Roma, 10 Giugno 2015 Mass scanning delle rete IP italiana & Wardialing dei numeri verdi
Agenda Introduzione Chi siamo Descrizione e Scopo dell osservatorio Mass scanning delle rete IP Italiana Tecnica di scansione Risultati ottenuti Wardialing dei numeri verdi Italiani Tecnica di scansione Risultati ottenuti Considerazioni finali 2
L Azienda Nata già nel 1997 come società di persone e costituita in società di capitale nel 2000, ad oggi @ Mediaservice.net è una Security Advisory Company italiana, a capitale interamente privato, che opera sul mercato della Sicurezza Informatica da più di 15 anni. La missione di @ Mediaservice.net è verificare, migliorare e mantenere il livello di sicurezza delle informazioni e dei processi di business dei Clienti e delle infrastrutture ICT ad essi collegate, operando in modo indipendente da Vendor, prodotti o tecnologie ed agendo in qualità di terza parte indipendente nel rispetto delle metodologie e best practice condivise a livello internazionale. 3
Il Team che ha realizzato l osservatorio Maurizio Agazzini Senior Security Advisor (maurizio.agazzini@mediaservice.net) CISSP CSSLP OPST 10+ anni di Penetration Test (IP, Web Application, Mobile, RFID, smartcard, VoIP, ) Reverse engineering Training I van Verri Senior Security Advisor (ivan.verri@mediaservice.net) ISS, OPSA, OPST, OWSE 10+ anni di Penetration Test (IP, Web Application, VPN, PBX VoIP, ) Old systems Training 4
Introduzione le statistiche del mondo 5
Introduzione e l Italia? 6
L osservatorio Qual è lo stato di salute della rete italiana? Possiamo permetterci di considerarci immuni da minacce o vettori di attacco considerati obsoleti? Un'attività di osservazione realizzata a livello statistico, volta a dimostrare come le attuali tecnologie a portata di tutti e la banda utilizzabile a basso costo possano essere sfruttate da un' agente di minaccia al fine di individuare velocemente e su vasta scala nuovi target e riuscire ad utilizzare efficacemente ancora oggi vettori di attacco considerati obsoleti. 7
L osservatorio - Disclaimer In accordo alle proprie politiche di eticità, le attività di raccolta dati sono state condotte allo scopo di rilevare in modo statistico ed anonimo le varie tipologie di vulnerabilità, senza che esse siano state sfruttate. @ Mediaservice.net non ha conservato i dati puntuali rilevati ma solo i dati aggregati necessari ai fini della produzione delle statistiche. 8
Mass scanning della rete IP Italiana 9
Cosa abbiamo analizzato Tutti gli indirizzamenti allocati all Italia dal Ripe (www.ripe.net) 1989 networks 53.507.904 indirizzi IP Gli indirizzamenti sono stati reperiti analizzando i file ftp://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-latest ripencc GB ipv4 2.24.0.0 524288 20100921 allocated ripencc IT ipv4 2.32.0.0 1048576 20100429 allocated ripencc AE ipv4 2.48.0.0 262144 20100528 allocated ripencc IL ipv4 2.52.0.0 262144 20100809 allocated ripencc SE ipv4 2.64.0.0 524288 20100531 allocated ripencc KZ ipv4 2.72.0.0 524288 20100603 allocated ripencc PT ipv4 2.80.0.0 262144 20100429 allocated ripencc IT ipv4 2.112.0.0 524288 20100413 allocated ripencc GB ipv4 2.120.0.0 524288 20100414 allocated ripencc DK ipv4 2.128.0.0 262144 20101221 allocated ripencc KZ ipv4 2.132.0.0 262144 20101223 allocated 10
Alcuni dati tecnici: gli strumenti utilizzati Masscan (https://github.com/robertdavidgraham/masscan) Scanner asincrono in grado di «bypassare» il kernel per superare alcuni limiti dello stack TCP/IP riuscendo così ad effettuare scansioni molto velocemente. Dotato di payload applicativi per l analisi dei protocolli di rete più diffusi. Singsing (https://github.com/inode-/singsing) Scanner asincrono sviluppato alcuni anni fa da @ Mediaservice.net pensato per i «mass scan» ed in grado di verificare alcuni protocolli meno utilizzati. 11
Alcuni dati tecnici: linee dati utilizzate Le scansioni sono state effettuate utilizzando risorse «modeste» rispetto al potenziale odierno: data center (7 Mb/s simmetrici) Alice fibra (30/3 Mb/s) A titolo di esempio: è possibile prendere una macchina fisica (non un VPS) con una connessione da 100 Mbit/s per meno di 30 euro al mese. 12
Alcuni dati tecnici: tempistiche Utilizzando una linea da 7 Mbit/s, la scansione di una singola porta su tutto l address space italiano ha richiesto circa 10/12 ore, dovute alla frammentazione delle reti e alla computazione dei payload. Altri test da noi effettuati hanno dimostrato che con 15/18 Mbit/s si può scannare una singola porta su tutta una classe A in meno di 3 ore. Le scansioni utilizzate per questa presentazione sono state svolte in meno di una settimana. 13
Servizi analizzati 23/tcp TELNET 137/udp, 139/tcp Netbios 161/udp SNMP 443/tcp HTTPS 1521/tcp - Oracle TNS listener 3389/tcp - Remote Desktop Protocol 5900/tcp, 5901/tcp - VNC 14
Analisi di dettaglio: protocollo TELNET Telnet è un protocollo di amministrazione remota Perché è stato analizzato: Deprecato da anni, trasmette le credenziali di accesso in chiaro Nonostante tutto è ancora uno dei metodi preferenziali per l accesso ad dispositivi (router) e server (unix) 15
Analisi di dettaglio: protocollo TELNET Alcuni dati grezzi mostrano che il protocollo telnet è utilizzato da 356.464 sistemi. In realtà la maggior parte sono dispositivi SOHO (adsl router, NAS, smart tv/smart decoder) HOME Tipologia N Dreambox & C 1.117 DVR 767 NAS 77 ENTERPRISE Tipologia N Cisco 40.752 Juniper 754 Oracle Solaris 34 IBM AIX 14 HP OpenVMS 13 IBM AS400 8 HP-UX 1 GGSN 1 16
Analisi di dettaglio: protocollo TELNET Alcuni dati grezzi mostrano che il protocollo telnet è utilizzato da 356.464 sistemi. In realtà la maggior parte sono dispositivi SOHO (adsl router, NAS, smart tv/smart decoder) ENTERPRISE Autenticati 99% Tipologia N Cisco 40.752 Juniper 754 Oracle Solaris 34 IBM AIX 14 HP OpenVMS 13 IBM AS400 8 Senza password 1% HP-UX 1 GGSN 1 17
Analisi di dettaglio: associazione banner - enti Cosa N Comuni 1.528 Scuole 171 Banche 68 Ospedali 34 Forze di polizia 27 Tribunali 8 Corpi militari 5 Comuni 83% Corpi militari 0% Tribunali 0% Forze di polizia 2% Ospedali 2% Banche 4% Scuole 9% 18
Analisi di dettaglio: protocollo NetBios «NetBios» è il protocollo più utilizzato per le condivisioni Microsoft Perché è stato analizzato: Permette di reperire informazioni interessanti come: Nome computer Nomi utente Dominio di appartenenza Nome degli share di rete Permette di eseguire attacchi di tipo brute force 21
Analisi di dettaglio: protocollo NetBios 125.232 macchine con NetBios Name Service esposto (137/udp) 77.025 macchine che rispondono a NetBios Session Service (139/tcp) Unix 90% Sistema N Unix 69.095 MS Windows 7.573 VxWorks, EPSON Storage Server, Apple Base Station, etc 357 Others 0% Windows 10% 22
Analisi di dettaglio: protocollo NetBios OS N Server 2008 2991 Server 2003 1416 7 1319 XP 1059 Server 2012 337 Server 2011 132 8.1 108 Server 2003 19% 7 17% 2000 95 Vista 52 Server 2008 40% XP 14% Embedded 41 8 19 NT 4.0 3 10 1 8 0% Embedded 1% 1% NT 4.0 0% 8.1 1% 2000 1% Server 2012 4% Server 2011 2% 23
Analisi di dettaglio: protocollo NetBios root@colla# smbclient -L XXX.XXX.XXX.XXX Enter root's password: Anonymous login successful Domain=[COMUNE] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager] Sharename Type Comment --------- ---- ------- Error returning browse list: NT_STATUS_ACCESS_DENIED Anonymous login successful Domain=[COMUNE] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager] Server Comment --------- ------- XXXXXXXX Workgroup Master --------- ------- COMUNE XXXXXXXXXXX 24
Analisi di dettaglio: protocollo NetBios root@colla# smbclient -L XXX.XXX.XXX.XXX Enter root's password: Anonymous login successful Domain=[XXXXXXX] OS=[Windows Server 2003 3790 Service Pack 2] Server=[Windows Server 2003 5.2] Sharename Type Comment --------- ---- ------- Anonymous login successful Domain=[XXXXXXX] OS=[Windows Server 2003 3790 Service Pack 2] Server=[Windows Server 2003 5.2] Server Comment --------- ------- IBM PMWEB Workgroup Master --------- ------- XXXXXXX PMWEB WORKGROUP UTENTE-PC 25
Analisi di dettaglio: protocollo NetBios root@colla# smbclient -L XXX.XXX.XXX.XXX Enter root's password: Anonymous login successful Domain=[WORKGROUP] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager] Sharename Type Comment --------- ---- ------- Error returning browse list: NT_STATUS_ACCESS_DENIED Anonymous login successful Domain=[WORKGROUP] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager] Server Comment --------- ------- NCR Workgroup Master --------- ------- WORKGROUP NCR 26
Analisi di dettaglio: protocollo NetBios root@colla# smbclient -L XXX.XXX.XXX.XXX Enter root's password: Anonymous login successful Domain=[Workgroup] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager] Sharename Type Comment --------- ---- ------- Anonymous login successful Domain=[Workgroup] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager] Server Comment --------- ------- Workgroup Master --------- ------- WORKGROUP POS09 27
Analisi di dettaglio: protocollo SNMP SNMP (Simple Network Management Protocol) è un protocollo utilizzato per la gestione e supervisione di apparati collegati a una rete (Router, Stampanti, Network Storage). Perché è stato analizzato: Simple Network Management Protocol è un protocollo di amministrazione Le versioni 1 e 2c non sono da ritenersi sicure in quanto non implementano meccanismi di cifratura e basano l autenticazione su un segreto condiviso (community) Esistono community read-only e read-write 28
Analisi di dettaglio: protocollo SNMP Cisco Read Only: possibilità di ottenere dettagli sulle configurazioni Indirizzi IP delle interfacce Tabella di routing Utenti recentemente loggati Write: possibilità di modificare le impostazioni: Cambio di stato delle interfacce (on/off) Download remoto della configurazione Upload remoto di una nuova configurazione Microsoft Windows Read Only: possibilità di ottenere dettagli sulle configurazioni Elenco degli utenti Elenco dei processi Elenco dei software installati Configurazione delle schede di rete Tabella di routing 29
Analisi di dettaglio: statistiche SNMP Tipologia N Cisco "public" 6.260 Cisco "private" 1.733 Huawei 220 Windows XP SP 2 50 Windows XP SP 3 97 Windows 2003 68 Microsoft Windows CE 11 Windows 8.1 6 Windows 7, 2003, 2008 40 Cisco "public" 74% Cisco "private" 20% Huawei 3% Windows XP SP 3 Windows XP SP 2 Windows 2003 1% 1% 30
Analisi di dettaglio: protocollo HTTPS HTTPS permette la navigazione «sicura» Perché è stato analizzato: Sbandierato come panacea di tutti i mali implementazioni vulnerabili potrebbero mettere a rischio i nostri dati: BEAST, POODLE, Heartbleed etc 31
Analisi di dettaglio: protocollo HTTPS - heartbleed Heartbleed è una vulnerabilità dovuta ad un banale errore di programmazione in una funzionalità introdotta a Marzo 2012 e risolta ad Aprile 2014. Questa funzionalità è stata sviluppata da uno studente Tedesco nell ambito della realizzazione della sua tesi di laurea A distanza di 14 mesi questa criticità dovrebbe essere stata risolta sulla maggior parte dei sistemi 6.225 su 1.421.637 risultano essere ancora vulnerabili a heartbleed (prendendo in considerazione solo HTTPS 443/TCP) 32
Analisi di dettaglio: protocollo HTTPS - heartbleed 33
Analisi di dettaglio: Oracle TNS Listener Oracle TNS Listener è un interfaccia che permette l interazione con il database Oracle (uno dei più utilizzati in ambiente enterprise). Perché è stato analizzato: Nei database ci sono i nostri dati Oracle ha varie vulnerabilità conosciute Nessun database dovrebbe mai essere esposto direttamente su Internet 34
Analisi di dettaglio: Oracle TNS Listener 954 Oracle individuati risultano direttamente esposti. OS N N/A 53% MS Windows 297 Linux 134 Solaris 13 Digital OSF/1 1 N/A 509 Digital OSF/1 0% Solaris 2% Linux 14% MS Windows 31% 35
Analisi di dettaglio: Oracle TNS Listener Versione Quantità Note Release Date 2.3.4.0.0 1 Oracle 8 1997 8.1.5.0.0 1 Oracle 8i February 1999 8.1.7.0.0 3 Oracle 8i August 2000 8.1.7.4.0 5 Oracle 8i 2000/2001 9.2.0.1.0 57 Oracle 9i 2002 9.2.0.4.0 17 Oracle 9i 2003 9.2.0.5.0 1 Oracle 9i apr-04 9.2.0.6.0 9 Oracle 9i 2004/2005 9.2.0.7.0 3 Oracle 9i September 2005 9.2.0.8.0 5 Oracle 9i 2006/2007 10.1.0.2.0 3 Oracle 10 G Release 1 apr-04 10.1.0.3.0 1 Oracle 10 G Release 1 September 2004 10.1.0.4.0 2 Oracle 10 G Release 1 March 2008 10.1.0.4.2 1 Oracle 10 G Release 1 Seconda metà 2008 10.1.0.5.0 1 Oracle 10 G Release 1 apr-09 10.2.0.1.0 141 Oracle 10 G Release 2 July 2005 10.2.0.2.0 2 Oracle 10 G Release 2 January 2007 10.2.0.3.0 21 Oracle 10 G Release 2 Seconda metà 2007 10.2.0.4.0 32 Oracle 10 G Release 2 March 2008 11.1.0.6.0 8 Oracle 11 G Release 1 March 2008 11.1.0.7.0 20 Oracle 11 G Release 1 Seconda metà 2008 36
Analisi di dettaglio: RDP (Remote Desktop Protocol) RDP (Remote Desktop Protocol) è un protocollo proprietario sviluppato da Microsoft che permette l accesso remoto a sistemi Windows (come se si stesse lavorando il locale) Perché è stato analizzato: Permette accesso remoto a postazioni (eventualmente) Possibile leak delle utenze (locali e utenze correntemente loggate) Permette il brute force 37
Analisi di dettaglio: RDP (Remote Desktop Protocol) Sono stati identificati 5909 RDP raggiungibili. OS N Server 2008 2432 Server 2012 1412 7 1069 XP 558 8 103 Server 2011 101 Vista 28 Embedded 22 2003 11 Server 2008 42% Server 2012 25% 7 19% Server 2011 2% XP 10% 8 2% Immagini irriconoscibili: 173 38
Analisi di dettaglio: VNC (Virtual Network Computing) VNC (Virtual Network Computing) è un protocollo di amministrazione remota, come se si fosse in console. Perché è stato analizzato: Permette accesso remoto a sistemi Utilizzato e supportato da numerosi sistemi differenti (Unix, Windows, xxx, ) Possibilità di accedere al desktop remoto SENZA AUTENTICAZIONE! In alcune versione è possibile che sia presente un Auth Bypass 43
Analisi di dettaglio: Amministrazione remota VNC Sono stati rilevati 25.343 installazioni di VNC 605 installazioni sono senza autenticazione Oltre 9747 installazioni possono essere vulnerabili ad auth bypass Ok 59% Bypass 39% Noauth 2% 44
Analisi di dettaglio: VNC Version Versione Quantità Note Release Date 000.000 183 1.000 3 1.001 49 3.003 1114 January 1998 3.004 667 3.005 4 3.006 5681 UltraVNC 3.007 782 August 2003 3.008 9747 Potenzialmente vulnerabile ad AUTH BYPASS June 2007 3.130 2 3.236 2 3.889 3317 Apple Version 4.000 434 Protocollo proprietario RealVNC 4.001 1926 Protocollo proprietario RealVNC 3.3.11 2 4.0.10 2 45
War Dialing dei numeri verdi Italiani 56
Cosa abbiamo analizzato Tutte le numerazioni «gratuite» italiane: da 800.000.000 a 800.999.999 800 800 800 1.000.000 di numeri Attenzione: Non esiste una lista di numeri attivi I segnali SS7 non vengono trasmessi come dovrebbero e quindi tutte le numerazioni risultano attive 57
Alcuni dati tecnici: gli strumenti utilizzati (1) Warvox (https://github.com/rapid7/warvox) Tool rilasciato nel 2009 per utilizzare le linee VoIP per che permette di identificare modem analogici. Analisi automatica attraverso Trasformata di Fourier Necessita di patching per utilizzare largo numero di linee Versione 2.0 non è stabile e in sviluppo da anni Parecchi errori di identificazione GUI non UI 58
Alcuni dati tecnici: gli strumenti utilizzati (2) Modem Voice 59
Alcuni dati tecnici: gli strumenti utilizzati (3) Modem vecchio stile (33.6) con linea PSTN standard Linea ISDN per effettuare il COLP 60
Alcuni dati tecnici: cosa è stato ricercato Modem connect PPP startup ~ÿ}# Terminale Terminale senza password CHAP infoleak (nome macchina e MAC) 61
Sistemi identificati Numerazioni Numeri attivi Modem 8000XXXXX 7013 235 8001XXXXX 5620 210 8002XXXXX 3403 197 8003XXXXX 2456 102 8004XXXXX 1735 86 8005XXXXX 2299 66 8006XXXXX 1940 63 8007XXXXX 4496 122 8008XXXXX 5000 170 8009XXXXX 10458 424 NUMERAZIONI ATTIVE MODEM Numeri inattivi 96% Others 96% Numeri attivi 4% 62 Modem 4%
Location fisica Non identificati 86% COLP COLP - LOCAZIONE COLP 14% Italiani 91% Strange 8% Stranieri 1% 63
Tipologie di sistemi modem Tipologia Quantità unknown 496 cisco 422 weird 321 nodata 174 x-modem 147 nodata 10% x-modem 9% TIPOLOGIE SISTEMI ascend 3com unix BBS others nortel shiva max PaBX 2% 1% 1% 1% 1% 1% 0% 0% unknown 30% ascend 38 3com 22 unix 15 BBS 12 others 12 shiva 9 nortel PaBX 7 weird 19% cisco 25% 64
Tipologia di risposta MODEM TYPES Terminal only 7% Nothing/Oth ers 43% PPP only 25% PPP + Terminal 25% PPP-CHAP INFOLEAK name 48% name + mac 3% 65 no leak 49%
Terminali non autenticati SISTEMI NON AUTENTICATI Autenticati 96% Senza password 4% 66
Considerazioni finali E i servizi non analizzati? E le password deboli? Internet of things è alle porte, a breve migliaia di device che useremo tutti i giorni verranno connessi in rete. Cosa succederà quando ci saranno le Google Car? Le numerazioni telefoniche italiane sono molto più numerose, utilizzate e meno costose dei numeri verdi (1.000.000). Se chiamassimo tutte le numerazioni italiane la statistica darebbe risultati comparabili? 67
Grazie per l attenzione, domande? Uffici di Torino Via Santorelli 15, 10095 Grugliasco (TO), ITALY Tel. +39 011 3272100 - Fax. +39 011 3246497 Uffici di Roma Via di Grotte Portella 6/8, 00040 Frascati Roma, ITALY Tel. +39 011 3272100 - Fax. +39 011 3246497