Metody włamań do systemów komputerowych

Radek Borecki r.borecki@students.mimuw.edu.pl
Michał Matusiak m.matusiak@students.mimuw.edu.pl
Mateusz Srebrny m.srebrny@students.mimuw.edu.pl

16 stycznia 2003

Wprowadzenie
Buffer overflow
Heap overflow
Sniffing
Spoofing
Windowsy
Inne sprawy

Bezpieczeństwo systemów i sieci komputerowych

Poufność: Dane w systemie powinny być dostępne tylko dla uprawnionych podmiotów
Spójność: Tylko uprawnieni użytkownicy dokonują modyfikacji zasobów
Dostępność: Zasoby powinny być dostępne dla uprawnionych użytkowników
Autoryzacja: System komputerowy umożliwia weryfikację tożsamości i uprawnień użytkowników

Zagrożenia

Zerwanie strumienia danych
Zasób systemu staje się niedostępny lub nie zdatny do użycia. Zniszczony. Pozbawienie Dostępności Przerwanie sieci transmitującej dane Uszkodzenie, dezaktywacja systemu zarządzania plikami
Przechwycenie sygnału
Nieuprawniony podmiot uzyskuje dostęp do zasobu Pozbawienie Poufności Podczepienie do kabla. Pajęczarze. Nielegalne kopiowanie danych, programów.
Modyfikacja
Nieuprawniony podmiot uzyskuje dostęp do zasobów. Co więcej – manipuluje zasobem. Pozbawienie Spójności Zmiany w plikach z danymi Zmiana zachowania programu Zmiana zawartości danych przesyłanych w sieci
Podmiana, fabrykowanie danych
Nieuprawniony podmiot wstawia fałszywe dane do systemu Brak Autoryzacji Rozpowszechnianie informacji w systemie w nieswoim imieniu Dodawanie danych do plików

Zasoby systemu komputerowego

Hardware
- Zagrożenie: umyślne lub celowe uszkodzenie
Software
- Zagrożenie: skasowanie, zmiana, uszkodzenie programów
- Posiadanie kopii zapasowych najaktualniejszych danych może ułatwić zapewnienie Dostępności
Dane
- Zagrożenie: zniszczenie, zmiana, skasowanie plików z danymi
- Bezpieczeństwo: dostępność, spójność i poufność
- Backup oczywiście pomaga...
Sieci – atak pasywny
- Jeśli wysyłamy dane przy pomocy np. kabla telefonicznego, jasne jest, że te dane mogą być przechwycone
- Szyfrowanie ukrywa zawartość informacji. Przechwycenie danych jest bezużyteczne.
Sieci – atak aktywny
- Podawanie się za kogo/coś innego niż w rzeczywistości
- Przechwycenie (pasywne) danych i ich odesłanie
- Przechwycenie danych, zmiana, skopiowanie, przetrzymanie.
- Zablokowanie systemu uniemożliwia normalne korzystanie lub sterowanie.
- Uszkodzenie sieci lub przeładowanie jej informacjami

Techniki włamań

Zamiarem intruza jest uzyskanie dostępu do systemu lub powiększenie (niekoniecznie) swoich praw w systemie
Intruz chciałby przechwycić hasło

Jak zdobyć (cudze) hasło

Spróbuj domyślnych haseł używanych standardowo ma kontach dostarczanych z systemem
Sprawdź wszystkie krótkie hasła (do 5-6 znaków)
Sprawdź wszystkie słowa ze słownika i inne często używane słowa
Zbierz osobiste informacje o użytkowniku i wykorzystaj to
Użyj różnych kombinacji numerów telefonów, PESEL-u, nr pokoju itp. związanych z użytkownikiem
Sprawdź wszystkie możliwe nr tablic rejestracyjnych
Użyj konia trojańskiego, by ominąć zabezpieczenia autoryzacji
Pobaw się w pajęczarza

Dobre hasła

Generowane przez system
- Trudne do zapamiętania
- Zatem trzeba je zapisywać
- Zwykle nie zyskują akceptacji użytkownika
Na przykład: WaF7#(0XghBab%
Kevin_Mitnick – części włamań dokonał kradnąc hasła w sposób tradycyjny

Weryfikacja haseł

Systemowa kontrola haseł
System okresowo uruchamia własny program łamiący hasła. Znajduje w ten sposób „łatwe” hasła i wymaga ich zmiany
Włamywacze mogą skorzystać z tego mechanizmu po przechwyceniu pliku z (zaszyfrowanymi) hasłami

Szkodliwe programy

Wymagają wsparcia innego programu: Programy (podprogramy) te nie mogą funkcjonować niezależnie od pewnej aplikacji, narzędzia lub systemu
Niezależne: Samodzielne programy, które mogą być przydzielone do wykonania i wykonane przez system

Backdoor (Trapdoor)

Funkcja programu umożliwiająca nieautoryzowany dostęp użytkownikowi wiedzącemu o niej
Program umożliwiający powrót włamywaczowi do systemu, do którego się wcześniej włamał
Włamywacz po włamaniu dodaje sobie konto o uprawnieniach root’a, ale o innej nazwie

Logic Bomb

Procedura zamieszczona w programie, która „eksploduje” (tzn. uruchamia się) w określonych okolicznościach.
Przykłady warunków „eksplozji”:
- Istnienie/brak pewnych plików
- Określony dzień tygodnia/roku
- Uruchomienie pewnego programu
Procedura na przykład może otwierać port przez pewien określony czas

Konie Trojańskie

Program, zawierający ukryty podprogram, który, gdy uruchomiony, wykonuje szkodliwe, niepożądane czynności
Intruz może w ten sposób uzyskać dostęp do plików będących legalnymi sposobami poza jego zasięgiem
Np. ustawienie praw dostępu do pliku
NetBus - znany koń trojański rozpowszechniany przez sieć. Napisany dla Windows

Wirusy

Program, który może zainfekować inne programy modyfikując je
- Modyfikacja: kopia wirusa zarażającego
- Zarażone pliki zarażają dalsze
Często wirusy niszczą pliki, ale może się zdarzyć, że wirus pozwoli na zdalny dostęp do komputera (na przykład otwiera pewien port)

Worms

Rozprzestrzeniają się między różnymi systemami korzystając z połączeń sieciowych
Poczta elektroniczna
- Robak wysyła się w mailu do adresatów z Książki Telefonicznej
Możliwość zdalnego uruchomienia
Możliwość zdalnego zalogowania
- Robak loguje się na zdalny komputer jako dany użytkownik i stamtąd rozprzestrzenia się dalej

Przepełnienie bufora (Buffer Overflow)

Umożliwia uruchomienie shella z uprawnieniami root’a
Wykorzystuje brak weryfikacji, czy odwołanie do statycznej tablicy nie trafia poza tę tablicę
Umożliwia uruchomienie shella z uprawnieniami root’a
Wykorzystuje brak weryfikacji, czy odwołanie do statycznej tablicy nie trafia poza tę tablicę

Stos i wywołanie funkcji

Włożenie na stos adresu powrotu (aktualne IP)
Włożenie na stos parametrów
JMP do kodu funkcji
Odłożenie zmiennych lokalnych na stos (w tym statycznych tablic)
Wykonanie kodu
Powrót pod adres ze stosu

Ideologia przepełniania bufora

Program, który wczytuje jakiś napis
- sendmail
- xterm
- mount
void fun(char *a) {
   char bufor[256];
   strcpy(bufor, a);
}
int main(int argc, char **argv) {
   fun(a);
}
Napis ten podaje jednej z niebezpiecznych funkcji bez kontroli jego rozmiaru
Ta funkcja bez sprawdzenia zakresu przepisuje napis we właściwe miejsce...
... i dalej w niewłaściwe miejsce...
Między innymi nadpisuje adres powrotu
Koniec funkcji skacze tam gdzie chcemy

Co dalej?

Możemy zmusić program, żeby wykonał dowolny kod ze swojej pamięci
Trzeba ten kod w jakiś sposób podać (wpisać do pamięci atakowanego procesu)
Przepełniający napis może zamazać dużo większy obszar stosu.
W tym dodatkowym obszarze można umieścić odpowiedni kod (taki który uruchomi shella)

Shellcode

Kod, który uruchamia shella wygląda mniej więcej tak:

int main() {
   char *n[2];
   n[0] = „/bin/sh”;
   n[1] = NULL;
   execve(n[0], n, NULL);
}
Kod, który naprawdę uruchamia shella wygląda mniej więcej tak (podajemy adres tego napisu):

char shellcode[] =
   ”\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b”
   ”\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd”
   ”\x80\xe8\xdc\xff\xff\xff/bin/sh”;

Remote shellcode

Istnieją dziury zdalne (remote)
Remote shellcode działa prawie tak samo jak zwykły shellcode
- Dziury zdalne umożliwiają zdobycie przywilejów nawet wtedy gdy nie mamy konta na danym komputerze
- Często jest to jedyna możliwość zdobycia przywilejów na danym komputerze
- Wykorzystuje te same niebezpieczne funkcje w programach sieciowych na docelowym komputerze
Idea wywołania kodu remote shellcode’a identyczna jak w przypadku zwykłego shellcode’a (buffer overflow)
Co robi remote shellcode?
- Oczekuje na połączenie TCP/IP na pewnym porcie
- Po nawiązaniu połączenia uruchamia proces shella
- Shell jest na jednym końcu połączenia, proces włamywacza na drugim (dzięki przepisaniu deskryptorów – dup2())
- Shell posiada uprawnienia procesu, który wykorzystaliśmy (sshd, apache, bind, wu-ftpd)
Pseudo-kod remote shellcode’a

int main() {
   socketfd=socket();
   listen(socketfd);
   acceptedfd=accept(socketfd);
   dup2(acceptedfd,0);
   dup2(acceptedfd,1);
   dup2(acceptedfd,2);
   execl("/bin/sh","sh",0);
}

Heap overflow

Heap, czyli sterta – pamięć dynamicznie alokowana przez aplikację (nie mylić z dynamicznie zmieniającym się stosem)
Co się stanie gdy zaalokujemy dwa bufory i przepisując coś na jeden z nich, nadpiszemy zawartość drugiego (na przykład używając strcpy())?
Przykładowy kod

...
   b1=malloc(size1);
   b2=malloc(size2);
   memset(b2,’2’,size2);
   memset(b1,’1’,size1+OVERSIZE);
...
Zawartość bufora b2: ”111........11112222...........222”
Sytuacja gdy mamy zmienne statyczne static char buf[SIZE],*tmp;
Przypisanie na tmp, wskazuje na miejsce pamięci, gdzie zawarta jest nazwa pliku tmp = ”/path/to/original/file”;
Wczytanie łańcucha z klawiatury i przepisywanie go do buf. Jeśli podamy więcej danych niż rozmiar buf to nadpiszemy wskaźnik tmp: gets(buf);
W przeciwieństwie do buffer overflow, nie daje bezpośredniej możliwości wykonania własnego kodu
Umożliwia zmiany zawartości zmiennych i buforów
- Można na przykład zmusić program, by odczytał plik o innej nazwie niż ta, która została w nim standardowo zapisana
- Gdy mamy wskaźniki do funkcji, możemy zmienić je by wskazywały na nasz kod (możliwość wykonania własnego kodu)
Trudniej wykorzystać niż przypadki buffer overflow
Czasami jedyna możliwość, gdy nie da się wykonywać kodu ze stosu, a ze sterty można (non-executable stack)

Wróćmy do haseł

Dobry złodziej wchodzi frontowymi drzwiami
Najprostsza ideowo metoda włamania – ukraść hasło pewnego użytkownika
Jak je znaleźć:
- Zapytać, podejrzeć itp.
- Wygenerować losowo
- Poświęcić czas na „wąchanie”

Sniffing (wąchanie)

Włamywacz przechwytuje niezaszyfrowany pakiet danych i analizuje jego zawartość
W takim pakiecie mogą explicite znajdować się identyfikator i hasło pewnego użytkownika
Ciekawe dane (bo niezaszyfrowane):
- ciąg znaków wprowadzonych z klawiatury
- pakiety telnetowe, ftp
- http, pop, smtp (mogą być szyfrowane)

Keylogger

Ogólnie dostępne maszyny, bez konieczności uprzedniego uwierzytelnienia użytkownika (np. stacja Windows 98)
Każdy może uruchomić dowolny program. W szczególność Keyloggera
Keylogger działa w tle. Zapisuje do pliku cały strumień danych z klawiatury
Logując się teraz przez telnet podajesz włamywaczowi swoje hasło
Plik keyloggera powinien być dobrze ukryty

Sniffery – czyli programy wąchające (nasłuchowe)

Rzadko mamy dostęp do ogólnodostępnych maszyn, na których można uruchomić Keylogger’a
Korzystamy z faktu, że pewne dane w sieci są nieszyfrowane
Droga pakietu danych w sieci może obejmować kilkadziesiąt komputerów. Routery
Umieszczamy na jednym z nich program filtrujący strumień danych płynących do pewnego (konkretnego) portu
Albo taki, który wszystko zapisuje na dysk

Sniffery

Zainstalowanie sniffera wymaga praw administratora (na routerze)
Jest to więc drugie włamanie
Skuteczna obrona – szyfrowane protokoły:
- ssh
- https
Komputery w sieci lokalnej połączone ze sobą szeregowo lub hub’em
Pakiety są rozsyłane do wszystkich
Karta sieciowa na podstawie sprzętowych adresów sieciowych odrzuca dane nieprzeznaczone dla danego komputera
Zmieniamy opcje karty sieciowej
PROMISCIOUS MODE – karta akceptuje wszystkie pakiety. Zapisujemy je na dysk do analizy lub robimy co nam się żywnie podoba
Rozwiązanie problemu: switche – pakiety na poziomie sprzętu trafiają tylko do adresata

Spoofing

Podszywanie się pod inny komputer w sieci dzięki możliwości wysyłania pakietów IP o innym adresie źródłowym niż rzeczywisty
Dzięki temu komputer, który otrzymał od nas taki „spreparowany” pakiet „myśli”, że otrzymał go od innego komputera
Rzeczywiste użycie techniki bardzo trudne, wyróżniamy: Blind Spoofing i Non-Blind Spoofing

Non-Blind Spoofing

Widzimy pakiety, pochodzące od komputera, który atakujemy
Korzystamy z technik takich jak przy sniffowaniu, żeby widzieć pakiety pochodzące od tego komputera
Możemy dowolnie włączać się w komunikację między dwoma komputerami po prostu wysyłając do nich pakiety
SYN flooding – atakowany komputer przestaje przyjmować połączenia
Connection Killing – połączenie zostaje przerwane
Connection Hijacking – klasyczny ”man in the middle” przejęcie połączenia
Przejęcie połączenia pozwala na uzyskanie różnych informacji, w tym haseł
Po co unieruchamiamy komputer, pod który się podszywamy?
- Po to by nie brał udziału w komunikacji, dzięki temu pakiety trafiają „w próżnię”, nikt na nie nie próbuje odpowiadać
- Oczywiście my widzimy te pakiety i wiemy jak na nie odpowiedzieć

Blind Spoofing

Nie mamy możliwości obserwacji pakietów wysyłanych przez komputer, który atakujemy
Tak samo musimy unieruchomić komputer, za który się podajemy
Musimy wiedzieć dokładnie co chcemy wysłać do komputera-ofiary, co gorsza nie ma możliwości bezpośredniej weryfikacji, że to co wysłaliśmy zadziałało
Protokół TCP ma zabezpieczenia przed takim podszywaniem się, co utrudnia korzystanie z techniki

Windowsy

Podatne na błędy typu buffer overflow
Błędy w Outlook’u wymagają odebrania odpowiednio spreparowanego maila lub czasami uruchomienia załącznika (np. LOVELETTER.TXT.vbs)
Błędy w Explorerze wymagają interakcji użytkownika-ofiary, tzn. musi ona sama wejść na odpowiednią stronę
Wirusy nie mają problemów z rozprzestrzenianiem się w systemie Windows
Istnieje dużo oprogramowania pełnego wszelkiego rodzaju pułapek (konie trojańskie)
Istnieje dużo oprogramowania z błędami
Istnieje bardzo poważny błąd w samym systemie (nawet W2K są podatne) pozwalający na wysłanie komunikatu do dowolnego okna, nawet okna bardziej uprzywilejowanego użytkownika
Dzięki wysyłaniu komunikatów łatwo można zmusić aplikację do wykonania naszego kodu (komunikat WM_TIMER z parametrem – adresem funkcji, którą ma wykonać)

Inne sprawy

Worm Morrisa