Report sui recenti attacchi ai siti web dell’INFN CCR 10 ottobre 2013 Massimo Pistoni.

Slides:



Advertisements
Presentazioni simili
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
Advertisements

Database MySql.
La riduzione dei privilegi in Windows
Sviluppare applicazioni per utenti non-admin Fabio Santini Senior Developer Evangelist.
Installazione di Apache 2, PHP5, MySQL 5
INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)
INTERNET FIREWALL Bastion host Laura Ricci.
Connessione con MySQL.
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
Dott. Nicola Ciraulo CMS Dott. Nicola Ciraulo
UNIVERSITÀ DEGLI STUDI DI BOLOGNA
File System NTFS 5.0 Disco: unità fisica di memorizzazione
Gruppo ISP1 Commessa tuttipunti.org. Sommario Descrizione commessa Organizzazione del lavoro Lavoro svolto Problematiche di sicurezza Impostazioni di.
INSTALLAZIONE IN LOCALE
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
Social network Internet. Eun sito web di reti sociali, ad accesso gratuito. È il secondo sito più visitato al mondo, preceduto solo da Google. Il.
Il sistema integrato per la sicurezza dei tuoi dati da attacchi interni alla rete Quanti software proteggono i tuoi dati dagli attacchi esterni alla rete?
Usare la posta elettronica con il browser web
"Non-Admin" Developing "Non-Admin" Developing Fabio Santini.NET Senior Developer Evangelist Microsoft Italy.
Guida IIS 6 A cura di Nicola Del Re.
Internet L’essenziale.
VIRTUALIZZAZIONE Docente: Marco Sechi Modulo 1.
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Corso Drupal 2013 Andrea Dori
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Architettura di storage ad alta affidabilita e bilanciamento di carico per volumi centrali e di esperimento A.Brunengo, M.Corosu INFN Sezione di Genova.
Sistemi Informativi sul Web
Installazione di Drupal: requisiti. (sistemista) Installazione, struttura dei file, nodi speciali.
Presentazione Data Base Ovvero: il paradigma LAPM (Linux - Apache - PHP - mySQL) come supporto Open Source ad un piccolo progetto di Data Base relazionale,
Configurazione di una rete Windows
Amministrazione della rete: web server Apache
A cura di: Huber Roberto, Zaharulko Nicola, Debernardi Daniele.
FTP File Transfer Protocol
Protocolli e architetture per WIS. Web Information Systems (WIS) Un Web Information System (WIS) usa le tecnologie Web per permettere la fruizione di.
Diventa blogger Analisi degli obiettivi Piattaforma Wordpress Francesca Sanzo -
Software scheda Cliente Area nuovi Clienti Obiettivo: 1. Caricamento dati da parte del Cliente; 2. Eliminazione della documentazione cartacea; 3. Responsabilità.
Fabrizio Felici LAMP workshop GROsseto Linux Users Group.
Tipi e topologie di LAN Lezione 2.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
ASP.NET – Autenticazione e Sicurezza basata sui ruoli
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
21 gennaio Sirti S.p.A. VA/PT di: 3 reti pubbliche (indirizzi selezionati)‏ 3 reti private (indirizzi selezionati)‏ 7 (6) applicazioni web.
Istituto Nazionale di Fisica Nucleare La Biodola, Isola d’Elba, 6-9 maggio 2002 AFS: Status Report WS CCR R.Gomezel Workshop sulle problematiche.
Tecnologie lato Server: i Server Web © 2005 Stefano Clemente I lucidi sono in parte realizzati con materiale tratto dal libro di testo adottato tradotto.
F.Murtas1 Preventivi e Consuntivi Introduzione Novità Preventivi Database Consuntivi 2002.
Dael Maselli – INFN LNF CCR – 17 Marzo Dael Maselli slide 2 CCR Oracle Collaboration Suite  Ci sono seri problemi con la suite della.
Attivita' tecniche Test effettuati su Fedora Directory Server: SSL/TLS Autenticazione con Backend PAM Autenticazione Ticket Kerberos Replica Master-Slave.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Analisi di sicurezza della postazione PIC operativa
I sistemi operativi Funzioni principali e caratteristiche.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
Servizio Sistema Informativo - Area Gestione Sistemi e Sicurezza – LNF – Dael Maselli Area Gestione Sistemi e Sicurezza LNF Plenaria Servizio Sistema Informativo.
Migrazione a Win2003 Server a cura del Prof. Arturo Folilela.
Prof. Giuseppe Mastronardi 1 SAM Security Account Manager debolezze ed hardening di Windows XP POLITECNICO DI BARI Sicurezza dei Sistemi Informatici.
Il nuovo sito della CSN1 Salvatore Costa (Catania) Andrea Ventura (Lecce) Roma - Riunione di CSN gennaio 2016.
Roberto Covati – Roberto Alfieri INFN di Parma. Incontri di lavoro CCR dicembre Sommario VmWare Server (in produzione dal 2004) VmWare ESX.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Firewall Next Steps Stefano Zani (INFN CNAF) CCR Roma, 14 Settembre 2015 Credit: Stephen Sauer 1.
Eprogram SIA V anno. La sicurezza informatica Sicurezza Con la diffusione dei computer e della rete Internet, il problema della sicurezza nei sistemi.
Report sui Servizi nazionali dell’INFN (ai LNF) Massimo Pistoni febbraio 2014.
Riunione SICR 16/2/2015. Rete Intervento 6509 – Sostituzione scheda avvenuta con successo – Fase di configurazione nuova scheda – Spostamento link? Mercoledi.
Attività e servizi di calcolo a Roma Tor Vergata R. Kwatera, R. Lulli, R. Sparvoli Roma Tor Vergata.
Riunione gruppo reti E. P.. IPMI Porta da mascherare sul router Scan IPMI e piano di indirizzamento (privato ?) Da fare nel piano generale quando si ha.
Report sullo stato dei Servizi Web nazionali AC Antonino PassarelliCNAF Riccardo Veraldi Giulia Vita FinziLNF Sandro Angius Dael Maselli Massimo Pistoni.
Il sito WEB CMS Italia oggi: domani: ? NOhttp://cms.infn.it M. Biasini, M. Diemoz, P.
Disaster Recovery Resoconto delle attività del Gruppo di Lavoro DR CCR CNAF 5-7/2/2013 S.Zani.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Report e riflessioni sui Servizi nazionali dell’INFN (ai LNF)
Transcript della presentazione:

Report sui recenti attacchi ai siti web dell’INFN CCR 10 ottobre 2013 Massimo Pistoni

Riferimento specifico: 8 luglio – 15 luglio 2013 – Distributed Denial of Service (DDOS) del sito 12 settembre – Violazione dell’host che esportava (portale interno) (sito per il pubblico esterno) – lhcitalia, CGIL, trasparenza, etc.

DDOS di luglio o brute force? Attacco atipico: centinaia di connessioni contemporanee a URL del tipo: – /administrator Contati oltre indirizzi IP distinti da cui partivano le richieste – Come negli attacchi di tipo DDOS… Ma perche’ solo tentativi di accesso admin? – Come negli attacchi di tipo “password brute force”

Effetto sui siti web I web server hanno retto al numero spropositato di richieste per giorni, mostrando solo un lieve affaticamento (sensibile ritardo nelle risposte) Il giorno 13 luglio il MySQL server e’ collassato per eccessivo numero di connessioni contemporanee (limite a 500)

Contromisure Direttiva sugli apache server per negare l’accesso a URL amministrative: Order Allow,Deny Deny from all Verifica dell’installato sotto le dir di INFN Installazione di macchine virtuali dedicate ai siti joomla, distinte dagli host che servono lavori ancora in corso…

Violazione di Sfruttando la possibilita’ di media upload nel sito web joomla – Scritto su disco un file con extension JPG, contenente codice php Richiamato come URL (quindi eseguito) – di fatto uno script di shell Eseguito per settimane su uno dei 2 host che servono – Per fortuna come utente non privilegiato (apache) Salvato su disco un eseguibile binario le cui funzioni rimangono purtroppo oscure, a meno di perdere mesi a fare reverse engineering

Binario oscuro L’eseguibile ha allocato la porta 80, in un momento in cui il processo httpd e’ morto, impedendo allo stesso di ripartire Probabilmente perche’ era l’unica porta aperta sul firewall verso quell’ host Questo ci ha immediatamente allarmato e ci ha permesso di scoprire la violazione del sito web

Cose… supposte (participio non casuale) Lo script php (eseguito come apache) non dovrebbe aver fatto ulteriori danni alla macchina ne’ sul file system – L’unica directory scrivibile conteneva solo questi 2 file estranei (lo script e il binario eseguibile) Il binario oscuro: – Ha fallito nel tentativo di installare un daemon raggiungibile sulla porta 80 (attivo pochi secondi) – Ma potrebbe aver mandato informazioni verso l’esterno (3 IP sospetti scritti nel codice): , ,

Contromisure attuate (per ora) Nel dubbio, reinstallate 3 macchine virtuali per l’export dei rispettivi 3 siti – – (sito per il pubblico esterno) – (portale interno) Molto lavoro del Servizio di Calcolo per gestire l’emergenza – Periodo dei preventivi (sito AC) – Nuovi virtual host per trasparenza.infn.it

Diversificazione accessi AFS Accelerato il processo di diversificazione degli accessi al filesystem AFS da parte dei web server, tramite l’uso di principal di servizio (keytab) differenziati per ogni virtual host – Ogni VH ha il proprio keytab con cui accede in modalita’ esclusiva al volume a lui dedicato La nuova struttura e’ basata tutta su tale diversificazione di accesso – Tramite modulo apache “Waklog”

Gruppo Sistema Informativo Molto lavoro anche del gruppo SI per la separazione dei 3 siti (AC e i 2 LNF) – Sostituzione nell’HTML di tutti i link relativi e assoluti a link (ora puntano ad altro host) – Ricostruzione del sito per la trasparenza (joomla) – Pulizia generale di tutti i contenuti vecchi, obsoleti, o migrati alla nuova struttura web Lavori ancora in corso…

Schema del servizio www INTERNET AFS2 FS,AUTH AFS3 FS,AUTH AFS1 FS,AUTH TSM AFS4 FS Backbone Gigabit ~16 TByte Web Servers (load balanced) LibreriaMagstar SANSAN AFSn Servers MySQL MasterReplica www Video streaming www Oracle RAC Oracle RAC etc

Web: nuova struttura AFS Servers MySQL Servers Oracle Servers TSM Servers Backbone Gigabit www adm www adm www INTERNET Web server per l’amministra- zione del sito joomla - Non raggiungibili dall’esterno. - Possono scrivere su Filesystem AFS Web server per il pubblico - Raggiungibili dall’esterno. - Non possono scrivere su Filesystem AFS

Siti nella nuova struttura (infn, comunicazione, etc.) Per l’accesso pubblico: ? ?

Siti nella nuova struttura (asimmetrie e scienzapertutti) Per l’accesso pubblico:

Siti nella nuova struttura Per l’accesso amministrativo:

Siti nella nuova struttura (lnf) Per l’accesso pubblico:

Siti nella nuova struttura (lnf) Per l’accesso amministrativo:

Servizi web nazionali

Altri servizi web (locali)

Da “verificare” (lavori in corso) per il pubblico portale interno Nota: Sono tutti e 3 da ridondare Fare verifiche ai filesystem, alle ACL, agli script PHP, fare hardening di qualsiasi tipo… Forse anche lo stesso

Considerazioni finali Una volta consegnato un sito web joomla ad un web master, la gestione sfugge completamente al controllo dei sistemisti E’ fondamentale che i siti vengano gestiti da personale competente e sensibile agli aspetti delle sicurezze Gli sviluppatori improvvisati rendono i siti web estremamente vulnerabili E’ necessaria una continua collaborazione e aggiornamento tra i web master e i sistemisti La gestione di siti tramite contratti con ditte esterne e’ deprecabile (per questi stessi motivi)

Considerazioni finali Incidenti come quelli avvenuti nel 2013 non sono i primi e purtroppo non saranno neanche gli ultimi Firewall e IDS/IPS possono aiutare molto, ma non tutti i tipi di attacchi sarebbero stati individuati. Esistono s/w che permettono di fare penetration test, sfruttando vulnerabilita’ note o metodologie di attacco conosciute – Si potrebbe pensare di acquistare qualche licenza Si potrebbero studiare soluzioni tecniche nuove per gestire contenuti multimediali (NGINX), ma c’e’ sempre il problema delle risorse umane

Grazie Domande?