Hrozby připojení k Internetu

1. Hrozby připojení k Internetu Konference Informační politika napříč Evropou Ostrava, 13.-14.9.2004 Title slide

2. Význam informační bezpečnosti z pohledu CIO Source: Gartner, 2003

3. Význam informační bezpečnosti – zdroje ČR Zdroj PSIB’03, Ernst&Young, DSM-data security management, NBÚ

4. Význam informační bezpečnosti – zdroje ČR Zdroj PSIB’03, Ernst&Young, DSM-data security management, NBÚ

5. Sofistikovanost útoků vs. znalosti útočníků

6. Typický síťový útok

7. Internetoví čmuchalové • Program pro odposlech dat: sniffer • Útočníci používají sniffer pro: • Analýzu obousměrného síťového provozu • Získání UserID + Passwd (obvykle telnet, ftp) • Odposlech elektronické pošty • Informace, procházející Internetem, mohou být odposlechnuty v kterémkoli mezilehlém segmentu sítě • Kompromitovaný server může ohrozit systémy v jiných částech sítě

8. Scan • Metody scanování umožňují: • Zjistit OS a jeho verzi • Zjistit služby, spuštěné na daném serveru • Skrýt identitu (zdrojovou IP adresu) útočníka • Příklad: Nmap • Connect scan – zjištění otevřených portů (služeb) • snadno detekovatelný • Syn scan - neukončený TCP handshake • UDP scan – pomalý • OS fingerprint – identifikace OS • Nmap má databázi cca 200 OS • Znalost OS + verze umožňuje nalézt neošetřená zranitelná místa

9. IP spoofing • Útočník používá vymyšlenou IP adresu v odchozích paketech • Umožňuje: • Skrýt identitu při provádění DoS útoků • Neoprávněný vstup do systému kontrolovaný IP adresou • HostA kontroluje IP adresu příchozích IP paketů • Jestliže zdrojová adresa patří HostB, je umožňen přístup bez UserID+Passwd (tento logovací mechanismus používají např. služby RLOGIN a RSHELL)

10. PROC_ONE(A,B,C) RET ADDR C MAIN PROGRAM B A RET ADDR BOGUS CODE X Y PROC_ONE BUFFER Z PROC_TWO Buffer Overflow • Způsobí přetečení interního bufferu a vloží vlastní program • Jednoduché - dostupné programy a podrobné návody

11. Útoky typu Denial-of-Service • Cílem útočníka je znepřístupnit systém pro oprávněné uživatele • Relativně snadný: • Během posledních let byla popsána řada DoS útoků • Programy pro DoS jsou dostupné na Internetu • Většinu DoS útoků lze provádět anonymně (IP spoofing) • Typy DoS útoků: • Obsazení přenosového pásma • Síťové aplikace: mnoho agentů (DDoS), všesměrové vysílání • Obsazení systémových zdrojů • Zahlcuje zdroje serveru  (SYN flood) • Využití vad v aplikacích • Porušené pakety, aplikační data  buffer overflow • Spoofing směrování/DNS/ARP • Porušení konzistence směrovacích/DNS/ARP tabulek

12. Útoky typu Denial-of-Service • Smurf • Útočník pošle ICMP Echo request na broadcast adresu, jako zdrojovou použije adresu napadeného systému • Napadený systém je zaplaven ICMP Echo Reply, dochází k zahlcení sítě • Posílání ICMP Echo request rychlostí 400kb/s na 200 počítačů generuje 80Mb/s odpovědí (ICMP Echo Reply) směrovaných na napadený systém

13. Distribuovaný DoS - DDoS • Zesílení tradičních DoS útoků • V sítích, ze kterých je veden útok, mohou být instalovány stovky démonů provádějících DoS útok • Jedním útokem lze „zabrat“ stovky Mbps • DDoS sestává z: • Klientský program • Master server • Agenty (zombie) programy

14. Postup DDoS útoku – 1

15. Postup DDoS útoku – 2

16. Červi a Viry na platformě Win32 • Způsoby šíření (Nimda): • Klient  klient pomocí e-mailu • Klient  klient pomocí sdílení souborů • Web server  klient pro prohlížení napadených WWW stránek • Klient  Web server aktivím scanováním s využitím zranitelností MS IIS 4.0/5.0 • Klient  Web server aktivním scanováním s využitím zadních vrátek zanechaných červy „Code Red II“ a „sadmin/IIS“ • Ze statistik spol. Symantec vyplývá, že od roku 2002 se četnost virů a červů na platformě Win32 zvýšila 2,5 ×. Za druhou polovinu roku 2003 bylo dokumentováno 1702 nových Win32 virů a červů. • Symantec také dokumentoval 2,636 nových zranitelností systémů během roku 2003. To je průměrně sedm za den. • V současné době scanují útočníci sítě a hledají zadní vrátka obsažená ve viru MyDoom. Tato zadní vrátka umožňují nainstalovat vlastní SW – viz „zombie“ používané pro DDoS útoky.

17. Number of viruses and worms Jan 1, 2001 - Jun 30, 2001 Jul 1, 2001 - Dec 31, 2001 Jan 1, 2002 - Jun 30, 2002 Jul 1, 2002 - Dec 31, 2002 Jan 1, 2003 - Jun 30, 2003 Jul 1, 2003 - Dec 31, 2003 Period Nárůst počtu nových červů a virů New Win32 Viruses and Worms Zdroj: Symantec

18. Rychlost šíření Code Red

19. Nástroje pro zjišťování zranitelností • Nástroje umožňují: • scanování portů • host-based audit • analýzu logů • zjišťování hesel hrubou silou (password cracking) • testování Web aplikací • zjišťování chyb v aplikacích • V této přednášce se soustředíme na: Open Source nástroje

20. Komplexní testování zranitelností Nessus • Jeden z nejrozšířenějších a nejefektivnějších nástrojů pro zjišťování zranitelností IS • Client – Server architektura • server provádí testy a udržuje databázi zranitelností • klienty jsou provozovány na různých platformách • Nessus může být rozšiřován pluginy • pluginy pro různé platformy a provozované služby • výběr pluginu podle konkrétního systému podstatně zrychluje průběh testů • Ve výsledcích testů jsou popsány zjištěné zranitelnosti na základě informací z databáze

21. Nessus – výsledky testů

22. Scanování portů Nmap • Přínosy scanování portů: • Zakázání nepotřebných služeb omezí možnosti útočníka • Zjištěním služeb, které jsou provozovány na jednotlivých otevřených portech, může auditor zjistit pravděpodobné způsoby útoku • Nmap: • Connect scan – zjištění otevřených portů (služeb) • snadno detekovatelný • Syn scan - neukončený TCP handshake • UDP scan – pomalý • OS fingerprint – identifikace OS • Nmap má databázi cca 200 OS • Znalost OS + verze umožňuje nalézt neošetřená zranitelná místa

23. NMAP Port Scanner – verze pro Windows

24. Testování MS Windows • LanGuard Network Security Scanner • NENÍ OpenSource

25. Služby IBM v oblasti bezpečnosti

26. Děkuji za pozornost Ing. Stanislav Bíža, CISA sbiza@cz.ibm.com Closing slide