(More or Less Ethical) Hacking Attacchi a reti informatiche: Come

Transcript

Shorr Kan
digital security
AIEA
Overview
Associazione Italiana Information Systems Auditors
I punti trattati in questo incontro saranno :
• Modus Operandi e tools di un potenziale intruso nella vostra rete
(less ethical)
Progettare la Business Security
La tutela delle risorse immateriali e dei sistemi informativi
• Ethical Hacking: Metodologia, Strumenti e Report di un security
probe autorizzato (more ethical)
(More or Less Ethical) Hacking
(Davide Casale, [email protected])
Shorr Kan IT Engineerig srl
Via Sestriere 28 10141 Torino
Tel. 011 382 8358 Fax. 011 384 2028
Versione 2.1 – Marzo 2006
Shorr Kan
digital security
Less Ethical
www.shorr-kan.com/security
Shorr Kan
digital security
Profilo degli attaccanti
Attacchi a reti informatiche:
Come procede un eventuale o potenziale
intruso della vostra rete
Tel. 011 382 8358 Fax. 011 384 2028
• Script kiddies
– Attacchi verso intere classi di indirizzi senza un
obiettivo preciso con lo scopo di ottenere ‘scores’ e
nuove macchine da usare come teste di ponte
• Black Hats
– L’hacker/cracker/intruso intende carpire o
modificare delle informazioni da una specifica
macchina o rete procedendo con attacchi sistematici
più o meno stealth contro di questa
Tel. 011 382 8358 Fax. 011 384 2028
1
Shorr Kan
Shorr Kan
digital security
digital security
Come inizia un attacco
• L’hacker si connette ad Internet attraverso la rete pubblica telefonica o
connessioni a larga banda (usando come ponte server violati in precedenza)
Information gathering
• DNS (Domain Name Service)
• Whois
• Finger
• Web Search Engine (es: google hacking)
• Scan a largo spettro alla ricerca di servizi notoriamente vulnerabili
• DNS, Whois, Social Engineering alla ricerca di aziende con particolari
attrattive
Tel. 011 382 8358 Fax. 011 384 2028
Tel. 011 382 8358 Fax. 011 384 2028
Shorr Kan
Shorr Kan
digital security
digital security
Service Discovery
Analisi della topologia della rete da attaccare
• Packet filter discovery
Ricerca di Access Control List sui router intermedi tra
l’attaccante e la rete sotto attacco
• Firewall discovery
Ricerca della presenza o meno di sistemi di protezione
firewall sulla rete sotto attacco
• TTL modulation (Firewalk, Traceroute)
Analisi delle tipologie di traffico TCP/IP autorizzate ad
attraversare il firewall
Tel. 011 382 8358 Fax. 011 384 2028
• Port scanning
La maggior parte dei servizi risponde su porte TCP prefissate :
una scansione delle porte attive sui server della rete sotto
attacco permette di stabilire quali servizi sono presenti
• Version and application gathering
Si analizza in modo più attento i servizi presenti recuperandone
il produttore e la versione alla ricerca di well-known bug
specifici
• Remote OS Fingerprinting
Analisi del sistema operativo remoto (produttore e versione)
Tel. 011 382 8358 Fax. 011 384 2028
2
Shorr Kan
Shorr Kan
digital security
digital security
Attacchi diretti ai servizi presenti su sistemi remoti
Attacchi diretti ai servizi presenti su sistemi remoti
• Social engineering
Trarre in inganno l’utente autorizzato per carpire informazioni
• Impersonation
Usare login e password sottratte all’utente autorizzato
• Exploits (esempio: Buffer Overflow)
programmi scritti appositamente per ottenere privilegi sfruttando
bug del software (es: Qpop)
• Transitive Trust
Fuorviare i sistemi di autenticazione reciproca tra server e/o tra
reti
Tel. 011 382 8358 Fax. 011 384 2028
• Data driven (application)
application)
Sfruttare bugs del software applicativo (es
(es:: Outlook)
• Infrastructure (protocol and architecture)
architecture)
Usare debolezze insite nel progetto di un protocollo di
comunicazione o di una infrastruttura informatica
• DoS (Denial
(Denial Of Service attack)
attack)
Attacchi effettuati per bloccare determinati servizi
Tel. 011 382 8358 Fax. 011 384 2028
Shorr Kan
Shorr Kan
digital security
digital security
Web spoofing con DNS cache poisoning
• Si attacca il server DNS usato dal client
• Si redireziona www.banca.it su ‘evil hacker’
• ‘Evil Hacker’ effettuerà in modo trasparente la transazione col vero server
bancario, trattenendo però tutti i dati di autenticazione dell’utente.
Attacchi indiretti ai servizi (obiettivo : il client)
• Il server A è sicuro
• Il client B contiene una backdoor al proprio interno, tale per
cui l’ hacker è in grado di controllarne tutte le funzionalità,
come ad esempio : keystrokes grabbing, video snapshot,
filesystem access, network redirection, ...
Tel. 011 382 8358 Fax. 011 384 2028
Attacchi a sistemi di Home Banking (server)
SSL
Home
Banking
Server
Tel. 011 382 8358 Fax. 011 384 2028
Hacker
SSL
LOG
SSL
CLIENT
3
Shorr Kan
digital security
Attacchi a sistemi di Home Banking (client)
Shorr Kan
digital security
Client corruption
• Tramite una delle varie tecniche di attacco viste in precedenza si installa
un software trojan, contenente anche una back-door, sul client
dell’utente. Tramite questo trojan si controllerà il client dell’utente e si
registreranno tutte le password di questo
Home
Banking
Server
D.o.S. attack (attacchi ai servizi)
• Usati per interrompere un servizio
Virus
Trojan
Network flooding
Worm
Application Overflow
SSL
CLIENT
Trojan
Tel. 011 382 8358 Fax. 011 384 2028
Shorr Kan
More Ethical
digital security
D.O.S.
Network Redirection Attacks per far ricadere su terzi
la provenienza degli attacchi
Tel. 011 382 8358 Fax. 011 384 2028
Shorr Kan
digital security
Metodologia
Fasi dell’attività di analisi :
Ethical Hacking
Security Probe
Tel. 011 382 8358 Fax. 011 384 2028
Tel. 011 382 8358 Fax. 011 384 2028
4
Shorr Kan
digital security
Metodologia
Shorr Kan
digital security
Metodologia
Passi della metodologia ‘classica’ di Security Probe:
Footprinting
•
•
•
•
•
•
•
Questa fase ha lo scopo di raccogliere il maggior numero di informazioni
sull’obiettivo che si intende attaccare senza riferirsi direttamente
all’obiettivo stesso, ovvero effettuando una cosiddetta “analisi non
invasiva”. In particolare in questa fase è importante determinare:
Footprinting
Scanning
Enumeration
Gaining Access
Escalating Privileges
Pilfering (*)
Covering traces and creating back doors (*)
domini, blocchi di rete e gli indirizzi ip dei sistemi direttamente collegati
ad internet. Gli strumenti utilizzati sono i motori di ricerca, gli archivi
pubblici whois, Arin, Ripe e le interrogazioni ai server dns.
(*) attività di hacking non eseguite in un security probe autorizzato
Tel. 011 382 8358 Fax. 011 384 2028
Shorr Kan
digital security
Metodologia
Tel. 011 382 8358 Fax. 011 384 2028
Shorr Kan
digital security
Metodologia
Scanning
Enumeration
L’obiettivo dello scanning è ottenere una mappa il più dettagliata possibile
del sistema da attaccare; ciò significa acquisire informazioni su quali ip
dei blocchi di rete trovati nella fase precedente siano effettivamente
contattabili dall’esterno (ip discovery) e, relativamente a tali ip, scoprire
che servizi abbiano attivi (Tcp/udp port scan) e che sistemi operativi
posseggano. Gli strumenti utilizzati sono: interrogazioni ICMP (gping,
hping, ecc.), la scansione delle porte tcp e udp (strobe, netcat, nmap,
rascan) e fingerprint dello stack (nmap, queso).
Con questa fase si inizia “l’analisi invasiva” infatti si effettuano connessioni
dirette ai server ed interrogazioni esplicite, il che potrebbe (a seconda
della configurazione presente sui sistemi target) originare dei logs.
Attraverso l’enumerazione si vuole giungere a identificare, sulle macchine
riscontrate come raggiungibili, degli account validi (list user accounts),
delle risorse condivise (list file shares) e delle applicazioni attive sulle
porte in ascolto (identify application). Le tecniche utilizzate variano dai
sistemi operativi delle macchine che si vogliono analizzare.
Tel. 011 382 8358 Fax. 011 384 2028
Tel. 011 382 8358 Fax. 011 384 2028
5
Shorr Kan
digital security
Metodologia
Shorr Kan
digital security
Metodologia
Gaining Access
Escalating Privileges
Una volta ottenute le informazioni del punto precedente inizia il vero e
proprio attacco che ha come obiettivo il riuscire ad entrare nel sistema
remoto.
I metodi utilizzati anche in questo caso dipendono dal sistema operativo
della macchina target, ma si basano sostanzialmente sulla ricerca di
password corrispondenti agli utenti trovati (password guessing), sullo
sfruttamento di errori progettuali delle applicazioni e servizi attivi sul
server (buffer overflows, attacchi data driven, ecc.) o del sistema
operativo stesso.
L’obiettivo di questa fase è sfruttare i risultati ottenuti nella fase
precedente per ottenere il pieno controllo del sistema remoto attaccato.
Questo si può ottenere reperendo i files presenti sul sistema che
contengono le password e tentando di decifrare le password in essi
contenute (password cracking), oppure utilizzando codice
appositamente studiato per ottenere i privilegi di amministratore
(exploits).
Tel. 011 382 8358 Fax. 011 384 2028
Shorr Kan
digital security
Probe applicativo
Tel. 011 382 8358 Fax. 011 384 2028
Shorr Kan
digital security
Probe applicativo
Probe Applicativo (Web Application Vulnerability Assessment – WAVA)
Probe Applicativo: classi di attacco (1)
Questa analisi è costituita da una serie di tentativi d’attacco che
coinvolgono i protocolli e le logiche di comunicazione utilizzati dagli
utenti finali per interagire con le applicazioni. Nel caso specifico delle
applicazioni web, tali attacchi sono basati su manipolazioni dei pacchetti
HTTP che vengono scambiati fra i browser degli utenti ed il web server.
Esistono diverse categorie di attacchi verso applicazioni web, che
possono portare alla compromissione di uno o più layer dell’intera
infrastruttura applicativa: Web Server, Application Server, Middle Tier,
Database Management System.
• Cross-site scripting: attacchi che sfruttano una non corretta validazione
dei contenuti restituiti dal server in risposta a richieste HTTP
opportunamente modificate.
• Parameter tampering: attacchi che sfruttano una non corretta validazione
dei parametri passati dal browser al web server.
• Backdoors, opzioni di debug e configurazioni errate di cgi: attacchi basati
su errori di configurazione e/o di programmazioni molto noti e diffusi.
• Command injection: attacchi che mediante tecniche di injection mirano ad
eseguire comandi sui server.
Tel. 011 382 8358 Fax. 011 384 2028
Tel. 011 382 8358 Fax. 011 384 2028
6
Shorr Kan
digital security
Probe applicativo
Shorr Kan
Strumenti
digital security
Strumenti
Le analisi sono di norma eseguite da esperti umani e non da semplici tools automatici in grado di
generare report rigidi e privi di intelligenza (al contrario di un vero attaccante). I tools usati sono gli
stessi in mano alla comunità hacker e si dovrebbe mantenere un costantemente aggiornamento
sulle nuove vulnerabilità scoperte o su nuove tecniche o tools di intrusione e di protezione. Alcuni
esempi di tools usati sono :
Probe Applicativo: classi di attacco (2)
• Full Spidering: attacchi che mirano ad accedere a risorse protette
seguendo percorsi di navigazione non previsti.
• Cookie poisoning: attacchi basati sulla manipolazione dei coockie di
sessione HTTP.
• Vulnerabilità note: attacchi che sfruttano la mancata applicazione di
patch al server web o a script cgi noti.
• SQL injection: attacchi che mirano all’esecuzione di query non previste
sui DBMS di backend
•
•
•
•
•
•
•
•
•
•
•
•
nmap
hping
cain & abel
Atstake LC5
Exploit Always updated per specifiche vulnerabilità di servizi e applicazioni
Keygrab
Ethereal
Ettercap
Acunetix (WAVA)
Sandcat Suite (WAVA)
KisMet per le reti 802.11 (wi-fi)
etc.
Nel caso di analisi di reti WI-FI vengono utilizzate delle antenne appositamente costruite per aumentare
l’efficacia del wardriving.
Tel. 011 382 8358 Fax. 011 384 2028
Shorr Kan
digital security
Tel. 011 382 8358 Fax. 011 384 2028
Shorr Kan
Report
Report
digital security
Macroblocchi del Report Tecnico finale
Il risultato finale di un security probe è un documento tecnico dove sono
evidenziate le problematiche riscontrate sia attraverso l’analisi ‘a
tavolino’ con la parte tecnica del cliente e sia attraverso una fase di
scansioni e attacchi simulati. Il documento dovrebbe sempre concludersi
con i suggerimenti per l’assessment della situazione con un elenco di
contromisure minime da applicare per sanare le problematiche
evidenziate.
Executive
Summary
Modus
Operandi
Report
Cronologico
Attività
Minime
Consigliate
Tel. 011 382 8358 Fax. 011 384 2028
Tel. 011 382 8358 Fax. 011 384 2028
7
Shorr Kan
digital security
Shorr Kan
Report
Le sezioni presenti in tale documento dovrebbero essere essenzialmente :
Esempio punti di un Executive Summary - Probe Esterno
1 EXECUTIVE SUMMARY
2 INTRODUZIONE
3 MODUS OPERANDI
3.1 Rete Esterna
3.2 Rete Interna
4 PRINCIPI METODOLOGICI
4.1 Approccio metodologico di riferimento
4.1.1
ANALISI NON INVASIVA
4.1.2
ANALISI INVASIVA
4.1.3
ATTACCO
4.1.4
CONSOLIDAMENTO
4.2 Principi generali
5 REPORT CRONOLOGICO
5.1 Attacco Blind
5.1.1
Apparati di rete
5.1.2
Server di rete
6 Application level e Dati
7 VULNERABILITÀ RISCONTRATE E RISCHIO ASSOCIATO
7.1 Server
7.1.1
Rete 192.168.x.x
8 VALUTAZIONE DELLA RETE
9 SINTESI ATTIVITA’ MINIME CONSIGLIATE
• Vulnerabilità rilevata: Sql injection (High Risk)
Alcune pagine di autenticazione del sito WWW.CLIENTE.IT sono suscettibili ad
una SQL injection. Difatti mediante una query contenente determinati
parametri, si riescono a generare errori sql nel database di backend, il quale a
sua volta ritornerà una pagina contenente tali errori insieme ai nomi dei campi
delle tabelle del database. Dagli errori visualizzati si ottiene che inserendo nel
campo login la seguente stringa (e come password qualsiasi stringa) si ottiene
accesso ai servizi erogati dal portale Internet :
*’ or 1=1 --
Tel. 011 382 8358 Fax. 011 384 2028
Shorr Kan
digital security
Esempio Probe Esterno
digital security
Probe Esterno
Tel. 011 382 8358 Fax. 011 384 2028
Shorr Kan
digital security
Probe Esterno
• Vulnerabilità rilevata: Assenza di lockdown dell’account (Medium
Risk)
• Vulnerabilità rilevata: Phishing (Low Risk)
La pagina WWW.CLIENTE.IT/ADMIN presenta una mascherina di
autenticazione, la quale consente di inserire credenziali fittizie numerose volte
senza però bloccare l’account. Ciò risulta particolarmente utile ad un hacker nel
caso voglia utilizzare un metodo di brute forcing.
Tel. 011 382 8358 Fax. 011 384 2028
Tramite opportuni parametri passati nell’url del browser alla pagina del forum di
WWW.CLIENTE.IT è possibile eseguire codice java script sulla macchina
dell’utente ignaro. Tale operazione risulta particolarmente semplice nel caso in
cui tali parametri vengano scritti in esadecimale. Ciò permette di offuscare il
codice e renderlo particolarmente difficile da leggere.
Tel. 011 382 8358 Fax. 011 384 2028
8
Shorr Kan
digital security
Probe Esterno
• Correggere gli errori di Sql injection e Phishing nel codice del portale Internet
• Prevedere un sistema di autenticazione che imponga un timeout in seguito ad
un numero predefinito di tentativi non validi, in modo da rendere più complicato
l’utilizzo di metodi di password guessing automatici. Oppure prevedere il blocco
dell’account dopo un certo numero di password errate.
Tel. 011 382 8358 Fax. 011 384 2028
digital security
Probe Interno
Esempio punti di un Executive Summary - Probe Interno
•
Probe Interno
• Vulnerabilità rilevata: Macchine di dominio con accessi locali non
protetti: Administrator senza password o password banali di utenti
amministrativi (High Risk)
Questo tipo di problemi ha a che fare con il principio generale della globalità.
Una configurazione sbagliata di una macchina dalla quale posso accedere
facilmente al dominio una volta eseguita un escalation di privilegi locali, può
minare la sicurezza dell’intero dominio. Nella fattispecie, poiché la password di
amministratore locale della macchina dell’utente XXXXXX era vuota, si è riusciti
ad entrare sulla sua macchine ed intercettare a questo punto sia la password
utilizzata per connettersi al pc con il software di accesso remoto Real-VNC e
sia gli utenti di dominio e relativa password cifrata che avevano avuto accesso
al computer in questione. Una volta crackate con test e confronto da
vocabolario o a forza bruta le password abbiamo scoperto che l’utente
antivirus, con password semplice, era anche amministratore di dominio.
Tel. 011 382 8358 Fax. 011 384 2028
Shorr Kan
digital security
Probe Interno
Vulnerabilità rilevata: Dati sensibili contenuti su share di rete (High Risk)
Abbiamo trovato una grande quantità di informazioni riservate e sensibili non
cifrate su condivisioni di rete (share) accessibili da utenti dotati di credenziali
amministrative di dominio.
Il dlgs 196/03 prevede che eventuali informazioni sensibili siano matenute cifrate
sui supporti di memorizzazione elettronica ed è comunque buona norma
mantenere le informazioni riservate su condivisioni di rete separate da dati non
riservati. Questo vale in particolare per informazioni che permettano ad un
utente non privilegiato di accedere a credenziali di utenti amministrativi o di
accesso remoto.
A titolo di esempio, ipotizzando di possedere le credenziali di Amministratore di
Dominio e supponendo di recuperare dai file di sistema una coppia
UserName/Password non scaduta associata ad un utente VPN, è possibile fare
accesso alla VPN stessa con le credenziali di terze parti appena recuperate. Lo
scenario di cui sopra va interpretato come violazione dell’ambito
amministrativo.
Tel. 011 382 8358 Fax. 011 384 2028
digital security
Attività Minime Consigliate - Probe Esterno
Shorr Kan
Shorr Kan
• Vulnerabilità rilevata: Dati sensibili contenuti su share di rete
(High Risk)
Tel. 011 382 8358 Fax. 011 384 2028
9
Shorr Kan
digital security
Probe Interno
Shorr Kan
digital security
Probe Interno
• Vulnerabilità rilevata: Server Web Stampanti (Low Risk)
• Vulnerabilità rilevata: Enumerazione utenti locali della Sun 2.7
tramite vulnerabilità del servizio finger (Medium Risk)
La macchina Server-XXX presenta la vulnerabilità nel servizio di finger. Infatti
mediante un comando finger particolarmente formattato si riesce ad ottenere la
lista di tutti gli utenti locali presenti sulla macchina Sun.
Le stampanti di rete che offrono un’interfaccia web sulla porta tcp 80 mancano
della password di amministratore. Questo potrebbe consentire ad un
malintenzionato di collegarsi, tramite un browser, alla stampante e, dopo aver
modificato a piacimento alcuni parametri, impostare la password di amministratore.
A questo punto potrebbe impedire all’utenza di utilizzare tale stampante. Tale
password potrebbe, in questo caso, venire resettata solo agendo su un pulsante di
reset presente fisicamente sulla stampante.
Tel. 011 382 8358 Fax. 011 384 2028
Shorr Kan
digital security
Probe Interno
Tel. 011 382 8358 Fax. 011 384 2028
Shorr Kan
digital security
Probe Interno
Attività Minime Consigliate - Probe Interno
Attività Minime Consigliate - Probe Interno
• Eliminare gli account di amministratori locali se possibile, in alternativa
utilizzare una politica di login e password più forti (basate su acronimi, ad
esempio). Discorso analogo vale per per gli account non interattivi come
antivirus e di amministratore di dominio o per gli account dei servizi di web
administration delle stampanti; in alternativa bloccare, se non usati, i servizi
web delle stampanti
• Installare le patch opportune sulla macchina Solaris 2.7 per il servizio finger
• Si consiglia di cifrare documenti contenenti dati sensibili salvati sui NAS Server
di rete (come richiesto anche dall’allegato B del Dlgs 196/03) o almeno di
proteggerli con password (non banali) direttamente dal sistema Office.
• Limitare il più possibile le condivisioni di rete tra client (impedendole anche
tramite policy di dominio microsoft se lo si ritiene opportuno)
Tel. 011 382 8358 Fax. 011 384 2028
Tel. 011 382 8358 Fax. 011 384 2028
10
Shorr Kan
Domande?
digital security
Domande?
Tel. 011 382 8358 Fax. 011 384 2028
11

(More or Less Ethical) Hacking Attacchi a reti informatiche: Come

Transcript

Documenti analoghi

(In)Sicurezza delle Architetture Wi-Fi

ABI_Basilea 2016_CV Diego Travaini

DOVE IL GRAN KAN E MARCO POLO

Kartab OROLOGIO MICKEY MOUSE

GlobalTrust RMS

Kartab PILOT SFERA FRIXION BALL ROSSA (12 Pz)

Matteo Meucci

Alessandro RIZZO - 3-esse

Kartab RACCOGLITORE 4 ANELLI BIANCO NERO

Kartab FILTRI RIZLA REGULAR 8 mm (10 Pz)