Bevezető. Az informatikai biztonság alapjai II.

Bevezető Az informatikai biztonság alapjai II. Póserné Oláh Valéria poserne.valeria@nik.uni-obuda.hu http://nik.uni-obuda.hu/poserne/iba

Miről is lesz szó a félév során? Vírusvédelem Biztonságos levelezés és adattárolás lemezen (PGP) Biztonságos kommunikáció és fájlátvitel (SSH) Jelszó választás problémái, jelszótörés szótár alapon illetve brute force Tűzfalak Behatolásérzékelés 2

Követelmények 3

A mai téma Új betörési módszerek - Leggyengébb láncszem az ember 1. Social Engineering 2. Reverse Engineering 3. Cross Site Scripting A hálózati támadások formái 4

A Social Engineering Az egyik leghatékonyabb hackertechnika. Az emberek természetes, bizalomra való hajlamának kihasználása a számítógépek- hez való illetéktelen hozzáférés (biztonsá- gi korlátok, mint a tűzfalak vagy behatolás- érzékelő rendszerek megkerülésével) és információk megszerzése céljából. 5

A Social Engineering eszközei A bizalmunk megnyerése A behatoló munkatársnak álcázva magát próbálja megnyerni bizalmunkat, akinek hozzáférésre van szüksége a saját rendszere állítólagos leállása miatt, beszélgetésbe elegyedik velünk, egyik kollégánk nevét is megemlítheti, hatósági személynek is tettetheti magát, hálózati hibaelhárítónak álcázza magát, akinek egy azonosítóra és jelszóra van szüksége az ellenőrzéshez. Kukabúvárkodás Pl. éjszakai takarítónak jelentkeznek, jelszavak után kutatnak a papírkosarakban, a fiókokban v. monitorokra ragasztott cédulákon. 6

A Reverse Engineering A Reverse Engineering annyiban különbözik a Social Engineeringtől, hogy ez esetben az áldozattal azt is el kell hitetni, hogy ő a kezdeményező. 7

A Cross Site Scripting (oldalközi szkriptelés) HTML kód bejuttatása website tartalmába Egy weboldal a későbbi rosszindulatú felhasználás reményében adatokat gyűjt be a felhasználótól, vagy felhasználóról. A felhasználó engedélye nélkül képes hozzáférni egy másik, ugyanazzal a böngészővel megnyitott weboldal adataihoz. A felhasználó egy másik weboldalról, azonnali értesítésből (instant message), v. csak webes hirdető táblát v. html formátumú e-mail üzenetet olvasva klikkel majd egy linkre, mely olyan weblapra mutat, ahova a gyanútlan nézelődőt irányítani kell. Pl. banki adatok v. személyes információk szerezhetők meg. Az XP SP2-ben van e támadástípus ellen is védelem (figyelmeztetés). http://zero.webappsecurity.com Username: <script>alert("xss alert!")</script> 8

Motivációk Információ megszerzése (személyes, üzleti, katonai, stb.) haszonszerzés v. károkozás céljából, szolgáltatásokhoz való illetéktelen hozzáférés (pl. nyomtatni, filmeket letölteni), rendszer feltörése, rosszindulatú program(ok) bejuttatása, szolgáltatások megbénítása, szabad erőforrás, sávszélesség kihívás, sérelem (pl. elbocsátott alkalmazott), politikai, etnikai célok elérése. 9

Kiválasztott célpontok új termék, banki szféra, politikai motiváció, katonai információk, védelmi célú rendszerek 10

A hálózati támadások formái Passzív támadás A lehallgatás (evesdropping, wire-tapping), az érzékeny információ megszerzésére irányul, a támadó nem módosítja az átviteli csatorna tartalmát. Aktív támadás A támadó maga is forgalmaz a csatornán. üzenetmódosítás megszemélyesítés, visszajátszás szolgáltatás megtagadás (DoS denial of service) típusú támadások 11

Csomag szintű támadások (1) IP spoofing: Az IP cím hamisítása, több támadásnak is része. Pl. egy IP címmel azonosított trusted host megszemélyesítése. Célja csak annyi, hogy egy kiskaput hagyjon maga után, amin keresztül már egyszerűen be tud jutni. Cél: nem információhoz való hozzáférés, hanem más akadályozása. Pl. az A és B között fennáll egy TCP kapcsolat, amit C szeretne megszakítani. RST- reset connection Vagy C támadó B nevében indít közismert támadást (akár csak egy portscant) A ellen. Ennek hatására az A gépet védő tűzfal B-t kitiltja Védekezés: a tűzfalak bizonyos forrás IP címeket csak bizonyos irányból fogadnak el. 12

Csomag szintű támadások (2) Smurf: a DoS családba tartozó támadás. A megtámadott gép nevében ICMP echo request üzenetet küld egy irányított IP broadcast címre. Közvetítők: az üzenetet vevő gépek válaszukkal teletömik az áldozat gép hálózatát, de a sajátjukat is, így ők maguk is áldozatok. ICMP (Internet Control Message Protocol) az IP bővítése, lehetővé teszi hibaüzenetek, tesztcsomagok és az IP-vel kapcsolatos információs üzenetek létrehozását. Védekezés: a routerek IP broadcast-ot ne engedjenek át, IP broadcast címre küldött ICMP echo requestre a gépeink ne válaszoljanak! 13

Csomag szintű támadások (3) SYN flood: klasszikus DoS támadás SYN: a TCP fejlécének 14. bitje, jelzi, ha egy új kapcsolat felépítése kezdődik. A C támadó az A nevében nagy mennyiségű SYN csomagot küld B-nek (a válaszokat C természetesen meg sem kapja), akkor ezzel kimeríti B erőforrásait és az nem lesz képes fogadni a valódi kéréseket. Védekezés: mikro blokkok használatával: a szabványos adatstruktúrá- nál lényegesen kisebb helyet foglalunk le, és ha a kapcsolat kérés valódinak bizonyul, csak akkor foglaljuk le a szükséges erőforrásokat (10x annyi támadó csomagot bírunk el). syn cookie használatával 14

Csomag szintű támadások (4) Xmas, Ymas A TCP fejrészben az URG bittől balra levő két bitet 2003 májusában az IANA (Internet Assigned Numbers Authority) az ECN (Explicit Congestion Notification) mechanizmus céljára osztotta ki. A korábbi TCP implementációk azt várják el, hogy ez a 2 bit 0 értékű legyen. A bitek 0-tól különböző értékűre állításával és a TCP implementáció viselkedésének megfigyelésével a támadó információt szerezhet a TCP/IP protocol stack implementációjáról. 6. ábra. A TCP fejléc 13. 14. bytejának pontos felépítése 15

Hálózati szintű támadások (1) Switch-ek elleni támadás Switch normál működése: keretek továbbítása csak arra a portra, ahol a címzett található. Portokhoz MAC címek beállítása: Statikusan, munkaigényes, konfiguráció változásnál át kell vezetni (pl. hálókártya csere). Öntanuló módban, megjegyzi, hogy az egyes MAC címekkel forráscímként melyik portján találkozott. Ha a támadó kellően sok különböző MAC címmel való forgalmazással, megtelíti a switch táblázatát, akkor a működés fenntartása érdekében minden keretet minden portjára kiküld (fail open). Ezzel a forgalom lehallgathatóvá válik. 16

Hálózati szintű támadások (2) ARP poisoning A támadó kéretlen és hamis ARP válaszokat küld, amelyben a kérdéses IP címhez a saját MAC címét tünteti fel. ARP (Address Resolution Protocol) = Címlekérdező protokoll. Üzenetszórásos hálózatokon broadcast (minden gépnek szóló) üzenettel megszerzi az információt (IP cím - fizikai cím összerendelés) és elraktározza (cache). 17

Hálózati szintű támadások (3) ICMP redirect Az ICMP redirect üzenettel egy router egy számítógép számára egy jobb útvonalat tud megadni. A támadó ezzel maga felé tudja irányítani a megtámadott gép forgalmát. Használhatja pl.: lehallgatásra: a csomagokat gondosan továbbküldi a címzettnek, hogy a támadás észrevétlen maradjon. IP spoofing támogatásra: mint korábban C az A felé B-nek adja ki magát, de most a redirecttel elérte, hogy az A válaszai őhozzá érkezzenek, a TCP kapcsolat ténylegesen felépül. Védekezés: accept_redirects kikapcsolása. 18

Hálózati szintű támadások (4) RIP (Routing Information Protocol ) távolságvektor hamisítása RIP: distance-vector protokoll, mely egy célponthoz (hálózatok, subnet-ek, állomások, vagy a default router) táblázatában tárolja: 1. A célpont IP címét. 2. Az odavezető út költségét (egy csomagnak az adott link-en való átküldésének költsége alapján). 3. Az odavezető út első router-ét. 4. Időzítőket Mivel a RIP nem használ autentikációt, a támadó számítógépe hamis távolságvektorral becsaphatja a routereket azt állítva, hogy rajta keresztül rövidebb út vezet a cél felé. 19

Hálózati szintű támadások (5) Source route IP opció A forrás megadhatja, hogy adott IP című állomás felé mely routereken keresztül haladjon a csomag. A támadó ezt privát IP című hálózatok elérésére képes felhasználni. A C támadó az R1 routernek megmondja, hogy az R2 routeren keresztül kell a csomagot küldenie. R2 privát IP címmel rendelkező hálózat gateway-e, amely a datagrammot már a cél IP cím alapján küldi a címzettnek. A visszaút: a támadó publikus IP címmel rendelkezik. Védekezés: accept_source_route kikapcsolásával lehet. 20

Hálózati szintű támadások (6) DNS (cache) ellen való támadás Kihasználja, hogy lejár az ns.myisp.com által tárolt www.mybank.com TTL ideje (Time To Live ) Mybank: Bank Myisp: internet szolgáltató ns.myisp.com: az internet szolgáltató névkiszolgálója www.mybank.com: a bank honlapjának IP-címe 21

Hacker, kracker Hacker, cracker: a két kifejezés rokon értelmű, azt jelentik, hogy betörő, kódfeltörő, titkosított hálózati rendszerekbe illegálisan behatoló. Az angolban a hack ige betör, bezúz, becsákányoz jelentésű, a crack pedig hangutánzó szó, és tör, betör, feltör az értelme. Szószerinti jelentésükben tehát nem sok különbség van, de valójában, eredetileg éles ellentét húzódott közöttük. 22

Hacker A hacker fogalom eredetileg olyan számítógép megszállottat jelentett, aki kihívásnak tekinti a különböző számítógépes problémák megoldását, az információs rendszerek biztonsági réseinek felderítését és megszüntetését. Cselekedeteit jó szándék vezérli, ha be is tör különböző rendszerekbe, kárt nem okoz, csupán a kihívás kedvéért teszi, valamint azáltal, hogy betör valahova felhívja a rendszergazda figyelmét a résre, hibára, még mielőtt egy cracker találná meg ugyanezt a bejáratot. 23

Kracker A crackerek azok, akik bűncselekményeket követnek el, adatbázisokba törnek be, információt rabolnak, jogvédett szoftverek védelmi rendszerét játszák ki a programkészítőknek, forgalmazóknak komoly károkat okozva, szándékosan kárt okoznak különböző rendszerekben. 24

Elővigyázatossági lehetőségek Házirend kialakításának fontossága Tűzfalak fontossága Jelszókezelés jelentősége Vírusvédelem jelentősége 25

Jogi szabályozások A 2003. január elsején életbe lépett módosítás büntethetővé teszi az informatikai rendszerbe történő jogtalan belépést, működésének akadályozását (például a DoS-támadásokat), az informatikai eszközökkel (vírusok, exploitok) történő visszaélést, és az informatikai csalást (például weblapok jogosulatlan felülírását). Adatvédelmi törvény Az adatokat arra lehet felhasználni amire összegyűjtötték 26

Javasolt irodalmak Nagy Sándor :Elektronikus leveleink védelme Himansu Dwivedi :SSH a gyakorlatban Tom Thomas : Hálózati biztonság 27