bezbednos t u it svetu

ETF, 06. mart 2008.

BezbednosBezbednostt u IT svetuu IT svetu

Dejan RistanovićPC Press

[email protected]

ETF, 06. mart 2008.02:17:55 pre.

Računar je mreža – svet je mrežaRačunar je mreža – svet je mreža

2

ETF, 06. mart 2008.02:17:55 pre.

Mit o sigurnom sistemuMit o sigurnom sistemu

• Bezbednost nije problemkoji se može rešiti…

• … bezbednost je proceskoji se konstantno razvija

• Potpuno siguran sistemna postoji

• Tehnologija sama za sebene može da obezbedi sigurnost

• Najslabija tačka svakog bezbednosnog sistema je čovek

3

ETF, 06. mart 2008.

Tehnički aspektiTehnički aspekti

4

ETF, 06. mart 2008.02:17:55 pre.

5

Šta treba zaštititi?Šta treba zaštititi?

• Zaštita na više nivoa– Na nivou protokola– Na nivou servisa– Na nivou aplikacije– Na nivou operativnog sistema

ETF, 06. mart 2008.02:17:55 pre.

6

Na nivou protokolaNa nivou protokola

• Paketni filteri na ruteru– Blokiranje kompletnog saobraćaja– Paketi prolaze ruter samo sa tačno navedenih adresa, na

navedene adrese i to za tačno navedene servise

access-list 100 deny ip 193.203.17.0 0.0.0.127 any logaccess-list 100 deny icmp any any redirect logaccess-list 100 permit icmp any host 193.203.17.1access-list 100 permit tcp any any establishedaccess-list 100 permit tcp any host 193.203.17.1 eq wwwaccess-list 100 permit tcp any host 193.203.17.1 eq identaccess-list 100 permit tcp any host 193.203.17.1 eq smtpaccess-list 100 permit udp any host 193.203.17.1 eq domainaccess-list 100 permit tcp any host 193.203.17.1 eq domainaccess-list 100 deny ip any any log

ETF, 06. mart 2008.02:17:56 pre.

Proksi ili translacija adresaProksi ili translacija adresa

• Radne stanica u mreži komuniciraju preko Proxy servera

• Onemogućena direktna komunikacija sa radnim stanicama unutar mreže

• Omogućeno korišćenje sigurnosnih mehanizama Proxy software-a

• Korišćenje privatnih IP adresa za sveradne stanice

• Javne IP adrese imaju samo Proxy server/Internet server i ruter

7

ETF, 06. mart 2008.02:17:56 pre.

Koncept privatnih adresaKoncept privatnih adresa

8

Ruter

Proxy

193.203.17.1

193.203.17.2

10.0.1.2

10.0.1.1

10.0.1.3

10.0.1.4

10.0.1.5

10.0.1.6

Filtriranjesaobraćaja

Javne adresePrivatne adrese

ETF, 06. mart 2008.02:17:56 pre.

Zaštita na nivou servisaZaštita na nivou servisa

• Svaka serverska aplikacija koja čeka konekciju za odgređeni servis (SMTP, HTTP) ima svoj sistem zaštite– Prihvata konekcije samo sa određenih adresa– Sistem autentikacije– Definisanje prava pristupa (read, write, exec...)– Pravi log korišćenja

• Wrapper aplikacije čekaju konekciju, proveravaju ko je sa “druge strane” i tek onda startuju serversku aplikaciju

9

ETF, 06. mart 2008.02:17:56 pre.

Zaštita na nivou aplikacijeZaštita na nivou aplikacije

• Osnova zaštite je internivišekorisnički sistem

• Svaki korisnik ima svoje• korisničko ime i lozinku• Za svakog korisnika su

definisana prava pristupa

10

ETF, 06. mart 2008.02:17:56 pre.

Kriptovanje podatakaKriptovanje podataka

• Na nivou protokola• Na nivou servisa• Na nivou aplikacije

11

qANQR1DBwU4D/xtpxytzBAMQCADdiUINDyK8NOfKq/7V3/PTaNeaqiMxKEDFVL+0ER+ppp/PtVGzzqkF2GXczB+JJJ0EgZn80xzDtlcFpOSe+Dqd9Q8n3LYdPQi/CZtchQM1RQXrGUob7e5xsZPHHXG1pxgi5RkN9d4XPqyM8hQCRrf25wzWGhfhUhky9x3EZ36QU2ILtshaWjdqVZPRF883fqJwKLXszFDg4CUrR9oSoD7Daqzvq/4kmmjWpiwXoQ8rzrsAQoBtqSclqOQe9uyIi9hws8rlnd1ZHx3sKLIPVQpeAvg3bnr7msFHQb3rOSDb21el9WOkwMQBI1PgOolVBKyLi1D3zo12MdI46FB0KwiGB/9sdQUlesaxUsEQJ0Qz1IOGhT9EGtYaqXGdxkj/sPDHb40cH4332gWf803PzEaOH8mdqNkVumWnoUrR

ETF, 06. mart 2008.02:17:56 pre.

Wireless mrežeWireless mreže

• Jeftino i masovno• Ogroman sigurnosni

problem• Autorizacija

– WPA-PSK

• Enkripcija– TKIP

12

ETF, 06. mart 2008.02:17:56 pre.

Virtuelne privatne mrežeVirtuelne privatne mreže

13

Tel

ewor

ker

ETF, 06. mart 2008.02:17:56 pre.


14

Fie

ldw

orke

r

ETF, 06. mart 2008.02:17:56 pre.


15

Sub

sidi

ary

ETF, 06. mart 2008.02:17:56 pre.

VPN: Prednosti i maneVPN: Prednosti i mane

• Utisak da se radi u jednoj mreži• Komunikacija je kriptovana• Automatski ih održavaju mrežni uređaji

• Teško se konfigurišu– Dešava se da administrator gasi sigurnosne

mehanizme jedan po jedan, dok VPN ne proradi

• On-line kriptovanje zahteva resurse– Dešava se da administrator oslabi kriptovanje

da bi dobio na performansama

16

ETF, 06. mart 2008.02:17:56 pre.

Scenario napada na mrežuScenario napada na mrežu

• Footprinting– Korišćenje javnih resursa za identifikaciju mreže

ciljne organizacije– DNS server kao bezbednosni problem

• Wardialing– Prema filmu War Games (1983)

• Port Scanning– Lista IP adresa servera i otvorenih portova

• Enumeration– Određuje se interna namena servera i bira meta

17

ETF, 06. mart 2008.02:17:56 pre.

Scenario napada na serverScenario napada na server

• Korišćenje bagova operativnog sistema– www.milw0rm.com

• Korišćenje grešaka u konfiguraciji– Kod novih operativnih sistema je po default-u

(praktično) sve isključeno

• Najslabije tačke Windows-a– NetBIOS / SMB Servisi (UDP 137, TCP 445, 139)– SQL Server (TCP 1433, UDP 1434)– Terminal Services / Remote Desktop (TCP 3389)

18

ETF, 06. mart 2008.

OriginalnaOriginalnasigurnosna rešenjasigurnosna rešenja

- par primera -- par primera -

19

ETF, 06. mart 2008.02:17:56 pre.

Propusti vašeg softveraPropusti vašeg softvera

• Cilj: ograničiti procesorsko vreme korisnika– Na nivou VMS-a proces ograničen na 60 s CPU– Korisnik ostane dugo u editoru – izgubi fajl

• Korisnik proba EDIT / RECOVER, ali to opet potroši 60 sekundi i korisnik opet izgubi fajl

• Korisnici stalno traže od operatera recover

– Automatizovati recover?• Naprave javnog korisnika recover• Korisnik recover ima forsiranu login.com proceduru u

kojoj pita korisnika za ime datoteke koju treba oporaviti i onda je oporavi

• Korisnik recover mora da čita i piše fajlove drugih korisnika, dakle potrebne su mu privilegije

20

ETF, 06. mart 2008.02:17:56 pre.

NadigravanjeNadigravanje

• RECOVER /NOCOM– Ne izvrši se sistemska login.com procedura,

korisnik dobije $ prompt, a ima privilegije– Postavljeno da je account recover captive

• Korisnik otkuca puno slova u imenu fajla– Bude prekoračen bafer, greška, $ prompt– Tretiraju grešku u login.com proceduri

• Korisnik edituje neki svoj fajl– Tokom editovanja write sys$sysroot:login.com

– dobije poruku o greški…– Ali korisnik Recover ima pravo da to uradi!

21

ETF, 06. mart 2008.02:17:56 pre.

Sad ćemo ozbiljno…Sad ćemo ozbiljno…

• Program LIMIT kojim korisnik bira odnos prioriteta procesa i procesorskog vremena– LIMIT=1 – 3600 CPU sekundi, prioritet 1– LIMIT=5 – 60 CPU sekundi, prioritet 5

• Podprocesi– LIMIT=5– SPAWN– LIMIT=1– LOGOUT

22

ETF, 06. mart 2008.02:17:56 pre.

Igre bez granicaIgre bez granica

• LIMIT odbija da radi ako jestartovan u podprocesu– LIMIT=1– SPAWN– povratak u glavni proces, podproces aktivan– LIMIT=5– STOP /id=broj_podprocesa

23

ETF, 06. mart 2008.02:17:56 pre.

Sitni propusti ruše idejuSitni propusti ruše ideju

• Sistem u kome samo administratorima privilegije

• Operaterima ostavljen ograničeni shell (meni) iz koga pružaju usluge korisnicima– Imaju mogućnost da promene lozinku običnom

korisniku– Kako li radi ta procedura?

• $run sys$sysroot:[sysexe]authorise• modify $user /password=$pass

24

• Kad pita za lozinku otkucaš ‘xxx /priv=all’• Izvrši se modify $user /password=xxx /priv=all

ETF, 06. mart 2008.02:17:56 pre.

Problem u drugoj dimenzijiProblem u drugoj dimenziji

• Sistem u kome samo administratorima privilegije

• Operaterima ostavljen ograničeni shell (meni) iz koga pružaju usluge korisnicima

• Podignu sistem sa drugog diska, tako da postoji samo jedan korisnik koji ima privilegije

• MOUNT-uju standardni sistemski disk kao sekundarni i menja tamo šta želi

25

ETF, 06. mart 2008.02:17:56 pre.

ZaključakZaključak

• Na bezbednosti se mora stalno raditi• Sistemska bezbednosna rešenja imaju rupe,

ali će vaša rešenja imati još više rupa• Security by obscurity – loš koncept• Stalno proučavanje sistemskih dnevnika• Redovan backup podataka

• Sigurnost košta!

26

ETF, 06. mart 2008.

Socijalni inženjeringSocijalni inženjering

27

ETF, 06. mart 2008.02:17:56 pre.

Šta je socijalni inženjeringŠta je socijalni inženjering

• Manipulacija ljudima tako da daju neovlašćenom licu informacije ili urade nešto za njega– Ubeđivanje lažnim predstavljanjem

• Social Engineer – obmanjivač• Mogu se koristiti tehnička sredstva (računar,

telefon, faks…) ali ne nužno

28

ETF, 06. mart 2008.02:17:56 pre.

29

IzjaveIzjave

Samo su dve stvari bezgranične: univerzum i ljudska glupost.A za univerzum nisam baš siguran.

Albert Ajnštajn

ETF, 06. mart 2008.02:17:56 pre.

Neke od tehnikaNeke od tehnika

• Da vam pomognem?• Pomozite mi, molim vas!• Izgradnja poverenja• Iluzija sigurnosti

• Pretexting (izmišljeni scenario)• Phishing (“pecanje” informacija)• Trojanci i road apple• Quad pro quo (neko je tražio support)

30

ETF, 06. mart 2008.02:17:57 pre.

Najveća pljačka bankeNajveća pljačka banke

• Stanley Mark Rifkin – 1978• Security Pacific National Bank, LA• Rifkin radio kao konsultant pri projektovanju

backup sistema• Upoznao mehanizme rada banke

– Dnevna šifra– Službenici je pisali na papiriće

• Pozvao banku iz govornice i naredio transfer $10,200,000 u Švajcarsku

• Bez oružja, bez mnogo pripreme

31

ETF, 06. mart 2008.02:17:57 pre.

Na šta obratiti pažnjuNa šta obratiti pažnju

• Obuka službenika• (Ne)poverenje u kolege• Poznavanje kompanijske terminologije ne

znači da je u pitanju ovlašćena ličnost• Ako neko zna imena važnih ljudi, to još ne

znači da ti ljudi poznaju njega!• Obrnuto obmanjivanje – službenik naveden

da pozove obmanjivača

32

ETF, 06. mart 2008.02:17:57 pre.

Malo literatureMalo literature

• Michael O’Dea: Windows Security hack notes• Frank William Abagnale:Catch Me if You Can

(knjiga 1980, film 2002)• Tsutomu Shimomura & J. Markoff: Takedown

– the pursuit and capture of Kevin Mitnick, America’s most wanted computer outlow –by the man who did it (1996)

• Jonathan Littman: The Fugitive Game (1997)• Kevin Mitnick: The Art of Deception (2002)• Kevin Mitnick: The Art of Intrusion (2005)

33

ETF, 06. mart 2008.02:17:57 pre.

34

Hvala!Hvala!

www.ristanovic.com/etf-security.ppt

bezbednos t u it svetu

Documents