Hálózatbiztonság a gyakorlatban Intro
Dr. Bencsáth Boldizsár
2015. május 22. Budapest
adjunktus BME Hálózati Rendszerek és Szolgáltatások Tsz.
[email protected]
News 2013 Bit9 cracked http://krebsonsecurity.com/2013/02/security-firm-bit9hacked-used-to-spread-malware/ “Supply chain” crack Other forums: Buhera.blog.hu Reddit.com/r/netsec Slashdot.org Twitter Bugtraq Full disclosure Linkedin groups Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
2
News 2013 Adobe 0-day exploit in the wild CVE-2013-0640 and CVE-2013-0641 Appropriate exploit is chosen by javascript Sandbox bypass @boldi: Emet 3.5 TP ROP prot successfully stopped 0day Adobe reader exploit pdf from infecting the system. Use EMET! http://t.co/5K8cdlYf Emet 4.1 http://www.microsoft.com/enus/download/details.aspx?id=41138
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
3
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
4
News Symantec Pc Anywhere source code is on torrent SAS 2012 – Adobe keynote – defensive computing Kernel 2.6.39+ - local root /proc/
/mem write function HF: Tor, PGP, PIDGIN-OTR,
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
5
Tudom mit tettél tavaly nyáron Feladat: tavaly nyáron egyik nap pontosan megmondani mi volt az IP címe a gépünknek
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
6
Tartalom - Bevezető. Támadó/védekező szerep. Modellek és alapelvek (feltörés, védekezés). Demo. (Nessus, kernel feltörés scripttel) biztonsági problémák és követelmények áttekintése, egy hálózat a támadó szemszögéből, social engineering, …. root kit
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
7
Case study – the always restarting server A server became unreachable – sms notification received After some minutes, the server was restarted Investigation: Syslog messages stated that there was a huge overload and the watchdog restarted the server What caused the overload? (Web? Smtp? User programs? Hardware error? Attack? – hard to distinguish) There are thousands of e-mails waiting in the queue Deeper investigations show that the source of the messages is one single computer inside the „protected” network beyond the server Zombie computer (malware infection) sent out thousands of e-mails • The server becomes unstable, overloaded, etc. – Users don’t like it • The server will soon be listed on blacklists as known spammer – Users don’t like it
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
8
Topology
Server
Spam target
Intro
Local firewall
S w i t c h
Infected client
Other host
RBL server
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
9
Topology explained The “infected host” sends thousands messages to local firewall • Rapid delivery (no virus scan, high bandwidth) • The host does not recognize that it causes overload (a sophisticated spam tool might avoid this)
The local firewall uses a smart host – sends all emails to the external SMTP server • Goal: To simply local configuration, avoid multiple processing, avoid problems from source IP address changes (e.g. RBL lists), avoid problems with delivery targets who do not accept emails from dynamic IP addresses
The real overload happens on the SMTP server (especially in case of virus, spam scanning) Third parties receive email from the server – they blame the outside server Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
10
How to avoid such problems Prevention or detection (proactive vs. reactive) approach? Prevention: Rate limiting – but how much and where? How to identify such problems after that (hard to identify “slow” spamming, or infected computers without malicious activity) SMTP authentication even at the local firewall – only against dummy attackers ??? Summary: The Internet is full with simple problems that cannot be solved ‘so easy’.
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
11
Reactive approach Identify, analyze the problem: Use watchdog to deal with overloads Alert messages on restart Alert on long queue (blocking, slowing down traffic) Alert on malicious activity (too many english emails from the inside – IDS system – might need development of new module) Spam scanning from internal emails -> alert, blocking (might not work: email forwarding, delivery error messages) Countermeasures, reactive steps: Filter out e-mails from the infected host (at the local firewall) Delete spam messages on the local firewall and the server (e.g. grep for „Received:” header line) Notify the administrator of the infected host Check for other infected host in the same network Check RBL servers (might take days to be listed and removed) and try to ask for removal Learn from the case and implement new tools, way to prevent these attacks
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
12
Contradiction The more alert / error messages the administrator receives, the more likely that he/she will not take care about them If there is no alert, no messages, etc., nobody takes care most of the problems (even root cracks!)
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
13
Main goal (in Hungarian) A tárgy célja, hogy megismertesse a hallgatókkal a hírközlő hálózatokban a gyakorlatban felmerülő főbb biztonsági problémákat, valamint a hálózatok biztonságos üzemeltetésének gyakorlati kérdéseit, a védekezés módszertanát és eszközeit. A tárgy azokat az ismereteket kívánja integrálni a képzésbe, amelyek meg tudják ismertetni a hallgatókat a gyakorlatban használt módszerekkel és eszközökkel, ugyanakkor hosszabb távon is hasznos, általános tudást és hozzállást is közvetítenek az adatbiztonság területén.
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
14
Legal aspects This is not a hacker course (Why? – Because we are on the “good” side) Nor an ethical hacker course (Why? – Because here tools are just examples – We want to tell lessons. Learn to deal with tools at home.) Hacking without preliminary notice is not funny – Don’t do that! (We have some companies looking for employees – much better!) Hungarian law strictly forbids computer crime University rules prohibit such activities, too. After proper consultation about the plans, and with a permission from me, tests can be carried out against some of our systems – interactivity is welcome. Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
15
Levéltitok BTK Levéltitok megsértése 224. § (1) Aki a) másnak közlést tartalmazó zárt küldeményét megsemmisíti, a tartalmának megismerése végett felbontja, megszerzi, vagy ilyen célból illetéktelen személynek átadja, illetve b) elektronikus hírközlő hálózat útján másnak továbbított közleményt kifürkész, ha súlyosabb bűncselekmény nem valósul meg, vétség miatt elzárással büntetendő. (2) A büntetés egy évig terjedő szabadságvesztés, ha az (1) bekezdésben meghatározott bűncselekményt foglalkozás vagy közmegbízatás felhasználásával követik el. (3) A büntetés a) két évig terjedő szabadságvesztés, ha az (1) bekezdésben meghatározott bűncselekmény, b) bűntett miatt három évig terjedő szabadságvesztés, ha a (2) bekezdésben meghatározott bűncselekmény
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
16
BTK 423 Információs rendszer vagy adat megsértése 423. § (1) Aki a) információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, b) az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, vagy c) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz, vétség miatt két évig terjedő szabadságvesztéssel büntetendő. (2) A büntetés bűntett miatt egy évtől öt évig terjedő szabadságvesztés, ha az (1) bekezdés b)-c) pontjában meghatározott bűncselekmény jelentős számú információs rendszert érint. (3) A büntetés két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekményt közérdekű üzem ellen követik el. (4) E § alkalmazásában adat: információs rendszerben tárolt, kezelt, feldolgozott vagy továbbított tények, információk vagy fogalmak minden olyan formában való megjelenése, amely információs rendszer általi feldolgozásra alkalmas, ideértve azon programot is, amely valamely funkciónak az információs rendszer által való végrehajtását biztosítja.
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
17
BTK 424 Információs rendszer védelmét biztosító technikai intézkedés kijátszása 424. § (1) Aki a 375. vagy a 423. §-ban meghatározott bűncselekmény elkövetése céljából az ehhez szükséges vagy ezt könnyítő a) jelszót vagy számítástechnikai programot készít, átad, hozzáférhetővé tesz, megszerez, vagy forgalomba hoz, illetve b) jelszó vagy számítástechnikai program készítésére vonatkozó gazdasági, műszaki, szervezési ismereteit más rendelkezésére bocsátja, vétség miatt két évig terjedő szabadságvesztéssel büntetendő. (2) Nem büntethető az (1) bekezdés a) pontjában meghatározott bűncselekmény elkövetője, ha - mielőtt a bűncselekmény elkövetéséhez szükséges vagy ezt megkönnyítő jelszó vagy számítástechnikai program készítése a büntető ügyekben eljáró hatóság tudomására jutott volna - tevékenységét a hatóság előtt felfedi, az elkészített dolgot a hatóságnak átadja, és lehetővé teszi a készítésben részt vevő más személy kilétének megállapítását. (3) E § alkalmazásában jelszó: az információs rendszerbe vagy annak egy részébe való belépést lehetővé tevő, számokból, betűkből, jelekből, biometrikus adatokból vagy ezek kombinációjából álló bármely azonosító. XL
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
18
Other courses Coding theory – BsC, general background, intro to cryptography Data Security – basics of data/network security, cryptography Security (and networking) special – deep into some aspects Secure programming – deep into secure and unsecure programming Practical network security (this course) • More information about the practice • Deeper insight into actual problems of the real life • Show how security protection and assessment tools are working (not exhausting – the goal is to understand what is this all about) Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
19
Házi, részvétel, vizsga Részvételt nem ellenőrzöm Házi feladat kötelező http://www.crysys.hu/courses/hbgyak/ PPT Jelszó: csuka Adatlap: https://www.vik.bme.hu/kepzes/targyak/VIHIM327/ (kértük módosítását, de ez a hivatalos) a. A szorgalmi időszakban: 1 db házi feladat b. A vizsgaidőszakban: szóbeli vizsga. A vizsgajegy kiszámításának módja: házi feladat 25%, szóbeli vizsga A házi feladat, a pótlási hét csütörtök 12 óráig, különeljárási díj ellenében pótolható. Tehát: Házi feladat nélkül is aláírást kell adnom, de valójában ezt el akarjuk kerülni. Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
20
News 2014 mobile.businessweek.com/articles/2014-02-21/neiman-marcushackers-set-off-60-000-alerts-while-bagging-credit-card-data Apple SSL validation failure or backdoor SSLVerifySignedServerKeyExchange() a.k.a. The “goto epicfail;” bug http://www.msuiche.net/2014/02/22/sslverifysignedserverkeyexchangea-k-a-the-goto-epicfail-bug/ if ((err = ReadyHash(&SSLHashSHA1, &hashCtx)) != 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &clientRandom)) != 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0) goto fail; goto fail; < ============================================== BUG ! (backdoor ?) if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0) goto fail Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
21
http://www.ehackingnews.com/2014/02/ec-council-officialwebsite-hacked.html EC Council “Certified Ethical Hacker” – CEH web site defaced Also http://attrition.org/errata/charlatan/ec-council/ MySec Talk http://infoter.eu/video/mysec_talk_extra_spamming_botnet_ kliens_a_boncasztalon
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
22
Goal for today Introduction to terms Learn some basics about network security stakeholders, methods, etc. Some examples how tools will be presented with screen recordings
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
23
http://www.slideshare.net/DavidEtue/adversary-roi-evaluating-security-from-the-threatactors-perspective
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
24
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
25
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
26
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
27
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
28
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
29
http://www.slideshare.net/DavidEtue/adversary-roi-evaluating-security-from-thethreat-actors-perspective
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
30
1. Security stakeholders Security chief (CIO, etc.) Owners/managers Employees Internet Service Provider Contracted professionals (security product vendors, ethical hackers, etc.) Auditors Outsider attackers Everybody has a different goal Everybody has different permissions, possibilities Something working in the classroom might not work in reallife Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
31
Attackers Internal attackers Script kiddies Internet-wide scans (botnets, worms, etc.) Targeted attackers (with low budget) Professional targeted attackers (high budget) Differences: What tools can they use (budget, knowledge) What time constraint they have How much computing, network resources they have How targeted is the attack What (how deep, sophisticated) is the main goal of an attack (e.g. just have a proxy -> ransom, multi-million dollar theft, obtaining millions of credit cards) Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
32
Point-of-View of the attacker The attacker focuses on errors rather than what is working Tries to find the weakest point Finds new ways to attack This is why security testing, audits are important! If You learned security, You can avoid typical errors However, It is hard to identify system-wide problems at the first glance, during a large-scale development … And nobody has enough time to do everything in a secure fashion It is not impossible to do security testing against Your own work – just take a different hat and a bit different thinking,… Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
33
Some practical examples, tools 1. Kernel hack (Script-kiddie style) VIDEO kernel_hack_2618 (10 mins)
Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
34
Kérdések? KÖSZÖNÖM A FIGYELMET!
Dr. Bencsáth Boldizsár adjunktus BME Hálózati Rendszerek és Szolgáltatások Tanszék [email protected] Intro
© Dr. Bencsáth Boldizsár, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
35