arhimedes2015-velimirradlovacki
TRANSCRIPT
SIGURNOST RAČUNARSKIH MREŽAVelimir Radlovački
XXXI SPECIJALIZOVANI REPUBLIČKI SEMINAR ZA NASTAVNIKE RAČUNARSTVA I INFORMATIKE, MICROSOFT SRBIJA, BEOGRAD, 2015.
root@localhost:~# whoami
• Od septembra 1999. profesor računarske grupe predmeta u Školskom centru „Nikola Tesla“ u Vršcu -www.teslavs.edu.rs
• Prošle godine na Arhimedesovom seminaru:
Agenda
• Istorijat [ne]sigurnosti računarskih mreža
• Ko danas ugrožava sigurnost računarskih mreža?
• Važne napomene!
• Metodologija napada
Ko, zašto, kako?
Istorijat [ne]sigurnosti računarskih mreža
Istorijat / kontroverzni pojam haker
• 1946, MIT, The Tech Model RailroadClub: Haker je student koji izrađujemakete vozova i tehnički ihosavremenjuje i unapređuje.
• Pre 40 godina: Haker suštinski razumekako funkcionišu računari sistemi i
računarske;Haker je programer koji uživa u uintelektualnim izazovima rešavanjaproblema i prevazilaženja ilizaobilaženja ograničenja.
• Danas: Haker neovlašćeno pristuparačunarskim sistemima; ima anti-autoritarni pristup razvoju i korišćenjusoftvera; inovativno koristi/modifikuje
Istorijat / sigurnosni propusti i malver
• 1965. MIT: prvi dokumentovan sigurnosni propust.
• 1971. BBN Technologies: Bob Thomas napravio je prvi računarski virus Creeper kako bi testirao Von Nojmanovu teoriju samo-reproduktivnih automata.
• Kasnije je napravljen Reaper koji briše virus Creeper.
• 1974: nastao je virus Rabbit, godinu dana kasnije virus Animal itd.
Istorijat / telekomunikacioni sistemi
• Eksperimentisanje, eksploatacija i neovlašćeno korišćenje telekomunikacionih sistemima (javnih telefonskih mreža) nazvano je phreaking, a osoba koja se time bavila phreaker (phone-freak).
• 1971 časopis Esquire: članak „Secrets of the Little Blue Box“ opisuje alat za neovlašćeno korišćenje javne telefonske mreže (besplatno telefoniranje).
• Steve Wozniak i Steve Jobs, osnivači kompanije Apple, pravili su i prodavali „Plave kutije“ u toku studiranja!
Istorijat / uticaj medija
• WarGames, 1983: prvi igrani film kojiupoznaje širu javnost sa fenomenomhakera.
• Neobaveštenost, hladni rat,paranoja: hakeri, tinejdžeri saračunarom i modemom, iz svojesobe mogu da lansiraju nuklearneprojektile.
• Američki kongres počinje sasaslušanjima na temu narušavanjasigurnosti računarskih sistema imreža.
• Profesori računarstva u svojimpredavanjima počinju da koristeizraz haker u negativnom kontekstu.
Istorijat / osamdesete
• Osnovane su hakerske grupeChaos Computer Club, Legion ofDoom, Masters of Deception, Cultof the Dead Cow i dr.
• Osnovani su hakerski časopisi2600 i Phrack i održan je ChaosCommunication hakerskikongres u Nemačkoj.
• FBI i tajna služba istražujuračunarski kriminal.
• Agencija DARPA osniva CERT(Computer Emergency ResponseTeam).
• Pojavom IBM PC, pojavio se i prvivirus za MS-DOS pod nazivomBrain. Malver je počeo da se širi u
Ko danas ugrožava sigurnost računarskih mreža?
Napadači / klasifikacija
• Pojedinci:
• White Hat (Ethical) Hackers
• Gray Hat Hackers
• Black Hat Hackers
• Script Kiddies
• Grupe:
• Haktivisti
• Organizovane kriminalne grupe
• Državne službe
Napadači / White Hat (Ethical) Hackers
• Profesionalci koji koriste alate i metodologiju specifičnumalicioznim hakerima sa ciljem ispitivanja mogućnostiproboja sistema klijenta.
• Potpisuju ugovor sa klijentom u kome je preciziran planispitivanja.
• Ispitivanje podrazumeva aktivno testiranje sistema u ciljuotkrivanja ranjivosti koje mogu biti posledicaneodgovarajuće konfiguracije, grešaka ili operativnihslabosti.
• U izveštaju predstavljaju se: otkriveni sigurnostni propusti(rešenja za otklanjanje) i procena rizika (predlozi zasmanjenje).
Napadači / White Hat (Ethical) Hackers
• Pored formalnog obrazovanja, od IT profesionalaca sve češće se zahtevaju i dodatni sertifikati iz oblasti sigurnosti.
The International Information
Systems
Security Certification Consortium
Global Information
Assurance Certification
Napadači / White Hat (Ethical) Hackers
• Specijalizovani sajtovi i kursevi o sigurnosti računarskih sistema i mreža počeli su da se pojavljuju i u Srbiji
• Samo nekoliko ICT kompanija u Srbiji nudi usluge ispitivanja sigurnosti računarskih sistema i mreža.
Napadači / Gray Hat Hackers
• Koriste alate i metodologiju ispitivanjamogućnosti proboja sistema specifičnumalicioznim hakerima, ali bez dozvole!
• Otkrivene sigurnosne propuste obično prijavljujuvendorima kako bi ih ovi otklonili – ne koriste ih umaliciozne svrhe.
Napadači / Black Hat Hackers
• Ugrožavaju sigurnost sistema sa ciljem neovlašćenogpristupa, nanošenja štete, krađe informacija, pribavljanjamaterijalne koristi i dr.
• Krše pravila računarske etike i zakone koji se tičuračunarskog kriminala.
Napadači / Script Kiddies (Skiddies)
• Izvršavaju napade koristećituđe alate, bezrazumevanja procesa kojise dešava u pozadini.
• Izraz se koristi kao uvredaza početnike odnosnoosobe koje nemaju dovoljnoznanja o računarskimsistemima i mrežama i neznaju da programiraju.
Napadači / Hacktivists
• Borbu za socijalna, ideološka, religijska i politička pitanja sprovode napadima na računarske sisteme i mreže -najčešće napadima odbijanja usluga (Denial of Service -DoS).
• Neovlašćeno menjaju sadržaje web sajtova (defacement) ili ih obaraju. Objavljuju tajne/poverljive/personalneinformacije.
Napadači / Hacktivists
• Nov. 1994. Hakerska grupa Zippies pokrenula DDoS napadna vladu Velike Britanije (zbog noći Guy Fawkes-a Nov.1605.).
• Sep. 2003. Christopher Poole (moot) registovano je portal4chan.net [danas 4chan.org], gde su svi korisnici anonimni(anonymous).
• Jan. 2008. Video Toma Kruza u crkvi „naukologije“ (Churchof Scientology). Crkva “skida” video sa YouTube na osnovupovrede autorskih prava. Slede DDoS napadi korisnika4chan.
• Dec. 2010. Anonymous kolektiv napadaju postFinance.ch,PayPal.com, MasterCard.com i Visa.com jer su uskratilifinansiranje WikiLeaksa.
• Apr. 2011. Anonymous kolektiv napadaju Sony i ruše SonyPlayStation Network, zbog tužbe kompanije Sony protivhakera „Geohotz-a“.
Napadači / organizovane kriminalne grupe
• Vrše kriminalne aktivnosti ugrožavajući sigurnostračunarskih sistema i mreža sa ciljem ostvarivanjamaterijalne koristi.
• Bankarske prevare, krađa korisničkih informacija, krađaidentiteta, iznude, ilegalna trgovina, industrijska špijunaža i dr.
• Globalni gubici od cyber kriminala procenjeni su na ≈ 500milijardi dolara u 2014. godini!
Napadači / državne službe
• Napredne trajne pretnje (Advanced Persistent Threat –APT)
• Skup sofisticiranih procesa koji ugrožavaju sigurnost računarskihsistema i mreža usmerenih ka nekoj većoj organizaciji ili državi.
• Izvode ih druge veće organizacije ili države koje imaju motiv isredstva.
• Špijunaža, nadzor, napadi, neovlašćen pristup, inficiranjemalverom, sabotaže.
Napadači / državne službe
• Septembar 2011: DigiNotar Certificate Authority u Holandijihakovani od strane Iranskih hakera – mete su 300.000Gmail korisnika u Iranu.
• Novembar 2014: SONY Pictures hakovan od straneseverno korejanskih hakera (Guardians of Peace - GOP)zbog sadržaja filma The Interview. Film nije dospeo ubioskope zbog pretnji o daljim napadima!
Napadači / državne službe
• Jun 2010: Otkriven crv Stuxnet koji napada PLC/SCADAkontrolere.
• Meta: Windows + Step7 i WinCC + Siemens S7 PLC +precizno definisana konfiguracija = uništene centrifuge zaobogaćivanje uranijuma u nuklearnom postrojenju Natanz uIranu.
VAŽNE NAPOMENE !!!
Napomene / VEOMA VAŽNO!
• Nemojte „vežbati“ na internetu ili na tuđimresursima – napravite svoj lab. Softverske alatekoje ćete videti u ovoj prezentaciji koristite oprezno– izolujte mrežne segmente i ne povezujte ih nainternet.
• Svaki napad ili skeniranje resursa na internetu ilituđih resursa može alarmirati vlasnike resursa,provajdere internet usluga i/ili organe zakona.
Napomene / Lab Setup
• Hipervizori
• Microsoft Hyper-V
• VMware Workstationwww.vmware.com
• Oracle VirtualBoxwww.virtualbox.org
• Operativni sistemi
• Kali Linuxwww.kali.org
• Ostale Linux distribucijedistrowatch.com
• Windows (TechNet Evaluation Center)www.microsoft.com/en-us/evalcenter/
Metodologija napada
Metodologija napada / faze napada
1. Izviđanje
Reconnaissance
2. Skeniranje
Scanning
3. Dobijanje pristupa
Gaining Access
4. Održavanje pristupa
Maintaining Access
5. Prikrivanje tragova
Covering Tracks
Metodologija napada / izviđanje
• Pretrage weba, socijalnih mreža, online imenika, registara preduzeća:
• Google/Bing, Facebook/LinkedIn , shodanhq.com, 11811.rs, apr.gov.rs
• Pretrage registara domena i sličnih zapisa:
• whois, robtex.com, iana.org, ripe.net
• Socijalni inženjering: psihološka manipulaciju ljudima u cilju otkrivanja informacija:
• pretexting, phishing, baiting, quid pro quo, shoulder surfing
• Literatura na srpskom: Kevin Mitnik - Umetnost obmane i Umeće provale
Metodologija napada / izviđanje
• Odbrana je nemoguća u ovoj fazi jer informacije o meti(zaposlenima, klijentima, kompaniji, poslovanju) uvek dospeju na Internet.
• Moguće je primeniti mere predostrožnosti edukacijomzaposlenih.
• Izbegavati nepotrebnu publikaciju imena, pozicija, personalnih podataka, email adresa, podataka o kompaniji,poslovanju kompanije i klijentima.
• Sakriti podatke o registrantima domena web sajta kompanije – postaviti generičke podatke.
Metodologija napada / skeniranje
• Kada napadač sakupi relevantne informacije o meti, započinje sa fazorm perifernog i internog skeniranja svih IKT resursa mete.
Traženje sigurnosnih propusta
Identifikacija operativnih sistema i softvera
Identifikacija servisa
Traženje aktivnih portova
Traženje „živih“ sistema na mreži
Metodologija napada / skeniranje
• Skeniranje je moguće detektovati pomoću sistema zaotkrivanje upada (Intrusion Detection System - IDS),odnosno sistema za prevenciju upada (Intrusion preventionsystem - IPS).
• Isključiti sve nepotrebne portove i servise
• Redovno ažurirati operativni sistem i aplikacije sigurnosnimzakrpama.
• Windows Update (Important/Recommended/Optional)
• Internet Browsers: Internet Explorer, Google Chrome, MozillaFirefox
• Browser Add-ons: Adobe Flash Player, Oracle Java RuntimeEnvironment
• Anti-malware software, Firewall
• Redovno ažurirati firmver (naročito u mrežnih uređajima).
• Koristiti enkripciju na komunikacionim vezama
Metodologija napada / izviđanje i skeniranje
• Klasifikacija alata za sakupljanje informacija u Kali Linux distribuciji:
Metodologija napada / izviđanje i skeniranje
• Klasifikacija alata za analiziranje probojnosti sistema u Kali Linux distribuciji:
Metodologija napada / dobijanje pristupa
• Dobijanje pristupa resursima mete je najvažnija inajkomplikovanija faza.
• Vrši se u cilju krađe, izmene informacija, uništavanjainformacija, korišćenja resursa za druge napade ili radikorišćenja samih resursa u neke druge svrhe.
• Moguće aktivnosti napadača u ovoj fazi su:
• Razbijanje lozinki
• Reverzni inženjering
• Eksploatacija sigurnosnih propusta sistema
• Eksploatacija sigurnosnih propusta na webu
• Napadi na bežične mreže i klijente …
Metodologija napada / dobijanje pristupa
• Razbijanje lozinki je proces dobijanja lozinki pomoćupodataka uskladištenih u sistemu ili transmitovanih odstrane sistema.
• Brute-force razbijanje podrazumeva pokušaj dobijanjalozinke korišćenjem svih kombinacija karaktera premazadatim kriterijumima.
• Dictionary attack, word lists, pattern checking smanjuju brojpokušaja, sužavajući izbor mogućih lozinki.
Metodologija napada / dobijanje pristupa
• Klasifikacija alata za razbijanje lozinki u Kali Linux distribuciji:
Metodologija napada / dobijanje pristupa
• Reverzni inženjering predstavlja proces dobijanjainformacija iz zatvorenih sistema koje je stvorio čovek (npr.dobijanje izvornog kôda programa iz izvršnog .exeprograma).
• Razlozi i ciljevi za dobijanje takvih informacija mogu bitirazličiti:
• reverzni inženjering malvera radi kreiranja zaštite
• reverzni inženjering softvera radi razbijanja zaštite
• reverzni inženjering firmvera uređaja radi otkrivanjasigurnosnih propusta ili razbijanja zaštite ili kreiranja kopijeuređaja ili …
Metodologija napada / dobijanje pristupa
• Klasifikacija alata za reverzni inženjering u Kali Linux distribuciji:
Metodologija napada / dobijanje pristupa
• Eksploatacija sigurnosnih propusta sistema običnopodrazumeva analizu i/ili remećenja mrežnog saobraćaja,napade na mrežne resurse, razbijanje zaštite i upade itd.
• Često se koriste specijalizovana radna okruženja i gotoveskripte, engl. exploits, u kojima su predefinisani sigurnosnipropusti sistema. Sigurnosni propusti koji su poznati samonapadaču nazivaju se 0-day exploits.
Metodologija napada / dobijanje pristupa
• Klasifikacija alata za eksploataciju računarskih sistema i mreža u Kali Linux distribuciji:
Metodologija napada / dobijanje pristupa
• Klasifikacija alata za sniffing i spoofing u Kali Linux distribuciji:
Metodologija napada / dobijanje pristupa
• Klasifikacija alata za testiranje opterećenja mreža u Kali Linux distribuciji:
Metodologija napada / dobijanje pristupa
• Sigurnosni propusti na webu koje napadači najčešćeeksploatišu jesu SQL injection i cross site scripting (XSS)propusti.
• SQL injection propusti omogućavaju napadaču daneautorizovano izvršava upite/komande na udaljenomračunaru (web serveru).
• XSS propusti obično se nalaze u web aplikacijama iomogućavajući napadaču da izvrši maliciozni kôd, ukradekorisničku sesiju, promeni sadržaj web stranice,neovlašćeno redirektuje korisnika itd.
query = "SELECT * FROM Users WHERE user_id='arhimedes' AND password='Arhimed2015'";
Username:
Password:
arhimedes
Arhimed2015 LOGI
N
Username:
Password:
' OR 1=1; /*
*/-- LOGI
Nquery = "SELECT * FROM Users WHERE user_id='' OR 1=1; /* AND password='*/--'";
Metodologija napada / dobijanje pristupa
• Klasifikacija alata za testiranje sigurnosti web aplikacija u Kali Linux distribuciji:
Metodologija napada / dobijanje pristupa
• Napadi na bežične mreže i klijente
• Medijum za prenos i paketi podataka javno su dostupni(vazduh/radio talasi)
• Zastarele loše metode zaštite (skriveni SSID, MAC filteri, WEP),bolja zaštita (WPA/WPA2, TKIP/AES)
• Softver za razbijanje zaštite: aircrack-ng, kismet, bully, cowpatty itd.
• Postavljanje lažnih pristupnih tačaka
• WiFi Pineapple
Metodologija napada / dobijanje pristupa
• Klasifikacija alata za napade na bežične mreže u Kali Linux distribuciji.
Metodologija napada / dobijanje pristupa
• Alati za napade na bežične 802.11 mreže (Wi-Fi).
Metodologija napada / održavanje pristupa
• Nakon dobijanja pristupa, sledeći korak je održavanje pristupa, dovoljno dugo da može da se realizuje cilj napada.
• Održavanje pristupa realizuje se implementacijom backdoor-a na računarskim sistemima žrtve, koji omogućavaju napadaču udaljeni pristup zaobilazeći proces autentifikacije i detekcije.
• Backdoor malver
• Rootkits, trojan horses
• Softver za udaljeni pristup
• Tunneling
Metodologija napada / održavanje pristupa / alati
• Klasifikacija alata za održavanje pristupa u Kali Linux distribuciji.
Metodologija napada / održavanje pristupa
Odbrana u ovoj fazi podrazumeva sledeće:
• Filtriranje prenosa fajlova.
• Detekcija i prevencija sesija za daljinski pristup (Telnet, Remote Desktop).
• Detekcija i prevencija nepoznatih mrežnih sesija.
• Detekcija i prevencija mrežnih sesija sa velikim protokom.
• Detekcija i prevencija konekcija na neuobičajenim TCP/UDP portovima.
• Detekcija i prevencija čudnih događaja na serveru, mreži i mrežnim uređajima itd.
• Dobra firewall konfiguracija i korišćenje IDS/IPS rešenja.
Metodologija napada / prikrivanje tragova
• Nakon realizacije cilja napada, napadač prikriva tragovenapada kako bi sakrio svoj identitet i lokaciju od sistemadministratora, forenzičara ili organa zakona.
• Log fajlovi prikazuju svaku neuspešnu ili uspešnu prijavu nasistem kao i druge događaje vezan za sigurnost sistema.History fajlovi prikazuju istorijat izvšavanja komandi ilikretanja kroz sistem. Njihovo uništavanje predstavljazavršnu fazu napada.
Metodologija napada / prikrivanje tragova
• Windows Event Viewer prikazuje logove događaja u vezi grešaka u radu sistema, aplikacija, servisa i bezbednosti.
• Brisanje Application logova događajaC:\wevtutil cl Application
• Brisanje Security logova događajaC:\wevtutil cl Security
• Brisanje Setup logova događajaC:\wevtutil cl Setup
• Brisanje System logova
Metodologija napada / prikrivanje tragova
• Linux čuva logove u tekstualnim fajlovima u direktorijumu /var/log. Logovi se mogu editovati ili obrisati.
• Prikaz istorije izvršenih komandi:
more ~/.bash_history
• Uništavanje istorije:shred -zu root/.bash_history
Metodologija napada / prikrivanje tragova
• Klasifikacija forenzičkih alata u Kali Linux distribuciji:
Metodologija napada / prikrivanje tragova
• Voditi računa o konfiguraciji korisničkih grupa i privilegija.
• Relocirati bitne logove sa podrazumevanih lokacija.
• Bitne logove automatski prosleđivati elektronskom poštomi/ili ih automatski kopirati na nezavisnu lokaciju.
• Koristiti IDS/IPS rešenja i automatski alarmiratiadministratora na kritične događaje (SMS poruka,elektronska pošta…).
Zaključak
1. U ICT svetu ne postoji potpuno siguran sistem. Iluzija opotpunoj sigurnosti ima kontra-efekat.
2. Tehnički aspekt sigurnosti jeste bitan, ali je jednako bitan iljudski faktor, kao i edukacija radi povećanja svesti osigurnosti.
3. Testiranje sigurnosti računarskih sistema i mrežametodama i alatima specifičnim malicioznim napadačimaznatno smanjuju sigurnosne rizike.
4. Procesu testiranja sigurnosti računarskih sistema i mrežapomenutim metodama i alatima pristupa se krajnjeodgovorno i oprezno!
QUESTIONS?
KEEP
CALMAND
THANK YOUFOR
YOUR
ATTENTION!