1 / 66

Le armi di un hacker

Le armi di un hacker. Stefano Suin < stefano@unipi.it > Centro di Servizi per la rete di Ateneo Università di Pisa. Argomenti. Introduzione: Vulnerabilità delle reti IP Metodologie classiche di attacco Gli strumenti in dettaglio

azra
Download Presentation

Le armi di un hacker

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Le armi di un hacker Stefano Suin <stefano@unipi.it> Centro di Servizi per la rete di Ateneo Università di Pisa

  2. Argomenti • Introduzione: Vulnerabilità delle reti IP • Metodologie classiche di attacco • Gli strumenti in dettaglio • I fase: Recupero di informazioni sulla rete obiettivo dell’attacco • II fase: information gathering e identificazione dei componenti “trusted” della rete obiettivo • III Fase: attacco! • IV Fase: cancellazione delle tracce • V Fase: espansione dell’attacco • Teoria degli attacchi alle reti • Denial of service • Spoofing • Sniffing • highjaking • Documentazione / Statistiche

  3. Vulnerabilità delle reti IP

  4. Obiettivi • Reti corporative: funzionalità ed efficienza, ma non sicurezza • Concentrazione degli attacchi • Istituti finanziari e banche - frodi • Service Provider - customer database e intercettazioni • Pubbliche amministrazioni - sfida, frodi • Agenzie governative e della difesa - sfida, spionaggio • Aziende farmaceutiche - spionaggio • Aziende multinazionali - spionaggio • (fonte Network. Security Solutions ltd, http://www.ns2.co.uk)

  5. Vulnerabilità • Le caratteristiche intrinseche di Internet che rendono possibili la grande maggioranza degli attacchi all’esterno: il modello client-server e la tecnologia di trasmissione del tipo “commutazione di pacchetto”.

  6. Vulnerabilità delle reti: il modello client-server • Server : qualsiasi programma che offre un servizio utilizzabile tramite una rete. Un server accetta richieste che gli arrivano via rete, fornisce il servizio e restituisce il risultato al richiedente. Ogni server è associato ad una porta diversa. • Client : e’ un programma che invia una richiesta ad un server, esplicitando l’indirizzo destinatario e la porta associata al servizio, ed attende da questi una risposta.

  7. Il modello client-server Request (IP dest, server port) Server Client Response IP source, client port Elaborazione della richiesta

  8. Il modello client-server - 2 • Un server deve essere in grado di processare più richieste concorrenti (es. più file transfer) Generalmente la struttura di un server e’ quella in figura. Il master e’ incaricato di accettare le richieste svolgendo anche compiti di controllo sugli accessi. Accettata una richiesta si “ sdoppia “ ( fork di Unix ) generando uno slave che si occuperà di processare la richiesta. Il master nel frattempo si e’ rimesso in attesa. MASTER . . . Clients

  9. Client 1 Client 2 Client n Modello generale SMTP/ 25 . HTTP/ 80 . . FTP/ 21 Server host POP3/ 110 Server daemon

  10. Invio SYN ISN = x Ric. segmento SYN Invio SYN ISN=y ACK x+1 Ric. SYN+ACK Invio ACK y+1 Ric. segmento ACK Connection estabilishment protocol Connessione TCP fra client e server three-way handshake

  11. Sicurezza dei server • I server ricoprono un ruolo primario nella sicurezza delle reti. Una volta ottenuto un accesso non autorizzato a un server, il resto della rete è facilmente attaccabile.

  12. C C C C C D C R1 R2 A C B R3 D R4 C A D D D D B Vulnerabilità delle reti: la trasmissione a commutazione di pacchetto L'informazione è raggruppata in pacchetti.

  13. Commutazione di Circuito A C D B I commutatori creano dei circuiti punto-punto

  14. Commutazione di pacchetto • Trasmissioni contemporanee • Non c’è impegno di linea • Il cammino viene ricalcolato ogni volta dai computer reinstradatori [Router] (e quindi può seguire strade diverse • I ritardi sono un fattore normale, intrinseco in questa tecnologia di trasporto.

  15. Metodologie classiche di attacco alle reti informatiche

  16. Gli hacker • Maschio, età fra 16 e 25 anni, molti interessati a forzare le protezioni per aumentare il proprio skill o per poter disporre di ulteriori risorse di rete. Hanno molto tempo a disposizione e possono rendere i loro attacchi diluiti nel tempo e, soprattutto, persistenti, concentrando gli interventi nelle ore notturne o del fine settimana. • (fonte: Front Line Infornmation Security Team - FIST, dec. 98)

  17. Sniffers • Password Crackers • Scanners • Worms • Rootkit • Hijacking tools • DNS spoofing tools • Exploit Sendmail • Guess default pw-s • Social engineering • Spoofers • Killer packets • Backdoors • Trojan Horse • Flooding tool • Back Orifice • NFS config errors • portmapper/RPC • IP spoof r* cmds Le armi [Robert T. Morris At&T Laboratories]

  18. Servizi di una rete • Servizi generalmente attivi in una network classica • Web aziendale (in casa o in hosting dal proprio provider) • E.Mail per le comunicazioni globali • Rete locale per l’accesso ad Internet • Accesso remoto • DNS

  19. Attacchi dall’esterno • L’attacco dall’esterno rappresenta la parte difficile, una volta entrati, il resto della rete è facilmente prendibile

  20. Tipologia degli attacchi • Bisogna distinguere i problemi di insicurezza delle reti in due grandi classi: • 1) Debolezze strutturali del protocollo TCP/IP • 2) Mancanza di correttezza delle implementazioni dei programmi per la gestione dei servizi • Nella seconda classe si concentrano la maggioranza degli attacchi

  21. Profilo delle strategie tipiche • Azioni di scan della rete • Per individuare reti o porzioni di reti che possono essere vulnerabili agli attacchi • Per individuare i singoli host e le loro caratteristiche: sistema operativo, server running daemon, porte TCP aperte • Azione intrusiva • acquisizione dei diritti di super-utente (root) • Installazione di una backdoor • Patch al sistema operativo per nascondere le successive intrusioni

  22. Profilo delle strategie tipiche -2 • Azione protettiva • patch al sistema operativo per rendere inaccessibile il sistema ad altri hacker. (gli hacker sono i maggiori esperti di sicurezza!) • installazione di backdoor • Azione intercettiva • in base all’obiettivo: • Sniffer • password cracker • Back Orifice • ………...

  23. Metodologie di attacco: gli strumenti in dettaglio

  24. I fase: Recupero di informazioni sulla rete obiettivo dell’attacco • Visibilità esterna della rete. • Interrogazioni al nameserver • Web page • Ftp repository • Interrogazioni al sistema di posta • Interrogazioni alfinger • L’hacker ottiene una lista degli host e un piano delle relazioni esistenti fra questi

  25. Recupero informazioni sugli host • Sistema Operativo e release corrente del software installato • connessioni alle porte • programmi reperibili su internet • Es.: queso • rpcinfo,snmp,telnet,SendMail version, download binaries from the public-ftp (analyzing its format) • http://www.apostols.org/projectz/queso/

  26. Macchine definite “trusted” • Una macchina si definisce “trusted” quando, essendo considerata affidabile, gode diritti particolari di accesso, non autenticato, su altre macchine della rete • Generalmente si assegnano questi diritti a server o a macchine utilizzate per l’amministrazione allo scopo di agevolare le operazioni di manutenzione e di accesso ai servizi

  27. II fase: information gathering e identificazione dei componenti “trusted” della rete obiettivo • Macchine di amministrazione, server, router • Indentificazione delle vulnerabilità più semplici • spazio disco condivisibile (nsfd,netbios) lasciato senza controllo degli accessi • finger per identificare gli utenti che si collegano • più spesso • Form Web che permettono la modifica di file di sistema critici per l’accesso non autenticato alle macchine (hosts.allow / .rhosts)

  28. Identificazione delle vulnerabilità più complesse • Uso di strumenti per verificare i servizi attivi • Portscanning • Azione di scansione remota delle porte note per rilevare l’elenco dei servizi attivi su una certa macchina • si manda un pacchetto particolare “costringendo” la macchina target a una determinata risposta, da cui si possono trarre le informazioni del caso

  29. Identificazione delle vulnerabilità più complesse -2 • Uso di suite reperibili sulla rete per l’identificazione automatica della vulnerabilità e il reperimento del tool di attacco • Ricerca sui database di Internet • Keywords di ricerca piattaforma, servizio

  30. I tool più usati per la rilevazione automatica delle vulnerabilità • ADMhack • la guida completa per tutti i tipi di hacker • ftp://ADM.isp.at/ADM/ • Mscan • Nessuna home page: utilizzare un potente mezzo per il rintracciamento del software • http://ftpsearch.lycos.com/?form=medium • Nmap • l’arte del portscanning • http://www.dhp.com/~fyodor/nmap • Nessus http://www.nessus.org • Satan http://www.fish.com/~zen/satan/satan.html

  31. Azione degli strumenti di scan • TCP portscan di un host • Lista degli indirizzi IP e macchine associate • Dump dei servizi RCP • Lista delle directory esportate via nfs, samba o netbios • Richieste finger • Scan delle vulnerabilità CGI • Server X aperti • Identificazione delle vulnerabilità conosciute sui processi server, tipicamente Posta elettronica, Nameserver, IMAP, POP3, RPC, Http, Sistemi Operativi, Ftp, IRC

  32. Database per il reperimento delle vulnerabilità • Grande abbondanza di documentazione • Gli stessi siti orientati ad aumentare la sicurezza dei sistemi servono da repository di software per consentire il crack di sistemi telematici • Http://www.rootshell.com • Http://www.iss.net/xforce

  33. rootshell

  34. ISS

  35. Un caso particolare: SNMP • Attacco efficace perché rivolto a router e altre apparecchiature di connettività, sulle quali normalmente non gira alcun programma di sicurezza • Snmp attivato di default, community “public” per lettura, “private” lettura/scrittura • Snmp scan per individuare router e macchina attaccabili • Snmp consente di modificare topologia, protezioni, indirizzamento.

  36. III Fase: attacco! • Durante le ore di chiusura (l’attacco è normalmente rilevabile nel momento in cui è in corso) preferiti i trusted external host (mailserver e nameserver), che possono essere utilizzati da “ponte”, avendo accessibilità a brevi segmenti di rete interna • Viene sfruttata la porta di accesso rilevata, ed utilizzata per l’installazione di “backdoor” ovvero di porte nascoste per consentire un accesso non autorizzato e non rilevabile.

  37. Attacco! • Vengono modificati i comandi stessi del sistema operativo, soprattutto quelli che servono per l’accesso al sistema e per il controllo di processi ed utenti • stessa data, permessi e in molti casi anche lo stesso filesize • uso di rcp evitando l’ftp, normalmente tutto monitorato con log

  38. IV Fase: cancellazione delle tracce • pulizia dei log, cioè della “scatola nera di sistema” dove viene registrata tutta l’attività. (buona norma: invio ad una stampante...) • Installazione di RootKit, ovvero di software preconfezionati per la modifica di un sistema operativo. • Operazione rapida, di solito non rilevabile.

  39. V Fase: espansione dell’attacco • Dipende dal reale obiettivo: • installazione backdoor su altri sistemi • password cracker • back orifice per il controllo remoto dei sistemi • distruzione e cancellazione di files • network flooding e Denial of Service • reboot e altri “disabling of network ability”

  40. Sniffer • Software che consentono sofisticate intercettazioni di tutto il traffico dei dati sulla rete. • Producono un enorme mole di dati, ma le ultime versioni sono in grado di isolare le informazioni sensibili e i dati di interesse da tutto il resto.

  41. Uso degli sniffer • Output su file, che generalmente non sono rilevabili perché i vari “find,locate” sono stati backdoorati • Rilevabili invece i programmi in esecuzione perché le interfaccie di rete vengono settate in promiscous mode • http://www.cert.org/tools/cpm • tcpdump • ftp://ftp.ee.lbl.gov/tcpdump.tar.Z • ethereal • http://www.zing.org/ • ntop • http://www-serra.unipi.it/~ntop

  42. Back Orifice • Installazione di un server, trasmesso con qualsiasi applicazione “infetta” (mail, notepad, documento word…) • L’applicazione si attiva ad ogni accensione, mascherandosi, secondo le volontà dell’hacker. • L’applicazione non appare nella Windows Task list • Controllo completo della stazione attaccata con flusso di comandi criptato.

  43. Bo2K

  44. Bo2k

  45. NetBus • Tutto quello che fa Bo2K più... • Supporto per la connessione remota • Controllo periferiche • videocamere / Microfoni / tastiere • …..

  46. Rilevamento • Programmi rilevabili dalla rete: • Molti tool che si spacciano per rilevatori di BO, installano invece il virus • http://www.symantec.com • da una finestra DOS: netstat -an se il risultato è UDP 0.0.0.0:31337 *.* un server BO è in attesa di comandi dall’hacker • Prevenzione con anti-virus • http://www.mcafee.com • Legalità

  47. Teoria degli attacchi alle reti

  48. Interruzione (DoS) Modifica highjacking Fabbricazione (spoofing) Tipologie Intercettazione (sniffing)

  49. DoS (Denial of Service) • Ovvero le azioni finalizzate ad impedire il normale svolgimento di un servizio nella macchina che viene attaccata, Saturando le capacità di comunicazione che una organizzazione ha a disposizione • Quasi tutti i tipi di DoS non sfruttano dei bugs software ma piuttosto una caratteristica intrinseca del protocollo • SYN flooding

  50. SYN flood DoS attack! TCP port fully: ignoring further request to that service 2.SYN/ACK H2 H1 Unreachable Host 3.SYN(H2) SYN(H2) SYN(H2) SYN(H2) SYN(H2) SYN(H2) SYN(H2) 1.SYN(H2) Attacker router X

More Related