Útoky na informační systémy Ing. Zdeněk Blažek, CSc. CISM. COMMERZBANK AG Jh. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze © Zdeněk Blažek, 2011
Kybernalita ZS 2011/12, Předn. 2 https://edux.fit.cvut.cz/MI-KYB-1
Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti
Ing. Zdeněk Blažek, CSc. CISM.
Útoky na informační systémy
Přednáška 2/13, 2011
Kybernalita • Kontakt: – Ing. Zdeněk Blažek, CSc. CISM – GSM: +420 603 200 858 – E-mail:
[email protected]
Útoky na informační systémy
• Agenda – Bezpečnost - jak ji chápat z praktického hlediska – Základní prvky bezpečnosti dat – Základní typy útoků – Nepublikované útoky – Jak postupovat
Útoky na informační systémy
• Bezpečnost – jak ji chápat z praktického hlediska – Organizace – Chování – Morálka – Technické prostředky – Fyzická bezpečnost Inteligence uživatelů výpočetní techniky !!!
Útoky na informační systémy
• Lidský faktor útoku – Msta – Ctižádost, pýcha – Touha po penězích
• Social engineering – manipulace s lidmi – Využívá lidské: • Neopatrnosti • Neodpovědnosti • Hlouposti
Útoky na informační systémy
• Typy útoků – Aktivní – Pasivní
• Útoky vedené technickými prostředky • Útoky vedené netechnickými prostředky • Princip „C“ „I“ „A“ C – Confidentiality/důvěrnost I -- Integrity/celistvost A – Availability/dostupnost Aby byl útok úspěšný, musí být porušen alespoň jeden z těchto principů
Druhy útoků na informační systémy - 1 Typy technických útoků dle charakteristických rysů •
Eavesdropping – odposlouchávání –
•
Data Modification – změna dat –
•
Obecně vzato, většina počítačové komunikace se odehrává v otevřené formě. To umožňuje útočníkovi, který se jakýmkoliv způsobem dostane do informačního systému, velmi snadné sledování a nahrávání komunikace. Taková činnost se také nazýbá „sniffing“ nebo „snooping“. Možnost monitorovat provoz na síťové infrastruktuře je pro administrátory velký problém. V zásadě by tato možnost odposlouchávání padla se šifrováním. Je zde však problém nákladů a správy. Jedním z možných kroků, které lze udělat po té, co útočník přečte vaše data, je jejich změna. Útočník může modifikovat data i bez znalosti odesílatele nebo příjemce.
Identity Spoofing (IP Address Spoofing) – podvržení adresy – – –
IP adresa je použitá velmi často jako nástroj identifikace. Ve chvíli, kdy útočník podvrhne IP adresu, tak jej lze již těžko vysledovat, navíc se velmi často dostává k vlastním systémům napadeného. Proto využívá služeb jako např. RPC (Remote Procedure Call) X windows R funkce jako rlogin… Služby využívající IP adresy jako identifikace Lze rovněž použít speciální programy, které konstruují IP packety tak, že odpovídají platné adrese uvnitř firemní sítě. Ve chvíli, kdy útočník získává přístup do sítě skrze platnou IP adresu, tak může snadno přesměrovat, změnit nebo vymazat data. Zároveň může provést i některý další útok. IP spoofing se nejvíce používá v rámci útoků typu omezení služeb ( denial-of-service attacks).
Druhy útoků na informační systémy - 2 •
Password-Based Attacks – útoky založené na znalosti hesel –
– – –
•
Společným rysem všech současných systémů je přístup chráněný heslem. To umožńuje jistou míru autentizace[ Autentizace (z německého Authentisierung) je proces ověření proklamované identity subjektu]. Proběhne-li proces autentizace, dojde k autorizaci (souhlas, schválení, umožnění přístupu, atp.). Starší aplikace nechrání často heslo při transportu po síti a tak event. Odposlech může sndno takové heslo zjistit. Když útočník získá heslo, může jej snadno zneužít. Zejména jde o nebezpečí v případě administrátorských práv. Po získání přístupu do sítě na základě platného hesla, může útočník dělat následující: • Získat seznam platných uživatelů, počítačů (jmen…) a důležité informace o síti. • Lze modifikovat konfigurace serverů, pracovních stanic event. i síťových prvků. • Změnit, vymazat nebo přesměrovat data.
Denial-of-Service Attack – odmítnutí služby – –
Na rozdíl od útoku, využívajícího hesla, DOS útok brání ve využívání počítače, či jejich sítě právoplatnými uživateli. Po získání přístupu, může útočník provést následující: • Skrýt se před správci sítě tím, že provoz sítě je rozložen náhodně. Správci si tak nevšimnou útoku ihned. To umožňuje vést několik útoků současně. • Poslat neplatná data do aplikace a tak způsobit její abnormální ukončení nebo nestandardní chování. • Zaplavit počítačový systém takovými požadavky, které nakonec způsobí nucené odstavení systému z důvodu přetížení. • Zablokovat provoz, což znamená ztrátui přístupu na síť oprávněnými uživateli. první fáze útoku (odstavení určitého počítače). SYN flood útok (zaslání TCP paketů s žádostí o navázání spojení z nedostupného počítače) ICMP bombing přetížení mailserveru velkým množstvím majlů.
Druhy útoků na informační systémy - 3 • Man-in-the-Middle Attack – Muž uprostřed – –
Jak již jméno napovídá, znamená to, že mezi vámi a cílem vaší komunikace je někdo další – nezvaný. útočník většinou monitoruje provoz, přičemž na nižších vrstvách komunikace nemusí být počítač schopen zjistit změnu. Man-in-the-middle útoky mění identitu, účastník komunikace na druhé straně předpokládá, že komunikuje s vámi, ale neví o změnách identity, dat atd. Tento útok je obdobný útoku na aplikační úrovni – viz dále.Speciálním případem je útok Man in the Browser
• Compromised-Key Attack – útok s pomocí odtajněného klíče – –
Klíč je tajné číslo, kód nutný k získání zabezpečené informace. I když získání klíče je velice složité a pro útočníka často velmi náročné, v zásadě je možné. Ve chvíli, kdy je takový útok úspěšný, hovoříme o kompromitovaném klíči. Útočník využívá získaného klíče pro proniknutí k utajovaným skutečnostem, komunikace atd. Znalost klíče umožňuje útočníkovi zůstat relativně v bezpečí. Navíc útočník získává i možnost vytvářet nové klíče, které mohou umožnit další přístupy.
• Sniffer Attack – útok rozhlížením/čenicháním –
–
sniffer je aplikace či zařízení, které umožňuje sledování, čtení a event. Zachytávání komunikace na síti. Jestliže jsou jednotlivé složky dat nechráněny šifrováním, útočník získává kompletní přehled o datech v síti. I data v tunelech lze odkrýt a pak číst i když útočník nezná klíč. Útočník může s daným produktem dělat následující:
• Analyzovat vši síť a získat informace nejen o datech, ale může i způsobit zhroucení sítě. • Číst vaši komunikaci.
Druhy útoků na informační systémy - 4 • Application-Layer Attack – útok na aplikační úrovni • Útok na aplikační úrovni je většinou zaměřen na servery hostící aplikaci, kde má za cíl způsobit chybu buď v systémech nebo přímo aplikaci. Tato chyba pak útočníkovi umožní obejít přístupové ochrany. Útočník pak získává kontrolu nad napadenou aplikací, operačním systémem, sítí atd. a může dělat následující: • Číst, přidávat, mazat nebo měnit data či operační systém. • Zavést do systému škodlivý kód, který se může sítí dále šířit. • Zavést do systému program, který umožní sledování (sniffer) • Způsobit přerušení práce operačního systému/aplikace • Zablokovat bezpečnostní kontroly pro případné útoky v budoucnosti – Příklady: • Buffer overflow - využívá chyb v programech. Program se nepodívá zda má při zápisu do paměti dostatek místa a něco zapíše do oblasti kam by normálně nemohl • SQL injection - jde o to dostat se do databáze i přes neověřený přístup a získat tak možnost, aby databáze pracovala podle kódu, který je zadán útočníkem. Jestliže je aplikace naprogramována bez znalosti věci – naivně, pak si přímo říká o překvapení
Útoky na informační systémy
Příklady obrany proti SQL injection • Escape/Quotesafe vstup – pozor na ´“ atd. • Používejte vázané parametry - SQL příkaz je vytvořen s přikázaným umístěním „?“ pro každý parametr a připraven pro vnitřní reprezentaci • Omezte přístupy a povolení, vytvářejte uživatelské skupiny • Pro přístup do databáze používejte připravené procedury • Izolujte webserver • Připravte dobrý systém hlášení poruch …
Všimněte si, že obrana je založena převážně na organizačních postupech….
Škodlivé programy Škodlivé programy rozdělujeme do skupin: • • • • • • • • • • •
Adware - Programy, které vás většinou obtěžují při práci na PC reklamou. Browser Helper Object - Jde o DLL knihovnu, která umožňuje programátorům změnit a sledovat Internet Explorer. Hijacker - mění vám domácí stránku. Dialer - přesměrovává telefoní linku na drahé telefoní tarify (v současnosti hlavně útoky na mobilní telefony). Keystroke Logger - sledují každý pohyb na vaší klávesnici. Některé druhy odesílají vaše hesla, na email autora. Malware – škodlivý kód, který je obsažen v programech, které tvrdí, že spyware odstraní. Miscellaneous - Spyware, které je mixem skupin spyware. Obsahuje od každého něco. Remote Administration - umožní vzdálenému uživateli, ovládat vaše PC. Tracer – program, který sleduje pohyb vašeho mobilního zařízení. Trojský kůň – program, který se vetře do systému pod jiným účelem, než pro který je určen – pak škodí, sleduje atd. ....
Nové typy útoků • V současnosti se jeví jako velmi nebezpečný útok Micromalware – Jde o škodlivý kód, který je však rozšiřován na poměrně malém počtu počítačů (desítky až stovky) – Tento kód vykazuje abnormální chování a bezpečnostní programy na ně často nedokáží reagovat. – Občas dojde k chybě při nasazení a kód se rozšíří masově – viz Stuxnet
Micromalware- příklad •
• •
• • •
STUXNET je program zaměřený na platformu MS WINDOWS. Byl odhalen v roce 2010, červenci. Útočí na průmyslová zařízení, jako první zdokumentovaný červ tohoto druhu. Je nebezpečný tím, že nejen monitoruje, ale dokáže i přeprogramovat průmyslově využívaná programovatelná zařízení – PLC. Využívá k tomu formy rootkitu, který zavěsí do těchto řídicích jednotek. STUXNET je navržen k tomu aby měnil data a programy v PLC v průmyslových řídicích systémech (ICS). Jde především o regulaci tlaku, teploty apod. STUXNET napadl pět íránských organizací s pravděpodobným cílem, poškodit či omezit program obohacování uranu. Symantec v roce 2010 uvedl, že 60% napadených počítačů bylo v Íránu. 29. 11. 2010 Siemens uvedl, že virus nepoškodil žádného z oficiálních zákazníků této firmy. K poškození došlo pouze v Íránu, který používal nelegálně dovezené stroje nebo jejich kopie. Stuxnet se šíří přes USB disky. V Asii byl šířen měsíce než se dostal do Natanzu, íránské hlavní základny pro obohacování uranu. Červ poznenáhlu začal zvyšovat rychlost v centrifugách až za kritickou mez a zároveň změnil hlášení o stavu tak, že vše vypadalo normálně. Trvalo to týdny, než se podařilo zjistit, co je příčinou zničení zařízení. Došlo k významnému zpoždění celého programu.
Hrozba pro celý internet Kompromitování certifikačních autorit • Když se podařilo kompromitovat Google website autentizační certifikát, tak to představovalo jisté starosti, ale to co se stalo v srpnu t.r., kdy byla kompromitována holandská CA DigiNotar, je mnohem nebezpečnější, než se může zdát. Je to extrémní nebezpečí ahrozba pro celý současný systém. • 30. VIII. 2011 media přinesla zprávu, že hacker, který používá přezdívku "Comodohacker" kompromitoval 19. VII. 2011 Google autentizační certifikát, což mu umožnilo instalovat podvodné stránky pod legitimní Google doménou a získávat osobní údaje každého, kdo je navštívil s tím, že certifikát mu zaručuje ochranu. • Originál: „The DigiNotar problem, it turns out, extends beyond Google: Hackers stole not just one SSL certificate, but 531, including ones for Facebook, Skype, Mozilla, Microsoft, Yahoo, Android, Twitter, and Web domains owned by the CIA, Israel's Mossad and the UK's M16, Computerworld reported.“ Další problém je, že firmy nevarují v dostatečném předstihu uživatele: • As a result, security experts are warning Mac owners to avoid using Safari until Apple does so, and to use the Mac versions of Firefox, Chrome or Opera instead. • The situation is similarly blurry on the mobile front. Smartphone and tablet makers are notoriously slow to update Google's Android software, and Apple has made no announcements regarding revocation of DigiNotar certificates for iOS (kompromitování CA)
Nepublikované typy útoků • Jde o útoky na samotnou podstatu internetu. Příklad: – Útoky na síťové prvky – směrovače (root kit na IOS směrovačů – 2009). – Kaminského útok na DNS servery
Další typy trestné činnosti provozované v kyberprostoru
• Pirátská distribuce neautorizovaného sw • Pirátská distribuce autorsky chráněných děl • Poškozování ochranných prvků sw • Poškozování ochranných prvků autorsky chráněných děl • Korupce jako jeden z nejdůležitějších činitelů kriminality v kyberprostoru • Krádeže identity …..
Útoky na informační systémy •
Krádež identity Dobrý den .. Já jsem paní Mary Jane spolehlivé a akreditované peníze věřitele, budete potřebovat úvěr máte zájem o finanční službu, a pokud ano, tady to, že jsi šanci pomoci kontaktujte mne dnes přes:?
[email protected], u této půjčky, která Nacházíte se hledal, a také, jak dostat své úvěrové transakce začala Žádáme Vás o vyplnění formulář žádosti o úvěr v případě potřeby dále, aby se také, jak dostat své úvěrové transakce začala, takže se můžete také dostat své úvěr co nejdříve . Níže je formulář žádosti o úvěr, to Vyplňte ji a vrátit se zpět, jakmile je to možné, tak, aby byli schopni dostat své úvěrové transakce zahájena co nejdříve. ÚVĚR dlužníků informace. Vaše jména a příjmení :........................... Výše úvěru Požadovaná :.......................... Trvání půjčky :.......................... Účelu úvěru :.......................... Adresu žadatele, :............................. Povolání: .......................... Bydliště: .......................... Stav: .......................... Země :.......................... Pohlaví: .......................... Věk :.......................... Mobilní ............................ Měsíční příjem :.......................... Díky, jak my očekávají vaši naléhavou odpověď. Paní Mary Jane
Útoky na informační systémy • Děkuji za pozornost • Dotazy