Útoky prováděné po Internetu ISSS 2003 Department name

Sofistikovanost útoků vs. znalosti útočníků

Typický síťový útok

Internetoví čmuchalové Program pro odposlech dat: sniffer Útočníci používají sniffer pro: –Analýzu obousměrného síťového provozu –Získání UserID + Passwd (obvykle telnet, ftp) –Odposlech elektronické pošty Informace, procházející Internetem, mohou být odposlechnuty v kterémkoli mezilehlém segmentu sítě Kompromitovaný server může ohrozit systémy v jiných částech sítě

Scan Metody scanování umožňují: –Zjistit OS a jeho verzi –Zjistit služby, spuštěné na daném serveru –Skrýt identitu (zdrojovou IP adresu) útočníka Příklad: Nmap –Connect scan – zjištění otevřených portů (služeb) snadno detekovatelný –Syn scan - neukončený TCP handshake –UDP scan – pomalý –OS fingerprint – identifikace OS Nmap má databázi cca 200 OS Znalost OS + verze umožňuje nalézt neošetřená zranitelná místa

IP spoofing Útočník používá vymyšlenou IP adresu v odchozích paketech Umožňuje: –Skrýt identitu při provádění DoS útoků –Neoprávněný vstup do systému kontrolovaný IP adresou HostA kontroluje IP adresu příchozích IP paketů Jestliže zdrojová adresa patří HostB, je umožňen přístup bez UserID+Passwd (tento logovací mechanismus používají např. služby RLOGIN a RSHELL)

Buffer Overflow Způsobí přetečení interního bufferu a vloží vlastní program Jednoduché - dostupné programy a podrobné návody MAIN PROGRAM PROC_ONE PROC_TWO PROC_ONE(A,B,C) C B Z RET ADDR BOGUS CODE RET ADDR X BUFFER Y A

Útoky typu Denial-of-Service – I. Cílem útočníka je znepřístupnit systém pro oprávněné uživatele Relativně snadný: –Během posledních let byla popsána řada DoS útoků –Programy pro DoS jsou dostupné na Internetu –Většinu DoS útoků lze provádět anonymně (IP spoofing) Typy DoS útoků: –Obsazení přenosového pásma Síťové aplikace: mnoho agentů (DDoS), všesměrové vysílání –Obsazení systémových zdrojů Zahlcuje zdroje serveru  (SYN flood) –Využití vad v aplikacích Porušené pakety, aplikační data  buffer overflow –Spoofing směrování/DNS/ARP Porušení konzistence směrovacích/DNS/ARP tabulek

Útoky typu Denial-of-Service – II. Ping O‘Death –Ping = ICMP ECHO paket, max. Délka 64k-1 Bytes –Ping O‘Death posílá pakety >64kB (fragmentace, buffer overflow) –Může způsobit pád systému, reboot, nestabilní stavy –Ohroženy: UNIX, MAC, NetWare, tiskárny, směrovače SYN Flood –Využívá zranitelnosti TCP protokolu – zpracování nových požadavků na spojení je náročné na systémové zdroje –Útočník zaplaví systém požadavky na spojení na různých portech, s neexistující zdrojovou adresou –Napadený systém čeká na navázání spojení (SYN ACK), oprávnění uživatelé se nemohou připojit Land.C –Založen na bugu v TCP/IP protokolu –Útočník pošle TCP SYN paket se zdrojovou a cílovou adresou napadeného systému; zdrojový a cílový port jsou stejné –Systém je zahlcen posíláním ACK segmentů ve smyčce –Zranitelné jsou různé OS, směrovače, síťová zařízení

Útoky typu Denial-of-Service – III. Smurf –Útočník pošle ICMP Echo request na broadcast adresu, jako zdrojovou použije adresu napadeného systému –Napadený systém je zaplaven ICMP Echo Reply, dochází k zahlcení sítě –Posílání ICMP Echo request rychlostí 400kb/s na 200 počítačů generuje 80Mb/s odpovědí (ICMP Echo Reply) směrovaných na napadený systém

Distribuovaný DoS - DDoS Zesílení tradičních DoS útoků –V sítích, ze kterých je veden útok, mohou být instalovány stovky démonů provádějících DoS útok –Jedním útokem lze „zabrat“ stovky Mbps DDoS sestává z: –Klientský program –Master server –Agenty (zombie) programy

Postup DDoS útoku – 1

Postup DDoS útoku – 2

Postup DDoS útoku – 3

Postup DDoS útoku – 4

Postup DDoS útoku – 5

Červi (Worms) Nejznámější: –Code Red –Nimda Způsoby šíření (Nimda): –Klient  klient pomocí u –Klient  klient pomocí sdílení souborů –Web server  klient pro prohlížení napadených WWW stránek –Klient  Web server aktivním scanováním s využitím zranitelností MS IIS 4.0/5.0 –Klient  Web server aktivním scanováním s využitím zadních vrátek zanechaných červy „Code Red II“ a „sadmin/IIS“

Rychlost šíření Code Red

SANS – Chyby IT profesionálů Nejhorší chyby IT profesionálů z hlediska bezpečnosti: –Připojení systému k Internetu před dostatečným zabezpečením („doděláme to potom, teď už není čas“). –Připojení testovacích systémů k Internetu s default uživatelskými oprávněními. –Nedostatečná nebo žádná instalace bezpečnostních záplat na známé zranitelnosti systému. –Používání telnetu, ftp a dalších nešifrovaných protokolů pro přístup (management) k serverům, směrovačům, FW apod. –Předávání uživatelských hesel po telefonu bez dostatečné autentizace. –Nedostatečná nebo žádní implementace antivirového SW a IDS. –Nedostatečné bezpečnostní školení koncových uživatelů. –Nedostatečné nebo žádné zálohování. Obnova dat ze zálohy není prověřována. –Na serverech nejsou vypínány nepotřebné služby (ftpd, telnetd,finger,rpc,mail …) –Chybná implementace FW, bezpečnostní politiky na FW, které nezabrání útokům.

SANS – chyby managementu Nejhorší chyby managementu z hlediska bezpečnosti: –Delegování nedostatečně vyškolených pracovníků pro administraci bezpečnosti. Nedostatečné zdroje (personální, finanční). –Nepochopení bezpečnosti IS jako problému fungování organizace – obvykle je problematika zužována na fyzickou bezpečnost. –Malá podpora kontinuálního udržování potřebné úrovně bezpečnosti – občasná instalace opravných kódů je pokládána za dostatečnou. –Instalace FW je pokládána za všespasitelnou. –Neznalost hodnoty informačních aktiv (málo společností má dokončenu analýzu rizik). Podceňování hodnoty „dobrého jména“ organizace. –„Problémy se časem vyřeší samy.“

Metodika bezpečnosti –Za účelem konzistentního zpracování výsledků a jejich opakovaného použití k posouzení změn v čase používá IBM bezpečnostní metodologii založenou na Britském standardu 7799: "A Code of Practice for Information Security Management”.

Služby IBM v oblasti bezpečnosti

Děkuji za pozornost Ing. Stanislav Bíža