Omijanie firewalli w systemach Windows

Omijanie firewalli w systemach Windows Zagro rożenia i ochrona Jakub Tomaszewski Zespół Bezpieczeństwa PCSS Poznań, 18.12.2008.2008 1

Agenda 10:00 Rozpoczęcie, cie, powitanie uczestników, informacje organizacyjne 10:05 Poznajmy się: : czym jest PCSS i MIC? 10:15 Omijanie firewalli w systemach Windows (cz. 1) 11:00 Przerwa 11:10 Omijanie firewalli w systemach Windows (cz. 2) 11:50 Podsumowanie, dyskusja, zaproszenie na kolejne szkolenia 12:00 Zakończenie 2

Informacje organizacyjne Ankieta Krótka i anonimowa Pomoc na przyszłość Lista obecności ci Proszę zaznaczyć,, czy chcecie Państwo otrzymywać informacje o kolejnych szkoleniach Prezentacja dostępna na stronach WWW http://mic mic.psnc.plpl http://szkolenia.man man.poznan.plpl http://security security.psnc.plpl Webcast Dostępny w późniejszym p terminie na http://mic mic.psnc.plpl 3

Kim jesteśmy i co robimy? 4

PCSS Poznańskie Centrum Superkomputerowo-Sieciowe: 15 lat Operator sieci PIONIER (sieć dla edukacji i nauki) oraz POZMAN Uczestnik projektów naukowobadawczych Główne obszary zainteresowań Gridy, sieci nowej generacji, portale Bezpieczeństwo sieci i systemów http://www.pcss.pl 5

Zespół Bezpieczeństwa PCSS Dedykowany zespół istnieje od 1996r. Podstawowy zakres prac Zespołu Zabezpieczanie infrastruktury PCSS Zadania bezpieczeństwa w projektach naukowo badawczych Szkolenia i transfer wiedzy Badania własnew Audyty i doradztwo w zakresie bezpieczeństwa IT Niektóre badania z ostatnich lat Raport o bezpieczeństwie bankowości elektronicznej ( 2006 ) Bezpieczeństwo serwerów w WWW Apache i MS IIS ( 2007 ) Bezpieczeństwo sklepów w internetowych ( 2008 ) http://security security.psnc.plpl 6

Centrum Innowacji Microsoft Pierwsze w Polsce MIC Centrum bezpieczeństwa i usług ug outsourcingowych Partnerzy Microsoft Corporation Poznańskie Centrum Superkomputerowo-Sieciowe Sieciowe Politechnika Poznańska Otwarcie: 1.06.2006r. http://mic mic.psnc.plpl 7

Cele i zadania MIC Wybrane cele MIC Edukacja poprzez zdalne udostępnianie aplikacji MS Szybszy rozwój j lokalnych firm (MŚP) poprzez doradztwo w zakresie podnoszenia poziomu bezpieczeństwa teleinformatycznego, audyty oraz szkolenia Poprawa dostę tępu i jakości usług ug medycznych w Wielkopolsce Łatwy i bezpieczny dostęp p do e-use usług ug w urzędach Główne zadania MIC w roku 2008 Usługi hostingowe dla edukacji, instytucji charytatywnych i użytkowników w indywidualnych Szkolenia w zakresie bezpieczeństwa IT Rozwój j systemu telekonsultacji medycznych Telesfor Badania nad technologią Silverlight 2.0 8

Szkolenia bezpieczeństwa MIC 4 szkolenia rocznie http://mic.psnc.pl/pl/tasks/lect.html html http://szkolenia.man man.poznan.pl/kdm Tematy szkoleń w roku 2008 10.04.08: Format OpenXML 24.06.08: Bezpieczeństwo w firmach 19.11.08: Niechciane wiadomości 18.12.08: Omijanie firewalli w systemach Windows Zachęcamy camy do zgłaszania w ankietach propozycji tematów na rok 2009! 9

Omijanie firewalli w systemach Windows Zagrożenia i ochrona

... a może e jeszcze nie (; Zacznijmy od początku czysta instalacja 11

... a może e jeszcze nie (; Konfiguracja sieci 12

A agresor nie śpi... Zacznijmy od początku czysta instalacja 13

Czy te informacje sąs niebezpieczne? Mamy nowy system, więc c o co chodzi? 14

Informacja o systemie jest już luką! 15

Wiemy, co jest wiemy, jak to atakować 16

Duża a paleta możliwych działań łań... 17

I co to wszystko? 18

Za proste, żeby było o prawdziwe? 19

A jednak to prawda =/ 20

21

Pytanie 22

Nie ma się czego bać! Hakerzy nie używaju ywająjuż tych luk! 23

Kto ich używa? u http://isc isc.sans.org/survivaltime.html 24

25

A co z nowymi lukami? tzw. 0day? 26

Czas reakcji na luki... 27

Ciekawostka MS Internet Explorer XML Parsing Remote Buffer Overflow Exploit 0day (v. 5.01, 6, 7 & 8 Beta ( 2 http://www www.milw0rm..milw0rm.com/exploits/7403 28

0day exploit IE 7 na wolności I co dalej?... http://hack hack.pl/aktualnosci/0_ /0_day_exploit_ie_7_na_wolnosci_1112 Olbrzymi wzrost liczby ataków w przez lukę w IE! http://hack hack.pl/aktualnosci/olbrzymi_wzrost_liczby_ /olbrzymi_wzrost_liczby_atakow_przez_lu ke_w w_ie_1114 Luka w IE7 http://hacking hacking.pl/pl/news-15196-luka_w_ie7. Luka_w_IE7.html (Prawie) wszystkie Internet Explorery są podatne na lukę http://hacking hacking.pl/pl/news-15199- Prawie_wszystkie_Internet_Explorery Explorery_sa_podatne_na podatne_na_luke.html Wzrost liczby ataków w na IE7 http://www www.locos.pl/content/view/4020/78/ 29

30

Aktualizacje (!) Jak temu przeciwdziałać łać? NAT - Network Address Translation Firewall 31

Firewall idea powstania, definicja Firewall-ściana ogniowa, to system (sprzętowy, programowy lub mieszany) stojący na straży y naszego systemu komputerowego (firewall( osobisty, lokalny) lub całych sieci (firewalle( filtrujące i pośrednicz ( ce redniczące) 32

Firewall osobisty 33

Firewall filtrujący 34

Firewall pośrednicz redniczącycy 35

Nie mylmy pojęć ęć! Firewall Filtr pakietów 36

Filtrowanie: Port (lokalny i zdalny), Adres (lokalny i zdalny), Protokół, Zawartość pakietu, Długość pakietu, Interfejsy systemowe Flagi itp. Funkcje firewalli Badanie heurystyczne przepływaj ywającego ruchu Logowanie zdarzeń Pośredniczenie w transmisji 37

Firewalle w systemach rodziny Windows 38

Które Windowsy? Windows XP SP2 Windows Server 2003 Windows Vista Windows Server 2008 39

Windows XP SP2 Funkcje wykonywane: "Ułatwianie blokowania wirusów w i robaków w internetowych" "Proszenie o zezwolenie" "Tworzenie rejestru (dziennika zabezpieczeń)" Funkcje nie wykonywane: "Wykrywanie lub wyłą łączanie wirusów w i robaków w internetowych" "Uniemożliwianie otwarcia wiadomości e-maile z niebezpiecznymi załą łącznikami" "Blokowanie spamu lub niepożą żądanych wiadomości e-maile mail http://www www.microsoft.com/poland/windowsxp/sp2/ /sp2/wfintro.mspx 40

41

Windows Vista Co się zmieniło o od czasu Firewalla Windows XP Połą łączenia wchodzące ce i wychodzące ce (XP - tylko wchodzące), ce), Domyślna akcja definiowalna oddzielnie dla każdego z kierunków, Duża liczba monitorowanych protokołów w (XP -TCP, UDP, część ICMP), Rozbudowane definicje reguł (XP -aplikacja, ( pakiet Akcje reguł z priorytetami Dodatkowy interface zarządzania i zarzadzanie zdalne Strategia Defense in Depth http://www www.microsoft.com/poland/technet/ /technet/article/art0045_01.mspx 42

43

Ok, ale mieliśmy my je atakować, więc c... 44

Ataki na filtrowanie Port - ustawienie usługi ugi na innym porcie niż standardowy: Radio na 80-tym porcie na serwerze zdalnym ;P VNC na lokalnym porcie 22 Adres -spoofing w dowolnej postaci podmiana adresów w IP w pakietach atak na urządzenia pośrednicz redniczącece ataki na DNS LAN - arp spoofing Zawartość pakietów, protokół Tunelowanie 45

Ataki oszukujące algorytmy heurystyczne Opóźnienia czasowe (np. Slow scan) Spoofowanie różnych adresów Brak regularności ataku (np. skanowania) Rozproszony atak (np. Distributed Coordinated ( scan Ataki ze sztucznym zalewaniem (fake( ( flood Itp., itd. Dobry przykład nmap(http:// ( http://nmap.org 46

Inne... Ataki na przejęcie aktywnej sesji, Ataki na oprogramowanie, Firewalla Przeglądarki internetowe Oprogramowanie serwerowe Fuzzing, I dużo o innych... 47

Wróćmy zatem do naszego XP,... Właśnie, dlaczego XP? 48

Windows XP po zainstalowaniu SP2 49

A co na to nasz znajomy agresor? 50

A luki...? 13:29:59 -ms03_026_dcom [*] Launching exploit windows/dcerpc dcerpc/ms03_026_ /ms03_026_dcom... 13:30:01 -ms03_026_dcom [*] Handler binding to LHOST 192.168.1.100 13:30:01 -ms03_026_dcom [*] Started reverse handler 13:30:12 -ms03_026_dcom dcom[-] Exploit failed: The connection timed out (192.168.1.102:135). 51

A jeśli nawet wyłą łączymy firewalla? 13:27:49 -ms03_026_dcom dcom[*] Launching exploit windows/dcerpc dcerpc/ms03_026_ /ms03_026_dcom... 13:27:50 -ms03_026_dcom dcom[*] Handler binding to LHOST 192.178.1.100 13:27:50 -ms03_026_dcom dcom[-] Bind failed on 192.178.1.100 13:27:50 -ms03_026_dcom dcom[*] Handler binding to LHOST 0.0.0.0 13:27:50 -ms03_026_dcom dcom[*] Started reverse handler 13:28:01 -ms03_026_dcom dcom[-] Exploit failed: The connection timed out (192.178.1.102:135). 13:29:23 -ms03_026_dcom dcom[*] Launching exploit windows/dcerpc dcerpc/ms03_026_ /ms03_026_dcom... 13:29:24 -ms03_026_dcom dcom[*] Handler binding to LHOST 192.168.1.100 13:29:24 -ms03_026_dcom dcom[*] Started reverse handler 13:29:25 -ms03_026_dcom dcom[*] Trying target Windows NT SP3-6a/2000/XP/2003 Universal... 13:29:25 -ms03_026_dcom dcom[*] Binding to 4d9f4ab8-7d1c 7d1c-11cf-861e- 0020af6e7c57:0.0@ncacn ncacn_ip_tcp:192.168.1.102[135]... 13:29:25 -ms03_026_dcom dcom[*] Bound to 4d9f4ab8-7d1c 7d1c-11cf-861e- 0020af6e7c57:0.0@ncacn ncacn_ip_tcp:192.168.1.102[135]... 13:29:25 -ms03_026_dcom dcom[*] Sending exploit... 13:29:25 -ms03_026_dcom dcom[-] Exploit failed: : DCERPC FAULT => nca_s s_fault_access_denied 52

Zatem teraz jesteśmy bezpieczni? Zobaczmy... 53

Przykładowy scenariusz założ łożenia Piszemy trojana z z przeznaczeniem Ofiara posiada firewalla i używa u funkcji blokowania połączeń w stosunku do poszczególnych aplikacji Wiemy, czego używa u ofiara (np. Internet ( Explorera 54

Przykładowy scenariusz -działania ania Jak wyjść z systemu bez wiedzy firewalla? WinAPI! Znajdź proces, który może e się komunikować ze światem Utwórz wątek w dla znalezionego procesu CreateRemoteThread() () Prześlij komunikaty do tego wątkuw Zabezpiecz się przed błęb łędami (dekonspiracją) Działaj! aj! 55

56

Jak się bronić? Aktualizacja systemu i oprogramowania Świadome zarządzanie systemem Dobre praktyki w bezpieczeństwie Systemy wspomagające bezpieczeństwo: Firewalle Antywirusy IDSy/IPSy IPSy AntySpyware Logiczne myślenie... 57

Podsumowanie 58

Trochę więcej szczegółó łów Instalacja i konfiguracja SP2 dla Windowsa XP, http://windows.howto.pl/artykuly,windows-19 19-264-0.html Optymalizacja usług ug w Windowsie XP http://macbit.com.pl/content/view/45/204 http://www www.xp.net..net.pl/art/services_optimiz_w2003.html http://www.ifj.edu.pl/str/psk/mini-porad/serwisy.html porad/serwisy.html Kilka rad od producenta: http://www.microsoft.com/poland/athome/security/prote ct/windowsxpsp2/default.mspx http://www.microsoft.com/poland/windowsxp/officexp/de sktopsecurity5.mspx 59

Więcej informacji: http://www.google.pl 60

Informacje kontaktowe Autor prezentacji bluerose@man man.poznan.plpl Centrum Innowacji Microsoft http://mic mic.psnc.plpl mic@man man.poznan.plpl PCSS http://www www.pcss.plpl Zespół Bezpieczeństwa PCSS http://security security.psnc.plpl security@man man.poznan.plpl 61

Pytania i dyskusja, propozycje? Dziękuj kuję za uwagę! 62