© Anders Ingeborn Säkerhetsbrister och intrång
© Anders Ingeborn Vem är Anders Ingeborn? Civilingenjör från KTH Teknisk säkerhetskonsult på iXsecurity – fd. Infosec, startades 1983 – ”Penetrationstester” – Säkerhetsgranskning av produkter Frilansskribent Nätverk&Kommunikation
© Anders Ingeborn Varje vecka… Vägverket i Malaysia, 4 mars Burger King, 2 mars
© Anders Ingeborn Vad är det som händer... …egentligen?
© Anders Ingeborn Dagens föreläsning Förklarade exempel ur verkligheten – Distansarbete & VPN – Kontorsapplikationer – Tunna klienter – Serverangrepp via HTTP, SQL & ASP – Buffer overflowbrister Något om trender & boktips
© Anders Ingeborn Först lite uppvärming ”Någon läser Kalles e-post” (feb) En fd. anställd, nu hos en konkurrent, vill snarare imponera än spionera Gissar lösenord via webbgränssnitt för distansarbete / e-post Dåligt lösenord, ingen bra rutin för genomgång av serverns loggar
© Anders Ingeborn Mer distansarbete Analys januari 2001 – Tre brandväggar ”vanliga” vägen – Intrång via en distansarbetsplats? Ja, ISDN-routern svag punkt – Telnet, standardlösenord, går ej stänga, använda routern som plattform in – Info via SNMP eller HTTP, ringa till modempoolen, gissa lösenord
© Anders Ingeborn VPN Analys november 2000 Funktion – Efter autenticering lägger VPN-klienten till ”tunneln” som ny default gateway – All trafik går genom tunneln
© Anders Ingeborn VPN (forts.) Men…om användaren därefter byter default gateway så bryter klienten inte sessionen (tunneln) – T.ex. VBScript VPN-klienten har kontakt med ”internet” och ”intranet” samtidigt – jfr. egen lina ut från kontoret? Oavsett stark autenticering...
© Anders Ingeborn Hur utnyttja scriptspråk? Exekveras av t.ex. e-postprogram – Outlook, Messenger, Notes – VBS, JS & LotusScript ”Leverera” via webbsida eller e-post – falsk avs. – ofta möjligt hos svenska företag
© Anders Ingeborn Kontorsprogrammen kritiska Kommer ofta i andra hand Har ofta stor tillgång till information Både från kontorsarbetsplatser och distansarbetsplatser
© Anders Ingeborn Andra brister i kontorsprogram Dynamiskt laddade bibliotek – Applikationen frågar operativsystemet – Söker efter filnamnet Manipulerad dll i aktuell katalog – Exekverar MainDll()-funktionen – september 2000 / januari 2001 Svårt att lura någon att öppna dokument, men...
© Anders Ingeborn ”Tunna klienter” Applikationer exekverar på servern Tvungen beakta alla brister i kontorsprogrammen – Likna vid att låta flera användare dela samma arbetsstation och samtidigt försöka skydda dem mot varandra – Analys i jan - runt 10 olika sätt(!)
© Anders Ingeborn Webblösningar Lättare att säkra än ”tunna klienter” – Exchange med webbaccess – Köra Outlook på terminalserver Webbgränssnitt till affärssystem etc.
© Anders Ingeborn Webbservrar HTTP GET-fråga till webbserver – GET /msadc/Samples%c0%af../../../../ cmd.exe?/c+dir+c:\ HTTP/1.0 Byta ut webbsidor Webbservern kan användas för angrepp mot databasservrar
© Anders Ingeborn Angrepp mot databasservrar Ofta blanka lösenord för sa-konton – SELECT * FROM customer_db – xp_cmdshell(”copy repair\sam._”) Kryptering! – Läsa ut databaserna direkt från filsystemet Förvånansvärt många företag slarvar med att säkra sina databasservrar...
© Anders Ingeborn Active Server Pages, ASP När är ASP-brister ett hot? – Webbservrar med ”personliga” hemsidor – I kombination med %c0%af eller FTP Konfigurationsangrepp – Server.CreateObject(”Wscript.Shell”) Systemangrepp – BOF
© Anders Ingeborn Buffer overflowbrister Stor del av alla rapporterade brister Skriva utanför allokerat minne Skriva över returadress Hoppa till inmatade instruktioner Exekvera kod med samma rättigheter som processen i fråga (mer på KTH-kursen i maj)
© Anders Ingeborn (forts.) BIND P5 (feb) – Kontroll av transaktionssignatur – Ej rekursion som ”NXT-buggen” Compaq Insight Manager (nov) – Användarnamn & lösenord – ”Bakdörr” om endast 256 byte Uppdateringar finns
© Anders Ingeborn Uppdelning av brister Användare – dåliga lösenord, klickar på bilagor mm. Konfiguration – ej uppdaterade, för generösa rättigheter, tillåter falska adresser i e-post mm. System/applikation – buffer overflows, VPN-exemplet tidigare – kräver källkod/patch
© Anders Ingeborn Trender Beroendet av IT-system ökar – lockar angripare Komplexiteten i applikationer ökar – gör det svårare att överblicka/säkra – kontorsprogram ”mer attraktiva mål” Sammankopplingen ökar – värre konsekvenser av en attack – internt (DB) & externt (partners)
© Anders Ingeborn Bra boktips! ”Secrets & Lies - digital security in a networked world”, Bruce Schneier ”Hack Proofing Your Network”, Ryan Russell, Greg Höglund m.fl.