Bevezető. Az informatikai biztonság alapjai II

Bevezető Az informatikai biztonság alapjai II.

Póserné Oláh Valéria poserne.valeria@ poserne.valeria @nik.uni nik.uni--obuda.hu http://nik.uni--obuda.hu/poserne/IBA http://nik.uni

Miről is lesz szó a félév során?
Vírusvédelem
Biztonságos levelezés és adattárolás lemezen (PGP)
Biztonságos kommunikáció és fájlátvitel (SSH)
Jelszó választás problémái, jelszótörés szótár alapon illetve brute force
Tűzfalak –Behatolásérzékelés

2

Követelmények

3

A mai téma 

„Új” betörési módszerek - Leggyengébb láncszem az ember 1. Social Engineering 2. Reverse Engineering 3. Cross Site Scripting



A hálózati támadások formái

4

A Social Engineering
Az egyik leghatékonyabb hackertechnika.
Az emberek természetes, bizalomra való hajlamának kihasználása a számítógépek számítógépek-hez való illetéktelen hozzáférés (biztonsá (biztonsá-gi korlátok, mint a tűzfalak vagy behatolás behatolás-érzékelő rendszerek megkerülésével) és információk megszerzése céljából céljából..

5

A Social Engineering eszközei


A bizalmunk megnyerése


A behatoló munkatársnak álcázva magát próbálja megnyerni bizalmunkat, akinek hozzáférésre van szüksége a saját rendszere állítólagos leállása miatt,
beszélgetésbe elegyedik velünk,
egyik kollégánk nevét is megemlítheti,
hatósági személynek is tettetheti magát,
hálózati hibaelhárítónak álcázza magát, akinek egy azonosítóra és jelszóra van szüksége az ellenőrzéshez.


Kukabúvárkodás


Pl. éjszakai takarítónak jelentkeznek, jelszavak után kutatnak a papírkosarakban, a fiókokban v. monitorokra ragasztott cédulákon. 6

A Reverse Engineering
A Reverse Engineering annyiban különbözik a Social Engineeringtől, hogy ez esetben az „áldozattal” azt is el kell hitetni, hogy ő a kezdeményező. kezdeményező

7

A Cross Site Scripting (oldalközi szkriptelés) HTML kód bejuttatása website tartalmába
Egy weboldal a későbbi rosszindulatú felhasználás reményében adatokat gyűjt be a felhasználótól, vagy felhasználóról.. felhasználóról
A felhasználó engedélye nélkül képes hozzáférni egy másik, ugyanazzal a böngészővel megnyitott weboldal adataihoz adataihoz..
A felhasználó egy másik weboldalról, azonnali értesítésből (instant message message), ), v. csak webes hirdető táblát v. html formátumú e-mail üzenetet olvasva klikkel majd egy linkre, mely olyan weblapra mutat, ahova a gyanútlan nézelődőt irányítani kell kell..
Pl. Pl. banki adatok v. személyes információk szerezhetők meg meg..
Az XP SP2SP2-ben van e támadástípus ellen is védelem (figyelmeztetés).


http://zero.webappsecurity.com Username:: <script> Username <script>alert alert("XSS ("XSS alert!") alert!")

8

Motivációk










Információ megszerzése (személyes, üzleti, katonai, stb.) haszonszerzés v. károkozás céljából, szolgáltatásokhoz való illetéktelen hozzáférés (pl. nyomtatni, filmeket letölteni), rendszer feltörése, rosszindulatú program(ok) bejuttatása, szolgáltatások megbénítása, szabad erőforrás, sávszélesség kihívás, sérelem (pl. elbocsátott alkalmazott), politikai, etnikai célok elérése. 9

Kiválasztott célpontok






új termék, banki szféra, politikai motiváció, katonai információk, védelmi célú rendszerek

10

A hálózati támadások formái Passzív támadás A lehallgatás (evesdropping, wire-tapping), az érzékeny információ megszerzésére irányul, a támadó nem módosítja az átviteli csatorna tartalmát.

Aktív támadás A támadó maga is forgalmaz a csatornán. • üzenetmódosítás • megszemélyesítés, • visszajátszás • szolgáltatás megtagadás (DoS – denial of service) típusú támadások 11

Csomag szintű támadások (1)
IP spoofing: spoofing: Az IP cím hamisítása, több támadásnak is része. Pl. egy IP címmel azonosított trusted host megszemélyesítése. Célja csak annyi, hogy egy kiskaput hagyjon maga után, amin keresztül már egyszerűen be tud jutni. Cél: nem információhoz való hozzáférés, hanem más akadályozása. Pl. az A és B között fennáll egy TCP kapcsolat, amit C szeretne megszakítani. RSTRST reset connection Vagy C támadó B nevében indít közismert támadást (akár csak egy portscant) A ellen. Ennek hatására az A gépet védő tűzfal B-t kitiltja Védekezés: Védekezés a tűzfalak bizonyos forrás IP címeket csak bizonyos irányból fogadnak el. 12

Csomag szintű támadások (2)
Smurf: Smurf: a DoS családba tartozó támadás. A megtámadott gép nevében ICMP echo request üzenetet küld egy irányított IP broadcast címre. Közvetítők: az üzenetet vevő gépek válaszukkal teletömik az áldozat gép hálózatát, de a sajátjukat is, így ők maguk is áldozatok. ICMP (Internet Control Message Protocol) az IP bővítése, lehetővé teszi hibaüzenetek, tesztcsomagok és az IP-vel kapcsolatos információs üzenetek létrehozását.

Védekezés: Védekezés a routerek IP broadcast-ot ne engedjenek át, IP broadcast címre küldött ICMP echo requestre a gépeink ne válaszoljanak! 13

Csomag szintű támadások (3)
SYN flood: flood: klasszikus DoS támadás SYN: a TCP fejlécének 14. bitje, jelzi, ha egy új kapcsolat felépítése kezdődik. A C támadó az A nevében nagy mennyiségű SYN csomagot küld B-nek (a válaszokat C természetesen meg sem kapja), akkor ezzel kimeríti B erőforrásait és az nem lesz képes fogadni a valódi kéréseket. Védekezés: Védekezés  mikro blokkok használatával: a szabványos adatstruktúrá adatstruktúrá-nál lényegesen kisebb helyet foglalunk le, és ha a kapcsolat kérés valódinak bizonyul, csak akkor foglaljuk le a szükséges erőforrásokat (10x annyi támadó csomagot bírunk el).  syn cookie használatával 14

Csomag szintű támadások (4)
Xmas, Ymas A TCP fejrészben az URG bittől balra levő két bitet 2003 májusában az IANA (Internet Assigned Numbers Authority) az ECN (Explicit Congestion Notification) mechanizmus céljára osztotta ki. A korábbi TCP implementációk azt várják el, hogy ez a 2 bit 0 értékű legyen. A bitek 0-tól különböző értékűre állításával és a TCP implementáció viselkedésének megfigyelésével a támadó információt szerezhet a TCP/IP protocol stack implementációjáról.

6. ábra. A TCP fejléc 13. 14. bytejának pontos felépítése 15

Hálózati szintű támadások (1)
SwitchSwitch-ek elleni támadás Switch normál működése: keretek továbbítása csak arra a portra, ahol a címzett található. Portokhoz MAC címek beállítása:  Statikusan, munkaigényes, konfiguráció változásnál át kell vezetni (pl. hálókártya csere).  Öntanuló módban, megjegyzi, hogy az egyes MAC címekkel forráscímként melyik portján találkozott. Ha a támadó kellően sok különböző MAC címmel való forgalmazással, megtelíti a switch táblázatát, táblázatát akkor a működés fenntartása érdekében minden keretet minden portjára kiküld (fail open). Ezzel a forgalom lehallgathatóvá válik. válik 16

Hálózati szintű támadások (2)
ARP poisoning

A támadó kéretlen és hamis ARP válaszokat küld, amelyben a kérdéses IP címhez a saját MAC címét tünteti fel. ARP (Address Resolution Protocol) = Címlekérdező protokoll. Üzenetszórásos hálózatokon broadcast (minden gépnek szóló) üzenettel megszerzi az információt (IP cím - fizikai cím összerendelés) és elraktározza (cache). 17

Hálózati szintű támadások (3)
ICMP redirect Az ICMP redirect üzenettel egy router egy számítógép számára egy jobb útvonalat tud megadni. A támadó ezzel maga felé tudja irányítani a megtámadott gép forgalmát. Használhatja pl.: • lehallgatásra: a csomagokat gondosan továbbküldi a címzettnek, hogy a támadás észrevétlen maradjon. • IP spoofing támogatásra: mint korábban C az A felé B-nek adja ki magát, de most a redirecttel elérte, hogy az A válaszai őhozzá érkezzenek, a TCP kapcsolat ténylegesen felépül.

Védekezés: Védekezés accept_redirects kikapcsolása.

18

Hálózati szintű támadások (4)
RIP (Routing (Routing Information Protocol ) távolságvektor hamisítása RIP: distance-vector protokoll, mely egy célponthoz (hálózatok, subnet-ek, állomások, vagy a default router)) táblázatában tárolja: 1. A célpont IP címét. 2. Az odavezető út költségét (egy csomagnak az adott link-en való átküldésének költsége alapján). 3. Az odavezető út első router-ét. 4. Időzítőket Mivel a RIP nem használ autentikációt, a támadó számítógépe hamis távolságvektorral becsaphatja a routereket azt állítva, hogy rajta keresztül rövidebb út vezet a cél felé. 19

Hálózati szintű támadások (5)
Source route IP opció A forrás megadhatja, hogy adott IP című állomás felé mely routereken keresztül haladjon a csomag. A támadó ezt privát IP című hálózatok elérésére képes felhasználni. A C támadó az R1 1 routernek megmondja, hogy az R2 2 routeren keresztül kell a csomagot küldenie. R2 2 privát IP címmel rendelkező hálózat gateway-e, amely a datagrammot már a cél IP cím alapján küldi a címzettnek. A visszaút: a támadó publikus IP címmel rendelkezik. Védekezés: Védekezés accept_source_route kikapcsolásával lehet. 20

Hálózati szintű támadások (6)
DNS (cache) ellen való támadás Kihasználja, hogy lejár az ns.myisp.com által tárolt www.mybank.com TTL ideje (Time To Live )

Mybank: Bank Myisp: internet szolgáltató ns.myisp.com: az internet szolgáltató névkiszolgálója www.mybank.com: a bank honlapjának IP-címe 21

Hacker, kracker Hacker, cracker: cracker: a két kifejezés rokon értelmű, azt jelentik, hogy betörő, kódfeltörő, titkosított hálózati rendszerekbe illegálisan behatoló. Az angolban a hack ige „betör, bezúz, becsákányoz” jelentésű, a crack pedig hangutánzó szó, és „tör, betör, feltör” az értelme. Szószerinti jelentésükben tehát nem sok különbség van, de valójában, eredetileg éles ellentét húzódott közöttük. 22

Hacker A hacker fogalom eredetileg olyan számítógép megszállottat jelentett, aki kihívásnak tekinti a különböző számítógépes problémák megoldását, az információs rendszerek biztonsági réseinek felderítését és megszüntetését. Cselekedeteit jó szándék vezérli, ha be is tör különböző rendszerekbe, kárt nem okoz, csupán a kihívás kedvéért teszi, valamint azáltal, hogy betör valahova felhívja a rendszergazda figyelmét a résre, hibára, még mielőtt egy cracker találná meg ugyanezt a bejáratot. 23

Kracker

A crackerek azok, akik bűncselekményeket követnek el, adatbázisokba törnek be, információt rabolnak, jogvédett szoftverek – a védelmi rendszerét játszák ki programkészítőknek, forgalmazóknak komoly károkat okozva –, szándékosan kárt okoznak különböző rendszerekben. 24

Elővigyázatossági lehetőségek
Házirend kialakításának fontossága
Tűzfalak fontossága
Jelszókezelés jelentősége
Vírusvédelem jelentősége

25

Jogi szabályozások
A 2003. január elsején életbe lépett módosítás büntethetővé teszi az informatikai rendszerbe történő jogtalan belépést, működésének akadályozását (például a DoSDoS-támadásokat), az informatikai eszközökkel (vírusok, exploitok) történő visszaélést, és az informatikai csalást (például weblapok jogosulatlan felülírását).
Adatvédelmi törvény


Az adatokat arra lehet felhasználni amire összegyűjtötték 26

Javasolt irodalmak
Nagy Sándor :Elektronikus leveleink védelme
Himansu Dwivedi :SSH a gyakorlatban
Tom Thomas : Hálózati biztonság

27