Pharming zjawisko i metody ochrony

Transkrypt

1 Pharming zjawisko i metody ochrony Praca inżynierska pod kierunkiem prof. Zbigniewa Kotulskiego Wiktor Barcicki 1

2 Plan prezentacji Pharming i phising Domain Name System Jak działają pharmerzy? Istniejące rozwiązania Moja propozycja Podsumowanie Pytania Wiktor Barcicki 2

3 Pharming i phising 1996 pierwsze ataki phisherów połowa 2004 największa ilość ataków 2004/05 pharmerzy przystępują do ataku 2004 ebay.de styczeń 05 Panix, New York ISP kwiecień 05 - Hushmail Wiktor Barcicki 3

4 Pharming i phising c.d. klasyczny phising wysyłanie fałszywych maili do ofiary szacowane straty: 2 mld USD rocznie wymaga aby ofiara odpowiedziała na spreparowanego maila bazuje na oszukaniu użytkownika Wiktor Barcicki 4

5 Pharming i phising c.d. pharming polega na fałszowaniu adresów IP odpowiadających nazwom domen złodziej podstawia swoją stronę WWW a następnie przekierowuje na nią ruch atakując system DNS ofiara nie musi pomagać złodziejowi Wiktor Barcicki 5

6 Domain Name System (DNS) rozproszona baza danych która przechowuje informację o nazwie domenowej i adresie IP komputerów w sieci głównym zadaniem systemu DNS jest odwzorowanie nazw domenowych na adresy IP Wiktor Barcicki 6

7 Hierarchia systemu DNS Uproszczona hierarchia systemu DNS Wiktor Barcicki 7

8 Hierarchia systemu DNS c.d. Root Servers Top Level Domain Servers generic TLDs np..com,.org country code TLDs np..pl,.uk cctlds subdomains np..ac.uk Authoritative Domain Servers Wiktor Barcicki 8

9 Proces translacji adresu Lokalny Serwer Nazw (ns1.pw.edu) (2) (3) (4) (5) Root Name Server (k.root-servers.net) Zdalny Serwer Nazw (ns.ebay.com) (1) (6) (7) Klient (klient.elka.pw.edu) Serwer (books.ebay.com) Wiktor Barcicki 9

10 DNS cache serwer DNS zapamiętuję informację odwzorowującą w celu zwiększenia wydajności parametr TTL (time to live) opisuje czas przechowywania jeśli informacja w pamięci jest aktualna serwer przekaże ją w odpowiedzi Wiktor Barcicki 10

11 Metody oszustów DNS cache poisoning na czym polega atak? rodzaje ataków podatne serwery metody obrony Wiktor Barcicki 11

12 Atak klasyczny atakujący wysyła 1 zapytanie do serwera DNS oraz n sfałszowanych odpowiedzi pole ID zapytania i odpowiedzi musi być to same adres źródłowy oraz numery portów: źródłowego i docelowego muszą być poprawne prawdopodobieństwo sukcesu : P = n/65536 Wiktor Barcicki 12

13 Atak dnia urodzin oparty na paradoksie dnia urodzin atakujący wysyła n sfałszowanych odpowiedzi na n zapytań przy wysłaniu 700 zapytań prawdopodobieństwo sukcesu wynosi 0,976 skuteczny przeciw serwerom DNS nie kolejkującym zapytań, np. BIND 8 Wiktor Barcicki 13

14 Zmodyfikowany atak klasyczny fałszywe odpowiedzi generowane w pętli o okresie dużo mniejszym od w każdym obiegu pętli wysyłane są sfałszowane odpowiedzi o tych samych numerach ID prawdziwy serwer DNS jest atakowany (DDoS), dla zyskania czasu w niektórych przypadkach skuteczniejszy od klasycznego Wiktor Barcicki 14

15 Prawdopodobieństwo sukcesu Atak dnia urodzin Atak klasyczny Wiktor Barcicki 15

16 Podatność wybranych serwerów BIND 8: nie kolejkuje zapytań, akceptuje wszystkie odpowiedzi na port 53 BIND 9: kolejkuje zapytania, możliwość zmodyfikowanego ataku klasycznego DNS cache w Win 2000: generuje losowe numery ID ale łatwo przewiedzieć numer portu źródłowego DNS cache w Win XP: używa tego samego numeru portu, łatwo przewidzieć numer ID Wiktor Barcicki 16

17 Sposoby zapobiegania atakom korzystanie z oprogramowania serwerów DNS w najnowszych wersjach poprawna konfiguracja serwerów DNS: metoda split-split wyłączenie rekursji Metody te stosuje administrator, a nie użytkownik! Wiktor Barcicki 17

18 Istniejące rozwiązania estamp firmy Cyota Vengine firmy Comodo Propozycja firmy Cyberfoam Anonymizer Anonymous Surfing Netcraft Toolbar Wiktor Barcicki 18

19 Moja propozycja rozszerzenie do przeglądarki Mozilla Firefox JavaScript ochrona przez jasne i zdecydowane ostrzeżenie użytkownika kombinacja trzech metod ostrzegania Wiktor Barcicki 19

20 Kolorowanie pól wprowadzenia danych weryfikacja rodzaju połączenia z witryną (szyfrowane / nieszyfrowane) informacja dla użytkownika: bezpiecznie zielony niebezpiecznie - czerwony Wiktor Barcicki 20

21 Kolorowanie pól... przykład połączenie bezpieczne połączenie niebezpieczne Wiktor Barcicki 21

22 Baza zaufanych witryn wykorzystuje mechanizm certyfikatów użytkownik wybiera obrazek, który będzie kojarzony z witryną (poprzez klucz publiczny witryny) przy kolejnym odwiedzeniu witryny użytkownik weryfikuje wyświetlony obrazek Wiktor Barcicki 22

23 Baza zaufanych... - przykład Strona znana (zaufana) Strona nieznana Wiktor Barcicki 23

24 Generowanie ostrzeżeń Weryfikacja stanu połaczenia (bezpieczne / niebezpieczne) Wyświetlenie stanowczego ostrzeżenia w przypadku próby wysłania danych w połączeniu niebezpiecznym Wiktor Barcicki 24

25 Generowanie ostrzeżeń - przykład Wiktor Barcicki 25

26 Generowanie ostrzeżeń przykład (c.d.) Przykład wygenerowanego ostrzeżenia Wiktor Barcicki 26

27 Możliwości konfiguracji włączenie/wyłączenie kolorowania pól możliwość zdefiniowania własnego koloru włączenie/wyłączenie funkcji obrazków włączenie/wyłączenie wizualnego ostrzeżenia przed stronami zawierającymi niewłaściwy certyfikat permanentne blokowanie dostępu do stron zawierających niewłaściwy certyfikat Wiktor Barcicki 27

28 Podsumowanie pharming jest istotnym zagrożeniem dla rozwoju handlu elektronicznego architektura systemu DNS jest niezabezpieczona przed atakami problemem jest odpowiednie uświadomienie i ostrzeżenie użytkowników Wiktor Barcicki 28

29 Dziękuję z uwagę Pytania? Wiktor Barcicki 29