpečnostnípolitiky

Organizační bezpečnost

Personální bezpečnost

Klasifikace a kontrola

aktiv

Fyzická bezpečnost

Řízení přístupu

Zajištění kontinuity provozu

Vývoj a údržba systémů

Soulad se standardy a právními normami

Provozní bezpečnost

– Za účelem konzistentního zpracování výsledků a jejich opakovaného použití k posouzení změn v čase používá IBM bezpečnostní metodologii založenou na Britském standardu 7799: "A Code of Practice for Information Security Management”.

Služby IBM v oblasti bezpečnosti

Policy DefinitionStandards DefinitionProcess Dev't

Enterprise ArchInternet ArchSecure Soln DesignPKI Arch

Prod Selection

Product Implementation

+ Firewall+ Directory+ PKI+ Intrusion Detection+ Anti-Virus+ Authentic'n Servers

Emergency Response withr/t Intrusion Detection

Managed Firewall

RunRunImplementImplementDesignDesignPlanPlanAssessAssess

+ Custom PKI End to End Services

Ethical HackingHealth CheckAssessments

SiteProcessSystemNetworkInternetApplication

WorkshopsSecurityPKIPrivacy

Info Asset Profile

+ Privacy Strategy and Implementation

• Děkuji za pozornostIng. Stanislav Bíža

sbiza@cz.ibm.com

http://www.ibm.com/cz/services/bis/sec.html

Otázky?