Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13...
57
Hacking – Medidas e contra medidas Abednego & Dogberry Rolando Miragaia ESTG - IPL Gustavo Reis ESTG - IPL
Transcript of Abednego & Dogberry...pensavas que isto era uma porta de entrada – Minha besta Cai a ligação 13...
1
Hacking – Medidas e contra medidasAbednego & Dogberry
Rolando MiragaiaESTG - IPL
Gustavo ReisESTG - IPL
2
Abednego
Comando finger no IRC - obtém o e-mail de Dogberry ([email protected])telnet ao porto SMTP telnet hipotetico.com 25expn [email protected]
Dogberry é administrador
3
Abednego
“Nmap”- programa que faz port scanning Do porto 1 ao 65535Vários tipos: Connect, SYN, FIN
SYN
atacante -----> host alvoSYN+ACK
atacante <----- host alvoACK
atacante -----> host alvo
4
Dogberry
A Firewall tem um IDS que responde com as seguintes contra-medidas:
bombardeia com uma quantidade de dados aleatóriosenvia msg queixa para o ISP do Abednegoo ISP encerra a conta do Abednego
5
Abednego
Aborrecido, Abednego decide iniciar a retaliação:Ligo-me a outra conta (possuo várias)Stealth port scanner
explora a forma de funcionamento do TCPconsegue testar as portas de uma máquina sem que a firewall detecte o processo.
6
Abednego
FIN scanFIN
atacante -----> host alvoRST
atacante <----- host alvo --------- Porto Fechado
* Se a host alvo não responder o porto está aberto
A máquina a que se acede só regista a ligação depois de finalizado o three-way handshake
7
Abednego
O FIN scan dá um snapshot dos serviços autorizados pelo hipotetico.com
SSH Deamon - ligações cifradasServidor WebUm porto estranho 31 659
8
Dogberry
EhterPeek, um sniffer no hipotetico.com detectou o portscanConsola da máquina de administração
Programas que só correm a partir dessa máquinaO utilizador tem de estar ligado fisicamente
9
Dogberry
Análise dos log’s origem dos pacotes FINMail para o ISP do Abednego com aviso de tentativa de entrada na minha rede, junto com um pedido de dados sobre a conta do AbednegoPedido rejeitado!
Dados são confidenciaisCorrer um port scanner não é contra a lei
10
Abednego
A password não é aceiteTelefonema para o ISP – Conta desactivadaAcciono nova conta
11
Abednego
Ajo com mais cautelasLigo-me ao meu ISPAtravés deste ligo-me a outra máquina, “hackada” ligada a outro ISP Whois hipotetico.com
“Refrigerators R Us” Uma cadeia nacional de lojas
12
Abednego
Ligar-me ao hipotetico.comtelnet hipotetico.com 31659
pensavas que isto era uma porta de entrada – Minha besta
Cai a ligação
13
Dogberry
Daemon tenta bloquear a máquina atacante, enviando-lhe pacotes corruptosEnvia e-mail ao ISP daquela máquina por suspeita de crime informáticoEm poucos minutos a ligação do Abednego vai abaixo
14
Abednego
Mudança de planos - Contornar a firewall em vez de a furarLigo-me a mais uma das minhas contas “hackadas”Tento o comando nslookup
Composição das máquinas pertencentes ao domínioApenas lista IPs públicos
Nenhum resultado útilNão consigo saber detalhes sobre máquinas por de traz da firewall
15
Abednego
Tento um IP adress scannerConverto o hipotetico.com para um número através do nslookup
Mais de 50 endereços resultantes - não há garantias que pertençam a hipotetico.comWhois
procurar outros domínios registados na mesma companhia
Hipoteticoz.comIP scanner revela mais 5 endereços IP em números associáveis
16
Abednego
Cautelas extraLogo-me por telnet a outra conta “hackada”Dai, logo-me a uma outra também “hackada”Estes passos extra dificultam a minha localização Nesta terceira máquina instalo um RootKit
17
Abednego
RootKitPrograma estilo Cavalo de TróiaCamufla a presença de um intruso numa máquinaContém recompilações das aplicações de sistema – root Kit para uma máquina específicaPermite adicionar contasUsualmente inclui: sniffers, editor dos ficheiros de logs…
18
Abednego
Estando confortavelmente seguro preparo mais uma série de scans
Corro o software que faz os port scans a todas as máquinas cujos IPs obtive e pertencentes aos dois domínios da companhia (hipotetico.com hipoteticoz.com)Todos os FIN scans passam pela firewall
19
Dogberry
FIN port scan novamente detectado pelo meu EtherPeekMensagem para o beeper.Identifico a origem dos FIN scansNotifico o administrador da 3ª conta “hackada” do Abednego.
20
Dogberry
Firewall ao detectar scans normais inicia um flood.ISP da máquina do Abednego finalmete fica convencido de que está a haver um ataque e encerra a conta do Abednego.
21
Abednego - nova táctica
Descobrir outra entradaDevem existir centenas de desktops nos vários escritórios da companhiaPode existir um modem pessoal não autorizado, para que um utilizador se ligue directamente à sua máquina de outra localizaçãoModem só pode estar ligado a uma extensão telefónica
22
Abednego - nova táctica
Preparo o ShokDialCategoria war-dialerUm software que liga para uma dada gama de números de telefoneE espera por uma resposta
23
Abednego - nova táctica
Deparo com:Refrigerators R Us Marketing Departement. Irix 6.3Login:_War dialler obtem sucesso!
Basta crackar a passwordE esperar que haja acesso remoto à conta root – administração em sistemas unix/linux
24
Abednego - nova táctica
Tentar força brutaUso um password guesser para a conta root
Software que se liga ciclicamente a uma máquina testando várias palavras como passwordComeça pelas palavras mais comuns até às mais estranhasProcesso que pode demorar meses, desde palavras de dicionários aténomes de uma enciclopédia…
SORTE- 3 horas depois “nancy” é a password
25
Abednego - nova táctica
Ligo-me à nova vitima com previlégios de rootPreparo o terreno
Por FTP coloco um RootKit – para apagar os vestígios da minha presença
Preparo o Keystroke logging – grava todos os inputs de teclado naquela máquina Através do sniffer gravo todos os dados provenientes de acesso remoto àmáquina num ficheiro insuspeitoAtravés do rootkit preparo uma maneira alternativa de entrar na máquina
Login: revenge
Password: DiEd0gB
26
Abednego - nova táctica
Descobrir o endereço da máquina sequestradawho
revenge on picasso.hipotetico.com
Mais tarde quando o legítimo administrador entrar na máquina não desconfiará de qualquer intrusão
27
Dogberry
Alguém esta madrugada tentou entrar no hipotetico.com a partir da InternetPerturbado pelos FIN scans recentesNão tenho informação nenhuma para poder tomar uma medida
28
Abednego - nova táctica
Duas noites depois:Ligo-me ao picassoTráfego de rede é cifradoO keystroke logger registou que alguém se ligou daquela máquina a uma outra chamada fantasiaPossuo agora um login e passowrd para a fantasia – outra máquina interna à redeFantasia é uma workstation provavelmente utilizada como servidor para outras máquinasProcuro um ficheiro de passwords na esperança que estas funcionem noutras máquinas da companhia Descubro o ficheiro mas no lugar das passwors encriptadas existem “x”
Conclusão - as passwords estão num shadow file
29
Abednego - nova táctica
Provoco um CORE DUMP na máquina correndo um programa de FTP
Tenho acesso a parte da RAM no instante em que o core dump ocorreu através do ficheiro coreExamino o ficheiro core onde descubro os hashes das passwordsBasta correr o meu password cracker para obter a password não cifradaProcesso que pode demorar semanas
30
Abednego - nova táctica
Paralelamente tento outro conhecido truque que explora o buffer overflow no UNIX
Conseguir que algum código meu seja executado através dum crescimento desmesurado da pilhaexec("sh") para providenciar uma root shell.
31
Abednego - nova táctica
Buffer overflow
32
Abednego - nova táctica
Instalar na fantasia um RootKitApagar manualmente os registos da minha presença antes da intalação do RootkitDescobrir se alguém se consegue ligar à fantasia de uma máquina fora da firewall
last
Dois utilizadores: vangogh e nancy através da máquina adagency.com
33
Abednego – O golpe final
Avaliar a relação de confiança entre adagency e fantasiaHá uma relação de confiança, mútua entre as duas máquinas baseada no IP
Conseguindo entrar no adagency.com é facil chegar ao fantasia – passando pela firewall
Deste modo terei acesso à fantasia a partir da internet sem ter que recorrer à ligação modem-modem.
34
Picasso Fantasia Admin
Abednego 1 2 3Adagency
Web
35
Abednego – O golpe final
Ataque à confiançaUtilizar IP spoofing para entrar na adagency.comrlogin à adagency.com – não é autenticado por password mas por endereço IPCrio uma conta com previlégios de administraçãoLigo-me à adgency.com
Aproveito e instalo nesta máquina um rootkitUma vez lá dentro, ligação remota SSH à fantasia
36
Abednego – O golpe final
IP spoofing
37
Abednego – O golpe final
Estou numa posição confortável na fantasia.hipotetico.comÉ difícil a minha localização
Comando netstat para ver as ligações activas da máquina
Descubro uma máquina nova Admin.hipotetico.com – fortes probabilidades de ser a máquina de administração do Dogberry
38
Abednego – O golpe final
Na fantasia capturo a combinação de teclas introduzida por um utilizador através do RootKit – vangogh acedeu ao web serverTenho tudo para tomar conta do site web da companhiaEntretanto mais uma boa notícia – o sniffer no picasso registou um acesso por uma back door a admin.hipotetico.com – nancy como rootTenho tudo para tomar conta de toda a rede da companhia
39
Abednego - O golpe final
Exploro a conta root da admin.hipotetico.comAfinal o dogberry até fez um bom trabalho
A conta de root não dá acesso a outras máquinas, sem serem requeridas novas passwords
40
Abednego – O golpe final
Foco o meu ataque no webserverLigo-me ao web serverFaço upload de material obsceno para o site da companhia
41
Dogberry
Trabalhar até tarde examinar log’s.O pessoal de Marketing têm tido um número invulgar de ligações da adagency.comAmanhã vou ver o que se passa…
O telefone tocaUm cliente furioso queixa-se de que o site hipotetico.com tem vídeos pornográficos
Vejo o site alterado (“defaced”)Corro para o cabo umbilical que liga o sistema à Internet e desligo-o rapidamente
42
Abednego – O golpe final
Reparo que o site ficou em baixo rapidamenteNesta altura já sabem que houve um ataque e provavelmente estão a tentar localizar o autorVou voltar para tentar eliminar alguns vestígiosE aproveitar para causar mais alguns estragos – pois o efeito do site foi muito efémero Local de entrada – modem no picasso – uma entrada desconhecida para DogberryFormato completamente o admin.hipotetico.com
43
Dogberry
Sou impedido de recolher dados sobre o ataque.Abednego continua no sistema e manda a rede abaixo
Dirijo-me ao computador administrativoTarde demais!!! Tenho de instalar todo o software de raíz.
44
Abednego – O golpe final
Um acto final – Inundar o hipotetico.com com pacotes com lixoEventualmente causo dificuldades nos serviços oferecidos por aquela máquina
45
Dogberry
Recebo uma chamada atribuladaAlguém do departamento de vendas que, através do seu portátil num quatro de hotel, não consegue estabelecer ligação ao servidor de mail do hipotetico.com
46
Dogberry
Exausto suplico ao vice presidente da tecnologia por uma autorização
Limpar cada computador da redeReinstalar cada programaModificar todas as passwords
Tudo isto requer desligar o sistema durante dias pedido negado
47
Dogberry
Nesta altura do campeonato as atitudes malignas e destrutivas de Abednego passaram muito além da fronteira do legal no hackingO FBI está demasiado ocupado a investigar violações de segurança em vários sistemas do exército e da marinhaVou ter que ser eu a recolher mais informação
48
Dogberry
O intruso permaneceu no sistema, mesmo depois de este ter sido desligado fisicamente da Internet modem ilegal algures no edifícioWar Dialer
Tenho de chamar a atenção ao pessoal de Marketing
49
Dogberry
Versão limpa do computador administrativoMáquina com o Windows NT que não foi atacada
Instalo o T-SightPrograma avançado de Anti-hackingMonitorizar cada máquina da companhia
50
Dogberry
Montar a minha própria armadilha:O T-Sight verifica a ligação ao admin.hipotetico.com redirecciona-a para uma jailLocalizar o intrusoManter o suspeito distraído
Juntei uma equipa de programadores para que a jail pareça um sistema de contabilidadeO isco é completo com dados financeiros falsos
51
Dogberry
Duas noites depois, 20:17h alguém entra mais uma vez na máquina de administraçãoÉ o Abednego! Porque voltou ele tão depressa?
52
Abednego – Orgulho negligente
Cheio de orgulhoAssunto de conversa no sub mundo hackerNotícia CNNSinto-me invencível
Nova invasãoLigo-me directamente à adagency.com
telnet adagency.com
Acesso directo fantasia.hipotetico.com admin.hipotetico.com
53
Dogberry
O T-Sight redirecciona o Abednego para a jail, sem que este se aperceba.Através do T-Sight obtenho a password do RootKit da Fantasia: DiEd0gB.O intruso está-se a ligar da adagency.comLigo para o administrador da adagency.com para me ajudar a localizar o Abednego
54
Dogberry
Abednego está a ler um enorme ficheiro que contém números de cartões de crédito falsosConsigo até passar despercebido ao Abednego utilizando o RootKit dele.
Abednego utilizou preguiçosamente o mesmos username e passwords em todos os seus rootkit’s
Instalo um sniffer na adagency.com
55
Dogberry
Minutos antes do Abednego terminar o download e desligar-se, consigo seguir o rasto dos ficheiro de cartões de crédito até à sua conta de Internet, no seu ISP.A informação obtida é suficiente para chamar o FBI, que contacta o ISP no dia seguinte para obter a identidade do Abednego através dos logs da companhia.
56
Dogberry
Com todas estas provas em minha posse incluindo os logsde alta qualidade do EtherPeek na minha máquina Macintosh é aprovado um mandato de busca.O Material informático de Abednego é confiscadoAbednego é preso
57
Conclusão
A tecnolgia e o conhecimento estão ao alcance de todosCada um age segundo os seus propósitos
Um bom administrador de sistemas deve ter conhecimentos sobre hacking
Descobrir falhasSaber quais as metodologias de intrusãoSaber agir/pensar como um hacker
Resolução de problemasAbednego foi traído pelo próprio egoTal como na vida real, não há crime perfeito
