bezbednos t u it svetu
DESCRIPTION
Bezbednos t u IT svetu. Dejan Ristanovi ć PC Press [email protected]. Računar je mreža – svet je mreža. Mit o sigurnom sistemu. Bezbednost nije problem koji se može rešiti … … b ezbednost je proces koji se konstantno razvija Potpuno siguran sistem na postoji - PowerPoint PPT PresentationTRANSCRIPT
ETF, 06. mart 2008.
BezbednosBezbednostt u IT svetuu IT svetu
Dejan RistanovićPC Press
ETF, 06. mart 2008.02:17:55 pre.
Računar je mreža – svet je mrežaRačunar je mreža – svet je mreža
2
ETF, 06. mart 2008.02:17:55 pre.
Mit o sigurnom sistemuMit o sigurnom sistemu
• Bezbednost nije problemkoji se može rešiti…
• … bezbednost je proceskoji se konstantno razvija
• Potpuno siguran sistemna postoji
• Tehnologija sama za sebene može da obezbedi sigurnost
• Najslabija tačka svakog bezbednosnog sistema je čovek
3
ETF, 06. mart 2008.
Tehnički aspektiTehnički aspekti
4
ETF, 06. mart 2008.02:17:55 pre.
5
Šta treba zaštititi?Šta treba zaštititi?
• Zaštita na više nivoa– Na nivou protokola– Na nivou servisa– Na nivou aplikacije– Na nivou operativnog sistema
ETF, 06. mart 2008.02:17:55 pre.
6
Na nivou protokolaNa nivou protokola
• Paketni filteri na ruteru– Blokiranje kompletnog saobraćaja– Paketi prolaze ruter samo sa tačno navedenih adresa, na
navedene adrese i to za tačno navedene servise
access-list 100 deny ip 193.203.17.0 0.0.0.127 any logaccess-list 100 deny icmp any any redirect logaccess-list 100 permit icmp any host 193.203.17.1access-list 100 permit tcp any any establishedaccess-list 100 permit tcp any host 193.203.17.1 eq wwwaccess-list 100 permit tcp any host 193.203.17.1 eq identaccess-list 100 permit tcp any host 193.203.17.1 eq smtpaccess-list 100 permit udp any host 193.203.17.1 eq domainaccess-list 100 permit tcp any host 193.203.17.1 eq domainaccess-list 100 deny ip any any log
ETF, 06. mart 2008.02:17:56 pre.
Proksi ili translacija adresaProksi ili translacija adresa
• Radne stanica u mreži komuniciraju preko Proxy servera
• Onemogućena direktna komunikacija sa radnim stanicama unutar mreže
• Omogućeno korišćenje sigurnosnih mehanizama Proxy software-a
• Korišćenje privatnih IP adresa za sveradne stanice
• Javne IP adrese imaju samo Proxy server/Internet server i ruter
7
ETF, 06. mart 2008.02:17:56 pre.
Koncept privatnih adresaKoncept privatnih adresa
8
Ruter
Proxy
193.203.17.1
193.203.17.2
10.0.1.2
10.0.1.1
10.0.1.3
10.0.1.4
10.0.1.5
10.0.1.6
Filtriranjesaobraćaja
Javne adresePrivatne adrese
ETF, 06. mart 2008.02:17:56 pre.
Zaštita na nivou servisaZaštita na nivou servisa
• Svaka serverska aplikacija koja čeka konekciju za odgređeni servis (SMTP, HTTP) ima svoj sistem zaštite– Prihvata konekcije samo sa određenih adresa– Sistem autentikacije– Definisanje prava pristupa (read, write, exec...)– Pravi log korišćenja
• Wrapper aplikacije čekaju konekciju, proveravaju ko je sa “druge strane” i tek onda startuju serversku aplikaciju
9
ETF, 06. mart 2008.02:17:56 pre.
Zaštita na nivou aplikacijeZaštita na nivou aplikacije
• Osnova zaštite je internivišekorisnički sistem
• Svaki korisnik ima svoje• korisničko ime i lozinku• Za svakog korisnika su
definisana prava pristupa
10
ETF, 06. mart 2008.02:17:56 pre.
Kriptovanje podatakaKriptovanje podataka
• Na nivou protokola• Na nivou servisa• Na nivou aplikacije
11
qANQR1DBwU4D/xtpxytzBAMQCADdiUINDyK8NOfKq/7V3/PTaNeaqiMxKEDFVL+0ER+ppp/PtVGzzqkF2GXczB+JJJ0EgZn80xzDtlcFpOSe+Dqd9Q8n3LYdPQi/CZtchQM1RQXrGUob7e5xsZPHHXG1pxgi5RkN9d4XPqyM8hQCRrf25wzWGhfhUhky9x3EZ36QU2ILtshaWjdqVZPRF883fqJwKLXszFDg4CUrR9oSoD7Daqzvq/4kmmjWpiwXoQ8rzrsAQoBtqSclqOQe9uyIi9hws8rlnd1ZHx3sKLIPVQpeAvg3bnr7msFHQb3rOSDb21el9WOkwMQBI1PgOolVBKyLi1D3zo12MdI46FB0KwiGB/9sdQUlesaxUsEQJ0Qz1IOGhT9EGtYaqXGdxkj/sPDHb40cH4332gWf803PzEaOH8mdqNkVumWnoUrR
ETF, 06. mart 2008.02:17:56 pre.
Wireless mrežeWireless mreže
• Jeftino i masovno• Ogroman sigurnosni
problem• Autorizacija
– WPA-PSK
• Enkripcija– TKIP
12
ETF, 06. mart 2008.02:17:56 pre.
Virtuelne privatne mrežeVirtuelne privatne mreže
13
Tel
ewor
ker
ETF, 06. mart 2008.02:17:56 pre.
Virtuelne privatne mrežeVirtuelne privatne mreže
14
Fie
ldw
orke
r
ETF, 06. mart 2008.02:17:56 pre.
Virtuelne privatne mrežeVirtuelne privatne mreže
15
Sub
sidi
ary
ETF, 06. mart 2008.02:17:56 pre.
VPN: Prednosti i maneVPN: Prednosti i mane
• Utisak da se radi u jednoj mreži• Komunikacija je kriptovana• Automatski ih održavaju mrežni uređaji
• Teško se konfigurišu– Dešava se da administrator gasi sigurnosne
mehanizme jedan po jedan, dok VPN ne proradi
• On-line kriptovanje zahteva resurse– Dešava se da administrator oslabi kriptovanje
da bi dobio na performansama
16
ETF, 06. mart 2008.02:17:56 pre.
Scenario napada na mrežuScenario napada na mrežu
• Footprinting– Korišćenje javnih resursa za identifikaciju mreže
ciljne organizacije– DNS server kao bezbednosni problem
• Wardialing– Prema filmu War Games (1983)
• Port Scanning– Lista IP adresa servera i otvorenih portova
• Enumeration– Određuje se interna namena servera i bira meta
17
ETF, 06. mart 2008.02:17:56 pre.
Scenario napada na serverScenario napada na server
• Korišćenje bagova operativnog sistema– www.milw0rm.com
• Korišćenje grešaka u konfiguraciji– Kod novih operativnih sistema je po default-u
(praktično) sve isključeno
• Najslabije tačke Windows-a– NetBIOS / SMB Servisi (UDP 137, TCP 445, 139)– SQL Server (TCP 1433, UDP 1434)– Terminal Services / Remote Desktop (TCP 3389)
18
ETF, 06. mart 2008.
OriginalnaOriginalnasigurnosna rešenjasigurnosna rešenja
- par primera -- par primera -
19
ETF, 06. mart 2008.02:17:56 pre.
Propusti vašeg softveraPropusti vašeg softvera
• Cilj: ograničiti procesorsko vreme korisnika– Na nivou VMS-a proces ograničen na 60 s CPU– Korisnik ostane dugo u editoru – izgubi fajl
• Korisnik proba EDIT / RECOVER, ali to opet potroši 60 sekundi i korisnik opet izgubi fajl
• Korisnici stalno traže od operatera recover
– Automatizovati recover?• Naprave javnog korisnika recover• Korisnik recover ima forsiranu login.com proceduru u
kojoj pita korisnika za ime datoteke koju treba oporaviti i onda je oporavi
• Korisnik recover mora da čita i piše fajlove drugih korisnika, dakle potrebne su mu privilegije
20
ETF, 06. mart 2008.02:17:56 pre.
NadigravanjeNadigravanje
• RECOVER /NOCOM– Ne izvrši se sistemska login.com procedura,
korisnik dobije $ prompt, a ima privilegije– Postavljeno da je account recover captive
• Korisnik otkuca puno slova u imenu fajla– Bude prekoračen bafer, greška, $ prompt– Tretiraju grešku u login.com proceduri
• Korisnik edituje neki svoj fajl– Tokom editovanja write sys$sysroot:login.com
– dobije poruku o greški…– Ali korisnik Recover ima pravo da to uradi!
21
ETF, 06. mart 2008.02:17:56 pre.
Sad ćemo ozbiljno…Sad ćemo ozbiljno…
• Program LIMIT kojim korisnik bira odnos prioriteta procesa i procesorskog vremena– LIMIT=1 – 3600 CPU sekundi, prioritet 1– LIMIT=5 – 60 CPU sekundi, prioritet 5
• Podprocesi– LIMIT=5– SPAWN– LIMIT=1– LOGOUT
22
ETF, 06. mart 2008.02:17:56 pre.
Igre bez granicaIgre bez granica
• LIMIT odbija da radi ako jestartovan u podprocesu– LIMIT=1– SPAWN– povratak u glavni proces, podproces aktivan– LIMIT=5– STOP /id=broj_podprocesa
23
ETF, 06. mart 2008.02:17:56 pre.
Sitni propusti ruše idejuSitni propusti ruše ideju
• Sistem u kome samo administratorima privilegije
• Operaterima ostavljen ograničeni shell (meni) iz koga pružaju usluge korisnicima– Imaju mogućnost da promene lozinku običnom
korisniku– Kako li radi ta procedura?
• $run sys$sysroot:[sysexe]authorise• modify $user /password=$pass
24
• Kad pita za lozinku otkucaš ‘xxx /priv=all’• Izvrši se modify $user /password=xxx /priv=all
ETF, 06. mart 2008.02:17:56 pre.
Problem u drugoj dimenzijiProblem u drugoj dimenziji
• Sistem u kome samo administratorima privilegije
• Operaterima ostavljen ograničeni shell (meni) iz koga pružaju usluge korisnicima
• Podignu sistem sa drugog diska, tako da postoji samo jedan korisnik koji ima privilegije
• MOUNT-uju standardni sistemski disk kao sekundarni i menja tamo šta želi
25
ETF, 06. mart 2008.02:17:56 pre.
ZaključakZaključak
• Na bezbednosti se mora stalno raditi• Sistemska bezbednosna rešenja imaju rupe,
ali će vaša rešenja imati još više rupa• Security by obscurity – loš koncept• Stalno proučavanje sistemskih dnevnika• Redovan backup podataka
• Sigurnost košta!
26
ETF, 06. mart 2008.
Socijalni inženjeringSocijalni inženjering
27
ETF, 06. mart 2008.02:17:56 pre.
Šta je socijalni inženjeringŠta je socijalni inženjering
• Manipulacija ljudima tako da daju neovlašćenom licu informacije ili urade nešto za njega– Ubeđivanje lažnim predstavljanjem
• Social Engineer – obmanjivač• Mogu se koristiti tehnička sredstva (računar,
telefon, faks…) ali ne nužno
28
ETF, 06. mart 2008.02:17:56 pre.
29
IzjaveIzjave
Samo su dve stvari bezgranične: univerzum i ljudska glupost.A za univerzum nisam baš siguran.
Albert Ajnštajn
ETF, 06. mart 2008.02:17:56 pre.
Neke od tehnikaNeke od tehnika
• Da vam pomognem?• Pomozite mi, molim vas!• Izgradnja poverenja• Iluzija sigurnosti
• Pretexting (izmišljeni scenario)• Phishing (“pecanje” informacija)• Trojanci i road apple• Quad pro quo (neko je tražio support)
30
ETF, 06. mart 2008.02:17:57 pre.
Najveća pljačka bankeNajveća pljačka banke
• Stanley Mark Rifkin – 1978• Security Pacific National Bank, LA• Rifkin radio kao konsultant pri projektovanju
backup sistema• Upoznao mehanizme rada banke
– Dnevna šifra– Službenici je pisali na papiriće
• Pozvao banku iz govornice i naredio transfer $10,200,000 u Švajcarsku
• Bez oružja, bez mnogo pripreme
31
ETF, 06. mart 2008.02:17:57 pre.
Na šta obratiti pažnjuNa šta obratiti pažnju
• Obuka službenika• (Ne)poverenje u kolege• Poznavanje kompanijske terminologije ne
znači da je u pitanju ovlašćena ličnost• Ako neko zna imena važnih ljudi, to još ne
znači da ti ljudi poznaju njega!• Obrnuto obmanjivanje – službenik naveden
da pozove obmanjivača
32
ETF, 06. mart 2008.02:17:57 pre.
Malo literatureMalo literature
• Michael O’Dea: Windows Security hack notes• Frank William Abagnale:Catch Me if You Can
(knjiga 1980, film 2002)• Tsutomu Shimomura & J. Markoff: Takedown
– the pursuit and capture of Kevin Mitnick, America’s most wanted computer outlow –by the man who did it (1996)
• Jonathan Littman: The Fugitive Game (1997)• Kevin Mitnick: The Art of Deception (2002)• Kevin Mitnick: The Art of Intrusion (2005)
33
ETF, 06. mart 2008.02:17:57 pre.
34
Hvala!Hvala!
www.ristanovic.com/etf-security.ppt