Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoFino Ricci Modificato 10 anni fa
1
1 Seminario di Sicurezza 01-02 Attacchi Remoti Elisabetta Parodi
2
2 Argomenti trattati Sniffing Sniffing Hijacking di Sessione Hijacking di Sessione Spoofing (cenno) Spoofing (cenno)
3
3 Introduzione Attacco locale Attacco locale attacco contro un sistema sotto il proprio controllo attacco contro un sistema sotto il proprio controllo Attacco remoto Attacco remoto attacco che, di solito, viene eseguito contro un sistema separato da quello su cui si sta lavorando attacco che, di solito, viene eseguito contro un sistema separato da quello su cui si sta lavorando
4
4 Sniffing Significato del termine Significato del termine Annusare Annusare Perché è utile ad un aggressore Perché è utile ad un aggressore E il metodo con cui una persona può compromettere la sicurezza di una rete in modo passivo. Uno sniffer è un programma o strumento che monitora in modo passivo una rete per trovare le informazioni utili a chi se ne serve: nella maggiore parte dei casi, dati che riguardano l autenticazione come nomi utente e password. E il metodo con cui una persona può compromettere la sicurezza di una rete in modo passivo. Uno sniffer è un programma o strumento che monitora in modo passivo una rete per trovare le informazioni utili a chi se ne serve: nella maggiore parte dei casi, dati che riguardano l autenticazione come nomi utente e password.
5
5 Sniffing Come funziona Come funziona Di norma le schede di rete si limitano a ricevere i pacchetti destinati agli specifici indirizzi di rete (MAC, ossia Media Access Control), ignorando tutti gli altri. Supportano però la modalità promiscua: possibilità di ricevere tutto il traffico in viaggio sulla rete. Di norma le schede di rete si limitano a ricevere i pacchetti destinati agli specifici indirizzi di rete (MAC, ossia Media Access Control), ignorando tutti gli altri. Supportano però la modalità promiscua: possibilità di ricevere tutto il traffico in viaggio sulla rete.
6
6 Sniffing Che cosa cercare Che cosa cercare Alcuni tipi di traffico di rete che attirano un aggressore: Alcuni tipi di traffico di rete che attirano un aggressore: Telnet, FTP, POP, IMAP: non forniscono alcuna sicurezza a livello di sessione e inviano sulla rete le credenziali nome utente-password in testo puro Telnet, FTP, POP, IMAP: non forniscono alcuna sicurezza a livello di sessione e inviano sulla rete le credenziali nome utente-password in testo puro rexec : su sistemi operativi in stile Unix, esegue remotamente i comandi. Esempio di autenticazione: rexec : su sistemi operativi in stile Unix, esegue remotamente i comandi. Esempio di autenticazione:0\0oliver\0welcome\0cmd\0
7
7 Sniffing X11 : per eseguire l autorizzazione sui client che tentano di connettersi al server, si avvale di un cookie magico che contiene 128 bit, è generato casualmente e viene inoltrato ai client in fase di connessione => sottoponendolo a sniffing l aggressore può connettersi al medesimo server X Window. X11 : per eseguire l autorizzazione sui client che tentano di connettersi al server, si avvale di un cookie magico che contiene 128 bit, è generato casualmente e viene inoltrato ai client in fase di connessione => sottoponendolo a sniffing l aggressore può connettersi al medesimo server X Window.
8
8 Sniffing Handle dei file NFS : Network File System si basa sull handle del file per garantire laccesso a un certo file o directory offerti da un server di file Handle dei file NFS : Network File System si basa sull handle del file per garantire laccesso a un certo file o directory offerti da un server di file => monitorando la rete è possibile ottenere questo handle e utilizzarlo per acquisire l accesso alla risorsa. => monitorando la rete è possibile ottenere questo handle e utilizzarlo per acquisire l accesso alla risorsa.
9
9 Sniffing Autenticazione in Windows NT : i S.O. della serie Windows supportano numerosi tipi di autenticazione ciascuno dei quali aumenta progressivamente il livello di sicurezza: Autenticazione in Windows NT : i S.O. della serie Windows supportano numerosi tipi di autenticazione ciascuno dei quali aumenta progressivamente il livello di sicurezza: Testo puro : password in chiaro sulla rete Testo puro : password in chiaro sulla rete LM (Lan Manager) : meccanismo di domanda e risposta debole LM (Lan Manager) : meccanismo di domanda e risposta debole NTLM (NT Lan Manager) : meccanismo di domanda e risposta più forte NTLM (NT Lan Manager) : meccanismo di domanda e risposta più forte
10
10 Sniffing SMTP : addetto al trasferimento della posta elettronica, sia su Internet sia internamente a molte aziende SMTP : addetto al trasferimento della posta elettronica, sia su Internet sia internamente a molte aziende => interessa al cracker, alle aziende,… HTTP : serve a far passare il traffico Web HTTP : serve a far passare il traffico Web => interessa più per questioni statistiche e per => interessa più per questioni statistiche e per l impiego di rete che per il suo contenuto. l impiego di rete che per il suo contenuto.
11
11 Sniffing Implementazioni comuni Implementazioni comuni Network Associates Sniffer Pro Network Associates Sniffer Pro Sniffer Pro è un prodotto commerciale che supporta un ampia gamma di protocolli e visualizza i dati dello standard decodificato rendendoli assai facili da leggere. Il funzionamento prevede una prima fase di cattura dei dati ed una seconda di decodifica e visualizzazione. Sniffer Pro è un prodotto commerciale che supporta un ampia gamma di protocolli e visualizza i dati dello standard decodificato rendendoli assai facili da leggere. Il funzionamento prevede una prima fase di cattura dei dati ed una seconda di decodifica e visualizzazione.
12
12 Sniffing Network Monitor (NetMon) Network Monitor (NetMon) Software di monitoraggio di rete di Windows NT Server => vantaggio : facoltà di decodificare parte del traffico Microsoft che non ha specifiche aperte. Software di monitoraggio di rete di Windows NT Server => vantaggio : facoltà di decodificare parte del traffico Microsoft che non ha specifiche aperte. TCPDump TCPDump Uno dei più famosi strumenti di diagnostica e analisi di rete per i S.O. basati su Unix. Incarichi: monitoraggio e decodifica totali dei dati d intestazione di IP, TCP e UDP. Uno dei più famosi strumenti di diagnostica e analisi di rete per i S.O. basati su Unix. Incarichi: monitoraggio e decodifica totali dei dati d intestazione di IP, TCP e UDP.
13
13 Sniffing Dsniff Dsniff Uno dei più completi sniffer. Uno dei più completi sniffer. Scopo: scritto esclusivamente o quasi per monitorare la rete in cerca delle credenziali di autenticazione; include anche utilità che monitorano e salvano i trasferimenti di file sulla rete, gli url HTTP ( urlsnarf ) e la posta elettronica ( mailsnarf ). Scopo: scritto esclusivamente o quasi per monitorare la rete in cerca delle credenziali di autenticazione; include anche utilità che monitorano e salvano i trasferimenti di file sulla rete, gli url HTTP ( urlsnarf ) e la posta elettronica ( mailsnarf ).
14
14 Sniffing Tecniche di sniffing avanzate Tecniche di sniffing avanzate Spoofing ARP Spoofing ARP Switch su una rete limita il flusso che attraversa la sua parte di rete Switch su una rete limita il flusso che attraversa la sua parte di rete => lo sniffer sovrascrive la cache dell ARP (Address Resolution Protocol) => lo sniffer sovrascrive la cache dell ARP (Address Resolution Protocol) => tutto il traffico in uscita dall host bersaglio viene trasmesso allo sniffer stesso => tutto il traffico in uscita dall host bersaglio viene trasmesso allo sniffer stesso
15
15 Sniffing Flooding ARP Flooding ARP Uno switch deve mantenere una tabella di tutti gli indirizzi MAC dell host che appaiono su di una singola porta. Se questi formano un grosso gruppo riempiendo la tabella allora alcuni switch cominciano a inviare tutto il traffico alla porta. Uno switch deve mantenere una tabella di tutti gli indirizzi MAC dell host che appaiono su di una singola porta. Se questi formano un grosso gruppo riempiendo la tabella allora alcuni switch cominciano a inviare tutto il traffico alla porta. Dsniff contiene il programma macof che esegue il flooding della rete locale con indirizzi MAC casuali causando il fallimento di alcuni switch Dsniff contiene il programma macof che esegue il flooding della rete locale con indirizzi MAC casuali causando il fallimento di alcuni switch => agevola lo sniffing. => agevola lo sniffing.
16
16 Sniffing Protezione Protezione Codifica Codifica Un meccanismo valido di codifica può neutralizzare gli sniffer. Per fortuna le ultime versioni degli standard supportano estensioni che forniscono lautenticazione sicura Un meccanismo valido di codifica può neutralizzare gli sniffer. Per fortuna le ultime versioni degli standard supportano estensioni che forniscono lautenticazione sicura SSH SSH
17
17 Sniffing Rilevamento Rilevamento locale locale molti S.O. definiscono un meccanismo per determinare se uninterfaccia di rete opera in modalità promiscua, solitamente con un indicatore di stato associato a ciascuna scheda di rete e mantenuto nel kernel… molti S.O. definiscono un meccanismo per determinare se uninterfaccia di rete opera in modalità promiscua, solitamente con un indicatore di stato associato a ciascuna scheda di rete e mantenuto nel kernel… … ma laggressore può compromettere l output che lo indica!
18
18 Sniffing di rete di rete Esistono molte tecniche: consultazioni DNS consultazioni DNS latenza latenza Antisniff Antisniff Network Monitor Network Monitor …ma nessuna garantisce di individuare sicuramente la presenza degli sniffer.
19
19 Hijacking di sessione Significato del termine Significato del termine Dirottare una sessione Dirottare una sessione Che cos è Che cos è Atto di appropriarsi di un qualsiasi collegamento, già attivo o in fase di impostazione. In seguito si farà riferimento a connessioni di rete. Si sfrutta la fiducia concessa ad un livello superiore del normale. Atto di appropriarsi di un qualsiasi collegamento, già attivo o in fase di impostazione. In seguito si farà riferimento a connessioni di rete. Si sfrutta la fiducia concessa ad un livello superiore del normale.
20
20 Hijacking di sessione Hijacking di sessione TCP Hijacking di sessione TCP La connessione inizia con handshaking a tre fasi; durante lo scambio i contatori di sequenza aumentano su entrambi i lati e la ricezione del pacchetto va riconosciuta con i pacchetti ACK. La connessione inizia con handshaking a tre fasi; durante lo scambio i contatori di sequenza aumentano su entrambi i lati e la ricezione del pacchetto va riconosciuta con i pacchetti ACK. La connessione termina con uno scambio di pacchetti FIN (fine) o con una richiesta di RES (reimposta). La connessione termina con uno scambio di pacchetti FIN (fine) o con una richiesta di RES (reimposta).
21
21 Hijacking di sessione TCP è un trasporto affidabile; risiede sopra il livello IP, non affidabile, che talvolta perde pacchetti, li corrompe o li distribuisce danneggiati TCP è un trasporto affidabile; risiede sopra il livello IP, non affidabile, che talvolta perde pacchetti, li corrompe o li distribuisce danneggiati => TCP deve gestire questi problemi ritrasmettendo i pacchetti secondo necessità => TCP deve gestire questi problemi ritrasmettendo i pacchetti secondo necessità => il software TCP su ciascun host tiene una copia di tutti i dati che ha inviato fino a quel momento finchè non riceve un pacchetto ACK da parte dellaltra estremità. => il software TCP su ciascun host tiene una copia di tutti i dati che ha inviato fino a quel momento finchè non riceve un pacchetto ACK da parte dellaltra estremità.
22
22 Hijacking di sessione Vediamo due possibili situazioni. CASO 1 : non c è la possibilità di rimuovere pacchetti ma solo di iniettarli CASO 1 : non c è la possibilità di rimuovere pacchetti ma solo di iniettarli => tempesta di ACK che termina con: perdita di un ACK perdita di un ACK RES RES risincronizzazione risincronizzazione
23
23 Hijacking di sessione CASO 2 : hijacking di sessione con blocco dei pacchetti CASO 2 : hijacking di sessione con blocco dei pacchetti => laggressore può anche emulare perfettamente l altro capo della conversazione su uno degli host. => laggressore può anche emulare perfettamente l altro capo della conversazione su uno degli host. Questi sistemi finalizzati ad assumere il comando di connessioni sono detti firewall trasparenti. Questi sistemi finalizzati ad assumere il comando di connessioni sono detti firewall trasparenti.
24
24 Hijacking di sessione Vediamo due strumenti di hijacking di sessione TCP: Juggernaut Juggernaut Dispone di due modalità operative: sniffer scattando su un particolare dato sniffer scattando su un particolare dato esempio: assword => registra i pacchetti che seguono la parola esempio: assword => registra i pacchetti che seguono la parola normale per hijacking cieco o interattivo normale per hijacking cieco o interattivo
25
25 Hijacking di sessione Hunt Hunt Aggiunge alcuni strumenti ARP per lo spoofing per indurre l host vittima ad attraversare la macchina attaccante per eliminare i problemi dovuti alla tempesta di ack. Per impostazione predefinita tiene traccia di connessioni telnet e rlogin ma è sufficiente cambiare una piccola porzione di codice per aggiungere nuove porte e ricompilare. Aggiunge alcuni strumenti ARP per lo spoofing per indurre l host vittima ad attraversare la macchina attaccante per eliminare i problemi dovuti alla tempesta di ack. Per impostazione predefinita tiene traccia di connessioni telnet e rlogin ma è sufficiente cambiare una piccola porzione di codice per aggiungere nuove porte e ricompilare.
26
26 Hijacking di sessione Hijacking UDP Hijacking UDP Più facile che con TCP; diventa una specie di gara per inoltrare un pacchetto di risposta prima del server o del client. Più facile che con TCP; diventa una specie di gara per inoltrare un pacchetto di risposta prima del server o del client. Esempio: hijacking DNS. Esempio: hijacking DNS.
27
27 Hijacking di sessione Protezione Protezione crittografia (SSH, SSL ) crittografia (SSH, SSL ) richiedere la lettura richiedere la lettura Rilevamento Rilevamento Osservatori di tempeste Osservatori di tempeste E facile individuare la maggior parte degli attacchi che si limitano a iniettare e non possono impedire l invio da parte di uno dei comunicatori originari. E facile individuare la maggior parte degli attacchi che si limitano a iniettare e non possono impedire l invio da parte di uno dei comunicatori originari.
28
28 Hijacking di sessione Ad esempio nello scenario DNS il fatto che vengano inoltrate due risposte, per di più non corrispondenti, indica chiaramente che qualcosa non va. Le ritrasmissioni e i pacchetti duplicati non sono rari in una rete normale, ma nella maggior parte dei casi il contenuto è lo stesso Ad esempio nello scenario DNS il fatto che vengano inoltrate due risposte, per di più non corrispondenti, indica chiaramente che qualcosa non va. Le ritrasmissioni e i pacchetti duplicati non sono rari in una rete normale, ma nella maggior parte dei casi il contenuto è lo stesso => possibile soluzione: realizzare uno strumento che osservi le risposte, calcoli un hash del pacchetto e lo memorizzi per un certo periodo. => possibile soluzione: realizzare uno strumento che osservi le risposte, calcoli un hash del pacchetto e lo memorizzi per un certo periodo.
29
29 Spoofing (cenno) Significato del termine Significato del termine Imbrogliare, ingannare, truffare Imbrogliare, ingannare, truffare Che cos è Che cos è Fornire false informazioni su un identità principale per ottenere l accesso non autorizzato ai sistemi e ai loro servizi (M.Kaeo) Fornire false informazioni su un identità principale per ottenere l accesso non autorizzato ai sistemi e ai loro servizi (M.Kaeo) Concetto chiave: assumere lidentità di unaltra persona. Concetto chiave: assumere lidentità di unaltra persona.
30
30 Spoofing (cenno) Esempio classico : IP Esempio classico : IP TCP/IP richiede che ogni host compili il proprio indirizzo sui pacchetti e non vi è praticamente nessuna misura per impedire che gli host mentano TCP/IP richiede che ogni host compili il proprio indirizzo sui pacchetti e non vi è praticamente nessuna misura per impedire che gli host mentano E sempre intenzionale… …ma alcuni malfunzionamenti o cattive configurazioni possono causare lo stesso effetto di un attacco deliberato => complicazioni nelle ricerche per determinare lintento dellattacco …ma alcuni malfunzionamenti o cattive configurazioni possono causare lo stesso effetto di un attacco deliberato => complicazioni nelle ricerche per determinare lintento dellattacco
31
31 Spoofing (cenno) Che cosa non è Che cosa non è un accesso improprio con una password rubata un accesso improprio con una password rubata un tradimento da parte di un utente di fiducia un tradimento da parte di un utente di fiducia Impatti Impatti Sfrutta la differenza tra chi invia qualcosa e chi sembra averlo fatto. Il più brutale attacco di spoofing non maschera lidentità del suo autore ma il determinarsi dellattacco in sé Sfrutta la differenza tra chi invia qualcosa e chi sembra averlo fatto. Il più brutale attacco di spoofing non maschera lidentità del suo autore ma il determinarsi dellattacco in sé => aumentano le possibilità che lattacco passi inosservato => aumentano le possibilità che lattacco passi inosservato
32
32 Spoofing (cenno) Realizzazione Realizzazione rifiuto del servizio selettivo (facoltà di inibire o fermare alcuni tipi di messaggi consentendone altri) rifiuto del servizio selettivo (facoltà di inibire o fermare alcuni tipi di messaggi consentendone altri) => si blocca limpiego di alcuni servizi promuovendone altri => si blocca limpiego di alcuni servizi promuovendone altri attaccare SSL con fallimenti a intermittenza attaccare SSL con fallimenti a intermittenza
33
33 Riferimenti R. Russel – S. Cunningham R. Russel – S. Cunningham Hack Proofing ( Mc Graw Hill ) Hack Proofing ( Mc Graw Hill ) www.monkey.org/~dugsong/dsniff www.monkey.org/~dugsong/dsniff www.monkey.org/~dugsong/dsniff www.securityfocus.com www.securityfocus.com www.securityfocus.com http://advice.networkice.com/advice/Exploit s/TCP/session_hijacking/default.htm http://advice.networkice.com/advice/Exploit s/TCP/session_hijacking/default.htm http://advice.networkice.com/advice/Exploit s/TCP/session_hijacking/default.htm http://advice.networkice.com/advice/Exploit s/TCP/session_hijacking/default.htm
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.