Hakerskim metodama protiv hakera

Dejan Rodiger, Combis

Uvod
1. Tko su hakeri 2. Koji su koraci u hakerskom napadu 3. Demo 4. Kako se zatititi

Hacker
Cracker naziv za loe momke Hacker naziv za dobre momke" Kriminalci koriste hakiranje za svoju financijsku korist napadaju banke, eCommerce, kladionice Industrijski pijuni dobivanje prednosti pred konkurencijom

Hacker
Zlonamjerni korisnik netko unutar firme moe biti vanjski konzultant ili partnerska firma sigurnosna zatita nije velika prepreka Osveta, financijska korist, promjena firme 80% napada dolazi iznutra

Hacker
Novinari djeluju kao i industrijski pijuni svrha napada je da bi prije svih doli do nekih informacija i napravili senzaciju Ostali Policija, SOA, NSA, KBG, Teroristi, organizirani kriminal, ...

CVE
CVE Common Vulnerabilities and Exposures
http://nvd.nist.gov/

NVD sadri bazu od

31093 CVE 13 vulnerabilities / day

CVE-2007-1748
Stack-based buffer overflow in the RPC interface in the Domain Name System (DNS) Server CVSS v2 Base score: 10.0 (High)

Koraci u hakiranju
Footprinting Scanning Enumeration Gaining access Escalating privilege Pilfering Covering tracks Creating back doors Denial of service

Footprinting
Dobivanje informacija o organizaciji, koritenim domenama, IP adresama, servisima koji su pokrenuti, vatrozidu, IDS-u i sl. - vano je to dobro napraviti kroz podatke u samim web stranicama Google search whois nslookup traceroute www.ripe.net

Scanning
Dobivanje informacija o ivim hostovima i portovima. SYN, SYN/ACK, ACK 3w handshake fping hping2 nmap nmap za detekciju OS-a

Enumeration
Dobivanje informacija o ispravnim kori kim imenima i dijeljenim diskovima. Npr. Spajanjem na port 80 i dobivanjem informacija o web serveru, verziji i sl.. net use \\ip.addr\IPC$ " " /u:" " nbtstat/nbtscan snmputil telnet ip.addr 80 netcat showmount dsniff

Gaining Access
Postupak dobivanja pristupa hostu koritenjem postoje eg korisni kog imena koje je dobiveno snifanjem prometa ili iskoritavanjem propusta. http://nvd.nist.gov/ pwddump Metasploit 3 ExploitTree - http://www.securityforest.com Boot sa linux bootabilnog CD-a

Escalating privilege
U slu aju da u prethodnom koraku nisu dobivene administratorske ovlasti, trai se neki drugi na in za dobivanje: razbijanjem lozinki (SAM baza, LM Hash) koritenjem lokalnog propusta Ophcrack CainAndAbel JohnTheRiper

Pilfering
Mijenjanje nekih konfiguracijskih, sistemskih datoteka, registrija,... omogu ava pristup do lozinki za pristup drugim posluiteljima... LSA, rhosts... lozinke za dijeljenje foldere lozinke spremljene i IE ili firefoxu

Zametanje tragova
Da bi se zameli tragovi i smanjila mogu nost nalaska po initelja koriste se alati za brisanje logova i sl. Brisanje Event Loga Skrivanjem podatak u file streamove Instaliranjem rootkita

Creating back doors

Kreiranjem skrivenog ulaza, haker si omogu ava laki slijede i pristup do posluitelja. Kreiranjem korisni kog imena, koje je u administratorskoj grupi Netcat / VNC Keylooger Procesi koji se pokre u kroz cron/at Dodavanjem procesa u startup mehanizam posluitelja Tuneliranje kroz IP header, ICMP

Denial Of Service
Ako haker ne moe dobiti pristup, koristi DOS napade da bi onemogu io normalno funkcioniranje ili zbog ucjenjivanja. Ping of death Synk4 DDoS

Demo
Windows 2003 R2 koji ima instaliran DNS servis BackTrak3 penetration testing linux distribucija NetClarity

NetClarity

NetClarity

NetClarity

NetClarity

NetClarity

NetClarity

Zatita od footprintinga
provjeriti HTML kod web stranica da ne sadri povjerljive informacije (lozinke) smanjiti podatke koje smo dali DNS registru - privatnost smanjiti koli inu informacija koja se dobiva kroz DNS podijeliti public i private dio DNS-a (ne na istom posluitelju) na border routerima zabraniti ICMP i UDP

Zatita od scanninga
detekcijom pomo u IDS-a (snort, Cisco IPS) dopustiti samo ECHO i ECHO_REPLY smanjiti broj servisa koji su pokrenuti na hostu zatvoriti sve portove na vatrozidu koji se ne koriste

Zatita od enumeracije
zabraniti pristup SMB/CIFS/NFS portovima smanjiti informacije koje servisi daju

Zatita od dobivanja pristupa

lozinke od minimalno 15 znakova Imprivata SingleSignOn NetClarity Auditor za provjeru propusta NetClarity za detekciju novo uklju enih mrenih ure aja u mrei NetClarity kao NAC rjeenje NetClarity za MAC spoof detekciju

Zatita od dobivanja pristupa (2)

kompliciranija comunity imena na SNMP-u pokrpati rupe, instalirati nadogradnje (Patch management) ne koristiti telnet i ftp (sftp, scp) koristiti SSL, VPN, SSH.. staviti lozinku na BIOS imati backup CommVault rjeenja za backup i arhiviranje

Log Management i analiza

BetaSystems - Beta 92 Job/Proces/Log management BetaSystems - Beta 96 Enterprise Compliance Auditor

Zaklju ak
Combis moe pruiti sveobuhvatno rjeenje za sigurnost informacijskog sustava

Hvala na panji!