Internet Security Stato dellarte e prospettive Francesco Palmieri GARR CERT
Evoluzione della Rete Fase 1- CAPILLARIZZAZIONE –Diffusione della rete in termini di accessi e connettività –Sperimentazione dei principali servizi in rete Fase 2 – CONSOLIDAMENTO –Qualità della connettività in rete, incremento della banda –Diffusione di massa dei servizi in rete Fase 3 – APERTURA SOCIALE –Sfruttamento commerciale della rete –La rete come elemento strategico per il business e strumento essenziale in tutte le attività lavorative e sociali
Lemergenza Security I Ondata: Acquisizione e controllo –Acquisizione fraudolenta di accessi e di risorse in rete II Ondata: Esplorazione –Esplorazione delle potenzialità commerciali della rete e delle tecniche di danneggiamento e sfruttamento risorse delle entità collegate III Ondata: Ingegnerizzazione –Ingegnerizzazione e diffusione delle tecniche di danneggiamento e sfruttamento illecito di risorse altrui –Guerre commerciali, spionaggio e sabotaggio industriale –Terrorismo informatico
I Ondata: Acquisizione e controllo Hacking (acquisizione trasparente di accessi/risorse): –Sfida tecnologica / Dimostrazione di abilità –Sfruttamento pacifico di risorse di calcolo e connettività Cracking (danneggiamento e/o utilizzo illegale): –Danneggiamento di sistemi in esercizio a scopo vandalistico o dietro motivazioni economiche –Acquisizione di risorse in rete per offrire servizi clandestini generalmente illegali (comunicazione, distribuzione e scambio materiale illegale). Controllo remoto via Trojans –Sfruttamento di sistemi di terzi come base per attacchi o come passaggio per rendere meno evidenti le proprie tracce (bouncing)
I Ondata: Acquisizione e controllo Obiettivi di attacco: –Tutti i sistemi di calcolo in rete in particolar modo i server Tecniche: –Uso di backdoor consapevoli e non e funzionalità particolari (debugging per manutenzione, shell escapes) –Sfruttamento di errori o inadempienze in configurazione del sistema (trusting, autenticazione debole etc.) o rete (sniffing) –Buffer Overflow Azioni Correttive: –[Host]: Rafforzamento sicurezza a livello di OS, patching –[NetDev]: Blocco/filtraggio selettivo dei servizi vulnerabili
Acquisizione: Packet Sniffing
Trojans: Back Orifice Applicazione Client/Server Controllo completo trasparente di sistemi presenti Sulla rete tramite un client con Interfaccia GUI gestione completa applicazioni gestione completa processi controllo connessioni di rete gestione del registry gestione di files e directories manipulate servers reboot e shutdown remoti blocco e sblocco log attività di tastiera cattura password trasferimento e trattamento di files Usa UDP (porta di default 31337) Trasmisione su canale crittato GUI del programma client
II Ondata: Danneggiamento Protocol Hijacking: –Innesco di anomalie a livello di stack di protocollo per ottenere il blocco della connettività a livello di hosts/routers Flooding/bombing: –Saturazione della banda e delle risorse di connettività attraverso linvio doloso di enormi quantità di dati Process degradation: –Saturazione per sovraccarico o blocco totale (crash) indotti delle risorse elaborative di un host erogatore di servizi –Diffusione massiccia di processi ostili autoriproducenti (Network Virus, Worms) Storage degradation: –Saturazione indotta delle risorse di memorizzazione di massa di un host erogatore di servizi (es. mail spool dev, log dev)
II Ondata: Sfruttamento illecito Spamming: –Sfruttamento della banda e delle risorse elaborative altrui per operazioni di relay massive Sfruttamento indebito di banda trasmissiva: –Sfruttamento su specifiche tratte vulnerabili della banda altrui conseguito attraverso lutilizzo dei meccanismi di source- routing o perturbando in maniera dolosa linstradamento allinterno di uno o più AS Falsificazione dellindirizzamento (spoofing): –Falsificazione dolosa del proprio indirizzo sorgente, generalmente propedeutica a buona parte delle attività ostili di cui sopra, per rendere problematica lidentificazione delle reali origini di un attacco. WWW site defacing: –Modifica dolosa ad arte del contenuto di un sito WWW
II Ondata: difese Azioni Correttive: –TCP/IP Hijacking: [Host, NetDev]: aggiornamento continuo OS, patching etc. [NetDev]: filtraggio selettivo, Network Intrusion Detection –Flooding/bombing: [NetDev]: filtraggio selettivo, filtraggio in banda, analisi dei flussi di traffico –Process/storage degradation: [Host]: Rafforzamento sicurezza a livello di OS e di service manager – spamming: [Host]: enforcing delle policy anti-relay, check relay mittenti su blacklist [NetDev]: filtraggio selettivo degli accessi al servizio relay –Routing illecito: [Netdev]: disabilitazione source-routing, identificazione forte sui protocolli di routing, controllo e analisi dei flussi di traffico
Protocol Hijacking: Ping o Death attaccante construisce I frammenti vittima Riceve i frammenti assembla I frammenti Internet buffer bytes La taglia dell ultimo fram- mento causa overflow
chargen port 19 echo port 7 attaccante intermediario vittima Congestione rete e CPU spoofing dellidirizzo origine, Eventualmente un broadcast Saturazione: Attacco diagnostic port
target bad.guy.org Vuole assumere lidentità di trusted.host.com source route Attenzione: Lhost target utilizzerà le informazioni di source-routing fornite illecitamente da bad.guy.org per raggigere lhost trusted.host.com. Tutto il traffico per trusted.host.com viene instradato a bad.guy.org Il meccanismo di source routing permette di specificare la strada che i paccheti dovranno percorrere per giungere a destinazione Source-Routing
III Ondata: Ingegnerizzazione Vulnerability Scans – Network mapping: –Analisi e ricerca sistematica delle vulnerabilità su una rete Denial Of Service su larga scala: –Sfruttamento di meccanismi di ripetizione ed amplificazione ai danni di risorse di banda di terzi per incrementare le potenzialità di attacchi classici Smurf, fraggle etc. Denial of service distribuiti: –Gestione distribuita degli attacchi attraverso lo sfruttamento simultaneo e sincronizzato di un notevole numero di hosts violati per svolgere attività offensive difficilmente isolabili da più provenienze e direzioni Stacheldraht, Trin00, tfn, tfn2k etc.
III Ondata: Ingegnerizzazione Obiettivi: –ISP, realtà commerciali, enti governativi, con lo scopo di causare il blocco o una cospicua degradazione della connettività e dellerogazione dei servizi Azioni correttive: –Filtraggio in banda –Analisi dei flussi di traffico –Network Intrusion detection, Firewalling –Enforcing di politiche di sicurezza a livello di router
Network Mapping via broadcast Rete target attaccante broadcast echo request many echo replies
Attacco Smurfing attaccante vittima broadcast echo request Indirizzo sorgente falsificato (spoofing) come indirizzo della vittima echo replies ricevuti dalla vittima in ragione delle risposte ai pacchetti di broadcast inviati dallindirizzo della vittima a tutti i componenti della rete dellintermediario rete amplificante (intermediario)
Distributed Denial of Service Il Client controlla E attiva lattacco Gli Handler sono host compromessi che Controllano gli agents Schermando I clients Gli Agents sono host compromessi che hanno il compito di realizzare effettivamente gli attacchi
GARR CERT
Statistica Incidenti GARR-CERT