AKADEMIA GÓRNICZO-HUTNICZA

Transkrypt

1 AKADEMIA GÓRNICZO-HUTNICZA Wydział Elektrotechniki, Automatyki, Informatyki i Elektroniki KATEDRA INFORMATYKI Bezpieczeństwo w systemach komputerowych Referat z przedmiotu Administrowanie Systemami Komputerowymi Wykonali: Krzysztof Rzecki Leszek Siwik Pod kierunkiem mgr inż. Bogusław Juza Kraków 09 kwietnia 2001

2 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych 2 Spis treści 1. Wstęp Bezpieczeństwo fizyczne Umieszczenie serwera i dostęp do niego Topologia sieci Topologia szyny Topologia pierścienia Topologia gwiazdy Osprzęt sieciowy Bezpieczeństwo stacji roboczych Bezpieczeństwo związane z modemami Identyfikatory i oznaczanie sprzętu Instalacja Systemu Podział dysku na partycje Wybór usług sieciowych Programy ładujące system Bezpieczeństwo systemu Użytkownicy Niebezpieczne programy Szkodliwe programy Koń trojański Bezpieczeństwo w sieci lokalnej Węszyciel Skaner Skaner systemowy Skaner sieciowy Podszywanie Podszywanie IP Podszywanie ARP Podszywanie DNS Bezpieczeństwo przesyłanych danych SSH i SCP Ataki odmowy obsługi DoS Ataki na urządzenia sieciowe...32

3 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych Ataki na usługi sieciowe Ataki na aplikacje Firewall'e i proxy serwery Firewalle filtrujące ipachains/ipfwadm Serwery proxy squid SOCKS TCP Wrappers Przykłady innych ścian ogniowych Rejestrowanie i pliki dziennika lastlog last xferlog httpd Komunikaty jądra systemu Inne narzędzia rejestrujące: Backup i odzyskiwanie danych Prosta archiwizacja Narzędzie archiwizujące: cpio Planowanie archiwizacji: dump Odtwarzanie archiwizacji wykonanych przez dump: restore: Inne pakiety archiwizujące...57

4 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych 4 1. Wstęp Początkowo system UNIX miał zastosowanie tylko w specjalistycznych dziedzinach. Używano go głównie na uczelniach, w ośrodkach badawczych, wojskowych, firmach telekomunikacyjnych. Wówczas komputery nie były tak popularne jak dziś a dostęp do nich mieli tylko nieliczni. Szybki rozwój techniki dał ludziom dostęp do coraz mocniejszych i nowocześniejszych komputerów przy jednoczesnym obniżeniu kosztów produkcji. Obecnie prawie każdego stać na kilkakrotnie szybszą i wydajniejszą maszynę niż ta, na którą mogła sobie pozwolić duża firma 15 lat temu. Znaczny wzrost liczby posiadaczy komputerów - począwszy od ośrodków badawczych wyposażonych w supernowoczesne maszyny równoległe po użytkowników zwykłych pecetów - wymusił powstanie i szybki rozwój sieci komputerowych, które dają możliwość komunikacji między dwiema odległymi maszynami. Pojawienie się sieci oraz fakt, że z jednego komputera zwykle może korzystać wielu użytkowników pociągnęło za sobą pojawienie się problemu ochrony tak samych komputerów jak i danych przez nie przechowywanych. Generalnie problem bezpieczeństwa w systemach komputerowych można podzielić na dwa główne aspekty: problem bezpieczeństwa fizycznego i problem systemu wraz z oprogramowaniem. Należy zwrócić uwagę na to, że oba te problemy są równie istotne, choć tak w literaturze jak i praktyce często problem bezpieczeństwa fizycznego jest pomijany.

5 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych 5 2. Bezpieczeństwo fizyczne Zabezpieczenie fizyczne komputera (czy też serwera) jest istotnym elementem polityki ochrony całego systemu. Źle zabezpieczony system informatyczny można zniszczyć wysyłając exploita z sieci, ale używając młotka bezpośrednio na sprzęcie można poczynić o wiele większe szkody. Mimo tego, że wiele zagadnień związanych z fizyczną ochroną sprzętu wydaje się oczywistych, użytkownicy notorycznie popełniają wiele prostych błędów Umieszczenie serwera i dostęp do niego Bardzo ważny jest wybór miejsca umieszczenia serwera oraz ograniczenie liczby osób, które mają do niego fizyczny dostęp. Bardzo dobrym tego rozwiązaniem jest umieszczenie maszyny w oddzielnym pomieszczeniu potocznie nazywanym serwerownią, do którego dostęp mają tylko niektóre osoby. Oczywistym jest, że jeśli niepowołane osoby mają z komputerem styczność, nie da się zapewnić choćby minimalnego stopnia bezpieczeństwa. Czymże, bowiem jest zabezpieczenie systemu w postaci kontroli hasłem przy starcie, kiedy każdy może przy pomocy swoich dyskietek startowych uruchomić go w dowolnym trybie. Umieszczony w oddzielnym pokoju komputer wraz z istotnymi peryferiami łatwiej zabezpieczyć (np. przykręcić do stołu). I nawet ci posiadający odpowiednie uprawnienia powinni podlegać jakiejś autoryzacji - na przykład przy pomocy kart magnetycznych. Poza tym warto też mieć na uwadze następujące zagadnienia: Obszar wydzielony dla serwerów powinien być umieszczony z dala od dużego ruchu (holi, przejść, korytarzy, itp.). Nie powinien być także widoczny z zewnątrz - posiadać jakichkolwiek okien czy szklanych drzwi. Drzwi do serwerowni powinny być możliwie jak najlepiej wzmocnione, a futryny solidnie umocowane. Warto pomyśleć o zainstalowaniu w serwerowni kamery, co pozwoli na łatwą identyfikację intruzów. Wszystkie nośniki (CD-ROM'y, taśmy do stream'ów, itp.) powinny być przechowywane w innym miejscu. Należy utworzyć regulamin zabraniający zwykłym pracownikom wstępu do serwerowni Topologia sieci Topologia sieci ma dość istotne znaczenie w kwestii bezpieczeństwa sieci. Odpowiedni dobór może utrudnić potencjalnemu włamywaczowi jej unieruchomienie. Istnieje wiele standardów topologii sieci, ale w sieciach lokalnych są stosowane głównie trzy: szyna, pierścień oraz gwiazda.

6 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych Topologia szyny W tej topologii pojedyncze łącze (zazwyczaj kabel koncentryczny) obsługuje wszystkie urządzenia sieciowe. Taka sieć jest zupełnie nie odporna na uszkodzenia kabla - jakiekolwiek uszkodzenie medium lub nawet jednej z kart sieciowych użytkowników powoduje unieruchomienie całej sieci. Dodatkową wadą tego typu sieci jest ograniczenie, które spowodowane jest tym, że w danej chwili szyna pozwala na przeprowadzenie tylko jednej transmisji. Ponadto każda stacja robocza jest w stanie przechwycić transmisję do któregoś ze swoich sąsiadów. Zaletą sieci o takiej topologii są: prostota w budowie i niskie koszty wykonania Topologia pierścienia W topologii pierścienia także istnieje pojedyncze medium transmisyjne, do którego podłączone są wszystkie urządzenia. Podobnie jak szyna, topologia pierścienia zawiera dwa podstawowe miejsca wystąpienia potencjalnej awarii unieruchamiającej całą sieć: dowolna stacja robocza (w tym również serwer) i kabel. Wszystkie urządzenia w sieci o topologii pierścienia służą za repeatery, więc uszkodzenie któregokolwiek z nich powoduje wspomnianą awarię sieci. Dodatkowym zagrożeniem jest łatwość przechwycenia transmisji na dowolnym komputerze. Łatwość ta spowodowana jest tym, że istnieje duże prawdopodobieństwo, iż przez dowolny host przechodzić będzie transmisja odbywająca się między dwoma innymi dowolnymi komputerami w pierścieniu Topologia gwiazdy Sieć zbudowana w topologii gwiazdy jest scentralizowana i tym samym dużo lepsza od szyny czy pierścienia. Wszystkie stacje robocze w danym (być może niewielkim) segmencie są podłączone do jednego urządzenia, co pozwala zarządzać połączeniem każdego komputera z osobna. Sieć o topologii gwiazdy bez problemu przetrwa także uszkodzenie kilku stacji roboczych. Dodatkowo istnieje możliwość podzielenia sieci na segmenty i izolowania transmisji do poszczególnych komputerów (np. za pomocą routera czy switch'a). Topologia gwiazdy ma jednak pewne wady. Centralizacja wymusza istnienie krytycznego punktu, którego awaria ma bardzo złe skutki. Jeśli atakujący wyłączy na przykład koncentrator, może odciąć od reszty sieci cały segment. Podczas wybierania odpowiedniej topologii, należy mieć na uwadze następujące zagadnienia: Czy istnieje punkt sieci (serwer, kabel, hub, router), od którego zależy działanie kilku (lub nawet wszystkich) urządzeń? Jakie jest niebezpieczeństwo przechwycenia danych? Zawsze możliwość tego typu nadużyć istnieje, choć część topologii jest na to bardziej wrażliwa niż inne.

7 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych 7 Jaka jest odporność sieci na błędy? Czy jeśli jedna, dwie lub dziesięć stacji roboczych ulegnie uszkodzeniu, pozostałe będą działały? Jeśli sieć jest odporna, odpowiedź brzmi: tak. Czy każda stacja robocza będzie miała własne oprogramowanie - czy hosty będą pobierały system z serwera? Jakie systemy operacyjne będą używane? Jakie usługi będą dostępne w sieci? Jaka będzie przepustowość i przewidywane odległości między stacjami roboczymi? Topologia gwiazdy wydaje się być najlepszym rozwiązaniem. Jeśli jej zastosowanie nie jest możliwe należy: Wybrać topologię pozwalającą na scentralizowane zarządzanie. Jeśli sieć jest duża warto podzielić ją na segmenty. Sieć ma być zaprojektowana tak, by była odporna na usterki. Użytkownicy powinni być w miarę możliwości jak najściślej izolowani od fizycznej strony sieci. W ich świadomości powinny istnieć tylko gniazdka lub końcówki, pozwalające podłączyć komputer. Okablowanie należy ukryć (najlepiej w ścianach pod tynkiem). Jeśli to tylko możliwe należy wykorzystać sprzęt i oprogramowanie obsługujące szyfrowanie Osprzęt sieciowy Wszelkie peryferia sieciowe, jak routery, koncentratory, itp. również muszą być odpowiednio zabezpieczone. Ataki na sprzęt są dużo groźniejsze niż na oprogramowanie. O ile awaria pojedynczego komputera może nie być zauważona przez resztę sieci, awaria rutera może w całości ją unieruchomić. Zazwyczaj udane ataki na sprzęt sieciowy wynikają z prostych błędów wynikających z zaniedbania administratorów. Wielu z nich zapomina o włączenia kodowania podczas konfiguracji zdalnej albo o zmianie domyślnych haseł. Defaultowe hasła urządzeń sieciowych to podstawowa ściągawka hakera. Oprócz zmiany hasła należy, podobnie jak serwer, odizolować rutery od ogólnego dostępu. Duża część z nich pozwala na ominięcie hasła w przypadku dostępu fizycznego (choćby przycisk resetujący NVRAM) Bezpieczeństwo stacji roboczych Przy bezpieczeństwie stacji roboczych ważna jest kontrola dostępu i zabezpieczenie przed kradzieżą. Kontrola dostępu może być wspomagana poprzez hasła BIOS'u i konsoli. Hasła BIOS'u ograniczają możliwość zmiany ustawień komputera, a hasła konsoli zabezpieczają tryb jednoużytkownikowy. Zabezpieczenie BIOS'u hasłem jest tylko minimalną przeszkodą, ponieważ atakujący może jest ominąć wyjmując baterię z płyty głównej lub (w większości nowoczesnych płyt) ustawić odpowiednią zworkę powodując wyczyszczenie pamięci

8 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych 8 CMOS. Poza tym czasami działają standardowe hasła BIOS'u: BIOS, bios, biosstar, CMOS, cmos, condo, djonet, SETUP i setup oraz kombinacje klawiszy: F1, F3, CTRL+F1, CTRL+F3, STRL+SHIFT+ESC, DEL, CTRL+ALT+INS i CTRL+ALT+S. Do znalezienia hasła BIOS'u można użyć także jednego z narzędzi do manipulacji BIOS'em, np.: M!BIOS, AMIDECOD, AMI Password Viewer, AW.COM. Nieco inną strategią jest użycie urządzeń kontrolujących dostęp według biologicznej charakterystyki użytkownika, czyli: zapachu ciała, wyglądu twarzy, odcisków palców, siatkówki lub tęczówki oka, głosu. Zabezpieczenia tego rodzaju są bardzo wiarygodne, ale posiadają jedno podstawowe ograniczenie: nie można ich w żaden sposób zastosować do autoryzacji zdalnego użytkownika. Należy też w takim przypadku pamiętać o ochronie danych osobowych i prywatności. Dowiedziono, że obraz siatkówki zawiera wiele danych o zdrowiu człowieka - mogą w nim być zapisane nawet ślady zażywania narkotyków lub AIDS. Przykłady urządzeń biometrycznych (używanych nie koniecznie do autoryzacji): Biomouse - myszka produkcji firmy American Biometric - odczytuje odciski palców używajacego jej użytkownika; IrisScan - system autoryzacji biometrycznej na podstawie wzoru tęczówki; wymaga serwera WinNT; SecureStart/ISA - system odczytu odcisków palców firmy I/O Software pozwalający zidentyfikować użytkownika jeszcze przed uruchomieniem systemu; VerVoice - system identyfikujący użytkowników według ich głosu; Bezpieczeństwo związane z modemami Obecność modemów często obniża bezpieczeństwo sieci lokalnej, zwłaszcza, jeśli pozwalają na wdzwanianie do systemu. Jeśli sieć jest nie wielka, to wiadomo, kto korzysta z modemu i łatwiej je kontrolować. Jeśli modemy są niezbędne w do pracy warto rozważyć możliwość utworzenia osobnej sieci do pracy z modemami lub wyznaczyć kilka stacji do tego celu, które zostaną odcięte od sieci lokalnej.

9 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych Identyfikatory i oznaczanie sprzętu Należy także podjąć działania pozwalające zidentyfikować sprzęt po jego kradzieży. Co roku giną dziesiątki tysięcy komputerów a większość ich użytkowników nie zapisuje nawet numerów seryjnych komponentów. Oprócz dokładnej inwentaryzacji sprzętu warto posłużyć się dodatkowo technikami pozwalającymi zidentyfikować sprzęt bez rozkręcania obudowy, np. poprzez oznaczenia niezmywalną farbą, farbą fluoroscencyjną czy reagującą na ultrafiolet. Istotnym przy tym jest, że pewne 'zalety' sprzętu mogą naruszyć naszą prywatność. Teoretycznie nieodczytywalny bez zgody posiadacza numer seryjny procesora Intel Pentium III, który pozwala na zdalna identyfikację, w kilka tygodni po jego ukazaniu się na rynku został zdalnie odczytany przez niemieckich hakerów (mimo wyłączonej opcji jego udostępniania). Więcej: Jak rozpracowano numer seryjny PIII: The Big Brother Inside Home Page:

10 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych Instalacja Systemu Aby ochrona działającego systemu i sieci była skuteczna, niezwykle istotnym jest rozpocząć działania zabezpieczające już podczas instalacji systemu. Najważniejsze punkty instalacji systemu to: podział na partycje dysku twardego, na którym będzie się znajdował nasz system, wybór usług sieciowych, instalacja programów ładujących system (ang. boot loaders) Podział dysku na partycje Podział dysku na partycje ma na celu przede wszystkim zwiększenie kontroli położenia danych i zmniejszenie ryzyka związanego z utratą danych w przypadku uszkodzenia jednej z partycji. Podział dysku na partycje ułatwia utrzymanie na nim porządku: można oddzielić pliki wymiany od pozostałych plików. Podział na partycje oczywiście umożliwia również posiadanie wielu systemów operacyjnych na jednym nośniku. System typu Unix posiad szerokie możliwości korzystania z partycji innych typów niż typ jemu dedykowany (np. HPFS, DOS/WINDOWS16/32, Novell NetWare, Minix, itp. - łącznie około ponad 80 typów). Listę typów obsługiwanych przez Linuxa możemy oglądnąć w programie cfdisk, opcja Type. Takich możliwości z pewnością nie udostępniają systemy Windows i podobne. Nigdy nie powinno się umieszczać katalogu głównego i katalogów użytkowników na tej samej partycji. Takie rozwiązanie zwiększa szansę na wykorzystanie przez intruza programów typu SUID i kontroli nad krytycznymi zasobami systemu (o programach typu SUID mowa będzie w dalszej części niniejszego opracowania). Katalogi (a w zasadzie partycje, na których te katalogi się znajdują) z głównego drzewa, które w szczególności nie powinny mieć możliwości uruchamiania programów z bitem SUID (zwłaszcza, gdy ich właścicielem jest root): /home, /tmp, /var i wszystkie montowane urządzenia w /mnt. Jeśli rozmieszczamy w mniej standardowy sposób aplikacje w systemie, to sytuacja może wyglądać nieco inaczej, ale w ogólności należy pamiętać, by montować te partycje z opcją "nosuid", do których będą mieli dostęp zdalni (zwłaszcza poprzez anonymous FTP) i lokalni użytkownicy, mający niezbyt czyste zamiary wobec naszego systemu. Określenie włączenia bądź wyłączenia tej możliwości na określone partycje znajdziemy w /etc/fstab jako opcja "suid" i "nosuid". Oprócz ochrony przed atakami na programy typu SUID, podział na partycje jest dobrym antidotum na zapychanie dysku przez logi systemowe i użytkowników. Jeśli zapomnieliśmy włączyć rotację logów znajdujących się zwykle w /var/log/messages lub poczta przychodząca zapchała /var/spool/mail, to w przypadku systemu, gdzie wszystko znajduje się na jednej partycji może dojść do jego unieruchomienia. A tak - po prostu

11 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych 11 logi się nie będą zapisywały i poczta nie będzie przyjmowana - to jeszcze nie jest wielka tragedia zwłaszcza w sytuacji, gdy nie jesteśmy w stanie szybko zareagować Wybór usług sieciowych Wybór usług sieciowych już podczas instalacji systemu pozwala nie tylko na oszczędzenie miejsca na dysku, ale wymusza zwiększenie uwagi u administratora na to co rzeczywiście jest niezbędne, a co jest nie potrzebne. Zwykle na rzeczy w systemie nie używane opiekun serwera nie zwraca uwagi, a co za tym idzie bagatelizuje problemy związane ze zmniejszeniem bezpieczeństwa systemu wywołane uruchamianiem nie potrzebnych usług. Na przykład jeśli dany komputer ma służyć jako serwer proxy, http, pocztowy i powiedzmy serwer samba, to warto się zastanowić czy pozostałe usługi będą nam rzeczywiście potrzebne. Jeśli użytkownicy to grupa osób głównie potrzebujących tych podstawowych usług a my sami innych nie zamierzamy używać, to lepiej w ogóle nie instalować takich rzeczy jak np. bootpd czy DHCPd, sound, nfs, lpd, ldap i wiele innych. Z pewnością taki komputer nie będzie potrzebował systemu graficznego X-Window, który nie tylko zżera ogromne ilości zasobów, ale posiada dużą ilość 'dziurawych' aplikacji Programy ładujące system Zwykle podczas instalacji systemu, pod koniec tego procesu, określić należy sposób uruchamiania systemu. Do wyboru mamy różne programy, a dla systemu Linux najpopularniejszym jest LILO (Linux Loader). Zwykle w takich programach (programy te nazywa się 'boot managerami') określamy z jakiej partycji jaki system i w jaki sposób jest uruchamiany. Podczas konfigurowania takiego programu (zwykle już po zainstalowaniu i zresetowaniu komputera) możemy ustawić hasło ładowania w pliku konfiguracyjnym (dla LiLo jest on /etc/lilo.conf - należy pamiętać o odpowiednich prawach dla pliku: 600). Takie podejście ma jednak pewną wadę. Jeśli atakujący dostanie się do możliwości modyfikowania ustawień BIOS'u to uruchomi system z własnych dyskietek, albo przynajmniej dostanie się do pliku konfigurującego boot manager'a.

12 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych Bezpieczeństwo systemu W przeciągu kilku ostatnich lat można było dużo usłyszeć o różnego rodzaju wykroczeniach związanych z systemami komputerowymi. Wiele gazet pisało o spektakularnych włamaniach do różnego typu systemów i spowodowanych tymi działaniami szkodach. Owszem szkody często bywają dotkliwe - zwłaszcza te, kiedy informacje z systemu wyciekają. Niemniej jednak duża część społeczeństwa uważa administratorów za ludzi o nadprzyrodzonych zdolnościach, którzy po nocach tropią elektronicznych przestępców wykorzystując swoją ponadprzeciętną inteligencję. Jak to na filmach można czasem zobaczyć, często miedzy strażnikami systemu i hakerami dochodzi do mniej lub bardziej 'krwawych' potyczek, pełnych laserów i migających świateł, w których przegrany ginie wchłonięty do nicości... W rzeczywistości praca administratora to nieco mniej barwne zadania. W zakresie bezpieczeństwa systemu najważniejsze z nich to: zarządzanie dostępem użytkowników do systemu i określonych usług, sprawowanie pieczy nad poprawną pracą niebezpiecznych programów, ochrona systemu przed niebezpiecznymi programami Użytkownicy Rozpatrując kwestię dostępu użytkowników do systemu administrator zwykle zaczyna od siebie. Może zdziwić fakt, że dużą część funkcji administracyjnych nie wykonuje się z konta root. Należy pamiętać, że operator z wszystkimi uprawnieniami root'a ma nieograniczoną władzę nad systemem co jest niebezpieczne w różnych okolicznościach. Łatwo jest np. skasować coś, chcąc usunąć całą zawartość tylko katalogu /tmp pisząc: rm -fr / tmp usuniemy całe drzewo katalogów wraz z podkatalogami - po prostu cały system. Tak więc ważne jest by (jeśli nie ma istotnej potrzeby) nie korzystać z konta z którego 'wszystko' można. Tak więc dobrze jest utworzyć osobne konto dodając mu część uprawnień administracyjnych. Do poszerzania zakresu możliwości określonego użytkownika możemy wykorzystać program sudo. Najogólniej rzecz biorąc przydzielanie komuś konta oznacza upoważnienie go do: zalogowania sie w systemie (uruchomienia powłoki poprzez np. telnet, ssh, ftp), korzystanie z usług, świadczonych przez nasz system. Danie komuś możliwości logowania się w systemie powinno być zawsze starannie przemyślane. Jeśli administrujemy systemem, który ma służyć jako np. serwer pocztowy należy się zastanowić czy uzasadnione jest

13 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych 13 danie użytkownikom możliwości logowania się w systemie. Jeśli danej organizacji musi być maszyna, do której musi być dostęp do powłoki, to warto się zastanowić nad wydzieleniem osobnego komputera, na którym: wycinamy większość usług sieciowych zostawiając tylko te niezbędne do pracy w powłoce, instalujemy tylko podstawowy zestaw aplikacji, dzielimy dysk na partycje tak, jakbyśmy z góry zakładali, że partycja przeznaczona dla użytkowników często ulegać będzie awarii, należy zabronić użytkownikom ustalania związku zaufania pomiędzy komputerem udostępniającym powłokę i innymi komputerami (raczej trudne do osiągnięcia), oczywiście partycje /var, /home i /tmp montowane muszą być z opcją no suid, owy komputer posiada bardzo szeroki zakres zbieranych logów. Jeśli nie mamy takiej możliwości to trzymamy się po prostu zasady, że dostęp do powłoki otrzymują tylko Ci użytkownicy, którzy na prawdę tego potrzebują. Informacje na temat zarejestrowanych użytkowników system przechowuje w pliku /etc/passwd. Jego budowa jest bardzo prosta, każda linia odpowiada jednemu użytkownikowi i najczęściej składa się z 7 pól oddzielonych dwukropkiem, np: kaczor:x:501:501:jaś Fasola:/home/kaczor:/bin/bash Jego budowa jest bardzo prosta, a znaczenie poszczególnych pól nie jest tu szczególnie istotne. Najważniejsze z punktu widzenia bezpieczeństwa jest tylko pole drugie. W naszym przykładzie jest tam wartość 'x'. W starszych systemach oraz w systemach bez systemu maskowania haseł (tzw. shadowing) w miejscu tym znajduje się zaszyfrowane hasło użytkownika. A ponieważ plik /etc/passwd musi być dostępny do odczytu wszystkim użytkownikom posiadającym dostęp do powłoki systemu, więc w przypadku, gdyby znajdowało się tam hasło, system jest narażony na atak. W systemach posiadających pakiet shadow hasła użytkowników znajdują się w pliku /etc/shadow, który jest nie dostępny do odczytu zwykłym użytkownikom (właścicielem jest root:root a atrybuty pliku to 400). W systemie UNIX autoryzacja polega na zaszyfrowaniu hasła podanego przez użytkownika i porównaniu z tym zapisanym w pliku shadow. Hasła są szyfrowane przy pomocy opracowanego przez IBM zaawansowanego algorytmu szyfrującego DES. Mimo, że wykorzystywany jest dopiero od około 25 lat, standard DES (Data Encryption Standard) jest najpopularniejszym szyfrem w historii kryptografii. Zarówno szyfrowanie jak i deszyfracja opierają się na kluczu, bez którego nie można odszyfrować zakodowanych informacji. Klucz ten (oparty na haśle użytkownika oraz pewnych dodatkowych danych, ang. padding) składa się z 64 cyfr dwójkowych. Do kodowania danych wykorzystuje się 56 bitów, pozostałe 8 bitów służy do kontroli błędów. Ilość wszystkich kluczy jest zatem dość duża: ponad 70 * 10^15 kluczy 56-bitowych. Algorytm DES jest szyfrem blokowym - operuje na blokach danych określonej długości (w tym przypadku są to 64-bitowe

14 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych 14 bloki). Dłuższe dane dzielone są na fragmenty 64-bitowe. Mniejsze porcje wypełniane są nieistotnymi bitami tak, by zawsze blok miał długość 64 bitów. Do pełnego zakodowania hasła, w pakiecie shadow używa się dwubajtowego pola salt, które zwiększa liczbę możliwych kodowań 4096 razy. Szczegółowy opis algorytmu DES: Należy jednak mieć na uwadze fakt, że system shadow nie jest do końca bezpieczny. Dokładniej: mogą zaistnieć pewne okoliczności, w których włamywacz może dostać się do zawartości tego pliku. Najczęściej sytuacje te wywołane są przez zrzuty pamięci (ang. core), w których można doszukać się zawartości pliku shadow, np.: błąd w imapd: błąd w telnet: shadowyank - wykorzystując błąd w FTP, shadowyank odczytuje hasła z core'a: Jeśli mamy zainstalowany w systemie pakiet shadow, a mimo to włamywaczowi uda się odczytać plik z hasłami, to może on spróbować wykonać atak wymierzony w hasło. 'Atak na hasło' to ogólny termin opisujący różne czynności, których celem jest ominięcie mechanizmów ochrony systemu komputerowego opartych na systemie haseł, a więc wszelkie próby złamania, odszyfrowania lub skasowania haseł. Ataki na hasło to najprymitywniejsze metody włamywania się do systemu. Każdy początkujący haker zaczyna zwykle od łamania systemu haseł. Należy jednak pamiętać, że ataki na hasło mimo łatwości wykonania wcale nie muszą dawać szybko rezultatu. Atakiem na hasło jest m.in. tzw. atak siłowy. Polega na odgadywaniu hasła użytkownika wprowadzając go do systemu. Atak ten jest zupełnie nieefektywny, gdyż zgadując hasło musimy sprawdzić ogrom możliwości - system będzie albo silnie obciążony, albo nie pozwoli na wielokrotne, następujące po sobie sprawdzenia - np. wymusi kilkusekundową przerwę po trzech nie udanych próbach. Atak słownikowy jest lepszym przykładem ataku na hasło. Atak taki polega na tym, że włamywacze korzystają z gotowych słowników, które szyfrują przy pomocy algorytmu DES. Czyli wykonują takie same działania co system podczas logowania użytkownika do systemu. Zaszyfrowane hasła ze słownika porównują do tych uzyskanych z /etc/shadow. Powodzenie takiego ataku ma dwa uzasadnienia: użytkownicy bardzo często wybierają charakterystyczne, słabe hasła, długość klucza jest ograniczona, Programy pozwalające odczytać hasła kodowane algorytmem DES: Crack:

15 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych 15 John the Ripper: Lard: Przy pomocy tych programów możemy zobaczyć, że hasła przez nas układane są dość łatwe do złamania. Mocne hasło jest jednocześnie trudne do ułożenia. Istotnym jest przy tym fakt, że użytkownicy rzadko kiedy podejmują jakiekolwiek wysiłki, by skonstruować sensownie trudne hasło. Dla tego najlepszym rozwiązaniem problemu związanego z możliwością pojawienia się w systemie haseł, które można szybko zgadnąć, jest niedopuszczenie do tego, by w ogóle zaistniały w systemie. Jeśli hasła testować będziemy już w programie służącym do ustalania lub zmiany hasła użytkownika (nazywa się to proaktywnym testowaniem haseł) nasz system zawczasu pozbędzie się możliwej do pojawienia luki. Przykłady programów proaktywnego testowania haseł: passwd+, anlpasswd, npasswd Niebezpieczne programy Do grupy programów niebezpiecznych dla systemu zalicza się wszystkie programy typu SUID oraz SGID. SUID oznacza tyle co Set User ID i program posiada ustawiony tryb 4000, a SGID to Set Group ID i program ma ustawiony tryb Niebezpieczeństwo płynące z programów tego typu (a zwłaszcza z ustawionym bitem SUID) polega na tym, że wykonywane są one z prawami ich właściciela. Jeśli na przykład mamy program z ustawionym bitem SUID (np. passwd dla którego po pełnym wylistowaniu mamy: -r-s--x--x), którego właścicielem jest operator systemu root zawsze będzie uruchamiany tak, jakby to właśnie root go uruchomił. Dla tego jeśli włamywaczowi uda się wykorzystać słabość programu typu SUID (a wyszukiwanie takich słabości jest ułatwione w wszelkiego rodzaju skryptach), to potencjalnie może uzyskać uprawnienia operatora systemu. Należy również pamiętać, że sprytny użytkownik może spróbować przynieść na dyskietce przygotowanego shell'a, którego właścicielem jest root i ma on ustawiony bit SUID, choć obecnie większość systemów Linux/UNIX jest zabezpieczona na taką ewentualność. Sposoby ochrony przed atakami wykorzystującymi pliki typu SUID i GUID: należy odebrać bit SUID/SGID wszystkim programom, które go rzeczywiście nie wymagają, - należy w ogóle usunąć programy, które posiadają bit SUID wymagany do ich prawidłowej pracy, ale w systemie nie są niezbędne, a wręcz bezużyteczne (np. gry), należy odebrać prawo modyfikacji skryptów typu SUID, nie należy używać SUID'ów do uzyskania dostępu do niedostępnych plików, do tego celu służą grupy, lepiej jest utworzyć taką i przypisać tam potrzebnych użytkowników,

16 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych 16 nie należy korzystać w programie z domyślnej ścieżki dostępu do plików, lepiej podawać zawsze bezwzględną ścieżkę, i najważniejsze (była już wcześniej o tym mowa): partycje do których mają dostęp użytkownicy, dyskietki, cdrom, itp. powinny być montowane z opcją no suid Szkodliwe programy Szkodliwe programy to programy (lub urywki programów) potocznie nazywane wirusami. Szkodliwym programem jest również koń trojański. Jest wiele innych przykładów szkodliwych kodów, ale te dwa są najgroźniejsze Koń trojański Koń trojański (ang. trojan) to program, który został zmieniony przez działającego w złym zamiarze programistę. Jeszcze niedawno, bo zaledwie 2 lata temu, na komputerach Wydziału Zarządzania AGH bardzo łatwo można było uruchomić konia trojańskiego. Znajdujący się tam NovellNetWare na początku swojego działania wyświetlał okienko proszące wpisać login i hasło. Następnie użytkownik był lub nie wpuszczany do systemu. Konia na tych komputerach można było wprowadzić i uruchomić w następujący sposób: z posiadanego konta (jedyna przeszkoda: trzeba było mieć konto) z przyniesionej dyskietki skopiować program na ogólnodostępny dysk (coś jak /tmp w UNIX) przyniesiony program - konia trojańskiego, uruchomić skrypt z koniem z ogólnodostępnego dysku; skrypt zawiera tylko dwa polecenia: uruchom konia i po zakończeniu działania wyloguj użytkownika z systemu, program wyświetlał identyczny monit logowania jak oryginalny Novell, opuścić stanowisko (nasze konto jest wciąż otwarte - z niego uruchomiony jest program), podchodzi kolejny użytkownik - należy założyć, że nie zresetuje komputera, użytkownik loguje się, nasz program odczytuje login i hasło, zapisuje je sobie w dowolnie zaszyfrowanej postaci w jakimś pliku na dysku ogólnie dostępnym, nasz program wyświetla standardowy komunikat, że hasło było błędne, nasz program kończy działanie, skrypt, z którego uruchomiony był nasz program wylogowywuje nas z systemu, pojawia się prawdziwe okno logowania NovellNetWare. W laboratorium zwykle znajduje się wiele komputerów i z wszystkich z nich po zalogowaniu się był dostęp do wspólnego dysku. Wystarczyło teraz logować się na kolejnych maszynach i... uruchamiać program.

17 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych 17 Sam program został napisany w jeden wieczór. Z małymi poprawkami już drugiego dnia wieczorem działał w laboratorium i w ciągu godziny udało się zebrać prawie 30 haseł. W UNIXie moglibyśmy wyobrazić sobie program /bin/login, który byłby nieco lepszą wersją - logowałby normalnie do systemu, ale przy okazji zapisałby sobie gdzieś na boku logi i hasło logującego się użytkownika. Przykład takiego trojana możemy pobrać z: Konie trojańskie stanowią poważne zagrożenie z kilku powodów: działają skrycie, nie rezerwują żadnych nowych identyfikatorów procesów PID, wykorzystują nazwy istniejących programów - nie zdziwi nas na przykład fakt, że na liście procesów zobaczymy ten właśnie program, np. kilkakrotnie uruchomiony httpd, konie trojańskie trudno jest wykryć i rozróżnić od prawdziwych, autoryzowanych programów, Dlatego zawsze należy uważać przy pobieraniu programów z Internetu. Najlepiej robić to z zaufanych serwerów (dla Linux'a może to być np.: ftp.task.gda.edu.pl) i zwracać uwagę na sumy kontrolne (o sumach kontrolnych powiemy dalej). Wykrywanie koni trojańskich zazwyczaj polega na wyszukaniu podejrzanych zmian w plikach dyskowych. Inną metodą może być próba zdebugowania programu, albo nawet oglądniecie jego kodu maszynowego w najprostszym edytorze w celu wyszukania nietypowych komunikatów. Jeśli np. w programie jak w/w login znaleźlibyśmy string postaci: "Segmentation Fault", który jest komunikatem normalnie tworzonym przez mechanizmy systemu, od razu moglibyśmy stwierdzić, ze coś jest nie tak. Wirusy komputerowe dzielimy na dwie podstawowe kategorie: programy służące do infekowania, zmieniania lub nadpisywania sektora startowego lub głównego sektora startowego (ang. master boot record), programy służące do dołączania szkodliwego kodu do plików komputera ofiary. Częściej można spotkać wirusy drugiej grupy. Procedura dołączania kodu wirusa do plików nazywana jest infekowaniem lub zarażaniem. Zainfekowany plik nazywamy nosicielem, ponieważ potrafi zarażać inne pliki - proces taki nazywamy powielaniem kodu wirusa. Większość wirusów nie niszczy danych - po prostu infekują pliki i dyski. Są oczywiście wirusy, które niszczą dane - wybrane pliki, lub całe dyski. Dawniej przenoszenie się wirusów głównie odbywało się drogą, którą wędrowały dyskietki je zawierające. Obecnie za pośrednictwem Internetu wirusy potrafią w ciągu kilku godzin zarazić tysiące komputerów. Na przykład: około 26 marca 1999 roku opublikowano na grupie dyskusyjnej wirus oparty na makrze Worda, Melissę. 72 godziny później organizacja CERT zanotowała zarażeń. Wirus infekował pliki Worda, Outlooka. Sam rozsyłał się do pierwszych 50 osób z książki adresowej. Źródło Melissy można pobrać z:

18 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych 18 Większość wirusów, podobnie jak Melissa, atakuje komputery z systemem Microsoftu. Trudno ustalić obecną liczbę wirusów i ich mutacji atakujących systemy tego typu, ale raporty twórców programów antywirusowych (np. Norton Anty Virus, czy Antyviral Toolkit Pro) podają tę liczbę w dziesiątkach tysięcy. Bardzo niewiele natomiast (dokładnie trzy) wirusów potrafi zainfekować komputer UNIX owy. Wynika to z faktu, że UNIX przydziela dostęp do zasobów na podstawie właściciela i grup. Wirus uruchomiony przez dowolnego użytkownika nie otrzyma praw do zapisu w dowolnym miejscu. Można by się pokusić o stwierdzenie, że również WinNT z włączoną obsługą NTFS jest odporny na wirusy. Niestety niepoprawne prawa dostępu nowo zainstalowanego oprogramowania, jak również intensywne korzystanie z języków makr bardzo ułatwiają wirusom zarażanie takich systemów. Proces wykrywania szkodliwego kodu (konia trojańskiego lub wirusa) możemy ułatwić sobie tworząc zaraz po instalacji systemu jego obraz na trwałym nośniku (np. CDROM). Wykrywanie szkodliwego kodu polega wówczas na porównywaniu obecnego stanu z tym zapisanym na krążku. Porównywanie nie może polegać tylko na odczytaniu daty utworzenia, rozmiaru, itp. Te wartości łatwo jest oszukać edytując zawartość dysku bez pośrednictwa systemu plików. Trzeba porównać całą zawartość porównywanych plików - bit po bicie. Lepszą i bardziej efektywną metodą jest porównywanie tzw. sum kontrolnych. Sumy kontrolne są to wartości numeryczne reprezentujące sumy bitowe plików. Często wykorzystuje się je przy transferowaniu danych - strona otrzymująca porównuje sumę kontrolną z faktycznie otrzymanymi danymi i w ten sposób określa czy podczas przesyłania nie wystąpił błąd. Najprostszym programem do tworzenia sum kontrolnych jest program sum. Program ten tworzy 16-bitowe liczby dla podanych plików. Jeśli na przykład mamy w katalogu pliki: -rw-r--r-- 1 krz krz 0 mar 21 12:26 a.txt -rw-r--r-- 1 krz krz 1410 mar 19 14:03 bezpieczeństwo.txt -rw-r--r-- 1 krz krz mar 20 14:53 referat.kwd -rw-r--r-- 1 krz krz mar 20 22:18 referat.txt -rw-r--r-- 1 krz krz 182 mar 21 11:30 tekst.html to wywołując polecenie: sum * otrzymujemy: a.txt bezpieczeństwo.txt referat.kwd referat.txt tekst.html Pierwsza liczba to właśnie suma kontrolna, a druga oznacza liczbę bloków w pliku (zaokrągloną w górę). Aby stworzyć najprostszy obraz systemu wydajemy polecenie: sum `find /. -print` > sumy_kontrolne.txt Do tego możemy napisać jakiś skrypt, który okresowo porównuje zawartość pliku z sumami kontrolnymi z aktualnym stanem i informuje nas w przypadku wystąpienia nieprawidłowości.

19 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych 19 Podobnym programem do sum jest cksum. Ten program tworzy 32-bitową sumę CRC32 (ang. Cyclical Redundancy Checking). Więcej na ten temat można znaleźć w: Takie sumy nadal nie stanowią doskonałej kontroli spójności systemu. O wiele lepszym jest algorytm mieszający MD5. Algorytm ten tworzy 128 bitowy podpis cyfrowy dostarczanych danych. Program wykorzystujący ten algorytm md5sum w naszym przykładzie daje taki wynik: d41d8cd98f00b204e ecf8427e a.txt b5b97055b a65e726a5c21 bezpieczeństwo.txt c799013d05d55347f0eb36fe2d3041c0 referat.kwd 9b2189c611273b00f722d81923c8ccf6 referat.txt bdf f6764bfacf6cc797b53 tekst.html Więcej o MD5 można przeczytać w: Bardzo dobrym programem wspomagającym kontrolowanie spójności systemu jest Tripwire. Wykorzystuje on algorytmy: CRC32, MD2/4/5, SHA i Snerfu. SHA można przeczytać na: Snerfu: ftp://ftp.parc.xerox.com/pub/hash/hash2.5a/ Podczas testów próbowano stworzyć plik o takim samym podpisie co /bin/login (po prostu plik - pominięto sprawdzanie, czy będzie działał czy nie). Użyto 130 komputerów Sun i w ciągu kilku tygodni stworzono 2^24 (około 17 milionów) podpisów - nie przebadano 10^15. Tak więc widać, że stworzenie dwóch plików o różnej zawartości a identycznych podpisach cyfrowych jest niemal niemożliwe. Tripwire można znaleźć w okolicy: Inne narzędzia wspomagające badania spójności plików: TAMU: ftp://coast.cs.purdue.edu/pub/tools/unix/tamu/ ATP: ftp://security.dsi.unimi.it/pub/security Hobgoblin: sxid: ftp://marcus.seva.net/pub/sxid/ trojan.pl: ftp://coast.cs.purdue.edu/pub/tools/unix/trojan/trojan.pl

20 Krzysztof Rzecki & Leszek Siwik: Bezpieczeństwo w systemach komputerowych Bezpieczeństwo w sieci lokalnej Jak to w poprzednim rozdziale zostało powiedziane, dla administratora systemu nie jest najgroźniejsze włamanie polegające na zmienia kilku rzeczy na stronie WWW systemu. Najgroźniejsze są włamania, które nie są szybko identyfikowane (odnajdywane i rozpoznawane), w których dane nie tyle są niszczone, co wykradane poprzez sieć. Dla wielu firm o wiele bardziej korzystne by było utracić pewne dane, które w jakimś stopniu można by było odzyskać (np. z backupów), niż ich wykradnięcie do firm konkurencyjnych. Dla tego bezpieczeństwo systemu od strony sieci jest również niezwykle istotne. Poprzez sieć (a zwłaszcza sieć lokalną) można do atakowanego systemu dostać się wykorzystując trzy podstawowe, najpopularniejsze i najgroźniejsze techniki: poprzez użycie węszyciela (ang. sniffer), poprzez użycie skanera (ang. scanning), przy pomocy podszywania (ang. spoofing) Węszyciel Podczas normalnej pracy stacji roboczej potrafi ona odbierać pakiety, które zawierają w polu adresu docelowego właśnie jej adres. Możliwe jest również ustawienie karty sieciowej w tzw. tryb bezładny (ang. promiscous mode) i wówczas możliwe jest odbieranie wszystkich pakietów przychodzących do komputera. Mając na względzie fakt, że wiele (większość) aplikacji działających w sieci nie wykorzystuje nawet najprostszych metod szyfrowania, można w łatwy sposób przechwycić i odczytać zawartość wszystkich nie szyfrowanych plątających się po sieci pakietów. Jeśli natrafimy na pakiety wędrujące do serwera i niosące ze sobą login oraz hasło do systemu (np. telnet czy ftp), to wyłapując takie pakiety i odczytując ich zawartość dostajemy na tacy klucz do systemu. Program przełączający kartę w tryb bezładny i nasłuchujący pracę w sieci nazywamy węszycielem (ang. sniffer). Węszyciel to program, który zwykle wykorzystuje pliki nagłówkowe: linux/if.h, linux/if_ether.h, linux/in.h, linux/ip.h, stdio.h, sys/socket.h, tcp.h. Przy ich pomocy możemy wywołać: przełączenie interfejsu w tryb bezładny, nasłuchiwanie, zapisywanie i wyświetlanie nasłuch ruchu TCP. Najpopularniejsze węszyciele: linsniffer: linux-sniffer: hunt: