La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Stefano Suin - Le armi di un hacker-1 AIPA, 8/11/1999 Le armi di un hacker Stefano Suin Stefano Suin Centro di Servizi per la rete di Ateneo Università.

Presentazioni simili


Presentazione sul tema: "Stefano Suin - Le armi di un hacker-1 AIPA, 8/11/1999 Le armi di un hacker Stefano Suin Stefano Suin Centro di Servizi per la rete di Ateneo Università."— Transcript della presentazione:

1 Stefano Suin - Le armi di un hacker-1 AIPA, 8/11/1999 Le armi di un hacker Stefano Suin Stefano Suin Centro di Servizi per la rete di Ateneo Università di Pisa

2 Stefano Suin - Le armi di un hacker-2 AIPA, 8/11/1999 ArgomentiArgomenti  Introduzione: Vulnerabilità delle reti IP  Metodologie classiche di attacco  Gli strumenti in dettaglio  I fase: Recupero di informazioni sulla rete obiettivo dell’attacco  II fase: information gathering e identificazione dei componenti “trusted” della rete obiettivo  III Fase: attacco!  IV Fase: cancellazione delle tracce  V Fase: espansione dell’attacco  Teoria degli attacchi alle reti  Denial of service  Spoofing  Sniffing  highjaking  Documentazione / Statistiche

3 Stefano Suin - Le armi di un hacker-3 AIPA, 8/11/1999 Vulnerabilità delle reti IP

4 Stefano Suin - Le armi di un hacker-4 AIPA, 8/11/1999 ObiettiviObiettivi  Reti corporative: funzionalità ed efficienza, ma non sicurezza  Concentrazione degli attacchi  Istituti finanziari e banche - frodi  Service Provider - customer database e intercettazioni  Pubbliche amministrazioni - sfida, frodi  Agenzie governative e della difesa - sfida, spionaggio  Aziende farmaceutiche - spionaggio  Aziende multinazionali - spionaggio  (fonte Network. Security Solutions ltd,

5 Stefano Suin - Le armi di un hacker-5 AIPA, 8/11/1999 VulnerabilitàVulnerabilità  Le caratteristiche intrinseche di Internet che rendono possibili la grande maggioranza degli attacchi all’esterno: il modello client-server e la tecnologia di trasmissione del tipo “commutazione di pacchetto”.

6 Stefano Suin - Le armi di un hacker-6 AIPA, 8/11/1999 Vulnerabilità delle reti: il modello client-server  Server : qualsiasi programma che offre un servizio utilizzabile tramite una rete. Un server accetta richieste che gli arrivano via rete, fornisce il servizio e restituisce il risultato al richiedente. Ogni server è associato ad una porta diversa.  Client : e’ un programma che invia una richiesta ad un server, esplicitando l’indirizzo destinatario e la porta associata al servizio, ed attende da questi una risposta.

7 Stefano Suin - Le armi di un hacker-7 AIPA, 8/11/1999 Il modello client-server Client Server Request (IP dest, server port) Elaboraz ione della richiesta Response IP source, client port

8 Stefano Suin - Le armi di un hacker-8 AIPA, 8/11/1999 Il modello client-server - 2  Un server deve essere in grado di processare più richieste concorrenti (es. più file transfer)... MASTER Clients Generalmente la struttura di un server e’ quella in figura. Il master e’ incaricato di accettare le richieste svolgendo anche compiti di controllo sugli accessi. Accettata una richiesta si “ sdoppia “ ( fork di Unix ) generando uno slave che si occuperà di processare la richiesta. Il master nel frattempo si e’ rimesso in attesa.

9 Stefano Suin - Le armi di un hacker-9 AIPA, 8/11/1999 Modello generale Server host SMTP/ 25 HTTP/ 80 FTP/ 21 POP3/ 110 Server daemon Client 1Client 2Client n...

10 Stefano Suin - Le armi di un hacker-10 AIPA, 8/11/1999 Connection estabilishment protocol Connessione TCP fra client e server three-way handshake Invio SYN ISN = x Ric. SYN+ACK Invio ACK y+1 Ric. segmento SYN Invio SYN ISN=y ACK x+1 Ric. segmento ACK

11 Stefano Suin - Le armi di un hacker-11 AIPA, 8/11/1999 Sicurezza dei server  I server ricoprono un ruolo primario nella sicurezza delle reti. Una volta ottenuto un accesso non autorizzato a un server, il resto della rete è facilmente attaccabile.

12 Stefano Suin - Le armi di un hacker-12 AIPA, 8/11/1999 Vulnerabilità delle reti: la trasmissione a commutazione di pacchetto L'informazione è raggruppata in pacchetti. A D B C R3R4 R2R1 CCD CC DDDCA CC D B

13 Stefano Suin - Le armi di un hacker-13 AIPA, 8/11/1999 Commutazione di Circuito A A D D B B C C I commutatori creano dei circuiti punto-punto

14 Stefano Suin - Le armi di un hacker-14 AIPA, 8/11/1999 Commutazione di pacchetto  Trasmissioni contemporanee  Non c’è impegno di linea  Il cammino viene ricalcolato ogni volta dai computer reinstradatori [Router] (e quindi può seguire strade diverse  I ritardi sono un fattore normale, intrinseco in questa tecnologia di trasporto.

15 Stefano Suin - Le armi di un hacker-15 AIPA, 8/11/1999 Metodologie classiche di attacco alle reti informatiche

16 Stefano Suin - Le armi di un hacker-16 AIPA, 8/11/1999 Gli hacker  Maschio, età fra 16 e 25 anni, molti interessati a forzare le protezioni per aumentare il proprio skill o per poter disporre di ulteriori risorse di rete. Hanno molto tempo a disposizione e possono rendere i loro attacchi diluiti nel tempo e, soprattutto, persistenti, concentrando gli interventi nelle ore notturne o del fine settimana.  (fonte: Front Line Infornmation Security Team - FIST, dec. 98)

17 Stefano Suin - Le armi di un hacker-17 AIPA, 8/11/1999 Le armi  Sniffers  Password Crackers  Scanners  Worms  Rootkit  Hijacking tools  DNS spoofing tools  Exploit Sendmail  Guess default pw-s  Social engineering  Spoofers  Killer packets  Backdoors  Trojan Horse  Flooding tool  Back Orifice  NFS config errors  portmapper/RPC  IP spoof r* cmds [Robert T. Morris At&T Laboratories At&T Laboratories ]

18 Stefano Suin - Le armi di un hacker-18 AIPA, 8/11/1999 Servizi di una rete  Servizi generalmente attivi in una network classica  Web aziendale (in casa o in hosting dal proprio provider)  E.Mail per le comunicazioni globali  Rete locale per l’accesso ad Internet  Accesso remoto  DNS

19 Stefano Suin - Le armi di un hacker-19 AIPA, 8/11/1999 Attacchi dall’esterno  L’attacco dall’esterno rappresenta la parte difficile, una volta entrati, il resto della rete è facilmente prendibile

20 Stefano Suin - Le armi di un hacker-20 AIPA, 8/11/1999 Tipologia degli attacchi  Bisogna distinguere i problemi di insicurezza delle reti in due grandi classi:  1) Debolezze strutturali del protocollo TCP/IP  2) Mancanza di correttezza delle implementazioni dei programmi per la gestione dei servizi  Nella seconda classe si concentrano la maggioranza degli attacchi

21 Stefano Suin - Le armi di un hacker-21 AIPA, 8/11/1999 Profilo delle strategie tipiche  Azioni di scan della rete  Per individuare reti o porzioni di reti che possono essere vulnerabili agli attacchi  Per individuare i singoli host e le loro caratteristiche: sistema operativo, server running daemon, porte TCP aperte  Azione intrusiva  acquisizione dei diritti di super-utente (root)  Installazione di una backdoor  Patch al sistema operativo per nascondere le successive intrusioni

22 Stefano Suin - Le armi di un hacker-22 AIPA, 8/11/1999 Profilo delle strategie tipiche -2  Azione protettiva  patch al sistema operativo per rendere inaccessibile il sistema ad altri hacker. (gli hacker sono i maggiori esperti di sicurezza!)  installazione di backdoor  Azione intercettiva  in base all’obiettivo:  Sniffer  password cracker  Back Orifice  ………...

23 Stefano Suin - Le armi di un hacker-23 AIPA, 8/11/1999 Metodologie di attacco: gli strumenti in dettaglio

24 Stefano Suin - Le armi di un hacker-24 AIPA, 8/11/1999 I fase: Recupero di informazioni sulla rete obiettivo dell’attacco  Visibilità esterna della rete.  Interrogazioni al nameserver  Web page  Ftp repository  Interrogazioni al sistema di posta  Interrogazioni al finger  L’hacker ottiene una lista degli host e un piano delle relazioni esistenti fra questi

25 Stefano Suin - Le armi di un hacker-25 AIPA, 8/11/1999 Recupero informazioni sugli host  Sistema Operativo e release corrente del software installato  connessioni alle porte  programmi reperibili su internet  Es.: queso  rpcinfo,snmp,telnet,SendMail version, download binaries from the public-ftp (analyzing its format) 

26 Stefano Suin - Le armi di un hacker-26 AIPA, 8/11/1999 Macchine definite “trusted”  Una macchina si definisce “trusted” quando, essendo considerata affidabile, gode diritti particolari di accesso, non autenticato, su altre macchine della rete  Generalmente si assegnano questi diritti a server o a macchine utilizzate per l’amministrazione allo scopo di agevolare le operazioni di manutenzione e di accesso ai servizi

27 Stefano Suin - Le armi di un hacker-27 AIPA, 8/11/1999 II fase: information gathering e identificazione dei componenti “trusted” della rete obiettivo  Macchine di amministrazione, server, router  Indentificazione delle vulnerabilità più semplici  spazio disco condivisibile (nsfd,netbios) lasciato senza controllo degli accessi  finger per identificare gli utenti che si collegano  più spesso  Form Web che permettono la modifica di file di sistema critici per l’accesso non autenticato alle macchine (hosts.allow /.rhosts)

28 Stefano Suin - Le armi di un hacker-28 AIPA, 8/11/1999 Identificazione delle vulnerabilità più complesse  Uso di strumenti per verificare i servizi attivi   Portscanning   Azione di scansione remota delle porte note per rilevare l’elenco dei servizi attivi su una certa macchina   si manda un pacchetto particolare “costringendo” la macchina target a una determinata risposta, da cui si possono trarre le informazioni del caso

29 Stefano Suin - Le armi di un hacker-29 AIPA, 8/11/1999 Identificazione delle vulnerabilità più complesse -2  Uso di suite reperibili sulla rete per l’identificazione automatica della vulnerabilità e il reperimento del tool di attacco  Ricerca sui database di Internet  Keywords di ricerca piattaforma, servizio

30 Stefano Suin - Le armi di un hacker-30 AIPA, 8/11/1999 I tool più usati per la rilevazione automatica delle vulnerabilità  ADMhack  la guida completa per tutti i tipi di hacker  ftp://ADM.isp.at/ADM/  Mscan  Nessuna home page: utilizzare un potente mezzo per il rintracciamento del software   Nmap  l’arte del portscanning   Nessus  Satan

31 Stefano Suin - Le armi di un hacker-31 AIPA, 8/11/1999 Azione degli strumenti di scan  TCP portscan di un host  Lista degli indirizzi IP e macchine associate  Dump dei servizi RCP  Lista delle directory esportate via nfs, samba o netbios  Richieste finger  Scan delle vulnerabilità CGI  Server X aperti  Identificazione delle vulnerabilità conosciute sui processi server, tipicamente Posta elettronica, Nameserver, IMAP, POP3, RPC, Http, Sistemi Operativi, Ftp, IRC

32 Stefano Suin - Le armi di un hacker-32 AIPA, 8/11/1999 Database per il reperimento delle vulnerabilità  Grande abbondanza di documentazione  Gli stessi siti orientati ad aumentare la sicurezza dei sistemi servono da repository di software per consentire il crack di sistemi telematici  

33 Stefano Suin - Le armi di un hacker-33 AIPA, 8/11/1999 rootshellrootshell

34 Stefano Suin - Le armi di un hacker-34 AIPA, 8/11/1999 ISSISS

35 Stefano Suin - Le armi di un hacker-35 AIPA, 8/11/1999 Un caso particolare: SNMP  Attacco efficace perché rivolto a router e altre apparecchiature di connettività, sulle quali normalmente non gira alcun programma di sicurezza  Snmp attivato di default, community “public” per lettura, “private” lettura/scrittura  Snmp scan per individuare router e macchina attaccabili  Snmp consente di modificare topologia, protezioni, indirizzamento.

36 Stefano Suin - Le armi di un hacker-36 AIPA, 8/11/1999 III Fase: attacco!  Durante le ore di chiusura (l’attacco è normalmente rilevabile nel momento in cui è in corso) preferiti i trusted external host (mailserver e nameserver), che possono essere utilizzati da “ponte”, avendo accessibilità a brevi segmenti di rete interna  Viene sfruttata la porta di accesso rilevata, ed utilizzata per l’installazione di “backdoor” ovvero di porte nascoste per consentire un accesso non autorizzato e non rilevabile.

37 Stefano Suin - Le armi di un hacker-37 AIPA, 8/11/1999 Attacco!Attacco!  Vengono modificati i comandi stessi del sistema operativo, soprattutto quelli che servono per l’accesso al sistema e per il controllo di processi ed utenti  stessa data, permessi e in molti casi anche lo stesso filesize  uso di rcp evitando l’ftp, normalmente tutto monitorato con log

38 Stefano Suin - Le armi di un hacker-38 AIPA, 8/11/1999 IV Fase: cancellazione delle tracce  pulizia dei log, cioè della “scatola nera di sistema” dove viene registrata tutta l’attività. (buona norma: invio ad una stampante...)  Installazione di RootKit, ovvero di software preconfezionati per la modifica di un sistema operativo.  Operazione rapida, di solito non rilevabile.

39 Stefano Suin - Le armi di un hacker-39 AIPA, 8/11/1999 V Fase: espansione dell’attacco  Dipende dal reale obiettivo:  installazione backdoor su altri sistemi  password cracker  back orifice per il controllo remoto dei sistemi  distruzione e cancellazione di files  network flooding e Denial of Service  reboot e altri “disabling of network ability ”

40 Stefano Suin - Le armi di un hacker-40 AIPA, 8/11/1999 SnifferSniffer  Software che consentono sofisticate intercettazioni di tutto il traffico dei dati sulla rete.  Producono un enorme mole di dati, ma le ultime versioni sono in grado di isolare le informazioni sensibili e i dati di interesse da tutto il resto.

41 Stefano Suin - Le armi di un hacker-41 AIPA, 8/11/1999 Uso degli sniffer  Output su file, che generalmente non sono rilevabili perché i vari “find,locate” sono stati backdoorati  Rilevabili invece i programmi in esecuzione perché le interfaccie di rete vengono settate in promiscous mode   tcpdump  ftp://ftp.ee.lbl.gov/tcpdump.tar.Z  ethereal   ntop 

42 Stefano Suin - Le armi di un hacker-42 AIPA, 8/11/1999 Back Orifice  Installazione di un server, trasmesso con qualsiasi applicazione “infetta” (mail, notepad, documento word…)  L’applicazione si attiva ad ogni accensione, mascherandosi, secondo le volontà dell’hacker.  L’applicazione non appare nella Windows Task list  Controllo completo della stazione attaccata con flusso di comandi criptato.

43 Stefano Suin - Le armi di un hacker-43 AIPA, 8/11/1999 Bo2KBo2K

44 Stefano Suin - Le armi di un hacker-44 AIPA, 8/11/1999 Bo2kBo2k

45 Stefano Suin - Le armi di un hacker-45 AIPA, 8/11/1999 NetBusNetBus  Tutto quello che fa Bo2K più...  Supporto per la connessione remota  Controllo periferiche  videocamere / Microfoni / tastiere  …..

46 Stefano Suin - Le armi di un hacker-46 AIPA, 8/11/1999 RilevamentoRilevamento  Programmi rilevabili dalla rete:  Molti tool che si spacciano per rilevatori di BO, installano invece il virus   da una finestra DOS: netstat -an se il risultato è UDP :31337 *.* un server BO è in attesa di comandi dall’hacker  Prevenzione con anti-virus   Legalità

47 Stefano Suin - Le armi di un hacker-47 AIPA, 8/11/1999 Teoria degli attacchi alle reti

48 Stefano Suin - Le armi di un hacker-48 AIPA, 8/11/1999 TipologieTipologie Interruzione (DoS) Modifica highjacking Intercettazione (sniffing) Fabbricazione (spoofing)

49 Stefano Suin - Le armi di un hacker-49 AIPA, 8/11/1999 DoS (Denial of Service)  Ovvero le azioni finalizzate ad impedire il normale svolgimento di un servizio nella macchina che viene attaccata, Saturando le capacità di comunicazione che una organizzazione ha a disposizione  Quasi tutti i tipi di DoS non sfruttano dei bugs software ma piuttosto una caratteristica intrinseca del protocollo  SYN flooding

50 Stefano Suin - Le armi di un hacker-50 AIPA, 8/11/1999 SYN flood DoS attack! H1 Attacker router X H2 1.SYN(H2) 2.SYN/ACK Unreachable Host 3.SYN(H2) SYN(H2) TCP port fully: ignoring further request to that service

51 Stefano Suin - Le armi di un hacker-51 AIPA, 8/11/1999 IP spoofing  Per ottenere l’accesso, l’intrusore crea dei pacchetti con il source address IP “spoofed” cioè alterato, mascherandosi per un altro. Questo fa sì che applicazioni che usano l’autenticazione basata sul controllo dell’indirizzo IP concedano l’accesso a persone e host non autorizzati. E’ possibile bypassare anche firewall i cui filtri non sono stati disegnati per fermare pacchetti entranti con un source address locale. E’ possibile compiere degli attacchi anche senza ricevere i pacchetti di risposta da parte del target host

52 Stefano Suin - Le armi di un hacker-52 AIPA, 8/11/1999 TCP number prediction dati 4

53 Stefano Suin - Le armi di un hacker-53 AIPA, 8/11/1999 DNS spoofing Resolver Resolver query Name Server Hacker Corrupted UDP packet Telnet Misdirected Destination

54 Stefano Suin - Le armi di un hacker-54 AIPA, 8/11/1999 A Rete privata Firewall 2/251/801/25 1+2/25 Pacchetti frammentati Firewall che lascia passare solo il servizio http Ip-fragmentationIp-fragmentation

55 Stefano Suin - Le armi di un hacker-55 AIPA, 8/11/1999 Altri tipi di spoof  Web spoofing  altera il percorso reale di collegamento a un sito  Mail spoofing  spedizione di mail con l’indirizzo alterato  spam  anonymous r er (penet.fi)  IRC spoofing  dialogo in chat line con false identità o alterando le frasi che due utenti si stanno scambiando

56 Stefano Suin - Le armi di un hacker-56 AIPA, 8/11/1999 SniffingSniffing  intercettazione ed ascolto ascolto del traffico, inserendo un apposito programma sulla rete locale  intercettazione e modificazione del flusso, costringendolo a “transitare” su una macchine, in cui è installato uno sniffer

57 Stefano Suin - Le armi di un hacker-57 AIPA, 8/11/1999 Ip source routing  I pacchetti nel protocollo IP sono spediti sulla rete attraverso diversi router allo scopo di raggiungere la destinazione finale. La strada percorsa da ogni pacchetto è determinata dinamicamente da ciascun router lungo il cammino. Abilitare l’opzione di source routing su un pacchetto IP permette al pacchetto stesso di “prendere decisioni” sul cammino da intraprendere per raggiungere la destinazione, indipendentemente dalla tabella di routing che i router possiedono

58 Stefano Suin - Le armi di un hacker-58 AIPA, 8/11/1999 IP Source Routing A C R4 R2R1 CC C C C C

59 Stefano Suin - Le armi di un hacker-59 AIPA, 8/11/1999 Router C Pkt 2 dst=H2 H1 Attacker router X Router B H2 Pkt 3 ICMP red H2 gw X src=Router C Pkt 1 srct=H2 Pkt 4..n dst=H2 ICMP redirect

60 Stefano Suin - Le armi di un hacker-60 AIPA, 8/11/1999 HighJackingHighJacking  il controllo di una connessione viene preso da un attacker dopo che la fase di autenticazione è già stata passata. Tipiche modalità l’uso dell’ICMP o del RIP.  inserimento di stream di dati non presenti all’origine  i backorifice

61 Stefano Suin - Le armi di un hacker-61 AIPA, 8/11/1999 DocumentazioneDocumentazione

62 Stefano Suin - Le armi di un hacker-62 AIPA, 8/11/1999 Dove documentarsi  Documentazione           “Practical Unix & Internet Security”   O’Reilly & Associates, Inc. ISBN  Tool di sicurezza  ftp://coast.cs.purdue.edu/pub/tools/unix 

63 Stefano Suin - Le armi di un hacker-63 AIPA, 8/11/1999 Brevi statistiche

64 Stefano Suin - Le armi di un hacker-64 AIPA, 8/11/1999 Ernst & Young 1996 Information Security Survey Tipologia degli attacchi

65 Stefano Suin - Le armi di un hacker-65 AIPA, 8/11/1999 Dislocazione geografica degli attacchi dannosi Ernst & Young 1999 Information Security Survey

66 Stefano Suin - Le armi di un hacker-66 AIPA, 8/11/1999 SicurezzeSicurezze Ernst & Young 1999 Information Security Survey


Scaricare ppt "Stefano Suin - Le armi di un hacker-1 AIPA, 8/11/1999 Le armi di un hacker Stefano Suin Stefano Suin Centro di Servizi per la rete di Ateneo Università."

Presentazioni simili


Annunci Google