Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 1 Workshop CEGOS - 11 Novembre 1999 SECURITY LAB Divisione di Intesis SpA Violare il proprio sistema per difendersi meglio
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 2 Finalità di un attacco n Script kiddies Attacchi verso intere classi di indirizzi senza un obiettivo preciso con lo scopo di ottenere ‘scores’ e nuove macchine da usare come teste di ponteAttacchi verso intere classi di indirizzi senza un obiettivo preciso con lo scopo di ottenere ‘scores’ e nuove macchine da usare come teste di ponte n Black Hats L’hacker intende carpire o modificare delle informazioni da una specifica macchina o rete procedendo con attacchi sistematici più o meno stealth contro di questaL’hacker intende carpire o modificare delle informazioni da una specifica macchina o rete procedendo con attacchi sistematici più o meno stealth contro di questa
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 3 Come inizia un attacco dall’esterno n L’hacker si connette ad Internet attraverso la rete pubblica telefonica n Scan a largo spettro alla ricerca di servizi notoriamente vulnerabili n DNS, Whois, Social Engineering alla ricerca di aziende con particolari attrattive
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 4 Come inizia un attacco dall’esterno (cont.) n Information gathering DNS (Domain Name Service)DNS (Domain Name Service) WhoisWhois FingerFinger Web Search EngineWeb Search Engine
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 5 Come inizia un attacco dall’esterno (cont.) n Analisi della topologia della rete da attaccare Packet filter discoveryPacket filter discovery –Ricerca di Access Control List sui router intermedi tra l’attaccante e la rete sotto attacco Firewall discoveryFirewall discovery –Ricerca della presenza o meno di sistemi di protezione firewall sulla rete sotto attacco TTL modulation (Firewalk, Traceroute)TTL modulation (Firewalk, Traceroute) –Analisi delle tipologie di traffico TCP/IP autorizzate ad attraversare il firewall
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 6 Come procede un attacco dall’esterno (cont.) n Service Discovery Port scanningPort scanning –La maggior parte dei servizi risponde su porte TCP prefissate : una scansione delle porte attive sui server della rete sotto attacco permette di stabilire quali servizi sono presenti Version and application gatheringVersion and application gathering –Si analizza in modo più attento i servizi presenti recuperandone il produttore e la versione alla ricerca di well-known bug specifici Remote OS FingerprintingRemote OS Fingerprinting –Analisi del sistema operativo remoto (produttore e versione)
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 7 Attacco dall’esterno Attacchi esterni
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 8 Attacchi diretti ai servizi n Attacchi diretti ai servizi presenti su sistemi remoti Social engineeringSocial engineering –Trarre in inganno l’utente autorizzato per carpire informazioni ImpersonationImpersonation –Usare login e password sottratte all’utente autorizzato Exploits (esempio: Buffer Overflow)Exploits (esempio: Buffer Overflow) –programmi scritti appositamente per ottenere privilegi sfruttando bug del software (es: Qpop) Transitive TrustTransitive Trust –Fuorviare i sistemi di autenticazione reciproca tra server e/o tra reti
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 9 Attacchi diretti ai servizi (cont.) n Attacchi diretti ai servizi presenti su sistemi remoti Data driven (application)Data driven (application) –Sfruttare bugs del software applicativo (es: Outlook) Infrastructure (protocol and architecture)Infrastructure (protocol and architecture) –Usare debolezze insite nel progetto di un protocollo di comunicazione o di una infrastruttura informatica DoS (Denial Of Service attack)DoS (Denial Of Service attack) –Attacchi effettuati per bloccare determinati servizi
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 10 Attacchi indiretti ai servizi n Attacchi indiretti ai servizi (obiettivo : il client) Il server A è sicuroIl server A è sicuro Il client B contiene una backdoor al proprio interno, tale per cui l’ hacker è in grado di controllarne tutte le funzionalità, come ad esempio : keystrokes grabbing, video snapshot, filesystem access, network redirection,...Il client B contiene una backdoor al proprio interno, tale per cui l’ hacker è in grado di controllarne tutte le funzionalità, come ad esempio : keystrokes grabbing, video snapshot, filesystem access, network redirection,...
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 11 Come inizia un attacco dall’interno n L’hacker usa un computer collegato alla rete locale n Tenta di effettuare sniffing del traffico presente sulla LAN per intercettare login e password dei vari utenti autorizzati n Effettua dei port scanning delle macchine della rete target alla ricerca di servizi (ftp, http, pop-3, etc.) vulnerabili (o alla ricerca di sistemi firewall) n Usa vulnerabilità specifiche delle versioni dei servizi software trovati al punto precedente n Usa le varie metodologie descritte per gli attacchi dall’esterno
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 12 Network Sniffing Network sniffing
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 13 Attacco ad un Internet Service Provider (ISP) n Utile per poter sfruttare l’infrastruttura di rete dell’ISP n I Provider, dovendo erogare servizi eterogenei, sono sempre maggiormente vulnerabili n Client dialup dell’Internet Provider possono aver accesso preferenziale a determinati hosts
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 14 Attacco ad un server WEB n Il server web sotto attacco potrebbe essere : In Hosting sul server di un ISPIn Hosting sul server di un ISP In Housing su una macchina dedicata collegata alla rete di un ISPIn Housing su una macchina dedicata collegata alla rete di un ISP In casa dell’azienda che si vuole attaccareIn casa dell’azienda che si vuole attaccare n Gli attacchi specifici possono essere : Diretti ad applicativi eseguiti dal server web (cgi-bin, asp)Diretti ad applicativi eseguiti dal server web (cgi-bin, asp) Al sistema operativo della macchina ospiteAl sistema operativo della macchina ospite Ad altri servizi presenti sulla macchina ospiteAd altri servizi presenti sulla macchina ospite
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 15 Attacchi a sistemi di Home Banking (server) n Web spoofing con DNS cache poisoning Si attacca il server DNS usato dal clientSi attacca il server DNS usato dal client Si redireziona su ‘evil hacker’Si redireziona su ‘evil hacker’ ‘Hacker’ effettuerà in modo trasparente la transazione col vero server bancario, trattenendo però tutti i dati di autenticazione dell’utente.‘Hacker’ effettuerà in modo trasparente la transazione col vero server bancario, trattenendo però tutti i dati di autenticazione dell’utente. Home Banking Server CLIENT SSL Hacker SSL LOG
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 16 Attacchi a sistemi di Home Banking (client) n Client corruption Tramite una delle varie tecniche di attacco viste in precedenza si installa un software trojan, contenente anche una back-door, sul client dell’utente. Tramite questo trojan si controllerà il client dell’utente e si registreranno tutte le password di questoTramite una delle varie tecniche di attacco viste in precedenza si installa un software trojan, contenente anche una back-door, sul client dell’utente. Tramite questo trojan si controllerà il client dell’utente e si registreranno tutte le password di questo Home Banking Server CLIENT BO2k SSL
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 17 Attacchi a sistemi di Home Banking (client) (cont.) n Come trovare un utente valido? Attaccando un Internet Service Provider e installando sui server di questo delle back-door opportuneAttaccando un Internet Service Provider e installando sui server di questo delle back-door opportune Prendendo il controllo dei router di un Internet ProviderPrendendo il controllo dei router di un Internet Provider Effettuando degli scan delle reti di accesso degli Internet Provider e dei FreeInternet ProviderEffettuando degli scan delle reti di accesso degli Internet Provider e dei FreeInternet Provider......
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 18 Denial of Service Attack n D.o.S. attack (attacchi ai servizi) Usati per interrompere un servizioUsati per interrompere un servizio –Virus –Trojan –Network flooding –Worm –Application Overflow
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 19 Network redirection n Possibilità di far ricadere su utenti privati a caso le provenienze degli attacchi WingateWingate Back Orifice 2000 (bo2k)Back Orifice 2000 (bo2k)
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 20 Esempi di Back-door n Back-door Una back-door è una modifica di un servizio di sistema od un servizio nascosto aggiunto che permette in modo invisibile all’utente autorizzato di manipolare da remoto ogni funzionalità della macchina su cui questa viene messa a punto
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 21 Back-door (cont.) n Esempi di back-door nel mondo Unix Rootkit : sostituisce alcuni servizi di sistema con versioni contenenti ingressi nascosti all’amministratore della macchina usabili in un secondo tempo dall’hackerRootkit : sostituisce alcuni servizi di sistema con versioni contenenti ingressi nascosti all’amministratore della macchina usabili in un secondo tempo dall’hacker Telnetd like trojan : servizi di terminale remoto accessibili su porte non standard e resi invisibili all’amministratore di sistemaTelnetd like trojan : servizi di terminale remoto accessibili su porte non standard e resi invisibili all’amministratore di sistema
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 22 Back-door (cont.) n Esempi di Back-door nel mondo Windows Back Orifice 2000 : permette un completo controllo da remoto della macchina vittima (registri, file system, password, desktop, processi in esecuzione, etc.)Back Orifice 2000 : permette un completo controllo da remoto della macchina vittima (registri, file system, password, desktop, processi in esecuzione, etc.) Netbus : stesse caratteristiche del precedente BO2k con in aggiunta la possibilità di vedere il desktop della macchina target sul computer remoto dell’hackerNetbus : stesse caratteristiche del precedente BO2k con in aggiunta la possibilità di vedere il desktop della macchina target sul computer remoto dell’hacker Donald Dick : stesse caratteristiche di BO2k, ma scritto da hacker russiDonald Dick : stesse caratteristiche di BO2k, ma scritto da hacker russi
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 23 Back Orifice 2000 GUI
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 24 Contromisure : paradigmi Principio del privilegio minimo Tutto quello che non è strettamente necessario deve essere eliminato Principio della ridondanza Ogni meccanismo di security si puo inceppare Principio della globalità Una catena è forte quanto il suo più debole anello Principio dell’unico punto di contatto E’ più facile controllare un unico punto di passaggio
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 25 Contromisure : paradigmi (cont.) Principio della modularità E’ piu’ facile controllare la sicurezza di piccoli oggetti Principio della ben definita politica di sicurezza Nel dubbio, meglio negare che permettere Principio della semplicità KISS: Keep It Simple Stupid Principio di Kerchhoff Chi compie la frode conosce sempre tutti i dettagli implementativi
Mattarello Paolo – Gruppo ITAS Assicurazioni Ufficio Sistemi - 26 Contromisure : tecnologie Sulla rete : Firewall (packet filter, proxy, content filter) Intrusion detection Cifratura delle comunicazioni Sui sistemi : Integrity checking Buffer overflow control Cifratura a livello applicativo Cifratura delle basi di dati Security probing (manuale o automatico) Auditing e allarmi automatici sui log One time password
DMZ LAN PRIVATA Internet PSTN/ISDN Firewall Access Server Router WWW IDS SRV WEB SRV MAIL SRV Auth LAN PC01 RETE GENERICA