Alessandro Bulgarelli. Riccardo Lancellotti. WEB Lab Modena

Похожие документы
IDS: Intrusion detection systems

Prof. Filippo Lanubile

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Protezione della propria rete

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Prof. Mario Cannataro Ing. Giuseppe Pirrò

Gestione degli accessi al sistema(autenticazione) e ai locali. Analisi del traffico di rete (Firewall, IDS/IPS)

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Firewall e Abilitazioni porte (Port Forwarding)

PROFILO FORMATIVO Profilo professionale e percorso formativo

Reti di Telecomunicazione Lezione 8

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

Progettare un Firewall

FIREWALL: LA PROTEZIONE PER GLI ACCESSI ESTERNI

Indirizzi Internet e. I livelli di trasporto delle informazioni. Comunicazione e naming in Internet

Architetture e strumenti per la sicurezza informatica

Sicurezza a livello IP: IPsec e le reti private virtuali

BMSO1001. Virtual Configurator. Istruzioni d uso 02/10-01 PC

Monitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica)

La sicurezza delle reti

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Domande e risposte su Avira ProActiv Community

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

OmniAccessSuite. Plug-Ins. Ver. 1.3

VULNERABILITY ASSESSMENT E PENETRATION TEST

Sicurezza applicata in rete

penetration test (ipotesi di sviluppo)

Replica con TeraStation 3000/4000/5000/7000. Buffalo Technology

Dal protocollo IP ai livelli superiori

La virtualizzazione ed i suoi aspetti di sicurezza. Sergio Sagliocco Responsabile SecureLAB Direzione R&D CSP

Guida di Pro PC Secure

Aggiornamenti Sistema Addendum per l utente

Firewall applicativo per la protezione di portali intranet/extranet

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

I pacchetti: Linux. Belluno. User. Group Introduzione ai firewalls con Linux. Firestarter 1.0. Guarddog Firewall Builder 2.0.

Agenti Mobili Intelligenti e Sicurezza Informatica Utilizzare un nuovo paradigma applicativo per la realizzazione di sistemi informatici sicuri.

Sistemi Operativi MECCANISMI E POLITICHE DI PROTEZIONE. D. Talia - UNICAL. Sistemi Operativi 13.1

MECCANISMI E POLITICHE DI PROTEZIONE 13.1

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

COMUNE DI CIGLIANO REGOLAMENTO DELLA RETE CIVICA E SITO INTERNET COMUNALE

Sicurezza delle reti 1

MANUALE DELLA QUALITÀ Pag. 1 di 6

Modulo 8. Architetture per reti sicure Terminologia

Tecnologie Informatiche. security. Rete Aziendale Sicura

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

Situazione Attuale. Le persone svolgono molte operazioni ripetitive ed occupano il proprio computer per le elaborazioni..

DINAMIC: gestione assistenza tecnica

PON FSE - Competenze per lo sviluppo Asse II Capacità istituzionale - Obiettivo H

Maschere di sottorete a lunghezza variabile


Sicurezza nelle reti

COMPETENZE IN ESITO (5 ANNO) ABILITA' CONOSCENZE

RETI DI COMPUTER Reti Geografiche. (Sez. 9.8)

La VPN con il FRITZ!Box Parte II. La VPN con il FRITZ!Box Parte II

iproject Gestione e Controllo Costi Cantiere iproject

INFORMATICA PROGETTO ABACUS. Tema di : SISTEMI DI ELABORAZIONE E TRASMISSIONE DELLE INFORMAZIONI

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

2.5. L'indirizzo IP identifica il computer di origine, il numero di porta invece identifica il processo di origine.

SIMULAZIONE PROVA SCRITTA ESAME DI STATO. PER LA DISCIPLINA di SISTEMI

IBM SPSS Statistics per Linux - Istruzioni di installazione (Licenza per sito)

Programma corsi LogX S.r.l.

Sistema operativo: Gestione della memoria

Identità e autenticazione

TeamPortal. Servizi integrati con ambienti Gestionali

SISTEMI E RETI 4(2) 4(2) 4(2) caratteristiche funzionali

Impostazione di un insieme di misure di sicurezza per la LAN di un ente di ricerca

Base di dati e sistemi informativi

Ti consente di ricevere velocemente tutte le informazioni inviate dal personale, in maniera assolutamente puntuale, controllata ed organizzata.

Sicurezza dei calcolatori e delle reti

Configurazione di Outlook Express

Strategie e Operatività nei processi di backup e restore

Le Infrastrutture Software ed il Sistema Operativo

EUROCONSULTANCY-RE. Privacy Policy

Mac Application Manager 1.3 (SOLO PER TIGER)

Protezione. Protezione. Protezione. Obiettivi della protezione

Guida Tecnica. Come visionare da internet anche dietro un IP dinamico i dvr Brahms.

Servizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi

Besnate, 24 Ottobre Oltre il Firewall.

Sicurezza e rispetto della privacy, finalmente non in conflitto.

Che cosa è un VIRUS?

Corso avanzato di Reti e sicurezza informatica

Indirizzo IP statico e pubblico. Indirizzo IP dinamico e pubblico SEDE CENTRALE. Indirizzo IP dinamico e pubblico. Indirizzo IP dinamico e privato

Sicurezza architetturale, firewall 11/04/2006

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

Chi siamo? Fiorenzo Ottorini CEO Attua s.r.l. Paolo Marani CTO Attua s.r.l. Alessio Pennasilico CSO Alba s.a.s. Pag. /50

Fatti Raggiungere dal tuo Computer!!

Impostare il browser per navigare in sicurezza Opzioni di protezione

Dr.WEB ENTERPRISE. La soluzione per la protezione delle reti

Транскрипт:

Sicurezza in rete: vulnerabilità, tecniche di attacco e contromisure Alessandro Bulgarelli bulgaro@weblab.ing.unimo.it Riccardo Lancellotti riccardo@weblab.ing.unimo.it WEB Lab Modena Pagina 1

Black hat vs. White hat Qualsiasi apparato collegato ad Internet si espone a migliaia di potenziali attaccanti (black hat). Chi difende da queste minacce è definito white hat. In genere i black hat vincono!!! L'unico modo per contrastarli è studiarne costantemente le attività e le innovazioni. Pagina 2

Sicurezza in rete: vulnerabilità, tecniche di attacco e contromisure Black side Pagina 3

Defacement Il defacement consiste nella modifica della homepage (e a volte anche delle pagine interne) di un sito web, effettuata ottenendo un accesso al server che lo ospita I contenuti originari vengono sostituiti con testi e/o immagini irridenti e critici, a volte nonsense (o apparentemente tali) Un defacement mina la credibilità del sito colpito, che dimostra di essere vulnerabile Pagina 4

Defacement Per ottenere l accesso ad un sistema come superuser ed effettuare un defacement, l attaccante utilizza: exploit e bug noti che sfruttano vulnerabilità nel software (in particolare presenti nel server Web, ma non solo) tattiche di social engineering password cracking Pagina 5

Defacement Pagina 6

Defacement Pagina 7

Ispezione della rete L'ispezione della rete, in genere, è utilizzata come vero e proprio preludio ad un vero attacco. È la combinazione di: Raccolta dati Ricerca di informazioni Controllo delle policy di sicurezza adottate Pagina 8

Footprinting Il termine anglosassone footprint significa impronta Lo scopo è di raccogliere il maggior numero di informazioni riguardanti gli aspetti della situazione di protezione di una struttura. Si vuole determinarne il footprint, il profilo della presenza su Internet, degli accessi remoti e di eventuali Intranet/Extranet del sistema obiettivo. Pagina 9

Scansione delle porte Consiste nell'invio di pacchetti alle porte TCP e UDP del sistema obiettivo per stabilire quali servizi siano in esecuzione (o in stato di LISTENING) Conoscere i servizi attivi fornisce importanti informazioni che possono essere sfruttate in sede di attacco al sistema Identificazione del tipo di sistema operativo Identificazione di particolari applicazioni o di versioni di uno specifico servizio Pagina 10

Nmap Dalla semplice scansione eseguita risulta che l'host ha diverse porte well-known aperte Tra i risultati si noti la presenza di un Web server, della porta dedicata all'https ed il servizio ssh attivo È importante determinare la versione dei servizi e delle applicazioni installati Pagina 11

Identificazione dei servizi Identificate le porte aperte sul sistema obiettivo, è fondamentale determinare quali sono i servizi attivi dietro quelle porte È indispensabile in quanto i report forniti dai tool di scan eseguono automaticamente una associazione tra numero porta e servizio ad essa associata Es. Se viene trovata aperta la porta 25, nmap segnala la presenza di un server SMTP sull'host Pagina 12

Fingerprinting dello stack Con fingerprinting (dello stack) si intende quella tecnologia che consente di identificare con grande precisione il sistema operativo di un host Ciò che rende possibile questa analisi è la differente implementazione dello stack TCP/IP per ciascun OS Pagina 13

Attacco al sistema Una volta identificato l'obiettivo, per eseguire il defacement del sito Web, l'attaccante interverrà per: sfruttare vulnerabilità buffer overflow compiere escalation di privilegi ptrace bug Pagina 14

Buffer overflow La causa dei principali problemi di overflow del buffer è da individuare nell'intrinseca mancanza di sicurezza del linguaggio di programmazione Non vi è alcun controllo sui limiti degli array e dei riferimenti di puntatore, e ciò significa che uno sviluppatore deve assumersi l'onere di questo tipo di controlli Pagina 15

Segmentazione della memoria LOW Codice e dati read-only Bss Dati inizializzati e non HI Stack delle operazioni Pagina 16

Buffer overflow buffer AAAAAAAAAAAAAAAAA AAAAAAAAAAAAA (SFP) indirizzo di ritorno (ret) *str 0x41414141 0x41414141 0x41414141 Una volta superata la dimensione del buffer, le informazioni vengono scritte all'interno di altri registri. In particolare può essere sovrascritto il registro EIP Pagina 17

Bytecode Il bytecode è un pezzo di codice autonomo, progettato in modo astuto, che può essere inserito all'interno dei buffer Diverse restrizioni: Autonomo Non contenere determinati caratteri speciali Il più comune bytecode è lo shellcode Pagina 18

Shellcode Questo bytecode genera una shell Se si riesce a manomettere un programma suid root in maniera che esegua uno shellcode, si disporrà di una shell utente con privilegi di root Complicazioni (per l'attaccante!!!): L'indirizzo reale dello shellcode deve essere noto I 4 Byte nei quali è memorizzato l'indirizzo di ritorno devono essere sovrascritti con l'indirizzo dello shellcode Pagina 19

System call ptrace Usata principalmente dai debugger Consente di: tracciare le system call di un processo leggere e modificare lo spazio di memoria e i registri di un programma inserire breakpoints Prevede un modello di sicurezza: un processo può interferire solo con processi dello stesso utente il modello non è perfetto... Pagina 20

Caricamento di un modulo Moduli del kernel: funzioni aggiuntive caricate e scaricate dinamicamente Quando un processo deve usare delle funzioni di un modulo si invoca il module loader Per un breve attimo il processo assume i privilegi di superutente ed esegue modprobe potenzialmente rischioso Pagina 21

Caricamento di un modulo Programma richiede un modulo Programma riprende esecuzione Programma bloccato Problema di sicurezza il kernel genera un processo figlio con privilegi di utente il nuovo processo imposta uid=0 e gid=0 per caricare il modulo viene eseguito modprobe per caricare il modulo Pagina 22

Privilege escalation con ptrace Si traccia il flusso di un programma Quando viene richiesto un modulo è possibile tracciare il processo figlio che deve caricare il modulo intercettare la system call che esegue modprobe Attraverso ptrace possiamo controllare un processo che ha guadagnato privilegi di superutente Pagina 23

Caricamento ritoccato Programma richiede un modulo Programma riprende esecuzione Programma bloccato il kernel genera un processo figlio con privilegi di utente il nuovo processo imposta uid=0 e gid=0 per caricare il modulo viene eseguito modprobe per caricare il modulo intervengo e faccio eseguire codice arbitrario Pagina 24

Sicurezza in rete: vulnerabilità, tecniche di attacco e contromisure White side Pagina 25

Il processo della sicurezza Non esistono sistemi informatici intrinsecamente sicuri ed è necessario adattarli continuamente alle esigenze ed alle politiche delle organizzazioni. La sicurezza non è un prodotto, bensì è un processo che integra dispositivi, tecnologie, politiche e soprattutto buonsenso!!! Pagina 26

Il processo della sicurezza Differenza tra prodotto e processo: un prodotto è il risultato conclusivo di un ciclo di lavorazioni un processo è un ciclo continuo di elaborazioni e modifiche Negli ultimi anni vi è stato un cambiamento di visione radicale per quanto riguarda la sicurezza: da modello statico (sicurezza è installare un antivirus ed un firewall) A modello dinamico (sicurezza è un ciclo continuo di azioni necessarie per evitare incidenti informatici) Pagina 27

Interventi sul caso di studio Il sistema precedentemente violato presenta alcuni problemi di sicurezza mancanza di politiche di sicurezza mancanza di tecnologie per la sicurezza MANCANZA DI BUONSENSO Pagina 28

Politiche di sicurezza Quadro generale di riferimento definito dal management contenente: i principi base di sicurezza informatica cui attenersi relativamente a riservatezza, integrità, disponibilità, controllo degli accessi, le normative di riferimento relative alla sicurezza informatica le responsabilità Alla policy si devono attenere gli obiettivi, le soluzioni progettuali, i processi e le procedure Pagina 29

Politiche di sicurezza Nel caso in esame si sono verificati almeno tre problemi: obsolescenza di più applicazioni obsolescenza del kernel mancanza di un controllo degli accessi È fondamentale definire politiche di aggiornamento dei sistemi, dei servizi e delle applicazioni nonché di controllo degli stessi e nominare i responsabili di questo tipo di interventi Pagina 30

Tecnologie per la sicurezza Tra le tecnologie dedicate alla protezione dei sistemi informatici sono da annoverare: Firewall Intrusion Detection System Virtual Private Network Honeypot Pagina 31

Firewall Il firewall è un dispositivo di sicurezza che si interpone tra due diverse reti per controllare e limitare il traffico. In genere i compiti sono svolti da un PC munito di almeno due interfacce di rete. Pagina 32

Firewall - Tipologie In base alle funzionalità si possono identificare due tipologie di firewall: Packet Filtering Application Gateway (o Proxy Firewall) Il Kernel Linux aggiunge alle funzionalità di packet filtering la trasformazione degli indirizzi e delle porte (NAT/PAT). Pagina 33

Firewall Packet Filtering I filtri di pacchetto bloccano o abilitano il traffico che attraversa il firewall definendo i protocolli, gli indirizzi IP e le porte utilizzate. Questo tipo di firewall, di norma, agisce a livello 2 (network). Quando un pacchetto arriva al packet filter, vengono estratte alcune informazioni dall header e, in base alle regole definite, è inoltrato o scartato. Pagina 34

Proxy Firewall Un firewall proxy è una applicazione che agisce da intermediaria tra due sistemi. Agisce a livello applicazione (da qui l appellativo Application Gateway). Pagina 35

IDS: Definizione Un Intrusion Detection System (IDS) è un sistema di rilevazione, segnalazione e logging delle attività di intrusione, utilizzo illecito dei dispositivi di rete (workstation, server, router,...) e delle applicazioni che deve controllare in base alla configurazione. Esistono diversi tipi di IDS: basati sulla rete: Network IDS (NIDS) basati sull'host: Host IDS (HIDS) ibridi: Hybrid IDS Pagina 36

IDS: Funzionalità Analisi del traffico di rete a vari livelli dello stack TCP/IP dei log di sistema degli eventi (trasferimento, apertura file,...) Rilevamento delle attività sospette e/o illegali Logging dettagliato delle attività rilevate (valore legale dei log) Pagina 37

Falsi positivi e falsi negativi Falsi positivi: si parla di falso positivo quando un IDS segnala erroneamente un attacco Falsi negativi: si parla di falso negativo quando un IDS non riesce a segnalare un'intrusione reale Indicatori di prestazioni degli IDS: L'accuratezza di un IDS è compromessa quando tende a segnalare erroneamente un'intrusione ( falsi positivi ) La completezza di un IDS è compromessa quando tende a non rilevare attacchi esistenti ( falsi negativi ) Pagina 38

VPN VPN è l'acronimo di Virtual Private Network (ovvero Rete Privata Virtuale). Alla base vi sono due necessità: 1. implementazione di una Intranet geografica 2. comunicazione sicura all interno della Intranet Pagina 39

VPN: Implementazione Si sfruttano Internet e la crittografia per far comunicare reti locali remote in modo riservato e completamente trasparente per l'utente. Pagina 40

Honeypot Con il termine honeypot (letteralmente vaso di miele ) si definisce un sistema studiato e configurato in modo da raccogliere informazioni su come i black hat analizzano ed attaccano un sistema informatico. Lo scopo principale è assorbire il maggior numero di informazioni su un attaccante. L obiettivo è che il sistema sia analizzato, attaccato ed eventualmente violato dall attacker. Pagina 41

Honeypot - Implementazione Sistema appositamente predisposto per essere compromesso Qualsiasi attività è monitorata e controllata Può essere hw o sw Non rimpiazza i sistemi di sicurezza esistenti, ma li integra Pagina 42

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back