Attacks on Computer Systems Hans Hedbom
Attacks “Non-Technical” attacks Technical attacks Example Cause Social engineering Phishing Cause Low user awareness or missing policies/routines Technical attacks See following slides Transitive trust Bugs and configuration errors in apps and OS Vulnerabilities in protocols and Network Infrastructure “Social Engineering” Skaffa kännedom om en persons privatliv. Intressen, frugans namn, bil och registreringsnummer, namn på hunden etc. Impersonera auktoriserade användare Olåst terminal, Ej utloggad kommunikations-session. Utnyttja buggar och konfigurationsfel i applikationer och operativsystem Sendmail mfl. “Transitive Trust” .rhost filer, hosts.equiv (UNIX) Datadrivna attacker Satan, COPS, ISS Utnyttja sårbarheter i protokoll och internets infrastruktur IP-Spoofing, SYN-attack, DNS-spoof. Tillgänglighets-attacker SYN-Attack, Ping ’o Death, mail-bombning
Threats to confidentiality Table from: Symantec Global Internet Security Threat Report Trends for 2009 Volume XV, Published April 2010
Network attacks
SYN-Attacks The attacker sends a large amount of SYN-packets to the server fills-up the SYN-buffer server is unable to accept more connections Denial of Service Uppkopplingen av en TCP session innebär att en 3-vägs hand-skaknings-procedur genomförs. Om vi antar att system A vill öppna en TCP session till system B sker följande handskakning: System A börjar med att sända ett IP-paketet innehållande ett SYN meddelande till system B. System B accepterar A:s begäran genom att återsända ett ACK meddelande. När system A får B:s ACK bekräftar A att sessionen är upprättad genom att sända ett ACK till B. Därefter är uppkoppling klar. För att klara flera parallella uppkopplingsförsök finns en buffert som fungerar som buffert för ‘halv-öppna’ sessioner. I BSD4.4 kärnan (SunOS) är denna buffert oftast mycket liten. Endast 8 ‘halv-öppna’ sessioner kan finnas samtidigt. Därefter nekas nya uppkopplingsförsök. Ett effektivt sätt att slå ut all IP-kommunikation är att enbart sända en massa SYN paket men inte svara på de ACK som erhålls. På det sättet fylls målsystemets SYN-buffert snabbt och systemet blir lamslaget. Eftersom inga session blir fullständigt uppkopplade loggas ingenting, varför det är svårt att avgöra vad som har inträffat samt att spåra varifrån attacken härstammar. Svårigheter Användare av UNIX-system måste ha root-behörighet för att utföra attacken. I PC miljö kan vem som helst utföra detta. Motmedel Det diskuteras för närvarande livligt på Internet hur man kan avhjälpa detta problem. I regel skall man kräva en patch från leverantören av systemet. En hacker som utsätter ett system för en SYN-attack vill inte använda sig av sin egen avsändar-IP-adress. Vanligtvis förfalskar man avsändaradressen så att man är helt säker på att inte attacken kan spåras. En lämplig åtgärd vore att konfigurera routrar att inte släppa ut paket med avsändar IP-adresser ej härstammande från det interna LANet. Detta hindrar att en hacker utnyttjar ens LAN till att utföra ‘SYN attacker’ mot andra LAN. Om alla Telias LAN var konfigurerade på detta sätt skulle ingen kunna bli utsatt för detta annat än från det egna LANet. Om hackern däremot är så dum att han använder sin egen avsändaradress kan man relativt enkelt spåra honom/(henne). Programvaror för denna attack finns fritt tillgängliga på Internet. Client Server SYN Timeout ~4 min. SYN,ACK ACK TCP event diagram
IP Fragmentation Attack Intentional fragmentation of IP-packets may confuse routers, firewalls and servers IP-packet Data Header Original Fragment 1 Fragment 2 Denna typen av attack är en ganska okänd attack och mycket lite finns skrivet om den. Principen för attacken är att lura routern att släppa igenom IP-paket i tron att de är adresserade till en tillåten TCP-port. Eftersom IP är ett ‘connection-less’ protokoll kontrollerar den inte innehållet i varje IP-fragment. P.g.a detta kan alltså IP-fragmenten överlappa varandra vilket resulterar i oväntade resultat vid den slutgltiga ihopsättningen av IP-paketet. Ihopsättningen av fragmenten görs alltid vid den slutgiltiga destinationen. Resultatet blir att routern släpper igenom IP-paketen i tron att de svar på paket initierade från insidan av nätet. Eftersom IP-fragementen överlappar varandra kan man påverka utseendet av det slutgiltiga paketet. Genom ett finurligt pusslande under ihopsättningen kan man lura till sig tillgång till tjänster som egentligen borde ha stoppats i routern. De felaktiga ihopsättnings-algoritmerna skall enligt rykten finnas i ett flertal system baserade på BSD4.4 källkod. Motmedel För att skydda sig mot dessa attacker skall man tillse att routern uppfyller kraven i RFC1858. Header Data H Data Fragmented Offset 0 Offset 20 Offset 16 IP-packet Data Header Assembled Overlap!
Sniffer Attacks Eavesdropping on a network segment. Telnet (password in the clear) Telnet Client IP Network Telnet Server De flesta förekommande nätverksadaptrarna på marknaden har ett läge kallat ‘promiscious mode’. Detta läge gör att nätverkskortet kan lyssna på alla IP paket som passerar nätkortet. Normalt lyssnar kortet bara på paket adresserade till sig själv. Detta är ett hot eftersom en användare på system A kan avlyssna IP-trafik på alla andra system i samma nätsegment. Svårigheter Attacker av det här slaget försvåras också av att root-behörighet krävs i UNIX-miljö. I PC miljö krävs dock ej några speciella behörigheter (alla är i princip root). Motmedel En lösning på problemet är att ha mycket små nätsegment, vilket innebär att endast ett begränsat antal system kan avlyssnas. Optimalt vore att ha endast 1 dator/segment. Vissa typer av aktiva hubar kan hantera detta. En annan åtgärd som bör göras på varje dator är att man tar bort de devices som möjliggör orestriktiv åtkomst av nätadaptern. Se UNIX-checklistan. (/dev/nit, dlpi m.fl) Kryptering av viktiga protokoll förhindrar effektivt sniffer attacker. Även om inkräktaren kan läsa innehållet i paketen har han ingen större nytta av dom i krypterad form. För att förhindra sniffning av passord kan engångslösenords eller stark autenticering införas. Detta förhindrar att inkräktaren kan återanvända ett uppsniffat passord för access till systemet. (ex. S/key) Telnet Attacker
Passwords over the Net Telnet FTP Rlogin Rexec POP SNMP NFS SMB HTTP 1) Inga passord går i klartext, men däremot filehandles. Filehandles används för att peka ut en specifik katalog eller fil via NFS protokollet. Det beklagliga är att accesskontrollen i NFS enbart baseras på kännedom om dessa filehandles. Om man på något sätt har kommit över dessa sedan tidigare, kan man alltså kringgå accesskontrollen och läsa filerna precis som vanligt. Detta betyder att om ett intrång upptäcks, där inkräktaren utnyttjat NFS, räcker det inte med att aktivera accesskontrollen. Inkräktaren har med största sannolikhet redan kopierat alla filehandles, vilket ger honom/(henne) fortsatt fri access till systemet.
IP-Spoofing Counterfeiting of IP-sender-addresses when using UDP and TCP NFS-request Ett hot är att avsändarens IP-adress ofta används för autenticering (rsh m.fl.). Problemet ligger i att avsändarens IP-adress inte kontrolleras hårdvarumässigt, utan sätts av kernel programvaran. Med root-behörighet på ett UNIX system kan man godtyckligt sätta avsändaradress på IP-paketen. Vissa protokoll kan luras att utföra operationer på detta sätt. Svårigheter Svårigheten med den här typen av attacker är att inga returpaket erhålls eftersom avsändaradressen är falsk. Detta kan lösas på två sätt: 1. Utnyttja ‘sequence-number-prediction’ för att gissa sekvensummer i TCP. Detta innebär att man först kopplar upp sig till systemet tillräckligt många gånger för att kunna analysera hur den genererar sina sekvensnummer. Därefter kan man skicka paket med korrekta sekvensnummer utan att erhålla dessa via svarspaketen. 2. Om man befinner sig på samma LAN kan man avlyssna svarspaketen och dess sekvensnummer trots att de inte är adresserade till en själv. Programvaror för dessa attacker finns fritt tillgängliga på Internet. Motmedel En lösning vore att förbjuda alla protokoll som förlitar sig på avsändarens IP-adress. Detta skulle naturligtvis vara omöjligt i praktiken eftersom många TCP och UDP tjänster då fick stängas av. En tänkbar lösning är att konfigurera routrar så att de inte släpper in paket med avsändaradress härstammande från det interna LANet. Därigenom kan ingen extern hacker utsätta LANet för denna typ av attack eftersom paketen stoppas i routern. Ytterligare en lämplig åtgärd vore att konfigurera routrar att inte släppa ut paket med avsändar IP-adresser ej härstammande från det interna LANet. Detta hindrar att en hacker utnyttjar ens LAN till att ‘spoofa’ andra LAN. Om alla Telias LAN var konfigurerade på detta sätt skulle ingen kunna bli ‘spoofad’ annat än från det lokala LANet. NFS Client IP Network NFS Server NFS-response SYN-attack Attacker
Session Hijacking Attacker hijacks a session between a client and a server it could for example be an administrator using telnet for remote login Telnet traffic Telnet client IP Network Telnet server Flera olika metoder för att överta en öppen session existerar. Ett relativt enkelt och väldokumenterat sätt är att utnyttja dynamiskt laddade drivrutiner (loadable modules). Programvara finns tillgänglig på Internet för att utföra denna attack. Rootbehörighet på systemet krävs för att kunna utföra attacken. Motmedel Undvika att slentrianmässigt logga in som root på system om det inte är absolut nödvändigt. Logga hellre in som en vanlig användare och ‘SU’:a sedan till root. Koppla alltid ned en session så fort ärendet är utfört. Låt inte sessioner vara öppna dagarna igenom, eller ännu värre, på nätterna. Tillse att devices (/dev/nit m.fl.) som möjliggör direktåtkomst till lågnivå protokollen i systemet (IP) tas bort om de ej används. Detta beskrivs i UNIX-checklistan. SYN-attack IP-Spoofing Attacker
DNS Cache Poisoning DNS = Domain Name Service is primarily used to translate names into IP-addresses e.g. ”www.sunet.se” to ”192.36.125.18” data injection into the DNS server cross checking an address might help
OS (Software) attacks
Race Condition Attacks Explores software that performs operations in an improper sequence. e.g. psrace (Solaris 2.x). Application Create file /tmp/sh Store data /usr/bin/ps Create link /tmp shared by all users /var/tmp – also shared by all Set SUID /tmp/ps_data Use data Remove file
Buffer overflows Buffer overflow accounts for 50 % of the security bugs (Viega and McGraw) Data is stored in allocated memory called buffer. If too much data need to be stored the additional bytes have to go somewhere. The buffer overflows and data are written past the bounds.
Web Attacks
Browser Vulnerabillities Table from: Symantec Global Internet Security Threat Report Trends for 2009 Volume XV, Published April 2010
Window of Exposure Table from: Symantec Global Internet Security Threat Report Trends for 2009 Volume XV, Published April 2010
Phishing Phishing (only works with predictable or time invariant values) Trick the user to access a forged web page. Forged Web Page SSL/TLS 1. Username 2. Ask for login credentials 3. Give login credentials 4.Ok alt Deny (error code)
Phishing Table from: Symantec Global Internet Security Threat Report Trends for 2009 Volume XV, Published April 2010
Phishing Table from: Symantec Global Internet Security Threat Report Trends for 2009 Volume XV, Published April 2010
Pharming 5.Chalange 6. Responce 2.Username 3.Chalange 8.Responce 9.Ok alt Deny 4.Chalange 7 .Responce 1.Username 2.Username 3.Chalange 8.Responce 9.Ok alt Deny
XSS
What is SQL Injection? $name = $HTTP_POST_VARS["name"]; $passwd = $HTTP_POST_VARS[“passwd"]; $query = “select name from users where name = ‘”.$name.”’ and passwd = ‘”.$passwd.”’” ; $result = mysql_query($query);
What is SQL Injection? The ability to inject SQL commands into the database engine through existing application. Flaw in web application not in database or web server. query = “select name from users where name = ‘kevin’ AND passwd = ‘’ OR ‘1’ = ‘1’” ;
BOT-NETS
Bot-nets A bot-net is a large collection of compromised computers under the control of a command and control server. A bot-net consists of bots (the malicious program), drones (the hijacked computers) and (one or more) C&C server. A bot is usually a combination of a worm and a backdoor. IRC and HTTP are the primary communication protocols in today's bot-nets. Bots are usually self spreding and modular.
Uses of bot-nets Bot-nets could be used for the following: Click Fraud Making drones click on specific advertisements on the web. DDoS For financial gain or blackmail. Keyloging For financial gain and identity theft. Warez Collecting, spreading and storing Spam For financial gain. And of course as a private communication network.
Detecting and preventing bot-nets Detection is all about finding the C&C server. Look for suspicious traffic patterns in firewall logs and other logs. Take note of servers whit a high number of incoming connections. Monitor the suspicious C&C and inform the owner and the authorities when you are sure that it is a bot-net controller. Prevention All the usual rules apply: patch and protect. Do egress filtering in firewalls as well as ingress. This will stop infections from spreading and could block outgoing traffic from drones within the intranet. Problems Some bot-nets are encrypted. Tracking the C&C to the real bot-net owner can be hard.
Bot activity Table from: Symantec Global Internet Security Threat Report Trends for 2009 Volume XV, Published April 2010