Social engineering, foot printing, vulnerability assessment e penetration testing

Transcript

1 Security Auditing Social engineering, foot printing, vulnerability assessment e penetration testing

2 Motivazioni e introduzione Vulnerability Assessment: identificare le vulnerabilità di un sistema, con una miscela di uso di tool (black box) e analisi del design (white box) Più completo e complesso Fornisce molte più informazioni estensive Penetration Testing: tentativo di penetrazione dall'esterno (black box) per misurare quanto esposti siano determinati target rispetto a un aggressore Più verticale, fornisce informazioni intensive Per fare penetration testing bisogna capire come funzionano le fasi iniziali di una aggressione telematica: Social engineering e foot printing 2

3 Due modi di procedere Un ragazzino ottiene il suo primo exploit funzionante Entusiasta, lo prova su chiunque, senza perdere tempo. DIMOSTRAZIONE: il numero di attacchi per bachi di Linux diretti contro sistemi Windows e viceversa (basta installare snort, Un esperto controlla approfonditamente la macchina, il sistema operativo, il software installato, la configurazione Può impiegare giorni per effettuare una scansione completa Al termine di essa, cerca, prepara ed utilizza un singolo exploit, con la sicurezza quasi matematica del successo 3

4 Successi diversi Il ragazzino ottiene ciò che vuole: buca un po di macchine (per metterci del software pirata magari) gli insuccessi non gli interessano. L esperto ottiene ciò che vuole: buca esattamente quella macchina, lasciando pochissime tracce. 4

5 Esistono probing e probing Non tutti i ragazzini sono così impreparati (purtroppo) ma ci sono sempre delle differenze Un probing effettuato da un aggressore inesperto sarà rumoroso, e si limiterà ad estrarre le informazioni più banali (i servizi e il tipo di sistema operativo, per esempio) Un probing di un aggressore esperto sarà silenzioso e molto più approfondito e non condotto soltanto sulla rete (tecniche di social engineering) a volte l attacco si conclude direttamente nella fase di probing! 5

6 I primi passi Cominciamo dalle cose semplici: quelle che il bersaglio vuole farci vedere Il sito web dell azienda fornisce informazioni utili Dimensione (indice di esperienza e formazione del personale) Tipo di tecnologie usate sul sito (se il sito è gestito internamente, coincidono spesso con quelle dell azienda) Indirizzi , numeri di telefono, organigramma Il servizio whois ci può dare altre informazioni Contatto amministrativo (nome, ) Contatto tecnico DNS (utile per capire se l azienda usa hosting/housing o no) Usando il DNS (magari uno zone transfer ) e il whois possiamo anche vedere gli IP utilizzati e su che rete si trovano 6

7 I primi passi (2) Ora possiamo prendere nomi ed indirizzi ricavati in precedenza e usarli con google, cercare informazioni sulle persone, post sulle ML e nei newsgroup Ci prepariamo per una fase di social engineering Apprendiamo qual è il livello tecnico del personale Ci informiamo su abitudini di uso della rete, e su qualsiasi particolare utile Sappiamo come scrive le mail, se le firma con GPG, da che server le spedisce Provate a fare questo esperimento su voi stessi 7

8 Social engineering Si parla spesso di social engineering, ma normalmente nessuno vi spende più di qualche parola Sotto sotto, siamo tutti convinti che si tratti di un pericolo ridicolo, un po esagerato: un hoax Eppure, se ci pensiamo un attimo 8

9 Hacker 9

10 Professionisti della IT 10

11 Vi ho convinto? E per quale motivo? Perché i primi sono hacker e i secondi professionisti? Perché li conoscete? Per i computer? No, per come appaiono. La social engineering fa appello alla vulnerabilità più profonda e meno patchabile di una rete: la vostra mente. 11

12 Interno ed esterno QUESTION: Da dove pensate che arriverà il vostro aggressore? ANSWER: Da Internet Se avete seguito un numero sufficiente di corsi di security, conoscerete anche voi il mantra gli attacchi più pericolosi arrivano dall interno. Tuttavia è la vostra postura difensiva a rivelare da dove pensate veramente che proverrà l attacco Firewall, IDS, controlli di accesso tutto vi porta a pensare a difendervi dall ESTERNO! Pensateci: qualcuno di voi ha davvero elaborato delle linee guida per difendersi da altri tipi di attacchi? 12

13 No? E quindi non penserete mai con sospetto Al gentile tecnico del provider che vi ha chiamato al telefono All affabile ragazzo della Xerox che sta sistemando la stampante in corridoio All ospite affabile che prende il caffè alla macchinetta coi dipendenti Al ragazzo con la polo Telecom Italia che nel seminterrato pasticcia con il router 13

14 Meccanismo Scopo: convincere qualcun altro a rivelarci informazioni, senza insospettirlo Mezzo: camuffare la nostra identità, spacciandoci per qualcuno che ha diritto a quelle informazioni Presupposto: tutti gli esseri umani, specialmente quando lavorano, sono collaborativi, e tendono a credere a ciò che gli viene detto 14

15 Target Personale del reparto IT di livello mediobasso Segreteria dell amministratore delegato o di personale esecutivo Un must: centralini e portinerie ( Scusi, ho un pacco per il signor X... Ah, è stato sostituito? Da chi, mi scusi? ) 15

16 Copioni di provata efficacia Bisogna stabilire un collegamento tra sé e la vittima, renderla partecipe Seguiamo alcuni copioni-chiave Job-hunting: fingiamo di essere un reclutatore esterno molto interessato alla figura professionale della vittima. Se lo interessiamo, sarà sua cura fornirci ogni dettaglio sul suo lavoro Il sondaggio telefonico: magari condito con la possibilità di un piccolo premio Il questionario postale L abbonamento omaggio a una rivista eccetera, eccetera. 16

17 Attacco - I Società blindata con personale preparato Con una ricerca sui NG si scopre che uno dei dipendenti amministrativi è appassionato di grafica 3D L aggressore si inventa un alias un simpatico newbie che cerca consigli Sempre siano benedetti gli oggetti OLE: un HTTP tunnel preconfigurato e lanciato automaticamente da una macro risolve il problema 17

18 Attacco II Dalla raccolta di informazioni diventa chiaro che i dipendenti possono solo usare la mail e il web Un sondaggio cartaceo ci informa che viene utilizzato l antivirus Norton L osservazione ci dice che la segretaria dell A.D. si ferma fino oltre le 18 in ufficio Creiamo un finto sito simile a quello symantec Telefonata Salve sono il sistemista di SOCIETA _FORNITRICE, continuiamo a ricevere mail dal suo pc con questo virus Dirigiamo la segretaria al sito finto e le facciamo scaricare una piccola backdoor (una connessione verso l esterno, porta 80, che restituisse una shell). Lasci acceso il PC, mi raccomando, così controlliamo che non arrivino più worm domani mattina parlo io con NOME_AMMINISTRATORE e gli spiego tutto 18

19 Attacco III Piccola impresa del veneto Una verifica alla camera di commercio dice che hanno attraversato una piccola crisi finanziaria Un controllo rivela che il contatto tecnico del WHOIS non lavora più lì Fingendosi un incaricato del registrar per il dominio, l aggressore chiama, e scopre che il nuovo sysadmin è alla sua seconda esperienza Un cellulare, una casella postale e una carta da lettere intestata: ecco nata una finta società di consulenza specializzata sul firewall usato dall impresa L aggressore manda una pubblicità, alla c. att.ne del neoassunto Improvvisamente, un attacco D.o.S. si scatena contro i firewall dell impresa. Tempo 6 ore, arriva la prevedibile telefonata, per chiedere cortesemente all aggressore di venire a riconfigurare il firewall Non è dato sapere se sia stato anche pagato 19

20 Scanning e footprinting A questo punto, iniziamo le procedure di scanning, non per scoprire ma per confermare i nostri sospetti Gli scanner, per quanto evoluti, sono sospetti : verranno usati in modo oculato! Tool of choice: NMAP ( NMAP è un puro network scanner, non un vulnerability assessment tool come Nessus ( Pochissimi aggressori capaci useranno un tool rumoroso come Nessus, se non come diversione! 20

21 NMAP Nmap è un port scanner rilasciato come software libero ( efficiente ed efficace Cosa fa nmap? Manda pacchetti a un IP bersaglio per scoprire se le porte sono open, closed, o filtered. Manda pacchetti buoni e malformati e analizza le risposte per fare il cosiddetto fingerprinting e determinare il sistema operativo remoto Nmap NON determina, per default, cosa risponde dall'altro lato Usare nmap non è difficile (anche se è un tool da linea di comando) ma interpretarne i risultati o usare le funzioni avanzate può richiedere un po di competenza 21

22 Nessus Nessus è un vulnerability scanner, quindi applica anche test per capire se un demone è vulnerabile Usa una architettura client/server: il client è l'interfaccia grafica ed esiste per UNIX, Windows o per Java. Il server esegue i test e deve essere su una macchina UNIX Eseguire i test di Nessus su un host richiede una decina di minuti in più di un normale port scan Architettura a plug-in per i test di vulnerabilità. Aggiornati ogni settimana o quasi Nota: se NMAP è quasi acqua fresca, Nessus ha tutti i segni di un'aggressione. Da eseguire solo con permesso Alternative: ISS Scanner o eeye Retina (sui 7000$) 22

23 Pericoli delle scansioni Nmap, nessus e tutti gli scanner possono causare il blocco delle applicazioni, dei servizi e di interi sistemi Blocco o riavvio di stampanti di rete e router Alcuni test di nessus sono segnalati come pericolosi: attenzione ad attivarli In generale è meglio condurre uno scan con qualcuno sul posto pronto a resettare le macchine Inoltre, siccome uno scan di 65k porte genera circa 10 MB di traffico, se viene fatto molto rapidamente su target multipli può saturare la rete Usare lo switch -T di nmap per ridurre la velocità 23

24 La riduzione del rumore -st -P0 = scansione full connect TCP, senza controllo mediante ping 24

25 Il risultato Questo è il file /var/log/messages della macchina bersaglio La traccia che abbiamo lasciato è plateale! 25

26 Secondo tentativo -ss = stealth scan (solo SYN) 26

27 Meglio però non perfetto! In questo caso, non abbiamo lasciato tracce nei log di sistema Tuttavia, come si può notare, è bastato un tool per l individuazione dei portscan per individuarci 27

28 Altri segreti Si può eludere anche un sistema dedicato: Utilizzo appropriato del timing Utilizzo di decoy, o falsi bersagli Non esiste solo il TCP Spesso sysadmin poco esperti pensano solo ai servizi TCP, dimenticandosi completamente UDP e ICMP 28

29 Come difendersi? Il firewall che protegge la DMZ deve fermare qualsiasi pacchetto non destinato a servizi che vogliamo aprire Usando drop, non deny, e chiudendo l invio di ICMP port e destination unreachable costringiamo l aggressore ad attendere i timeout, quindi lo rallentiamo Tool per l individuazione di scan: UNIX Scanlogd ( PortSentry ( WINDOWS BlackICE ( ZoneAlarm PRO ( IDS ( e preprocessore specifico) 29

30 Identificare il S.O. (1) A questo punto vorremo identificare il sistema operativo del bersaglio (o verificare le nostre supposizioni) Ogni O.S. ha un suo stack TCP che gestisce in modo diverso alcune eccezioni e casi particolari Risposta al FIN Bogus flags Don t Fragment bit TCP Wnd Size ICMP source quench TCP Options 30

31 Identificare il S.O. (2) Esistono due metodi di fingerprinting : Attivo, effettuato per es. da nmap con l opzione O, che invia pacchetti al server (SYN, FIN, Xmas) e confronta le risposte con un database Passivo, logghiamo le risposte del server a richieste innocenti e le usiamo per confrontarle Ovviamente, il fingerprinting passivo è letteralmente invisibile Con Linux o altri OS open source è possibile modificare lo stack per mandare a monte il fingerprint, ma è una tecnica usata da pochissimi 31

32 Individuare le applicazioni Spesso è sufficiente il banner grabbing, ovvero leggere le risposte di default dei servizi Basta poco per eliminarle o modificarle (security through obscurity, ma non sempre è un male ) Alcune applicazioni possono essere identificate in base alle loro risposte (nmap lo fa) 32

33 Enumeration Enumeration significa ottenere informazioni dalle risposte dei servizi Ad esempio, i servizi di rete di Windows sono noti per la possibilità di enumeration mediante l uso di null sessions, senza autenticazione (Legion) Altri tool utili DumpSEC e simili ( Getmac / netdom di Windows 2000 Netviewx ( SNMP browsers User2sid, sid2user ( Client LDAP Rpcinfo NIS 33