Le armi di un hacker
Stefano Suin
<[email protected]>
Centro di Servizi per la rete di Ateneo
Università di Pisa
Stefano Suin - Le armi di un hacker-1
AIPA, 8/11/1999
Argomenti
 Introduzione:
Vulnerabilità delle reti IP
 Metodologie classiche di attacco
 Gli strumenti in dettaglio
I fase: Recupero di informazioni sulla rete obiettivo dell’attacco
 II fase: information gathering e identificazione dei componenti
“trusted” della rete obiettivo
 III Fase: attacco!
 IV Fase: cancellazione delle tracce
 V Fase: espansione dell’attacco

 Teoria
degli attacchi alle reti
Denial of service
 Spoofing
 Sniffing
 highjaking

 Documentazione
/ Statistiche
Stefano Suin - Le armi di un hacker-2
AIPA, 8/11/1999
Vulnerabilità delle reti IP
Stefano Suin - Le armi di un hacker-3
AIPA, 8/11/1999
Obiettivi
Reti
corporative: funzionalità
efficienza, ma non sicurezza
Concentrazione degli attacchi
ed
Istituti
finanziari e banche - frodi
 Service Provider - customer database e intercettazioni
Pubbliche amministrazioni - sfida, frodi
Agenzie governative e della difesa - sfida,
spionaggio
Aziende
farmaceutiche - spionaggio
Aziende multinazionali - spionaggio

(fonte Network. Security Solutions ltd, http://www.ns2.co.uk)
Stefano Suin - Le armi di un hacker-4
AIPA, 8/11/1999
Vulnerabilità
Le
caratteristiche intrinseche di
Internet che rendono possibili la
grande maggioranza degli attacchi
all’esterno: il modello client-server e
la tecnologia di trasmissione del tipo
“commutazione di pacchetto”.
Stefano Suin - Le armi di un hacker-5
AIPA, 8/11/1999
Vulnerabilità delle reti: il
modello client-server
Server
: qualsiasi programma che offre un
servizio utilizzabile tramite una rete. Un
server accetta richieste che gli arrivano
via rete, fornisce il servizio e restituisce il
risultato al richiedente. Ogni server è
associato ad una porta diversa.
Client
: e’ un programma che invia una
richiesta ad un server, esplicitando
l’indirizzo destinatario e la porta associata
al servizio, ed
attende da questi una
risposta.
Stefano Suin - Le armi di un hacker-6
AIPA, 8/11/1999
Il modello client-server
Client
Request
Server
(IP dest, server port)
Elaboraz
ione della
richiesta
Stefano Suin - Le armi di un hacker-7
AIPA, 8/11/1999
Il modello client-server - 2
Un
server deve essere in grado di processare più
richieste concorrenti (es. più file transfer)
MASTER
...
Generalmente la struttura di un server e’
quella in figura.
Il master e’ incaricato di accettare le richieste
svolgendo anche compiti di controllo sugli accessi.
Accettata una richiesta si “ sdoppia “ ( fork di Unix )
generando uno slave che si occuperà di processare
la richiesta.
Il master nel frattempo si e’ rimesso in attesa.
Clients
Stefano Suin - Le armi di un hacker-8
AIPA, 8/11/1999
Modello generale
Client 1
SMTP/ 25
Client 2
.
..
HTTP/ 80
Client n
FTP/ 21
POP3/ 110
Server host
Server daemon
Stefano Suin - Le armi di un hacker-9
AIPA, 8/11/1999
Connection estabilishment
protocol
Connessione TCP fra client e server
three-way handshake
Invio SYN
ISN = x
Ric. SYN+ACK
Invio ACK y+1
Ric. segmento SYN
Invio SYN ISN=y
ACK x+1
Ric. segmento ACK
Stefano Suin - Le armi di un hacker-10
AIPA, 8/11/1999
Sicurezza dei server
I
server ricoprono un ruolo primario
nella sicurezza delle reti. Una volta
ottenuto un accesso non autorizzato
a un server, il resto della rete è
facilmente attaccabile.
Stefano Suin - Le armi di un hacker-11
AIPA, 8/11/1999
Vulnerabilità delle reti: la
trasmissione a commutazione
di pacchetto
A
C
D
C
C
C
R1
C
C
C
R2
B
C
A
B
D
R3
R4
D D D
D
L'informazione è raggruppata in pacchetti.
Stefano Suin - Le armi di un hacker-12
AIPA, 8/11/1999
Commutazione di Circuito
A
C
B
D
I commutatori creano dei circuiti punto-punto
Stefano Suin - Le armi di un hacker-13
AIPA, 8/11/1999
Commutazione di pacchetto
Trasmissioni
contemporanee
Non c’è impegno di linea
Il cammino viene ricalcolato ogni volta
dai computer reinstradatori [Router] (e
quindi può seguire strade diverse
I ritardi sono un fattore normale,
intrinseco in questa tecnologia
di
trasporto.
Stefano Suin - Le armi di un hacker-14
AIPA, 8/11/1999
Metodologie classiche di
attacco alle reti informatiche
Stefano Suin - Le armi di un hacker-15
AIPA, 8/11/1999
Gli hacker
Maschio,
età fra 16 e 25 anni, molti
interessati a forzare le protezioni per
aumentare il proprio skill o per poter
disporre di ulteriori risorse di rete.
Hanno molto tempo a disposizione e
possono rendere i loro attacchi
diluiti nel tempo e, soprattutto,
persistenti,
concentrando
gli
interventi nelle ore notturne o del
fine settimana.

(fonte: Front Line Infornmation Security Team - FIST, dec. 98)
Stefano Suin - Le armi di un hacker-16
AIPA, 8/11/1999
Le armi
Sniffers
 Password Crackers
 Scanners
 Worms
 Rootkit
 Hijacking tools
 DNS spoofing tools
 Exploit Sendmail
 Guess default pw-s
 Social engineering

Spoofers
 Killer packets
 Backdoors
 Trojan Horse
 Flooding tool
 Back Orifice
 NFS config errors
 portmapper/RPC
 IP spoof r* cmds

[Robert T. Morris
At&T Laboratories]
Stefano Suin - Le armi di un hacker-17
AIPA, 8/11/1999
Servizi di una rete
Servizi
generalmente attivi in una
network classica
Web
aziendale (in casa o in hosting dal proprio
provider)
E.Mail per le comunicazioni globali
Rete locale per l’accesso ad Internet
Accesso remoto
DNS
Stefano Suin - Le armi di un hacker-18
AIPA, 8/11/1999
Attacchi dall’esterno
L’attacco
dall’esterno rappresenta la
parte difficile, una volta entrati, il
resto della rete è facilmente
prendibile
Stefano Suin - Le armi di un hacker-19
AIPA, 8/11/1999
Tipologia degli attacchi
Bisogna
distinguere i problemi di insicurezza
delle reti in due grandi classi:
1) Debolezze strutturali del protocollo
TCP/IP
2)
Mancanza
di
correttezza
delle
implementazioni dei programmi per la
gestione dei servizi
Nella
seconda classe si concentrano
la maggioranza degli attacchi
Stefano Suin - Le armi di un hacker-20
AIPA, 8/11/1999
Profilo delle strategie tipiche
Azioni
di scan della rete
Per
individuare reti o porzioni di reti che
possono essere vulnerabili agli attacchi
Per individuare i singoli host
e le loro
caratteristiche: sistema operativo, server
running daemon, porte TCP aperte
Azione
intrusiva
acquisizione
dei diritti di super-utente (root)
Installazione di una backdoor
Patch al sistema operativo per nascondere le
successive intrusioni
Stefano Suin - Le armi di un hacker-21
AIPA, 8/11/1999
Profilo delle strategie tipiche -2
Azione
protettiva
patch
al sistema operativo per rendere
inaccessibile il sistema ad altri hacker. (gli
hacker sono i maggiori esperti di sicurezza!)
installazione di backdoor
Azione
intercettiva
base all’obiettivo:
Sniffer
password cracker
Back Orifice
………...
in
AIPA, 8/11/1999
Stefano Suin - Le armi di un hacker-22
Metodologie di attacco: gli
strumenti in dettaglio
Stefano Suin - Le armi di un hacker-23
AIPA, 8/11/1999
I fase: Recupero di informazioni
sulla rete obiettivo dell’attacco
Visibilità
esterna della rete.
Interrogazioni
al nameserver
Web
page
Ftp repository
Interrogazioni al sistema di posta
Interrogazioni al finger
L’hacker ottiene
una lista degli host e un
piano delle relazioni esistenti fra questi
Stefano Suin - Le armi di un hacker-24
AIPA, 8/11/1999
Recupero informazioni sugli
host
Sistema
Operativo e release corrente
del software installato
connessioni
alle porte
programmi reperibili su internet
Es.: queso
rpcinfo,snmp,telnet,SendMail
version,
download binaries from the public-ftp
(analyzing its format)
http://www.apostols.org/projectz/queso/
Stefano Suin - Le armi di un hacker-25
AIPA, 8/11/1999
Macchine definite “trusted”
macchina si definisce “trusted”
quando,
essendo
considerata
affidabile, gode diritti particolari di
accesso, non autenticato, su altre
macchine della rete
Generalmente si assegnano questi
diritti a server o a macchine utilizzate
per l’amministrazione allo scopo di
agevolare
le
operazioni
di
manutenzione e di accesso ai servizi
Una
Stefano Suin - Le armi di un hacker-26
AIPA, 8/11/1999
II fase: information gathering e
identificazione dei componenti
“trusted” della rete obiettivo
Macchine
di amministrazione, server, router
Indentificazione
delle vulnerabilità più
semplici
spazio
disco condivisibile (nsfd,netbios) lasciato
senza controllo degli accessi
finger per identificare gli utenti che si collegano
più spesso
Form Web che permettono la modifica di file di
sistema critici per l’accesso non autenticato alle
macchine (hosts.allow / .rhosts)
Stefano Suin - Le armi di un hacker-27
AIPA, 8/11/1999
Identificazione delle
vulnerabilità più complesse
Uso
di strumenti per verificare i
servizi attivi
Portscanning
Azione
di scansione remota delle porte note
per rilevare l’elenco dei servizi attivi su una
certa macchina
si
manda
un
pacchetto
particolare
“costringendo” la macchina target a una
determinata risposta, da cui si possono trarre
le informazioni del caso
Stefano Suin - Le armi di un hacker-28
AIPA, 8/11/1999
Identificazione delle
vulnerabilità più complesse -2
Uso
di suite reperibili sulla rete per
l’identificazione automatica della
vulnerabilità e il reperimento del tool
di attacco
Ricerca sui database di Internet
Keywords
di ricerca piattaforma, servizio
Stefano Suin - Le armi di un hacker-29
AIPA, 8/11/1999
I tool più usati per la rilevazione
automatica delle vulnerabilità
ADMhack
 la
guida completa per tutti i tipi di hacker
 ftp://ADM.isp.at/ADM/
Mscan
 Nessuna
home page: utilizzare un potente mezzo per il
rintracciamento del software
 http://ftpsearch.lycos.com/?form=medium
Nmap
 l’arte
del portscanning
 http://www.dhp.com/~fyodor/nmap
Nessus http://www.nessus.org
Satan http://www.fish.com/~zen/satan/satan.html
Stefano Suin - Le armi di un hacker-30
AIPA, 8/11/1999
Azione degli strumenti di scan
 TCP
portscan di un host
 Lista degli indirizzi IP e macchine associate
 Dump dei servizi RCP
 Lista delle directory esportate via nfs, samba o
netbios
 Richieste finger
 Scan delle vulnerabilità CGI
 Server X aperti
 Identificazione delle vulnerabilità conosciute sui
processi server, tipicamente Posta elettronica,
Nameserver, IMAP, POP3, RPC, Http, Sistemi
Operativi, Ftp, IRC
Stefano Suin - Le armi di un hacker-31
AIPA, 8/11/1999
Database per il reperimento
delle vulnerabilità
Grande
abbondanza
di
documentazione
Gli stessi siti orientati ad aumentare
la sicurezza dei sistemi servono da
repository di software per consentire
il crack di sistemi telematici
 Http://www.rootshell.com
Http://www.iss.net/xforce
Stefano Suin - Le armi di un hacker-32
AIPA, 8/11/1999
rootshell
Stefano Suin - Le armi di un hacker-33
AIPA, 8/11/1999
ISS
Stefano Suin - Le armi di un hacker-34
AIPA, 8/11/1999
Un caso particolare: SNMP
Attacco
efficace perché rivolto a router e altre
apparecchiature di connettività, sulle quali
normalmente non gira alcun programma di
sicurezza
Snmp attivato di default, community “public”
per lettura, “private” lettura/scrittura
Snmp scan per individuare router e macchina
attaccabili
Snmp consente di modificare topologia,
protezioni, indirizzamento.
Stefano Suin - Le armi di un hacker-35
AIPA, 8/11/1999
III Fase: attacco!
le ore di chiusura (l’attacco è
normalmente rilevabile nel momento in
cui è in corso) preferiti i trusted external
host (mailserver e nameserver), che
possono essere utilizzati da “ponte”,
avendo accessibilità a brevi segmenti di
rete interna
Viene sfruttata la porta di accesso
rilevata, ed utilizzata per l’installazione di
“backdoor” ovvero di porte nascoste per
consentire un accesso non autorizzato e
Stefano Suin - Le armi di un hacker-36
non
rilevabile
.
AIPA, 8/11/1999
Durante
Attacco!
Vengono
modificati i comandi stessi del
sistema operativo, soprattutto quelli che
servono per l’accesso al sistema e per il
controllo di processi ed utenti
stessa
data, permessi e in molti casi anche lo
stesso filesize
uso di rcp evitando l’ftp, normalmente tutto
monitorato con log
Stefano Suin - Le armi di un hacker-37
AIPA, 8/11/1999
IV Fase: cancellazione delle
tracce
dei log, cioè della “scatola
nera di sistema” dove viene
registrata tutta l’attività. (buona
norma: invio ad una stampante...)
Installazione di RootKit, ovvero di
software preconfezionati per la
modifica di un sistema operativo.
Operazione rapida, di solito non
rilevabile.
pulizia
Stefano Suin - Le armi di un hacker-38
AIPA, 8/11/1999
V Fase: espansione
dell’attacco
Dipende dal reale obiettivo:
installazione backdoor su altri sistemi
password cracker
back orifice per il controllo remoto dei
sistemi
distruzione e cancellazione di files
network flooding e Denial of Service
reboot e altri “disabling of network
ability”
Stefano Suin - Le armi di un hacker-39
AIPA, 8/11/1999
Sniffer
Software
che consentono sofisticate
intercettazioni di tutto il traffico dei
dati sulla rete.
Producono un enorme mole di dati,
ma le ultime versioni sono in grado
di isolare le informazioni sensibili e i
dati di interesse da tutto il resto.
Stefano Suin - Le armi di un hacker-40
AIPA, 8/11/1999
Uso degli sniffer
 Output
su file, che generalmente non sono rilevabili
perché i vari “find,locate” sono stati backdoorati
Rilevabili
invece i programmi in esecuzione
perché le interfaccie di rete vengono settate in
promiscous mode
http://www.cert.org/tools/cpm
tcpdump
 ftp://ftp.ee.lbl.gov/tcpdump.tar.Z
ethereal
 http://www.zing.org/
ntop
 http://www-serra.unipi.it/~ntop
Stefano Suin - Le armi di un hacker-41
AIPA, 8/11/1999
Back Orifice
Installazione
di un server, trasmesso
con qualsiasi applicazione “infetta”
(mail, notepad, documento word…)
L’applicazione si attiva ad ogni
accensione,
mascherandosi,
secondo le volontà dell’hacker.
L’applicazione
non appare nella
Windows Task list
Controllo completo della stazione
attaccata con flusso di comandi
criptato.
Stefano Suin - Le armi di un hacker-42
AIPA, 8/11/1999
Bo2K
Stefano Suin - Le armi di un hacker-43
AIPA, 8/11/1999
Bo2k
Stefano Suin - Le armi di un hacker-44
AIPA, 8/11/1999
NetBus
Tutto
quello che fa Bo2K più...
Supporto per la connessione remota
Controllo periferiche
videocamere
/ Microfoni / tastiere
…..
Stefano Suin - Le armi di un hacker-45
AIPA, 8/11/1999
Rilevamento
Programmi
rilevabili dalla rete:
Molti
tool che si spacciano per rilevatori di BO,
installano invece il virus
http://www.symantec.com
da una finestra DOS: netstat -an se il risultato è
UDP 0.0.0.0:31337 *.* un server BO è in attesa
di comandi dall’hacker
Prevenzione con anti-virus
http://www.mcafee.com
Legalità
Stefano Suin - Le armi di un hacker-46
AIPA, 8/11/1999
Teoria degli attacchi alle reti
Stefano Suin - Le armi di un hacker-47
AIPA, 8/11/1999
Tipologie
Interruzione
(DoS)
Fabbricazione
(spoofing)
Modifica
highjacking
Intercettazione
(sniffing)
Stefano Suin - Le armi di un hacker-48
AIPA, 8/11/1999
DoS (Denial of Service)
Ovvero
le azioni finalizzate ad
impedire il normale svolgimento di
un servizio nella macchina che viene
attaccata, Saturando le capacità di
comunicazione
che
una
organizzazione ha a disposizione
Quasi tutti i tipi di DoS non sfruttano
dei bugs software ma piuttosto una
caratteristica
intrinseca
del
protocollo
Stefano Suin - Le armi di un hacker-49
AIPA,
SYN
flooding
8/11/1999
SYN flood DoS attack!
TCP port fully: ignoring further
request to that service
2.SYN/ACK
H2
H1
Unreachable Host
3.SYN(H2)
1.SYN(H2)
SYN(H2)
SYN(H2)
SYN(H2)
SYN(H2)
Attacker router
X
SYN(H2)
SYN(H2)
Stefano Suin - Le armi di un hacker-50
AIPA, 8/11/1999
IP spoofing
ottenere l’accesso, l’intrusore crea dei
pacchetti con il source address IP “spoofed”
cioè alterato, mascherandosi per un altro.
Questo fa sì che applicazioni che usano
l’autenticazione
basata
sul
controllo
dell’indirizzo IP concedano l’accesso a
persone e host non autorizzati. E’ possibile
bypassare anche firewall i cui filtri non sono
stati disegnati per fermare pacchetti entranti
con un source address locale. E’ possibile
compiere degli attacchi anche senza ricevere
i pacchetti di risposta da parte del target
host
Per
Stefano Suin - Le armi di un hacker-51
AIPA, 8/11/1999
TCP number prediction
2
1
3
4
dati
Stefano Suin - Le armi di un hacker-52
AIPA, 8/11/1999
DNS spoofing
Misdirected Destination
Name
Server
Hacker
Resolver query
Corrupted UDP packet
Telnet
Resolver
Stefano Suin - Le armi di un hacker-53
AIPA, 8/11/1999
Ip-fragmentation
1+2/25
A
2/25
1/25
1/80
Firewall
Pacchetti frammentati
Rete privata
Firewall che lascia passare solo il servizio http
Stefano Suin - Le armi di un hacker-54
AIPA, 8/11/1999
Altri tipi di spoof
Web
spoofing
altera
il percorso reale di collegamento a un
sito
Mail
spoofing
spedizione
di mail con l’indirizzo alterato
spam
anonymous
IRC
remailer (penet.fi)
spoofing
dialogo
in chat line con false identità o
alterando le frasi che due utenti si stanno
scambiando
Stefano Suin - Le armi di un hacker-55
AIPA, 8/11/1999
Sniffing
intercettazione
ed ascolto ascolto del
traffico, inserendo un apposito
programma sulla rete locale
intercettazione e modificazione del
flusso, costringendolo a “transitare”
su una macchine, in cui è installato
uno sniffer
Stefano Suin - Le armi di un hacker-56
AIPA, 8/11/1999
Ip source routing
I
pacchetti nel protocollo IP sono spediti sulla
rete attraverso diversi router allo scopo di
raggiungere la destinazione finale. La strada
percorsa da ogni pacchetto è determinata
dinamicamente da ciascun router lungo il
cammino. Abilitare l’opzione di source routing
su un pacchetto IP permette al pacchetto
stesso di “prendere decisioni” sul cammino
da
intraprendere
per
raggiungere
la
destinazione, indipendentemente dalla tabella
di routing che i router possiedono
Stefano Suin - Le armi di un hacker-57
AIPA, 8/11/1999
IP Source Routing
A
C
C
R1
C
R2
C
C
C
R4
C
Stefano Suin - Le armi di un hacker-58
AIPA, 8/11/1999
ICMP redirect
H2
Router
B
Router
C
H1
Attacker router
X
Stefano Suin - Le armi di un hacker-59
AIPA, 8/11/1999
HighJacking
il
controllo di una connessione
viene preso da un attacker dopo
che la fase di autenticazione è
già
stata
passata.
Tipiche
modalità l’uso dell’ICMP o del
RIP.
inserimento di stream di dati non
presenti all’origine
i backorifice
Stefano Suin - Le armi di un hacker-60
AIPA, 8/11/1999
Documentazione
Stefano Suin - Le armi di un hacker-61
AIPA, 8/11/1999
Dove documentarsi
Documentazione
 http://antionline.com/
 http://www.rootshell.com
 http://www.iss.net/xforce
 http://seclab.cs.ucdavis.edu/papers.html
 “Practical
Unix & Internet Security”
 O’Reilly & Associates, Inc. ISBN 1-56592-148-8
Tool
di sicurezza
ftp://coast.cs.purdue.edu/pub/tools/unix
http://www.alw.nih.gov/Security/prog-full.html
Stefano Suin - Le armi di un hacker-62
AIPA, 8/11/1999
Brevi statistiche
Stefano Suin - Le armi di un hacker-63
AIPA, 8/11/1999
Tipologia degli attacchi
80
Computer
Virus
Errori
70
60
50
Azioni
dall’interno
Azioni
dall’esterno
Spionaggio
industriale
40
30
20
10
0
Ernst & Young 1996 Information Security Survey
Stefano Suin - Le armi di un hacker-64
AIPA, 8/11/1999
Dislocazione geografica degli
attacchi dannosi
19%
13%
24%
20%
Asia
Africa
North America
South America
Europe
24%
Ernst & Young 1999 Information Security Survey
Stefano Suin - Le armi di un hacker-65
AIPA, 8/11/1999
Sicurezze
Passord Authentication
70
Smart Card Authentication
60
Firewall
50
Data Enrcyption
Digital Signature
40
Digital Certification
30
Secure Email (SMIME)
20
Secure Socket Layer
(SSL)
Secure Elettronica
Transaction
Secure Messaging
10
0
Other
Ernst & Young 1999 Information Security Survey
Stefano Suin - Le armi di un hacker-66
AIPA, 8/11/1999