Bezpečná počítačová síť - People(dot)tuke(dot)sk

Transkript

BEZPEČNÁ POČÍTAČOVÁ SÍŤ
část 5, díl 8, kap. 1, str. 1
díl 8, Instant messaging a jeho bezpečnost v podnikových sítích
5/8
INSTANT MESSAGING
A JEHO BEZPEČNOST
V PODNIKOVÝCH SÍTÍCH
5/8.1
ÚVOD DO PROBLEMATIKY IM
Instant messaging (dále jen IM) poskytuje komunikaci
uživatelů v reálném čase a umožňuje jednoduchou
spolupráci - podobně jako je to u e-mailové komunikace. Na rozdíl od e-mailové komunikace však poskytuje uživatelům informaci o dostupnosti druhé
strany. Většina IM systémů dovoluje uživatelům nastavit status jejich dostupnosti (dostupný, vzdálen, zaneprázdněn, nerušit atd.). Z tohoto důvodu považují
mnozí uživatele IM tuto komunikaci za méně rušivou
v porovnaní s běžnou komunikací přes telefon.
Hlavní důvody
používání
IM umožňuje okamžitou komunikaci mezi množstvím
uživatelů součastně, tedy rychlé a efektivní přenášení
informací. V mnoha případech IM umožňuje uživatelům doplňkovou funkcionalitu, která poskytuje možnost vidět druhou stranu přes webové kamery anebo
s ní mluvit bez poplatku za telefon přes internet. Některé IM systémy umožňují posílaní zpráv i uživatelům, kteří nejsou aktuálně přihlášeni do sítě (offline
Doplňková
funkcionalita IM
kvûten 2008
messages), a odstraňují tím tak většinu rozdílů mezi
IM a běžnou e-mailovou komunikací. Offline lze používat často i pro hlasové zprávy, čímž je pokryta funkce
hlasové schránky atd.
Lze také ukládat písemnou IM konverzaci pro její další
použití. IM zprávy jsou typicky zaznamenávány do
tzv. lokální historie zpráv, což odstraňuje zásadní rozdíl mezi tzv. trvalým typem komunikace, jakou je elektronická pošta. IM tak usnadňuje výměnu informací,
jako jsou URL odkazy nebo části dokumentů, které
mohou být jen těžkopádně předávány přes telefon.
Historie
Instant messaging ve skutečnosti časově předchází
vznik internetu. Poprvé se objevil na více uživatelských systémech CTTS a Multics v polovině 60. let.
Byl zde používán jako notifikační systém pro služby,
jako jsou tisky, ale rychle se ujal i pro komunikaci dalších uživatelů přihlášených do systému.
Moderní a rozšířené grafické IM systémy, resp. klienti, jak je známe dnes, se začaly rozšiřovat v polovině
90. let s příchodem ICQ (1996) a vzápětí AOL Instant
Messenger (1997). AOL později koupil společnost Mirabilis - objevitele ICQ. Mezitím ostatní společnosti
začaly vývoj svých vlastních IM systémů (MSN, Exite
a Yahoo), každý s jejich vlastním proprietálním protokolem a klientem. Uživatelé tedy museli používat vícero klientů současně, jestliže chtěli komunikovat
v rámci těchto sítí.
V roce 2000 vychází první open source aplikace a open
standard protokol nazvaný Jabber. Jabber server může
fungovat jako brána pro ostatní IM protokoly, čímž se
rapidně snížila potřeba používat vícero klientů současně. Moderní víceprotokoloví IM klienti, jako jsou
Pidgin, Trillian, Audium a Miranda, umožňují připo-
kvûten 2008
jení prakticky kterékoliv IM sítě přímo, bez potřeby
speciální brány.
V součastné době začaly mnohé IM systémy rozšiřovat své služby o video konference, přenos hlasu po IP
síti (VoIP) nebo webové konferenční služby integrující video konferenci a IM. Některé nové IM společnosti začaly poskytovat i další rozšiřující možnosti,
jako je sdílení pracovní plochy, IP rádio a IPTV, hlasový nebo video vzkaz.
IM systémy jsou zpravidla sítě typu peer-to-peer doplněné o centrální bod, který zajišťuje autentizaci uživatelů, a o seznam peer-ů. Tento seznam může být uložený také centrálně nebo může být rozdělený mezi více
uzlů či peer-ů. Některé systémy využívají další servery. Směrem k uživatelům komunikují IM systémy
pomocí klientských programů, mezi klientskými programy probíhá komunikace pomocí definovaných protokolů. Klientské programy jsou řešeny zpravidla proprietálně, v některých případech existují jejich klony
vzniklé na základě reverzního inženýrství používaných protokolů.1
Architektura
systémů IM
V minulosti proběhlo několik pokusů o vytvoření sjednoceného standardního protokolu pro Instant Messaging: IETF SIP (Session Initiation Protocol)
a SIMPLE (SIP for Instant Messaging and Presence
Leveraging Extensions), APEX (Application Exchange), Prim (Presence and Instant Messaging Protocol), otevřený XML standart XMMP (Extensible
Messaging and Presence Protocol), více známy jako
Jabber a OMA (Open Mobile Alliance) IMPS (Instant
Messaging and Presence Service), vytvořené speciálně pro mobilní zařízení.
Interoperabilita
mezi protokoly
1
Např. ICQ.
kvûten 2008
Většina pokusů o vytvoření sjednoceného standardního protokolu pro hlavní IM poskytovatele (AOL, Yahoo a Microsoft) byla přerušena a každý pak pokračoval v používaní svého vlastního protokolu. Jakkoliv
byly další diskuse na IETF pozastaveny, Reuters a David Gurle (Microsoft) informovali odbornou veřejnost
o podepsané první smlouvě o poskytování komunikace
vnitřních služeb v roce 2003. Tato historicky první dohoda umožnila uživatelům AIM, ICQ a MSN Messenger za poplatek komunikovat s Reuters IM systémem a obráceně. Následně vznikla dohoda mezi
sítěmi Microsoft, Yahoo, AOL a na trh přišel Microsoft Live Communication Server 2005, který uživatelům umožňuje komunikovat také s veřejnými IM uživateli.2 Od této doby je možná vzájemná konektivita
nejvíce používaných IM protokolů na trhu.
Enterprise Instant
Messaging
V souvislosti s nárůstem poptávky komerčního využití IM a potřebou zaručit bezpečnost a soulad s externími požadavky vznikl nový typ IM nazvaný „Enterprise Instant Messaging“ (EIM).
EIM lze datovat do roku 1998, kdy Lotus Software vydal IBM Lotus Sametime. Microsoft tento model následoval s Microsoft Exchange Instant Messaging, později vytvořením nové platformy nazvané Microsoft
Office Live Communication Server a vydáním Office
Communications Server 2007. Obě společnosti představily federaci mezi jejich interními EIM systémy
a jejich kontakty na AOL, MSN a Yahoo. Aktuálně
jsou hlavními EIM platformami IBM Lotus Sametime, Microsoft Office Communications Server
a jako open source zástupce Jabber XCP.3 Dále exi2
3
kvûten 2008
Veřejný je definován jako „mimo enterprise systém“.
http://www.jabber.com/CE/JabberXCPFeatures
stují průmyslově zaměřené EIM platformy, jako jsou
IMtrader od Pivot Incorporated, Reuters Messaging
a Bloomberg Messaging (rozšíření IM pro finanční
služby).
kvûten 2008
kvûten 2008
5/8.2
BEZPEČNOSTNÍ RIZIKA IM
Instant Messaging pokračuje v trendu nejrychleji se
rozvíjejícího komunikačního prostředku s přibližně
390 miliony zákazníků a enterprise IM uživatelů koncem roku 2006.4 Globální služby jako jsou AOL IM,
MSN Messenger a Yahoo Messenger reportují každý
přes 1 bilion zpráv poslaných za den. Očekává se, že
IM síťový provoz předběhne i e-mailovou komunikaci.
Jako jedna z nejúspěšnějších a nejrozšířenějších aplikací na internetu se IM stává cílem a prostředkem pro
propagaci nových IM virů, červů, SPIMů (SPAM pro
IM), malware a phishing útoků. Přes své vysoké rozšíření zůstává IM prakticky nechráněn a nemonitorován. To vystavuje enterprise prostředí mnoha útokům
a pokusům o zneužití. Narůstající trend těchto útoků
v průběhu posledních tří let zvýšil potřebu ochrany pro
4
Symantec white paper - enterprise security 2006.
kvûten 2008
IM a peer to peer aplikace. Organizace všech typů
by se měly chránit před riziky plynoucími z používání neřízeného IM jejich zaměstnanci.
Obecná rizika
kvûten 2008
Použití IM, stejně jako jiné IT služby, přináší kromě
užitku a dále uvedených specifických rizik běžná rizika, která musí být pokryta. Zejména když se jedná
o službu provozovanou v enterprise IT prostředí. Dále
je uveden základní výčet obvyklých bezpečnostních
požadavků, jejichž nedodržení by mohlo představovat
bezpečnostní riziko:
• zajištění důvěrnosti dat - veškerá klíčová komunikace musí být šifrována, počínaje vlastním přihlašováním a konče přenosem hlasu nebo dat, aby bylo
zabráněno možnému odposlechu (sniffing),
• zajištění integrity dat - přenášená data musí být
odolná vůči neautorizovaným změnám (tampering),
aby se uživatel mohl spolehnout na obsah zprávy
(dat),
• zajištění dostupnosti služby - pakliže se jedná
o službu podporující business požadavky, měla by
být zajištěna její dostatečná dostupnost pro autorizované uživatele,
• řízení přístupu - měl by existovat přehled uživatelů
používajících tuto službu,
• řízení služby - mělo by být možné řídit konfiguraci
/nastavení na straně serveru i klienta, aby si klient
svévolně nemohl některé nastavení změnit (např. požadavky na logování),
• kontrola obsahu - především z důvodu snížení hrozby
úniku citlivých informací by měla být na tuto službu
vztažena podobná pravidla jako např. na e-mail,
• popření akce v případě nedostatečného logování
- veškeré akce - chat, přenos souborů i navázaná hlasová komunikace, musí být logovány, aby byla
zpětně dohledatelná činnost jednotlivých uživatelů;
logy musí být chráněny před svým smazáním nebo
modifikací,
• podvržení identity (spoofing) - zadávání uživatelských účtů, jak interních, tak externích, by mělo být
řízeno; měly by být rozlišovány účty interních uživatelů od externích; komunikace od neznámých uživatelů by neměla být přijata,
• zvýšení oprávnění - (elevation of priviledge) - měly
by být používány poslední dostupné verze klientských i serverových částí řešení, které obsahují
opravy všech známých bezpečnostních chyb; v případě přetrvávání neopravené chyby by měla být přijata dočasná řešení (workaround),
• soulad s bezpečnostní politikou a legislativní požadavky.
Jakkoli IM přináší množství výhod, přináší také specifická rizika. Za nejvážnější lze považovat zejména
tyto:
• prostředek pro šíření spyware, virů, trojských koní,
a jiného škodlivého kódu,
• únik intelektuálního vlastnictví díky nedostatečným
kontrolám,
• SPIM (SPAM v IM).
Specifická rizika
IM
Útočníci používají sítě IM na doručení zlomyslného
kódu prakticky od jeho vzniku až do současnosti.
Jedná se buď o plošné útoky, kde je cílem nakazit co
nejvíce možných obětí, poslední dobou však narůstají
individuální útoky, které mají za cílí penetraci konkrétního uživatele, organizace nebo společnosti. Útokům nahrává i boj jednotlivých výrobců IM o přetažení co nejvíce zákazníků tím, že jim nabídnou více
funkcí při co nejnižších nárocích na ovládání. To vede
k tvorbě IM systémů provázaných s hostitelským
systémem, které se snaží pracovat za uživatele, což je
ideální cíl pro různé útoky.
kvûten 2008
Metody pro
doručování
škodlivého kódu
Metody pro doručení zlomyslného kódu jsou podobné
jako u jiných komunikačních kanálů. Buď se jedná
o doručení virů nebo jiného škodlivého kódu pomocí
infikovaného souboru, nebo je použito technik sociálního inženýrství, kde pomocí vhodně zvoleného textu
a URL odkazu útočníci navádějí uživatele ke spuštění
škodlivého kódu přímo z web serveru. Škodlivý kód
se pak propaguje přes uživatelův seznam kontaktů.
Efektivitu útoku zvyšuje fakt, že každá osoba v kontaktech obdrží URL od „důvěrného zdroje“. Výsledek
nakažení se pohybuje od obtěžování až po kriminalitu,
tedy např. instalace nevyžádaných reklam, instalace
„key loger“, získání uložených hesel, instalace klasického rootkitu, využití počítače jako proxy, součást botnetu a mnoho dalších. Samozřejmě platí, že se sofistikovanost útoků neustále zvyšuje.
Vedle nebezpečí nakažení škodlivým kódem přináší
používání IM v zaměstnání také rizika neshody právních a státních regulací pro používaní elektronické komunikace v komerční sféře. Jedná se zejména o různá
právních a regulační nařízení v souvislosti s elektronickou komunikací a uchovávaním záznamů.
V následujících kapitolách jsou zmíněny výňatky ze
studií, pocházejících z předních světových zdrojů, jak
nezávislých, tak komerčních, zabývajících se analýzou informační bezpečnosti.
SANS TOP 20
bezpečnostních
rizik 2007
kvûten 2008
SANS - www.sans.org - (SysAdmin, Audit, Network,
Security) - SANS institut patří k nejznámějším a nejdůvěryhodnějším zdrojům v oblasti informační bezpečnosti od roku 1989. Vyvíjí, udržuje a veřejně zpřístupňuje mnoho bezpečnostních studií. Jednou
z nejvíce sledovaných a pravidelných studií je SANS
TOP 20 Internet Security Risks za každý rok. Za rok
2007 byla identifikována dvě nová velmi vážná rizika
- snadno oklamaní a důvěřiví uživatelé a na zakázku
psané aplikace, zejména webové. Proti těmto novým
rizikům se lze mnohem hůře chránit - je vyžadován
velký důraz na neustálý monitoring a udržování souladu s politikami, bez výjimek a s reálnými sankcemi
za jejich porušení.
SANS v roce 2007 označuje za hlavní aplikace, které
vedou ke kompromitaci klientských stanic a serverů,
úniku citlivých dat, zneužívání enterprise systémů
nebo k různým ilegálním aktivitám a jsou velmi oblíbené u uživatelů tyto:
• Instant messaging,
• Peer - to peer programy.
Server Network World patří rovněž mezi známé a důvěryhodné poskytovatele informací z oblasti IT a IT
bezpečnosti. I když je tento přehled TOP 5 chyb z roku
2004, je stále platný a použitelný a odráží názor většího množství expertů.
Top 5 IM
bezpečnostních
rizik dle Network
World
Viry a další škodlivý kód přes IM
Z 50 virů jiného škodlivého kódu za posledních 6 měsíců,5 bylo 19 použitých pro šíření přes peer to peer
nebo IM aplikace. Většinou byl pro napadení použit
přenos souborů, který obchází běžné bezpečnostní
brány a antivirovou ochranu. Kromě přenosu souborů
byly a jsou pro veřejné IM klienty publikovány konkrétní bezpečnostní zranitelnosti jako buffer overflow.
Tyto chyby jsou také běžně používány pro šíření škodlivého kódu nebo další útoky, jako je DoS.
5
Údaj z roku 2004, v současnosti jsou kanály IM a peer-to-peer jedny z nejčastějších způsobů doručení škodlivého kódu.
kvûten 2008
Přehled, jak četný je dnes výskyt virů a jiného škodlivého softwaru, který využívá IM, je možné nalézt na
stránkách různých bezpečnostních center, z nichž některé uvádíme.
Live News IM Security Center (http://www.lnimsecuritycenter.blogspot.com/).
Akonix IM security center
(http://www.akonix.com/im-security-center/).
Tunelování firewall
IM klienti se pro zajištění vlastního fungování pokouší
často najít způsob, jak tunelovat svůj provoz skrze bezpečností perimetr sítě (firewall). Většina IM služeb
publikuje známé porty (5190 AOL, 1863 MSN, 5050
Yahoo), ale IM klienti mohou použít jiný libovolný
port, který je využíván jinými aplikacemi (jako port
80 pro HTTP provoz). Někteří IM klienti se mohou
připojit přes peer to peer spojení nebo navazovat spojení přes náhodně generované porty. Kromě toho v případě kompromitace zařízení přes IM mohou dále rootkity tunelovat svůj provoz v libovolných protokolech,
od IM samotného přes HTTP, DNS a další. Tím se jejich detekce stává obtížnější.
Únik citlivých dat
Nemonitorovaný obsah opouští enterprise sítě a představuje zákonná i konkurenční rizika. Vše se děje většinou bez auditních záznamů a není známa historie
této komunikace. Přenos souborů přes IM je často ve
srovnání s e-mailovou komunikací neřízený a nekontrolovatelný. Absence obsahového filtrování a archivace vytváří pro IT i bezpečnostní oddělení problém
detekce potencionálního porušování bezpečnostní politiky společnosti.
kvûten 2008
Široký přístup do systému pro ne zcela testovaný
SW
IM klient má široký přístup k počítači uživatele, na
kterém běží. Je to podobná situace jako v případě webových prohlížečů, ale na rozdíl od webových prohlížečů je IM klientů mnohem větší množství, vyskytují
se ve více verzích, komunikují více protokoly a nepodléhají stejnému systému testování jako webové
prohlížeče, neboť neexistuje dostatečný tlak z enterprise prostředí nebo bezpečnostních expertů a organizací. Relativně často se lze setkat s pohledem, že se
stále nejedná o seriózní komunikační kanál vhodný
pro enterprise systémy, ale spíše o prostředek komunikace mladší generace („náctiletých“).
SPIM
V poslední době narůstá poměr SPIM (Instant Messaging SPAM) vůči celkové komunikaci. Zatím hovoří odhady a provedená měření o 10 - 15 %. SPIM může být
více rušivý než e-mail SPAM (Pop-up okno vyruší uživatele). Obsah je podobný jako u běžného SPAM (sexuálně orientované zprávy, nelegální software, léky atd.). Riziko je aktuální převážně v případech, kdy mají anonymní
uživatelé povoleno kontaktovat cílového uživatele.
Top 5 IM
Společnost Symantec patří mezi nejvýznamnější hráče
v oblasti informační bezpečnosti. Níže uvedené infor- bezpečnostních rizik
dle Symantecu
mace pocházejí ze zprávy „White paper - enterprise
(2006), trendy
security“, která je věnována převážně problematice
IM. Symantec definoval pět hlavních bezpečnostních
rizik ve formě hlavních trendů.
Součinnost a pokračující osvojování IM služeb
zvýší celkový počet IM hrozeb
Počet IM hrozeb narostl v roce 2005 o 1 693 % na
více než 2 400 známých IM hrozeb. Hlavními akcelekvûten 2008
rátory tohoto procesu jsou dva významní noví6 hráči,
a to Google Talk a Skype. Dalším významným prvkem je rozšiřující se počet IM serverů v enterprise sítích, jako např. Microsoft Office Live Communications Server, a zvyšující se interoperabilita mezi
jednotlivými poskytovateli.
Rozšiřující IM funkcionalita zvyšuje počet možných vektorů útoků
Nové verze IM klientů budou směrovat k osvojení dalších plnohodnotných real-time komunikačních služeb,
jako jsou VoIP a virtuální konference. Tyto služby poskytnou nové možnosti pro stále sofistikovanější
útoky.
Víc sofistikovaných a „inteligentních“ wormů zvýší
počet napadení
Tvůrci IM útoků se stávají chytřejší, co se týče propagace a doručení svého škodlivého kódu. Útočníci se
učí z e-mailových hrozeb a inovují je. Jednou z posledních inovací je např. mluvící worm, který imituje
IM uživatele použitím dialogu a demonstruje kreativnost dnešních tvůrců využívajících aspektu sociálního
inženýrství pro zvýšení jejich „click ratingu“. Kreativita útoků se projevuje také v jejich vícejazyčnosti.
Cílem těchto útoků je navíc oproti svým předchůdcům
šíření z jedné sítě do druhé a především přecházení
z veřejných IM sítí na vnitřní enterprise IM servery.
Maskování útoků probíhá za pomoci běžných technik,
jako rootkity.
IM bude přitahovat pozornost organizovaného zločinu.
6
kvûten 2008
Vztaženo k roku 2006.
Se vzrůstající úrovní technik a vysokou efektivitu se
IM bude stávat stále oblíbenější u organizovaného zločinu, nebude se jednat pouze o běžné spíše „zvědavé“
hackery. Zatím stále převládají finanční ztráty (ukradené přístupové kódy k internet/home banking, pokusy o „phissing“ a další), ale předpokládá se nárůst
škod způsobených únikem citlivých informací
(osobní, obchodní, státní a jiné).
Interní hrozby a úniky duševního vlastnictví zvýší
finanční ztráty
V předchozích letech se ochrana zaměřovala především na pokrytí externích hrozeb. V současné době se
ukazuje, že více rizik je a bude spojeno se zneužíváním firemních IT prostředků interními zaměstnanci.
Dle Symantecu cca 30 procent uživatelů IM realizuje
výměnu souborů s externími stranami. Hlavními důvody tohoto jednání jsou především:
• omezení velikosti souborů implementovaných v poštovních systémech,
• kontroly obsahu přes e-mail,
• zaměstnanci nechtějí žádný záznam o realizovaném
přenosu.
Specifická rizika IM - Skype
Skype představuje jednu s nejvíce kontroverzních aplikací IM, která je v současnosti dostupná. Hlavní třecí
plochy jsou zejména mezi běžnými uživateli a IT specialisty (nezávislí experti, IT a bezpečnostní oddělení,
CSO a další).
Skype - milovaný
i nenáviděný
Už od počátku IM na něj pohlíželi někteří správci s nedůvěrou a snažili se provoz IM kontrolovat a omezovat. Tento stav trval nějakou dobu, než vznikl Skype.
Skype - IM systém, který je maximálně jednoduchý
na obsluhu, používá a pravděpodobně průběžně doplkvûten 2008
ňuje všechny techniky používané počítačovými hackery pro překonání a obcházení bezpečnostních opatření stanovených správci IT. Obcházení kontroly
v prostředí počítačových sítí doplňuje silná vazba na
nízkoúrovňové prostředky OS, která umožňuje Skype
chránit i před kontrolami, které by mohli provádět
správci počítačů. Pouze „dobrý úmysl“ odlišuje Skype
od ideálního trojského koně.
Proto zde uvádíme detailnější informace o vlastnostech a především rizicích plynoucích z využívání
Skype.
Skype v kostce
kvûten 2008
• Nástroj na IP telefonii.
• Publikovaný roku 2003.
• Projektový potomek Kaazy, vytvořený stejnými autory.
• Používá stejný engine (i Kaazu lze použít na skypování).
• IP telefonie zadarmo.
• Spojení do pevných sítí s nízkými náklady.
• Vystačí si 32 kb/s (implementace efektivních audio
a video kodeků).
• Velmi rapidní nárůst počtu uživatelů.
• Momentálně ve vlastnictví eBay.
O
Síť Skype se skládá s login serveru, dále tzv. super
uzlů, které obsahují důležitá data pro řízení komunikace v síti Skype a klientských počítačů. Jakýkoliv
uzel, který není za NAT, má dost paměti, CPU a síťové konektivity, může být povýšen na super uzel bez
svého vědomí.
Architektura
Skype
Názory uživatelů Skype v kostce (převzaté z různých
konferencí a osobní zkušenosti):
• Skype je zadarmo, zahrnuje velikou komunitu uživatelů.
• Instalace je extrémně jednoduchá.
• Skype funguje spolehlivě i na modemovém spojení.
• Panuje bezmezná důvěra v Skype a jeho kryptografii.
• Uživatelé se nebojí zneužití svého PC, útočník by si
jistě vybral lepší.
• Zatím nikdo nedokázal, že Skype lze zneužít.
Přitažlivost Skype
kvûten 2008
• „O nic vlastně nejde, maximálně pošlu někomu pár
bajtů“.
Negativní stránky
Skype
kvûten 2008
Názory kritiků Skype:
• Program Skype je 12 MB nečitelných instrukcí.
• Samotná ochrana proti čtení kódu je důkladná, detekují se různé pokusy o debugování programu - jednání velmi podezřelé i u „closed source“ programů.
• V kódu Skype nelze hledat malware (kvůli šifrování
a úmyslné nečitelnosti).
• Skype maskuje systémové funkce, které volá (část
má staticky linkovanou, část volá dynamicky).
• Zneužitím Skype by bylo možné získat velmi účinný
backdoor.
• Protokol je proprietální a záměrně znepřehledněn i „close source“ programy v současnosti zveřejňují
své protokoly - je tím zvýšena kontrola celkového
řešení a přitom zachována ochrana duševního vlastnictví.
• Skype komunikuje, i když uživatel neprovádí žádnou cílenou akci.
• Nelze rozpoznat ani pomocí analýzy komunikace
zdravé Skype od Skype napadeného jakýmkoliv
škodlivým kódem.
• Skype automaticky důvěřuje starým proxy přihlašovacím údajům (credentials).
• Skype lze jen obtížně selektivně filtrovat na firewallu, IDS nereagují dost přesně.
• Bez přesné detekce nelze provádět další síťová opatření jako řízení šířky pásma nebo priority komunikace.
• Skype, i když není v „open source“ komunitě, je zadarmo. Zpoplatněny jsou pouze některé doplňkové služby,
např. volání do pevných sítí. Tato cenová politika je
podezřelá, navíc Skype zatím hlásí obchodní ztráty.
• Nelze prosadit žádnou bezpečnostní politiku organizace.
• Je Skype backdoor?
• Jak lze rozpoznat datové toky Skype od toků narušitele?
• Lze účinně blokovat datové toky Skype?
• Ohrožuje Skype mé důvěrné prostředí a důvěrné informace?
Vyvstávající
otázky Skype?
• Skype se distribuuje v binární podobě pro Windows,
Linux, MacOS-X a mobilní zařízení vybavená Windows CE.
• Skype používá ochranné mechanismy proti dekódování a debugování programu, aby člověk ani antivirový program nemohl kontrolovat, co zrovna dělá.
• Skype při spuštění striktně kontroluje integritu svého
kódu.
• Téměř veškerá komunikace Skype je kryptovaná
nebo znepřehledněná.
• Skype komunikuje pomocí TCP, může-li i UDP,
kromě toho využívá ICMP. Skype nemůže pracovat
bez TCP, obejde se však bez UDP komunikace.
• Společnost Skype neposkytuje popis komunikačního
protokolu.
Technický popis
Skype
• Skype používá AES 256 pro šifrování přenášených
dat.
• Pro negociaci symetrických klíčů užívá Skype RSA
1024.
• Veřejný klíč uživatele vytvářený během loginu je podepsán RSA 1536 nebo 2048 na logovacím serveru.
Šifrování v Skype
• Binární kód programu je po částech rozbalován do
paměti před spuštěním patřičné části.
• Tím se zabraňuje možnosti disasemblace (přečtení)
kódu.
• Skype se snaží vícenásobně detekovat přítomnost debugerů v paměti.
Znepřehlednění
kódu Skype
kvûten 2008
• Má-li podezření, že je debugován, neočekávaně se
ukončí.
• Skype složitě kontroluje checksumy svého kódu.
• Skype hlídá odhadovaný čas provádění částí kódu,
v případě nesrovnalosti se neočekávaně ukončí.
• Celý kód je podepsán RSA a tím chráněn proti modifikaci nebo analýze pomocí debugeru.
Obcházení
firewallů a NAT
• Každý Skype uzel pravděpodobně používá obdobu
STUN a TURN protokolu ke zjištění, je-li za NAT
či nikoliv.
• Každý uzel si volí nějaké super uzly jako STUN servery, neexistuje globální STUN server.
• Skype prochází přes UDP restriktivní firewally TCP
spojeními.
• Skype se snaží obsadit porty 80 a 443, aby zvýšila
naděje na průchod TCP firewallem.
• Skype poslouchá na TCP i UDP Skype portu (default náhodný).
• Tento port lze uživatelsky konfigurovat.
• Jsou-li volné a je-li Skype oprávněno, obsadí i TCP
80 a 443 (http, https).
• Otevírá i další UDP porty.
Teoretické
možností zneužití
Skype externí
entitou
• Vytvoření vlastní VPN komunikující Skype protokolem, parazitující na síti Skype.
• Více nezávislých expertů udává blízký horizont realizace této techniky.
• Zjištění hesel ostatních uživatelů.
• Přestože se uživatelé Skype logují proti jedinému
login serveru, činí tak často prostřednictvím některého superuzlu.
• Superuzlem se může stát libovolná stanice, která
není za NATem, hlasováním.
• Skype používá globální autentizaci.
kvûten 2008
• Uživatelé často používají jedno heslo pro všechny
aplikace.
• Odposlech.
• Hypotetická záležitost, bez podrobného prozkoumání kódu nelze určit, zda a jak lze zařídit odposlech třetí stranou.
• Je velmi pravděpodobné, že autoři jsou schopni
tuto funkčnost získat.
• Stažení a následné spuštění libovolného kódu.
• Reálně vyzkoušeno.
• Skype může být plně pod kontrolou každého, kdo
„hovoří řečí Skype“.
• Může se tak jednat o jeden z nejvíce rozšířených
backdoorů.
Technický návrh detekce a blokace nepovolených
IM protokolů v prostředí podnikových sítí
Tento technický návrh se týká pouze produktu Skype.
Ostatní produkty a protokoly IM také využívají různé
techniky pro překonání firewallů nebo NAT, většinou
však ne ve stejné míře a jejich blokování není tak technicky náročný problém.
Možnosti zneužití
Skype interním
útočníkem
(se znalostí
kódu Skype)
Díky všem technikám popsaným v předchozí části je
Skype velmi obtížné 100% blokovat. Uvedené návrhy
jsou poplatné datu vzniku a je možné, že budou dalším vývojem Skype opět překonány a bude nutné hledat další možnosti.
Je nutné poznamenat, že i když jsou dále uvedeny
různé postupy blokace vybraného IM řešení, v tomto
případě Skype, jedná se pouze o popis technických
možností, ne o jednoznačně doporučený postup, kterým se musí každý řídit.
kvûten 2008
Blokace klíčových
super uzlů
Blokace na statefull firewallu
Toto řešení je vhodné pouze pro nově nainstalované
klienty, nesmí dojít k jinému kontaktu s jinou sítí, jinak je aktualizována tabulka „hosts“ a klient dokáže
začít komunikovat s jinými super uzly a tunelovat požadovaný provoz přes ně.
Blokace IP centrálních login serverů (adresy se mohou měnit)
• 80.160.91.11,
• (212.72.49.141) - nepotvrzeno více zdroji,
• (195.215.8.141) - nepotvrzeno více zdroji.
Blokace IP centrálního „buddy“ seznamu
• 195.215.8.142.
Blokace IP 7 klíčových super uzlů, jejichž IP je zahrnuto ve zdrojovém kódu aplikace (bootstrap)
• 66.235.180.9:33033 sls-cb10p6.dca2.superb.net,
• 66.235.181.9:33033 ip9.181.susc.suscom.net,
• 80.161.91.25:33033 0x50a15b19.boanxx15.adsldhcp.tele.dk,
• 80.160.91.12:33033 0x50a15b0c.albnxx9.adsldhcp.tele.dk,
• 64.246.49.60:33033 rs-64-246-49-60.ev1.net,
• 64.246.49.61:33033 rs-64-246-49-61.ev1.net,
• 64.246.48.23:33033 ns2.ev1.net.
Blokace IP adresy serveru ui.skype.com, kde se při
startu kontroluje dostupnost aktualizací
• 212.72.49.131 ui.skype.comm
„Harvesting“
a následná
blokace všech
dostupných
super uzlů
kvûten 2008
Seznam dalších super uzlů je možné získávat z tabulky
hostů, která je uložena v souboru „shared.xml“. To se
netýká případu, kdy je daný počítač zvolen (nemůže
si vybírat) jako super uzel. V tomto případě jsou informace o hostech uloženy v registrech.
Návrh „Harvester“ řešení:
• Skype klient (použitelná verze, např. 2.5, verze 3 už
by měla mít tabulku hostů šifrovanou).
• Malá aplikace, která realizuje následující kroky
(opakovaně):
• Extrahovat adresy SN (super uzlů), tedy IP a port
z XML konfiguračního souboru.
• Vymazat většinu SN z tohoto souboru, kromě několika klíčových.
• Restartovat klienta Skype a počkat na obnovení seznamu super uzlů (cca 200 v jednom souboru).
• Každá iterace trvá cca 2 - 2,5 minut.
V případě, že je použit nějaký cluster více počítačů,
nejlépe geograficky rozdělených (v příkladu OWASP
bylo použito cca 77 počítačů), byl po cca 2 700 iteracích (zhruba 80 hodin) získán seznam zhruba 40 milionů uzlů, z toho byl separován seznam 107.000 unikátních párů IP+port super uzlů. Tento seznam je
z pohledu managementu firewallu ještě použitelný,
přitom jsou dosahovány nízké hodnoty „false negatives“. Získávání tohoto seznamu super uzlů je nutné
opakovat, protože populace Skype se neustále mění.
V rámci enterprise sítí lze pak rozlišovat mezi 3 typy
instalace klientů Skype:
• nově nainstalovaná v enterprise prostředí (snadno
blokovatelné - pouze 7 SN a jeden login server),
• klient nainstalován mimo enterprise prostředí (např.
doma) a pak přinesen - obsahuje větší seznam SN,
• klient, který má čerstvě aktualizovaný soubor SN
(např. při návštěvě internetové kavárny).
Z tohoto důvodu je vhodné, aby existoval a byl využíván ještě testovací klient, který se bude pokoušet
připojit k nějakém SN. Měl by pracovat s relativně akkvûten 2008
tualizovanými informacemi o SN. Pravděpodobnost
zablokování není 100%, stoupá s narůstajícím časem
prodlevy mezi aktualizací seznamu SN testovacího
klienta a jeho spuštěním v enterprise síti. Studie
OWASP ukazuje, že 10 % SN zajistí až 80 % všech
požadavků, takže metoda blokování všech SN je efektivní okolo 95 %.
Blokace známých
„vzorků“ paternů
Níže uvedené pravidlo pouze zablokuje UDP komunikaci. Skype již toto dokáže překonat a komunikuje
pouze přes TCP.
/sbin/iptables I FORWARD p udp m length
length 39 m u32 u32 —-’27&0x8f =7’ u32
‘31=0x527c4833 ‘ j DROP
Dalším řešením je rozšíření o L7 blokace, popsané
v další kapitole.7
O
7
kvûten 2008
Převzato z prezentace Philippe Biondi a Fabrice Desclaux, „Silver needle
in the Skype“, Black Hat Europe 2006.
Blokace na aplikačním firewallu
L7-filter je nadstavba pro Linux program Netfilter (iptables), který identifikuje pakety na základě dat na
aplikační vrstvě. Je schopen rozpoznávat pakety programů, jako je Kazaa, HTTP, Jabber, Citrix, Bittorrent, FTP, Gnucleus, eDonkey2000 a další bez ohledu
na použitý port. Jedná se tedy o možný doplněk ke
klasickým filtrům založeným na IP adrese a portu.
Použití
„Application
Layer Packet
Classifier
for Linux“
Seznam podporovaných protokolů je na této adrese:
http://l7-filter.sourceforge.net/protocols. Součástí je
SkypetoSkype a SkypeOut, ovšem s výrazným omezením, viz níže uvedená poznámka.
T
Název
skypeout
Rychlost
Kvalita
Poznámka
pomal˘ aÏ
pravdûpodobnû x
velmi pomal˘ funguje
skypetoskype
rychl˘ aÏ
velmi rychl˘
pravdûpodobnû x
funguje
X - Je velmi těžké až nemožné napsat vzorek pro tento
protokol, který by neměl příliš mnoho chyb. Je proto
stále doporučením používat toto pole dále současně
s dalšími pravidly, jako je IP adresa nebo port.
Popis
Skype to phone UDP voice call
(program to POTS
phone) http://skype.com
Skype to Skype UDP voice call (program to program) http://skype.com
Komerční řešení
Cisco dle dostupných informací nabízí nástroje na detekci Skype a řízení jeho QOS (http://ciscotips.wordpress.com/2006/06/07/how-to-block-skype/). Podobnou funkcionalitu také potvrzují jiní výrobci, např.
CheckPoint s produktem NGX.
kvûten 2008
Použití proxy
serveru
Skype se v případě NAT prostředí pokouší o více druhů
navázání spojení se super uzly. Pakliže selžou všechny
pokusy o přímou komunikaci (včetně využívání portů
jako 80, 443), pokusí se klient Skype najít HTTPS
proxy a pomocí metody CONNECT se připojit k nějakému super uzlu. Je proto možné využít prostředků
řízení přístupu (ACL v případě Squid) a aplikovat pravidla na kontrolu metody CONNECT na číselnou IP
adresu. Jedná se patrně o jeden z nejjednodušších
a nejefektivnějších způsobů blokace (hned po administrativním zákazu).
# Your acl definitions
acl numeric_IPs urlpath_regex ^[0-9]+\.[09]+\.[0-9]+\.[0-9]+
acl connect method CONNECT
# Apply your acls
http_access deny connect numeric_IPs all
Administrativní
zákaz
kvûten 2008
Jednoznačně nejlepší a nejúčinnější způsob, jak blokovat peer-to-peer programy a sítě, tedy včetně Skype.
5/8.3
NÁVRH BEZPEČNÉHO ŘEŠENÍ IM
V případě, že kdokoliv potřebuje bezpečné řešení IM,
tedy výše uvedená rizika z jakéhokoliv důvodu nechce
akceptovat, měl by si upřesnit, co přesně chce, protože problematika IM už je poměrně široká. Pomocí
mohou být vybrané otázky, které jsou dále uvedeny:
• Za jakým účelem bude IM používán?
• S kým bude pomocí IM komunikováno a kdo bude
pomocí IM komunikovat směrem dovnitř (budou se
obě strany před zahájením komunikace znát?)
• Jakou úroveň řízení si přejete mít nad aktivitami zaměstnanců? Budou aktivity logovány? Budou záznamy archivovány?
• Jak budou uživatelé řízeni a kdo je bude spravovat?
• Jak bude spravována bezpečnost a shoda na aplikovatelné regulace?
• Bude IM integrován s existující antivirovou ochranou?
• Jakou úroveň podpory je potřeba zabezpečit pro
správu IM a jak náročná bude správa a údržba?
Základní
předpoklady
pro výběr řešení
kvûten 2008
• Jaký bude mít IM dopad na šířku pásma a výkon infrastruktury?
• Lze prosadit zvolené řešení vůči externím partnerům/klientům?
Dalším klíčovým rozhodnutím ovlivňujícím uvedené
otázky je, kdo bude spravovat IM server. Aktuálně je
tady několik možností:
• Použít veřejný IM nástroj a umožnit zaměstnancům
komunikovat přes internet (bez nároků na bezpečnost a správu).
• Smlouva s třetí stranou pro hostování IM serveru s omezeným přístupem jenom pro specifikované uživatele.
• Hostovat IM server v rámci organizace jako součást
existující infrastruktury.
Doporučeným
řešením by měl
být přechod
na EIM řešení
Doporučeným řešením by měl být přechod na EIM
řešení.8 Nelze přesně stanovit architekturu, je však
rámcově možné vycházet z těchto možností:
• Hostovat IM server v rámci organizace jako součást
existující infrastruktury.
• Na tomto serveru realizovat transportní dohody s potřebnými IM systémy.
• Publikovat tento server do internetu a nabídnout přes
něj VoIP služby požadovaným partnerům/klientům/zaměstnancům.
• Smlouva s třetí stranou pro hostování IM serveru s omezeným přístupem jenom pro specifikované uživatele.
Vlastní server může být jak z kategorie open source,
tak komerční. Volba více závisí na konkrétních požadavcích a finančním rámci tohoto projektu.
8
kvûten 2008
Žádné současné řešení nedokáže spolupracovat se sítí, resp. klienty sítě
Skype. Vychází to z podstaty a filozofie Skype.
Volba klientů je v tomto ohledu také širší. Je nutné
rozhodnout, jestli by se mělo jednat pouze o VoIP klienty, jako ZPhone, X-Lite, SJphone, Snom a další,
nebo jestli se má jednat o plnohodnotného IM klienta,
který umožňuje funkce jako přenos souborů, chat a zároveň VoIP. Z nekomerčních se jedná především
o Gizmo nebo WengoPhone, k dispozici jsou také komerční. V případě, že by se měla implementovat pouze
VoIP gateway, doporučujeme realizaci na bázi protokolu SRTP,9 který zajišťuje oproti klasickému SIP důvěrnost a integritu zpráv/hovoru.
9
Volba klientů IM
http://en.wikipedia.org/wiki/Secure_Real-time_Transport_Protocol
kvûten 2008
kvûten 2008

Bezpečná počítačová síť - People(dot)tuke(dot)sk

Transkript

Podobné dokumenty

5/8 instant messaging a jeho bezpečnost v podnikových sítích

INSTALACE SKYPE A ZALOŽENÍ SKYPE ÚČTU

6.třída č. autor název knihy 1 Allison Jennifer Pátračka Gilda 2

2. Memoriál Alexeje Petroviče Maresjeva

Je možné ve firemním prostředí využívat Skype?