Hrozby připojení k Internetu Konference Informační politika napříč Evropou Ostrava, 13.-14.9.2004 Title slide

Význam informační bezpečnosti z pohledu CIO Source: Gartner, 2003

Význam informační bezpečnosti – zdroje ČR Zdroj PSIB’03, Ernst&Young, DSM-data security management, NBÚ

Význam informační bezpečnosti – zdroje ČR Zdroj PSIB’03, Ernst&Young, DSM-data security management, NBÚ

Sofistikovanost útoků vs. znalosti útočníků

Typický síťový útok

Internetoví čmuchalové Program pro odposlech dat: sniffer Útočníci používají sniffer pro: Analýzu obousměrného síťového provozu Získání UserID + Passwd (obvykle telnet, ftp) Odposlech elektronické pošty Informace, procházející Internetem, mohou být odposlechnuty v kterémkoli mezilehlém segmentu sítě Kompromitovaný server může ohrozit systémy v jiných částech sítě

Scan Metody scanování umožňují: Příklad: Nmap Zjistit OS a jeho verzi Zjistit služby, spuštěné na daném serveru Skrýt identitu (zdrojovou IP adresu) útočníka Příklad: Nmap Connect scan – zjištění otevřených portů (služeb) snadno detekovatelný Syn scan - neukončený TCP handshake UDP scan – pomalý OS fingerprint – identifikace OS Nmap má databázi cca 200 OS Znalost OS + verze umožňuje nalézt neošetřená zranitelná místa

IP spoofing Útočník používá vymyšlenou IP adresu v odchozích paketech Umožňuje: Skrýt identitu při provádění DoS útoků Neoprávněný vstup do systému kontrolovaný IP adresou HostA kontroluje IP adresu příchozích IP paketů Jestliže zdrojová adresa patří HostB, je umožňen přístup bez UserID+Passwd (tento logovací mechanismus používají např. služby RLOGIN a RSHELL)

Buffer Overflow Způsobí přetečení interního bufferu a vloží vlastní program Jednoduché - dostupné programy a podrobné návody MAIN PROGRAM PROC_ONE PROC_TWO PROC_ONE(A,B,C) C B Z RET ADDR BOGUS CODE X BUFFER Y A

Útoky typu Denial-of-Service Cílem útočníka je znepřístupnit systém pro oprávněné uživatele Relativně snadný: Během posledních let byla popsána řada DoS útoků Programy pro DoS jsou dostupné na Internetu Většinu DoS útoků lze provádět anonymně (IP spoofing) Typy DoS útoků: Obsazení přenosového pásma Síťové aplikace: mnoho agentů (DDoS), všesměrové vysílání Obsazení systémových zdrojů Zahlcuje zdroje serveru  (SYN flood) Využití vad v aplikacích Porušené pakety, aplikační data  buffer overflow Spoofing směrování/DNS/ARP Porušení konzistence směrovacích/DNS/ARP tabulek

Útoky typu Denial-of-Service Smurf Útočník pošle ICMP Echo request na broadcast adresu, jako zdrojovou použije adresu napadeného systému Napadený systém je zaplaven ICMP Echo Reply, dochází k zahlcení sítě Posílání ICMP Echo request rychlostí 400kb/s na 200 počítačů generuje 80Mb/s odpovědí (ICMP Echo Reply) směrovaných na napadený systém

Distribuovaný DoS - DDoS Zesílení tradičních DoS útoků V sítích, ze kterých je veden útok, mohou být instalovány stovky démonů provádějících DoS útok Jedním útokem lze „zabrat“ stovky Mbps DDoS sestává z: Klientský program Master server Agenty (zombie) programy

Postup DDoS útoku – 1

Postup DDoS útoku – 2

Červi a Viry na platformě Win32 Způsoby šíření (Nimda): Klient  klient pomocí e-mailu Klient  klient pomocí sdílení souborů Web server  klient pro prohlížení napadených WWW stránek Klient  Web server aktivím scanováním s využitím zranitelností MS IIS 4.0/5.0 Klient  Web server aktivním scanováním s využitím zadních vrátek zanechaných červy „Code Red II“ a „sadmin/IIS“ Ze statistik spol. Symantec vyplývá, že od roku 2002 se četnost virů a červů na platformě Win32 zvýšila 2,5 ×. Za druhou polovinu roku 2003 bylo dokumentováno 1702 nových Win32 virů a červů. Symantec také dokumentoval 2,636 nových zranitelností systémů během roku 2003. To je průměrně sedm za den. V současné době scanují útočníci sítě a hledají zadní vrátka obsažená ve viru MyDoom. Tato zadní vrátka umožňují nainstalovat vlastní SW – viz „zombie“ používané pro DDoS útoky.

Nárůst počtu nových červů a virů Period Number of viruses and worms Jan 1, 2001 - Jun 30, 2001 Jul 1, 2001 - Dec 31, 2001 Jan 1, 2002 - Jun 30, 2002 Jul 1, 2002 - Dec 31, 2002 Jan 1, 2003 - Jun 30, 2003 Jul 1, 2003 - Dec 31, 2003 New Win32 Viruses and Worms Zdroj: Symantec

Rychlost šíření Code Red

Nástroje pro zjišťování zranitelností Nástroje umožňují: scanování portů host-based audit analýzu logů zjišťování hesel hrubou silou (password cracking) testování Web aplikací zjišťování chyb v aplikacích V této přednášce se soustředíme na: Open Source nástroje

Komplexní testování zranitelností Nessus Jeden z nejrozšířenějších a nejefektivnějších nástrojů pro zjišťování zranitelností IS Client – Server architektura server provádí testy a udržuje databázi zranitelností klienty jsou provozovány na různých platformách Nessus může být rozšiřován pluginy pluginy pro různé platformy a provozované služby výběr pluginu podle konkrétního systému podstatně zrychluje průběh testů Ve výsledcích testů jsou popsány zjištěné zranitelnosti na základě informací z databáze

Nessus – výsledky testů

Scanování portů Nmap Přínosy scanování portů: Nmap: Zakázání nepotřebných služeb omezí možnosti útočníka Zjištěním služeb, které jsou provozovány na jednotlivých otevřených portech, může auditor zjistit pravděpodobné způsoby útoku Nmap: Connect scan – zjištění otevřených portů (služeb) snadno detekovatelný Syn scan - neukončený TCP handshake UDP scan – pomalý OS fingerprint – identifikace OS Nmap má databázi cca 200 OS Znalost OS + verze umožňuje nalézt neošetřená zranitelná místa

NMAP Port Scanner – verze pro Windows

Testování MS Windows LanGuard Network Security Scanner NENÍ OpenSource

Služby IBM v oblasti bezpečnosti

Ing. Stanislav Bíža, CISA sbiza@cz.ibm.com Děkuji za pozornost Ing. Stanislav Bíža, CISA sbiza@cz.ibm.com Closing slide