white hat hacking #1
DESCRIPTION
Curs White Hat Hacking, partea 1TRANSCRIPT
salut.
cine sunt eu?
Tudor Damian
IT Solutions Specialist
tudy
ce facem aici?
curs White Hat Hacking Systems Security
totuși, de ce?
securitatea e o problemă umană, nu tehnologică
deci soluția nu stă în tehnologie
tehnologia curentă nu e perfectă
și nici nu se vrea a fi!
un exemplu: antivirușii
1989: 30 viruși
astăzi: peste 200.000 viruși
antivirușii lucrează în sistem blacklist, nu whitelist
ce vom folosi?
experiența mea
www.eccouncil.org/ceh.htm
audience input
alte resurse (online, prezentări)
diferența dintre ”noi” și ”ei”
Găsesc una
Atacă una
Des
Puțină
Infinit
Reparăm toate
Protejăm toate
Rar
Multă
Limitat
NOI EI
lucruri de reținut
termeni: vulnerabilitate, amenințare,
exploit, expunere, risc
R = A x V x E
nimănui n-o să-i placă de voi
”think like a bad guy”
înțelegeți fenomenele
identitate ≠ autentificare criptare ≠ integritate inspecție ≠ intenție
secretizare ≠ încredere oameni ≠ tehnologie prostie ≠ rea intenție
ușurință în utilizare ? securitate
protejați-vă echipamentele
înghițiți-vă mândria
nu lăsați garda jos
protecție, nu restricție
nu există anonimitate absolută
revenim la oile noastre.
glider Conway’s Game of Life
despre ce e vorba?
social engineering
...sau ”hacking people”
etica hackingului
da, există și așa ceva
Kevin Mitnick
(probabil) cel mai cunoscut ”hacker” din lume
atât doar că nu e hacker!
e ”social engineer”
etica hackingului
caz concret
te plimbi pe stradă...
...și vezi o casă cu ușa de la intrare deschisă...
ce faci?
1. suni la ușă și anunți proprietarii
2. intri, ai grijă să nu te vadă nimeni, scuipi în hol și pleci
3. intri, scuipi în hol, apoi îți suni toți prietenii să vină și să scuipe în hol până nu închide proprietarul ușa
la fel e și cu rețelele
descoperirea sistemelor distribuite nu e o noutate
iar descoperirea vulnerabilităților nici atât
e ca și cum te-ai lăuda că ai descoperit viața la bloc
de fapt, problema e alta:
să vorbim puțin despre sistemele informatice
cum v-ar plăcea să fie un sistem informatic?
funcțional
sigur
ieftin
problema e că puteți alege maxim 2 opțiuni!
Sigur Ieftin
Funcțional
care e situația curentă?
aproape nimeni nu alege un sistem care să fie sigur și ieftin, dar care nu
e funcțional
câțiva ajung să prefere un sistem sigur și funcțional, chiar dacă e mai
scump
și din păcate, majoritatea aleg un sistem funcțional și ieftin,
securitatea fiind pe planul doi
astfel apar hackerii
persoane care detectează problemele de securitate
iar unii le și exploatează
(presupunând că) ești hacker
odată ce ai descoperit o gaură de securitate, ce faci?
păi, depinde...
fiindcă hackerii se împart în mai multe categorii
și care e diferența?
black hat: își folosesc cunoștințele în activități distructive sau malițioase
white hat: își utilizează cunoștințele în scopuri defensive
(security analysts)
gray hat: indivizi care acționează atât ofensiv, cât și defensiv, uneori
aflându-se la limita legii
hacktivists: hacking pentru o cauză, de obicei agendă politică
suicide hackers: pentru ei, îndeplinirea scopurilor e mai
importantă decât o pedeapsă de 30 de ani de închisoare
bun, și totuși, ce fac hackerii?
un atac malițios are 5 faze
1. recunoaștere
poate fi activă sau pasivă
implică aflarea de informații despre ținta atacului
risc: notabil
e cam ca și atunci când cineva încearcă ușa de la intrare
2. scanning
faza de dinaintea atacului, în care se scanează rețeaua pentru a obține
informații specifice
risc: ridicat
port scanners, network mapping, vulnerability scans, etc.
3. obținerea accesului
sistemul este compromis, s-a găsit o cale de acces
exploit-ul poate fi: în LAN, pe Internet, sau înșelătorie/furt
buffer overflows, DoS, session hijacking, password cracking
risc: maxim
atacatorul poate obține acces la nivel OS/aplicație/rețea
4. menținerea accesului
se încearcă păstrarea controlului asupra sistemului
hacker-ul poate apela la metode suplimentare de ”protecție”
Backdoors, RootKits, Trojans
upload, download, manipularea datelor/aplicațiilor din sistem
5. ascunderea urmelor
încercarea de a înlătura orice urmă de activitate
motive: acces pe termen lung, evitarea aspectelor legale
metode: alterarea log-urilor, tunneling, etc.
tipuri de atacuri
atacuri asupra SO (vulnerabilități, configurări)
atacuri la nivel de aplicație
remote network attacks (atacuri la distanță, Internet)
local network attacks
furtul echipamentelor
social engineering
o regulă importantă:
dacă un hacker vrea să intre în sistemul tău, va intra, iar tu n-ai cum
să-l oprești!
tot ce poți face e să te asiguri că îi îngreunezi (mult) munca
și am ajuns în sfârșit la social engineering
arta și știința de a-i face pe oameni să facă ce vrei tu
nu, nu e o formă de control al minții!
e cam ca și în vânzări
trebuie să creezi ”scânteia”
cea mai avansată metodă de vânzare: cea în care clientul nu știe
că i se vinde ceva
e nevoie de muncă ”de teren”
adunarea informațiilor
marea parte a efortului stă în pregătire
iar divagăm un pic... modelul OSI
Open Systems Interconnection
descriere abstractă a comunicării și protocoalelor
fiecare ”layer” funcționează bazat pe layer-ul inferior
7 – Application layer
6 – Presentation layer
5 – Session layer
4 – Transport layer
3 – Network layer
2 – Link layer
1 – Physical layer
lipsește ceva?
8 – Human layer
7 – Application layer
6 – Presentation layer
5 – Session layer
4 – Transport layer
3 – Network layer
2 – Link layer
1 – Physical layer
nu există nici un sistem în lume care să nu se
bazeze pe oameni
S.E. trece de toate controalele din layer-ele OSI 1-7, mergând direct la
veriga cea mai slabă
layer 8, oamenii
câteva statistici
câte persoane și-ar da parola de la firmă unei necunoscute care îi
abordează pe stradă?
...pentru o ciocolată?
studiu, Londra, 2003
și-au dat parola în schimbul unui pix
ieftin
au divulgat informații despre parolă
(date de naștere, nume, echipe preferate, etc.)
iau cu ei informații sensibile când își
schimbă locul de muncă
și-au dat parola lor colegilor de
servici
știau parolele colegilor
aveau aceeași parolă peste tot
psihologia în social engineering
transferul de responsabilitate
”directorul tehnic mi-a spus să-ți transmit că n-o să fie vina ta
dacă sunt probleme”
șansa de a primi o recompensă
”uite ce ai putea obține tu din treaba asta!”
relație de încredere
”ah, Pamfil e băiat de treabă, pot avea încredere în el...”
datorie morală
”trebuie să mă ajuți! pe tine nu te enervează treaba asta?”
sentimentul de vină
”cum, nu vrei să mă ajuți?...”
dorința de ajutor
”îmi deschizi ușa asta, te rog?”
cooperare
”hai să lucrăm împreună, putem obține mult mai mult!”
pași spre a fi un bun social engineer
1. fii profesionist
2. fii calm
3. cunoaște-ți ținta
4. nu încerca să fraierești pe cineva mai inteligent ca tine
5. fă-ți un plan de scăpare
6. fii femeie
7. folosește însemne ”oficiale”
8. folosește cărți de vizită cu nume fals
9. manipulează-i doar pe cei neglijenți, neatenți și proști
10. dacă e nevoie, folosește o echipă
categorii de ”atacuri” în social engineering
cerere directă
de obicei are cele mai mari șanse să eșueze
situație controversată
fă ca ținta să aibă mai mulți factori de luat în considerare
deghizare
om de serviciu, angajat, etc.
putere de convingere
fă ținta să creadă că are controlul asupra situației
pe cine poți ”ataca”?
victimele se disting prin gradul de implicare, precum și factorii de
influență la care răspund
implicare vs. influențabilitate
grad de implicare sunt influențați de nu sunt influențați de
ridicat • administratori de sistem • persoane din conducere • tehnicieni
argumente solide • motive reale pentru a avea nevoie de acea informație
argumente slabe • cer contraargumente • scad posibilitatea de conformare
scăzut • recepționiste • îngrijitori • agenți de pază
alte informații • urgență • număr de motive • statutul persoanei
motivele reale • nu sunt relevante, nu le pasă • vor ignora ironiile insistente
cine are nevoie de acces fizic?
”cool pics attached!”
instrumente și tehnici
în cele mai multe cazuri, ai nevoie doar de două lucruri:
un telefon
o țintă (poate un fost bun prieten)
odată ce ai ales ținta, începi să aduni informații
asta va da un sens de autenticitate dialogurilor
poți să obții o listă a angajatilor, și a sistemelor
cum? whois, finger, domain tools, site-ul firmei, motorul de căutare
preferat
faci o vizită la sediu
te îmbraci corespunzător, ca să poți trece neobservat
ID badge fals
observă cum se intră/iese
fii încrezător, ca și cum ai fi ”de-al casei”
vezi cum sunt legate calculatoarele
uită-te după anunțuri, notițe, liste afișate
vorbește cu angajații ”de jos”
”dumpster diving”
după ce mă uit? memo-uri, cărți de telefon, politici interne, calendare,
manuale, CD-uri, organigrame, listări de username/parole, cod sursă,
hardware vechi, ...
îți construiești o abordare
începi atacul în scris
”poți fi unul din câștigători!”
”opinia dvs. contează!”
sau prin email ”oficial”
”vom avea nevoie de parola dvs. pentru a confirma/verifica...”
după aceea dai un telefon
ceri parola, sau alte date
fii atent la modul de comunicare
atacul propriu-zis
ai toate datele despre țintă, sistemul informatic, etc.
suni la help-desk, spui că nu poți face logon
verificarea o ”treci” folosind informațiile adunate
și te rogi pentru o lipsă de ”social skills”
important: nu cere prea mult
reverse social engineering
reclamă
lași o carte de vizită
incluzi informații de contact în cazul unei probleme
sabotaj
creezi o problemă în rețeaua țintă
asistență
”repari” problema, timp în care obții acces la datele dorite
nu uita de un Backdoor (sau două)
cum să te protejezi de atacuri de tip social engineering?
de obicei, social engineering-ul e ignorat
e văzut ca un atac asupra inteligenței
și nimeni nu vrea să admită că a fost fraierit
persoanele tehnice își etalează ostentativ cunoștințele
de multe ori sunt dispuși să le împărtășească
oricine poate fi o victimă, dacă atacatorul e suficient de insistent și
de bine pregătit
bun, și ce facem?
nu încurajați comportamentul necorespunzător
o apărare pe mai multe nivele
fundația: politici de securitate
educare: security ”awareness”
reamintiri periodice
”capcane” de social engineering
incident response
strategii de prevenire
help-desk: parolele și alte informații confidențiale nu se transmit
telefonic
intrarea în clădire: securitate, verificarea legitimațiilor
birou: nu se scriu parole când altcineva e prin zonă
birou: persoanele care se plimbă pe holuri sunt duse la ieșire
birou: documentele marcate ”confidențial” ținute sub cheie
zona cu echipamente: elemente de securitate fizică, anti-furt
telefon, PBX: controlul apelurilor la distanță, call trace, refuzul
transferului
gunoi: mediile de stocare se aruncă doar după ce au fost făcute
inutilizabile
internet/intranet: awareness, politici de securitate, training
link-uri?
puteți să vă faceți propria colecție
întrebări
mulțumesc.
Tudor Damian
IT Solutions Specialist
tudy