ΜΕΛΕΤΗ ΤΡΩΣΙΜΟΤΗΤΑΣ ΚΑΙ ΒΕΛΤΙΩΣΗ ΑΣΦΑΛΕΙΑΣ ΣΕ ΔΙΑΚΟΜΙΣΤΗ WEB

Transcript

1 ΑΡΙΣΤΟΤΕΛΕΙΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΘΕΣΣΑΛΟΝΙΚΗΣ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΜΕΛΕΤΗ ΤΡΩΣΙΜΟΤΗΤΑΣ ΚΑΙ ΒΕΛΤΙΩΣΗ ΑΣΦΑΛΕΙΑΣ ΣΕ ΔΙΑΚΟΜΙΣΤΗ WEB Πτυχιακή εργασία του Νικολαΐδη Περικλή ΑΕΜ: 715 Υπεύθυνος καθηγητής: Παπαδημητρίου Γεώργιος Θεσσαλονίκη 2006

2 ΠΡΟΛΟΓΟΣ Στα πλαίσια της εργασίας αυτής πραγματοποιείται μελέτη για την ανίχνευση και επιδιόρθωση επισφαλών σημείων σε ένα υπολογιστή με πρόσβαση στο Internet. Η μελέτη αφορά τα πλέον χρησιμοποιούμενα λειτουργικά συστήματα Windows και Unix/Linux. Γίνεται θεωρητική έρευνα λογισμικών και τεχνικών οχύρωσης των δικτύων και εκτελείται εγκατάσταση, εκμάθηση, ρύθμιση και χρήση εργαλείων για ελέγχους ασφαλείας. Η διεκπεραίωση της εργασίας έγινε στο εργαστήριο Αρχιτεκτονικής και Δικτύων Υπολογιστών του τμήματος Πληροφορικής της Σχολής Θετικών Επιστημών του Αριστοτέλειου Πανεπιστήμιου Θεσσαλονίκης. Υπεύθυνος καθηγητής είναι ο κ. Παπαδημητρίου Γεώργιος. Η έρευνα και η μελέτη της εργασίας διεξήχθη σε συνεργασία με τον καθηγητή κ. Νικοπολιτίδη Πέτρο, καθώς και με την υποψήφια διδάκτωρ κα. Χρυσούλα Παπάζογλου. Η εργασία αυτή δίνει τη δυνατότητα εκπαίδευσης πάνω σε ζητήματα ασφάλειας που ολοένα και αυξάνουν στο διαδίκτυο από κάθε άποψη. Πέραν τούτου αποτελεί και ένα συναρπαστικό πεδίο του διαδικτύου, η θωράκιση και η οργάνωση άμυνας ενός δικτύου, ώστε αυτό να μη φοβάται τίποτα από επικείμενους εισβολείς.

3 ΕΥΡΕΤΗΡΙΟ ΕΙΣΑΓΩΓΗ...1 Στόχοι της εργασίας και μελέτη της τρωσιμότητας...4 ΚΕΦΑΛΑΙΟ ΕΠΙΤΙΘΕΜΕΝΟΙ ΚΑΙ ΤΕΧΝΙΚΕΣ ΕΠΙΘΕΣΕΙΣ Κατηγορίες επιτιθέμενων Τεχνικές επίθεσης που αφορούν τους διακομιστές web Hacking techniques (τεχνικές διείσδυσης) Τεχνικές κατάρρευσης των διακομιστών Άρνηση υπηρεσίας DoS (Denial of Service) Distributed Denial of Service (Κατανεμημένη επίθεση DoS) Teardrop attack Ping of Death SYN Flooding Smurf Attack Απειλές για τον client ΙΟΙ (viruses) ΣΚΟΥΛΗΚΙΑ (Worms) ΔΟΥΡΕΙΟΙ ΙΠΠΟΙ (Trojan horses) Destructive Trojans ROOTKITS SPYWARE ADWARE ΠΡΟΓΡΑΜΜΑΤΑ HIJACK DIALERS ΑCTIVE X COOKIES...24 ΚΕΦΑΛΑΙΟ Ασφάλεια του διακομιστή web και των client Ασφάλεια διακομιστή web Η πολιτική ασφάλειας και ρύθμιση του διακομιστή web Παρακολούθηση των αρχείων καταγραφής (Log files) Οδηγός ρύθμισης διακομιστή web Ασφάλεια Βάσεων Δεδομένων Ο σχεδιασμός του δικτύου και η υποστήριξη από λογισμικό ANTIVIRUS προγράμματα Φράγματα ασφάλειας FIREWALLS Πολιτική ασφάλειας των φραγμάτων ασφάλειας Τεχνολογία των Firewall Τυπικοί σχηματισμοί των Firewall Προσωπικά Firewall Συμπέρασμα για τα φράγματα ασφάλειας Ανίχνευση εισβολέων Intrusion Detection Systems (IDS)...64

4 Network Based IDS Host-based intrusion detection system (HIDS) Application Protocol-Based IDS (APIDS) Signature-based IDS (SIDS) Σύνοψη και συμπεράσματα για τα συστήματα ανίχνευσης εισβολέων Απρόσκλητοι ωτακουστές (packet sniffers) Honeypots Production Honeypots Research Honeypots Σύνοψη για τα μέτρα ασφάλειας...75 ΚΕΦΑΛΑΙΟ Μελέτη εργαλείων ανίχνευσης τρωσιμότητας του δικτύου Μέρος Α: Παρουσίαση εργαλείων A Γενικά A.1 Nmap: Network Mapper A.2 Saint: Security Administrator s Integrated Network Tool A.3 Sara: Security Auditor s Research Assistant A.5 Paros: web vulnerability assessment...77 Μέρος Β: Εκτέλεση εργαλείων και καταγραφή αποτελεσμάτων B.1 Δοκιμές στον agent.csd.auth.gr B.1.1 Nmap B.1.2 Security Auditor's Research Assistant (SARA) B.1.3 Security Administrator s Integrated Network Tool B.1.4 Paros web vulnerability assessment Β.2 Δοκιμές σε τοπικό υπολογιστή πελάτη (nethost1) Β.3 Δοκιμές σε προσωπικό υπολογιστή...77 Μέρος Γ: Μελέτη των αδυναμιών και προτεινόμενες λύσεις Γ.1.1 Τα προβλήματα ασφάλειας του agent.csd.auth.gr και οι προτεινόμενες λύσεις Γ.1.2 Προτεινόμενες λύσεις για τον agent.csd.auth.gr Γ.2 Τα προβλήματα ασφάλειας του nethost1.csd.auth.gr και του προσωπικού υπολογιστή Γ.2.1 Μελέτη του nethost Γ.2.2 Μελέτη του προσωπικού υπολογιστή Γ.2.3 Προτεινόμενες λύσεις για τον nethost1, και τον προσωπικό υπολογιστή Γ.3 Συγκριτικά για τα προγράμματα...77 ΕΠΙΛΟΓΟΣ ΚΑΙ ΣΥΜΠΕΡΑΣΜΑΤΑ...77 ΒΙΒΛΙΟΓΡΑΦΙΑ...77 WEBSITES ΚΑΙ ΑΝΑΦΟΡΕΣ...77

5 ΕΙΣΑΓΩΓΗ ΕΙΣΑΓΩΓΗ Η έννοια της ασφάλειας στο διαδίκτυο έχει ξεχωριστή σημασία για διαφορετικές ομάδες ανθρώπων που χρησιμοποιούν και ανταλλάσουν πληροφορίες μέσω διαδικτύου. Για κάποιους, είναι η δυνατότητα να «σερφάρουν» στο διαδίκτυο γνωρίζοντας ότι κανένας δεν παρακολουθεί τα βήματα τους. Για άλλους, είναι η δυνατότητα να μπορούν να διεκπεραιώνουν οικονομικές και εμπορικές συναλλαγές με ασφάλεια. Για τους διαχειριστές ιστοσελίδων, θεωρούν ως ασφάλεια, το να μη έχει τη δυνατότητα κάποιος κακόβουλος να αλλοιώσει τα δεδομένα της ιστοσελίδας. Η ασφάλεια στο διαδίκτυο είναι τόσο πολύπλοκη όσο είναι και ο όγκος του διαδικτύου. Εξελίχθηκε με γεωμετρική πρόοδο, κατά τη δεκαετία του 90, όπου εισήχθησαν νέες επικοινωνιακές τεχνολογίες και υπηρεσίες, όπως η ηλεκτρονική τράπεζα (e-banking), το ηλεκτρονικό εμπόριο (e-commerce) και ηλεκτρονική διακυβέρνηση (e-government). Σημαντικό ρόλο έπαιξε και η ανάπτυξη των υπολογιστών, της υπολογιστικής τους ταχύτητας, και τη ταχύτητα των εμπορικών συνδέσεων στο διαδίκτυο. Πριν τη δεκαετία του 90, τα συστήματα ήταν ασφαλή με τη χρήση ενός password, αφού το διαδίκτυο τότε είχε τη μορφή των bulletin boards. Σήμερα η προσφερόμενη υπολογιστική ισχύς, η ταχύτητα επικοινωνίας και η ύπαρξη εξειδικευμένου λογισμικού για παραβιάσεις ασφάλειας (π.χ. λογισμικό ανίχνευσης κωδικών) δημιουργούν ένα τελείως διαφορετικό πεδίο και επιβάλλουν μια νέα συνολική στρατηγική και αρχιτεκτονική ασφάλειας. Αρκεί να αναλογιστεί κανείς ότι πλέον υπάρχουν ολόκληροι οργανισμοί και εταιρείες που ασχολούνται συνεχώς με θέματα ασφάλειας στο διαδίκτυο, στην ανάπτυξη ασφαλών διαδικτυακών εφαρμογών και στην καταπολέμηση του ηλεκτρονικού εγκλήματος. Η ασφάλεια στο διαδίκτυο χωρίζεται σε 4 θεμελιώδεις περιοχές, όπου αναγνωρίζονται οι διάφορες κατηγορίες απειλών: 1. Μυστικότητα. 2. Πιστοποίηση αυθεντικότητας. 3. Μη απόρριψη υποχρέωσης ή οφειλής. 4. Έλεγχος ακεραιότητας. Η μυστικότητα έχει να κάνει με την άρνηση σε μη εξουσιοδοτημένους χρήστες να έχουν πρόσβαση σε πληροφορίες. 1/131

6 ΕΙΣΑΓΩΓΗ Η πιστοποίηση αυθεντικότητας καθορίζει το με ποιον μιλάμε πριν αποκαλύψουμε «ευαίσθητη» πληροφορία ή προτού πραγματοποιήσουμε οικονομικές συναλλαγές. Η μη απόρριψη υποχρέωσης ή οφειλής ασχολείται με υπογραφές: πώς μπορούμε να αποδείξουμε, για παράδειγμα, ότι κάποιος που έχει υποβάλλει μια παραγγελία σε μια εμπορική επιχείρηση έχει συμφωνήσει σε μια συγκεκριμένη τιμή και όχι σε κάποια άλλη που σκέφτηκε αργότερα μόνος του. Τέλος, ο έλεγχος ακεραιότητας έχει να κάνει με την εξακρίβωση ότι ένα μήνυμα που λαμβάνουμε είναι πραγματικά αυτό που στάλθηκε και όχι κάτι που κάποιος τροποποίησε κατά τη μετάδοση. Η μυστικότητα και ο έλεγχος ακεραιότητας είναι ουσιαστικά οι περιοχές που εμπερικλείουν την παρούσα εργασία και το στόχο της. Δηλαδή, προσπαθούμε να μελετήσουμε τους τρόπους με τους οποίους απειλούνται οι Internet hosts από μη εξουσιοδοτημένους χρήστες που επιχειρούν να αποκτήσουν πρόσβαση σε πληροφορίες, ή να τους παραποιήσουν. Οι δύο αυτές περιοχές, είναι και οι πιο σημαντικές, διότι όταν παραβιάζονται, είναι πολύ εύκολο να αποκτήσει κάποιος πρόσβαση και σε δεδομένα που αφορούν τους υπόλοιπους τομείς, χωρίς να σημαίνει αυτό απαραίτητα ότι πρέπει κάποιος να παραβιάσει έναν συγκεκριμένο Internet Host ώστε να υποκριθεί ότι είναι κάποιος άλλος. 2/131

7 ΕΙΣΑΓΩΓΗ Κίνδυνοι και εμπλεκόμενοι ορισμός της ασφάλειας Σχήμα Α: Οι διαδικτυακές συνδέσεις έχουν 3 σημεία: τον περιηγητή του client, τον διακομιστή web και τη σύνδεση μεταξύ τους. Όσον αφορά την ασφάλεια όταν την εξετάζουμε με βάση το μοντέλο client server, όπου ο πελάτης (client) προωθεί αιτήσεις στον διακομιστή web διαμέσου του διαδικτύου, οι απειλές και οι τρόποι αντιμετώπισης ποικίλουν για τον καθένα. Ασφάλεια από τη μεριά του πελάτη (client): 1. Ο απομακρυσμένος διακομιστής είναι πράγματι αυτός που ισχυρίζεται ότι είναι και διαχειρίζεται από τον πραγματικό του ιδιοκτήτη. 2. Οι απαντήσεις του διακομιστή web στις αιτήσεις δεν περιέχουν επιβλαβή κώδικα. 3. Ο διακομιστής web δεν θα καταγράψει ή διανείμει πληροφορίες του πελάτη που τον επισκέφθηκε. Ασφάλεια από τη μεριά του διακομιστή web: 1. Οι clients που στέλνουν αιτήσεις στον διακομιστή web, δε θα επιχειρήσουν να τον παραβιάσουν ή να αλλάξουν το περιεχόμενο του. 2. Οι clients δε θα επιχειρήσουν να αποκτήσουν πρόσβαση σε έγγραφα που δεν δικαιούνται. 3/131

8 ΕΙΣΑΓΩΓΗ 3. Οι πελάτες δε θα επιχειρήσουν να καταρρεύσουν τον διακομιστή web, καθιστώντας τον μη διαθέσιμο. 4. Αν υπάρχει πιστοποίηση από τη μεριά του πελάτη, ο πελάτης να είναι όντως αυτός που ισχυρίζεται ότι είναι. Ασφάλεια και από τις δύο μεριές: 1. Η σύνδεση μεταξύ client server δεν παρακολουθείται από τρίτους, είτε στο φυσικό επίπεδο καλωδίωσης, είτε από προγράμματα παρακολούθησης. 2. Οι πληροφορίες που ανταλλάσσονται μεταξύ client server δεν είναι αλλοιωμένες από τρίτους. Στόχοι της εργασίας και μελέτη της τρωσιμότητας Το νόημα της ασφάλειας στο διαδίκτυο σημαίνει να πληρούνται όλες οι παραπάνω προϋποθέσεις. Η εξασφάλιση ενός καλού επιπέδου ασφάλειας ενός πελάτη (client) είναι πιο εύκολο από ότι ενός διακομιστή που φιλοξενεί κάποια ιστοσελίδα, ο οποίος είναι συνέχεια εκτεθειμένος σε διαδικτυακές επιθέσεις. Υπάρχουν πολλά προβλήματα στην ασφάλεια των υπολογιστών και πολλά σημεία που πρέπει να προσέξει κάποιος προκειμένου να προστατευτεί όσο καλύτερα γίνεται. Οι κίνδυνοι από το Διαδίκτυο είναι υπαρκτοί καθώς δεν είναι εφικτός ο έλεγχος όλων των υπολογιστών που είναι συνδεδεμένοι, και το Διαδίκτυο αποτελεί πλέον μια κοινωνία που απλώς αναπτύσσεται σε ψηφιακό περιβάλλον. Εφόσον υπάρχουν πολλές απειλές ασφάλειας υπάρχουν και πολλά μέτρα αντιμετώπισης. Ο σημαντικότερος παράγοντας στην ασφάλεια υπολογιστών είναι ο άνθρωπος και απαιτείται όχι μόνο γνώση για τις μεθόδους προστασίας, αλλά και διαρκής επαγρύπνηση. Ένα είναι σίγουρο: ότι απόλυτη ασφάλεια δεν υπάρχει, και το επίπεδο της ασφάλειας σε ένα σύστημα είναι ίσο με το πιο αδύναμο του σημείο. Στο 1 ο κεφάλαιο της εργασίας, θα μελετήσουμε θεωρητικά τους επιτιθέμενους, τις τεχνικές επιθέσεις και θα αναφέρουμε επιγραμματικά τις κατηγορίες λογισμικών που χρησιμοποιούνται για παρακολούθηση και για επίθεση. Στο 2 ο κεφάλαιο, θα μελετήσουμε θεωρητικά την ασφάλεια των διακομιστών web και των clients, τεχνικές και προτεινόμενα λογισμικά που θωρακίζουν τους υπολογιστές από επιθέσεις. Στο 3 ο κεφάλαιο θα δούμε εργαλεία επίθεσης, σάρωσης και καταγραφής. Θα γίνει 4/131

9 ΕΙΣΑΓΩΓΗ θεωρητική μελέτη των εργαλείων αυτών, και έπειτα πειραματική χρήση τους όπου θα καταγραφούν τα αποτελέσματα για να γίνει ανάλυση τους. Θα μελετήσουμε επίσης από τα επίμαχα σημεία που θα ανιχνευθούν, τους προτεινόμενους τρόπους αντιμετώπισης των απειλών. 5/131

10 ΚΕΦΑΛΑΙΟ 1 ΚΕΦΑΛΑΙΟ 1 ΕΠΙΤΙΘΕΜΕΝΟΙ ΚΑΙ ΤΕΧΝΙΚΕΣ ΕΠΙΘΕΣΕΙΣ Όπως αναφέρθηκε, οι τεχνικές άμυνας διαφοροποιούνται σε έναν υπολογιστή που έχει το ρόλο του πελάτη σε σχέση με έναν διακομιστή web. Οι επιπτώσεις των επιθέσεων έχουν εξίσου διαφορετικούς στόχους. Συνήθως οι απλοί προσωπικοί υπολογιστές του σπιτιού δεν αποτελούν άμεσο στόχο επιθέσεων όπως οι διακομιστές μεγάλων εταιρειών, μια που οι πρώτοι δεν είναι απαραίτητα συνδεμένοι πάντα στο διαδίκτυο και οι πληροφορίες που φέρουν δεν είναι τόσο σημαντικές για τη πλειονότητα των κακόβουλων χρηστών του διαδικτύου. Το έγκλημα όμως δυστυχώς εξελίσσεται, και νέες μορφές εγκλήματος, όπως παιδική πορνογραφία, και εξαπάτηση μέσω υπηρεσιών που προσφέρουν συνομιλία μεταξύ των χρηστών κάνουν ιδιαίτερη εμφάνιση. Αυτές οι απειλές αντιμετωπίζονται πρωτίστως με την ωριμότητα και τη σωστή εκπαίδευση των χρηστών, όπου μαθαίνουν να αντιμετωπίζουν την κοινότητα του διαδικτύου ως ένα σύνολο αγνώστων ανθρώπων, όπου δε πρέπει να φανερώνουν προσωπικά μυστικά και οικονομικά στοιχεία. Η πιο διαδεδομένη επίθεση σε προσωπικούς υπολογιστές, γίνεται μέσω προγραμμάτων που εγκαθίστανται είτε παρανόμως σε ιστοσελίδες, είτε σε «ύποπτα» και ανεξέλεγκτα website, με σκοπό να αποσπάσουν πληροφορίες. Για αυτά τα προγράμματα θα αναφερθούμε εκτενέστερα παρακάτω. Οι επιθέσεις σε διακομιστές μεγάλων εταιριών και κυβερνητικών οργανώσεων, επικεντρώνει το μεγαλύτερο ενδιαφέρον των ανθρώπων που εκτελούν διαδικτυακές επιθέσεις, όπως επίσης και των ανθρώπων που ασχολούνται με την άμυνα αυτών των οργανισμών, όπου προσπαθούν τις περισσότερες φορές να ανιχνεύσουν και να αποκρούσουν τις επιθέσεις σε πραγματικό χρόνο, δηλαδή την ώρα ακριβώς που γίνεται η διαδικτυακή επίθεση. Αρκεί να αναλογιστεί κανείς, ότι όλοι οι σύγχρονοι στρατοί, συμπεριλαμβανομένων και τρομοκρατικών οργανώσεων, έχουν μονάδες που ασχολούνται αποκλειστικά με διαδικτυακές επιθέσεις. 6/131

11 ΚΕΦΑΛΑΙΟ Κατηγορίες επιτιθέμενων Hackers: Η έννοια του hacker έχει αλλάξει με το πέρασμα των χρόνων. Πιο παλιά λέγοντας hacker εννοούσαν ένα άτομο που χρησιμοποιεί τους υπολογιστές και τα δίκτυα για να προκαλέσει ζημιά. Σήμερα δίνεται περισσότερη έμφαση στη διάκριση μεταξύ cracker και hacker. Ο hacker είναι κάποιος με υψηλό επίπεδο τεχνογνωσίας που τον ενδιαφέρει πώς λειτουργούν τα δίκτυα. Προσπαθεί να βρίσκει αδυναμίες των συστημάτων και μπορεί να ενημερώνει τους υπεύθυνους διαχειριστές. Στη παρούσα εργασία θεωρούμε τον όρο hacker ως τον επιτιθέμενο. Vandals: Ένας hacker προσπαθεί να καλύψει τα ίχνη του, τουλάχιστον αρχικά, όταν κάνει μια επίθεση. Οι βάνδαλοι (vandals) έχουν στόχο να προκαλέσουν καταστροφή στα συστήματα που είναι ορατή από τον διαχειριστή και τους πελάτες (clients). Παραμορφώνουν ιστοσελίδες (συνήθως με μηνύματα που θέλουν να περάσουν), διαγράφουν αρχεία κ.α. Συνήθως οι vandals δεν επιτίθενται σε απλά συστήματα που χρησιμοποιεί η πλειοψηφία των χρηστών και έτσι το μεγαλύτερο μέρος δεν κινδυνεύει από άμεση και σχεδιασμένη από πριν επίθεση. Αντίθετα, άνθρωποι που ασχολούνται με την κατασκοπία έχουν συγκεκριμένο στόχο. Υποστηρίζονται από ανταγωνιστές ή ακόμα και ξένες κυβερνήσεις και θα προσπαθήσουν να κλέψουν πνευματική ιδιοκτησία, να διαλύσουν την επικοινωνία και να προκαλέσουν καταστροφή στο περιβάλλον (π.χ. μιας ανταγωνιστικής επιχείρησης). Αυτή η κατηγορία ουσιαστικά είναι η πιο επικίνδυνη, διότι αποτελείται από ανθρώπους ειδικά εκπαιδευμένους στα δίκτυα υπολογιστών και στις διαδικτυακές επιθέσεις. Insiders: Οι insiders είναι άνθρωποι που έχουν κερδίσει την εμπιστοσύνη, γνωρίζουν πολύ καλά τη δομή του συστήματος καθώς και τα μέτρα ασφάλειας που είναι εγκατεστημένα γιατί συνήθως εργάζονται εκεί. Για διάφορους λόγους (οικονομικό όφελος, δυσαρεστημένος υπάλληλος) μπορεί κάποιος να απειλήσει την ασφάλεια από μέσα, γι αυτό όση προσοχή δίνεται στους εξωτερικούς κινδύνους άλλη τόση πρέπει να δίνεται στους εσωτερικούς. 7/131

12 ΚΕΦΑΛΑΙΟ 1 Crackers: Οι cracker αποτελούν μία δευτερογενής κατηγορία ανθρώπων που απειλούν τα υπολογιστικά συστήματα. Συνήθως κατασκευάζουν προγραμματιστικά εργαλεία με στόχο να «σπάσουν» ακριβά εμπορικά προγράμματα, που απαιτούν registration και αγορά των κωδικών ενεργοποίησης τους και δε στοχεύον άμεσα σε διαδικτυακές επιθέσεις. Έτσι το μεγαλύτερο κομμάτι του εμπορικού λογισμικού των υπολογιστών, δύναται να χρησιμοποιηθεί παράνομα. Πλην του γεγονότος ότι οι εταιρείες παραγωγής λογισμικού έχουν απώλειες χρημάτων, ακριβό software διατίθεται στους χρήστες των υπολογιστών καταυτό τον τρόπο με αποτέλεσμα την ανάπτυξη τελικά των προγραμμάτων των υπολογιστών, και των υπολογιστών στο σύνολο τους. Οι εταιρείες τελικά αποκομίζουν οφέλη, αφού πολλοί χρήστες εξοικειώνονται με τα λογισμικά τους. 1.2 Τεχνικές επίθεσης που αφορούν τους διακομιστές web Hacking techniques (τεχνικές διείσδυσης) Οι επιτιθέμενοι ακολουθούν μία δεδομένη μεθοδολογία για να διεισδύσουν στα συστήματα. Για να αποτρέψει κάποιος διαχειριστής συστήματος έναν hacker πρέπει να γνωρίζει τις μεθόδους αυτές και να σκέφτεται σαν τον hacker. Τα βήματα της επίθεσης χωρίζονται σε 5 φάσεις εκ των οποίων οι 2 πρώτες είναι αναγνωριστικές και πριν την επίθεση και οι υπόλοιπες αφορούν την επίθεση. 1. Αναγνώριση του συστήματος. 2. Σάρωση του υπολογιστή προς επίθεση. 3. Απόκτηση πρόσβασης. 4. Διατήρηση πρόσβασης και επέκταση των προνομίων. 5. Απόκρυψη των ιχνών και εύρεση άλλων διόδων πρόσβασης. 8/131

13 ΚΕΦΑΛΑΙΟ 1 Σχηματικά η μέθοδος είναι η εξής: Σχήμα 1-1: Η διαδικασία διείσδυσης. Αναγνώριση του συστήματος (Reconnaissance). Η αναγνώριση του συστήματος θεωρείται το πρώτο βήμα από το στάδιο πριν την επίθεση και είναι μια συστηματική προσπάθεια στη συλλογή και καταγραφή πληροφοριών που αφορούν τον υπολογιστή-στόχο. Ο hacker ψάχνει να βρει το δυνατόν περισσότερες πληροφορίες για τον υπολογιστή θύμα. Δεν αγγίζει το δίκτυο σε αυτή τη φάση και χρησιμοποιεί εργαλεία ιχνηλάτισης (tracing) και NS lookups. Πληροφορίες για το σύστημα μπορεί να αποκομίσει κάποιος και από δευτερογενείς παράγοντες, όπως δηλαδή από κάποιον που εργάζεται κοντά στον διακομιστή web στόχο. Σάρωση και απαρίθμηση των θυρών (Port scanning and mapping). Η σάρωση και η απαρίθμηση των διαθέσιμων θυρών του υπολογιστή στόχου είναι η 2 η φάση πριν την επίθεση. Η σάρωση των θυρών είναι η μέθοδος κατά την οποία προσπαθεί ο επιτιθέμενος για πρώτη φορά να συνδεθεί στο σύστημα και να εξάγει κάποια απόκριση από αυτό. Κατά την απαρίθμηση των θυρών, γίνεται μια προσπάθεια εξαγωγής πληροφοριών σε βάθος όσον αφορά τις θύρες, όπως τις υπηρεσίες που τρέχουν. Σε αυτό το βήμα, οι hacker μεταβαίνουν από παθητική συγκέντρωση πληροφοριών σε ενεργή συγκέντρωση πληροφοριών, όπου αποστέλλουν πακέτα στο δίκτυο, παρατηρούν τις αποκρίσεις του και εξάγουν 9/131

14 ΚΕΦΑΛΑΙΟ 1 συμπεράσματα. Το πιο χρήσιμο εργαλείο για αυτό το βήμα είναι το Nmap που είναι σχεδιασμένο για αυτήν ακριβώς την εργασία. Οι τεχνικές σάρωσης είναι ποικιλότροπες και έχουν άμεση σχέση με την εμπειρία του hacker. Πολλοί οργανισμοί χρησιμοποιούν συστήματα ανίχνευσης εισβολής (Intrusion Detection Systems IDS) ώστε να αποτρέψουν ενέργειες σάρωσης θυρών και καταγραφής. Οι έμπειροι hacker προσπαθούν να αποκομίσουν το δυνατόν περισσότερες και χρήσιμες πληροφορίες για το σύστημα στο δυνατόν συντομότερο χρόνο, αποφεύγοντας παράλληλα τα εν λόγω συστήματα. Ανάμεσα στη πληθώρα των μεθόδων για σάρωση θυρών, οι πραγματικοί γνώστες του hacking καταλαβαίνουν άμεσα ποια τεχνική χρειάζεται για το εκάστοτε σύστημα, διαφοροποιώντας τους έτσι από τους απλούς χρήστες ή υποψήφιους hackers που απλά χρησιμοποιούν αυτά τα εργαλεία όπως είναι. Τυπικές τεχνικές είναι οι: TCP SYN scan, TCP connect scan, TCP Null, FIN, Xmas scans, UDP scan κ.α. Η σάρωση μπορεί να διαρκέσει από λίγα λεπτά έως ημέρα, με προσθήκη χρονοκαθυστερήσεων και άλλων τεχνικών stealth, ώστε να μη γίνεται αντιληπτή από οποιοδήποτε IDS. Απώτερος τελικά στόχος όλων αυτών είναι η ολική αναγνώριση του συστήματος, οι υπηρεσίες που τρέχει, οι πόρτες που είναι ανοιχτές καθώς και το λογισμικό και η έκδοση του που τρέχουν στον υπολογιστήστόχο. Μία αντιμετώπιση «κλειδί» σε πρώτη φάση για αυτές τις επιθέσεις, είναι η υιοθέτηση της «άρνησης σε όλα» πολιτικής, δηλαδή κλείσιμο όλων των θυρών και άνοιγμα μόνο αυτών που είναι απαραίτητες ώστε να τρέξουν οι υπηρεσίες που χρειάζεται η εταιρεία ή ο οργανισμός. Απόκτηση πρόσβασης (Gaining access). Η απόκτηση πρόσβασης είναι πλέον το πρώτο βήμα της επίθεσης και το πιο σημαντικό. Σε αυτή τη φάση ο hacker επωφελείται τα αποτελέσματα της σάρωσης που εκτέλεσε στο προηγούμενο βήμα, και έχοντας πλέον γνώση του συστήματος προς επίθεση, εκμεταλλεύεται τα αδύναμα σημεία του. Η έρευνα που έχει διεξάγει στα προηγούμενα βήματα εξυπηρετεί στο να εντοπίσει τις αδυναμίες στην ασφάλεια του λογισμικού που τρέχει το σύστημα-στόχος. Εξίσου σημαντικό ρόλο κατέχει και εδώ η εμπειρία του hacker στο να γνωρίζει τις αδυναμίες του εκάστοτε λογισμικού, λεγόμενες και ως «τρύπες». Ακόμα και ένα σημείο ασύρματης σύνδεσης (wireless 10/131

15 ΚΕΦΑΛΑΙΟ 1 hotspot) θα μπορούσε να γίνει σημείο εισόδου, και γενικά τα ασύρματα δίκτυα στα οποία η ασφάλεια τα τελευταία χρόνια άρχισε να εξελίσσεται. Ως άμεση αντιμετώπιση, και τακτικό μέτρο ασφάλειας είναι η συνεχής ενημέρωση του λογισμικού που τρέχει στους διακομιστές web και έχει ως στόχο στην εξάλειψη αυτών των ασθενών σημείων. Δεν πρέπει να αμελείται σε αυτή τη περίπτωση και η φυσική προστασία των διακομιστών, όπου έχουν αναφερθεί σε πολλές περιπτώσεις μη εξουσιοδοτημένο προσωπικό να έχει άμεση πρόσβαση σε διακομιστές εταιρείας και έτσι να μην έχει ανάγκη να διεξάγει χρονοβόρα έρευνα στον εντοπισμό αδυναμιών του συστήματος. Συνεπώς πρέπει οι διακομιστές web να φυλάσσονται σε κάποιο ειδικό δωμάτιο, όπου η πρόσβαση σε αυτό να ελέγχεται. Διατήρηση της πρόσβασης και κλιμάκωση των προνομίων (Maintaining access and escalation of privileges). Μετά την 1 η επίθεση και προσβολή του συστήματος, οι έμπειροι hacker προσπαθούν να διατηρήσουν εύκολη πρόσβαση στο σύστημα αυτό και να ενισχύσουν τα προνόμια τους. Οι απλοί vandals, αρκούνται με την είσοδο τους στο σύστημα και συνήθως προσπαθούν να κάνουν μικροαλλοιώσεις στο site που φιλοξενεί ο διακομιστής web, ενώ δεν αποσκοπούν να ξαναεισέλθουν και δεύτερη φορά. Οι επικίνδυνοι hacker όμως που αποσκοπούν σε ουσιαστική διείσδυση στους διακομιστές εταιριών και οργανισμών, φροντίζουν να ανακαλύψουν και άλλες πόρτες του συστήματος για να εισέρχονται όποτε αυτοί το επιθυμούν. Τυπικές μέθοδοι για αυτήν τη διαδικασία είναι οι προσπάθειες παραβίασης βάσεων δεδομένων με τα passwords και τις λίστες χρηστών και οι εγκαταστάσεις κάποιων προγραμμάτων που αποσκοπούν στη παρακολούθηση του δικτύου, όπως τα packet sniffers. Χρήσιμα εργαλεία για αυτό το στάδιο επίθεσης είναι τα Rootkits. Αυτά αποτελούν ένα σύνολο προγραμμάτων τα οποία χρησιμεύουν ώστε τα αρχεία ή τα προγράμματα που εγκαθιστά ο hacker να είναι κρυμμένα, βοηθώντας τον έτσι να διατηρήσει την πρόσβαση του και να μην κινήσει υποψίες στους διαχειριστές του συστήματος. Έχουν καταγραφεί περιπτώσεις παραβιάσεων συστημάτων, όπου μετά τη διείσδυση οι hacker διόρθωναν την αδυναμία του συστήματος από μόνοι τους, ώστε να εξασφαλίσουν ότι μόνο αυτοί θα εκμεταλλεύονταν το σύστημα και δε θα επιχειρούσαν άλλοι να εισέρχονταν κατά αυτό τον τρόπο. 11/131

16 ΚΕΦΑΛΑΙΟ 1 Κάλυψη των ιχνών (Clearing tracks). Ο καθαρισμός από τα ίχνη της επίθεσης είναι το τελευταίο αλλά εξίσου σημαντικό βήμα της επίθεσης, αφού η εξάλειψη των στοιχείων επίθεσης, δεν εγείρει υποψίες από τους διαχειριστές του συστήματος. Ο hacker σε αυτό το στάδιο φροντίζει να διαγράψει τη κίνηση που προκάλεσε στο δίκτυο του συστήματος, διαγράφοντας ίσως από αρχεία καταγραφής (log files) της προσπάθειες του να συνδεθεί, και χρησιμοποιεί τα προαναφερθέντα rootkits για να κρύψει τα προγράμματα και τα αρχεία που εγκατέστησε. Πολλές από τις επιθέσεις γίνονται πιο επικίνδυνες, όσο ο hacker εξασφαλίζει τη μακροβιότητα του στο δίκτυο. Τα υπολείμματα της επίθεσης ενδεχομένως να προδώσουν μέχρι και τη ταυτότητα του hacker, και αποτελούν ένα μέσο ανάλυσης από τους διαχειριστές συστημάτων στο να διερευνήσουν τυχόν παραβιάσεις και να ανακαλύψουν τον hacker Τεχνικές κατάρρευσης των διακομιστών. Η παραπάνω τεχνική αποσκοπούσε στην απόκτηση παράνομης πρόσβασης σε ένα σύστημα. Υπάρχει όμως και επιθέσεις οι οποίες αποσκοπούν την κατάρρευση του διακομιστή web ώστε να μη μπορεί να εξυπηρετήσει τα εισερχόμενα queries από το Internet Άρνηση υπηρεσίας DoS (Denial of Service). Μία από τις πλέον διάσημες και αποτελεσματικές μεθόδους που χρησιμοποιούν οι hackers για να θέτουν εκτός λειτουργίας δικτυωμένους υπολογιστές είναι οι επιθέσεις DoS (Denial of Service). Το όνομα της τεχνικής άρνησης εξυπηρέτησης οφείλεται στο γεγονός ότι ο υπολογιστής-θύμα για ένα χρονικό διάστημα δεν είναι σε θέση να εξυπηρετεί αιτήσεις μηχανημάτων-πελατών εξαιτίας του τεράστιου πλήθους εικονικών αιτήσεων που δέχεται από τον επιτιθέμενο. Υπάρχουν διάφορα είδη επιθέσεων DoS, πολλά από τα οποία εκμεταλλεύονται εγγενείς αδυναμίες του ΤCΡ/ΙΡ. Για τα περισσότερα από αυτά, είναι ήδη γνωστά τα αντίστοιχα μέτρα προστασίας. Συγκεκριμένα, οι διαχειριστές συστημάτων μπορούν να εγκαθιστούν 12/131

17 ΚΕΦΑΛΑΙΟ 1 patches σε λειτουργικά συστήματα και προγράμματα διακομιστές, ώστε να αποτρέπουν επιθέσεις DoS ή να ελαχιστοποιούν τις συνέπειες τους. Όμως, όπως συμβαίνει και με τους ιούς υπολογιστών, κατά καιρούς εφευρίσκονται νέα είδη ή παραλλαγές επιθέσεων DoS Distributed Denial of Service (Κατανεμημένη επίθεση DoS) Σε αυτό το είδος DoS ο επιτιθέμενος δεν είναι ένας υπολογιστής αλλά πολλοί με διάφορες διευθύνσεις από το Internet. Οι κατανεμημένες επιθέσεις denial of service είναι πιο πολύπλοκες στο στήσιμο αλλά και πιο αποτελεσματικές. Σε μια κατανεμημένη επίθεση DoS υπάρχουν οι εξής ρόλοι: ο επιτιθέμενος (attacker), το θύμα και ένας αριθμός από «αθώους» υπολογιστές έμμεσα εμπλεκόμενους που ονομάζονται Agents. Ο επιτιθέμενος εγκαθιστά στους Agents ένα πρόγραμμα που μπορεί να κάνει επίθεση DoS στο θύμα. Μπορεί να υπάρχουν ακόμα και χιλιάδες Agents που παίρνουν μέρος στην επίθεση χωρίς οι χρήστες να το γνωρίζουν. Ένας Agent επιλέγεται ως χειριστής που αναλαμβάνει το συντονισμό της επίθεσης προς όφελος του attacker. Όταν ο τελευταίος θέλει να αρχίσει την επίθεση, επικοινωνεί με τον χειριστή και του δίνει τις απαραίτητες πληροφορίες. Ο χειριστής μεταβιβάζει τις πληροφορίες στους Agents και όλοι οι Agents συντονισμένα στέλνουν αιτήσεις και κατακλύζουν τον στόχο. Με αυτόν τον τρόπο ο attacker είναι πολύ δύσκολο να εντοπιστεί γιατί η επίθεση φαίνεται να προέρχεται από παντού Teardrop attack Ο επιτιθέμενος εκμεταλλεύεται αδυναμίες στην ανασυγκρότηση των πακέτων ΙΡ. Όταν ένα τέτοιο πακέτο αποστέλλεται στο Διαδίκτυο, ενδέχεται να ταξιδεύει τεμαχισμένο σε επιμέρους, μικρότερα τμήματα. Κάθε τμήμα περιλαμβάνει στην κεφαλή του ένα πεδίο (field), όπου εκεί περιγράφεται η θέση του στο αρχικό, "μεγάλο" πακέτο ΙΡ. Ο θύτης χρησιμοποιεί ένα πρόγραμμα, ονόματι "Teardrop", το οποίο τεμαχίζει πακέτα ΙΡ σε τμήματα με λανθασμένες πληροφορίες στο πεδίο αυτό. Όταν ο υπολογιστής-στόχος προσπαθήσει να συναρμολογήσει τα "παραπλανητικά" αυτά τμήματα, θα κολλήσει ή θα επανεκκινήσει, εκτός και αν ο διαχειριστής συστήματος έχει φροντίσει να αναβαθμίσει το λειτουργικό με το κατάλληλο patch που διορθώνει το πρόβλημα. 13/131

18 ΚΕΦΑΛΑΙΟ Ping of Death Αίτηση ΡΙΝG ή, αλλιώς, αίτηση ΙCΜΡ (Internet Control Message Protocol) προς τον υπολογιστή-στόχο, με άκυρο μέγεθος πακέτου στην κεφαλή (header) του τελευταίου (πάνω από 64Κb). Τέτοια "παράτυπα" πακέτα μπορούν να καταρρεύσουν υπολογιστές που τρέχουν λειτουργικά συστήματα ανίκανα να τα διαχειριστούν. Ομοίως και αυτό αντιμετωπίζεται εύκολα με την εγκατάσταση αντίστοιχης αναβάθμισης SYN Flooding Είναι μια επίθεση denial of service που εκμεταλλεύεται τον τρόπο που ένας υπολογιστής χειρίζεται την ακολουθία χειραψίας τριών βημάτων (handshaking sequence) που ξεκινά όλες τις συνόδους TCP. Μία σύνοδος TCP ξεκινά με έναν host να στέλνει ένα πακέτο SYN στον άλλο. Ο δεύτερος απαντά στον πρώτο με ένα SYN- ACK και ο πρώτος ολοκληρώνει με ένα ACK. Κάθε φορά που ένας host δέχεται ένα πακέτο SYN πρέπει να δεσμεύσει κάποιους πόρους (μνήμη) για την παρακολούθηση της νέας σύνδεσης. Μόνο όταν κλείσει η σύνοδος και εγκατασταθεί η σύνδεση αυτοί οι πόροι ελευθερώνονται. Σε μια επίθεση SYN Flood ο επιτιθέμενος υπολογιστής στέλνει χιλιάδες αιτήσεις SYN και ο υπολογιστής στόχος απαντά με ACK και περιμένει ACK από τον πρώτο. Ο επιτιθέμενος όμως δε στέλνει ποτέ ACK αλλά συνεχίζει την αποστολή SYN. Έτσι δεν αποδεσμεύονται ο πόροι και κάποια στιγμή τελειώνουν, με αποτέλεσμα την υπερφόρτωση και κατάρρευση Smurf Attack Επίθεση που επιτυγχάνεται αποστέλλοντας αιτήσεις ΙCΜΡ σε μια διεύθυνση εκπομπής (broadcast address) στο υπό επίθεση δίκτυο ή σε κάποιο άλλο ενδιάμεσο. Η διεύθυνση επιστροφής (return address) των πακέτων ΙCΜΡ "πλαστογραφείται", ώστε να είναι ίδια με αυτήν του υπολογιστή-στόχου. Από τη στιγμή που μια διεύθυνση εκπομπής αντιστοιχεί σε όλα τα μηχανήματα ενός υποδικτύου, λειτουργεί ενισχυτικά, δημιουργώντας με μία μόνο αίτηση ΙCΜΡ δεκάδες ή και εκατοντάδες απαντήσεις, προκαλώντας με τον τρόπο αυτό πληροφοριακό "μποτιλιάρισμα". Ας σημειωθεί ότι 14/131

19 ΚΕΦΑΛΑΙΟ 1 μια διεύθυνση εκπομπής αντιστοιχεί το πολύ σε 255 μηχανήματα (ανήκουν όλα στο ίδιο υποδίκτυο), επομένως κατά τη διάρκεια μιας επίθεσης Smurf, από κάθε αίτηση ΡΙΝG μπορούν να παραχθούν μέχρι και 255 απαντήσεις. Καταλαβαίνουμε, λοιπόν, τον υπέρογκο αριθμό των άχρηστων πακέτων που δημιουργούνται, όταν ο επιτιθέμενος στέλνει ένα μεγάλο αριθμό πακέτων ΙCΜΡ. 1.3 Απειλές για τον client. Οι υπολογιστές που είναι συνδεδεμένοι στο Διαδίκτυο μπορούν να έχουν δύο ρόλους. Το ρόλο του πελάτη (client) και το ρόλο του διακομιστή (server). Ο ίδιος υπολογιστής μπορεί για κάποια υπηρεσία να είναι διακομιστής, δηλαδή να εξυπηρετεί πελάτες και ταυτόχρονα να χρησιμοποιεί κάποια άλλη υπηρεσία ως πελάτης. Το ποσοστό των υπολογιστών που είναι αποκλειστικά πελάτες (clients) στο διαδίκτυο είναι πολύ μεγάλο. Στη συνέχεια θα εξεταστούν τα ζητήματα ασφάλειας που αφορούν έναν τέτοιο χρήστη, δηλαδή από τι κινδυνεύει και πώς μπορεί να θωρακιστεί κατάλληλα. Στο Διαδίκτυο κυκλοφορούν πολλά προγράμματα που έχουν γραφτεί με στόχο να προκαλέσουν καταστροφικά αποτελέσματα για διάφορους λόγους σε ανυποψίαστους χρήστες (Malware). Υπάρχουν πολλές κατηγορίες τέτοιων προγραμμάτων που αναλύονται στη συνέχεια ΙΟΙ (viruses) Ο ιός είναι ένα πρόγραμμα που γράφεται σε μια απλή γλώσσα προγραμματισμού υψηλού επιπέδου όπως π.χ. C. Έχει ως στόχο τη μόλυνση υπολογιστών όπως και ένας βιολογικός ιός (για οργανισμούς). Υπάρχουν πολλά είδη ιών, ανάλογα με τη ζημιά που προκαλούν και ανάλογα με τον τρόπο διάδοσής τους. Οι ιοί δεν είναι σημερινό φαινόμενο. Από τα τέλη τις δεκαετίας του 80 εμφανίστηκαν οι πρώτοι ιοί που διαδίδονταν μέσω του boot sector των δισκετών. Με την ευρεία διάδοση του Internet έγινε ευκολότερη η ταχεία εξάπλωση των ιών καθώς και η εμφάνιση περισσότερων 15/131

20 ΚΕΦΑΛΑΙΟ 1 και πιο επικίνδυνων. Σχεδόν καθημερινά εμφανίζονται νέοι ιοί ή παραλλαγές παλαιότερων με νέα χαρακτηριστικά, με όλο και πιο προηγμένες δυνατότητες. Όσο για τη δομή ενός ιού, αυτός αποτελείται από δύο μέρη: τον κώδικα που είναι υπεύθυνος για την αναπαραγωγή και την εξάπλωση σε νέους υπολογιστές και τον κώδικα που εκτελείται για τη δράση του ιού. Ο κώδικας για την αναπαραγωγή υπάρχει σε όλους τους ιούς υποχρεωτικά γιατί αυτό είναι και το κύριο χαρακτηριστικό των ιών. Αντίθετα, το τμήμα για τις ενέργειες μπορεί να μην υπάρχει αν ο ιός δεν κάνει τίποτα. Ο ιός δεν είναι ένα αυτόνομο πρόγραμμα που μπορεί να τρέξει μόνο του. Χρειάζεται ένα αντικείμενο για τη μεταφορά του όπως π.χ. ένα εκτελέσιμο αρχείο. Ο κώδικας που είναι υπεύθυνος για την αναπαραγωγή πρέπει να εντοπίζει το κατάλληλο αντικείμενο και στη συνέχεια να το μολύνει. Ο εντοπισμός αυτός μπορεί να γίνει με διάφορους τρόπους. Μπορεί να γίνεται έλεγχος στον σκληρό δίσκο για το κατάλληλο αρχείο, αλλά αυτός ο τρόπος είναι χρονοβόρος και η κατανάλωση των πόρων του συστήματος μπορεί να γίνει αντιληπτή από το χρήστη. Ένας πιο αθόρυβος τρόπος είναι η φόρτωση του ιού στην κύρια μνήμη του υπολογιστή και η παρακολούθησή της για το αν υπάρχει το κατάλληλο αρχείο. Έτσι αν χρησιμοποιηθεί το αρχείο μολύνεται. Ο τρόπος μόλυνσης του αρχείου επίσης ποικίλει. Για παράδειγμα ένας ιός που μολύνει εκτελέσιμο αρχείο μπορεί να αντιγράφεται στην αρχή του αρχείου και ένας άλλος στο τέλος του αρχείου. Και στις δύο περιπτώσεις το πρόγραμμα εκτελείται κανονικά και ο χρήστης δεν αντιλαμβάνεται τίποτα. Επίσης μπορεί να γίνει αντικατάσταση μέρους του κώδικα με τον κώδικα του ιού και έτσι το μέγεθος του μολυσμένου εκτελέσιμου να είναι το ίδιο με το αρχικό. Υπάρχουν πολλά είδη ιών όπως: Οι ιοί που προσβάλλουν τον τομέα εκκίνησης (boot sector) του σκληρού δίσκου ή δισκέτας. (διαδεδομένοι παλιότερα). Οι ιοί που αντιγράφονται σε εκτελέσιμα αρχεία. Οι Macro viruses που εκμεταλλεύονται τις γλώσσες μακροεντολών που χρησιμοποιούνται στο Word, Excel. Οι πολυμορφικοί ιοί που ανήκουν σε πολλές κατηγορίες και έχουν αρκετά προηγμένες ιδιότητες. 16/131