white hat hacking #1

salut.

cine sunt eu?

Tudor Damian

IT Solutions Specialist

tudy

ce facem aici?

curs White Hat Hacking Systems Security

totuși, de ce?

securitatea e o problemă umană, nu tehnologică

deci soluția nu stă în tehnologie

tehnologia curentă nu e perfectă

și nici nu se vrea a fi!

un exemplu: antivirușii

1989: 30 viruși

astăzi: peste 200.000 viruși

antivirușii lucrează în sistem blacklist, nu whitelist

ce vom folosi?

experiența mea

www.eccouncil.org/ceh.htm

audience input

alte resurse (online, prezentări)

diferența dintre ”noi” și ”ei”

Găsesc una

Atacă una

Des

Puțină

Infinit

Reparăm toate

Protejăm toate

Rar

Multă

Limitat

NOI EI

lucruri de reținut

termeni: vulnerabilitate, amenințare,

exploit, expunere, risc

R = A x V x E

nimănui n-o să-i placă de voi

”think like a bad guy”

înțelegeți fenomenele

identitate ≠ autentificare criptare ≠ integritate inspecție ≠ intenție

secretizare ≠ încredere oameni ≠ tehnologie prostie ≠ rea intenție

ușurință în utilizare ? securitate

protejați-vă echipamentele

înghițiți-vă mândria

nu lăsați garda jos

protecție, nu restricție

nu există anonimitate absolută

revenim la oile noastre.

glider Conway’s Game of Life

despre ce e vorba?

social engineering

...sau ”hacking people”

etica hackingului

da, există și așa ceva

Kevin Mitnick

(probabil) cel mai cunoscut ”hacker” din lume

atât doar că nu e hacker!

e ”social engineer”

etica hackingului

caz concret

te plimbi pe stradă...

...și vezi o casă cu ușa de la intrare deschisă...

ce faci?

1. suni la ușă și anunți proprietarii

2. intri, ai grijă să nu te vadă nimeni, scuipi în hol și pleci

3. intri, scuipi în hol, apoi îți suni toți prietenii să vină și să scuipe în hol până nu închide proprietarul ușa

la fel e și cu rețelele

descoperirea sistemelor distribuite nu e o noutate

iar descoperirea vulnerabilităților nici atât

e ca și cum te-ai lăuda că ai descoperit viața la bloc

de fapt, problema e alta:

să vorbim puțin despre sistemele informatice

cum v-ar plăcea să fie un sistem informatic?

funcțional

sigur

ieftin

problema e că puteți alege maxim 2 opțiuni!

Sigur Ieftin

Funcțional

care e situația curentă?

aproape nimeni nu alege un sistem care să fie sigur și ieftin, dar care nu

e funcțional

câțiva ajung să prefere un sistem sigur și funcțional, chiar dacă e mai

scump

și din păcate, majoritatea aleg un sistem funcțional și ieftin,

securitatea fiind pe planul doi

astfel apar hackerii

persoane care detectează problemele de securitate

iar unii le și exploatează

(presupunând că) ești hacker

odată ce ai descoperit o gaură de securitate, ce faci?

păi, depinde...

fiindcă hackerii se împart în mai multe categorii

și care e diferența?

black hat: își folosesc cunoștințele în activități distructive sau malițioase

white hat: își utilizează cunoștințele în scopuri defensive

(security analysts)

gray hat: indivizi care acționează atât ofensiv, cât și defensiv, uneori

aflându-se la limita legii

hacktivists: hacking pentru o cauză, de obicei agendă politică

suicide hackers: pentru ei, îndeplinirea scopurilor e mai

importantă decât o pedeapsă de 30 de ani de închisoare

bun, și totuși, ce fac hackerii?

un atac malițios are 5 faze

1. recunoaștere

poate fi activă sau pasivă

implică aflarea de informații despre ținta atacului

risc: notabil

e cam ca și atunci când cineva încearcă ușa de la intrare

2. scanning

faza de dinaintea atacului, în care se scanează rețeaua pentru a obține

informații specifice

risc: ridicat

port scanners, network mapping, vulnerability scans, etc.

3. obținerea accesului

sistemul este compromis, s-a găsit o cale de acces

exploit-ul poate fi: în LAN, pe Internet, sau înșelătorie/furt

buffer overflows, DoS, session hijacking, password cracking

risc: maxim

atacatorul poate obține acces la nivel OS/aplicație/rețea

4. menținerea accesului

se încearcă păstrarea controlului asupra sistemului

hacker-ul poate apela la metode suplimentare de ”protecție”

Backdoors, RootKits, Trojans

upload, download, manipularea datelor/aplicațiilor din sistem

5. ascunderea urmelor

încercarea de a înlătura orice urmă de activitate

motive: acces pe termen lung, evitarea aspectelor legale

metode: alterarea log-urilor, tunneling, etc.

tipuri de atacuri

atacuri asupra SO (vulnerabilități, configurări)

atacuri la nivel de aplicație

remote network attacks (atacuri la distanță, Internet)

local network attacks

furtul echipamentelor

social engineering

o regulă importantă:

dacă un hacker vrea să intre în sistemul tău, va intra, iar tu n-ai cum

să-l oprești!

tot ce poți face e să te asiguri că îi îngreunezi (mult) munca

și am ajuns în sfârșit la social engineering

arta și știința de a-i face pe oameni să facă ce vrei tu

nu, nu e o formă de control al minții!

e cam ca și în vânzări

trebuie să creezi ”scânteia”

cea mai avansată metodă de vânzare: cea în care clientul nu știe

că i se vinde ceva

e nevoie de muncă ”de teren”

adunarea informațiilor

marea parte a efortului stă în pregătire

iar divagăm un pic... modelul OSI

Open Systems Interconnection

descriere abstractă a comunicării și protocoalelor

fiecare ”layer” funcționează bazat pe layer-ul inferior

7 – Application layer

6 – Presentation layer

5 – Session layer

4 – Transport layer

3 – Network layer

2 – Link layer

1 – Physical layer

lipsește ceva?

8 – Human layer

7 – Application layer

6 – Presentation layer

5 – Session layer

4 – Transport layer

3 – Network layer

2 – Link layer

1 – Physical layer

nu există nici un sistem în lume care să nu se

bazeze pe oameni

S.E. trece de toate controalele din layer-ele OSI 1-7, mergând direct la

veriga cea mai slabă

layer 8, oamenii

câteva statistici

câte persoane și-ar da parola de la firmă unei necunoscute care îi

abordează pe stradă?

...pentru o ciocolată?

studiu, Londra, 2003

și-au dat parola în schimbul unui pix

ieftin

au divulgat informații despre parolă

(date de naștere, nume, echipe preferate, etc.)

iau cu ei informații sensibile când își

schimbă locul de muncă

și-au dat parola lor colegilor de

servici

știau parolele colegilor

aveau aceeași parolă peste tot

psihologia în social engineering

transferul de responsabilitate

”directorul tehnic mi-a spus să-ți transmit că n-o să fie vina ta

dacă sunt probleme”

șansa de a primi o recompensă

”uite ce ai putea obține tu din treaba asta!”

relație de încredere

”ah, Pamfil e băiat de treabă, pot avea încredere în el...”

datorie morală

”trebuie să mă ajuți! pe tine nu te enervează treaba asta?”

sentimentul de vină

”cum, nu vrei să mă ajuți?...”

dorința de ajutor

”îmi deschizi ușa asta, te rog?”

cooperare

”hai să lucrăm împreună, putem obține mult mai mult!”

pași spre a fi un bun social engineer

1. fii profesionist

2. fii calm

3. cunoaște-ți ținta

4. nu încerca să fraierești pe cineva mai inteligent ca tine

5. fă-ți un plan de scăpare

6. fii femeie

7. folosește însemne ”oficiale”

8. folosește cărți de vizită cu nume fals

9. manipulează-i doar pe cei neglijenți, neatenți și proști

10. dacă e nevoie, folosește o echipă

categorii de ”atacuri” în social engineering

cerere directă

de obicei are cele mai mari șanse să eșueze

situație controversată

fă ca ținta să aibă mai mulți factori de luat în considerare

deghizare

om de serviciu, angajat, etc.

putere de convingere

fă ținta să creadă că are controlul asupra situației

pe cine poți ”ataca”?

victimele se disting prin gradul de implicare, precum și factorii de

influență la care răspund

implicare vs. influențabilitate

grad de implicare sunt influențați de nu sunt influențați de

ridicat • administratori de sistem • persoane din conducere • tehnicieni

argumente solide • motive reale pentru a avea nevoie de acea informație

argumente slabe • cer contraargumente • scad posibilitatea de conformare

scăzut • recepționiste • îngrijitori • agenți de pază

alte informații • urgență • număr de motive • statutul persoanei

motivele reale • nu sunt relevante, nu le pasă • vor ignora ironiile insistente

cine are nevoie de acces fizic?

”cool pics attached!”

instrumente și tehnici

în cele mai multe cazuri, ai nevoie doar de două lucruri:

un telefon

o țintă (poate un fost bun prieten)

odată ce ai ales ținta, începi să aduni informații

asta va da un sens de autenticitate dialogurilor

poți să obții o listă a angajatilor, și a sistemelor

cum? whois, finger, domain tools, site-ul firmei, motorul de căutare

preferat

faci o vizită la sediu

te îmbraci corespunzător, ca să poți trece neobservat

ID badge fals

observă cum se intră/iese

fii încrezător, ca și cum ai fi ”de-al casei”

vezi cum sunt legate calculatoarele

uită-te după anunțuri, notițe, liste afișate

vorbește cu angajații ”de jos”

”dumpster diving”

după ce mă uit? memo-uri, cărți de telefon, politici interne, calendare,

manuale, CD-uri, organigrame, listări de username/parole, cod sursă,

hardware vechi, ...

îți construiești o abordare

începi atacul în scris

”poți fi unul din câștigători!”

”opinia dvs. contează!”

sau prin email ”oficial”

”vom avea nevoie de parola dvs. pentru a confirma/verifica...”

după aceea dai un telefon

ceri parola, sau alte date

fii atent la modul de comunicare

atacul propriu-zis

ai toate datele despre țintă, sistemul informatic, etc.

suni la help-desk, spui că nu poți face logon

verificarea o ”treci” folosind informațiile adunate

și te rogi pentru o lipsă de ”social skills”

important: nu cere prea mult

reverse social engineering

reclamă

lași o carte de vizită

incluzi informații de contact în cazul unei probleme

sabotaj

creezi o problemă în rețeaua țintă

asistență

”repari” problema, timp în care obții acces la datele dorite

nu uita de un Backdoor (sau două)

cum să te protejezi de atacuri de tip social engineering?

de obicei, social engineering-ul e ignorat

e văzut ca un atac asupra inteligenței

și nimeni nu vrea să admită că a fost fraierit

persoanele tehnice își etalează ostentativ cunoștințele

de multe ori sunt dispuși să le împărtășească

oricine poate fi o victimă, dacă atacatorul e suficient de insistent și

de bine pregătit

bun, și ce facem?

nu încurajați comportamentul necorespunzător

o apărare pe mai multe nivele

fundația: politici de securitate

educare: security ”awareness”

reamintiri periodice

”capcane” de social engineering

incident response

strategii de prevenire

help-desk: parolele și alte informații confidențiale nu se transmit

telefonic

intrarea în clădire: securitate, verificarea legitimațiilor

birou: nu se scriu parole când altcineva e prin zonă

birou: persoanele care se plimbă pe holuri sunt duse la ieșire

birou: documentele marcate ”confidențial” ținute sub cheie

zona cu echipamente: elemente de securitate fizică, anti-furt

telefon, PBX: controlul apelurilor la distanță, call trace, refuzul

transferului

gunoi: mediile de stocare se aruncă doar după ce au fost făcute

inutilizabile

internet/intranet: awareness, politici de securitate, training

link-uri?

puteți să vă faceți propria colecție

întrebări

mulțumesc.

Tudor Damian

IT Solutions Specialist

tudy