computer networks. introduction to security
DESCRIPTION
Computer Networks course (in Romanian).TRANSCRIPT
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[11]]
ReteleRetele
de de calculatoarecalculatoare IntroducereIntroducere
in in securitatesecuritate
(I)(I)
Sabin-Corneliu Buraga [email protected]
http://www.infoiasi.ro/~busaco
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[22]]
CuprinsCuprins
• Preliminarii• “Definitii”• Aspecte importante• Vulnerabilitati *
• Atacuri *
* Multumiri lui Dragos Acostachioaie
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[33]]
PreliminariiPreliminarii• Asigurarea calitatii aplicatiilor (Internet):
– corectitudine & robustete (reliability) – extindere & reutilizare (modularitate) – compatibilitate– eficienta– portabilitate– usurinta in utilizare (usability) – functionalitate– relevanta momentului lansarii (timeliness)– mentenabilitate
(reflectarea schimbarilor + late debugging)– securitate– altii: verificabilitate, integritate, reparabilitate,
economie
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[44]]
““DefinitiiDefinitii””• Incident de securitate ≡
eveniment
aparut in cadrul retelei, cu implicatii asupra securitatii unui calculator sau a retelei– Provenind din interiorul ori exteriorul retelei
• Multe protocoale de baza ale Internetului nu au luat in calcul vulnerabilitatile retelei– IP, TCP, FTP, HTTP, POP, SMTP etc.
• Cracker versus hacker
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[55]]
““DefinitiiDefinitii””• Realitati:
– Peste 70% din organizatii sufera pierderi financiare datorate incidentelor de securitate
– Cauze:• Virusi informatici: >75%• Acte malitioase interne: >40%• Actiuni malitioase externe: 25%• Erori software: 70%• Spionaj industrial: 10%
• Securitatea este procesul de mentinere a unui nivel acceptabil de risc perceptibil– “Security is a process, not an end state.”
(Mitch Kabay, 1998)
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[66]]
““DefinitiiDefinitii””• Mituri:
– Securitate prin obscuritate (security by obscurity) • Ignorarea problemelor• Nedocumentarea erorilor cunoscute• Nedocumentarea algoritmilor de criptare folositi
– Nu-i poate detecta nimeni pe cracker-ii ascunsi (“invizibili”)
– Organizarea in grupuri malefice a cracker-ilor• Deseori nu
(exceptii: Alt-2600, Cult of the Dead Cow,…)– Toti cracker-ii sint la fel
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[77]]
““DefinitiiDefinitii””
• Mituri (privind siguranta):– Software-ul de scanare de virusi
ofera protectia totala– Conexiunile Internet nu pot fi detectate– Din moment ce un fisier este sters,
el se pierde pentru totdeauna
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[88]]
““DefinitiiDefinitii””• Faze ale procesului de securizare:– Estimare a riscurilor (assessment)
• Activitati manageriale + actiuni tehnice– Protejare (protection)
• Prevenire– Detectare (detection)
• Identificarea incidentelor (intrusions)
– Raspuns la atacuri (response)• Restaurarea functionalitatii
(“patch & proceed”)• Alegerea remediilor legale
(“pursue & prosecute”)
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[99]]
Aspecte
• Aspecte privind securitatea datelor:– Confidentialitatea– Autentificarea– Autorizarea– Integritatea– Nerepudierea– Intimitatea (privacy)– Disponibilitatea
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[1010]]
Aspecte• Confidentialitatea
– Imposibilitatea unei terte entitati sa aiba acces la datele vehiculate intre doi receptori
– Solutii: • conexiuni private intre cele 2 puncte terminale
ale canalului de comunicatie; datele circula printr-un tunel oferit de o retea privata virtuala (VPN – Virtual Private Network)
• criptarea datelor via diverse tehnici (biblioteci specializate si/sau oferite de mediile de dezvoltare)
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[1111]]
Aspecte• Autentificarea
– Mecanism ce permite utilizatorilor sa acceseze un serviciu dupa verificarea identitatii utilizatorului (uzual, pe baza de nume + parola)
– Solutii: • serverul ofera suport pentru autentificari de
baza sau bazate pe algoritmi de tip digest (e.g., MD5)
• folosirea unor mecanisme dedicate: Kerberos, RADIUS, TACACS+,…
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[1212]]
Aspecte• Autorizarea
– Specifica actiunile (rolurile) pe care un utilizator le poate realiza; asociata autentificarii
– Se permite administratorului definirea politicilor de control al accesului la servicii
– Solutii: • drepturi de acces (permisiuni) + liste de control
al accesului (ACL – Access Control List)• controlul accesului bazat pe roluri
(RBAC – Role-Based Access Control)• tehnici de tip SSO (Single Sign-On)
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[1313]]
Aspecte
• Integritatea– In acest context, implica detectarea
incercarilor de modificare neautorizata a datelor transmise
– Solutii: •algoritmi de tip digest•semnaturi digitale
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[1414]]
Aspecte• Nerepudierea
– Expeditorul mesajului nu poate afirma ca nu l-a trimis
– Solutie: certificate digitale• stocheaza datele privind identitatea unei
entitati detinatoare a unui secret (parola, serie a cartii de credit, certif. digital,…)
• emise de o autoritate de certificare (CA – Certification Authority)
• verificate de o autoritate de inregistrare (RA – Registration Authority)
• serviciile PKI puse la dispozitie de sistem
Infrastructura cu chei publice(PKI
Public Key Infrastruc.)
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[1515]]
Aspecte
• Disponibilitatea– O anumita resursa sa poata fi accesata
la momentul oportun– Cauze ale indisponibilitatii:
• atacuri de refuz al serviciilor DoS (Denial Of Service)
• atacuri distribuite de tip DDoS (Distributed DoS)
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[1616]]
Aspecte• Intimitatea
– Confundata, deseori, cu confidentialitatea– Vizeaza drepturile ce trebuie respectate privind
caracterul (subiectul) datelor vehiculate– Brese:
• stocarea necorespunzatoare a datelor la nivel de server (information disclosure)
• atacuri de tip phishing• configurarea necorespunzatoare a sistemelor
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[1717]]
Aspecte• Pentru Internet, securitatea trebuia sa ia
in consideratie:– Clientul: interactiune, date personale,…– Datele in tranzit: securitatea retelei,
schimb sigur de mesaje, ne-repudiere– Serverul: securitatea serverului ori serverelor,
securitatea aplicatiilor, disponibilitatea serviciilor
• Atacurile pot viza oricare din cele 3 aspecte!
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[1818]]
VulnerabilitatiVulnerabilitati
• Vulnerabilitate ≡
slabiciune a unui sistem hardware/software care permite utilizatorilor neautorizati sa aiba acces asupra lui– Nici un sistem nu este 100% sigur!– Vulnerabilitatile apar si datorita
proastei administrari
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[1919]]
VulnerabilitatiVulnerabilitati• Tipuri (exemple):
– Permiterea refuzului serviciilor (DoS – Denial Of Service)
– Permiterea utilizatorilor locali cu privilegii limitate sa-si mareasca aceste privilegii fara autorizatie
– Permiterea utilizatorilor externi sa acceseze reteaua sau sistemul local in mod neautorizat
– Folosirea unor porturi ca “punti” pentru atacuri focalizate asupra unor organizatii (domenii) specifice
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[2020]]
VulnerabilitatiVulnerabilitati• Cauzele existentei vulnerabilitatilor
– Bug-uri (erori) existente in programe, introduse deseori neintentionat
– Ignorarea/nedocumentarea bug-urilor existente (cunoscute)
– Configurarea necorespunzatoare a programelor, serverelor si retelelor
– Lipsa suportului din partea producatorilor (e.g., rezolvarea greoaie a bug-urilor)
– Comoditatea sau necunoasterea problemelor de securitate de catre administrator ori de conducerea organizatiei
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[2121]]
VulnerabilitatiVulnerabilitati• Riscuri de securitate:
– Accesul fizic la echipamentele retelei (canale de comunicatii e.g., cabluri, servere, sisteme intermediare – routere,…)
– Existenta suportului pentru ICMP• atacuri via ping
– Implementari DNS eronate• vulnerabilitatile BIND
– Servicii “antice” operationale• e.g., telnet, TFTP,…
– Servicii/protocoale oferind date necriptate• exemple tipice: FTP, SMTP, POP
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[2222]]
VulnerabilitatiVulnerabilitati• Riscuri de securitate:
– “Gauri” prezente in aplicatii (application holes)• exemplificari: Apache, IIS, MSIE, Outlook, phpBB,…
– Script-urile CGI (Common Gateway Interface)– Existenta conturilor/configuratiilor implicite– Permisiuni inadecvate pentru fisiere,
conturi-utilizator, servicii etc.– Lipsa mecanismelor de monitorizare &
detectare a intrusilor– Arhitecturi (topologii) de retea vulnerabile
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[2323]]
VulnerabilitatiVulnerabilitati• Riscuri de securitate:
– Suport pentru sisteme de fisiere in retea• exemplu: NFS (Network File System)
– Conexiuni de tip null• sistemele NT/2000/XP
oferind IPC (Inter-Process Comunication)– Parole/nume de cont necorespunzatoare– Servicii de administrare de sistem
disponibile in mod remote• exemplu: webmin
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[2424]]
VulnerabilitatiVulnerabilitati• Riscuri de securitate:
– Apelul de proceduri la distanta• RPC, CORBA, DCOM, servicii Web,…
– Servicii care ruleaza in mod implicit• e.g., Remote Registry
– Virusi & malware• exemple: Melissa, Love Bug, componente ActiveX
– Existenta exemplelor de configuratii, programe demonstrative ce pot fi exploatate
– Lipsa aplicarii patch-urilor de securitate sau actualizarii aplicatiilor
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[2525]]
VulnerabilitatiVulnerabilitati
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[2626]]
VulnerabilitatiVulnerabilitati• Riscuri de securitate – studiu de caz
porturi vulnerabile:– 21 (FTP), 23 (Telnet), 25 (SMTP), 53 (DNS),
67 (DHCP), 80 (HTTP), 110 (POP3), 111 (RPC portmapper), 113 (identd), 135 (MS RPC), 143 (IMAP), 177 (XWindow), 535 (CORBA IIOP), 635 (Linux mountd), 1433/1434 (MS SQL), 1521 (Oracle), 2049 (NFS), 3306 (MySQL), 3389 (MS Terminal Services), 5432 (PostgreSQL), 6665-70 (IRC), 8000/8080 (HTTP) etc.
– Detalii: http://www.portsdb.org/
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[2727]]
AtacuriAtacuri• Cunoasterea profilului atacatorului• Atribute ce trebuie considerate:
– Resursele disponibile (financiare, tehnice,… + pregatirea in domeniu)
– Timpul alocat (atacatorii rabdatori vor avea mai mult succes)
– Riscul asumat – depinde de obiective (atacul ar putea fi revendicat sau nu de cracker)
– Accesul la Internet & calitatea acestuia: tip (wire- less, conexiune satelit,…), mod de alocare a IP-ului
– Obiectivele urmarite (recunoastere mondiala, denigrarea tintei, furt de informatii, furt de bani,…)
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[2828]]
AtacuriAtacuri• Niveluri de atac
– Oportunist (script kid)• Scop “recreational”• Fara obiective/tinte clar definite• Se utilizeaza programe disponibile liber
pentru a scana sau testa vulnerabilitati uzuale (e.g., software de scanare, rootkits,…)
• Nu necesita acces in interiorul sistemului• Cunostinte vagi despre sistemul/organizatia tinta• Masuri de precautie:
–ziduri de protectie (firewall-uri)–actualizarea versiunilor de programe
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[2929]]
AtacuriAtacuri• Niveluri de atac
– Intermediar• Obiectiv conturat, la nivelul organizatiei• Se vor efectua aceleasi actiuni ca la atacul
“recreational”, dar se incearca ascunderea lor• Atacatorul are mai multa rabdare• Cunostinte tehnice mai profunde
(uzual, la nivelul unui administrator de retea)• Probabilitate mai mare de succes,
posibil efecte mai puternice
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[3030]]
AtacuriAtacuri• Niveluri de atac
– Sofisticat• Obiectiv foarte bine conturat• Tinta este de cele mai multe ori o organizatie• Atacurile pot trece peste masurile de prevedere• Atacatorul va avea multa rabdare• Se investeste timp pentru colectarea de informatii
despre sistemul/organizatia tinta• Foarte bune abilitati tehnice• Probabilitate mare de succes
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[3131]]
Tip atacator Resurse Timp Instrumente Risc Acces Obiective
Atacator recrea-ţional
Cunoştinte tehnice în general limitate
De obicei oportunist
Utilizează instrumente
liber disponibile
Posibil să nu
înţeleagă/ aprecieze
riscul
Extern
Recunoaştere personală,
să-şi dezvolte abilităţile de
cracker
Angajat sau fost angajat
Depinde de abilităţile personale
Poate fi răbdător şi
aştepta apariţia unei oportunităţi
Utilizează instrum. liber disponibile. Dacă a fost
admin., ar putea dezv.
singur instrumente
Întelegere a riscului, mai ales
dacă este încă
angajat
Intern sau
extern
Avantaje personale. Denigrarea organizaţiei
AtacuriAtacuri
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[3232]]
AtacuriAtacuriTip
atacator Resurse Timp Instrumente Risc Acces Obiective
Activist cu
motivaţie etică sau politică
Posibil să lucreze în
echipă
Posibil răbdător,
un evenim. poate însă
determ. o acţiune
rapidă
Utilizează instrumente
liber disponibile
Nu este conştient de riscuri
Extern
Denigrarea organizaţiei.
Impresionarea opiniei publice. Impresionarea instituţiilor guv.
Spion industrial
Cunoştinte avansate
Răbdător. Va încerca
probabil ascunderea
identităţii proprii
Poate modifica sau
crea instrumente
noi
Întelegere medie a riscului
Extern
Vânzarea inform.
proprietare. Aflarea de
informaţii despre concurenţă sau determinarea
strategiilor organizaţiei ţintă
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[3333]]
AtacuriAtacuri
Tip atacator Resurse Timp Instrumente Risc Acces Obiective
Atacator la nivel naţional (nation-state)
Poate angaja resurse
importante
Răbdător, însă
informaţiile dorite pot fi necesare
într-un timp scurt
Ar putea dezvolta
instrumente specifice dacă
este mare câştigul
Întelegere medie a riscului
Extern
Accesarea de informaţii
guvernamentale sau informaţiile proprietare ale unei organizaţii
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[3434]]
AtacuriAtacuri• Activitati tipice intreprinse de un atacator
– Descoperirea unor informatii de interes• Network enumeration (e.g., scanare de porturi,
trasarea rutei, capturi ale datelor,…)• Comenzi folosite uzual:
whois, nslookup, host, traceroute, nmap, telnet– Analizarea vulnerabilitatilor
• Identificarea potentialelor brese de securitate– Exploatarea (exploitation)
• Incercarea de compromitere a retelei (folosirea de exploit-uri existente, crearea de cod malitios, atacarea porturilor etc.)
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[3535]]
AtacuriAtacuri• Tipuri de atac
– Accesul la nivel de utilizator• Atac prin acces via un cont de utilizator obisnuit
sau cu privilegii superioare• Etape:
– Colectarea de informatii (utilizatori, vulnerabilitati notorii, configuratii de sistem tipice,…)
– Exploatarea– Deteriorarea: acces la date importante,
alterarea informatiilor, asigurarea accesului ulterior la sistem, modificarea jurnalelor de sistem
• Solutii: eliminarea programelor, modulelor & serviciilor care nu sunt neaparat necesare, analizarea fisierelor de jurnalizare
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[3636]]
AtacuriAtacuri• Tipuri de atac
– Accesul de la distanta• Nu necesita acces-utilizator la sistem• Creaza refuzuri de servicii prin cereri incorecte,
eventual cu “caderea” serviciilor prost proiectate– DoS (Denial of Service), DDoS (Distributed DoS)
• Etape:– Colectarea de informatii – identificarea de servicii– Exploatarea – trimiterea de pachete la portul gasit– Deteriorarea
» Distrugerea unui serviciu de retea» Defectarea/incetinirea (temporara)
a unui serviciu sau a sistemului
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[3737]]
AtacuriAtacuri• Tipuri de atac
– Accesul de la distanta la diverse aplicatii• Trimitere de date invalide aplicatiilor,
nu serviciilor de retea (traficul nu e afectat)– Exemple: SQL injection sau Cross-Site Scripting
• Nu necesita obtinerea unui cont de utilizator• Etape:
– Colectarea de informatii – identificarea aplicatiei (e.g., server sau client Web, aplicatie de birou, sistem de stocare, solutie de mesagerie,…)
– Exploatarea – trimiterea continutului, direct sau indirect (e.g., via e-mail ori FTP), spre aplicatie
– Deteriorarea» Stergerea/copierea fisierelor utilizatorilor» Modificarea fisierelor de configuratie
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[3838]]
AtacuriAtacuri• Tipuri de atac
– Inocularea de programe pe calculatorul utilizatorului• Plasarea de programe malware (virusi, spioni,
cai troieni, bombe,...) – via script-uri, plugin-uri, componente ActiveX etc.
• Efecte:– Apelarea neautorizata de programe– Colectarea/distrugerea de resurse– Lansarea de atacuri spre alte sisteme– Crearea de usi ascunde (traps, backdoors) – Furtul identitatii utilizatorului– Si altele...
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[3939]]
AtacuriAtacuri• Tinta
– Organizatii publice sau guvernamentale• Recunoastere in rindul cracker-ilor• Captarea atentiei mass-mediei• Revendicari etice, politice,…
– Furnizori de servicii Internet• Sabotarea activitatii
– Companii private • Discreditare• Furt de informatii• Razbunare din partea fostilor angajati
– Persoane fizice• Cu scop recreational
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[4040]]
AtacuriAtacuri• Categorii:
– Abuzuri fizice asupra calculatoarelor– Atacuri la boot-area sistemului– Abuzuri la nivel de screen-saver– Atacuri privitoare la parole– Abuzuri privitoare la PATH– Atacuri asupra SMB (Service Message Block)– Atacuri vizind UPnP (Universal Plug’n’Play)– Atacuri asupra unor servicii Windows
(Help Center, Remote Registry, Remote Desktop,…)– Atacuri privitoare la sistemele de autentificare
Acces direct
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[4141]]
AtacuriAtacuri• Atacuri la nivel wireless (practici comune):
– Diminuarea semnalului– Capturarea pachetelor de date (wireless sniffing)– Atacuri asupra WEP (Wired Equivalent Privacy)– Crearea de virusi / cod malitios
• Exemple: Phage (Palm OS), Timofonica (sisteme GSM), Vapor (PDA), infectii asupra sistemelor Windows CE etc.
– Folosirea resurselor retelelor wireless publice sau ale unor companii• Snooping (accesarea datelor private, cu/fara autentific.)• Masquerading (furt de identitate al unui dispozitiv)• DoS (refuz al serviciilor)
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[4242]]
AtacuriAtacuri
• Tipuri de atacuri – studiu de caz– Spargerea sau penetrarea (cracking)
• Actiunea de descoperire a unor vulnerabilitati si de profitare de pe urma acestora
• Acces neautorizat la sistem efectuat de cracker– Accesare, fara alta actiune – rol pasiv– Accesare cu alterare/distrugere a informatiilor – activ– Accesare cu control asupra sistemului; uneori
cu creare de “usi din spate” (backdoors) – rol activ– Nu se acceseaza sistemul, ci se realizeaza actiuni
distructive de refuz al serviciilor
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[4343]]
AtacuriAtacuri
• Moduri de atac– Bomba e-mail (e-mail bombing)
• Trimiterea repetata a unui mesaj (de dimensiuni mari) spre o adresa e-mail a unui utilizator
• Incetineste traficul, umple discul• Unele atacuri pot folosi adrese e-mail multiple
existente pe serverul tinta• Se poate combina cu
falsificarea adresei (e-mail spoofing)
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[4444]]
AtacuriAtacuri
• Moduri de atac– Spam (e-mail spamming)
• Trimiterea de mesaje nesolicitate (reclame)• Adresa expeditorului este falsa• Efectul atacului este accentuat
daca mesajul va fi trimis pe o lista de discutii– Abonarea la liste de discutii
• “Atac” ce determina enervarea victimei, facilitat de diverse programe disponibile in Internet
• Cauzeaza trafic inutil de retea
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[4545]]
AtacuriAtacuri• Moduri de atac
– Falsificarea adresei expeditorului (e-mail spoofing)• Folosita pentru ascunderea identit. expeditorului
sau pentru determinarea utiliz. sa raspunda la atac ori sa divulge informatii (e.g., parole)
• Slabiciunea este datorata protocolului SMTP• Utilizatorii trebuie educati sa nu raspunda
expeditorilor necunoscuti si sa nu divulge informatii confidentiale
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[4646]]
AtacuriAtacuri• Moduri de atac
– Social engineering• Manipularea utilizatorilor de catre un cracker
– phishing (preluarea identitatii)• Tipuri: intimidare, santaj, presiune, autoritate,
flatare, substitutie de persoana, vanitate etc.• Atacatorul colecteaza date privitoare la persoana
si/sau organizatia vizata si aplica principii de persuasiune
• Detalii: http://online.securityfocus.com/infocus/1527
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[4747]]
AtacuriAtacuri• Moduri de atac
– Refuzul serviciilor (Denial Of Service)• Degradeaza calitatea functionarii unor servicii
sau conduce la dezafectarea lor• Bombardament cu pachete (packet flood)
– se trimite un numar mare de pachete spre o anumita gazda de la o singura sursa ori provenind de la surse multiple (Distributed DoS)
– Segmente TCP (cu setarea SYN, ACK sau RST)– Pachete ICMP (ping flood)– Pachete UDP– …
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[4848]]
AtacuriAtacuri• Moduri de atac
– Refuzul serviciilor (Denial Of Service)• Se poate falsifica adresa IP a expeditorului
(IP spoofing)• Se pot modifica porturile sursa/destinatie
(pentru a trece de firewall-uri)• Exemple
– SYN flood – cereri multiple de realizare de conexiuni– Ping of death – atac cu pachete ICMP mari– Teardrop – exploatarea implementarilor TCP/IP
care nu gestioneaza corect pachetele IP suprapuse– Smurf – atac ICMP asupra adresei de broadcast
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[4949]]
AtacuriAtacuri• Moduri de atac
– Depasirea capacitatii buffer-elor (buffer overflow)• Unele programe pot aloca spatiu insuficient
pentru unele date, depasirile survenite pot produce executarea de comenzi ca utilizator privilegiat (root)
• Unele functii C – precum gets(), getwd(), strcpy(), strcat() – ofera premisele aparitiei de buffer overflow-uri
• Exemple: suprascriere de cod, alterarea stivei de pointeri
• Uzual, atacul provine din interior, dar poate fi si din exterior (via un cal troian)
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[5050]]
AtacuriAtacuri
• Moduri de atac– Interceptarea retelei (IP sniffing)
• Monitorizarea datelor care circula printr-o interfata de retea – se pot detecta parole transmise necriptate
• Atacul provine din interior• Pentru retele de viteza mare (100 M/s)
unele pachete nu pot fi captate de sniffer• Software-ul interceptor trebuie supravegheat• Exemple: tcpdump, Wireshark (Ethereal)
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[5151]]
AtacuriAtacuri
• Moduri de atac– Cai troieni (trojan horses)
• Programe rau intentionate, “deghizate” sub forma unor executabile “utile”
• Apeleaza programe neautorizate sau sunt modificate, incluzind cod nelegitim
• Actiuni: colectarea de informatii, distrugerea de informatii, lansarea de atacuri spre alte sisteme
• Exemple: sendmail sau “vaduva neagra” (blocheaza sau corupe browsere Web)
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[5252]]
AtacuriAtacuri
• Moduri de atac– Usi ascunse (back doors / traps)
• Caz particular de cai troieni• Creaza o “poarta” (e.g., utilizator, port,…)
care permite accesul ulterior la calculator si/sau cistigarea de privilegii
– Viermi (worms)• Programe care se multiplica, transferindu-se
pe alte gazde si efectuind (eventual) distrugeri• Exemplu celebru: Internet Worm (1988)
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[5353]]
AtacuriAtacuri• Moduri de atac
– Ghicirea parolelor (password guessing)• 93% din procesele de autentificare
folosesc parole• Cu cit utilizatorul trebuie sa retina mai multe
parole, cu atit sistemul de protectie via parole este predispus la brese in securitate:
– Alegerea unor parole slabe– Partajarea parolelor (grupuri de prieteni, colegi,...)– Scrierea parolelor pe hirtie (eventual, la vedere)– Folosirea unei aceleasi parole timp indelungat,
pentru mai multe aplicatii/sisteme
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[5454]]
AtacuriAtacuri• Moduri de atac
– Ghicirea parolelor (password guessing)• Folosirea unui program ce determina parolele
prost alese (prea simple)– Prea scurte, utilizeaza cuvinte de dictionar, numerice
• Protectie prin /etc/shadow, reguli stricte de schimbare a parolelor, educarea utilizatorilor, folosirea de programe de tip spargator de parole (password cracker)
• Alte solutii: Single Sign-On (SSO), identificare biometrica etc.
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[5555]]
AtacuriAtacuri
• Moduri de atac– Virusi
• Programe ce efectueaza operatii nedorite (distructive), cu capacitati de “multiplicare” – infectarea altor programe (uzual, executabile)
• Mai putin raspinditi in Unix/Linux, de obicei avind efect doar daca se executa sub auspicii de root
• Pot genera si e-mail bombing• Remedii: utilizarea de antivirusi si porti de e-mail
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[5656]]
AtacuriAtacuri
• Moduri de atac– Utilizarea tehnicilor reverse code engineering
• Analizarea aplicatiilor binare fara cod-sursa accesibil (closed-source), pentru a se observa modul de executie la nivel scazut
• Folosita si pentru a studia codul malware• Apar probleme de legalitate!• Instrumente: editoare hexa, dezasambloare,
depanatoare, monitoare de sistem,…
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[5757]]
AtacuriAtacuri
• Moduri de atac– Exploatarea fragmentarii IP
• Folosita la “pacalirea” sistemelor de detectie a intrusilor (IDS – Intrusion Detection Systems), la confectionarea de pachete de dimensiuni mari (e.g., ping of death) si altele
• Pot fi utilizate instrumente disponibile ca hping, fragroute, nmap
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[5858]]
RezumatRezumat
• Preliminarii• “Definitii”• Aspecte importante• Vulnerabilitati• Atacuri
ReteleRetele de de calculatoarecalculatoare
SabinSabin--Corneliu Buraga 2006/2007 Corneliu Buraga 2006/2007 –– www.infoiasi.ro/~busacowww.infoiasi.ro/~busaco// [[5959]]
Intrebari?