Hrozby připojení k Internetu

Prezentace na téma: "Hrozby připojení k Internetu"— Transkript prezentace:

1 Hrozby připojení k Internetu
Konference Informační politika napříč Evropou Ostrava, Title slide

2 Význam informační bezpečnosti z pohledu CIO
Source: Gartner, 2003

3 Význam informační bezpečnosti – zdroje ČR
Zdroj PSIB’03, Ernst&Young, DSM-data security management, NBÚ

4 Význam informační bezpečnosti – zdroje ČR
Zdroj PSIB’03, Ernst&Young, DSM-data security management, NBÚ

5 Sofistikovanost útoků vs. znalosti útočníků

6 Typický síťový útok

7 Internetoví čmuchalové
Program pro odposlech dat: sniffer Útočníci používají sniffer pro: Analýzu obousměrného síťového provozu Získání UserID + Passwd (obvykle telnet, ftp) Odposlech elektronické pošty Informace, procházející Internetem, mohou být odposlechnuty v kterémkoli mezilehlém segmentu sítě Kompromitovaný server může ohrozit systémy v jiných částech sítě

8 Scan Metody scanování umožňují: Příklad: Nmap Zjistit OS a jeho verzi
Zjistit služby, spuštěné na daném serveru Skrýt identitu (zdrojovou IP adresu) útočníka Příklad: Nmap Connect scan – zjištění otevřených portů (služeb) snadno detekovatelný Syn scan - neukončený TCP handshake UDP scan – pomalý OS fingerprint – identifikace OS Nmap má databázi cca 200 OS Znalost OS + verze umožňuje nalézt neošetřená zranitelná místa

9 IP spoofing Útočník používá vymyšlenou IP adresu v odchozích paketech
Umožňuje: Skrýt identitu při provádění DoS útoků Neoprávněný vstup do systému kontrolovaný IP adresou HostA kontroluje IP adresu příchozích IP paketů Jestliže zdrojová adresa patří HostB, je umožňen přístup bez UserID+Passwd (tento logovací mechanismus používají např. služby RLOGIN a RSHELL)

10 Buffer Overflow Způsobí přetečení interního bufferu a vloží vlastní program Jednoduché - dostupné programy a podrobné návody MAIN PROGRAM PROC_ONE PROC_TWO PROC_ONE(A,B,C) C B Z RET ADDR BOGUS CODE X BUFFER Y A

11 Útoky typu Denial-of-Service
Cílem útočníka je znepřístupnit systém pro oprávněné uživatele Relativně snadný: Během posledních let byla popsána řada DoS útoků Programy pro DoS jsou dostupné na Internetu Většinu DoS útoků lze provádět anonymně (IP spoofing) Typy DoS útoků: Obsazení přenosového pásma Síťové aplikace: mnoho agentů (DDoS), všesměrové vysílání Obsazení systémových zdrojů Zahlcuje zdroje serveru  (SYN flood) Využití vad v aplikacích Porušené pakety, aplikační data  buffer overflow Spoofing směrování/DNS/ARP Porušení konzistence směrovacích/DNS/ARP tabulek

12 Útoky typu Denial-of-Service
Smurf Útočník pošle ICMP Echo request na broadcast adresu, jako zdrojovou použije adresu napadeného systému Napadený systém je zaplaven ICMP Echo Reply, dochází k zahlcení sítě Posílání ICMP Echo request rychlostí 400kb/s na 200 počítačů generuje 80Mb/s odpovědí (ICMP Echo Reply) směrovaných na napadený systém

13 Distribuovaný DoS - DDoS
Zesílení tradičních DoS útoků V sítích, ze kterých je veden útok, mohou být instalovány stovky démonů provádějících DoS útok Jedním útokem lze „zabrat“ stovky Mbps DDoS sestává z: Klientský program Master server Agenty (zombie) programy

14 Postup DDoS útoku – 1

15 Postup DDoS útoku – 2

16 Červi a Viry na platformě Win32
Způsoby šíření (Nimda): Klient  klient pomocí u Klient  klient pomocí sdílení souborů Web server  klient pro prohlížení napadených WWW stránek Klient  Web server aktivím scanováním s využitím zranitelností MS IIS 4.0/5.0 Klient  Web server aktivním scanováním s využitím zadních vrátek zanechaných červy „Code Red II“ a „sadmin/IIS“ Ze statistik spol. Symantec vyplývá, že od roku 2002 se četnost virů a červů na platformě Win32 zvýšila 2,5 ×. Za druhou polovinu roku 2003 bylo dokumentováno 1702 nových Win32 virů a červů. Symantec také dokumentoval 2,636 nových zranitelností systémů během roku To je průměrně sedm za den. V současné době scanují útočníci sítě a hledají zadní vrátka obsažená ve viru MyDoom. Tato zadní vrátka umožňují nainstalovat vlastní SW – viz „zombie“ používané pro DDoS útoky.

17 Nárůst počtu nových červů a virů
Period Number of viruses and worms Jan 1, Jun 30, 2001 Jul 1, Dec 31, 2001 Jan 1, Jun 30, 2002 Jul 1, Dec 31, 2002 Jan 1, Jun 30, 2003 Jul 1, Dec 31, 2003 New Win32 Viruses and Worms Zdroj: Symantec

18 Rychlost šíření Code Red

19 Nástroje pro zjišťování zranitelností
Nástroje umožňují: scanování portů host-based audit analýzu logů zjišťování hesel hrubou silou (password cracking) testování Web aplikací zjišťování chyb v aplikacích V této přednášce se soustředíme na: Open Source nástroje

20 Komplexní testování zranitelností
Nessus Jeden z nejrozšířenějších a nejefektivnějších nástrojů pro zjišťování zranitelností IS Client – Server architektura server provádí testy a udržuje databázi zranitelností klienty jsou provozovány na různých platformách Nessus může být rozšiřován pluginy pluginy pro různé platformy a provozované služby výběr pluginu podle konkrétního systému podstatně zrychluje průběh testů Ve výsledcích testů jsou popsány zjištěné zranitelnosti na základě informací z databáze

21 Nessus – výsledky testů

22 Scanování portů Nmap Přínosy scanování portů: Nmap:
Zakázání nepotřebných služeb omezí možnosti útočníka Zjištěním služeb, které jsou provozovány na jednotlivých otevřených portech, může auditor zjistit pravděpodobné způsoby útoku Nmap: Connect scan – zjištění otevřených portů (služeb) snadno detekovatelný Syn scan - neukončený TCP handshake UDP scan – pomalý OS fingerprint – identifikace OS Nmap má databázi cca 200 OS Znalost OS + verze umožňuje nalézt neošetřená zranitelná místa

23 NMAP Port Scanner – verze pro Windows

24 Testování MS Windows LanGuard Network Security Scanner NENÍ OpenSource

25 Služby IBM v oblasti bezpečnosti

26 Ing. Stanislav Bíža, CISA sbiza@cz.ibm.com
Děkuji za pozornost Ing. Stanislav Bíža, CISA Closing slide