View
50
Download
2
Category
Preview:
DESCRIPTION
Le armi di un hacker. Stefano Suin < stefano@unipi.it > Centro di Servizi per la rete di Ateneo Università di Pisa. Argomenti. Introduzione: Vulnerabilità delle reti IP Metodologie classiche di attacco Gli strumenti in dettaglio - PowerPoint PPT Presentation
Citation preview
Stefano Suin - Le armi di un hacker-1
Stefano Suin - Le armi di un hacker-1AIPA, 8/11/1999AIPA, 8/11/1999
Le armi di un hackerLe armi di un hackerLe armi di un hackerLe armi di un hacker
Stefano Suin Stefano Suin <<stefano@unipi.itstefano@unipi.it>>
Centro di Servizi per la rete di Centro di Servizi per la rete di AteneoAteneo
Università di PisaUniversità di Pisa
Stefano Suin - Le armi di un hacker-2
Stefano Suin - Le armi di un hacker-2AIPA, 8/11/1999AIPA, 8/11/1999
ArgomentiArgomentiArgomentiArgomenti Introduzione: Vulnerabilità delle reti IPIntroduzione: Vulnerabilità delle reti IP Metodologie classiche di attacco Metodologie classiche di attacco Gli strumenti in dettaglioGli strumenti in dettaglio
I fase: Recupero di informazioni sulla rete obiettivo I fase: Recupero di informazioni sulla rete obiettivo dell’attaccodell’attacco
II fase: information gathering e identificazione dei II fase: information gathering e identificazione dei componenti “trusted” della rete obiettivocomponenti “trusted” della rete obiettivo
III Fase: attacco!III Fase: attacco! IV Fase: cancellazione delle tracceIV Fase: cancellazione delle tracce V Fase: espansione dell’attaccoV Fase: espansione dell’attacco
Teoria degli attacchi alle retiTeoria degli attacchi alle reti Denial of service Denial of service SpoofingSpoofing Sniffing Sniffing highjakinghighjaking
Documentazione / StatisticheDocumentazione / Statistiche
Stefano Suin - Le armi di un hacker-3
Stefano Suin - Le armi di un hacker-3AIPA, 8/11/1999AIPA, 8/11/1999
Vulnerabilità delle reti IPVulnerabilità delle reti IPVulnerabilità delle reti IPVulnerabilità delle reti IP
Stefano Suin - Le armi di un hacker-4
Stefano Suin - Le armi di un hacker-4AIPA, 8/11/1999AIPA, 8/11/1999
ObiettiviObiettiviObiettiviObiettivi Reti corporative: funzionalità Reti corporative: funzionalità
ed efficienza, ma non sicurezzaed efficienza, ma non sicurezza Concentrazione degli attacchiConcentrazione degli attacchi
Istituti finanziari e banche - Istituti finanziari e banche - frodifrodi Service Provider - Service Provider - customer database e customer database e
intercettazioniintercettazioni
Pubbliche amministrazioni - Pubbliche amministrazioni - sfida, frodisfida, frodi Agenzie governative e della difesa - Agenzie governative e della difesa -
sfida, spionaggiosfida, spionaggio
Aziende farmaceutiche - Aziende farmaceutiche - spionaggiospionaggio
Aziende multinazionali - Aziende multinazionali - spionaggiospionaggio (fonte Network. Security Solutions ltd, http://www.ns2.co.uk)(fonte Network. Security Solutions ltd, http://www.ns2.co.uk)
Stefano Suin - Le armi di un hacker-5
Stefano Suin - Le armi di un hacker-5AIPA, 8/11/1999AIPA, 8/11/1999
VulnerabilitàVulnerabilitàVulnerabilitàVulnerabilità
Le caratteristiche intrinseche Le caratteristiche intrinseche di Internet che rendono di Internet che rendono possibili la grande possibili la grande maggioranza degli attacchi maggioranza degli attacchi all’esterno: il modello client-all’esterno: il modello client-server e la tecnologia di server e la tecnologia di trasmissione del tipo trasmissione del tipo “commutazione di pacchetto”.“commutazione di pacchetto”.
Stefano Suin - Le armi di un hacker-6
Stefano Suin - Le armi di un hacker-6AIPA, 8/11/1999AIPA, 8/11/1999
Vulnerabilità delle reti: il Vulnerabilità delle reti: il modello client-servermodello client-server
Vulnerabilità delle reti: il Vulnerabilità delle reti: il modello client-servermodello client-server
ServerServer : : qualsiasi programma che qualsiasi programma che offre un serviziooffre un servizio utilizzabile tramite utilizzabile tramite una rete. Un server accetta una rete. Un server accetta richieste che gli arrivano via rete, richieste che gli arrivano via rete, fornisce il servizio e restituisce il fornisce il servizio e restituisce il risultato al richiedente. Ogni server risultato al richiedente. Ogni server è associato ad una è associato ad una portaporta diversa. diversa.
ClientClient : : e’ un programma che e’ un programma che invia una richiestainvia una richiesta ad un server, ad un server, esplicitando l’indirizzo destinatario esplicitando l’indirizzo destinatario e la porta associata al servizio, ed e la porta associata al servizio, ed attende da questi una risposta.attende da questi una risposta.
Stefano Suin - Le armi di un hacker-7
Stefano Suin - Le armi di un hacker-7AIPA, 8/11/1999AIPA, 8/11/1999
Il modello client-serverIl modello client-serverIl modello client-serverIl modello client-server
Client ServerRequest
(IP dest, server port)
Elaborazione della richiesta
Response
IP source, client port
Stefano Suin - Le armi di un hacker-8
Stefano Suin - Le armi di un hacker-8AIPA, 8/11/1999AIPA, 8/11/1999
Il modello client-server - 2Il modello client-server - 2Il modello client-server - 2Il modello client-server - 2
Un server deve essere in grado di Un server deve essere in grado di processare più richieste concorrenti processare più richieste concorrenti (es. più file transfer)(es. più file transfer)
. . .
MASTER
Clients
Generalmente la struttura di un server e’quella in figura.Il master e’ incaricato di accettare le richieste svolgendo anche compiti di controllo sugli accessi. Accettata una richiesta si “ sdoppia “ ( fork di Unix )generando uno slave che si occuperà di processare la richiesta.Il master nel frattempo si e’ rimesso in attesa.
Stefano Suin - Le armi di un hacker-9
Stefano Suin - Le armi di un hacker-9AIPA, 8/11/1999AIPA, 8/11/1999
Modello generaleModello generaleModello generaleModello generale
Server host
SMTP/ 25
HTTP/ 80
FTP/ 21
POP3/ 110
Server daemon
Client 1
Client 2
Client n
......
Stefano Suin - Le armi di un hacker-10
Stefano Suin - Le armi di un hacker-10AIPA, 8/11/1999AIPA, 8/11/1999
Connection estabilishment Connection estabilishment protocolprotocol
Connection estabilishment Connection estabilishment protocolprotocol
Connessione TCP fra client e serverConnessione TCP fra client e serverthree-way handshakethree-way handshake
Invio SYNISN = x
Ric. SYN+ACKInvio ACK y+1
Ric. segmento SYNInvio SYN ISN=y ACK x+1
Ric. segmento ACK
Stefano Suin - Le armi di un hacker-11
Stefano Suin - Le armi di un hacker-11AIPA, 8/11/1999AIPA, 8/11/1999
Sicurezza dei serverSicurezza dei serverSicurezza dei serverSicurezza dei server
I server ricoprono un ruolo I server ricoprono un ruolo primario nella sicurezza delle primario nella sicurezza delle reti. Una volta ottenuto un reti. Una volta ottenuto un accesso non autorizzato a un accesso non autorizzato a un server, il resto della rete è server, il resto della rete è facilmente attaccabile.facilmente attaccabile.
Stefano Suin - Le armi di un hacker-12
Stefano Suin - Le armi di un hacker-12AIPA, 8/11/1999AIPA, 8/11/1999
Vulnerabilità delle reti: la Vulnerabilità delle reti: la trasmissione a commutazione trasmissione a commutazione
di pacchettodi pacchetto
Vulnerabilità delle reti: la Vulnerabilità delle reti: la trasmissione a commutazione trasmissione a commutazione
di pacchettodi pacchetto
L'informazione è raggruppata in pacchetti.
A
DB
C
R3 R4
R2R1C CD C C
D D DC A
C C
D
B
Stefano Suin - Le armi di un hacker-13
Stefano Suin - Le armi di un hacker-13AIPA, 8/11/1999AIPA, 8/11/1999
Commutazione di CircuitoCommutazione di CircuitoCommutazione di CircuitoCommutazione di Circuito
AA
DDBB
CC
I commutatori creano dei circuiti punto-punto
Stefano Suin - Le armi di un hacker-14
Stefano Suin - Le armi di un hacker-14AIPA, 8/11/1999AIPA, 8/11/1999
Commutazione di pacchettoCommutazione di pacchettoCommutazione di pacchettoCommutazione di pacchetto
Trasmissioni contemporaneeTrasmissioni contemporanee Non c’è impegno di lineaNon c’è impegno di linea Il cammino viene ricalcolato ogni Il cammino viene ricalcolato ogni
volta dai computer reinstradatori volta dai computer reinstradatori [[RouterRouter] (e quindi può seguire ] (e quindi può seguire strade diversestrade diverse
I ritardi sono un fattore normale, I ritardi sono un fattore normale, intrinseco in questa tecnologia intrinseco in questa tecnologia di trasporto.di trasporto.
Stefano Suin - Le armi di un hacker-15
Stefano Suin - Le armi di un hacker-15AIPA, 8/11/1999AIPA, 8/11/1999
Metodologie classiche di Metodologie classiche di attacco alle reti informaticheattacco alle reti informatiche
Metodologie classiche di Metodologie classiche di attacco alle reti informaticheattacco alle reti informatiche
Stefano Suin - Le armi di un hacker-16
Stefano Suin - Le armi di un hacker-16AIPA, 8/11/1999AIPA, 8/11/1999
Gli hackerGli hackerGli hackerGli hacker Maschio, età fra 16 e 25 anni, Maschio, età fra 16 e 25 anni,
molti interessati a forzare le molti interessati a forzare le protezioni per aumentare il protezioni per aumentare il proprio skill o per poter disporre proprio skill o per poter disporre di ulteriori risorse di rete. Hanno di ulteriori risorse di rete. Hanno molto tempo a disposizione e molto tempo a disposizione e possono rendere i loro attacchi possono rendere i loro attacchi diluiti nel tempo e, soprattutto, diluiti nel tempo e, soprattutto, persistenti, concentrando gli persistenti, concentrando gli interventi nelle ore notturne o del interventi nelle ore notturne o del fine settimana. fine settimana.
(fonte: Front Line Infornmation Security Team - FIST, dec. (fonte: Front Line Infornmation Security Team - FIST, dec. 98)98)
Stefano Suin - Le armi di un hacker-17
Stefano Suin - Le armi di un hacker-17AIPA, 8/11/1999AIPA, 8/11/1999
Le armiLe armiLe armiLe armi SniffersSniffers Password CrackersPassword Crackers ScannersScanners WormsWorms RootkitRootkit Hijacking toolsHijacking tools DNS spoofing toolsDNS spoofing tools Exploit SendmailExploit Sendmail Guess default pw-sGuess default pw-s Social engineeringSocial engineering
SpoofersSpoofers Killer packetsKiller packets BackdoorsBackdoors Trojan HorseTrojan Horse Flooding toolFlooding tool Back OrificeBack Orifice NFS config errorsNFS config errors portmapper/RPCportmapper/RPC IP spoof r* cmdsIP spoof r* cmds
[Robert T. Morris[Robert T. Morris
At&T LaboratoriesAt&T Laboratories]
Stefano Suin - Le armi di un hacker-18
Stefano Suin - Le armi di un hacker-18AIPA, 8/11/1999AIPA, 8/11/1999
Servizi di una reteServizi di una reteServizi di una reteServizi di una rete
Servizi generalmente attivi in Servizi generalmente attivi in una network classicauna network classica Web aziendale (in casa o in hosting dal Web aziendale (in casa o in hosting dal
proprio provider)proprio provider) E.Mail per le comunicazioni globaliE.Mail per le comunicazioni globali Rete locale per l’accesso ad InternetRete locale per l’accesso ad Internet Accesso remotoAccesso remoto DNSDNS
Stefano Suin - Le armi di un hacker-19
Stefano Suin - Le armi di un hacker-19AIPA, 8/11/1999AIPA, 8/11/1999
Attacchi dall’esternoAttacchi dall’esternoAttacchi dall’esternoAttacchi dall’esterno
L’attacco dall’esterno L’attacco dall’esterno rappresenta la parte difficile, rappresenta la parte difficile, una volta entrati, il resto della una volta entrati, il resto della rete è facilmente prendibilerete è facilmente prendibile
Stefano Suin - Le armi di un hacker-20
Stefano Suin - Le armi di un hacker-20AIPA, 8/11/1999AIPA, 8/11/1999
Tipologia degli attacchiTipologia degli attacchiTipologia degli attacchiTipologia degli attacchi Bisogna distinguere i problemi di Bisogna distinguere i problemi di
insicurezza delle reti in due grandi insicurezza delle reti in due grandi classi:classi:
1) Debolezze strutturali del 1) Debolezze strutturali del protocollo TCP/IPprotocollo TCP/IP
2) Mancanza di correttezza delle 2) Mancanza di correttezza delle implementazioni dei programmi per implementazioni dei programmi per la gestione dei servizila gestione dei servizi
Nella seconda classe si Nella seconda classe si concentrano la maggioranza concentrano la maggioranza degli attacchidegli attacchi
Stefano Suin - Le armi di un hacker-21
Stefano Suin - Le armi di un hacker-21AIPA, 8/11/1999AIPA, 8/11/1999
Profilo delle strategie tipicheProfilo delle strategie tipicheProfilo delle strategie tipicheProfilo delle strategie tipiche
Azioni di scan della reteAzioni di scan della rete Per individuare reti o porzioni di reti che Per individuare reti o porzioni di reti che
possono essere vulnerabili agli attacchipossono essere vulnerabili agli attacchi Per individuare i singoli host e le loro Per individuare i singoli host e le loro
caratteristiche: sistema operativo, server caratteristiche: sistema operativo, server running daemon, porte TCP aperterunning daemon, porte TCP aperte
Azione intrusivaAzione intrusiva acquisizione dei diritti di super-utente acquisizione dei diritti di super-utente
(root)(root) Installazione di una backdoorInstallazione di una backdoor Patch al sistema operativo per Patch al sistema operativo per
nascondere le successive intrusioninascondere le successive intrusioni
Stefano Suin - Le armi di un hacker-22
Stefano Suin - Le armi di un hacker-22AIPA, 8/11/1999AIPA, 8/11/1999
Profilo delle strategie tipiche -2 Profilo delle strategie tipiche -2 Profilo delle strategie tipiche -2 Profilo delle strategie tipiche -2 Azione protettivaAzione protettiva
patch al sistema operativo per rendere patch al sistema operativo per rendere inaccessibile il sistema ad altri hacker. (gli inaccessibile il sistema ad altri hacker. (gli hacker sono i maggiori esperti di hacker sono i maggiori esperti di sicurezza!)sicurezza!)
installazione di backdoorinstallazione di backdoor
Azione intercettivaAzione intercettiva in base all’obiettivo:in base all’obiettivo:
SnifferSniffer password crackerpassword cracker Back OrificeBack Orifice ………………......
Stefano Suin - Le armi di un hacker-23
Stefano Suin - Le armi di un hacker-23AIPA, 8/11/1999AIPA, 8/11/1999
Metodologie di attacco: gli Metodologie di attacco: gli strumenti in dettagliostrumenti in dettaglio
Metodologie di attacco: gli Metodologie di attacco: gli strumenti in dettagliostrumenti in dettaglio
Stefano Suin - Le armi di un hacker-24
Stefano Suin - Le armi di un hacker-24AIPA, 8/11/1999AIPA, 8/11/1999
I fase: I fase: Recupero di informazioni Recupero di informazioni sulla rete obiettivo dell’attaccosulla rete obiettivo dell’attacco
I fase: I fase: Recupero di informazioni Recupero di informazioni sulla rete obiettivo dell’attaccosulla rete obiettivo dell’attacco
Visibilità esterna della rete.Visibilità esterna della rete. Interrogazioni al nameserverInterrogazioni al nameserver Web pageWeb page Ftp repositoryFtp repository Interrogazioni al sistema di postaInterrogazioni al sistema di posta Interrogazioni alInterrogazioni al finger finger
L’hacker ottiene una lista degli L’hacker ottiene una lista degli host e un piano delle relazioni host e un piano delle relazioni esistenti fra questiesistenti fra questi
Stefano Suin - Le armi di un hacker-25
Stefano Suin - Le armi di un hacker-25AIPA, 8/11/1999AIPA, 8/11/1999
Recupero informazioni sugli Recupero informazioni sugli hosthost
Recupero informazioni sugli Recupero informazioni sugli hosthost
Sistema Operativo e release Sistema Operativo e release corrente del software installato corrente del software installato connessioni alle porteconnessioni alle porte programmi reperibili su internet programmi reperibili su internet Es.: quesoEs.: queso
rpcinfo,snmp,telnet,SendMail rpcinfo,snmp,telnet,SendMail version, download binaries from version, download binaries from the public-ftp (analyzing its format)the public-ftp (analyzing its format)
http://www.apostols.org/projectz/http://www.apostols.org/projectz/queso/queso/
Stefano Suin - Le armi di un hacker-26
Stefano Suin - Le armi di un hacker-26AIPA, 8/11/1999AIPA, 8/11/1999
Macchine definite “trusted”Macchine definite “trusted”Macchine definite “trusted”Macchine definite “trusted” Una macchina si definisce Una macchina si definisce
“trusted” quando, essendo “trusted” quando, essendo considerata affidabile, gode diritti considerata affidabile, gode diritti particolari di accesso, non particolari di accesso, non autenticato, su altre macchine autenticato, su altre macchine della rete della rete
Generalmente si assegnano questi Generalmente si assegnano questi diritti a server o a macchine diritti a server o a macchine utilizzate per l’amministrazione utilizzate per l’amministrazione allo scopo di agevolare le allo scopo di agevolare le operazioni di manutenzione e di operazioni di manutenzione e di accesso ai servizi accesso ai servizi
Stefano Suin - Le armi di un hacker-27
Stefano Suin - Le armi di un hacker-27AIPA, 8/11/1999AIPA, 8/11/1999
II fase: information gathering e II fase: information gathering e identificazione dei componenti identificazione dei componenti ““trustedtrusted” della rete obiettivo” della rete obiettivo
II fase: information gathering e II fase: information gathering e identificazione dei componenti identificazione dei componenti ““trustedtrusted” della rete obiettivo” della rete obiettivo
Macchine di amministrazione, server, Macchine di amministrazione, server, routerrouter
Indentificazione delle vulnerabilità Indentificazione delle vulnerabilità più semplicipiù semplici spazio disco condivisibile (nsfd,netbios) spazio disco condivisibile (nsfd,netbios)
lasciato senza controllo degli accessilasciato senza controllo degli accessi finger per identificare gli utenti che si finger per identificare gli utenti che si
colleganocollegano più spesso più spesso Form Web che permettono la modifica di Form Web che permettono la modifica di
file di sistema critici per l’accesso non file di sistema critici per l’accesso non autenticato alle macchine autenticato alle macchine (hosts.allow / .rhosts)(hosts.allow / .rhosts)
Stefano Suin - Le armi di un hacker-28
Stefano Suin - Le armi di un hacker-28AIPA, 8/11/1999AIPA, 8/11/1999
Identificazione delle Identificazione delle vulnerabilità più complessevulnerabilità più complesse
Identificazione delle Identificazione delle vulnerabilità più complessevulnerabilità più complesse
Uso di strumenti per verificare Uso di strumenti per verificare i servizi attivii servizi attivi
Portscanning Azione di scansione remota delle porte
note per rilevare l’elenco dei servizi attivi su una certa macchina
si manda un pacchetto particolare “costringendo” la macchina target a una determinata risposta, da cui si possono trarre le informazioni del caso
Stefano Suin - Le armi di un hacker-29
Stefano Suin - Le armi di un hacker-29AIPA, 8/11/1999AIPA, 8/11/1999
Identificazione delle Identificazione delle vulnerabilità più complesse -2vulnerabilità più complesse -2
Identificazione delle Identificazione delle vulnerabilità più complesse -2vulnerabilità più complesse -2
Uso di suite reperibili sulla rete Uso di suite reperibili sulla rete per l’identificazione automatica per l’identificazione automatica della vulnerabilità e il della vulnerabilità e il reperimento del tool di attaccoreperimento del tool di attacco
Ricerca sui database di InternetRicerca sui database di Internet Keywords di ricerca piattaforma, servizioKeywords di ricerca piattaforma, servizio
Stefano Suin - Le armi di un hacker-30
Stefano Suin - Le armi di un hacker-30AIPA, 8/11/1999AIPA, 8/11/1999
I tool più usati per la rilevazione I tool più usati per la rilevazione automatica delle vulnerabilitàautomatica delle vulnerabilità
I tool più usati per la rilevazione I tool più usati per la rilevazione automatica delle vulnerabilitàautomatica delle vulnerabilità
ADMhack ADMhack la guida completa per tutti i tipi di hackerla guida completa per tutti i tipi di hacker ftp://ADM.isp.at/ADM/ftp://ADM.isp.at/ADM/
MscanMscan Nessuna home page: utilizzare un potente mezzo Nessuna home page: utilizzare un potente mezzo
per il rintracciamento del softwareper il rintracciamento del software http://ftpsearch.lycos.com/?form=mediumhttp://ftpsearch.lycos.com/?form=medium
NmapNmap l’arte del portscanningl’arte del portscanning http://www.dhp.com/~fyodor/nmaphttp://www.dhp.com/~fyodor/nmap
Nessus Nessus http://www.nessus.orghttp://www.nessus.org Satan Satan http://www.fish.com/~zen/satan/satan.htmlhttp://www.fish.com/~zen/satan/satan.html
Stefano Suin - Le armi di un hacker-31
Stefano Suin - Le armi di un hacker-31AIPA, 8/11/1999AIPA, 8/11/1999
Azione degli strumenti di scanAzione degli strumenti di scanAzione degli strumenti di scanAzione degli strumenti di scan
TCP portscan di un hostTCP portscan di un host Lista degli indirizzi IP e macchine associateLista degli indirizzi IP e macchine associate Dump dei servizi RCPDump dei servizi RCP Lista delle directory esportate via nfs, Lista delle directory esportate via nfs,
samba o netbiossamba o netbios Richieste fingerRichieste finger Scan delle vulnerabilità CGIScan delle vulnerabilità CGI Server X apertiServer X aperti Identificazione delle vulnerabilità Identificazione delle vulnerabilità
conosciute sui processi server, tipicamente conosciute sui processi server, tipicamente Posta elettronica, Nameserver, IMAP, POP3, Posta elettronica, Nameserver, IMAP, POP3, RPCRPC,, Http, Sistemi Operativi, Ftp, IRC Http, Sistemi Operativi, Ftp, IRC
Stefano Suin - Le armi di un hacker-32
Stefano Suin - Le armi di un hacker-32AIPA, 8/11/1999AIPA, 8/11/1999
Database per il reperimento Database per il reperimento delle vulnerabilità delle vulnerabilità
Database per il reperimento Database per il reperimento delle vulnerabilità delle vulnerabilità
Grande abbondanza di Grande abbondanza di documentazionedocumentazione
Gli stessi siti orientati ad Gli stessi siti orientati ad aumentare la sicurezza dei aumentare la sicurezza dei sistemi servono da repository sistemi servono da repository di software per consentire il di software per consentire il crack di sistemi telematicicrack di sistemi telematici
Http://www.rootshell.comHttp://www.rootshell.com Http://www.iss.net/xforceHttp://www.iss.net/xforce
Stefano Suin - Le armi di un hacker-33
Stefano Suin - Le armi di un hacker-33AIPA, 8/11/1999AIPA, 8/11/1999
rootshellrootshellrootshellrootshell
Stefano Suin - Le armi di un hacker-34
Stefano Suin - Le armi di un hacker-34AIPA, 8/11/1999AIPA, 8/11/1999
ISSISSISSISS
Stefano Suin - Le armi di un hacker-35
Stefano Suin - Le armi di un hacker-35AIPA, 8/11/1999AIPA, 8/11/1999
Un caso particolare: SNMPUn caso particolare: SNMPUn caso particolare: SNMPUn caso particolare: SNMP Attacco efficace perché rivolto a Attacco efficace perché rivolto a
router e altre apparecchiature di router e altre apparecchiature di connettività, sulle quali normalmente connettività, sulle quali normalmente non gira alcun programma di sicurezzanon gira alcun programma di sicurezza
Snmp attivato di default, community Snmp attivato di default, community ““public”public” per lettura, “ per lettura, “private”private” lettura/scritturalettura/scrittura
Snmp scan per individuare router e Snmp scan per individuare router e macchina attaccabilimacchina attaccabili
Snmp consente di modificare Snmp consente di modificare topologia, protezioni, indirizzamento.topologia, protezioni, indirizzamento.
Stefano Suin - Le armi di un hacker-36
Stefano Suin - Le armi di un hacker-36AIPA, 8/11/1999AIPA, 8/11/1999
III Fase: attacco!III Fase: attacco!III Fase: attacco!III Fase: attacco!
Durante le ore di chiusura (l’attacco è Durante le ore di chiusura (l’attacco è normalmente rilevabile nel momento in normalmente rilevabile nel momento in cui è in corso) preferiti i trusted external cui è in corso) preferiti i trusted external host (mailserver e nameserver), che host (mailserver e nameserver), che possono essere utilizzati da “ponte”, possono essere utilizzati da “ponte”, avendo accessibilità a brevi segmenti di avendo accessibilità a brevi segmenti di rete internarete interna
Viene sfruttata la porta di accesso Viene sfruttata la porta di accesso rilevata, ed utilizzata per l’installazione rilevata, ed utilizzata per l’installazione di “di “backdoorbackdoor” ovvero di porte nascoste ” ovvero di porte nascoste per consentire un accesso non per consentire un accesso non autorizzato e non rilevabileautorizzato e non rilevabile..
Stefano Suin - Le armi di un hacker-37
Stefano Suin - Le armi di un hacker-37AIPA, 8/11/1999AIPA, 8/11/1999
Attacco!Attacco!Attacco!Attacco! Vengono modificati i comandi stessi Vengono modificati i comandi stessi
del sistema operativo, soprattutto del sistema operativo, soprattutto quelli che servono per l’accesso al quelli che servono per l’accesso al sistema e per il controllo di sistema e per il controllo di processi ed utentiprocessi ed utenti stessa data, permessi e in molti casi stessa data, permessi e in molti casi
anche lo stesso filesizeanche lo stesso filesize uso di rcp evitando l’ftp, normalmente uso di rcp evitando l’ftp, normalmente
tutto monitorato con logtutto monitorato con log
Stefano Suin - Le armi di un hacker-38
Stefano Suin - Le armi di un hacker-38AIPA, 8/11/1999AIPA, 8/11/1999
IV Fase: cancellazione delle IV Fase: cancellazione delle traccetracce
IV Fase: cancellazione delle IV Fase: cancellazione delle traccetracce
pulizia dei log, cioè della “scatola pulizia dei log, cioè della “scatola nera di sistema” dove viene nera di sistema” dove viene registrata tutta l’attività. (buona registrata tutta l’attività. (buona norma: invio ad una norma: invio ad una stampante...)stampante...)
Installazione di Installazione di RootKit, RootKit, ovvero ovvero di software preconfezionati per di software preconfezionati per la modifica di un sistema la modifica di un sistema operativo. operativo.
Operazione rapida, di solito non Operazione rapida, di solito non rilevabile.rilevabile.
Stefano Suin - Le armi di un hacker-39
Stefano Suin - Le armi di un hacker-39AIPA, 8/11/1999AIPA, 8/11/1999
V Fase: espansione V Fase: espansione dell’attaccodell’attacco
V Fase: espansione V Fase: espansione dell’attaccodell’attacco
Dipende dal reale obiettivo:Dipende dal reale obiettivo: installazione backdoor su altri installazione backdoor su altri
sistemisistemi password crackerpassword cracker back orifice per il controllo remoto back orifice per il controllo remoto
dei sistemidei sistemi distruzione e cancellazione di filesdistruzione e cancellazione di files network flooding e Denial of Servicenetwork flooding e Denial of Service reboot e altri “disabling of network reboot e altri “disabling of network
abilityability””
Stefano Suin - Le armi di un hacker-40
Stefano Suin - Le armi di un hacker-40AIPA, 8/11/1999AIPA, 8/11/1999
SnifferSnifferSnifferSniffer
Software che consentono Software che consentono sofisticate intercettazioni di sofisticate intercettazioni di tutto il traffico dei dati sulla tutto il traffico dei dati sulla rete. rete.
Producono un enorme mole di Producono un enorme mole di dati, ma le ultime versioni sono dati, ma le ultime versioni sono in grado di isolare le in grado di isolare le informazioni sensibili e i dati di informazioni sensibili e i dati di interesse da tutto il resto.interesse da tutto il resto.
Stefano Suin - Le armi di un hacker-41
Stefano Suin - Le armi di un hacker-41AIPA, 8/11/1999AIPA, 8/11/1999
Uso degli snifferUso degli snifferUso degli snifferUso degli sniffer Output su file, che generalmente non sono rilevabili Output su file, che generalmente non sono rilevabili
perché i vari “find,locate” sono stati backdooratiperché i vari “find,locate” sono stati backdoorati Rilevabili invece i programmi in esecuzione Rilevabili invece i programmi in esecuzione
perché le interfaccie di rete vengono settate perché le interfaccie di rete vengono settate in in promiscous modepromiscous mode http://www.cert.org/tools/cpmhttp://www.cert.org/tools/cpm
tcpdumptcpdump ftp://ftp.ee.lbl.gov/tcpdump.tar.Zftp://ftp.ee.lbl.gov/tcpdump.tar.Z
ethereal ethereal http://www.zing.org/http://www.zing.org/
ntopntop http://www-serra.unipi.it/~ntophttp://www-serra.unipi.it/~ntop
Stefano Suin - Le armi di un hacker-42
Stefano Suin - Le armi di un hacker-42AIPA, 8/11/1999AIPA, 8/11/1999
Back OrificeBack OrificeBack OrificeBack Orifice Installazione di un server, trasmesso Installazione di un server, trasmesso
con qualsiasi applicazione “infetta” con qualsiasi applicazione “infetta” (mail, notepad, documento word…)(mail, notepad, documento word…)
L’applicazione si attiva ad ogni L’applicazione si attiva ad ogni accensione, mascherandosi, accensione, mascherandosi, secondo le volontà dell’hacker. secondo le volontà dell’hacker.
L’applicazione non appare nella L’applicazione non appare nella Windows Task listWindows Task list
Controllo completo della stazione Controllo completo della stazione attaccata con flusso di comandi attaccata con flusso di comandi criptato. criptato.
Stefano Suin - Le armi di un hacker-43
Stefano Suin - Le armi di un hacker-43AIPA, 8/11/1999AIPA, 8/11/1999
Bo2KBo2KBo2KBo2K
Stefano Suin - Le armi di un hacker-44
Stefano Suin - Le armi di un hacker-44AIPA, 8/11/1999AIPA, 8/11/1999
Bo2kBo2kBo2kBo2k
Stefano Suin - Le armi di un hacker-45
Stefano Suin - Le armi di un hacker-45AIPA, 8/11/1999AIPA, 8/11/1999
NetBusNetBusNetBusNetBus
Tutto quello che fa Bo2K più...Tutto quello che fa Bo2K più... Supporto per la connessione Supporto per la connessione
remotaremota Controllo perifericheControllo periferiche
videocamere / Microfoni / tastierevideocamere / Microfoni / tastiere
……....
Stefano Suin - Le armi di un hacker-46
Stefano Suin - Le armi di un hacker-46AIPA, 8/11/1999AIPA, 8/11/1999
RilevamentoRilevamentoRilevamentoRilevamento
Programmi rilevabili dalla rete:Programmi rilevabili dalla rete: Molti tool che si spacciano per rilevatori Molti tool che si spacciano per rilevatori
di BO, installano invece il virusdi BO, installano invece il virus http://www.symantec.comhttp://www.symantec.com da una finestra DOS: da una finestra DOS: netstat -an netstat -an se il se il
risultato èrisultato è UDP 0.0.0.0:31337 *.* UDP 0.0.0.0:31337 *.* un un server BO è in attesa di comandi server BO è in attesa di comandi dall’hackerdall’hacker
Prevenzione con anti-virusPrevenzione con anti-virus http://www.mcafee.comhttp://www.mcafee.com
LegalitàLegalità
Stefano Suin - Le armi di un hacker-47
Stefano Suin - Le armi di un hacker-47AIPA, 8/11/1999AIPA, 8/11/1999
Teoria degli attacchi alle reti Teoria degli attacchi alle reti Teoria degli attacchi alle reti Teoria degli attacchi alle reti
Stefano Suin - Le armi di un hacker-48
Stefano Suin - Le armi di un hacker-48AIPA, 8/11/1999AIPA, 8/11/1999
TipologieTipologieTipologieTipologie
Interruzione
(DoS)
Modifica
highjackingIntercettazione
(sniffing)
Fabbricazione
(spoofing)
Stefano Suin - Le armi di un hacker-49
Stefano Suin - Le armi di un hacker-49AIPA, 8/11/1999AIPA, 8/11/1999
DoS (Denial of Service)DoS (Denial of Service)DoS (Denial of Service)DoS (Denial of Service) Ovvero le azioni finalizzate ad Ovvero le azioni finalizzate ad
impedire il normale svolgimento di impedire il normale svolgimento di un servizio nella macchina che un servizio nella macchina che viene attaccata, Saturando le viene attaccata, Saturando le capacità di comunicazione che una capacità di comunicazione che una organizzazione ha a disposizioneorganizzazione ha a disposizione
Quasi tutti i tipi di DoS non Quasi tutti i tipi di DoS non sfruttano dei sfruttano dei bugs bugs software ma software ma piuttosto una caratteristica piuttosto una caratteristica intrinseca del protocollointrinseca del protocollo
SYN floodingSYN flooding
Stefano Suin - Le armi di un hacker-50
Stefano Suin - Le armi di un hacker-50AIPA, 8/11/1999AIPA, 8/11/1999
SYN flood DoS attack!SYN flood DoS attack!SYN flood DoS attack!SYN flood DoS attack!
H1
Attacker routerX
H2
1.SYN(H2)
2.SYN/ACK
Unreachable Host 3.SYN(H2)
SYN(H2)
SYN(H2)
SYN(H2)
SYN(H2)
SYN(H2)
SYN(H2)
TCP port fully: ignoring further TCP port fully: ignoring further
request to that servicerequest to that service
Stefano Suin - Le armi di un hacker-51
Stefano Suin - Le armi di un hacker-51AIPA, 8/11/1999AIPA, 8/11/1999
IP spoofingIP spoofingIP spoofingIP spoofing Per ottenere l’accesso, l’intrusore crea Per ottenere l’accesso, l’intrusore crea
dei pacchetti con il source address IP dei pacchetti con il source address IP ““spoofedspoofed” cioè alterato, mascherandosi ” cioè alterato, mascherandosi per un altro. Questo fa sì che applicazioni per un altro. Questo fa sì che applicazioni che usano l’autenticazione basata sul che usano l’autenticazione basata sul controllo dell’indirizzo IP concedano controllo dell’indirizzo IP concedano l’accesso a persone e host non l’accesso a persone e host non autorizzati. E’ possibile bypassare anche autorizzati. E’ possibile bypassare anche firewall i cui filtri non sono stati disegnati firewall i cui filtri non sono stati disegnati per fermare pacchetti entranti con un per fermare pacchetti entranti con un source address locale. E’ possibile source address locale. E’ possibile compiere degli attacchi anche senza compiere degli attacchi anche senza ricevere i pacchetti di risposta da parte ricevere i pacchetti di risposta da parte del target hostdel target host
Stefano Suin - Le armi di un hacker-52
Stefano Suin - Le armi di un hacker-52AIPA, 8/11/1999AIPA, 8/11/1999
TCP number predictionTCP number predictionTCP number predictionTCP number prediction
1
3
2
datidati4
Stefano Suin - Le armi di un hacker-53
Stefano Suin - Le armi di un hacker-53AIPA, 8/11/1999AIPA, 8/11/1999
DNS spoofingDNS spoofingDNS spoofingDNS spoofing
Resolver
Re
so
lve
r q
ue
ry
Name
Server Hacker
Corrupted UDP packet
Telnet
Misdirected DestinationMisdirected Destination
Stefano Suin - Le armi di un hacker-54
Stefano Suin - Le armi di un hacker-54AIPA, 8/11/1999AIPA, 8/11/1999
A Rete privataFirewall2/25 1/801/25
1+2/25
Pacchetti frammentati Firewall che lascia passare solo il servizio http
Ip-fragmentationIp-fragmentationIp-fragmentationIp-fragmentation
Stefano Suin - Le armi di un hacker-55
Stefano Suin - Le armi di un hacker-55AIPA, 8/11/1999AIPA, 8/11/1999
Altri tipi di spoofAltri tipi di spoofAltri tipi di spoofAltri tipi di spoof
Web spoofingWeb spoofing altera il percorso reale di collegamento a altera il percorso reale di collegamento a
un sitoun sito
Mail spoofingMail spoofing spedizione di mail con l’indirizzo alterato spedizione di mail con l’indirizzo alterato spamspam anonymous remailer (penet.fi)anonymous remailer (penet.fi)
IRC spoofingIRC spoofing dialogo in chat line con false identità o dialogo in chat line con false identità o
alterando le frasi che due utenti si alterando le frasi che due utenti si stanno scambiandostanno scambiando
Stefano Suin - Le armi di un hacker-56
Stefano Suin - Le armi di un hacker-56AIPA, 8/11/1999AIPA, 8/11/1999
SniffingSniffingSniffingSniffing
intercettazione ed ascolto intercettazione ed ascolto ascolto del traffico, inserendo ascolto del traffico, inserendo un apposito programma sulla un apposito programma sulla rete localerete locale
intercettazione e modificazione intercettazione e modificazione del flusso, costringendolo a del flusso, costringendolo a “transitare” su una macchine, “transitare” su una macchine, in cui è installato uno snifferin cui è installato uno sniffer
Stefano Suin - Le armi di un hacker-57
Stefano Suin - Le armi di un hacker-57AIPA, 8/11/1999AIPA, 8/11/1999
Ip source routingIp source routingIp source routingIp source routing I pacchetti nel protocollo IP sono I pacchetti nel protocollo IP sono
spediti sulla rete attraverso diversi spediti sulla rete attraverso diversi router allo scopo di raggiungere la router allo scopo di raggiungere la destinazione finale. La strada percorsa destinazione finale. La strada percorsa da ogni pacchetto è determinata da ogni pacchetto è determinata dinamicamente da ciascun router lungo dinamicamente da ciascun router lungo il cammino. Abilitare l’opzione di source il cammino. Abilitare l’opzione di source routing su un pacchetto IP permette al routing su un pacchetto IP permette al pacchetto stesso di “prendere pacchetto stesso di “prendere decisioni” sul cammino da decisioni” sul cammino da intraprendere per raggiungere la intraprendere per raggiungere la destinazione, indipendentemente dalla destinazione, indipendentemente dalla tabella di routing che i router tabella di routing che i router possiedonopossiedono
Stefano Suin - Le armi di un hacker-58
Stefano Suin - Le armi di un hacker-58AIPA, 8/11/1999AIPA, 8/11/1999
IP Source RoutingIP Source RoutingIP Source RoutingIP Source Routing
A C
R4
R2R1C C
CC
CC
Stefano Suin - Le armi di un hacker-59
Stefano Suin - Le armi di un hacker-59AIPA, 8/11/1999AIPA, 8/11/1999
RouterC
Pkt 2 dst=H2
H1
Attacker routerX
RouterBH2
Pkt 3 ICMP red
H2 gw X
src=Router C
Pkt 1 srct=H2
Pkt 4..n dst=H2
ICMP redirectICMP redirectICMP redirectICMP redirect
Stefano Suin - Le armi di un hacker-60
Stefano Suin - Le armi di un hacker-60AIPA, 8/11/1999AIPA, 8/11/1999
HighJackingHighJackingHighJackingHighJacking
il controllo di una il controllo di una connessione viene preso da connessione viene preso da un attacker dopo che la fase un attacker dopo che la fase di autenticazione è già stata di autenticazione è già stata passata. Tipiche modalità passata. Tipiche modalità l’uso dell’ICMP o del RIP.l’uso dell’ICMP o del RIP.
inserimento di stream di inserimento di stream di dati non presenti all’originedati non presenti all’origine
i backorificei backorifice
Stefano Suin - Le armi di un hacker-61
Stefano Suin - Le armi di un hacker-61AIPA, 8/11/1999AIPA, 8/11/1999
DocumentazioneDocumentazioneDocumentazioneDocumentazione
Stefano Suin - Le armi di un hacker-62
Stefano Suin - Le armi di un hacker-62AIPA, 8/11/1999AIPA, 8/11/1999
Dove documentarsiDove documentarsiDove documentarsiDove documentarsi DocumentazioneDocumentazione
http://antionline.com/ http://www.rootshell.com http://www.iss.net/xforce http://seclab.cs.ucdavis.edu/papers.html “Practical Unix & Internet Security”
O’Reilly & Associates, Inc. ISBN 1-56592-148-8
Tool di sicurezzaTool di sicurezza ftp://coast.cs.purdue.edu/pub/tools/unixftp://coast.cs.purdue.edu/pub/tools/unix http://www.alw.nih.gov/Security/prog-full.htmlhttp://www.alw.nih.gov/Security/prog-full.html
Stefano Suin - Le armi di un hacker-63
Stefano Suin - Le armi di un hacker-63AIPA, 8/11/1999AIPA, 8/11/1999
Brevi statisticheBrevi statisticheBrevi statisticheBrevi statistiche
Stefano Suin - Le armi di un hacker-64
Stefano Suin - Le armi di un hacker-64AIPA, 8/11/1999AIPA, 8/11/1999
0
10
20
30
40
50
60
70
80
ComputerVirus
Errori
Azionidall’interno
Azionidall’esterno
Spionaggioindustriale
Ernst & Young 1996 Information Security Survey
Tipologia degli attacchiTipologia degli attacchiTipologia degli attacchiTipologia degli attacchi
Stefano Suin - Le armi di un hacker-65
Stefano Suin - Le armi di un hacker-65AIPA, 8/11/1999AIPA, 8/11/1999
Dislocazione geografica degli Dislocazione geografica degli attacchi dannosiattacchi dannosi
Dislocazione geografica degli Dislocazione geografica degli attacchi dannosiattacchi dannosi
24%
24%
19%
13%
20%
AsiaAfricaNorth AmericaSouth AmericaEurope
Ernst & Young 1999 Information Security Survey
Stefano Suin - Le armi di un hacker-66
Stefano Suin - Le armi di un hacker-66AIPA, 8/11/1999AIPA, 8/11/1999
SicurezzeSicurezzeSicurezzeSicurezze
0
10
20
30
40
50
60
70Passord Authentication
Smart Card Authentication
Firewall
Data Enrcyption
Digital Signature
Digital Certification
Secure Email (SMIME)
Secure Socket Layer(SSL)
Secure ElettronicaTransaction
Secure Messaging
Other
Ernst & Young 1999 Information Security Survey
Recommended