Слайд 1 Типовая корпоративная сеть, уязвимости и атаки ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Слайд 2 ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Типовая IP-сеть корпорации сервер WWWсервер Маршру- тизатор Внутренние сервера Рабочие места Сервер филиала Рабочие места Центральный офис Филиал Ресурсы Internet Пользователи Internet Внешний нарушитель Маршру- тизатор МСЭ Мобильные сотрудники
Слайд 3 Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ ПОЛЬЗОВАТЕЛИ
Слайд 4 Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ TCP/IPNetBEUIIPX/SPX
Слайд 5 Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ
Слайд 6 Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ
Слайд 7 Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ
Слайд 8 Уровни информационной инфраструктуры ПРИЛОЖЕНИЯ СУБД ОС СЕТЕВЫЕ СЛУЖБЫ ПОЛЬЗОВАТЕЛИ
Слайд 9 Пример атаки ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Слайд 10
Слайд 11 bigwidget.com
Слайд 12 Record last updated on 29-Jun-98. Record created on 30-Jun-94. Database last updated on 13-Oct-98 06:21:01 EDT. Domain servers in listed order: EHECATL. BIGWIDGET NS1.SPRINTLINK.NET NS.COMMANDCORP.COM Registrant: BigWidget, Conglomerated. (BWC2-DOM) 1234 Main Street Anytown, GA USA Domain Name: bigwidget.com Administrative Contact, Technical Contact, Zone Contact: BigWidget Admin (IA338-ORG) Phone Fax Billing Contact: BigWidget Billing (IB158-ORG) Phone Fax BIGWIDGET.COM
Слайд 13
Слайд 14
Слайд 15
Слайд 16 hacker]$ nmap Starting nmap V by ( ) Interesting ports on ( ): (The 1516 ports scanned but not shown below are in state: closed) Port State Service 21/tcp open ftp 25/tcp open smtp 80/tcp open http 135/tcp open loc-srv 139/tcp open netbios-ssn 443/tcp open https 465/tcp open smtps Nmap run completed -- 1 IP address (1 host up) scanned in 1 second hacker]$
Слайд 17 ~$ telnet bigwidget.com 25 Trying Connected to bigwidget.com Escape character is '^]'. hacker: hacker:~$ Connection closed by foreign host. telnet bigwidget.com 143 Trying Connected to bigwidget.com. * OK bigwidget IMAP4rev1 Service 9.0(157) at Wed, 14 Oct :51: (EDT) (Report problems in this server to logout * BYE bigwidget IMAP4rev1 server terminating connection. OK LOGOUT completed Connection closed by foreign host.
Слайд 18 imap
Слайд 19 imap
Слайд 20
Слайд 21 hacker ~$./imap_exploit bigwidget.com IMAP Exploit for Linux. Author: Akylonius Modifications: p1 Completed successfully. hacker ~$ telnet bigwidget.com Trying Connected to bigwidget.com. Red Hat Linux release 4.2 (Biltmore) Kernel on an i686 root bigwidget:~# whoami root bigwidget:~# cat./hosts localhost localhost.localdomain thevault accounting fasttalk sales geekspeak engineering people human resources thelinks marketing thesource information systems bigwidget:~# cd /etc rlogin thevault login:
Слайд 22 Allan B. Smith /99 Donna D. Smith /98 Jim Smith /01 Joseph L.Smith /02 Kay L. Smith /03 Mary Ann Smith /01 Robert F. Smith /99 thevault:~# cat visa.txt cd /data/creditcards crack /etc/passwd Cracking /etc/passwd... username: bobman password: nambob username: mary password: mary username: root password: ncc1701 thevault:~# ftp thesource Connected to thesource 220 thesource Microsoft FTP Service (Version 4.0). Name: administrator 331 Password required for administrator. Password: ******* 230 User administrator logged in. Remote system type is Windows_NT.
Слайд 23
Слайд 24 ftp> cd \temp 250 CDW command successful. ftp> send netbus.exe local: netbus.exe remote: netbus.exe 200 PORT command successful. 150 Opening BINARY mode data connection for netbus.exe 226 Transfer complete. ftp> quit thevault:~$ telnet thesource Trying Connected to thesource.bigwidget.com. Escape character is '^]'. Microsoft (R) Windows NT (TM) Version 4.00 (Build 1381) Welcome to MS Telnet Service Telnet Server Build login: administrator password: ******* *=============================================================== Welcome to Microsoft Telnet Server. *=============================================================== C:\> cd \temp C:\TEMP> netbus.exe
Слайд 25 Connected to the.source.bigwidget.com NetBus 1.6, by cf Screendump David Smith My Raise Dear Mr. Smith I would like to thank you for the huge raise that you have seen fit to give me. With my new salary of $350, a year I am sure I am the highest paid mail clerk in the company. This really makes me feel good because I deserve it. Your Son, Dave David Smith
Слайд 26
Слайд 27
Слайд 28 Сеть компании BigWidget сервер Web сервер Router NT Рабочие станции сеть UNIX NTUNIX imap Crack PSW NetBus Crack Web
Слайд 29 Угрозы, уязвимости и атаки Атака - действие нарушителя, которое приводит к реализации угрозы путем использования уязвимостей информационной системы. Угроза - потенциально возможное событие, явление или процесс, которое воздействуя на компоненты информационной системы может привести к нанесению ущерба. Уязвимость - любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы.
Слайд 30 ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Классификация уязвимостей узлов, протоколов и служб IP - сетей узлов, протоколов и служб IP - сетей
Слайд 31 Классификация по уровню в информационной инфраструктуре Уровень сети Уровень операционной системы Уровень баз данных Уровень персонала Уровень приложений
Слайд 32 Классификация уязвимостей по причинам возникновения ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ ошибки проектирования (технологий, протоколов, служб) ошибки реализации (программ) ошибки эксплуатации (неправильная настройка, неиспользуемые сетевые службы, слабые пароли)
Слайд 33 Высокий Высокий уровень риска Средний Средний уровень риска Низкий Низкий уровень риска Классификация уязвимостей по уровню (степени) риска ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Уязвимости, позволяющие атакующему получить непосредственный доступ у узлу с правами суперпользователя Уязвимости, позволяющие атакующему получить доступ к информации, которая с высокой степенью вероятности позволит в последствии получить доступ к узлу Уязвимости, позволяющие злоумышленнику осуществлять сбор критичной информации о системе
Слайд 34 Источники информации о новых уязвимостях о новых уязвимостях - координационный центр CERT/CC - база данных компании ISS llnl.ciac.gov - центр CIAC - российский CERT/CC
Слайд 35
Слайд 36 Примеры уязвимостей Уровень: Уровень: сеть Степень риска: Степень риска: средняя Источник возникновения: Источник возникновения: ошибки реализации Описание Описание: посылка большого числа одинаковых фрагментов IP-датаграммы приводит к недоступности узла на время атаки Название: Название: ip-fragment-reassembly-dos
Слайд 37 Уровень: Уровень: ОС Степень риска: Степень риска: высокая Источник возникновения: Источник возникновения: ошибки реализации Название: Название: nt-getadmin-present Описание Описание: проблема одной из функций ядра ОС Windows NT, позволяющая злоумышленнику получить привилегии администратора Примеры уязвимостей
Слайд 38 Уровень: Уровень: СУБД Степень риска: Степень риска: низкая Источник возникновения: Источник возникновения: ошибки реализации Название: Название: mssql-remote-access-option Описание Описание: уязвимость в реализации возможности подключения со стороны других SQL-серверов Примеры уязвимостей
Слайд 39 Уровень: Уровень: приложения Степень риска: Степень риска: средняя Источник возникновения: Источник возникновения: ошибки реализации Название: Название: iis-url-extension-data-dos Описание Описание: посылка большого числа некорректно построенных запросов приводит к повышенному расходу ресурсов процессора Примеры уязвимостей
Слайд 40 Уровень: Уровень: приложения Степень риска: Степень риска: средняя Источник возникновения: Источник возникновения: ошибки реализации Название: Название: win-udp-dos Описание Описание: OC Windows 2000 и Windows 98 уязвимы к атаке «отказ в обслуживании», вызываемой исчерпанием всех UDP-сокетов Примеры уязвимостей
Слайд 41 Уровень: Уровень: Персонал Степень риска: Степень риска: высокая Источник возникновения: Источник возникновения: ошибки обслуживания Название: Название: win95-back-orifice Описание Описание: узел заражён серверной частью троянского коня, позволяющей установить полный контроль над узлом Примеры уязвимостей
Слайд 42 Единая система наименований для уязвимостей Стандартное описание для каждой уязвимости Обеспечение совместимости баз данных уязвимостей
Слайд 43 CAN CVE Кандидат CVE Индекс CVE
Слайд 44 Ситуация без CVE ISS RealSecure CERT Advisory Cisco Database Axent NetRecon land attack (spoofed SYN) Impossible IP Packet Bugtrag CA Teardrop_Land Land NT4-SP3and 95 [latierra.c] Уязвимость Land IP denial of service
Слайд 45 Поддержка CVE CVE Land IP denial of service CVE CERT Advisory Bugtrag ISS RealSecure Cisco Database Axent NetRecon
Слайд 46 CVE entry CVE Arbitrary command execution via IMAP buffer overflow in authenticate command. Reference: CERT:CA imapd Reference: SUN:00177 Reference: BID:130 Reference: XF:imap-authenticate-bo Номер Описание Ссылки
Слайд 47 Статистика выявления уязвимостей ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Слайд 48 ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ BUGTRAQ Vulnerability Database Statistics
Слайд 49 ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ BUGTRAQ Vulnerability Database Statistics
Слайд 50 ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Операционная система AIX BSD (aggr.) BSD/OS BeOS Debian FreeBSD HP-UX IRIX Linux (aggr.) MacOS MacOS X Server Количество выявленных уязвимостей ОС по годам (начало)
Слайд 51 ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Количество выявленных уязвимостей ОС по годам (окончание) Операционная система NetBSD Netware OpenBSD RedHat SCO Unix Slackware Solaris SuSE Unixware Windows 3.1x/95/ Windows NT Windows
Слайд 52 Microsoft Windows NT Microsoft Windows NT RedHat Linux 6.2 i RedHat Linux 6.1 i Microsoft Windows Microsoft Windows Microsoft IIS Microsoft BackOffice Microsoft BackOffice RedHat Linux 6.0 i RedHat Linux 6.1 sparc 9 RedHat Linux 6.1 alpha 9 Microsoft IIS RedHat Linux 6.2 sparc 7 RedHat Linux 6.2 alpha 7 Microsoft Internet Explorer 5.0 for Windows NT 4.07 Microsoft Internet Explorer 5.0 for Windows 987 Microsoft Internet Explorer 5.0 for Windows 957 TurboLinux Turbo Linux TurboLinux Turbo Linux 4.46 Top Vulnerable Packages 2000 (за первое полугодие)
Слайд 53 Классификация атак в IP- сетях
Слайд 54 Классификация атак по целям Нарушение нормального функционирования Нарушение нормального функционирования объекта атаки (отказ в обслуживании) объекта атаки (отказ в обслуживании) ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Слайд 55 Классификация атак по целям Нарушение нормального функционирования Нарушение нормального функционирования объекта атаки (отказ в обслуживании) объекта атаки (отказ в обслуживании) ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Получение конфиденциальной информации Получение конфиденциальной информации
Слайд 56 Классификация атак по целям Нарушение нормального функционирования Нарушение нормального функционирования объекта атаки (отказ в обслуживании) объекта атаки (отказ в обслуживании) ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Получение конфиденциальной информации Получение конфиденциальной информации Модификация или фальсификация Модификация или фальсификация критичных данных критичных данных
Слайд 57 Классификация атак по целям Нарушение нормального функционирования Нарушение нормального функционирования объекта атаки (отказ в обслуживании) объекта атаки (отказ в обслуживании) ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Получение конфиденциальной информации Получение конфиденциальной информации Модификация или фальсификация Модификация или фальсификация критичных данных критичных данных Получение полного контроля над Получение полного контроля над объектом атаки объектом атаки
Слайд 58 Классификация атак по мотивации действий случайность случайность (халатность, некомпетентность) (халатность, некомпетентность) ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Слайд 59 Классификация атак по мотивации действий случайность случайность (халатность, некомпетентность) (халатность, некомпетентность) ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ самоутверждение (любопытство)
Слайд 60 Классификация атак по мотивации действий случайность случайность (халатность, некомпетентность) (халатность, некомпетентность) ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ самоутверждение (любопытство) вандализм
Слайд 61 Классификация атак по мотивации действий случайность случайность (халатность, некомпетентность) (халатность, некомпетентность) самоутверждение (любопытство) вандализм принуждение
Слайд 62 Классификация атак по мотивации действий случайность случайность (халатность, некомпетентность) (халатность, некомпетентность) ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ самоутверждение (любопытство) вандализм принуждение месть
Слайд 63 Классификация атак по мотивации действий случайность случайность (халатность, некомпетентность) (халатность, некомпетентность) ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ самоутверждение (любопытство) вандализм принуждение месть корыстный интерес
Слайд 64 Классификация атак по местонахождению атакующего и объекта атаки Атакующий и объект атаки находятся в одном сегменте Атакующий и объект атаки находятся в разных сегментах ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Маршру- тизатор
Слайд 65 Классификация атак по механизмам реализации Провоцирование отказа объекта (компонента) Подозрительная активность (разведка) Запуск кода (программы) на объекте атаки Бесполезное расходование вычислительных ресурсов (перегрузка) Нарушение навигации (ложный маршрут) Пассивное прослушивание ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ
Слайд 66 Статистика по уязвимостям и атакам за 2000 год Источник: Internet Security Systems
Слайд 67 Top Linux Buffer Overflows 2. Weak Accounts 3. IIS (Microsoft Internet Information Server) 4. Open Databases 5. E-Business Web Applications 6. Open Sendmail 7. File Sharing 8. RPC 9. Bind 1. Denial of Service Exploits
Слайд 68 Linux Buffer Overflows Wu-ftp BO IMAP BO Qpopper BO Overwrite stack Common script kiddie exploits Poor coding standards Переполнение буфера в Linux - приложениях
Слайд Weak Accounts 3. IIS (Microsoft Internet Information Server) 4. Open Databases 5. E-Business Web Applications 6. Open Sendmail 7. File Sharing 8. RPC 1. Denial of Service Exploits 10. Linux Buffer Overflows 9. Bind Top 10
Слайд 70 Уязвимости BIND BIND qinv –Compile flag turned on by default, activated buffer- overflow, client request to server, script kiddie BIND nxt –Server to server response, buffer handling overflowable, more advanced Exposure outside firewall In.Named binary
Слайд Weak Accounts 3. IIS (Microsoft Internet Information Server) 4. Open Databases 5. E-Business Web Applications 6. Open Sendmail 7. File Sharing 1. Denial of Service Exploits 9. Bind 10. Linux Buffer Overflows 8. RPC (Remote Procedure Calls) Top 10
Слайд 72 RPC (Remote Procedure Calls) rpc.cmsd (sun-rpc.cmsd) rpc-statd (sun-rpc-statd) Sadmin (sol-sadmind-amslverify-bo) Amd (amd-bo) Mountd (linux-mountd-bo) Major script kiddie fodder Helped Enabled DDOS
Слайд RPC 9. Bind 10. Linux Buffer Overflows 7. File Sharing 2. Weak Accounts 3. IIS (Microsoft Internet Information Server) 4. Open Databases 5. E-Business Web Applications 6. Open Sendmail 1. Denial of Service Exploits Top 10
Слайд 74 File Sharing Netbios NFS Impact is Affecting Cable Modem and DSL Users Sensitive info – I.e., Banking account Backdoor install + + Rhosts для Unix - серверов
Слайд Weak Accounts 3. IIS (Microsoft Internet Information Server) 4. Open Databases 5. E-Business Web Applications 1. Denial of Service Exploits 7. File Sharing 8. RPC 9. Bind 10. Linux Buffer Overflows 6. Open (электронная почта) Top 10
Слайд 76 Электронная почта Sendmail Pipe Attack (smtp-pipe) Sendmail MIMEbo root access (sendmail-mime-bo2) Incoming viruses, LOVE Many localhost getroot exploits for sendmail Attacks may by-pass firewalls that allow incoming directly to internal
Слайд Weak Accounts 3. IIS (Microsoft Internet Information Server) 4. Open Databases 1. Denial of Service Exploits 6. Open 7. File Sharing 8. RPC 9. Bind 10. Linux Buffer Overflows 5. E-Business Web Applications Top 10
Слайд 78 E-business Web Applications NetscapeGetBo (netscape-get-bo) control server HttpIndexserverPath (http-indexserver-path) path info Frontpage Extensions (frontpage-ext) readable passwords FrontpagePwdAdministrators (frontpage-pwd-administrators) reveal pwd
Слайд Weak Accounts 3. IIS (Microsoft Internet Information Server) 1. Denial of Service Exploits 5. E-Business Web Applications 6. Open 7. File Sharing 8. RPC 9. Bind 10. Linux Buffer Overflows 4. Open Databases Top 10
Слайд 80 Open Databases Oracle default account passwords Oracle setuid root oratclsh SQL Server Xp_sprintf buffer overflow SQL Server Xp_cmdshell extended
Слайд Open Databases 5. E-Business Web Applications 6. Open 7. File Sharing 8. RPC 9. Bind 10. Linux Buffer Overflows 3. IIS (Microsoft Internet Information Server) 2. Weak Accounts 1. Denial of Service Exploits Top 10
Слайд 82 IIS (Microsoft Internet Information Server) RDS HTR Malformed header Htdig Remote Shell Execution PWS File Access CGI Lasso read arbitrary files PHP3 safe mode metachar remote execution PHP mlog.html read files
Слайд IIS (Microsoft Internet Information Server) 4. Open Databases 5. E-Business Web Applications 6. Open 7. File Sharing 8. RPC 9. Bind 10. Linux Buffer Overflows 2. Weak Accounts (слабые пароли) 1. Denial of Service Exploits Top 10
Слайд 84 Слабые пароли Бюджеты по умолчанию –Routers –Servers No set Passwords for admin/root accounts SNMP with public/private community strings set
Слайд Weak Accounts 3. IIS (Microsoft Internet Information Server) 4. Open Databases 5. E-Business Web Applications 6. Open 7. File Sharing 8. RPC 9. Bind 10. Linux Buffer Overflows 1. Denial of Service Exploits Top 10
Слайд 86 Атаки «Denial of Service» Trinity TFN TFN2k Trin00 Stacheldraht FunTime –Windows platform (W9x/2K/NT) –Preprogrammed for specific time and target All are distributed for maximum effect
Слайд Denial of Service Exploits 2. Weak Accounts 3. IIS (Microsoft Internet Information Server) 4. Open Databases 5. E-Business Web Applications 6. Open 7. File Sharing 8. RPC 9. Bind 10. Linux Buffer Overflows Top 10