white hat hacking #3

salut, pentru a treia oară.

Tudor Damian

IT Solutions Specialist

tudy

ce facem azi?

curs WHH, #3 Web Security Network Security Best Practices

activități de zi cu zi

”dă-mi un link la blogul ăla...”

”trimite-mi pe mail...”

”uite ce-am găsit pe google...”

”dacă ai id de mess, îți trimit acolo fișierul...”

”pot să-mi verific mail-ul?...”

”îl am pe memory stick, îl poți copia de acolo...”

tendințe

17

cu

rio

sit

y

crim

e

1986

2008

Virus Destructive Virus

Macro Virus

Vulnerabilities Openly Discussed

Mass Mailing Worms

Network Worms

Spam Tracking Cookies

Spam Explodes

Bots & Botnets

DDoS Attacks

Bots Explode

Paid Vulnerability

Research

Adware Spyware Rootkits

On the Rise Spyware &

Adware Explode

Phishing Crimeware Phishing Explodes

Zero Day Exploits

& Threats

că tot vorbim de $$$ ...

Produs Preț

Instalare adware 30 cenţi in US, până la 2 cenţi in alte ţări

Pachet malware, versiunea basic 1.000$ – 2.000$

Add-ons pentru pachete malware Preţuri variabile pornind de la 20$

Închiriere de “exploit” - o oră De la 0,99$ la 1$

Închiriere de “exploit” - 2,5 ore De la 1,60$ la 2$

Închiriere de “exploit” - 5 ore 4$

Troian nedetectabil 80$

Atac DDOS 100$ pe zi

Acces la 10.000 de PC-uri compromise 1.000$

Informaţii despre conturi bancare Preţuri variabile pornind de la 50$

Un milion de mesaje e-mail De la 8$ în sus

o listă de prețuri

Informațiile se refera la anul 2007, sursa: TrendMicro

pe câmpul de luptă

trojan / rootkit / worm / spyware

AV-Test.org estimează că există peste 11 milioane de exemplare de

malware

scopul poate fi extrem de diferit, de la caz la caz

spre exemplu, Win32.Worm.Delf.NFW (locul 9 în topul BitDefender pe luna iulie)

șterge fișiere mp3 care conțin numele unor cântareți români "populari"

Adrian Minune Adi de la Valcea

Florin Salam Frații de Aur Laura Vass Liviu Puștiu Liviu Guță

DDoS / botnets

botnet on demand

botnet on demand

Botnet Numărul de boți

estimat Capacitatea de generare de

spam

Kraken 400.000 100 miliarde mesaje pe zi

Srizbi 315.000 60 miliarde mesaje pe zi

Rustock 150.000 30 miliarde mesaje pe zi

Cutwail 125.000 16 miliarde mesaje pe zi

Storm 85.000 3 miliarde mesaje pe zi

top 5 botnets in 2008

Surse: SecureWorks, Damballa

Network C

Network B

Network A

Attacker

Computer

ComputerComputer

Workstation Workstation Workstation

LaptopComputer

Computer Workstation

Broadcast Address

Broadcast Address

Broadcast Address

ICMP Echo

ICMP Echo

ICMP Echo

ICMP Echo

ICMP Echo

ICMP Echo

Target system

Replies from every terminal in the

Network

Replies from every terminal in the

Network

Replies from every terminal in the

Network

Smurf

Attacker

Server

Legitimate userr

Half Open Connection

Half Open Conenction

Half Open Conenction

Half Open Conenction

Legitimate Connection

SynFlood Attack SynFlood

Attack

erDNS 2

DNS 3

DNS 4

Target

Query with spoofed IP

Query with spoofed IP

Query with spoofed IP

Query with spoofed IP

Results from attackers query

Results from attackers query

Results from attackers query

Results from attackers query

DNS 1

DNS DoS

DDoS

Server Software

(Zombie)

Server Software

(Zombie)

Server Software

(Zombie)Server Software

(Zombie)

Server Software

(Zombie)

Client Software

Command

CommandCommand

Target Host

Packets

Packets

Packets

PacketsPackets

Attacker

Client

Attacker’s CommandsAttacker’s Coomand

exemplele nu sunt la scară reală :)

SQLi / XSS / CSRF / RFI

SQL injection

XSS

XSS

XSS

Open Web Application Security Project (OWASP) top 10 list

www.owasp.org/index.php/Top_10_2007

OWASP Top 10 List 2007

1. Cross Site Scripting (XSS)

2. Injection Flaws

3. Malicious File Execution

4. Insecure Direct Object Reference

5. Cross Site Request Forgery (CSRF)

6. Information Leakage and Improper Error Handling

7. Broken Authentication and Session Management

8. Insecure Cryptographic Storage

9. Insecure Communications

10. Failure to Restrict URL Access

OWASP Top 10 List 2010 (RC1) OWASP Top 10 – 2007 (Previous) OWASP Top 10 – 2010 (New)

A2 – Injection Flaws A1 – Injection

A1 – Cross Site Scripting (XSS) A2 – Cross Site Scripting (XSS)

A7 – Broken Authentication and Session Management A3 – Broken Authentication and Session Management

A4 – Insecure Direct Object Reference A4 – Insecure Direct Object References

A5 – Cross Site Request Forgery (CSRF) A5 – Cross Site Request Forgery (CSRF)

<was T10 2004 A10 – Insecure Configuration Management> A6 – Security Misconfiguration (NEW)

A10 – Failure to Restrict URL Access A7 – Failure to Restrict URL Access

<not in T10 2007> A8 – Unvalidated Redirects and Forwards (NEW)

A8 – Insecure Cryptographic Storage A9 – Insecure Cryptographic Storage

A9 – Insecure Communications A10 – Insufficient Transport Layer Protection

A3 – Malicious File Execution <dropped from T10 2010>

A6 – Information Leakage and Improper Error Handling <dropped from T10 2010>

+

+

- -

=

=

spam

conform Sophos, 96.5% din business email este spam

phishing / crimeware / scareware

crimeware

categorie de malware concepută pentru automatizarea activităților

criminale de natură financiară

scareware, o variantă de social engineering

alte atacuri

spionaj industrial

...plătit, evident :)

furt de identitate

cele 10 legi ale securității rețelelor

#1 dacă un atacator te convinge să

rulezi programul lui pe calculatorul tău, nu mai e calculatorul tău

#2 dacă un atacator poate modifica

sistemul de operare de pe calculatorul tău, nu mai e

calculatorul tău

#3 dacă un atacator are acces fizic la

calculatorul tău, nu mai e calculatorul tău

#4 dacă lași un atacator să upload-eze programe pe site-ul tău, nu mai e

site-ul tău

#5 parolele slabe anulează orice altă

formă de securitate

#6 un sistem e atât de sigur pe cât de

multă încredere poți avea în persoana care îl administrează

#7 datele criptate sunt atât de sigure pe

cât de sigură e cheia de decriptare

#8 un antivirus fără definiții la zi e cu

puțin mai bun decât unul inexistent

#9 anonimitatea absolută nu e practică,

nici în viața reală, nici pe web

#10 tehnologia nu e un panaceu

abordarea securității

un singur punct de acces fizic

un singur punct de acces electronic

disciplină, disciplină, disciplină

tot ce vine e malițios, până la proba contrarie

componentele soluției

clădiri securizate fizic

opțiuni de autentificare

limitarea metodelor de comunicare și acces permise

inspecție și eliminare malware

procese și tehnologii de management definite clar

plan de acțiune în caz de criză (incident response)

securizare fizică a clădirilor

proprietate locație, perimetru, datacenter,

controlul climei, disaster recovery

oameni necunoscuți, utilizatori/angajați,

disaster recovery

opțiuni de autentificare

parolele nu sunt suficiente

procese și tehnologii de management definite clar

automatizarea instalărilor, configurare, update

monitorizarea sănătății sistemului, reparații în caz de nevoie

data recovery

arhitectura veche

la început, internetul era izolat, rețelele corporate la fel

internet

corporate network

persoanele din CORP și-a dat seama că pe Internet se găsesc treburi interesante, și au solicitat acces

internet

firewall

corporate network

și accesul outbound era suficient

dar între timp a apărut HTML / HTTP

iar când e vorba de culori, imagini și sunete, persoanele de la marketing

devin interesate

și au început să solicite să pună ”broșuri” pe Internet

internet

firewall

web server

corporate network

iar când s-a dorit și comunicarea cu cei din afară, a apărut DMZ

internet

firewall

web server (DMZ) database (DMZ)

corporate network

treptat, DMZ-ul a devenit o înșiruire de firewall-uri

soluțiile noi au devenit din ce în ce mai complexe, deoarece se bazau pe

soluțiile deja existente

engineers, architects and contractors

engineers begin knowing a little bit about a lot

they learn less and less about more and more

until they know nothing about everything

architects begin knowing a lot about a little

they learn more and more about less and less

until they know everything about nothing

contractors begin knowing everything about everything

but end up knowing nothing about anything

because of their association

with architects and engineers

pe cine cunoaștem?

PC-ul, sau persoana?

PC persoană

PC persoană

managed

unmanaged

arhitectura nouă

internet

corporate network

folosim împărțirea managed / unmanaged

internet

unmanaged managed

corporate network

astfel, avem nevoie de network edge protection

pentru secțiunea unmanaged

dar ce facem cu partea managed?

știm PC-ul, știm persoana

dar până acum, acestea erau în interiorul rețelei, după firewall

acum, sistemele sunt în afară

tehnologii curente care ne pot ajuta

Win7 & Windows Server 2008 R2 (DirectAccess), UAC, non-admin

login, NAP, Active Directory (Group Policy), autentificare cu certificate

(X.509), IPSec, IPv6 (Teredo), DNSv6, Firewall, BitLocker, BitLocker to Go

întrebări

mulțumesc.

Tudor Damian

IT Solutions Specialist

tudy