Securitatea WLAN. Cursul XIII. Securitate WLAN. Botnets

Similar documents
riptografie şi Securitate

VISUAL FOX PRO VIDEOFORMATE ŞI RAPOARTE. Se deschide proiectul Documents->Forms->Form Wizard->One-to-many Form Wizard

Ghid de instalare pentru program NPD RO

GRAFURI NEORIENTATE. 1. Notiunea de graf neorientat

Pasul 2. Desaturaţi imaginea. image>adjustments>desaturate sau Ctrl+Shift+I

Mail Moldtelecom. Microsoft Outlook Google Android Thunderbird Microsoft Outlook

Platformă de e-learning și curriculă e-content pentru învățământul superior tehnic

Platformă de e-learning și curriculă e-content pentru învățământul superior tehnic

TTX260 investiţie cu cost redus, performanţă bună

Aplicatii ale programarii grafice in experimentele de FIZICĂ

Circuite Basculante Bistabile

Cuprins. 10. Reţele WLAN. Standarde wireless. Familia de reţele IEEE 802. Componentele reţelei WLAN

Parcurgerea arborilor binari şi aplicaţii

Split Screen Specifications

Click pe More options sub simbolul telefon (în centru spre stânga) dacă sistemul nu a fost deja configurat.

ETR mm. 31mm. 91mm. Wireless-N 3G Router & Client Bridge PRODUCT DESCRIPTION

Modalităţi de redare a conţinutului 3D prin intermediul unui proiector BenQ:

9.1. Structura unităţii de I/E. În Figura 9.1 se prezintă structura unui sistem de calcul împreună cu unitatea

CERCETĂRI PRIVIND SECURITATEA AFACERILOR ELECTRONICE. STANDARDE ŞI PROTOCOALE PENTRU SECURITATEA AFACERILOR ELECTRONICE

INTERNET. SISTEME MULTIMEDIA

Ghidul administratorului de sistem

DIRECTIVA HABITATE Prezentare generală. Directiva 92/43 a CE din 21 Mai 1992

LESSON FOURTEEN

PREZENTARE INTERFAŢĂ MICROSOFT EXCEL 2007

Cisco Aironet 1850 Series Access Points

6. MPEG2. Prezentare. Cerinţe principale:

SG a/b/g/n Wireless Mini PCI Card

Exerciţii Capitolul 4

Curs 5 Sistemul de semnalizare 7 (SS7).

GHIDUL UTILIZATORULUI DE REŢEA

Reţele de calculatoare. Cursul nr. 2 Principiile reţelelor de calculatoare

Application form for the 2015/2016 auditions for THE EUROPEAN UNION YOUTH ORCHESTRA (EUYO)

REŢELE DE COMUNICAŢII DE DATE

Securitatea sistemelor de calcul şi a reţelelor de calculatoare

10 Estimarea parametrilor: intervale de încredere

GHIDUL UTILIZATORULUI DE REŢEA

Introducere. Tehnologii. Fast Ethernet şi Gigabit Ethernet Fibra optica High Speed Wireless LAN

Models HP M n (WW) Access Point

Split Screen Specifications

Structura sistemelor de operare Windows şi Linux

Cisco Aironet 1850 Series Access Points

SUBIECTE CONCURS ADMITERE TEST GRILĂ DE VERIFICARE A CUNOŞTINŢELOR FILIERA DIRECTĂ VARIANTA 1

HP ProCurve MultiService Access Point Series

Ghid de configurare fără fir

CURS Nivele de management al SAN Nivelul de stocare *I LTO Tape Library Specialist

Reţele de calculatoare

CURSUL 4 STOCARE ŞI VIRTUALIZAREA STOCĂRII ÎN SISTEME INFORMATICE

MR70. Datasheet MR70. Dual-band, ac Wave 2 ruggedized access point delivering basic enterprise wireless for outdoor or low-density deployments

Lucrul în reţea Serviciile de acces la distanţă (RAS): Conexiunile PPP

AirCheck Detail Report. Networks Summary. AirCheck Information. SSID: [Hidden] SSID: [Hidden] SSID: AuthorizedGuest. SSID: cisco001.

GHIDUL UTILIZATORULUI DE REŢEA

Sistemul de semnalizare SS7. Petre Ogruţan, ianuarie 2015

Industrial Wi-Fi Access Point and Client - DM500

Sistemul de operare Windows (95, 98) Componenta My Computer

Wireless Cloud Camera TV-IP751WC (v1.0r)


MR20. Datasheet MR20. Dual-band, ac Wave 2 access point delivering entry-level enterprise wireless for small businesses and SOHO deployments

MR84. Datasheet MR84. Dual-band ac Wave 2 access point with separate radios dedicated to security, RF management, and Bluetooth

Ghid de instalare in limba romana TE100-S16 TE100-S24

ARHITECTURA CALCULATOARELOR 2003/2004 CURSUL 10


Meraki MR Access Point

Maria plays basketball. We live in Australia.

Conferinţa Naţională de Învăţământ Virtual, ediţia a IV-a, Graph Magics. Dumitru Ciubatîi Universitatea din Bucureşti,

Circuit de supervizare şi control cu interfaţă ethernet Coordonator ştiinţific, Asist. Drd. Ing. EPURE Silviu Absolventă, MIHNEA Dorina

ZOOLOGY AND IDIOMATIC EXPRESSIONS

Gestionarea sistemelor Administrare centrală

Cisco Aironet 1040 Series Access Points

Innovative Industrial Solutions, Inc Skyline Drive Russellville, AR Phone (479) Fax (479)

Cisco Aironet 1250 Series Access Point

Operaţiile de sistem de bază

Press review. Monitorizare presa. Programul de responsabilitate sociala. Lumea ta? Curata! TIMISOARA Page1

Cisco Aironet 1250 Series Access Point

E-MANUAL. Thank you for purchasing this Samsung product. To receive more complete service, please register your product at.

4 Caracteristici numerice ale variabilelor aleatoare: media şi dispersia

2 MEDIUL BAZELOR DE DATE

E-MANUAL. Thank you for purchasing this Samsung product. To receive more complete service, please register your product at.

3. Nivelul legătură de date

Contents. e-manual Guide. Getting Started. ARC (Audio Return Channel) Viewing the e-manual. Computer Connection. Smartphone Connection

E-MANUAL. imagine the possibilities

Installation Guide. Wireless Display Receiver

E-MANUAL. Thank you for purchasing this Samsung product. To receive more complete service, please register your product at.

Moduri CPU şi inele de protecţie. Moduri CPU şi inele de protecţie. Moduri CPU şi inele de protecţie. Securitatea sistemelor şi a aplicaţiilor

2.Transferul de date. Transferul de date

Pornire rapidă. Nighthawk X4 Router Smart WiFi AC2350 Model R7500v2. Conţinutul ambalajului. Videoclip despre instalare

ANEXA NR. 1. Caracteristicile tehnice ale interfeţelor echipamentelor. Exemplu schema de interconectare TRONSON XX: A A1 A2 A3 - B STM-4 A2 A3 STM-1

MR53. Datasheet MR53. Dual-band ac Wave 2 access point with separate radios dedicated to security, RF management, and Bluetooth

Asistenţă Conţinutul ambalajului Cablu Ethernet Mărci comerciale Router cu modem AC1600 WiFi VDSL/ADSL Conformitate Cablu telefonic Router cu modem

2. Date despre disciplină 2.1 Denumirea disciplinei (ro) (en)

Conţinutul ambalajului

6. Marketing prin Internet

MR42E. Datasheet MR42E. Dual-band, ac Wave 2 access point with external antenna connectors for general-purpose Wi-Fi and focused coverage

Referinţe în era digitală: marketing şi servicii în lumi virtuale

EtherNet/IP. 2 canale digitale SIL3 sigure ca FDI sau FDO (PP, PM) 4 canale digitale I/O non-safe. 2 mastere IO-Link sloturi V1.1. Figura 1.

Referat II. Arhitectura unei interfeţe avansate pentru un Sistem Suport pentru Decizii. Coordonator ştiinţific: Acad. prof. dr. ing. Florin G.

Tehnologia Xerox ConnectKey. Ecosistemul de productivitate la locul de muncă.

Sisteme de operare şi programe specifice. Material de predare partea a I-a. Material de învăţare

Tehnologia Informaţiei şi a Comunicaţiilor

Algoritmică şi programare Laborator 3

E-MANUAL. Thank you for purchasing this Samsung product. To receive more complete service, please register your product at

Transcription:

Cursul XIII. Securitate WLAN. Botnets Reţele wireless. Tipuri Infrastructură Maşinile client stabilesc o conexiune radio cu un dispozitiv special numit punct de acces (access point, AP) AP sunt conectate la rețele cu fir, ceea ce furnizează un gateway spre internet Sunt cele mai mai comune Peer-to-peer Mai multe maşini se interconectează Folosite de obicei în reţele adhoc şi la partajarea conexiunii internet SSA cursul 13 - M. Joldos - T.U. Cluj 1 SSA cursul 13 - M. Joldos - T.U. Cluj 2 SSID Pot coexista mai multe reţele wireless Fiecare reţea este identificată printr-un Service Set ID (SSID) de 32 caractere SSID implicit tipic este numele producătorului SSIDs sunt difuzate adesea pentru a permite clienţilor potenţiali să descopere reţeaua SSIDs nu sunt semnate, permit atac prin falsificare (spoofing attack) Se amplasează un AP neautorizat într-o locaţie publică (d.e., cafenea, aeroport) Se foloseşte SSID-ul unui ISP Se pregăteşte o pagină de login asemănătoare cu a ISP Se aşteaptă ca clienții să se conecteze la AP şi să se autentifice Eventual se înaintează sesiunea spre reţeaua ISP Atacul este facilitat de valorile implicite de conectare automată Securitatea WLAN IEEE 802.11 Set de standarde pentru comunicarea în WLAN în benzile de 5 GHz şi 2.4 GHz. Cele mai populare: 802.11b, 802.11g. Securitate slabă la început Securitatea 802.11 Două subsisteme: Tehnică de încapsulare a datelor numită WEP(Wired Equivalent Privacy) Algoritm de autentificare cu cheie partajată (Shared Key Authentication) Slăbiciuni severe în WEP. WPA, WPA2, 802.11i SSA cursul 13 - M. Joldos - T.U. Cluj 3 SSA cursul 13 - M. Joldos - T.U. Cluj 4

Trasul cu urechea şi falsificarea MAC Întregul trafic poate fi ascultat Se foloseşte de obicei autentificarea bazată pe MAC pentru identificarea maşinilor aprobate în reţea Sunt posibile atacuri bazate pe falsificarea adresei de MAC, ca în reţelele cu fir Sesiunile sunt menţinute active după deconectări scurte Dacă clientul ISP nu termină o sesiune explicit, falsificarea MAC permite preluarea sesiunii Wardriving şi warchalking Cautarea de WLAN-uri (din maşină) Unii folosesc GPS pentru a jurnaliza locaţiile descoperite, apoi le postează online Software utilizabil în acest scop: NetStumbler (Windows), KisMac (Macs) Kismet (Linux) Se folosesc antenele pentru a mări zona de descoperire Legea este neclară dacă nu sunt transmise informaţii şi nu se folosesc servicii de reţea Warchalking implică scrierea de marcaje pe trotuar pentru a indica reţelele fără fir şi info asociate lor SSA cursul 13 - M. Joldos - T.U. Cluj 5 SSA cursul 13 - M. Joldos - T.U. Cluj 6 WEP Setup AP şi clientul partajează cheia de 40 biţi, K Cheia nu se schimbă într-o sesiune WEP Cifrarea Se calculează suma de control CRC-32 a mesajului M Se alege in vector de iniţializare de 24 biţi, IV Se creează textul cifrat C = (M crc(m)) S(K,IV) Autentificarea clientului AP trimite o provocare aleatoare în clar spre client Clientul răspunde cu provocarea criptată Transmisia Se trimite IV C Punctele slabe ale WEP Cheie de criptare, K Octet de date text în clar, p Octet aleator, b Generator de numere pseudoaleatoare Când p1 şi p2 sunt cifrate cu acelaşi octet aleator, b: c 1 = p 1 b c 2 = p 2 b c 1 c 2 = (p 1 b) (p 2 b) = p 1 p 2 Octet de date text cifrat, c SSA cursul 13 - M. Joldos - T.U. Cluj 7 SSA cursul 13 - M. Joldos - T.U. Cluj 8

Atacul prin modificarea mesajului Modificarea mesajului Fiind dat un şir arbitrar, dorim să înlocuim mesajul M cu M z Omul la mijloc înlocuieşte textul cifrat C cu C = C (z crc(z)) Înlocuirea textului ţintă Este posibilă dacă ştim poziţia textului în mesaj D.e, schimbarea datei în email Motivul vulnerabilităţii Suma de control CRC se dsitribuie peste XOR (C = (M crc(m)) S(K,IV)) CRC nu este o funcţie de dispersie criptografică Atacul cu redirectarea IP Atacatorul convinge AP să decripteze pachetul Metoda: Se ascultă un pachet IP care intră (inbound) Se retrimite pachetul la maşina externă controlată de atacator Se recepţionează pachetul decriptat de AP Se repetă cu pachete în ieşire (outbound) Se ghiceşte adresa destinaţie Din subreţeaua LAN Se schimbă adresa desstinaţie Se modifică destinaţia originală D spre maşina externă D controlată de atacator Se foloseşte metoda de modificare anterioară Se schimbă suma de control a pachetului Diferenţa între suma nouă şi cea veche este cunoscută x x= (D H + D L ) (D H + D L ) Se ghiceşte x x Succes după câteva încercări SSA cursul 13 - M. Joldos - T.U. Cluj 9 SSA cursul 13 - M. Joldos - T.U. Cluj 10 Vectori de iniţializare (IV) refolosiţi IV refolosiţi implică refolosirea cheii (keystream=secvenţă pseudo-aleatoare de caractere) Atacatorul obţine XOR a două mesaje Atacatorul poate recupera şi mesajele şi cheia Cheia recuperată se pot folosi la injecţia de trafic IV implicit Câteva implementări cu greşeli a generării IV D.e. Pornirea de la zero la pornirea dispozitivului şi apoi incrementare repetată cu unu IV aleator Lungimea mică (24 biţi) duce la repetare în scurt timp chiar dacă IV este generat aleator D.e. Se aşteaptă coliziuni cu probabilitate mare după 2 12 4000 de transmisii Falsificarea autentificării Atacatorul vrea să se dea drept un client legitim Nu cunoaşte cheia secretă K Poate asculta mesajele de autentificare Atacul Obţine provocarea R şi cea criptată C = (R crc(r)) S(K,IV) Calculează cheia S(K,IV) = (R crc(r)) C Refoloseşte cheia S(K,IV) la recepţia mesajului provocare de la AP SSA cursul 13 - M. Joldos - T.U. Cluj 11 SSA cursul 13 - M. Joldos - T.U. Cluj 12

Wi-Fi Protected Access: WPA, WPA2 WPA Implementează parţial IEEE 802.11i Cifru flux RC4 cu cheie de 128-biţi şi vector de iniţializare (IV) de 48-bit. Suportă şi alte feluri de autentificare (d.e. Nume şi parolă) Schimbă dinamic cheile în sesiune Are o metodă criptografică de verificare a integrităţii Contor pentru cadre pentru a preveni atacurile cu reluare WPA2 Implementează obligatoriu 802.11i Criptare, gestiunea cheilor, integritate MAC furnizat de Counter Mode with Cipher Block Chaining (CCMP), algoritm bazat pe AES Temporal Key Integrity Protocol(TKIP) & Message Integrity Code(MIC) TKIP -amestecarea per-packet a cheii -verificarea integrităţii mesajului -mecanism de rekeying MIC este numit şi MAC (message authentication code) SSA cursul 13 - M. Joldos - T.U. Cluj 13 SSA cursul 13 - M. Joldos - T.U. Cluj 14 CCMP: AES Counter Mode with Cipher Block Chaining Message Authentication Code Protocol Gestiunea cheilor şi integritatea mesajelor se face întro singură componentă construită în jurul AES Advanced Encryption Standard Cifru bloc SubBytes, ShiftRows, MixColumns, AddRoundKey Singurele atacuri care pot avea succes: atacuri asupra implementării fizice Protocoale WAP Wireless Application Protocol Aplicaţii principale: pentru telefoane mobile şi PDA, Dispozitive cu putere de prelucrare redusă şi memorie relativ mică. Reţele fără fir cu lărgime de bandă mică. De la nivelul transport la nivelul aplicaţie SSA cursul 13 - M. Joldos - T.U. Cluj 15 SSA cursul 13 - M. Joldos - T.U. Cluj 16

Stive WAP WML: Wireless Markup Language WSP: Wireless Session Protocol WTP: Wireless Transport Protocol WTLS: Wireless Transport Layer Security WCMP: Wireless Control Management Protocol WDP: Wireless Datagram Protocol SSA cursul 13 - M. Joldos - T.U. Cluj 17 Moduri nerecomandate de securizare a WLAN Autentificare prin MAC Ascunderea SSID (Service Set IDentifier) Dezactivarea DHCP Amplasarea antenei şi suprimarea semnalului Folosirea WLAN bazate pe 802.11a sau Bluetooth SSA cursul 13 - M. Joldos - T.U. Cluj 18 Moduri nerecomandate de securizare a WLAN. Autentificarea prin MAC Moduri nerecomandate de securizare a WLAN. Falsificarea MAC Nu este de fapt autentificare Tot ce se întâmplă este filtrarea adresei MAC Adresele MAC sunt transmise în clar Extrem de uşor de captat Extrem de uşor de clonat şi învins Extrem de dificil de gestionat filtrarea MAC SSA cursul 13 - M. Joldos - T.U. Cluj 19 SSA cursul 13 - M. Joldos - T.U. Cluj 20

Moduri nerecomandate de securizare a WLAN. Ascunderea SSID SSID nu se poate ascunde Tot ce se întâmplă este suprimarea semnalului far al punctului de acces Patru alte emisii SSID nu sunt suprimate Probe requests Probe responses Association requests Re-association requests SSIDs trebuie transmise în clar; altfel 802.11 nu poate funcţiona SSA cursul 13 - M. Joldos - T.U. Cluj 21 Moduri nerecomandate de securizare a WLAN. Dezactivarea DHCP Dezactivarea DHCP (Dynamic Host Configuration Protocol) şi forţarea folosirii adreselor IP statice nu ajută Schemele IP folosite sunt uşor de descoperit de vreme ce adresele IP sunt trimise în clar Durează mai puţin de 1 minut să se determine schema de adresare şi să se introducă o adresă IP statică SSA cursul 13 - M. Joldos - T.U. Cluj 22 Moduri nerecomandate de securizare a WLAN. Amplasarea antenei şi suprimarea semnalului Amplasarea antenei şi suprimarea semnalului nu criptează datele Antena hackerului e mai bună Antenele direcţionale cu câştig mare pot culege semnale slabe de la kilometri distanţă Scăderea puterii de emisie poate afecta utilizatorii legitimi mai mult decât pe atacatori Vopselele/tapetele speciale Wi-Fi nu sunt 100% sigure şi sunt foarte scumpe Moduri nerecomandate de securizare a WLAN. Trecerea la 802.11a sau la BLuetooth 802.11a este un mecanism de transport asemănător lui 802.11b sau 802.11g 802.11a nu are nimic de a face cu securitatea Dacă hackerul are echipament capabil de 5 GHz 802.11a... Bluetooth este mai mult o alternativă wireless USB Se poate folosi la reţele wireless dar nu a fost proiectat ca înlocuitor pentru 802.11.x SSA cursul 13 - M. Joldos - T.U. Cluj 23 SSA cursul 13 - M. Joldos - T.U. Cluj 24

Uneltele hackerului de wireless Software Auditor CD Kismet ASLEAP Void11, Aireplay, Airedump, and Aircrack Hardware Adaptoare de cardbus ieftine, compatibile Antene omnidirecţionale cu câştig mare Antene direcţionale cu câştig mare Laptop Uneltele hackerului de wireless. Auditor CD Linux CD bootabil cu toate uneltele de securitate Tot ce e nevoie pentru a penetra majoritatea reţelelor LAN wireless şi înca altele Menţionat ca favorit al FBI Relativ uşor de folosit SSA cursul 13 - M. Joldos - T.U. Cluj 25 SSA cursul 13 - M. Joldos - T.U. Cluj 26 Uneltele hackerului de wireless. Kismet Kismet este o unealtă de audit pentru LAN wireless sub UNIX Poate vedea SSIDs ascunse Poate vedea adrese MAC Poate vedea scheme IP Poate captura pachete în stare brută Există interfaţă grafică Uneltele hackerului de wireless. ASLEAP ASLEAP sparge autentificarea Cisco LEAP Exploatează autentificarea slabă din MSCHAPv2 (Microsoft Challenge-Handshake Authentication Protocol Foloseşte tabele de dispersie indexate precalculate Verifică 45 milioane de parole pe secundă Actualizat să suporte spargerea PPTP (Point to point tunneling protocol) VPN SSA cursul 13 - M. Joldos - T.U. Cluj 27 SSA cursul 13 - M. Joldos - T.U. Cluj 28

Uneltele hackerului de wireless. Void11, Aireplay, Airedump, and Aircrack Set nou de unelte care sporeşte viteza de spargere a WEP Void11 forţează utilizatorii să se re-autentifice Aireplay monitorizează sesiunea de reautentificare căutând cereri ARP (Address resolution protocol) şi apoi redă cererea pentu a declanşa răspunsuri de la maşini legitime Airedump capturează toate pachetele în stare brută Aircrack are nevoie doar de cca 200,000 pachete în loc de 10,000,000 necesare uneltelor anterioare lui Cele mai bune căi de securizare a WLAN Criptografia de calitate permite comunicaţii sigure peste medii de comunicare nesigure Urmaţi principile de cele mai bune practici criptografice Autentificare tare Cifrare tare Standardele WPA şi WPA2 SSA cursul 13 - M. Joldos - T.U. Cluj 29 SSA cursul 13 - M. Joldos - T.U. Cluj 30 Cele mai bune căi de securizare a WLAN. Autentificarea tare Este adesea trecută cu vederea Metodele de autentificare sigure folosesc toate tunele SSL sau TLS TLS este succesorul lui SSL SSL sau TLS necesită certificate digitale Certificatele digitale implică de obicei o formă de PKI şi de gestiune a certificatelor Cele mai bune căi de securizare a WLAN. Autentificarea tare WLANs folosesc de obicei 802.1x şi EAP (Extensible Authentication Protocol) Tipurile standard uzuale de EAP sunt EAP-TLS (Transport Layer Security), EAP-TTLS (Tunneled Transport Layer Security) şi PEAP (Protected EAP) LEAP (Lightweight EAP) şi EAP-FAST nu sunt standard EAP-TLS necesită certificate server şi client EAP-TTLS şi PEAP necesită doar certificate pe partea de client SSA cursul 13 - M. Joldos - T.U. Cluj 31 SSA cursul 13 - M. Joldos - T.U. Cluj 32

Cele mai bune căi de securizare a WLAN. Autentificarea tare şi serverele RADIUS Autentificarea EAP necesită suport RADIUS (Remote Authentication in Dial-In User Service) în punctul de acces şi unul sau mai multe servere RADIUS Microsoft Windows 2003+ Server are o componentă RADIUS complet funcţională numită IAS Suportă EAP-TLS şi PEAP Windows 2000 suportă doar EAP-TLS Se integrează uşor în domenii NT sau Active Directory Open source FreeRadius suportă o gamă largă de tipuri EAP Cele mai bune căi de securizare a WLAN. Criptarea tare Criptarea este bine înţeleasă Nu se cunosc metode de spargere a criptării de calitate 3DES este încă considerată solidă, dar este lentă AES este succesorul oficial al DES şi este solid la 128, 192, sau 256 bits SSA cursul 13 - M. Joldos - T.U. Cluj 33 SSA cursul 13 - M. Joldos - T.U. Cluj 34 Cele mai bune căi de securizare a WLAN. Criptarea tare în WLAN RC4 este cunoscut ca slab WEP foloseşte o formă de criptare RC4 WEP dinamic face mai dificilă spargerea WEP TKIP este un algoritm WEP rescris Nu sunt cunoscute metode împotriva TKIP, dar există atacuri la orizont posibile teoretic Criptarea AES, obligatorie în cele mai noi standarde WLAN, este solidă Cele mai bune căi de securizare a WLAN. Standardele WPA şi WPA2 WPA a folosit o versiune redusă a 802.11i WPA2 foloseşte standardul 802.11i ratificat WPA şi WPA2 sunt tipuri EAP certificate EAP-TLS (primul certificat) EAP-TTLS PEAPv0/EAP-MSCHAPv2 (cunoscut ca PEAP) PEAPv1/EAP-GTC EAP-SIM WPA necesită capabilitate TKIP cu AES opţional WPA2 necesită atât capabilitate TKIP cât şi AES SSA cursul 13 - M. Joldos - T.U. Cluj 35 SSA cursul 13 - M. Joldos - T.U. Cluj 36

Reţele de bots Ce sunt botnets Botnet = rețea de roboți software (bots) care rulează pe mașini "zombie" și sunt controlaţi de rețele de comandă și control (C&C) Compoziţie: min 1 bot server/controlor și 1+ clienţi bot, de obicei de ordinul miilor. Partea principală a fiecărui client bot: un interpretor de comenzi care este capabil să primească comenzi independent și să le execute. Abilitate fundamentală: de a acționa coordonat împreună cu toate/unele părți ale botnet. Gestionată de un comandant (botherder/botmaster). Avantajoase pentru hackeri: botnets pot executa ordine pe mașini care nu le sunt conectate direct => este dificilă investigarea și urmărirea în justiție SSA cursul 13 - M. Joldos - T.U. Cluj 37 SSA cursul 13 - M. Joldos - T.U. Cluj 38 Statistici (disputate) Numărul total de botnets și dimensiunea lor sunt controversate 2005/6: sute de mii de bots 1/4 dintre mașini sunt actualmente parte a botnets rețelele cresc rapid Unele surse susţin că rețelele își reduc dimensiunile pentru a evita detectarea Ciclul de viață al unei botnet Mașina este exploatată și devine bot Noua mașină se alătură celorlaltor și informează deținătorul Descarcă modulul anti AV Securizează noul client bot Ascultă comenzile de la serverul/p erechea de C&C Obține modulul cu încărcatura Execută comenzile Raportează rezultatul la C&C La comand ă șterge dovezile și abandon ează clientul SSA cursul 13 - M. Joldos - T.U. Cluj 39 SSA cursul 13 - M. Joldos - T.U. Cluj 40

Comportamente de atac Infectarea unor noi maşini Folosesc ingineria socială şi distribuţia de email rău intenţionat sau alte forme de comunicare electronică (d.e. Instant Messaging) Exemplu - Email trimis cu cod de botnet deghizat ca ataşament inofensiv. Furtul de informaţii personale Folosesc tehnologiile de jurnalizare a tastării (Keylogger) şi ascultare a traficului de reţea (Network sniffing) pe sistemele compromise pentru a spiona utilizatorii şi a culege informaţie cu caracter personal Proxy pentru phishing şi pentru email mesolicitat (spam) Puterea de calcul agregată şi capabilitatea proxy permit surselor de mail nesolicitat să afecteze grupuri mai mari fără a fi depistaţi. Refuzul servirii, distribuit (DDoS) Afectează sau elimină disponibilitatea unei reţele pentru a extroca sau a întrerupe afacerile Notă: Phishing = cale de obţinere de informaţii cum sunt nume de utilizatori, parole sau detalii ale carţilor de credit prin deghizarea ca entităţi de încredere în comunicatii electronice. SSA cursul 13 - M. Joldos - T.U. Cluj 41 Cum sunt infectate maşinile Vulnerabilităţi ale SO Exploatări Nu este nevoie de utilizator Pot fi blocate de pereţii antifoc şi sisteme de pevenire a intruziunilor pe gazdă Atacuri pe partea de client Descărcătoare nesolicitate trimise prin mail sau IM La rulare instalează bot Situri hăcuite Exploatează factorul uman SSA cursul 13 - M. Joldos - T.U. Cluj 42 Comanda şi Controlul(C&C) Esenţială pentru funcţionarea şi suportul botnet Trei feluri Centralizată, P2P şi Randomizată (ultima, model teoretic) Cea mai slabă verigă a botnet, deoarece: Eliminarea botmaster distruge botnet Nivelul ridicat al activităţii botmaster îl face mai uşor detectabil decât pe bots C&C Centralizată Simplu de desfăşurat (deploy), ieftină, latenţă mică pentru atacuri la scară mare Cel mai uşor de eliminat SSA cursul 13 - M. Joldos - T.U. Cluj 43 Exemplu de C&C Centralizată (*) : Pas opţional Trei paşi de autentificare Bot spre IRC Server IRC Server spre Bot Botmaster spre Bot SSA cursul 13 - M. Joldos - T.U. Cluj 44

C&C Peer to Peer Caracteristici: Rezistentă la căderi, greu de descoperit, greu de apărat. Face dificilă lansarea atacurilor la scară mare deoarece tehnologiile P2P suportă actualmente doar grupuri foarte mici (< 50 peers) Exemplu: Folosirea reţelei Overnet de către botnet Storm (din oct. 2007)este extrem de dinamică. Peers vin şi pleacă şi îşi pot schimba OIDs (Overnet Identifier) frecvent. Pentru a sta bine conectaţi peers trebuie să se caute pe sine pentru a găsi peers apropiaţi Round 3 Round 1 Bootstrapping Peer Round 4 Nod Stor m Round 2 SSA cursul 13 - M. Joldos - T.U. Cluj 45 SSA cursul 13 - M. Joldos - T.U. Cluj 46 Transmiterea mesajelor în Overnet (Message Passing) Overnet are trei tipuri de mesaje de bază pentru a facilita functionarea corespunzătoare a reţelei: Connect: Folosit de un peer pentru a raporta OID propriu la alţi peers şi a primi o listă de peers relativ apropiati de acesta. Search: Folosite de un peer pentru a afla resurse pe alte noduri pe baza OID. Publicize: Folosite de un peer pentru a raporta proprietatea resurselor reţelei (OIDs) astfel ca alţi peers să poată găsi ulterior resursa SSA cursul 13 - M. Joldos - T.U. Cluj 47 Mecanisme de adunare (rallying) Adrese de IP pre-construite (hard-coded) Bot comunică folosind adrese IP ale C&C preconstruite. Uşor de apărat împotriva acerstei tehnici deoarece adresele IP sunt uşor de detectat şi blocat. Nume de domeniu DNS dinamice Domenii C&C preconstruite atribuite de furnizori de DNS dinamic. Detecţia mai dificilă atunci când botmaster îşi schimbă aleator locaţia Este uşor de reluat atacul cu un alt nume de domeniu, neblocat Dacă conexiunea eşuează, bot face cereri DNS pentru a obţine noua adresă C&C pentru redirectare. Serviciu DNS distribuit Cel mai greu de detectat şi distrus. Cel mai nou. Sofisticat. Botnets rulează servicii DNS la care autorităţile nu pot ajunge Bots folosesc adresele de DNS pentru a rezolva serverele de C&C Folosesc numere mari de porturi pentru a evita detectarea de către dispozitivele de securitate şi de către gateways SSA cursul 13 - M. Joldos - T.U. Cluj 48

Protocoale de comunicare În majoritatea cazurilor botnets folosesc protocoale de comunicare bine definite şi acceptate. Înţelegerea acestor protocoale: Ajută la determinarea originii unui atac botnet şi a software folosit Permite cercetătorilor să decodifice conversaţiile dintre bots şi stăpâni Două protocoale de comunicare principale folosite la atacuri bot: IRC HTTP IRC (Internet Relay Chat) 1988 - pentru conversatii unul-la-mai-mulţi sau maimulţi-la-mai-multi, (dar poate şi unul-la-unul) (Pentru BBS) Client/server -- TCP Port 6667 Se folosesc canale (uneori protejate prin parole) pentru comunicarea între părţi Mod invizibil (fară listare, incognito) Doar pe bază de invitaţie (trebuie sa fii invitat ca să participi) SSA cursul 13 - M. Joldos - T.U. Cluj 49 SSA cursul 13 - M. Joldos - T.U. Cluj 50 Protocoale de comunicare. IRC Botnets IRC au fost versiunea predominantă Majoritatea reţelelor corporaţiilor nu permit trafic IRC astfel că cererile IRC pot determina dacă e bot intern sau extern Cererile IRC spre exterior (outbound) indică prezenţa unei maşini infectate pe reţea Cererile IRC spre interior (inbound) semnifică recrutarea unei maşini din reţea Protocoale de comunicare. HTTP Din cauza prevalenţei folosirii HTTP este mai greu de urmărit o botnet care utilizează protocoale HTTP Folosirea HTTP poate permite unei botnet să evite restricţiile pereţilor antifoc care afectează botnets pe IRC Detectarea botnets HTTP este mai dificilă, dar nu imposibilă deoarece câmpurile de antet şi încărcătura nu se potrivesc cu transmisiile uzuale Opţiuni nou aparute sunt protocoalele IM şi P2P se aşteapta ca folosirea acestora să crească în viitor SSA cursul 13 - M. Joldos - T.U. Cluj 51 SSA cursul 13 - M. Joldos - T.U. Cluj 52

Exemplu de botnet HTTP: Fast-flux Networks Schemă folosită uzual Utilizată pentru a controla botnets cu sute sau chiar mii de noduri Infrastructura de C&C. Botnet HTTP Bot ia legătura cu serverul C&C cu info proprie inclusă în URL Atacatorii trimit comenzi via răspunsul HTTP. SSA cursul 13 - M. Joldos - T.U. Cluj 53 SSA cursul 13 - M. Joldos - T.U. Cluj 54 Infrastructura de C&C. Botnet IM Trimite comanda tuturor bots din lista via IM Botmaster trimite doar un număr mic de mesaje Fiecare destinatar trimite la contactele proprii Comportamente observabile Trei categorii: Bazate pe reţea Corelate global Bazate pe gazdă Bazate pe gazdă: comportamentul Botnet se poate observa pe maşina gazdă. Prezintă activităţi asemănătoare viruşilor La executare, Botnets lansează o secvenţa de rutine: Modifică registries Modifică fişiere sistem Crează conexiuni necunoscute în reţea Dezafectează programele antivirus SSA cursul 13 - M. Joldos - T.U. Cluj 55 SSA cursul 13 - M. Joldos - T.U. Cluj 56

Comportamente observabile. Bazate pe reţea Şabloanele observate pe reţea se pot folosi la detectarea Botnets IRC & HTTP sunt cele mai comune forme de comunicare a Botnets Detectabile prin identificarea şabloanelor de trafic anormal. Comunicaţii IRC în zone nedorite Conversaţii IRC neinteligibile Numele de domeniu DNS Interogări DNS pentru localizarea serverului C&C Gazde care interoghează nume de domeniu improprii O adresă IP asociata unui nume de domeniu se schimbă periodic Traficul În salve uneori, inexistent mai tot timpul Răspunsuri anormal de rapide comparativ cu cele umane Atacuri (d.e: DoS) Multe pachete de TCP SYN nevalide cu adrese sursă nevalide Comportamente observabile. Corelate global Caracteristicile globale sunt legate de fundamente. Botnets E improbabil să se schimbe dacă nu se re-proiectează şi re-implementează Cea mai valoroasă cale de detecţie Comportamentul este la fel indiferent dacă botnets comunică via IRC sau HTTP Interogările DNS global cresc din cauza atribuirii noilor servere de C&C Dezorganizarea secvenţelor de pachete de la surse la destinaţii SSA cursul 13 - M. Joldos - T.U. Cluj 57 SSA cursul 13 - M. Joldos - T.U. Cluj 58 Tehnici de evitare a detecţiei Sofisticarea botnets le permite să evite Motoarele AV (antivirus) IDS bazate pe semnături IDS bazate pe detecţia anomaliilor Tehnici folosite Compresoare pentru executabile (executable packers) Rootkits: tip mascat de software rău intenţionat destinat să ascundă existenţa anumitor procese sau programe faţă de metodele de detecţie normale (d.e. Folosing Task Manager)şi a permite accesul conitnuu privilegiat la o maşină Protocoale Tehnici de evitare a detecţiei Renunţarea la utilizarea IRC Luarea controlului asupra: HTTP VoIP IPV6 ICMP Protocoalelor Skype SSA cursul 13 - M. Joldos - T.U. Cluj 59 SSA cursul 13 - M. Joldos - T.U. Cluj 60

Tehnici de evitare a detecţiei Skype, cel mai bun botnet? Extrem de popular, 9M+ utilizatori, în medie 4M+ conectaţi Capabilităţi foarte bune de străpungere a pereţilor antifoc Au flux de la sursă la destinaţie obscur şi persistent Furnizează API de reţea Oferă conectivitate în reţea şi obscuritate Rezistent prin proiectare Are nevoie doar de porecle pentru comunicare Cum? Se exploatează Skype Se instalează bot ca Skype plugin Se generează tokenul de autorizare a plugin şi se execută Combaterea tehnicilor de evitare Prevenirea Descoperirea serverelor de C&C şi distrugerea lor Cea mai eficientă metodă de prevenire şi vindecare: Combinarea mecanismelor de detecţie tradiţionale cu cele bazate pe detectarea comportamentelor anormale în reţea SSA cursul 13 - M. Joldos - T.U. Cluj 61 SSA cursul 13 - M. Joldos - T.U. Cluj 62

2024 © artsdocbox.com Privacy Policy | Terms of Service | Feedback