Cosa è e Perché Serve. Copyright 2001 Maurizio Sartori HdPnet. Sala Convegni SANPAOLO IMI Viale dell Art e 25 In data: Venerdì 28 settembre 2001

Transcript

1 Ethical Hacking Cosa è e Perché Serve Maurizio Sartori Responsabile Internet Security HdPnet Copyright 2001 Maurizio Sartori HdPnet 28 Settembre 2001 Presentazione fatta per il convegno Auditing e Qualità nel Mondo Virtuale in Presenza di Rischi Reali Organizzato da: ICCRI / GUIDE Presso: Sala Convegni SANPAOLO IMI Viale dell Art e 25 In data: Venerdì 28 settembre 2001 Relatore: Maurizio Sartori Responsabile della Sicurezza Internet di HdPnet, la new media company del gruppo HdP. HdP è la holding che controlla società tra le quali spiccano Rizzoli Corriere della Sera, Fila e Valentino. 1

2 Introduzione Internet ovunque Utenti, Clienti, Fornitori e Pirati Complessità Crescente Maggiori Rischi Politiche di Sicurezza La crescita esplosiva di Internet ha portato sicuramente un sacco di buone cose e novità; governi, compagnie ed anche privati cittadini sono ansiosi di entrare nella Rete ed essere parte di questa nuova rivoluzione. Esiste però anche un lato oscuro della Rete. Internet è un ambiente intrinsecamente non sicuro e non controllato, da cui provengono minacce ed insidie per la sicurezza di chi ad essa si collega: accanto a clienti e fornitori navigano su Internet anche loschi figuri che per gioco o per lucro tentano si scardinare le difese delle macchine collegate alla Rete delle Reti. Tutto ciò porta ad un aumento della complessità nella gestione dell in frastruttura hardware e software delle compagnie che forniscono servizi e alla loro necessità di avere delle politiche e dei processi molto stringenti per il controllo della sicurezza. 2

3 Sicurezza Definizione delle Politiche di Sicurezza Executive, Manager, Implementazione delle Politiche System/DB Administrator, Process/Data owner Controllo dell ap plicazione delle Politiche Auditor La sicurezza è un processo, un requisito che permea qualsiasi attività di ogni organizzazione, in particolar modo se questa è aperta verso l esterno, per esempio collegata ad Internet. Il Processo di gestione della sicurezza può essere scomposto in tre macro aree a cui corrispondono ruoli con diverse responsabilità. Il primo ruolo è quello dell Auto rità, essa definisce le Politiche di Sicurezza, le regole grazie alle quali si cerca di garantire la sicurezza dell o rganizzazione. Il secondo ruolo è quello di chi implementa le politiche, l own er dei processi, delle applicazioni e dei dati; è sua responsabilità fare si che ogni attività sia svolta in conformità con le Politiche di Sicurezza. Il terzo ruolo è quello del Controllore, sua è la responsabilità di verificare che le Politiche di Sicurezza siano realmente e correttamente implementate; è una figura che deve essere neutrale, indipendente e non coinvolta nell i mplementazione della sicurezza. 3

4 Ethical Hacking Metodo per la verifica della sicurezza Stesse tecniche usate dai Pirati Informatici Internet, Intranet, Extranet, Modem Alta specializzazione L Ethical Hacking o Penetration Test entra in gioco nella fase di controllo della corretta implementazione delle Politiche di Sicurezza. E un modo p er verificare che non ci siano problemi di sicurezza, che le applicazioni siano correttamente configurate e che siano state applicate tutte le fix e patch necessarie. Le tecniche adottate sono le stesse che utilizzano i pirati informatici su Internet, questo lo rende il metodo ottimale per verificare la protezione contro gli attacchi provenienti da Internet ed in generale dalle reti informatiche. Le insidie possono provenire da vari fronti; Internet è il punto più evidente, ma anche dalla rete interna, per esempio da impiegati non soddisfatti o da addetti alle pulizie; o dai Modem, siano essi autorizzati o meno, che permettono l accesso alla rete interna; o da Bussiness Partner collegati alla rete interna tramite VPN. La lista può continuare a lungo, è quindi molto importante analizzare a fondo la rete della compagnia per evidenziare tutti questi punti di ingresso. Il test di Ethical Hacking va effettuato da personale altamente specializzato, sono richieste competenze di rete, sistemi operativi, linguaggi di programmazione, protocolli, database, web server, eccetera. Per diventare un Hacker vero sono necessari diversi anni di esperienza diretta nei vari campi e una alta attitudine personale nella ricerca e nello studio di come hardware e software funzionano. 4

5 Come Definizione degli Obiettivi Raccolta delle informazioni Analisi delle vulnerabilità Attacco Analisi dei risultati Rapporto finale Un test di Ethical Hacking è composto da varie fasi. La prima fase, la Definizione degli obiettivi, viene svolta principalmente da chi commissiona un test di Ethical Hacking, eventualmente aiutato da qualche rappresentante della squadra che effettuerà il test. Le successive quattro fasi, raccolta delle informazioni, analisi delle vulnerabilità, attacco ed analisi dei risultati vengono svolte in autonomia dagli Ethical Hacker. Al termine dei test viene redatto un rapporto finale, contenete la descrizione dettagliata di tutto il lavoro svolto. Il rapporto viene consegnato personalmente al committente e con lui ne vengono discussi i dettagli in una riunione finale. Vediamo ora in dettaglio le varie fasi. 5

6 Definizione degli Obiettivi Personale Interno / Esterno Target: Macchine, Dati, Procedure Scansione Interna / Esterna Periodicità Costi / Ricavi La Definizione degli Obiettivi è forse la fase più importante. E qui che si decide tutto quello che si vuole ottenere e verificare tramite il test di Ethical Hacking. La prima cosa da stabilire è Chi deve effettuare il test; i test possono essere effettuati da personale interno oppure da personale esterno, solitamente si preferisce utilizzare personale esterno specializzato per effettuare test approfonditi, mentre test periodici più leggeri possono essere fatti da personale interno istruito appositamente. Poi è necessario individuare i punti critici da analizzare: - le macchine: Web server, Database Server, Mail Server, Router, Firewall. - i dati: determinare quali sono i dati sensibili e quantificare i danni in caso di lettura, modifica o cancellazione degli stessi. - le procedure: verifica degli allarmi di intrusione, dei back-up, verifica della disponibilità del servizio in caso di attacchi DoS. Si decide quindi da che punti della rete si vogliono effettuare gli attacchi: da Internet, dalla rete interna, dai modem eccetera. Si deve stabilire se si vuole un test singolo, che dia una fotografia della situazione attuale, o se lo si vuole integrare ad un servizio periodico che avvisi gli amministratori di sistema di ogni variazione delle configurazioni o di nuove scoperture che minano la sicurezza della compagnia. Bisogna quantificare i costi che si è disposti a subire in base ai ricavi che si vuole ottenere: occorre però ricordarsi di non considerare solamente i costi del test in quanto tale, ma anche tutto ciò che ci gira intorno: per esempio un sistema di trasmissione dati sicuro che utilizzi crittografia richiede maggiori risorse di banda e di CPU e quindi maggiori costi. 6

7 Definizione degli Obiettivi Leggi, Standard e Certificazioni Quantità di informazioni iniziali Tempi di Esecuzione Fiducia e Confidentiality Agreement Contratto e Responsabilità Valutare se si vuole verificare anche la conformità con la legge 675/96 sulla Priva cy e quali standard seguire (es: ISO e i Common Criteria). Bisogna decidere quante informazioni si vogliono fornire a chi effettua il test: si può decidere di fornire solo gli indirizzi IP delle macchine da analizzare, oppure di fornire un gran numero di informazioni, come per esempio i file di configurazione o i sorgenti delle applicazioni installate o alcune login e password di utenti registrati sulle macchine. Si deve stabilire in che periodo effettuare il test, tenendo presenti i possibili problemi che questo può causare ma anche che l effettuazione del test durante il normale orario di lavoro rende più efficace la verifica dei sistemi anti-intrusione. Una cosa molto importante quando si incarica una società esterna per eseguire i test è la fiducia: bisogna selezionare una società di cui ci si possa fidare perché i dati che dovrà utilizzare e che riuscirà a scoprire sono altamente sensibili e critici. Da ciò si deduce l impo rtanza, sia per il cliente che per chi effettua il test, di definire in modo specifico, a livello contrattuale, cosa è permesso e cosa no durante il test, le responsabilità per eventuali danni o disservizi e le modalità di azione. 7

8 Modalità di azione IP Scanning Sniffing Hijacking Exploit Down Time Data Lost Password Cracking Denial of Service Distributed DoS Social Engineering Dumpster Diving Physical Attacks Estorsioni Ricatti Rapimenti Il test di Ethical Hacking viene effettuato utilizzando tutta una serie di tecniche e di tool per ottenere informazioni, forzare i sistemi e verificarne la sicurezza. In teoria l id eale sarebbe quello di permettere qualsiasi mezzo per verificare a fondo la solidità dei sistemi, in quanto un eventuale aggressore determinato nei sui fini non segue alcuna regola; in pratica però solitamente si impongono dei limiti ben precisi a quello che si può fare durante il test: rapire la figlia dell amministratore di sistema per costringerlo a rivelare la password è probabilmente un po esagerato!! Solitamente si permette l utilizzo di tutti qu ei tool informatici che non distruggono il sistema e si valuta l u tilizzo o meno di tool di Denial of Service e di Password Cracking. Va poi deciso se utilizzare o meno tecniche di Social Engineering e Dumpster Diving, se il test si debba occupare anche della sicurezza fisica dei sistemi e cosi via. 8

9 Raccolta delle Informazioni Analisi dell Arch itettura di Rete Hardware, Software DNS, Whois, Net News Nomi dei System Administrator Ricerca di Exploit per i SW Installati A questo punto si entra nel vivo del test, è da qui che iniziano ad operare in autonomia gli Ethical Hacker. La prima fase operativa del test è la ricerca delle informazioni. Si analizza la rete per disegnarne una mappa completa di tutte le apparecchiature, elencando indirizzi IP, il tipo di hardware e di software installato. Si analizzano fonti esterne quali i Domain Name Server, i database Whois, le Net News per ottenere nomi, e numeri di telefono da utilizzare poi come login, password e nelle tecniche di Social Engineering. Ottenute le informazioni di partenza, si cercano su Internet tutte le informazioni riguardanti l ha rdware e il software installato: quali sono i bug e i problemi di sicurezza noti, eventuali login e password di default, exploit pronti per l uso, e tc. 9

10 Analisi delle Vulnerabilità Tool Commerciali ISS, CyberCop, NetRecon, Retina, NSA Tool Open Source Nessus, Nmap, Saint, Sara, Whisker Tool Proprietari Analisi Manuale La fase della ricerca delle vulnerabilità dei software installati può essere effettuata anche con l uso di tool autom atici. Esistono tutta una serie di tool, sia Commerciali che Open Source, che automatizzano la ricerca dei problemi NOTI dei software installati. Questi tool sono molto comodi in quanto velocizzano molto la ricerca e l an alisi delle vulnerabilità, hanno però delle debolezze che è necessario conoscere e valutare. Innanzitutto nessuno di questi tool è esaustivo, conviene quindi utilizzarne almeno due o tre in modo da avere una copertura maggiore dei problemi riscontrabili. Spesso nei report generati da questi tool ci sono falsi positivi, occorre quindi incrociare i risultati dei vari tool e verificare manualmente l effettiva presenza delle vulnerabilità. La validità di questi tool è data dal loro continuo aggiornamento, è quindi necessario avere sempre l ultimo liv ello disponibile e non usare quelli non aggiornati da molto tempo. Questi tool NON possono assolutamente verificare la sicurezza delle applicazioni custom, personalizzate o non di ampio utilizzo: entra a questo punto in gioco l esp erienza di chi effettua il test che manualmente cerca le possibili scoperture di queste applicazioni particolari. 10

11 Attacco Exploit Privilege Excalation Trojan Installation Root Kit Sniffer Password Cracker Trovate le scoperture di sicurezza si procede con l att acco. Si utilizzano le scoperture per avere un minimo accesso alla macchina debole, ottenuto questo accesso si cerca di acquisire maggiori privilegi e autorizzazioni sulla macchina in questione fino ad avere addirittura l auto rità di amministratore. Si installano tool che permettono di entrare nella macchina anche nel caso in cui il bug iniziale venga chiuso, si installano sniffer per carpite password e dati, si creano nuove utenze, eventualmente si cancellano le tracce per non essere scoperti. 11

12 Analisi dei Risultati Catalogazione dei Risultati Verifica dei Falsi Positivi Reiterazione di Scansione ed Attacco con i nuovi dati Raccolti Man mano che si ottengono nuove informazioni, queste vengono catalogate e verificate. I falsi positivi vengono eliminati mentre le reali esposizioni sono utilizzate per nuovi attacchi. Con le nuove informazioni e partendo dalle macchine conquistate si tentano nuove incursioni all int erno della compagnia. 12

13 Esempio di Attacco Internet Intranet Web DB Mail Application Facciamo ora un esempio di attacco mettendoci nei panni dell Ethical Hacker. La raccolta iniziale di informazioni ci fornisce gli indirizzi IP del Mail server e del Web Server. La scansione ci dice che sulla macchina Mail è attivo un mail server mentre sulla macchina Web è attivo il web server, tutte le altre porte sono filtrate dal firewall e quindi appaiono chiuse se viste da Internet. Una ricerca su Internet ci permette di trovare un exploit per un baco del mail server che ci dà accesso alla macchina come se fossimo un utente non privilegiato. 13

14 Esempio di Attacco Internet Intranet Web DB Mail Application A questo punto abbiamo la possibilità di vedere da dietro il primo firewall quello che c è nella zona esterna della rete (DMZ). Facciamo una scansione della macchina W eb p artendo dalla macchina Mail e scopriamo che anche sulla macchina Web è presente lo stesso mail server che abbiamo già bucato sulla prima macchina e che prima era protetto dal firewall. Dalla macchina Mail p assiamo quindi alla macchina Web ott enendo anche su questa una utenza non privilegiata. 14

15 Esempio di Attacco Internet Intranet Web DB Mail Application Siamo ora sulla macchina Web. Grazie ad un altra ricerca su Internet troviamo un problema, questa volta del sistema operativo, che ci permette di ottenere l utenz a di amministratore, dandoci così accesso ad ogni file e programma presente sulla macchina. Analizzando i file di configurazione del web server scopriamo le login e password per collegarci al Database per fare query SQL. Riusciamo quindi ad accedere ad alcuni servizi delle macchine D B e Appli cation. Ricercando ulteriormente in Internet scopriamo un problema di sicurezza anche nel DataBase server che non è stato risolto applicando le fix necessarie in quanto gli amministratori di sistema pensavano che DUE firewall fossero sufficienti per garantire una sicurezza totale. Utilizzando questo bug siamo ora anche sulla macchina D B. 15

16 Esempio di Attacco Internet Intranet Web DB Mail Application Da qui il processo inizia nuovamente. Si installano sniffer per carpire nuove login e password si fa una nuova scansione per trovare nuove vulnerabilità e cosi via. Alla fine si trova qualcosa che magari ci permette di entrare nella Intranet, o magari la semplice lettura delle e dei dati nel database o la loro modifica ci danno l u tile che cercavamo. Naturalmente questo è un esempio è molto semplificato, nonostante ciò spesso la situazione reale è molto simile a quella qui ipotizzata. La complessità della rete, la carenza di informazioni e di cultura della sicurezza, spesso, fanno si che non tutte le azioni necessarie siano effettuate prontamente a discapito della sicurezza e con effetti simili a quelli qui appena mostrati. Basti pensare al recente caso del Red Cod e Worm che in poche ore è riuscito ad impossessarsi di centinaia di migliaia di server su Internet perché le corrette patch non erano state applicate. 16

17 Rapporto finale Sintesi dei Dati Raccolti Elenco Prove Effettuate e loro Esito Rimedi Consigliati Verifica della effettiva correzione dei problemi dopo un opportuno periodo Alla termine della serie di test, il team di Ethical Hacking redige un rapporto finale che viene consegnato al cliente e con lui discusso. Questo rapporto contiene l el enco di tutte le prove effettuate, abbiano esse esito positivo o negativo. Per ogni problema riscontrato vengono elencati i rimedi consigliati e le azioni da intraprendere. Contiene inoltre un analisi delle procedure e delle politiche di sicurezza della società, e della loro reattività e competenza a fronte dei tentativi di intrusione. Si consiglia di effettuare un nuovo test di Ethical Hacking, più leggero, dopo un breve periodo di tempo per verificare la reale chiusura di tutti i problemi riscontrati. 17

18 Dove Cryptonet, EDP IBM, IT WAY, Italdata, ITS Securteam, Siscai, Steadynet, Symbolic Trust Italia, VeriSign, Le aziende che oggi offrono servizi di Ethical Hacking o corsi e consulenze sulla sicurezza sono innumerevoli. Basta fare una ricerca su Internet per trovarne decine. Sta però ad ognuno valutare e scegliere quella che soddisfa di più le proprie esigenze. 18

19 Conclusioni L Ethical Hackin g è Utile e Necessario L Ethical Hackin g non è la Panacea Basta un errore Tenere sempre alta la guardia L esecuzione di test di Ethical Hacking è sicuramente un fatto positivo e necessario nel processo di controllo della sicurezza di una organizzazione, ma da sola non basta. Controlli periodici, pronta risposta ai tentativi di intrusione, alta competenza della amministrazione dei sistemi informatici, un occhio attento alle problematiche di sicurezza sono tutti fattori chiave per una corretta gestione della sicurezza. Basta un solo errore per esporsi ad alti rischi. Ogni nuova tecnologia ha i suoi lati positivi, ma anche negativi; anche se gli Ethical Hacker possono aiutare i propri cliente a capire meglio i rischi e i requisiti di sicurezza, è poi compito dei clienti stessi mantenere sempre alta la guardia. 19