Klaus-Peter Hahn Mac Club Aschaffenburg Termin: 9. Januar 2003

Präsentation zum Thema: "Klaus-Peter Hahn Mac Club Aschaffenburg Termin: 9. Januar 2003"—  Präsentation transkript:

1 Klaus-Peter Hahn Mac Club Aschaffenburg Termin: 9. Januar 2003
Internet & Sicherheit Klaus-Peter Hahn Mac Club Aschaffenburg Termin: 9. Januar 2003 Wer weiß, - ob oder ob nicht - ob er bei der Nutzung des Internet schon einmal Ziel eines Angriffes war?

2 Einführung Daten / Datenpakete Datenübertragung
Einführung Daten / Datenpakete Datenübertragung Paketorientierte Datenübertragung Serielle Datenströme (synchron) IP-Adressen URL - Unified Resource Locator Kenntnisse über Bit und Byte abfragen - sind wichtig für das weitere Verständnis.

3 Protokolle IP - Internet Protocol TCP - Transport Control Protocol
UDP - User Datagram Protocol Sequenznummer

4 Ports IP-Ports (Übertragungskanäle)  Etherpeek-Bilder
Port 23 - Telnet-Port (Kommandozeile) Telnet auf einen anderen Port z.B. Port 25 Kommunikation mit Kommandos Puffer-Überläufe (überlange Eingaben)

5 Services (packetorientiert)
HTTP - HyperText Transport Protocol FTP - File Transport Protocol SMTP - Simple Mail Transport Protocol POP3 - Post Office Protocol (Version 3) IMAP - Internet Message Access Protocol

6 Hackerangriffe durch Hackertools Portscans
Auswertung von Banner-Informationen Bekannte Verwundbarkeiten „Trojanische Pferde“

7 Gefahrenquellen: Gefährlicher und einfacher denn je
Gefahrenquellen: Gefährlicher und einfacher denn je Packet Forging/ Spoofing Hoch Stealth Diagnostics Nötiges technisches Wissen DDOS Back Doors Sweepers Ausgefeiltheit der Angriffe Exploiting Known Vulnerabilities Sniffers Hijacking Sessions Disabling Audits Self Replicating Code Password Cracking When most people read about Internet hacking incidents, they get the impression that these are highly complex, technical attacks that takes a genius to create. Reality is that the really smart people first come up with these highly complex, technical attacks, but they share the information and the tools required to pull off the attack on the Internet. The “open sharing” of hacking information and tools allows individuals with minimal technical knowledge to duplicate the attack. Often, it is as easy as downloading the attack tool from the Internet and launching it against targets. You don’t need to know anything other than how to run the attack tool. The bottom line is that it doesn’t take a genius to successfully attack systems and networks, it just takes someone downloading attack tools. Password Guessing Niedrig 1980 1990 2000

8 Verfügbarkeit von Tools
Verfügbarkeit von Tools Connected to Anyone can be or become a hacker ( “Script Kiddies” for wannabe crackers can be found as near as your customer’s corner electronics store-There are many free GUI tools For example: l0PHT-Crack ( Back Orifice 2000 ( Trojanized utilities: eliminate log files, hide directories, collect information rootkit.com: showing the vulnerabilities of an OS vs giving potential hacker tools Root kits - Allows a compromised machine to have custom versions of utilities and back-doors into areas of the OS. Basic system administration can not detect the changes after a root kit is installed (files have same date / time / size etc ) This creates an environment for the attacker to operate without being detected. Root Kits are primarily UNIX based though NT kits exists. Some Root Kits offer special features: sniffing tuned to find passwords log modifications to remove presence

9 Attacks on The Increase
Attacks on The Increase “The CERT Coordination Center's tally should top 46,000 [attacks] by the end of the year, doubling the nearly 22,000 incidents counted last year.” Code Red and Nimda were each only counted once in this report “The CERT Coordination Center's policy is to count each worm or virus only once, no matter how widespread the attacks become.” Source: c/net: news.com, 15 October 2001 html?tag=mn_hd The trends for vulnerabilities is on the rise. CERT is an organization which tracks and records security vulnerabilities. Based on current trends, the CERT Coordination Center's security incident tally should top 46,000 [attacks] by the end of the year, doubling the nearly 22,000 incidents counted last year. Each ‘incident’ corresponds to a report filed by a company or organization struck by an intruder, worm, virus, or other Internet attack. Widely publicized attacks, such as this year’s Code Red and Nimda incidents, each only count as a single incident

10 Sicherheitsverständnis Gestern …
Sicherheitsverständnis Gestern … Sicherheit = Firewall … ist nicht genug !!! Internet Die Anforderungen an Sicherheit haben sich nicht grundsätzlich verändert. Sicherheit war und ist noch nie lediglich durch eine Firewall zu erreichen gewesen! Marketing der Pin-Point Produkt Anbieter haben dieses falsche Bild suggeriert. [klick] Sicherheit ist wesentlich mehr als nur ein einzelnes Produkt, sogar mehr als eine Produktpalette. Sicherheit ist ein Prozeß und setzt sich aus vielen Einzelkomponenten zusammen, die erst durch Zusammenspiel die gewünschte Wirkung erzielen.

11 Sie sind Sicher! – Wirklich ???
Sie sind Sicher! – Wirklich ??? Firewall Das Thema Sicherheit ist sehr komplex und wird häufig in seiner Komplexität unterbewertet. Anschaulich wird dies am Beispiel Fahrrad, wo offensichtlich alles für die Sicherung des Fahrrads gegen Diebstahl getan wurde. Frage: Fühlen Sie sich ausreichend gesichtert? Analog zum Fahrradbeispiel sollten Sie Ihre Netzwerksicherheit analysieren. … Firewalls Netzkomponenten (Server, Hosts, Router, Switche) Dial-up Zugaenge Modems Passwoerter Logging ….

12 Gefahren in Datennetzen
Gefahren in Datennetzen telnet foo.bar.org username: dan password: I’m Bob, Send Me all Corporate Correspondence with Cisco m-y-p-a-s-s-w-o-r-d d-a-n Bob Verlust der Vertraulichkeit Vortäuschen der Identität 4 Beispiele; kein Anspruch auf Vollstaendigkeit Vertraulichkeitsverlust: Bsp.: Telnet uebertragt Passwoerter im Klartext, die mitgesniffert werden koennen. Alternativ: SSL, IPSEC Identitaetsvortaeuschung: Vorgeben jemand zu sein, der man nicht ist. Damit kommt man an Informationen die nicht zugaenglich sein sollten. Bsp. Faelschen einer Adresse oder IP Spoofing. DoS: Angriffe gegen die Verfuegbarkeit durch das Ueberlasten von Netzkomponenten. Integritaet: “Man in the middle attacks”. Jemand gibt sich in beide Richtungen einer Kommunikation als der jeweilige andere Kommunikationspartner aus. Bsp.: faelschen von Daten – aus $100 werden $1000. Loesungen – Sicherer Transport, IPSEC. Deposit $1000 Deposit $100 CPU Customer Bank “Denial of Service” Verlust der Integrität

13 Vorgehen des Hackers Netzwerkangriff Phase 1: Netzwerk erkunden
Vorgehen des Hackers Phase 1: Netzwerk erkunden Phase 2: Ein System kontrollieren Phase 3: Vertrauen nutzen Phase 4: Daten stehlen Phase 5: Das Netz kontrollieren Netzwerkangriff Building Module Mainframe Module WAN Module Internet SMTP DNS HTTP/SSL Server Module Linker/oberer Teil des Bildes zeigt relativ komplexes Netz mit Servern, Campus, Mainframes und WAN Anbindung. Unterer rechter Teil zeigt Internet Connectivity mit Servern und redundanten Firewalls. Dies ist der potentielle Angriffspunkt fuer von aussen kommende Hacker. 1. Netzerkundung. Informationen sammeln ueber Netzwerke, IP-Addressranges, Servernamen … 2. Own the root CGI-BIN and buffer overflow 3. Port redirection 4. Own the data 5.

14 Netzwerkerkundung IP-Adressen erkunden Ports scannen
Netzwerkerkundung IP-Adressen erkunden Ports scannen Andere Hilfsmittel Whois DNS Web pages Scorecard: Network Security Hacker 0 0 Ziel des Angreifers So viel wie moeglich ueber das Angriffsziel in Erfahrung bringen. Schritt fuer Schritt Vorgehensweise: Ping Sweep. Alle IP Adressen eines Netzes abpingen um rauszukriegen wo Maschinen antworten. Port Scan (I.e. nmap). Die antwortenden IP Adressen per Portscanner abscannen um rauszukriegen welche Ports wo offen sind. Others: Whois, DNS, Web Pages Angriff Resultate Hervorbringen von Addressbereichen, Hosts, and services auf den Hosts Known Servers: (jeder von diesen hat viele Vulnerabilities) SMTP(send mail) DNS (many) HTTP/SSL (OS) Firewall wird eventuell erkannt oder auch nicht SMTP DNS HTTP/SSL Internet Angreifer

15 Ein System kontrollieren
Ein System kontrollieren Vulnerability Scan bash-2.02$ id uid=11117(networkers) gid=1(other) bash-2.02$ cat /etc/shadow cat: cannot open /etc/shadow bash-2.02$ ls -l total 48 -rwxr-xr-x 1 networkersother Nov 10 13:58 ex_lib bash-2.02$ ./ex_lib jumping address : efffe7b8 # id uid=11117(networkers) gid=1(other) euid=0(root) egid=3(sys) # cat /etc/shadow root:07AUBkfmBv7O2:11043:::::: toor:r1CjeWYEWNMDk:10955:::::: daemon:NP:6445:::::: CGI-BIN Vulnerability Starten von xterm Buffer Overflow Vulnerability Get “root” Scorecard: Network Security Hacker 0 0 0 1 Ergebnis: Kontrolle über einen Host Angriffsziel: Einen Host kompromittieren um von dort weitere Angriffe zu starten. Tools wie SATAN koennen verwendet werden um nach bekannten Loechern auf einem System zu suchen. Einzelschritte: Meistens ist der Web Server lohnendes Ziel (Port 80 offen) Vulnerability Scan (automatisch oder manuell) [eventuell auch ueber mehrere Monate] Erfolgreich z.B. (cdomain 1.0) Angriffssequenz per Web Browser schicken http// Xterm terminal wird auf der Maschine des Angreifers angezeigt und erlaubt interaktiven Zugriff Betriebssystemversion ist leicht zu erkennen. Hacker FTP’s Buffer overflow von seiner Maschine (libc) Buffer Overflow wird ausgefuehrt und Root Zugriff erreicht. Root Kit can dann installiert werden um Anwesenheit zu verstecken und weitere Angriffe auszufuehren. Angriffs Resultat: Angreifer hat nun volle Kontrolle ueber das System und kann die oeffentliche Web-Darstellung manipulieren (leicht) oder weiterhacken um interessantere Informationen zu finden. SMTP DNS Internet Angreifer OWNED: HTTP/SSL HTTP/SSL

16 Vertrauensbeziehungen ausnutzen
Vertrauensbeziehungen ausnutzen Weitere Erkundung Log Files analysieren Prozesse Konfigurationsdateien Password Cracking Sniffing Scorecard: Network Security Hacker 0 1 Back-End Datenbank gefunden Angriffsziell: Herausfinden wer dem gehackten System vertraut (Vertrauensbeziehung). Einzelschritte Weitere Erkundung: log files (syslog, lastlog, rhosts, shell history, etc.) running processes config files password cracking sniffing Angriffsresultate: Der Angreifer kennt jetzt die userids und passwoerter der Maschine und sieht das sie per SQL und SSH mit einem back-end Datenbanksystem kommuniziert. SMTP Back-End Database DNS Internet Angreifer OWNED: HTTP/SSL

17 Diebstahl von Informationen
Diebstahl von Informationen Einsatz von Port Redirection Angriff ausführen Root durch “cracked” Passwörter Scorecard: Network Security Hacker 0 1 Source: Web Server Destination: Back-End Database Port: 22 (SSH) Source: Angreifer Destination: Back-End Database Port: 22 (SSH) 0 2 OWNED: Back-End Database Angriffsziel: Angreifer moechte direkten Zugang zum Datenbankserver, aber SSH wird am Zugangsrouter geblockt. Uebergeordnetes Ziel: Eine interaktive Session mit dem DB Server von aussen. Einzelschritte: Installation eines Port redirection utility (I.e. netcat) um Verkehr der auf dem Webserver auf Port 25 ankommt auf den SSH Port 22 des DB Servers umzuleiten. SSH von der Station des Angreifers auf Port 25 zum Webserver hin starten.. Web server re-directed den Verkehr zur Backend Datenbank auf Port 22. Angriffsresultate: Interaktive session zum backend DB server vom Angreifer aus. Root access ueber die gecrackten Passworte des web servers. Kreditkartennummern aus der Datenbank… Besitz ergreifen vom DB Server SMTP Back-End Database DNS Internet Source: Angreifer Destination: Web Server Port: 25 (SMTP) Angreifer OWNED: HTTP/SSL

18 Das gesamte Netz erkunden
Das gesamte Netz erkunden Angreifer ist “hinter” der Firewall Keine Sicherheitsvor-kehrungen mehr Weitere Erkundung Vulnerability Scan … Scorecard: Network Security Hacker 0 2 Angriffsziel: Uebernahme ALLER verletzbaren Systeme im Unternehmen. Einzelschritte Jetzt ist es leicht: Keine Firewalls mehr, keine Encryption, keine ACLs usw. Informationen sammeln Ping Sweeps Port Scans Sniffing Vulnerability Scans Ausnutzen der verschiedenen Loecher in den Systemen, Trojanische s usw. Ausgehend von Daten der Cisco Security Consulting Group koennen 75% aller Netze uebernommen werden… OWNED: Back-End Database SMTP Back-End Database DNS Internet Angreifer OWNED: HTTP/SSL

19 Das gesamte Netz kontrollieren
Das gesamte Netz kontrollieren Angreifer ist “hinter” der Firewall Keine Sicherheitsvor-kehrungen mehr Weitere Erkundung Vulnerability Scan Angreifer hat einen neuen Spielplatz Scorecard: Network Security Hacker 0 752 Nochmal!! Firewall ist nicht gleich Security wie dieses Beispiel zeigt. Hier wird zugelassene Kommunikation zwischen Webserver und DB server genutzt, was die Firewall erlaubt. Die Aussage eine Firewall von Hersteller xy loest alle Security Probleme ist falsch. Security sollte nicht nur auf dem einen Bein “Firewall” stehen Mehrstufige Sicherheitskonzepte sind gefragt. Cisco bietet Moeglichkeiten auf allen Komponenten. Wen es um LAN Switching geht, ist Layer3 aus Securitysicht besonders wichtig !! In flachen L2 Netzen ist nur wenig Kontrolle moeglich, Security basiert weitestgehend auf L3, da kann man eingreifen. OWNED: Back-End Database SMTP DNS Internet Angreifer OWNED: HTTP/SSL

20 Schutz durch Prevention Packetfilter (Services)
Firewall (Packetfilter auf Applikationsebene) MAD - Malicious Activity Detection IDS - Intrusion Detection System Wie lange online, mit welcher Bandbreite?

21 Was kann ich tun? Passwörter immer wieder ändern Email abrufen per SSL
Antivirus Software installieren (Trojaner) Personal Firewall / Paketfilter installieren Gesundes Mißtrauen gegenüber dem Internet Evtl. separater Computer für Internetnutzung

22 Was sollte ich tun? Gesundes Mißtrauen Anti-Virus Programm
Was sollte ich tun? Gesundes Mißtrauen Anti-Virus Programm Personal Firewall 2. -Adresse für Internet Verschlüsselung Digitale Unterschrift Zertifikate gesundes Mißtrauen Anti-Virus Programm Personal Firewall 2. -Adresse für Internet Verschlüsselung digitale Unterschrift Zertifikate

23 Software für den Macintosh
Norton Personal Firewall IPNetSentry (Paketfilter) NetBarrier (Personal Firewall) Virex / Norton Antivirus Verschlüsselungs-Software PGP Virtual Private Network

24 Internet-Seiten http://www.securemac.com http://www.macanalysis.com
Allg. Infos zur Sicherheit: Tool zum Test: Infos über Verwundbarkeiten: