Computer Forensics
Transcript
Computer Forensics
WIRELESS E SICUREZZA INFORMATICA: gli errori più comuni rilevati eseguendo test di intrusione; simulazione di attacco e computer forensics Convegno CLUSIS Lugano Communication Forum “Sicurezza informatica : innanzi tutto un problema di Education” RELATORI: • Raoul Chiesa [ CLUSIT, TSTF, ISECOM OPST/OPSA ] • Andrea Ghirardini [ CLUSIT, CISSP ] Mercoledì 7 aprile 2004, Palazzo dei Congressi di Lugano (CH) (c) 2004, DSDLAB 1 Copyright Questo insieme di trasparenze è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relative alle trasparenze (ivi inclusi, ma non limitatamente a, ogni immagine, fotografia, animazione, video e testo) sono di proprietà degli autori indicati. Le trasparenze possono essere riprodotte ed utilizzate liberamente dagli istituti di ricerca, scolastici ed universitari afferenti al Ministero della Pubblica Istruzione per scopi istituzionali, non a fine di lucro. Ogni altra utilizzazione o riproduzione (ivi incluse, ma non limitatamente a, le riproduzioni a mezzo stampa, su supporti magnetici o su reti di calcolatori) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte dell’autore. L’informazione contenuta in queste trasparenze è ritenuta essere accurata alla data della pubblicazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, ecc. L’informazione contenuta in queste trasparenze è soggetta a cambiamenti senza preavviso. Gli autori non si assumono alcuna responsabilità per il contenuto di queste trasparenze (ivi incluse, ma non limitatamente a, la correttezza, completezza, applicabilità ed aggiornamento dell’informazione). In ogni caso non può essere dichiarata conformità all’informazione contenuta in queste trasparenze. In ogni caso questa nota di copyright non deve mai essere rimossa e deve essere riportata anche in utilizzi parziali. (C) 1999-2004 @ Mediaservice.net Srl (c) 2004, DSDLAB 2 AGENDA • I relatori • L’azienda • Wireless Security: di che cosa parliamo ? • I problemi del wireless • Le tipologie di comunicazioni “senza fili” • Wireless e Proactive Security • Gli errori più comuni • Esempi di wireless penetration testing • Simulazione: attacco via Wi-Fi • Simulazione: Computer Forensics Analysis (c) 2004, DSDLAB 3 The Speakers (who’s who) • Raoul “Nobody” Chiesa - +10 anni di esperienza “non ufficiale”; primo ethical hacker italiano; +8 anni di esperienza professionale nel campo del penetration testing e dell’ethical hacking - Certificato OPST (OSSTMM Professional Security Tester) ed OPSA (OSSTMM Professional Security Analyst) dall’ISECOM (2002) - Founder & CTO, @ Mediaservice.net, Divisione Sicurezza Dati/DSD-LAB - Membro del Comitato Direttivo CLUSIT - Board of Director’s Member, ISECOM Institute for Security and Open Methodologies, USA - Referente per il Sud Europa di T.S.T.F. Telecom Security Task Force, USA, EU, ASIA (c) 2004, DSDLAB 4 The Speakers (who’s who) • Andrea “Pila” Ghirardini - +10 anni di esperienza “ufficiale” divisa tra società informatiche e di telecomunicazioni; - Fondatore di Pila’s Security Services - Certificato CISSP # 30764 - Esperto di sicurezza specializzato in Computer Forensics ed indagini informatiche - Consulente per + 30 procure italiane su indagini di particolare rilievo tecnico - Consulente per l’Arma dei Carabinieri - Consulente per la Guardia di Finanza (c) 2004, DSDLAB 5 The Company (a few words ‘bout us) • We’r not a “dot-com sec-company” [Est. 1997] • Privately owned by security professionals, no VCs • Vendor-independent: no resell, no (re)distribute ! • D.S.D. ( Data Security Division ) since 1998 • Wide Background, Direct Experience • Internal Tiger Team (’99) • On-the-Edge consulting expertise • Unconventional technologies builder • Strong R&D ( national/intl: scouting, black-box testing, distributed research, contributes to the world’s security community ) • Top & Large Companies’s final choice ( Corporate, Telco, IT, Industry, Chemical, Editorial, Finance, Healthcare and P.A. Environments ) • Third-party selected partnerships (c) 2004, DSDLAB 6 Clients Portfolio (extract) Arma dei Carabinieri (ROS Roma), Ospedale S. Giovanni Battista di Torino (Ospedale delle Molinette), Banca Mediocredito Friuli Venezia Giulia, Bo*frost SpA, Bulgari SpA, CNR di Milano (Security Task Force) Telecom Italia SpA (Italia ed Estero), Editorial Group “L’Espresso” (La Repubblica, Kataweb, Radio DJ, etc..), ITC/ILO - International Training Center of the ILO (ONU), Mirato SpA (Malizia, Clinians and Intesa brands – settore farmaceutico/chimico), NoiCom SpA, Pirelli SpA – Corporate Security Department, TIM SpA, Vodafone Omnitel SpA, University of Udine, University of Milano (DSI), UNICRI – United Nations Interregional Crime and Justice Research Institute (ONU), Zyxel Telecommunications Inc. (TAIWAN), Watchguard Technologies Inc. (USA). (c) 2004, DSDLAB 7 Scriviamo per • Mondadori My Tech, Internet News, Apogeo Editore, PC Magazine ITALIA, Internos, Zeusnews, Linux & C, ICT Security Magazine, Hackers & C, Editrice La Stampa, MAX, Fondazione Ugo Bordoni-Telèma • Feltrinelli, Pearson Italia, Sperling & Kupfler, Apogeo Editore - supervisione scientifica ed interventi nelle edizioni italiane di titoli specifici: Matrix Reloaded, L’arte dell’inganno, Security in Computing, HACKING: The Art of Exploitation (c) 2004, DSDLAB 8 Wireless Security: di che cosa parliamo ? (c) 2004, DSDLAB 9 I problemi del Wireless • Lo standard IEEE 802.11* soffre di evidenti e dichiarate carenze progettuali dal punto di vista dell’IT Security • I produttori di dispositivi wireless (vendor) vendono prodotti tipicamente insicuri • Il mercato si sta dirigendo sempre di più verso l’IT Mobility e la Total Convergence • L’elevatissima diffusione di dispositivi Wi-Fi è collegato alle direzioni del mercato ed alla continua riduzione dei prezzi • Con il termine “Wireless” non intendiamo solo gli standard 802.11* (ma non confondiamolo con “Mobile”!) (c) 2004, DSDLAB 10 A/D Un mondo più complicato... Mu y Networks Te tVirtual i ltim EMC r N rm u Video on A ed ina W Se c ia lE demand qu Public safety TM SES ipm rline e PTS w o P en N SP t NA B-ISDN D S IS DH TFTS N S BRAN TM T Hip HF UP DECT erl ON R VSAT an R P S A GSM D EE TR E AN T L RL R SEC Intelligent Networks y L it l i ob V FIT M T ks l ATM r D a o L H in UMTS m etw STQ r N e Teleworking A T te /D s a s r o Ac DTV le p d ERM r r c B o o e D CTM A C ss C V T2 D Voice over C B Testing Methods Internet Protocol (c) 2004, DSDLAB 11 ..e tanti STANDARD e tante MODE nel ciclo economico e sociale dell’IT Will reach the “plateau” in: Visibility Linux Bluetooth Biometrics Portals Wearable computers Synthetic characters Quantum computing Peak of inflated Technology expectations trigger Java PDAs language Voice Over IP E-Cash Text mining Digital ink Less than two years Two to five years Five to 10 years More than 10 years Jini Knowledge management XML 3D Web Data Mining xDSL/Cable modems Smart Cards Speech recognition Trough of disillusionment Slope of enlightenment (c) 2004, DSDLAB Fonte: B.Hayward, “Hot Spaces in IT and Comms” e Gartner Group, 2000. Plateau of productivity 12 Le TLC tra il 1876 e la fine del secolo • Plain telephone calls to and from the one, wired device • Intelligent agent controlled through natural speech- the Operator • Feedback provided as context and location-related information • The major end user improvement: the handset and the telephone box ! • Rotary dial, push keys until 1980+ • Towards personal, mobile, multimodal, universal, converged telecommunications (c) 2004, DSDLAB 13 WIRELESS (1/2) Con il termine “wireless” si intende - in senso ampio e generico - qualsiasi dispositivo in grado di comunicare con un altro senza l’ausilio di fili (wires) fra di essi. Quindi, se vogliamo abbracciare l’ICT a 360°…. • Radio Device - Basato su onde radio - Utilizzato da dispositivi di input quali mouse e tastiere • IrDA - Infrared Data Association - Basato su infrarossi e quindi, conseguentemente, su uno spazio visivo molto ristretto e dipendente da fattori discriminanti (c) 2004, DSDLAB 14 WIRELESS (2/2) • Bluetooth - Basato su onde radio 2.4-2.450Ghz banda ISM (FHSS) - Primi dispositivi lanciati nel 2001 (headphones) - Limitato spazio di utilizzo; alti costi; (conflitti di banda ?) - BT walking, 10-100 mt. range (@stake scan tool per SE-P800) • IEEE 802.11* aka WI-FI - Basato su onde radio 2.4GHzm ISM e 5GHz (FHSS, IR) - Varie generazioni e velocità (2-5.5-11-22-54 Mbit/s) - Standards: 802.11a (54Mb/s, banda riservata), 802.11b (11 Mb/s, banda libera), 802.11b+ (22, 54 Mbit/s su banda libera, proprietario), 802.11g (54 e 100 Mbit/s, standard WW e non, su banda libera) (c) 2004, DSDLAB 15 Wireless Security: cosa facciamo ? (c) 2004, DSDLAB 16 Sicurezza Proattiva • Siamo chiamati da aziende, enti ed istituzioni per verificare l’effettivo livello di sicurezza esistente • Per fare ciò, utilizziamo tecniche di intrusione informatica e di ethical hacking • Il nostro lavoro è di supporto anche nella compilazione del DPS (Italia) e nel percorso di certificazione ISO/BSI • Utilizziamo metodologie proprietarie e non (OSSTMM) (c) 2004, DSDLAB 17 OSSTMM METHODOLOGY: THE PROACTIVE SECURITY SQUARE (c) 2004, DSDLAB 18 I principali controlli Policies (External/Internal) Passwords/Defaults Operating System (OS) Bugs Applications Bugs …. (c) 2004, DSDLAB 19 Le metodologie di Esecuzione (c) 2004, DSDLAB 20 OS analizzati durante anni di pentesting - Motorola XMUX (Gandalf) - AOS/VS - BBS Systems - Bull PAD - CICS/VTAM - Cisco IOS - CDC NOS – Control Data Corporation - DEC VAX/VMS and AXP/OpenVMS - DEC Ultrix - DEC Terminal Decserver - DG/UX Aviion General - DOS - DRS/NX - GS/1 - HP 3000 - HP/UX 9000 - IBM Aix - IBM OS/400 (AS/400) - IRIX SGI - IRIS Operating System (PDP and others) - Linux - Northern Telecom PBXs - PACX/Starmaster (Starmaster Gandalf) - Pick Systems - PRIMOS Prime Computer - RSTS - SCO - Shiva LAN Router - Sun Solaris - TOPS 10/20 - Unknown systems - VCX Pad - VM/CMS - VM/370 - XENIX - WANG Systems (c) 2004, DSDLAB 21 Know your Enemy: tipologie di hackers PROFILO PSICOLOGICO LIVELLO DI PERICOLOSITA’ Wannabe Lamer NULLO (Vorrei essere hacker ma non ci riesco….) Script Kiddie BASSO (Il ragazzo degli script) Cracker ALTO (Terra bruciata, il Distruttore) Ethical Hacker MEDIO (L’Hacker “Etico”) Quiet, paranoid, skilled hacker MEDIO (L’hacker taciturno, paranoico, specializzato) Cyber-Warrior ALTO (Il mercenario, hacking a pagamento) Industrial Spy ALTO (La spia– Spionaggio industriale) Government agent ALTO (L’agente governativo, CIA, Mossad, FBI, etc..) (c) 2004, DSDLAB 22 (c) 2004, DSDLAB 23 (c) 2004, DSDLAB 24 Gli errori più tipici • Installazioni “di default” • Password di accesso Standard o Deboli • Mancanza di hardening all’AP • Mancanza di cifratura WEP-> sniffing delle credenziali • Cifratura WEP debole (40 bit, weak passphrases) • Mancanza di una visione globale • Possibilità di bypassare l’AP “parlando” direttamente con gli switch di rete o il server RADIUS • Interfaccia web abilitata (c) 2004, DSDLAB 25 IEEE 802.11b: PROBLEMI • Broadcast network Tutto arriva a tutti -> FM Radio style • Il campo di azione non è controllabile Non c’è più bisogno di “trovare la strada”: si attacca dalla strada • Algoritmi di cifratura deboli e mal implementati Il WEP (Wired Equivalent Privacy) è crackabile a brute force; oggi con un normale PC sono sufficienti pochi giorni di CPU • Mancanza di cultura della sicurezza e del buon senso (un pò come sul broadband...) Le contromisure quali WEP e MAC Address Filtering non sono quasi adottate; il WEP è sempre a 56bit e non a 104 o 232; easy passphrase (c) 2004, DSDLAB 26 WI-FI: Unauthorized Access • Intrusioni casuali – Hackers curiosi (unmalicious hacking) – Censimento reti wireless in una città – Script Kiddies • Intrusioni non casuali – Terrorismo, Company resources Abuse – Spionaggio industriale (malicious hacking) • Tecniche di intrusione - Utilizzo di schede wireless, modificate e non, in maniera da rintracciare Access Point anche a distanze non normali, grazie a speciali antenne WarDriving - Utilizzo di una vettura come copertura e per lo spostamento WarWalking - Non si utilizza nessun mezzo di trasporto (mall, centro città, ….) War* - (biking, public bus, ….) (c) 2004, DSDLAB 27 Tipologie e logiche di attacco in ambienti Wireless Fonte: (c) 2004, DSDLAB 28 WI-FI: le problematiche nell’utilizzo delle onde radio • L’utilizzo di onde radio non permette di controllare l’esatta propagazione del segnale – Il segnale non essendo controllato si diffonde nell’ambiente circostante, e arriva anche a distanze molto maggiori, seppur molto debole – Grazie a speciali antenne è possibile amplificare il segnale in entrata e in uscita annullando così la debolezza (c) 2004, DSDLAB 29 WI-FI: strumenti per la Sicurezza Proattiva (c) 2004, DSDLAB 30 WI-FI: Wardriving Results (Torino) (c) 2004, DSDLAB 31 WI-FI: Wardriving Results (NYC) (c) 2004, DSDLAB 32 WI-FI: WarDriving Results (S.F.) (c) 2004, DSDLAB 33 WI-FI: WarDriving Results (Silicon Valley) (c) 2004, DSDLAB 34 Wireless Security: Qualche esempio (c) 2004, DSDLAB 35 (c) 2004, DSDLAB 36 (c) 2004, DSDLAB 37 TABELLA 2 – Reti wireless esaminate Località Xabcxabc 1 Xbcd Xbcd Xbcd Xbcd Xbcd Xbcd FGHI FGHI FGHI Yabcyabc Yabcyabc Xzxzxzxzxzx 270 Xyabcxya Xyabcxya Xyxyxyx 73 Xyxyxyx 73 Xyxyxyx 73 Xyxyxyx 104 SSID Xabcxabc-WLAN yxkjyx lmnolmno xybnmxybnm YZX-YZX X099 WLAN X099 FRONTEND 102 wlan X&Y wireless Vendor Nokia Cisco-Aironet Cisco-Aironet Cisco-Aironet Nokia Nokia Nokia Symbol Cisco-Aironet Delta Networks WEP No No Si Si No No No No No No #AP 6 2 1 1 2 1 1 1 1 1 xhxhxh xaxaxa X72-32-33 Byz-33-11 XXXXTEST Ufficio Cisco-Aironet Cisco-Aironet Cisco-Aironet Intel N/A N/A Si Si No Si No Si 1 1 1 1 1 2 24 (c) 2004, DSDLAB 38 TABELLA 4 – Livello di vulnerabilità Località Xabcxabc 1 Xabcxabc 1 Xabcxabc 1 Xabcxabc 1 Xabcxabc 1 Xabcxabc 1 Xbcd Xbcd Xbcd Xbcd Xbcd Xbcd Xbcd Xbcd FGHI FGHI FGHI FGHI Yabcyabc Yabcyabc Xzxzxzxzxzx 270 Xyabcde Xyabcde Xyxyxyx 73 Xyxyxyx 73 Xyxyxyx 73 Xyxyxyx 104 Xyxyxyx 104 1 SSID Xabcxabc-WLAN Xabcxabc-WLAN Xabcxabc-WLAN Xabcxabc-WLAN Xabcxabc-WLAN Xabcxabc-WLAN yxkjyx yxkjyx lmnolmno xybnmxybnm YZX-YZX YZX-YZX X099 WLAN X099 FRONTEND 102 Wlan X&Y wireless Canale 1 1 1 6 6 6 7 7 7 7 1 5 5 1 1 1 6 Indirizzamento 90.99.200.0/25 90.99.200.0/25 90.99.200.0/25 90.99.200.0/25 90.99.200.0/25 90.99.200.0/25 90.99.22.0/24 90.99.22.0/24 N/A N/A 90.99.200.0/24 90.99.200.0/24 N/A (Ipv6) N/A (Ipv6) N/A N/A 90.76.69.0/24 Vulnerabilità Media Media Media Media Media Media Molto Grave Molto Grave Bassa Bassa Media Media Bassa Bassa N/A N/A Media Xhxhxh Xaxaxa X98_ALT_02 X99TEST XXXXTEST Ufficio Ufficio 1 1 7 1 7 7 8 N/A N/A 90.33.66.0/24 N/A N/A N/A N/A Bassa Bassa Bassa Bassa N/A Bassa Bassa Visual Alert CONCLUSIONI (c) 2004, DSDLAB 39 [root@okip202] # cat > PEN-TEST.TXT questa macchina è stata violata nel corso dell'attività di assessment del 23/01/2003 commissionata da Sicurezza Aziendale ^D ¾ Dopo aver inserito il messaggio sopra riportato nel file PEN-TEST.txt sulla root directory del sistema okip202, visualizziamo l’elenco degli hosts (/etc/hosts) della macchina, al fine di comprendere in quale aree operativa ci troviamo. [root@okip202] # cat /etc/hosts # Internet host table # 127.0.0.1 localhost #xxxx workstation 90.128.201.109 oksp022.kjy.Xxxxxx.it 90.22.35.56 okip202.Xxxxxx.it oksp022 okip202 loghost 90.128.202.76 90.128.202.77 ojh022.kjy.Xxxxxx.it ojh022 gbos025.kjy.Xxxxxx.it gbos025 90.128.200.91 90.128.200.92 90.128.200.93 90.128.200.76 90.128.200.77 okm231.kjy.Xxxxxx.it okm232.kjy.Xxxxxx.it okm233.kjy.Xxxxxx.it okm264.kjy.Xxxxxx.it okm977.kjy.Xxxxxx.it okm231 okm232 okm233 okm264 okm977 #logical hosts 90.128.201.100 90.128.201.101 okm024.kjy.Xxxxxx.it okm025.kjy.Xxxxxx.it okm024 okm025 (c) 2004, DSDLAB 40 (c) 2004, DSDLAB 41 (c) 2004, DSDLAB 42 Cosa faremo ora • Simulazione di un attacco via Wi-Fi, con compromissione dei sistemi server sulla rete interna • Utilizzeremo un normale notebook con scheda wireless • In seguito all’intrusione, effettueremo una Forensics Analysis su uno dei sistemi server compromessi (SUN Solaris) (c) 2004, DSDLAB 43 Computer Forensics: qualche cenno su un problema sottovalutato (c) 2004, DSDLAB 44 L’evoluzione della specie… Forensics in principio… • La vita in principio era semplice: – Si arrivava in casa dell’indagato e si sequestrava tutto, tappettini compresi – Poi si analizzava il tutto durante l’anno successivo… (c) 2004, DSDLAB 45 L’evoluzione della specie… Forensics in principio… II • Poi qualcuno, specialmente coloro che sono stati scagionati, ha sollevato il dubbio del “danno economico” derivante: – Dal mancato utilizzo delle apparecchiature – Dall’invecchiamento delle stesse in qualche procura… (c) 2004, DSDLAB 46 L’evoluzione della specie… Forensics in principio… II • Si è quindi cominciato a lavorare con delle metodologie di “computer forensics”: – Copie “bit-a-bit” – Affidamento delle indagini a personale specializzato – Riduzione dei tempi di analisi ;-P (c) 2004, DSDLAB 47 Computer Forensics: L’incubo… • La tecnologia comunque continua a progredire e quindi la vita del computer forenser (ma anche delle forze dell’ordine) diventa sempre più difficoltosa…. (c) 2004, DSDLAB 48 Computer Forensics: L’incubo II • Nuovi media: – – – – Dischi fissi rimuovibili Memorie Flash di vario formato Chiavi USB Lettori Mp3 (iPOD, Creative JukeBox, Archos Multimedia Jukebox) – Computer Palmari • Sistemi operativi di varia natura: – – – – La famiglia (sempre più numerosa) degli Windows MacOSX Linux in tutte le sue varianti I *BSD (c) 2004, DSDLAB 49 Computer Forensics: L’incubo III • Tutto questo introduce una serie di problemi del tutto nuovi: – Non banalmente, trovare i supporti (avete presente quanto è grande una SSD o una MMC?) – Esaminare questi supporti di cui sopra tenendo conto del sistema operativo che le ha utilizzate – Esaminare una macchina violata tenendo conto delle peculiarità del sistema (c) 2004, DSDLAB 50 Computer Forensics: i tool • Spendereste mai i soldi necessari per comperare una Ferrari se questa: – Avesse il motore di una Punto? – Avesse tre ruote? – Funzionasse solamente sulle autostrade pavimentate con un determinato tipo di asfalto? – Avesse una vernice metallizzata unica nel suo genere? (c) 2004, DSDLAB 51 Computer Forensics: i tool II • Comprereste un tool di analisi forense che… – Analizza solamente alcuni file system (E’ noto che i criminali usano esclusivamente Windows….) – E’ specializzato in alcune operazioni – Non gestisce media alternativi – Però fa dei report bellissimi… (c) 2004, DSDLAB 52 Computer Forensics: i tool III • Con il procedere della tecnologia ci si rende tristemente conto che: – Non si può lavorare con un software che non segua l’evoluzione tecnologica con la stessa velocità – Non esistono tool per il forensics “all-inone” (c) 2004, DSDLAB 53 Computer forensics: indagini sul cavo I • Ci sono occasioni in cui si deve effettuare l’analisi live, specialmente nel caso si scopra un crimine in atto: – In tal caso l’indagine vertirà su una serie di fattori chiave: • Analisi dei log • Analisi del traffico di rete (c) 2004, DSDLAB 54 Computer forensics: indagini sul cavo II • Un sistema Linux (o *BSD) ci può venire in aiuto con una serie di tool specifici in grado di catturare e analizzare il traffico • I formati dati sono inoltre interoperabili, cosa non sempre vera nel mondo commerciale (c) 2004, DSDLAB 55 Computer forensics: indagini sul cavo II • “Snort” • Snort non solo è un ottimo sistema per l’IDS ma è un validissimo prodotto anche per effettuare sniffing di traffico di rete • “tcpdump” • Uno degli “standard de facto” nel campo degli sniffer, utile specie se la velocità del backbon non è elevatissima • “Ethereal” • Tool sotto X per l’analisi del traffico. E’ in grado sia di effettuare lo sniffing in autonomia sia di utilizzare i dump prodotti da snort e tcpdump (c) 2004, DSDLAB 56 CONTATTI WIRELESS E SICUREZZA INFORMATICA: gli errori più comuni rilevati eseguendo test di intrusione; simulazione di attacco e computer forensics UNCONVENTIONAL TECHNOLOGIES FOR Raoul Chiesa, [email protected] THE CORPORATE SECURITY & IMAGE Andrea Ghirardini, [email protected] http://www.mediaservice.net (c) 2004, DSDLAB http://www.pilasecurity.com 57