Hacking Medidas e contra medidas Abednego & Dogberry. Rolando Miragaia ESTG - IPL Gustavo Reis

Transcrição

1 Hacking Medidas e contra medidas Abednego & Dogberry Rolando Miragaia ESTG - IPL Gustavo Reis ESTG - IPL 1

2 Abednego Comando finger no IRC - obtém o de Dogberry (dogberry@hipotetico.com) telnet ao porto SMTP telnet hipotetico.com 25 expn root@hipotetico.com Dogberry é administrador 2

3 Abednego Nmap - programa que faz port scanning Do porto 1 ao Vários tipos: Connect, SYN, FIN SYN atacante -----> host alvo SYN+ACK atacante <----- host alvo ACK atacante -----> host alvo 3

4 Dogberry A Firewall tem um IDS que responde com as seguintes contra-medidas: bombardeia com uma quantidade de dados aleatórios envia msg queixa para o ISP do Abednego o ISP encerra a conta do Abednego 4

5 Abednego Aborrecido, Abednego decide iniciar a retaliação: Ligo-me a outra conta (possuo várias) Stealth port scanner explora a forma de funcionamento do TCP consegue testar as portas de uma máquina sem que a firewall detecte o processo. 5

6 Abednego FIN scan FIN atacante -----> host alvo RST atacante <----- host alvo Porto Fechado * Se a host alvo não responder o porto está aberto A máquina a que se acede só regista a ligação depois de finalizado o three-way handshake 6

7 Abednego O FIN scan dá um snapshot dos serviços autorizados pelo hipotetico.com SSH Deamon - ligações cifradas Servidor Web Um porto estranho

8 Dogberry EhterPeek, um sniffer no hipotetico.com detectou o portscan Consola da máquina de administração Programas que só correm a partir dessa máquina O utilizador tem de estar ligado fisicamente 8

9 Dogberry Análise dos log s origem dos pacotes FIN Mail para o ISP do Abednego com aviso de tentativa de entrada na minha rede, junto com um pedido de dados sobre a conta do Abednego Pedido rejeitado! Dados são confidenciais Correr um port scanner não é contra a lei 9

10 Abednego A password não é aceite Telefonema para o ISP Conta desactivada Acciono nova conta 10

11 Abednego Ajo com mais cautelas Ligo-me ao meu ISP Através deste ligo-me a outra máquina, hackada ligada a outro ISP Whois hipotetico.com Refrigerators R Us Uma cadeia nacional de lojas 11

12 Abednego Ligar-me ao hipotetico.com telnet hipotetico.com pensavas que isto era uma porta de entrada Minha besta Cai a ligação 12

13 Dogberry Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptos Envia ao ISP daquela máquina por suspeita de crime informático Em poucos minutos a ligação do Abednego vai abaixo 13

14 Abednego Mudança de planos - Contornar a firewall em vez de a furar Ligo-me a mais uma das minhas contas hackadas Tento o comando nslookup Composição das máquinas pertencentes ao domínio Apenas lista IPs públicos Nenhum resultado útil Não consigo saber detalhes sobre máquinas por de traz da firewall 14

15 Abednego Tento um IP adress scanner Converto o hipotetico.com para um número através do nslookup Mais de 50 endereços resultantes - não há garantias que pertençam a hipotetico.com Whois procurar outros domínios registados na mesma companhia Hipoteticoz.com IP scanner revela mais 5 endereços IP em números associáveis 15

16 Abednego Cautelas extra Logo-me por telnet a outra conta hackada Dai, logo-me a uma outra também hackada Estes passos extra dificultam a minha localização Nesta terceira máquina instalo um RootKit 16

17 Abednego RootKit Programa estilo Cavalo de Tróia Camufla a presença de um intruso numa máquina Contém recompilações das aplicações de sistema root Kit para uma máquina específica Permite adicionar contas Usualmente inclui: sniffers, editor dos ficheiros de logs 17

18 Abednego Estando confortavelmente seguro preparo mais uma série de scans Corro o software que faz os port scans a todas as máquinas cujos IPs obtive e pertencentes aos dois domínios da companhia (hipotetico.com hipoteticoz.com) Todos os FIN scans passam pela firewall 18

19 Dogberry FIN port scan novamente detectado pelo meu EtherPeek Mensagem para o beeper. Identifico a origem dos FIN scans Notifico o administrador da 3ª conta hackada do Abednego. 19

20 Dogberry Firewall ao detectar scans normais inicia um flood. ISP da máquina do Abednego finalmete fica convencido de que está a haver um ataque e encerra a conta do Abednego. 20

21 Abednego - nova táctica Descobrir outra entrada Devem existir centenas de desktops nos vários escritórios da companhia Pode existir um modem pessoal não autorizado, para que um utilizador se ligue directamente à sua máquina de outra localização Modem só pode estar ligado a uma extensão telefónica 21

22 Abednego - nova táctica Preparo o ShokDial Categoria war-dialer Um software que liga para uma dada gama de números de telefone E espera por uma resposta 22

23 Abednego - nova táctica Deparo com: Refrigerators R Us Marketing Departement. Irix 6.3 Login:_ War dialler obtem sucesso! Basta crackar a password E esperar que haja acesso remoto à conta root administração em sistemas unix/linux 23

24 Abednego - nova táctica Tentar força bruta Uso um password guesser para a conta root Software que se liga ciclicamente a uma máquina testando várias palavras como password Começa pelas palavras mais comuns até às mais estranhas Processo que pode demorar meses, desde palavras de dicionários até nomes de uma enciclopédia SORTE- 3 horas depois nancy é a password 24

25 Abednego - nova táctica Ligo-me à nova vitima com previlégios de root Preparo o terreno Por FTP coloco um RootKit para apagar os vestígios da minha presença Preparo o Keystroke logging grava todos os inputs de teclado naquela máquina Através do sniffer gravo todos os dados provenientes de acesso remoto à máquina num ficheiro insuspeito Através do rootkit preparo uma maneira alternativa de entrar na máquina Login: revenge Password: DiEd0gB 25

26 Abednego - nova táctica Descobrir o endereço da máquina sequestrada who revenge on picasso.hipotetico.com Mais tarde quando o legítimo administrador entrar na máquina não desconfiará de qualquer intrusão 26

27 Dogberry Alguém esta madrugada tentou entrar no hipotetico.com a partir da Internet Perturbado pelos FIN scans recentes Não tenho informação nenhuma para poder tomar uma medida 27

28 Abednego - nova táctica Duas noites depois: Ligo-me ao picasso Tráfego de rede é cifrado O keystroke logger registou que alguém se ligou daquela máquina a uma outra chamada fantasia Possuo agora um login e passowrd para a fantasia outra máquina interna àrede Fantasia é uma workstation provavelmente utilizada como servidor para outras máquinas Procuro um ficheiro de passwords na esperança que estas funcionem noutras máquinas da companhia Descubro o ficheiro mas no lugar das passwors encriptadas existem x Conclusão - as passwords estão num shadow file 28

29 Abednego - nova táctica Provoco um CORE DUMP na máquina correndo um programa de FTP Tenho acesso a parte da RAM no instante em que o core dump ocorreu através do ficheiro core Examino o ficheiro core onde descubro os hashes das passwords Basta correr o meu password cracker para obter a password não cifrada Processo que pode demorar semanas 29

30 Abednego - nova táctica Paralelamente tento outro conhecido truque que explora o buffer overflow no UNIX Conseguir que algum código meu seja executado através dum crescimento desmesurado da pilha exec("sh") para providenciar uma root shell. 30

31 Abednego - nova táctica Buffer overflow 31

32 Abednego - nova táctica Instalar na fantasia um RootKit Apagar manualmente os registos da minha presença antes da intalação do Rootkit Descobrir se alguém se consegue ligar à fantasia de uma máquina fora da firewall last Dois utilizadores: vangogh e nancy através da máquina adagency.com 32

33 Abednego O golpe final Avaliar a relação de confiança entre adagency e fantasia Há uma relação de confiança, mútua entre as duas máquinas baseada no IP Conseguindo entrar no adagency.com é facil chegar ao fantasia passando pela firewall Deste modo terei acesso à fantasia a partir da internet sem ter que recorrer à ligação modem-modem. 33

34 Picasso Fantasia Admin Web Abednego Adagency 34

35 Abednego O golpe final Ataque à confiança Utilizar IP spoofing para entrar na adagency.com rlogin à adagency.com não é autenticado por password mas por endereço IP Crio uma conta com previlégios de administração Ligo-me à adgency.com Aproveito e instalo nesta máquina um rootkit Uma vez lá dentro, ligação remota SSH à fantasia 35

36 Abednego O golpe final IP spoofing 36

37 Abednego O golpe final Estou numa posição confortável na fantasia.hipotetico.com É difícil a minha localização Comando netstat para ver as ligações activas da máquina Descubro uma máquina nova Admin.hipotetico.com fortes probabilidades de ser a máquina de administração do Dogberry 37

38 Abednego O golpe final Na fantasia capturo a combinação de teclas introduzida por um utilizador através do RootKit vangogh acedeu ao web server Tenho tudo para tomar conta do site web da companhia Entretanto mais uma boa notícia o sniffer no picasso registou um acesso por uma back door a admin.hipotetico.com nancy como root Tenho tudo para tomar conta de toda a rede da companhia 38

39 Abednego - O golpe final Exploro a conta root da admin.hipotetico.com Afinal o dogberry até fez um bom trabalho A conta de root não dá acesso a outras máquinas, sem serem requeridas novas passwords 39

40 Abednego O golpe final Foco o meu ataque no webserver Ligo-me ao web server Faço upload de material obsceno para o site da companhia 40

41 Dogberry Trabalhar até tarde examinar log s. O pessoal de Marketing têm tido um número invulgar de ligações da adagency.com Amanhã vou ver o que se passa O telefone toca Um cliente furioso queixa-se de que o site hipotetico.com tem vídeos pornográficos Vejo o site alterado ( defaced ) Corro para o cabo umbilical que liga o sistema à Internet e desligo-o rapidamente 41

42 Abednego O golpe final Reparo que o site ficou em baixo rapidamente Nesta altura já sabem que houve um ataque e provavelmente estão a tentar localizar o autor Vou voltar para tentar eliminar alguns vestígios E aproveitar para causar mais alguns estragos pois o efeito do site foi muito efémero Local de entrada modem no picasso uma entrada desconhecida para Dogberry Formato completamente o admin.hipotetico.com 42

43 Dogberry Sou impedido de recolher dados sobre o ataque. Abednego continua no sistema e manda a rede abaixo Dirijo-me ao computador administrativo Tarde demais!!! Tenho de instalar todo o software de raíz. 43

44 Abednego O golpe final Um acto final Inundar o hipotetico.com com pacotes com lixo Eventualmente causo dificuldades nos serviços oferecidos por aquela máquina 44

45 Dogberry Recebo uma chamada atribulada Alguém do departamento de vendas que, através do seu portátil num quatro de hotel, não consegue estabelecer ligação ao servidor de mail do hipotetico.com 45

46 Dogberry Exausto suplico ao vice presidente da tecnologia por uma autorização Limpar cada computador da rede Reinstalar cada programa Modificar todas as passwords Tudo isto requer desligar o sistema durante dias pedido negado 46

47 Dogberry Nesta altura do campeonato as atitudes malignas e destrutivas de Abednego passaram muito além da fronteira do legal no hacking O FBI está demasiado ocupado a investigar violações de segurança em vários sistemas do exército e da marinha Vou ter que ser eu a recolher mais informação 47

48 Dogberry O intruso permaneceu no sistema, mesmo depois de este ter sido desligado fisicamente da Internet modem ilegal algures no edifício War Dialer Tenho de chamar a atenção ao pessoal de Marketing 48

49 Dogberry Versão limpa do computador administrativo Máquina com o Windows NT que não foi atacada Instalo o T-Sight Programa avançado de Anti-hacking Monitorizar cada máquina da companhia 49

50 Dogberry Montar a minha própria armadilha: O T-Sight verifica a ligação ao admin.hipotetico.com redireccionaa para uma jail Localizar o intruso Manter o suspeito distraído Juntei uma equipa de programadores para que a jail pareça um sistema de contabilidade O isco é completo com dados financeiros falsos 50

51 Dogberry Duas noites depois, 20:17h alguém entra mais uma vez na máquina de administração É o Abednego! Porque voltou ele tão depressa? 51

52 Abednego Orgulho negligente Cheio de orgulho Assunto de conversa no sub mundo hacker Notícia CNN Sinto-me invencível Nova invasão Ligo-me directamente à adagency.com telnet adagency.com Acesso directo fantasia.hipotetico.com admin.hipotetico.com 52

53 Dogberry O T-Sight redirecciona o Abednego para a jail, sem que este se aperceba. Através do T-Sight obtenho a password do RootKit da Fantasia: DiEd0gB. O intruso está-se a ligar da adagency.com Ligo para o administrador da adagency.com para me ajudar a localizar o Abednego 53

54 Dogberry Abednego está a ler um enorme ficheiro que contém números de cartões de crédito falsos Consigo até passar despercebido ao Abednego utilizando o RootKit dele. Abednego utilizou preguiçosamente o mesmos username e passwords em todos os seus rootkit s Instalo um sniffer na adagency.com 54

55 Dogberry Minutos antes do Abednego terminar o download e desligarse, consigo seguir o rasto dos ficheiro de cartões de crédito até à sua conta de Internet, no seu ISP. A informação obtida é suficiente para chamar o FBI, que contacta o ISP no dia seguinte para obter a identidade do Abednego através dos logs da companhia. 55

56 Dogberry Com todas estas provas em minha posse incluindo os logs de alta qualidade do EtherPeek na minha máquina Macintosh é aprovado um mandato de busca. O Material informático de Abednego é confiscado Abednego é preso 56

57 Conclusão A tecnolgia e o conhecimento estão ao alcance de todos Cada um age segundo os seus propósitos Um bom administrador de sistemas deve ter conhecimentos sobre hacking Descobrir falhas Saber quais as metodologias de intrusão Saber agir/pensar como um hacker Resolução de problemas Abednego foi traído pelo próprio ego Tal como na vida real, não há crime perfeito 57