Le armi di un hacker

Stefano Suin - Le armi di un hacker-1

Stefano Suin - Le armi di un hacker-1AIPA, 8/11/1999AIPA, 8/11/1999

Le armi di un hackerLe armi di un hackerLe armi di un hackerLe armi di un hacker

Stefano Suin Stefano Suin <<[email protected]@unipi.it>>

Centro di Servizi per la rete di Centro di Servizi per la rete di AteneoAteneo

Università di PisaUniversità di Pisa



ArgomentiArgomentiArgomentiArgomenti Introduzione: Vulnerabilità delle reti IPIntroduzione: Vulnerabilità delle reti IP Metodologie classiche di attacco Metodologie classiche di attacco Gli strumenti in dettaglioGli strumenti in dettaglio

I fase: Recupero di informazioni sulla rete obiettivo I fase: Recupero di informazioni sulla rete obiettivo dell’attaccodell’attacco

II fase: information gathering e identificazione dei II fase: information gathering e identificazione dei componenti “trusted” della rete obiettivocomponenti “trusted” della rete obiettivo

III Fase: attacco!III Fase: attacco! IV Fase: cancellazione delle tracceIV Fase: cancellazione delle tracce V Fase: espansione dell’attaccoV Fase: espansione dell’attacco

Teoria degli attacchi alle retiTeoria degli attacchi alle reti Denial of service Denial of service SpoofingSpoofing Sniffing Sniffing highjakinghighjaking

Documentazione / StatisticheDocumentazione / Statistiche



Vulnerabilità delle reti IPVulnerabilità delle reti IPVulnerabilità delle reti IPVulnerabilità delle reti IP



ObiettiviObiettiviObiettiviObiettivi Reti corporative: funzionalità Reti corporative: funzionalità

ed efficienza, ma non sicurezzaed efficienza, ma non sicurezza Concentrazione degli attacchiConcentrazione degli attacchi

Istituti finanziari e banche - Istituti finanziari e banche - frodifrodi Service Provider - Service Provider - customer database e customer database e

intercettazioniintercettazioni

Pubbliche amministrazioni - Pubbliche amministrazioni - sfida, frodisfida, frodi Agenzie governative e della difesa - Agenzie governative e della difesa -

sfida, spionaggiosfida, spionaggio

Aziende farmaceutiche - Aziende farmaceutiche - spionaggiospionaggio

Aziende multinazionali - Aziende multinazionali - spionaggiospionaggio (fonte Network. Security Solutions ltd, http://www.ns2.co.uk)(fonte Network. Security Solutions ltd, http://www.ns2.co.uk)



VulnerabilitàVulnerabilitàVulnerabilitàVulnerabilità

Le caratteristiche intrinseche Le caratteristiche intrinseche di Internet che rendono di Internet che rendono possibili la grande possibili la grande maggioranza degli attacchi maggioranza degli attacchi all’esterno: il modello client-all’esterno: il modello client-server e la tecnologia di server e la tecnologia di trasmissione del tipo trasmissione del tipo “commutazione di pacchetto”.“commutazione di pacchetto”.



Vulnerabilità delle reti: il Vulnerabilità delle reti: il modello client-servermodello client-server

Vulnerabilità delle reti: il Vulnerabilità delle reti: il modello client-servermodello client-server

ServerServer : : qualsiasi programma che qualsiasi programma che offre un serviziooffre un servizio utilizzabile tramite utilizzabile tramite una rete. Un server accetta una rete. Un server accetta richieste che gli arrivano via rete, richieste che gli arrivano via rete, fornisce il servizio e restituisce il fornisce il servizio e restituisce il risultato al richiedente. Ogni server risultato al richiedente. Ogni server è associato ad una è associato ad una portaporta diversa. diversa.

ClientClient : : e’ un programma che e’ un programma che invia una richiestainvia una richiesta ad un server, ad un server, esplicitando l’indirizzo destinatario esplicitando l’indirizzo destinatario e la porta associata al servizio, ed e la porta associata al servizio, ed attende da questi una risposta.attende da questi una risposta.



Il modello client-serverIl modello client-serverIl modello client-serverIl modello client-server

Client ServerRequest

(IP dest, server port)

Elaborazione della richiesta

Response

IP source, client port



Il modello client-server - 2Il modello client-server - 2Il modello client-server - 2Il modello client-server - 2

Un server deve essere in grado di Un server deve essere in grado di processare più richieste concorrenti processare più richieste concorrenti (es. più file transfer)(es. più file transfer)

. . .

MASTER

Clients

Generalmente la struttura di un server e’quella in figura.Il master e’ incaricato di accettare le richieste svolgendo anche compiti di controllo sugli accessi. Accettata una richiesta si “ sdoppia “ ( fork di Unix )generando uno slave che si occuperà di processare la richiesta.Il master nel frattempo si e’ rimesso in attesa.



Modello generaleModello generaleModello generaleModello generale

Server host

SMTP/ 25

HTTP/ 80

FTP/ 21

POP3/ 110

Server daemon

Client 1

Client 2

Client n

......



Connection estabilishment Connection estabilishment protocolprotocol

Connection estabilishment Connection estabilishment protocolprotocol

Connessione TCP fra client e serverConnessione TCP fra client e serverthree-way handshakethree-way handshake

Invio SYNISN = x

Ric. SYN+ACKInvio ACK y+1

Ric. segmento SYNInvio SYN ISN=y ACK x+1

Ric. segmento ACK



Sicurezza dei serverSicurezza dei serverSicurezza dei serverSicurezza dei server

I server ricoprono un ruolo I server ricoprono un ruolo primario nella sicurezza delle primario nella sicurezza delle reti. Una volta ottenuto un reti. Una volta ottenuto un accesso non autorizzato a un accesso non autorizzato a un server, il resto della rete è server, il resto della rete è facilmente attaccabile.facilmente attaccabile.



Vulnerabilità delle reti: la Vulnerabilità delle reti: la trasmissione a commutazione trasmissione a commutazione

di pacchettodi pacchetto

Vulnerabilità delle reti: la Vulnerabilità delle reti: la trasmissione a commutazione trasmissione a commutazione

di pacchettodi pacchetto

L'informazione è raggruppata in pacchetti.

A

DB

C

R3 R4

R2R1C CD C C

D D DC A

C C

D

B



Commutazione di CircuitoCommutazione di CircuitoCommutazione di CircuitoCommutazione di Circuito

AA

DDBB

CC

I commutatori creano dei circuiti punto-punto



Commutazione di pacchettoCommutazione di pacchettoCommutazione di pacchettoCommutazione di pacchetto

Trasmissioni contemporaneeTrasmissioni contemporanee Non c’è impegno di lineaNon c’è impegno di linea Il cammino viene ricalcolato ogni Il cammino viene ricalcolato ogni

volta dai computer reinstradatori volta dai computer reinstradatori [[RouterRouter] (e quindi può seguire ] (e quindi può seguire strade diversestrade diverse

I ritardi sono un fattore normale, I ritardi sono un fattore normale, intrinseco in questa tecnologia intrinseco in questa tecnologia di trasporto.di trasporto.



Metodologie classiche di Metodologie classiche di attacco alle reti informaticheattacco alle reti informatiche

Metodologie classiche di Metodologie classiche di attacco alle reti informaticheattacco alle reti informatiche



Gli hackerGli hackerGli hackerGli hacker Maschio, età fra 16 e 25 anni, Maschio, età fra 16 e 25 anni,

molti interessati a forzare le molti interessati a forzare le protezioni per aumentare il protezioni per aumentare il proprio skill o per poter disporre proprio skill o per poter disporre di ulteriori risorse di rete. Hanno di ulteriori risorse di rete. Hanno molto tempo a disposizione e molto tempo a disposizione e possono rendere i loro attacchi possono rendere i loro attacchi diluiti nel tempo e, soprattutto, diluiti nel tempo e, soprattutto, persistenti, concentrando gli persistenti, concentrando gli interventi nelle ore notturne o del interventi nelle ore notturne o del fine settimana. fine settimana.

(fonte: Front Line Infornmation Security Team - FIST, dec. (fonte: Front Line Infornmation Security Team - FIST, dec. 98)98)



Le armiLe armiLe armiLe armi SniffersSniffers Password CrackersPassword Crackers ScannersScanners WormsWorms RootkitRootkit Hijacking toolsHijacking tools DNS spoofing toolsDNS spoofing tools Exploit SendmailExploit Sendmail Guess default pw-sGuess default pw-s Social engineeringSocial engineering

SpoofersSpoofers Killer packetsKiller packets BackdoorsBackdoors Trojan HorseTrojan Horse Flooding toolFlooding tool Back OrificeBack Orifice NFS config errorsNFS config errors portmapper/RPCportmapper/RPC IP spoof r* cmdsIP spoof r* cmds

[Robert T. Morris[Robert T. Morris

At&T LaboratoriesAt&T Laboratories]



Servizi di una reteServizi di una reteServizi di una reteServizi di una rete

Servizi generalmente attivi in Servizi generalmente attivi in una network classicauna network classica Web aziendale (in casa o in hosting dal Web aziendale (in casa o in hosting dal

proprio provider)proprio provider) E.Mail per le comunicazioni globaliE.Mail per le comunicazioni globali Rete locale per l’accesso ad InternetRete locale per l’accesso ad Internet Accesso remotoAccesso remoto DNSDNS



Attacchi dall’esternoAttacchi dall’esternoAttacchi dall’esternoAttacchi dall’esterno

L’attacco dall’esterno L’attacco dall’esterno rappresenta la parte difficile, rappresenta la parte difficile, una volta entrati, il resto della una volta entrati, il resto della rete è facilmente prendibilerete è facilmente prendibile



Tipologia degli attacchiTipologia degli attacchiTipologia degli attacchiTipologia degli attacchi Bisogna distinguere i problemi di Bisogna distinguere i problemi di

insicurezza delle reti in due grandi insicurezza delle reti in due grandi classi:classi:

1) Debolezze strutturali del 1) Debolezze strutturali del protocollo TCP/IPprotocollo TCP/IP

2) Mancanza di correttezza delle 2) Mancanza di correttezza delle implementazioni dei programmi per implementazioni dei programmi per la gestione dei servizila gestione dei servizi

Nella seconda classe si Nella seconda classe si concentrano la maggioranza concentrano la maggioranza degli attacchidegli attacchi



Profilo delle strategie tipicheProfilo delle strategie tipicheProfilo delle strategie tipicheProfilo delle strategie tipiche

Azioni di scan della reteAzioni di scan della rete Per individuare reti o porzioni di reti che Per individuare reti o porzioni di reti che

possono essere vulnerabili agli attacchipossono essere vulnerabili agli attacchi Per individuare i singoli host e le loro Per individuare i singoli host e le loro

caratteristiche: sistema operativo, server caratteristiche: sistema operativo, server running daemon, porte TCP aperterunning daemon, porte TCP aperte

Azione intrusivaAzione intrusiva acquisizione dei diritti di super-utente acquisizione dei diritti di super-utente

(root)(root) Installazione di una backdoorInstallazione di una backdoor Patch al sistema operativo per Patch al sistema operativo per

nascondere le successive intrusioninascondere le successive intrusioni



Profilo delle strategie tipiche -2 Profilo delle strategie tipiche -2 Profilo delle strategie tipiche -2 Profilo delle strategie tipiche -2 Azione protettivaAzione protettiva

patch al sistema operativo per rendere patch al sistema operativo per rendere inaccessibile il sistema ad altri hacker. (gli inaccessibile il sistema ad altri hacker. (gli hacker sono i maggiori esperti di hacker sono i maggiori esperti di sicurezza!)sicurezza!)

installazione di backdoorinstallazione di backdoor

Azione intercettivaAzione intercettiva in base all’obiettivo:in base all’obiettivo:

SnifferSniffer password crackerpassword cracker Back OrificeBack Orifice ………………......



Metodologie di attacco: gli Metodologie di attacco: gli strumenti in dettagliostrumenti in dettaglio

Metodologie di attacco: gli Metodologie di attacco: gli strumenti in dettagliostrumenti in dettaglio



I fase: I fase: Recupero di informazioni Recupero di informazioni sulla rete obiettivo dell’attaccosulla rete obiettivo dell’attacco

I fase: I fase: Recupero di informazioni Recupero di informazioni sulla rete obiettivo dell’attaccosulla rete obiettivo dell’attacco

Visibilità esterna della rete.Visibilità esterna della rete. Interrogazioni al nameserverInterrogazioni al nameserver Web pageWeb page Ftp repositoryFtp repository Interrogazioni al sistema di postaInterrogazioni al sistema di posta Interrogazioni alInterrogazioni al finger finger

L’hacker ottiene una lista degli L’hacker ottiene una lista degli host e un piano delle relazioni host e un piano delle relazioni esistenti fra questiesistenti fra questi



Recupero informazioni sugli Recupero informazioni sugli hosthost

Recupero informazioni sugli Recupero informazioni sugli hosthost

Sistema Operativo e release Sistema Operativo e release corrente del software installato corrente del software installato connessioni alle porteconnessioni alle porte programmi reperibili su internet programmi reperibili su internet Es.: quesoEs.: queso

rpcinfo,snmp,telnet,SendMail rpcinfo,snmp,telnet,SendMail version, download binaries from version, download binaries from the public-ftp (analyzing its format)the public-ftp (analyzing its format)

http://www.apostols.org/projectz/http://www.apostols.org/projectz/queso/queso/



Macchine definite “trusted”Macchine definite “trusted”Macchine definite “trusted”Macchine definite “trusted” Una macchina si definisce Una macchina si definisce

“trusted” quando, essendo “trusted” quando, essendo considerata affidabile, gode diritti considerata affidabile, gode diritti particolari di accesso, non particolari di accesso, non autenticato, su altre macchine autenticato, su altre macchine della rete della rete

Generalmente si assegnano questi Generalmente si assegnano questi diritti a server o a macchine diritti a server o a macchine utilizzate per l’amministrazione utilizzate per l’amministrazione allo scopo di agevolare le allo scopo di agevolare le operazioni di manutenzione e di operazioni di manutenzione e di accesso ai servizi accesso ai servizi



II fase: information gathering e II fase: information gathering e identificazione dei componenti identificazione dei componenti ““trustedtrusted” della rete obiettivo” della rete obiettivo

II fase: information gathering e II fase: information gathering e identificazione dei componenti identificazione dei componenti ““trustedtrusted” della rete obiettivo” della rete obiettivo

Macchine di amministrazione, server, Macchine di amministrazione, server, routerrouter

Indentificazione delle vulnerabilità Indentificazione delle vulnerabilità più semplicipiù semplici spazio disco condivisibile (nsfd,netbios) spazio disco condivisibile (nsfd,netbios)

lasciato senza controllo degli accessilasciato senza controllo degli accessi finger per identificare gli utenti che si finger per identificare gli utenti che si

colleganocollegano più spesso più spesso Form Web che permettono la modifica di Form Web che permettono la modifica di

file di sistema critici per l’accesso non file di sistema critici per l’accesso non autenticato alle macchine autenticato alle macchine (hosts.allow / .rhosts)(hosts.allow / .rhosts)



Identificazione delle Identificazione delle vulnerabilità più complessevulnerabilità più complesse

Identificazione delle Identificazione delle vulnerabilità più complessevulnerabilità più complesse

Uso di strumenti per verificare Uso di strumenti per verificare i servizi attivii servizi attivi

Portscanning Azione di scansione remota delle porte

note per rilevare l’elenco dei servizi attivi su una certa macchina

si manda un pacchetto particolare “costringendo” la macchina target a una determinata risposta, da cui si possono trarre le informazioni del caso



Identificazione delle Identificazione delle vulnerabilità più complesse -2vulnerabilità più complesse -2

Identificazione delle Identificazione delle vulnerabilità più complesse -2vulnerabilità più complesse -2

Uso di suite reperibili sulla rete Uso di suite reperibili sulla rete per l’identificazione automatica per l’identificazione automatica della vulnerabilità e il della vulnerabilità e il reperimento del tool di attaccoreperimento del tool di attacco

Ricerca sui database di InternetRicerca sui database di Internet Keywords di ricerca piattaforma, servizioKeywords di ricerca piattaforma, servizio



I tool più usati per la rilevazione I tool più usati per la rilevazione automatica delle vulnerabilitàautomatica delle vulnerabilità

I tool più usati per la rilevazione I tool più usati per la rilevazione automatica delle vulnerabilitàautomatica delle vulnerabilità

ADMhack ADMhack la guida completa per tutti i tipi di hackerla guida completa per tutti i tipi di hacker ftp://ADM.isp.at/ADM/ftp://ADM.isp.at/ADM/

MscanMscan Nessuna home page: utilizzare un potente mezzo Nessuna home page: utilizzare un potente mezzo

per il rintracciamento del softwareper il rintracciamento del software http://ftpsearch.lycos.com/?form=mediumhttp://ftpsearch.lycos.com/?form=medium

NmapNmap l’arte del portscanningl’arte del portscanning http://www.dhp.com/~fyodor/nmaphttp://www.dhp.com/~fyodor/nmap

Nessus Nessus http://www.nessus.orghttp://www.nessus.org Satan Satan http://www.fish.com/~zen/satan/satan.htmlhttp://www.fish.com/~zen/satan/satan.html



Azione degli strumenti di scanAzione degli strumenti di scanAzione degli strumenti di scanAzione degli strumenti di scan

TCP portscan di un hostTCP portscan di un host Lista degli indirizzi IP e macchine associateLista degli indirizzi IP e macchine associate Dump dei servizi RCPDump dei servizi RCP Lista delle directory esportate via nfs, Lista delle directory esportate via nfs,

samba o netbiossamba o netbios Richieste fingerRichieste finger Scan delle vulnerabilità CGIScan delle vulnerabilità CGI Server X apertiServer X aperti Identificazione delle vulnerabilità Identificazione delle vulnerabilità

conosciute sui processi server, tipicamente conosciute sui processi server, tipicamente Posta elettronica, Nameserver, IMAP, POP3, Posta elettronica, Nameserver, IMAP, POP3, RPCRPC,, Http, Sistemi Operativi, Ftp, IRC Http, Sistemi Operativi, Ftp, IRC



Database per il reperimento Database per il reperimento delle vulnerabilità delle vulnerabilità

Database per il reperimento Database per il reperimento delle vulnerabilità delle vulnerabilità

Grande abbondanza di Grande abbondanza di documentazionedocumentazione

Gli stessi siti orientati ad Gli stessi siti orientati ad aumentare la sicurezza dei aumentare la sicurezza dei sistemi servono da repository sistemi servono da repository di software per consentire il di software per consentire il crack di sistemi telematicicrack di sistemi telematici

Http://www.rootshell.comHttp://www.rootshell.com Http://www.iss.net/xforceHttp://www.iss.net/xforce



rootshellrootshellrootshellrootshell



ISSISSISSISS



Un caso particolare: SNMPUn caso particolare: SNMPUn caso particolare: SNMPUn caso particolare: SNMP Attacco efficace perché rivolto a Attacco efficace perché rivolto a

router e altre apparecchiature di router e altre apparecchiature di connettività, sulle quali normalmente connettività, sulle quali normalmente non gira alcun programma di sicurezzanon gira alcun programma di sicurezza

Snmp attivato di default, community Snmp attivato di default, community ““public”public” per lettura, “ per lettura, “private”private” lettura/scritturalettura/scrittura

Snmp scan per individuare router e Snmp scan per individuare router e macchina attaccabilimacchina attaccabili

Snmp consente di modificare Snmp consente di modificare topologia, protezioni, indirizzamento.topologia, protezioni, indirizzamento.



III Fase: attacco!III Fase: attacco!III Fase: attacco!III Fase: attacco!

Durante le ore di chiusura (l’attacco è Durante le ore di chiusura (l’attacco è normalmente rilevabile nel momento in normalmente rilevabile nel momento in cui è in corso) preferiti i trusted external cui è in corso) preferiti i trusted external host (mailserver e nameserver), che host (mailserver e nameserver), che possono essere utilizzati da “ponte”, possono essere utilizzati da “ponte”, avendo accessibilità a brevi segmenti di avendo accessibilità a brevi segmenti di rete internarete interna

Viene sfruttata la porta di accesso Viene sfruttata la porta di accesso rilevata, ed utilizzata per l’installazione rilevata, ed utilizzata per l’installazione di “di “backdoorbackdoor” ovvero di porte nascoste ” ovvero di porte nascoste per consentire un accesso non per consentire un accesso non autorizzato e non rilevabileautorizzato e non rilevabile..



Attacco!Attacco!Attacco!Attacco! Vengono modificati i comandi stessi Vengono modificati i comandi stessi

del sistema operativo, soprattutto del sistema operativo, soprattutto quelli che servono per l’accesso al quelli che servono per l’accesso al sistema e per il controllo di sistema e per il controllo di processi ed utentiprocessi ed utenti stessa data, permessi e in molti casi stessa data, permessi e in molti casi

anche lo stesso filesizeanche lo stesso filesize uso di rcp evitando l’ftp, normalmente uso di rcp evitando l’ftp, normalmente

tutto monitorato con logtutto monitorato con log



IV Fase: cancellazione delle IV Fase: cancellazione delle traccetracce

IV Fase: cancellazione delle IV Fase: cancellazione delle traccetracce

pulizia dei log, cioè della “scatola pulizia dei log, cioè della “scatola nera di sistema” dove viene nera di sistema” dove viene registrata tutta l’attività. (buona registrata tutta l’attività. (buona norma: invio ad una norma: invio ad una stampante...)stampante...)

Installazione di Installazione di RootKit, RootKit, ovvero ovvero di software preconfezionati per di software preconfezionati per la modifica di un sistema la modifica di un sistema operativo. operativo.

Operazione rapida, di solito non Operazione rapida, di solito non rilevabile.rilevabile.



V Fase: espansione V Fase: espansione dell’attaccodell’attacco

V Fase: espansione V Fase: espansione dell’attaccodell’attacco

Dipende dal reale obiettivo:Dipende dal reale obiettivo: installazione backdoor su altri installazione backdoor su altri

sistemisistemi password crackerpassword cracker back orifice per il controllo remoto back orifice per il controllo remoto

dei sistemidei sistemi distruzione e cancellazione di filesdistruzione e cancellazione di files network flooding e Denial of Servicenetwork flooding e Denial of Service reboot e altri “disabling of network reboot e altri “disabling of network

abilityability””



SnifferSnifferSnifferSniffer

Software che consentono Software che consentono sofisticate intercettazioni di sofisticate intercettazioni di tutto il traffico dei dati sulla tutto il traffico dei dati sulla rete. rete.

Producono un enorme mole di Producono un enorme mole di dati, ma le ultime versioni sono dati, ma le ultime versioni sono in grado di isolare le in grado di isolare le informazioni sensibili e i dati di informazioni sensibili e i dati di interesse da tutto il resto.interesse da tutto il resto.



Uso degli snifferUso degli snifferUso degli snifferUso degli sniffer Output su file, che generalmente non sono rilevabili Output su file, che generalmente non sono rilevabili

perché i vari “find,locate” sono stati backdooratiperché i vari “find,locate” sono stati backdoorati Rilevabili invece i programmi in esecuzione Rilevabili invece i programmi in esecuzione

perché le interfaccie di rete vengono settate perché le interfaccie di rete vengono settate in in promiscous modepromiscous mode http://www.cert.org/tools/cpmhttp://www.cert.org/tools/cpm

tcpdumptcpdump ftp://ftp.ee.lbl.gov/tcpdump.tar.Zftp://ftp.ee.lbl.gov/tcpdump.tar.Z

ethereal ethereal http://www.zing.org/http://www.zing.org/

ntopntop http://www-serra.unipi.it/~ntophttp://www-serra.unipi.it/~ntop



Back OrificeBack OrificeBack OrificeBack Orifice Installazione di un server, trasmesso Installazione di un server, trasmesso

con qualsiasi applicazione “infetta” con qualsiasi applicazione “infetta” (mail, notepad, documento word…)(mail, notepad, documento word…)

L’applicazione si attiva ad ogni L’applicazione si attiva ad ogni accensione, mascherandosi, accensione, mascherandosi, secondo le volontà dell’hacker. secondo le volontà dell’hacker.

L’applicazione non appare nella L’applicazione non appare nella Windows Task listWindows Task list

Controllo completo della stazione Controllo completo della stazione attaccata con flusso di comandi attaccata con flusso di comandi criptato. criptato.



Bo2KBo2KBo2KBo2K



Bo2kBo2kBo2kBo2k



NetBusNetBusNetBusNetBus

Tutto quello che fa Bo2K più...Tutto quello che fa Bo2K più... Supporto per la connessione Supporto per la connessione

remotaremota Controllo perifericheControllo periferiche

videocamere / Microfoni / tastierevideocamere / Microfoni / tastiere

……....



RilevamentoRilevamentoRilevamentoRilevamento

Programmi rilevabili dalla rete:Programmi rilevabili dalla rete: Molti tool che si spacciano per rilevatori Molti tool che si spacciano per rilevatori

di BO, installano invece il virusdi BO, installano invece il virus http://www.symantec.comhttp://www.symantec.com da una finestra DOS: da una finestra DOS: netstat -an netstat -an se il se il

risultato èrisultato è UDP 0.0.0.0:31337 *.* UDP 0.0.0.0:31337 *.* un un server BO è in attesa di comandi server BO è in attesa di comandi dall’hackerdall’hacker

Prevenzione con anti-virusPrevenzione con anti-virus http://www.mcafee.comhttp://www.mcafee.com

LegalitàLegalità



Teoria degli attacchi alle reti Teoria degli attacchi alle reti Teoria degli attacchi alle reti Teoria degli attacchi alle reti



TipologieTipologieTipologieTipologie

Interruzione

(DoS)

Modifica

highjackingIntercettazione

(sniffing)

Fabbricazione

(spoofing)



DoS (Denial of Service)DoS (Denial of Service)DoS (Denial of Service)DoS (Denial of Service) Ovvero le azioni finalizzate ad Ovvero le azioni finalizzate ad

impedire il normale svolgimento di impedire il normale svolgimento di un servizio nella macchina che un servizio nella macchina che viene attaccata, Saturando le viene attaccata, Saturando le capacità di comunicazione che una capacità di comunicazione che una organizzazione ha a disposizioneorganizzazione ha a disposizione

Quasi tutti i tipi di DoS non Quasi tutti i tipi di DoS non sfruttano dei sfruttano dei bugs bugs software ma software ma piuttosto una caratteristica piuttosto una caratteristica intrinseca del protocollointrinseca del protocollo

SYN floodingSYN flooding



SYN flood DoS attack!SYN flood DoS attack!SYN flood DoS attack!SYN flood DoS attack!

H1

Attacker routerX

H2

1.SYN(H2)

2.SYN/ACK

Unreachable Host 3.SYN(H2)

SYN(H2)

SYN(H2)

SYN(H2)

SYN(H2)

SYN(H2)

SYN(H2)

TCP port fully: ignoring further TCP port fully: ignoring further

request to that servicerequest to that service



IP spoofingIP spoofingIP spoofingIP spoofing Per ottenere l’accesso, l’intrusore crea Per ottenere l’accesso, l’intrusore crea

dei pacchetti con il source address IP dei pacchetti con il source address IP ““spoofedspoofed” cioè alterato, mascherandosi ” cioè alterato, mascherandosi per un altro. Questo fa sì che applicazioni per un altro. Questo fa sì che applicazioni che usano l’autenticazione basata sul che usano l’autenticazione basata sul controllo dell’indirizzo IP concedano controllo dell’indirizzo IP concedano l’accesso a persone e host non l’accesso a persone e host non autorizzati. E’ possibile bypassare anche autorizzati. E’ possibile bypassare anche firewall i cui filtri non sono stati disegnati firewall i cui filtri non sono stati disegnati per fermare pacchetti entranti con un per fermare pacchetti entranti con un source address locale. E’ possibile source address locale. E’ possibile compiere degli attacchi anche senza compiere degli attacchi anche senza ricevere i pacchetti di risposta da parte ricevere i pacchetti di risposta da parte del target hostdel target host



TCP number predictionTCP number predictionTCP number predictionTCP number prediction

1

3

2

datidati4



DNS spoofingDNS spoofingDNS spoofingDNS spoofing

Resolver

Re

so

lve

r q

ue

ry

Name

Server Hacker

Corrupted UDP packet

Telnet

Misdirected DestinationMisdirected Destination



A Rete privataFirewall2/25 1/801/25

1+2/25

Pacchetti frammentati Firewall che lascia passare solo il servizio http

Ip-fragmentationIp-fragmentationIp-fragmentationIp-fragmentation



Altri tipi di spoofAltri tipi di spoofAltri tipi di spoofAltri tipi di spoof

Web spoofingWeb spoofing altera il percorso reale di collegamento a altera il percorso reale di collegamento a

un sitoun sito

Mail spoofingMail spoofing spedizione di mail con l’indirizzo alterato spedizione di mail con l’indirizzo alterato spamspam anonymous remailer (penet.fi)anonymous remailer (penet.fi)

IRC spoofingIRC spoofing dialogo in chat line con false identità o dialogo in chat line con false identità o

alterando le frasi che due utenti si alterando le frasi che due utenti si stanno scambiandostanno scambiando



SniffingSniffingSniffingSniffing

intercettazione ed ascolto intercettazione ed ascolto ascolto del traffico, inserendo ascolto del traffico, inserendo un apposito programma sulla un apposito programma sulla rete localerete locale

intercettazione e modificazione intercettazione e modificazione del flusso, costringendolo a del flusso, costringendolo a “transitare” su una macchine, “transitare” su una macchine, in cui è installato uno snifferin cui è installato uno sniffer



Ip source routingIp source routingIp source routingIp source routing I pacchetti nel protocollo IP sono I pacchetti nel protocollo IP sono

spediti sulla rete attraverso diversi spediti sulla rete attraverso diversi router allo scopo di raggiungere la router allo scopo di raggiungere la destinazione finale. La strada percorsa destinazione finale. La strada percorsa da ogni pacchetto è determinata da ogni pacchetto è determinata dinamicamente da ciascun router lungo dinamicamente da ciascun router lungo il cammino. Abilitare l’opzione di source il cammino. Abilitare l’opzione di source routing su un pacchetto IP permette al routing su un pacchetto IP permette al pacchetto stesso di “prendere pacchetto stesso di “prendere decisioni” sul cammino da decisioni” sul cammino da intraprendere per raggiungere la intraprendere per raggiungere la destinazione, indipendentemente dalla destinazione, indipendentemente dalla tabella di routing che i router tabella di routing che i router possiedonopossiedono



IP Source RoutingIP Source RoutingIP Source RoutingIP Source Routing

A C

R4

R2R1C C

CC

CC



RouterC

Pkt 2 dst=H2

H1

Attacker routerX

RouterBH2

Pkt 3 ICMP red

H2 gw X

src=Router C

Pkt 1 srct=H2

Pkt 4..n dst=H2

ICMP redirectICMP redirectICMP redirectICMP redirect



HighJackingHighJackingHighJackingHighJacking

il controllo di una il controllo di una connessione viene preso da connessione viene preso da un attacker dopo che la fase un attacker dopo che la fase di autenticazione è già stata di autenticazione è già stata passata. Tipiche modalità passata. Tipiche modalità l’uso dell’ICMP o del RIP.l’uso dell’ICMP o del RIP.

inserimento di stream di inserimento di stream di dati non presenti all’originedati non presenti all’origine

i backorificei backorifice



DocumentazioneDocumentazioneDocumentazioneDocumentazione



Dove documentarsiDove documentarsiDove documentarsiDove documentarsi DocumentazioneDocumentazione

http://antionline.com/ http://www.rootshell.com http://www.iss.net/xforce http://seclab.cs.ucdavis.edu/papers.html “Practical Unix & Internet Security”

O’Reilly & Associates, Inc. ISBN 1-56592-148-8

Tool di sicurezzaTool di sicurezza ftp://coast.cs.purdue.edu/pub/tools/unixftp://coast.cs.purdue.edu/pub/tools/unix http://www.alw.nih.gov/Security/prog-full.htmlhttp://www.alw.nih.gov/Security/prog-full.html



Brevi statisticheBrevi statisticheBrevi statisticheBrevi statistiche



0

10

20

30

40

50

60

70

80

ComputerVirus

Errori

Azionidall’interno

Azionidall’esterno

Spionaggioindustriale

Ernst & Young 1996 Information Security Survey

Tipologia degli attacchiTipologia degli attacchiTipologia degli attacchiTipologia degli attacchi



Dislocazione geografica degli Dislocazione geografica degli attacchi dannosiattacchi dannosi

Dislocazione geografica degli Dislocazione geografica degli attacchi dannosiattacchi dannosi

24%

24%

19%

13%

20%

AsiaAfricaNorth AmericaSouth AmericaEurope




SicurezzeSicurezzeSicurezzeSicurezze

0

10

20

30

40

50

60

70Passord Authentication

Smart Card Authentication

Firewall

Data Enrcyption

Digital Signature

Digital Certification

Secure Email (SMIME)

Secure Socket Layer(SSL)

Secure ElettronicaTransaction

Secure Messaging

Other


Le armi di un hacker

Documents

Transcript of Le armi di un hacker