arhimedes2015-velimirradlovacki

SIGURNOST RAČUNARSKIH MREŽAVelimir Radlovački

[email protected]

XXXI SPECIJALIZOVANI REPUBLIČKI SEMINAR ZA NASTAVNIKE RAČUNARSTVA I INFORMATIKE, MICROSOFT SRBIJA, BEOGRAD, 2015.

root@localhost:~# whoami

• Od septembra 1999. profesor računarske grupe predmeta u Školskom centru „Nikola Tesla“ u Vršcu -www.teslavs.edu.rs

• Prošle godine na Arhimedesovom seminaru:

Agenda

• Istorijat [ne]sigurnosti računarskih mreža

• Ko danas ugrožava sigurnost računarskih mreža?

• Važne napomene!

• Metodologija napada

Ko, zašto, kako?

Istorijat [ne]sigurnosti računarskih mreža

Istorijat / kontroverzni pojam haker

• 1946, MIT, The Tech Model RailroadClub: Haker je student koji izrađujemakete vozova i tehnički ihosavremenjuje i unapređuje.

• Pre 40 godina: Haker suštinski razumekako funkcionišu računari sistemi i

računarske;Haker je programer koji uživa u uintelektualnim izazovima rešavanjaproblema i prevazilaženja ilizaobilaženja ograničenja.

• Danas: Haker neovlašćeno pristuparačunarskim sistemima; ima anti-autoritarni pristup razvoju i korišćenjusoftvera; inovativno koristi/modifikuje

Istorijat / sigurnosni propusti i malver

• 1965. MIT: prvi dokumentovan sigurnosni propust.

• 1971. BBN Technologies: Bob Thomas napravio je prvi računarski virus Creeper kako bi testirao Von Nojmanovu teoriju samo-reproduktivnih automata.

• Kasnije je napravljen Reaper koji briše virus Creeper.

• 1974: nastao je virus Rabbit, godinu dana kasnije virus Animal itd.

Istorijat / telekomunikacioni sistemi

• Eksperimentisanje, eksploatacija i neovlašćeno korišćenje telekomunikacionih sistemima (javnih telefonskih mreža) nazvano je phreaking, a osoba koja se time bavila phreaker (phone-freak).

• 1971 časopis Esquire: članak „Secrets of the Little Blue Box“ opisuje alat za neovlašćeno korišćenje javne telefonske mreže (besplatno telefoniranje).

• Steve Wozniak i Steve Jobs, osnivači kompanije Apple, pravili su i prodavali „Plave kutije“ u toku studiranja!

Istorijat / uticaj medija

• WarGames, 1983: prvi igrani film kojiupoznaje širu javnost sa fenomenomhakera.

• Neobaveštenost, hladni rat,paranoja: hakeri, tinejdžeri saračunarom i modemom, iz svojesobe mogu da lansiraju nuklearneprojektile.

• Američki kongres počinje sasaslušanjima na temu narušavanjasigurnosti računarskih sistema imreža.

• Profesori računarstva u svojimpredavanjima počinju da koristeizraz haker u negativnom kontekstu.

Istorijat / osamdesete

• Osnovane su hakerske grupeChaos Computer Club, Legion ofDoom, Masters of Deception, Cultof the Dead Cow i dr.

• Osnovani su hakerski časopisi2600 i Phrack i održan je ChaosCommunication hakerskikongres u Nemačkoj.

• FBI i tajna služba istražujuračunarski kriminal.

• Agencija DARPA osniva CERT(Computer Emergency ResponseTeam).

• Pojavom IBM PC, pojavio se i prvivirus za MS-DOS pod nazivomBrain. Malver je počeo da se širi u

Ko danas ugrožava sigurnost računarskih mreža?

Napadači / klasifikacija

• Pojedinci:

• White Hat (Ethical) Hackers

• Gray Hat Hackers

• Black Hat Hackers

• Script Kiddies

• Grupe:

• Haktivisti

• Organizovane kriminalne grupe

• Državne službe

Napadači / White Hat (Ethical) Hackers

• Profesionalci koji koriste alate i metodologiju specifičnumalicioznim hakerima sa ciljem ispitivanja mogućnostiproboja sistema klijenta.

• Potpisuju ugovor sa klijentom u kome je preciziran planispitivanja.

• Ispitivanje podrazumeva aktivno testiranje sistema u ciljuotkrivanja ranjivosti koje mogu biti posledicaneodgovarajuće konfiguracije, grešaka ili operativnihslabosti.

• U izveštaju predstavljaju se: otkriveni sigurnostni propusti(rešenja za otklanjanje) i procena rizika (predlozi zasmanjenje).


• Pored formalnog obrazovanja, od IT profesionalaca sve češće se zahtevaju i dodatni sertifikati iz oblasti sigurnosti.

The International Information

Systems

Security Certification Consortium

Global Information

Assurance Certification


• Specijalizovani sajtovi i kursevi o sigurnosti računarskih sistema i mreža počeli su da se pojavljuju i u Srbiji

• Samo nekoliko ICT kompanija u Srbiji nudi usluge ispitivanja sigurnosti računarskih sistema i mreža.

Napadači / Gray Hat Hackers

• Koriste alate i metodologiju ispitivanjamogućnosti proboja sistema specifičnumalicioznim hakerima, ali bez dozvole!

• Otkrivene sigurnosne propuste obično prijavljujuvendorima kako bi ih ovi otklonili – ne koriste ih umaliciozne svrhe.

Napadači / Black Hat Hackers

• Ugrožavaju sigurnost sistema sa ciljem neovlašćenogpristupa, nanošenja štete, krađe informacija, pribavljanjamaterijalne koristi i dr.

• Krše pravila računarske etike i zakone koji se tičuračunarskog kriminala.

Napadači / Script Kiddies (Skiddies)

• Izvršavaju napade koristećituđe alate, bezrazumevanja procesa kojise dešava u pozadini.

• Izraz se koristi kao uvredaza početnike odnosnoosobe koje nemaju dovoljnoznanja o računarskimsistemima i mrežama i neznaju da programiraju.

Napadači / Hacktivists

• Borbu za socijalna, ideološka, religijska i politička pitanja sprovode napadima na računarske sisteme i mreže -najčešće napadima odbijanja usluga (Denial of Service -DoS).

• Neovlašćeno menjaju sadržaje web sajtova (defacement) ili ih obaraju. Objavljuju tajne/poverljive/personalneinformacije.

Napadači / Hacktivists

• Nov. 1994. Hakerska grupa Zippies pokrenula DDoS napadna vladu Velike Britanije (zbog noći Guy Fawkes-a Nov.1605.).

• Sep. 2003. Christopher Poole (moot) registovano je portal4chan.net [danas 4chan.org], gde su svi korisnici anonimni(anonymous).

• Jan. 2008. Video Toma Kruza u crkvi „naukologije“ (Churchof Scientology). Crkva “skida” video sa YouTube na osnovupovrede autorskih prava. Slede DDoS napadi korisnika4chan.

• Dec. 2010. Anonymous kolektiv napadaju postFinance.ch,PayPal.com, MasterCard.com i Visa.com jer su uskratilifinansiranje WikiLeaksa.

• Apr. 2011. Anonymous kolektiv napadaju Sony i ruše SonyPlayStation Network, zbog tužbe kompanije Sony protivhakera „Geohotz-a“.

Napadači / organizovane kriminalne grupe

• Vrše kriminalne aktivnosti ugrožavajući sigurnostračunarskih sistema i mreža sa ciljem ostvarivanjamaterijalne koristi.

• Bankarske prevare, krađa korisničkih informacija, krađaidentiteta, iznude, ilegalna trgovina, industrijska špijunaža i dr.

• Globalni gubici od cyber kriminala procenjeni su na ≈ 500milijardi dolara u 2014. godini!

Napadači / državne službe

• Napredne trajne pretnje (Advanced Persistent Threat –APT)

• Skup sofisticiranih procesa koji ugrožavaju sigurnost računarskihsistema i mreža usmerenih ka nekoj većoj organizaciji ili državi.

• Izvode ih druge veće organizacije ili države koje imaju motiv isredstva.

• Špijunaža, nadzor, napadi, neovlašćen pristup, inficiranjemalverom, sabotaže.


• Septembar 2011: DigiNotar Certificate Authority u Holandijihakovani od strane Iranskih hakera – mete su 300.000Gmail korisnika u Iranu.

• Novembar 2014: SONY Pictures hakovan od straneseverno korejanskih hakera (Guardians of Peace - GOP)zbog sadržaja filma The Interview. Film nije dospeo ubioskope zbog pretnji o daljim napadima!


• Jun 2010: Otkriven crv Stuxnet koji napada PLC/SCADAkontrolere.

• Meta: Windows + Step7 i WinCC + Siemens S7 PLC +precizno definisana konfiguracija = uništene centrifuge zaobogaćivanje uranijuma u nuklearnom postrojenju Natanz uIranu.

VAŽNE NAPOMENE !!!

Napomene / VEOMA VAŽNO!

• Nemojte „vežbati“ na internetu ili na tuđimresursima – napravite svoj lab. Softverske alatekoje ćete videti u ovoj prezentaciji koristite oprezno– izolujte mrežne segmente i ne povezujte ih nainternet.

• Svaki napad ili skeniranje resursa na internetu ilituđih resursa može alarmirati vlasnike resursa,provajdere internet usluga i/ili organe zakona.

Napomene / Lab Setup

• Hipervizori

• Microsoft Hyper-V

• VMware Workstationwww.vmware.com

• Oracle VirtualBoxwww.virtualbox.org

• Operativni sistemi

• Kali Linuxwww.kali.org

• Ostale Linux distribucijedistrowatch.com

• Windows (TechNet Evaluation Center)www.microsoft.com/en-us/evalcenter/

Metodologija napada

Metodologija napada / faze napada

1. Izviđanje

Reconnaissance

2. Skeniranje

Scanning

3. Dobijanje pristupa

Gaining Access

4. Održavanje pristupa

Maintaining Access

5. Prikrivanje tragova

Covering Tracks

Metodologija napada / izviđanje

• Pretrage weba, socijalnih mreža, online imenika, registara preduzeća:

• Google/Bing, Facebook/LinkedIn , shodanhq.com, 11811.rs, apr.gov.rs

• Pretrage registara domena i sličnih zapisa:

• whois, robtex.com, iana.org, ripe.net

• Socijalni inženjering: psihološka manipulaciju ljudima u cilju otkrivanja informacija:

• pretexting, phishing, baiting, quid pro quo, shoulder surfing

• Literatura na srpskom: Kevin Mitnik - Umetnost obmane i Umeće provale

Metodologija napada / izviđanje

• Odbrana je nemoguća u ovoj fazi jer informacije o meti(zaposlenima, klijentima, kompaniji, poslovanju) uvek dospeju na Internet.

• Moguće je primeniti mere predostrožnosti edukacijomzaposlenih.

• Izbegavati nepotrebnu publikaciju imena, pozicija, personalnih podataka, email adresa, podataka o kompaniji,poslovanju kompanije i klijentima.

• Sakriti podatke o registrantima domena web sajta kompanije – postaviti generičke podatke.

Metodologija napada / skeniranje

• Kada napadač sakupi relevantne informacije o meti, započinje sa fazorm perifernog i internog skeniranja svih IKT resursa mete.

Traženje sigurnosnih propusta

Identifikacija operativnih sistema i softvera

Identifikacija servisa

Traženje aktivnih portova

Traženje „živih“ sistema na mreži

Metodologija napada / skeniranje

• Skeniranje je moguće detektovati pomoću sistema zaotkrivanje upada (Intrusion Detection System - IDS),odnosno sistema za prevenciju upada (Intrusion preventionsystem - IPS).

• Isključiti sve nepotrebne portove i servise

• Redovno ažurirati operativni sistem i aplikacije sigurnosnimzakrpama.

• Windows Update (Important/Recommended/Optional)

• Internet Browsers: Internet Explorer, Google Chrome, MozillaFirefox

• Browser Add-ons: Adobe Flash Player, Oracle Java RuntimeEnvironment

• Anti-malware software, Firewall

• Redovno ažurirati firmver (naročito u mrežnih uređajima).

• Koristiti enkripciju na komunikacionim vezama

Metodologija napada / izviđanje i skeniranje

• Klasifikacija alata za sakupljanje informacija u Kali Linux distribuciji:

Metodologija napada / izviđanje i skeniranje

• Klasifikacija alata za analiziranje probojnosti sistema u Kali Linux distribuciji:

Metodologija napada / dobijanje pristupa

• Dobijanje pristupa resursima mete je najvažnija inajkomplikovanija faza.

• Vrši se u cilju krađe, izmene informacija, uništavanjainformacija, korišćenja resursa za druge napade ili radikorišćenja samih resursa u neke druge svrhe.

• Moguće aktivnosti napadača u ovoj fazi su:

• Razbijanje lozinki

• Reverzni inženjering

• Eksploatacija sigurnosnih propusta sistema

• Eksploatacija sigurnosnih propusta na webu

• Napadi na bežične mreže i klijente …


• Razbijanje lozinki je proces dobijanja lozinki pomoćupodataka uskladištenih u sistemu ili transmitovanih odstrane sistema.

• Brute-force razbijanje podrazumeva pokušaj dobijanjalozinke korišćenjem svih kombinacija karaktera premazadatim kriterijumima.

• Dictionary attack, word lists, pattern checking smanjuju brojpokušaja, sužavajući izbor mogućih lozinki.


• Klasifikacija alata za razbijanje lozinki u Kali Linux distribuciji:


• Reverzni inženjering predstavlja proces dobijanjainformacija iz zatvorenih sistema koje je stvorio čovek (npr.dobijanje izvornog kôda programa iz izvršnog .exeprograma).

• Razlozi i ciljevi za dobijanje takvih informacija mogu bitirazličiti:

• reverzni inženjering malvera radi kreiranja zaštite

• reverzni inženjering softvera radi razbijanja zaštite

• reverzni inženjering firmvera uređaja radi otkrivanjasigurnosnih propusta ili razbijanja zaštite ili kreiranja kopijeuređaja ili …


• Klasifikacija alata za reverzni inženjering u Kali Linux distribuciji:


• Eksploatacija sigurnosnih propusta sistema običnopodrazumeva analizu i/ili remećenja mrežnog saobraćaja,napade na mrežne resurse, razbijanje zaštite i upade itd.

• Često se koriste specijalizovana radna okruženja i gotoveskripte, engl. exploits, u kojima su predefinisani sigurnosnipropusti sistema. Sigurnosni propusti koji su poznati samonapadaču nazivaju se 0-day exploits.


• Klasifikacija alata za eksploataciju računarskih sistema i mreža u Kali Linux distribuciji:


• Klasifikacija alata za sniffing i spoofing u Kali Linux distribuciji:


• Klasifikacija alata za testiranje opterećenja mreža u Kali Linux distribuciji:


• Sigurnosni propusti na webu koje napadači najčešćeeksploatišu jesu SQL injection i cross site scripting (XSS)propusti.

• SQL injection propusti omogućavaju napadaču daneautorizovano izvršava upite/komande na udaljenomračunaru (web serveru).

• XSS propusti obično se nalaze u web aplikacijama iomogućavajući napadaču da izvrši maliciozni kôd, ukradekorisničku sesiju, promeni sadržaj web stranice,neovlašćeno redirektuje korisnika itd.

query = "SELECT * FROM Users WHERE user_id='arhimedes' AND password='Arhimed2015'";

Username:

Password:

arhimedes

Arhimed2015 LOGI

N

Username:

Password:

' OR 1=1; /*

*/-- LOGI

Nquery = "SELECT * FROM Users WHERE user_id='' OR 1=1; /* AND password='*/--'";


• Klasifikacija alata za testiranje sigurnosti web aplikacija u Kali Linux distribuciji:


• Napadi na bežične mreže i klijente

• Medijum za prenos i paketi podataka javno su dostupni(vazduh/radio talasi)

• Zastarele loše metode zaštite (skriveni SSID, MAC filteri, WEP),bolja zaštita (WPA/WPA2, TKIP/AES)

• Softver za razbijanje zaštite: aircrack-ng, kismet, bully, cowpatty itd.

• Postavljanje lažnih pristupnih tačaka

• WiFi Pineapple


• Klasifikacija alata za napade na bežične mreže u Kali Linux distribuciji.


• Alati za napade na bežične 802.11 mreže (Wi-Fi).

Metodologija napada / održavanje pristupa

• Nakon dobijanja pristupa, sledeći korak je održavanje pristupa, dovoljno dugo da može da se realizuje cilj napada.

• Održavanje pristupa realizuje se implementacijom backdoor-a na računarskim sistemima žrtve, koji omogućavaju napadaču udaljeni pristup zaobilazeći proces autentifikacije i detekcije.

• Backdoor malver

• Rootkits, trojan horses

• Softver za udaljeni pristup

• Tunneling

Metodologija napada / održavanje pristupa / alati

• Klasifikacija alata za održavanje pristupa u Kali Linux distribuciji.

Metodologija napada / održavanje pristupa

Odbrana u ovoj fazi podrazumeva sledeće:

• Filtriranje prenosa fajlova.

• Detekcija i prevencija sesija za daljinski pristup (Telnet, Remote Desktop).

• Detekcija i prevencija nepoznatih mrežnih sesija.

• Detekcija i prevencija mrežnih sesija sa velikim protokom.

• Detekcija i prevencija konekcija na neuobičajenim TCP/UDP portovima.

• Detekcija i prevencija čudnih događaja na serveru, mreži i mrežnim uređajima itd.

• Dobra firewall konfiguracija i korišćenje IDS/IPS rešenja.

Metodologija napada / prikrivanje tragova

• Nakon realizacije cilja napada, napadač prikriva tragovenapada kako bi sakrio svoj identitet i lokaciju od sistemadministratora, forenzičara ili organa zakona.

• Log fajlovi prikazuju svaku neuspešnu ili uspešnu prijavu nasistem kao i druge događaje vezan za sigurnost sistema.History fajlovi prikazuju istorijat izvšavanja komandi ilikretanja kroz sistem. Njihovo uništavanje predstavljazavršnu fazu napada.


• Windows Event Viewer prikazuje logove događaja u vezi grešaka u radu sistema, aplikacija, servisa i bezbednosti.

• Brisanje Application logova događajaC:\wevtutil cl Application

• Brisanje Security logova događajaC:\wevtutil cl Security

• Brisanje Setup logova događajaC:\wevtutil cl Setup

• Brisanje System logova


• Linux čuva logove u tekstualnim fajlovima u direktorijumu /var/log. Logovi se mogu editovati ili obrisati.

• Prikaz istorije izvršenih komandi:

more ~/.bash_history

• Uništavanje istorije:shred -zu root/.bash_history


• Klasifikacija forenzičkih alata u Kali Linux distribuciji:


• Voditi računa o konfiguraciji korisničkih grupa i privilegija.

• Relocirati bitne logove sa podrazumevanih lokacija.

• Bitne logove automatski prosleđivati elektronskom poštomi/ili ih automatski kopirati na nezavisnu lokaciju.

• Koristiti IDS/IPS rešenja i automatski alarmiratiadministratora na kritične događaje (SMS poruka,elektronska pošta…).

Zaključak

1. U ICT svetu ne postoji potpuno siguran sistem. Iluzija opotpunoj sigurnosti ima kontra-efekat.

2. Tehnički aspekt sigurnosti jeste bitan, ali je jednako bitan iljudski faktor, kao i edukacija radi povećanja svesti osigurnosti.

3. Testiranje sigurnosti računarskih sistema i mrežametodama i alatima specifičnim malicioznim napadačimaznatno smanjuju sigurnosne rizike.

4. Procesu testiranja sigurnosti računarskih sistema i mrežapomenutim metodama i alatima pristupa se krajnjeodgovorno i oprezno!

QUESTIONS?

KEEP

CALMAND

THANK YOUFOR

YOUR

ATTENTION!

arhimedes2015-velimirradlovacki

Documents