Sicurezza in ambiente Unix

Transcript

1 Sicurezza in ambiente Unix Cesena, 22 maggio 2008 Andrea Carmè 1

2 Indice del seminario Che cosa è Unix? Evoluzione Gestione dei permessi Meccanismi di identificazione Analisi di alcuni scenari Vulnerabilità dei softwares Buffer overflows Shellcodes 2

3 Che cosa è Unix? Unix è un sistema operativo con le seguenti caratteristiche: MULTIUTENTE: può essere utilizzato contemporaneamente da più utenti MULTITASKING: permette di eseguire più task contemporaneamente attraverso time-sharing PORTABILE: grazie all'impiego del linguaggio C APERTO: le caratteristiche di Unix si sono via via uniformate allo standard POSIX Con il termine sistema aperto si fa riferimento ad un insieme di funzionalità, tecnologie e convenzioni riconosciute e svincolate dalle realizzazioni dei fornitori di hardware e 3 software 1

4 Evoluzione 4 2

5 Curiosità Unix è nato dall'intelligenza e la passione di alcune menti libere nei Bell Labs: dove molti vollero porre fine al progetto, altri lo portarono avanti, senza altro incentivo che quello della ricerca e della curiosità 5 3

6 Gestione dei permessi Unix distingue due entità logiche: UTENTE e GRUPPO Ad ogni utente e ad ogni gruppo viene assegnato un numero univoco chiamato rispettivamente UID e GID Un utente può far parte ad uno o più gruppi Ad ogni utente vengono assegnati dei privilegi Il concetto di gruppo è utile per assegnare un insieme di privilegi per una data risorsa in modo da condividerla tra gli utenti che ne necessitano Esiste un utente, chiamato SUPERUSER senza nessuna restrizione 6 4

7 Gestione dei permessi 2 In una prospettiva semplice, qualsiasi cosa visibile all'utente in un sistema Unix può essere rappresentata come un FILE Ad ogni FILE viene associato: Un nome Un proprietario Un gruppo di appartenenza Un insieme di permessi Altri attributi come dimensione, data creazione etc

8 Gestione dei permessi 3 I permessi comunicano al sistema chi può accedere al file o modificarlo o, nel caso di un programma, eseguirlo. Ognuno di questi permessi può essere impostato per: Proprietario Gruppo di appartenenza Tutti gli altri utenti USER GROUP OTHER 8 6

9 Uno sguardo al filesystem Ma che cosa è il filesystem?! Con il termine filesystem indichiamo l'insieme dei supporti di memorizzazione, fisici o virtuali, collegati al sistema Esiste una unità principale chiamata root(radice) Alla root vengono agganciate tutte le altre unità come sottodirectory L'insieme di tutte le unità di memorizzazione vengono accorpate in una grande struttura ad albero 9 7

10 Gestione delle passwords Si ha la necessità di identificare un utente per poter gestire la risorsa in base ai permessi Solitamente Unix fa affidamento alla coppia USERNAME-PASSWORD In questo caso, lo schema di identificazione è basato su due file: Passwd: file leggibile da tutti gli utenti che contiene, per ogni utente, informazioni non sensibili come l'account name, GID, UID, tipo di shell utilizzata etc... Shadow: file leggibile solo da amministratore, contiene il segreto di autorizzazione in forma criptata per accedere alle risorse definite dal sistema per un particolare utente 10 8

11 Gestione delle passwords 2 FILE PASSWD FILE SHADOW Passwords cifrate attraverso la funzione C crypt La funzione crypt: Cifra la password utilizzando un algoritmo crittografico(des, MD5,...) Utilizza una tecnica chiamata Password salting per perturbare l'algoritmo. Alla codifica della password viene affiancato un salt il cui scopo è quello di complicare gli attacchi basati su dizionario. Salt Cypher Password 11 9

12 Attacco con dizionario SCENARIO Un intruso riesce a rubare il file shadow sfruttando, per esempio, la vulnerabilità di un software Cosa può fare l'intruso con questo file? Il sistema operativo per autenticare un utente legge la password, recupera il salt e calcola l'hash Se l'hash dell'utente corrisponde a quello presente nel record del file, il server garantisce l'accesso L'intruso fa la stessa identica operazione! L'unica differenza è che, non conoscendo la password, prova ad indovinarla! 12 10

13 Attacco con dizionario 2 L'hacker utilizza un file contenente un vasto numero di potenziali passwords chiamato dizionario Se la password dell'utente è presente in questo file il gioco è fatto (è solo questione di tempo!) 13 11

14 Attacco di forza bruta É un attacco con dizionario che prova a utilizzare ogni possibile combinazione di caratteri Con 95 caratteri di input possibili vi sono 95^8 passwords possibili di 8 caratteri! È improponibile provarle tutte! Fortunatamente, diminuendo il numero di caratteri, per esempio a 4, vi sono solo 95^4 possibili combinazioni. Riusciamo a trovare la password in un tempo ragionevole 14 12

15 Contromisura all'attacco UTILIZZARE PASSWORDS ROBUSTE! 15 13

16 Sniffing di una password SCENARIO Un amministratore, per vari motivi(lavoro, famiglia, etc...), è costretto ad accedere ad un sistema remoto attraverso terminali non sicuri come, ad esempio, tramite postazioni all'interno di un internet point In questi luoghi il rischio di password sniffing aumenta in modo considerevole In questo caso, utilizzare una password robusta non basta È necessaria una tecnica di identificazione che non permetta ad un eventuale hacker di riutilizzare una password sniffata 16 14

17 One-time passwords Identificazione tramite l'utilizzo di one-time passwords: Ogni passwords è valida per una sola sessione Utile per autenticarsi da terminali non sicuri È inutile sniffare una password che non potrà più essere utilizzata Serve un metodo intelligente per creare e mantenere le passwords, oltre ad una procedura sicura per l'identificazione S/KEY e SecurID sono due interessanti soluzioni 17 15

18 S/KEY creazione passwords 1)L'utente fornisce al server una chiave segreta w 2)Sia H una funzione hash crittografica 3)Applichiamo H n volte su w, creando n passwords one-time 4)Eliminiamo la chiave segreta w 5)Il server fornisce all'utente n passwords, stampate in ordine inverso 6)Il server getta n-1 passwords. Mantiene solo l'ultima creata 18 16

19 S/KEY Identificazione 1)La prima password in possesso dell'utente non viene utilizzata 2)L'utente comunica la seconda password pwd al server 3)Il server calcola H(pwd) 4)Se H(pwd) corrisponde alla password del server allora l'identificazione ha successo 5)Il server memorizza la nuova password pwd 19 17

20 SecurID Utilizza un meccanismo di identificazione a due fattori Uno strumento hardware o software chiamato token mantiene al proprio interno un codice(seed) ed un orologio Al possessore del token viene assegnato un PIN Il token genera un codice chiamato SecurID Code utilizzando il clock ed il seed Tale codice varia ogni secondi 20 18

21 SecurID Identificazione 1)L'utente fornisce al server il proprio PIN ed il SecurID visualizzato sul token 2)Il server controlla la correttezza del PIN dell'utente, dopodichè calcola, utilizzando un clock sincronizzato con quello del token ed il seed, il SecurID 3)Se I due SecurID coincidono il server garantisce l'accesso all'utente 21 19

22 SecurID login 22 20

23 Vulnerabilità Unix pone una netta distinzione tra USER e SUPERUSER USER: Entità logica soggetta a vincoli dettati dai permessi SUPERUSER: Entità logica non soggetta a vincoli! Un utente non può accedere ad aree del file system critiche, questo permette al sistema di mantenere un buon livello di sicurezza 23 21

24 Vulnerabilità 2 TUTTAVIA... Ottenere i privilegi del SUPERUTENTE significa prendere il controllo dell'intero sistema. Se un hacker riesce ad ottenere tali privilegi, la sicurezza del sistema risulta totalmente compromessa! Questo può succedere quando l'hacker: Ottiene la password dell'account SUPERUTENTE Ottiene i massimi privilegi sfruttando le vulnerabilità dei softwares 24 22

25 Vulnerabilità 3 Unix permette ai programmi di essere eseguiti con privilegi che appartengono ad un utente diverso(anche ROOT!) dal chiamante. Questo è possibile utilizzando permessi speciali: SUID e SGID Il comando PASSWD di Unix ne è un chiaro esempio: ID REALE ID EFFETTIVO 25 SUID 23

26 Vulnerabilità 4 Spesso nasce l'esigenza di permettere, ad alcuni programmi, di essere eseguiti con i massimi privilegi. Questo è necessario quando si vuole per esempio: Accedere ad aree del file system protette Effettuare il binding di una porta di numero inferiore a 1024 Etc... Bisogna fare molta attenzione, in presenza di errori di programmazione si rende vulnerabile l'intero sistema 26 24

27 Vulnerabilità 6 Esistono delle tecniche che sfruttano tali errori interrompendo o, nel caso peggiore, alterando l'esecuzione del programma Tali tecniche permettono ad un intruso di eseguire codice arbitrario(shellcode) all'interno del processo relativo al programma in esecuzione. Le vulnerabilità più pericolose sono: Buffer overflows Stringhe di formato Analizziamo un esempio 27 25

28 Buffer overflow Per buffer overflow si intende una condizione anomala in cui un processo cerca di memorizzare dei dati oltre alle dimensioni fissate di un buffer limitato. Il risultato è la sovrascrittura di locazioni di memoria adiacenti a tale buffer. Analizziamo il seguente esempio: 28 26

29 Buffer overflow 2 Situazione iniziale Input: "hello" Input: "AAAAAAAAAAAA AAAAAAAA\x08\x35\xC0\x80" 29 27

30 Shellcodes Uno shellcode è un pezzo di codice scritto in linguaggio macchina che viene iniettato ed eseguito all'interno del processo di un programma. Esistono shellcodes per: Avviare una shell ROOT Binding di porte Altro... (qualsiasi cosa!!!) 30 28

31 Shellcodes 2 D A TR TR A D O U C O C U Questo programma avvia una shell. Se tale programma viene eseguito con i permessi legati a ROOT, questi 31 verranno trasferiti alla shell!!! 29

32 Riassumendo Per creare sistemi sicuri è importante comprendere come gli hackers riescono a violare i meccanismi di protezione. Sono stati analizzati 3 importanti aspetti della sicurezza in ambiente Unix. Da questa analisi è possibile avanzare i seguenti consigli: Permessi: cercare di essere il più restrittivi possibile Identificazione: utilizzare passwords robuste e meccanismi adeguati Vulnerabilità dei software: verificare l'assenza di errori di programmazione quando si creano softwares che verranno eseguiti con privilegi di root 32 30

33 Sitografia e bibliografia Unix Sicurezza in Unix Unix introduzione Funzione crypt S/KEY SecurID Sorgenti degli esempi John Erickson, "L'arte dell'hacking", seconda edizione, Apogeo s.r.l, 2008 James C. Foster, Vitaly Osipov, Nish Bhalla, "Buffer overflow Attacks",