Monthly Archives: július 2003

Támadási tendenciák áttekintése

Megjegyzés: Azért teszünk közzé szokásunktól eltrően idegen anyag fordított változatát, mert az összefoglalás rávilágít a már régőta ismert, és nem kellő figyelmességgel kezelt hiányosságokra. Az eredeti anyag a www.cert.org címen található.

CERTŽ Koordinációs Központ

A CERT Koordinációs Központ 1988 óta kíséri figyelemmel a betolakodók tevékenységét. Sok minden változott azóta, a technológiától az Internet felhasználói közösség létrehozásán keresztül a támadási technikákig. Jelen dokumentum rövid áttekintést nyújt azokról a tendenciákról, amelyek napjainkban hatással vannak egy szervezet vagy egyén biztonságos Internet használatára.

1 Tendencia – Automatizálás; támadási eszközök sebessége

A támadási eszközök automatizálási szintje továbbra is növekszik. Az automatizált támadások rendszerint négy fázisból állnak, amelyek folyamatosan változnak.

Potenciális áldozatok érzékelése. A széles körben alkalmazott érzékelés 1997 óta elterjedt. Napjainkban az érzékelő eszközök sokkal fejlettebb módszerekkel dolgoznak a hatás és a sebesség maximalizálása érdekében.
Sebezhető rendszerek kompromittálása. Korábban a sebezhetőségeket csak azután használták ki, miután a széles körű keresés befejeződött. Mára a támadási eszközök a kereső tevékenység részeként aknázzák ki a sebezhetőségeket, növelve ezzel a terjedés sebességét.
A támadás terjedése. 2000. előtt a támadási eszközök mellett szükség volt egy személyre, aki előkészítette a további támadási ciklusokat. Napjainkban a támadási eszközök automatizáltan indítják az újabb támadási ciklusokat. Találkozhattunk olyan eszközökkel mint a Code Red és Nimda, amelyek kevesebb mint 18 óra alatt érték el a globális szaturációt önterjesztéssel.
A támadási eszközök koordinált irányítása. 1999 óta, a felosztott támadási eszközök megjelenésével a támadók több Internet rendszeren felosztott, nagyszámú telepített támadási eszközt képesek irányítani és koordinálni. Napjainkban a felosztott támadási eszközök sokkal hatékonyabban képesek elindítani a “szolgáltatás megtagadása” támadásokat, valamint alkalmasak a potenciális áldozat megkeresésére és a sebezhető rendszerek kompromittálására. A koordinációs funkciók kihasználják a készen rendelkezésre álló, nyilvános kommunikációs protokollokat, mint pl. az Internet Relay Chat (IRC) és az azonnali üzenetkezelés (IM).
Tendenica 2 -Támadási programok fokozott fejlettsége

A támadási programok fejlesztői sokkal fejlettebb technikákat használnak mint korábban. Támadási program aláírásokat sokkal nehezebb analízis útján felfedezni, és sokkal nehezebb aláírás bázisú rendszereken keresztül, mint pl.: antivírus szoftverek és behatolás észlelő rendszereken keresztül észlelni. Három lényeges tulajdonsága az eszközöknek a nehéz nyomonkövethetőség, analizálhatóság, valamint a polimorf szerkezet, és a modularitás.

Nehéz analizálhatóság. A támadók olyan technikákat alkalmaznak, amelyek módosítják a támadási eszközök tulajdonságait. A biztonsági szakértők számára ez megnehezíti az új támadási eszközök analizálását és a legújabb, gyorsan fejlődő fenyegetettségek megértését. Az analízis gyakran tartalmaz laboratóriumi tesztelést és ellentétes irányú tervezést.
Polimorf szerkezet. A régi támadó eszközök egyszeri, meghatározott sorozatban hajtották végre a támadási lépéseket. Napjaink automatizált támadó eszközei véletlenszerű szelekció, előre meghatározott döntési útvonal vagy közvetlen irányítás alapján tudják változtatni módszereiket.
Támadási eszközök modularitása. A korai támadó eszközökkel ellentétben, amelyek egy típusú támadást hajtottak végre, az eszközök a programrészek felcserélésével vagy feljavításával gyorsan változtathatók. Ez gyorsan kialakuló támadásokat, és szélsőséges esetben, polimorf eszközöket eredményez, amelyek minden egyes esetben különbözőek. Ezenfelül, a támadási eszközöket egyre gyakrabban úgy fejlesztik, hogy többszörös operációs rendszer platformokon fussanak.
A fejlettebb támadási eszközök által felvetett problémára példa, hogy több elterjedt eszköz alkalmaz IRC vagy HTTP (HyperText Transfer Protocol) protokollt adat illetve parancs küldésre a betolakodótól a gazdagépre. Ennek eredménye, hogy egyre nehezebbé válik a támadási aláírások megkülönböztetése a normál, legitim hálózati forgalomtól.

3 Tendencia – Sebezhetőség gyorsabb észlelése

A CERT/CC felé jelzett, újonnan felfedezett sebezhetőségek száma továbbra is több mint a duplájára növekszik évente. Ez megnehezíti az adminisztrátorok számára, hogy lépést tartsanak a javításokkal. Továbbá, a sebezhetőségek újabb csoportjai is évről-évre napvilágra kerülnek. A szoftver komponensek objektum orientált alapú fejlesztése, számoly folyamatosan meglévő biztonsági hiányosságot enged meg. A betolakodók gyakran korábban észlelik ezeket a hibákat mielőtt a forgalmazók kijavítanák őket.

A technológiák új sebezhetőségeinek automatizált észlelése felé mutató tendencia miatt az úgynevezett “javítási idő” (time to patch) egyre csökken majd.

4 Tendencia – Tűzfalak növekvő áteresztőképessége

A tűzfalak célja rendszerint az, hogy elsődleges védelmet nyújtsanak a betolakodókkal szemben.

Ugyanakkor,

A technológiákat úgy tervezik, hogy azok elkerüljék a tipikus tűzfal konfigurációkat, mint pl.: IPP hftzr (Internet Printing Protocol) és WebDAV (Web-bázisú Distributed Authoring and Versioning)
Néhány protokollt “tűzfal barátként” forgalmaznak, és valójában úgy tervezték őket, hogy elkerüljék a tipikus tűzfal konfigurációkat.
A “mobile-code” bizonyos aspektusa (ActiveX controls, Java, and JavaScript, Sripting Host) megnehezíti a sebezhető rendszerek védelmét és a veszélyes szoftverek észlelését.

5 Tendencia – Növekvő aszimmetrikus fenyegetettség

A természetétől fogva, az Internet biztonsága nagyon sok mindentől függ. Az egyes rendszerek támadásokkal szembeni kockázata a globális internethez kapcsolt többi rendszer biztonsági állapotától függ. A támadási technológia fejlődése miatt egy támadó viszonylag könnyen alkalmazhat nagyszámú felosztott rendszereket pusztító támadások elindítására az áldozat ellen (Denial of Service). Mivel mind a telepítések automatizálása és a támadási eszköz menedzsment fejlettsége növekszik, a fenyegetettség aszimmetrikus természete tovább fokozódik majd.

6 Tendencia – Infrastrukturális támadásokból származó növekvő fenyegetettség

A infrastrukturális támadások olyan támadások, amelyek átfogóan érintik az Internet kulcsfontosságú elemeit. Egyre nagyobb aggodalomra adnak okot az internetet használó szervezetek és felhasználók száma miatt, valamint azoknak a napi üzletmenet miatti ráutaltsága miatt. Az infrastrukturális támadások négy típusát röviden az alábbiakban ismertetjük.

1 Támadás – Szolgáltatás felosztott megtagadása

A szolgáltatás megtagadására irányuló támadások több rendszert használnak fel egy vagy több rendszer megtámadására azzal a szándékkal, hogy a rendszer legitim felhasználói számára a szolgáltatás ne legyen elérhető. A támadási eszközök automatizációs szintje lehetővé teszi, hogy a támadó eszközeit installálja, és kompromittált rendszerek több tízezreit irányítsa a támadás során.

A betolakodók gyakran olyan címblokkok után kutatnak, amelyek nagy sebességű kapcsolattal rendelkező sebezhető rendszerek magas koncentrációját tartalmazzák. A kábel modem, DSL, és egyetemi címblokkok kiemelt célpontjai a támadási eszközök installálását tervező behatolóknak.

A szolgáltatás megtagadását eredményező támadások hatékonyak, mivel az internetes biztonság nagy mértékben egymásra épülő elemekből áll.

Támadás- Férgek

A féreg egy önterjesztő veszélyes kód. A vírussal ellentétben, amelyhez felhasználó szükséges, hogy irányítsa a terjedés folytatását, a féreg képes önmagát terjeszteni. A férgek erősen automatizált természete, amely az általuk kihasznált viszonylag széles körű sebezhetőség természetével párosul lehetővé teszi, hogy pár órán belül, viszonylag nagy számú rendszert kompromittáljanak. (Code Red csupán 9 óra alatt több mint 250,000 rendszert fertőzött meg 2001. július 19-én)

Néhány féreg beépített szolgáltatás megtagadása támadás funkcióval (Code Red) vagy webhely rongálás funkcióval (sadmind/IIS, Code Red) rendelkezik; mások pedig dinamikus konfigurációs képességgel rendelkeznek. (W32/Leaves). A férgek legnagyobb hatása azonban az, hogy terjedésük a szolgáltatás megtagadását eredményezi az Internet nagyon sok területén a létrehozott óriási számú scan forgalom miatt, és több járulékos kárt okoznak (így pl.: tönkrement DSL útválasztók; kábel modem 4 ISP-ek, amelyek hálózatai teljes mértékben túlterheltek.

Támadás 3 – Támadások az Internet Domain Name System-en (DNS)

A DNS egy felosztott, hierarchikus globális könyvtár, amely a neveket (www.example.com) numerikus IP címekre fordítja. (192.168.13.2). A hierarchia két felső szintje kritikus az Internet működése szempontjából. A felső rétegben 13 “root” név szerver van. A következők a “top-level domain” (TLD) szerverek, amelyek hitelesek a “.com”, “.net”, stb., úgy mint az országkód felső szintű domének (ccTLDs – “.us”, “.uk”, “.ru”, etc.) A DNS fenyegetettségek közé tartozik:

Cache poisoning. Amennyiben DNS úgy van kialakítva, hogy elrejtse a hamis információt, a támadó átirányíthatja a legitim helyre szánt forgalmat a saját irányítása alatt álló helyre. A CERT/CC közelmúltban végzett felmérése szerint a TLD domainek több mint 80 %-a fut olyan szerveren, amely potenciálisan sebezhető az ilyen típusú támadásokkal szemben.
Kompromittált adatok. A támadók kompromittálják a sebezhető DNS szervereket, és ez lehetővé teszik számukra, hogy módosítsák a felhasználóknak szolgáltatott adatokat. Sok TLD szerver futtatja a BIND nevű szoftver programot, amelynél rendszeresen észlelnek sebezhetőséget. A CERT/CC felmérés jelzi, hogy a TLD domain legalább 20 %-a megtámadható szerveren fut, a másik 70 % esetében a “státusz ismeretlen”.
Szolgáltatás megtagadása. Nagy számú szolgáltatás megtagadását előidéző támadás valamelyik a név szerveren a TLD-nél (például, “.com”) okozhat kiterjedt Internet lelassulást vagy effektív leállást.
Domain hijacking. Az ügyfelek által alkalmazott nem biztonságos mechanizmusok miatt, amelyeket domain regisztrációs információ felfrissítésére használnak, a támadó képes kooptálni a domain regisztrációs folyamatokat, kontrollt szerezve ily módon a legitim domainek felett.
Támadás 4 – Forgalomirányítók elleni vagy azok általi támadások

A forgalomirányítók olyan speciális számítógépek, amelyek a forgalom irányítását végzik az interneten (hasonlóan a mail irányító berendezésekhez a postai szolgáltatásnál). A fenyegetettséget az alábbiak szerint lehet kategorizálni:

Forgalomirányítók mint támadó platformok. A behatolók kevésbé biztonságos forgalomirányítókat, mint platformokat használnak támadó forgalom előidézésére más helyeken vagy érzékelésre illetve felderítésre.
Szolgáltatás megtagadása. Annak ellenére, hogy a forgalomirányítók úgy vannak tervezve, hogy nagy mennyiségű forgalom haladjon keresztül rajtuk, gyakran nem képesek a hozzájuk irányított ugyanolyan nagyságú forgalom kezelésére. (Képzeljük el úgy mint a levelek osztályozása és olvasása közötti különbséget.) A támadók kihasználják ezt a tulajdonságot és megtámadják a hálózatba vezető forgalomirányítót, sokkal inkább mint közvetlenül a hálózaton lévő rendszereket.
Forgalomirányítók közötti megbízható kapcsolat kihasználása. A megfelelő működés érdekében a forgalomirányítóknak tudniuk kell, hogy merre küldjék a megkapott forgalmat. Ezt az információk egymás közötti megosztásával érik el, ami szükségessé teszi, hogy az egymástól kapott információt megőrizzék. Ennek következtében a támadónak viszonylag könnyű az útvonal módosítása törlése vagy annak a globális Internet útvonal táblázatba történő irányítása, abból a célból, hogy az egyik hálózatból a másikba célzott forgalmat átirányítsa, ami tulajdonképpen a szolgáltatás megtagadását okozza mindkettőnél (az egyiknél, mert nincs odairányított forgalom, a másiknál, mert a vártnál nagyobb forgalmat fogad). Annak ellenére, hogy a technológia már jó ideje széles körben elterjedt, sok hálózat (Internet szolgáltatók és nagyobb vállalatok) nem védi magát a forgalomirányítókon rendelkezésre álló szigorú titkosítással és hitelesítéssel.

Infrastrukturális támadások potenciális hatása

Szolgáltatás megtagadása

A fenyegetettség aszimmetrikus tulajdonsága miatt a szolgáltatás megtagadása valószínűleg egy nagy hatásfokú, kis erőfeszítést igénylő módszer marad a támadók számára. A legtöbb szervezet Internet kapcsolata a rendelkezésre álló sávszélesség 1 és 155 megabájt között van másodpercenként (Mbps). A támadásokat több száz Mbps és az felett jelentkeznek, ami több mint elegendő ahhoz, hogy az interneten szinte minden rendszert behálózzanak.

Érzékeny információk kompromittálása

Néhány vírus létező fájlokhoz csatolja magát a megfertőzött rendszeren, majd továbbküldi a megfertőzött fájlt. Ennek következménye lehet, hogy a szerző engedélye nélkül kerülnek szétküldésre bizalmas információk. (a Sircam példa erre).

Félrevezető tájékoztatás

A betolakodók módosíthatják a híroldalakat, hamis kiadványokat jelentethetnek meg és egyéb olyan tevékenységeket is végre tudnak hajtani, amelyeknek gazdasági kihatása lehet.

Idő és egyéb feladatoktól elterelt források

A biztonsági események legnagyobb hatása talán az idő és forrás követelmények kezelése. A Computer Economics becslése szerint a Code Red gazdasági hatása összesen 2.6 milliárd $ volt, a Sircam 1.3 milliárd $-t tett ki (összehasonlítás céljából, a becslés szerint 9/11 támadás megközelítőleg 15.8 milliárd $-ba kerül majd az IT és kommunikációs képességek helyrehozatala után).

Konklúzió

Jelen dokumentum célja az volt, hogy tájékoztassuk az olvasót a támadási technikák és eszközök jelenlegi tendenciáiról. A CERT/CC által észlelt tendenciák azt jelzik, hogy az internettől függő szervezetek számára nagy kihívást jelent hálózatuk biztonságos üzemeltetése és annak biztosítása, hogy támadás esetén is folyamatos legyen a kritikus szolgáltatások biztosítása. A jelen dokumentum melléklete felsorolja azon forrásokat, ahol több információ található a problémákról és a szükséges lépésekről, hacsak korlátozott módon is. További információ megtalálható az Internet Security Alliance és CERT/CC web oldalakon. Mindenkitől sok munkát igényel a problémák értékelése, kockázataink és azok mérsékelésének meghatározása.

Darwin-díj a legostobább biztonsági előírásoknak

A Privacy International emberi jogi csoport kihirdette a “legostobább biztonsági előírások” versenyének győzteseit. A tavaly februárban meghirdetett versengés célja a világ legfeleslegesebb biztonsági előírásainak leleplezése volt. Díjazták a londoni repülőteret is, ahol lefoglaltak egy doboz zöld tealevelet, mivel a csomagoláson a “Gunpowder” (lőpor) felirat díszelgett.

Az 1990-ban alapított Privacy International mindenekelőtt az informatika biztonsági kérdéseivel és a magánszféra védelmével foglalkozik. A pályázatot a biztonsági előírások világszerte megfigyelhető értelmetlen eltúlzása nyomán indították. A csoport szerint az intézkedések sokszor nem csak feleslegesek vagy gyermetegek, de idegesítőek, tolakodóak, illetve egyszerűen csak ostobák.

Ötezer jelölt

A kiírás nyomán 35 országból közel ötezer résztvevőt “neveztek” be a díjra. Érkeztek ajánlások a gazdaság minden területéről, a közlekedésből, távközlésből és természetesen nem maradtak ki az állami hivatalok sem.

“A jelölések szokatlanul magas száma utal arra, hogy a helyzet már a nevetségességgel határos. A biztonság szó a ködösítés eszközévé vált, amely mögött sok inkompetens menedzser elrejtőzhet” – írja a szervezet honlapján Simon Davis, a Privacy International elnöke.

A Privacy International szerint a biztonság jelszava mögé rejtve manapság olyan intézkedéseket hoznak, amelyek néhány évvel ezelőtt még elképzelhetetlenek voltak, és közfelháborodást váltottak volna ki.

Nyert az ausztrál kormány

A különböző kategóriák díjait egy “nemzetközileg elismert biztonsági szakértőkből álló tekintélyes grémium” osztotta ki. Az összesített első helyezést az ausztrál kormány érdemelte ki “hasznavehetetlen, irritáló és öntörvényű biztonsági intézkedései” sorával. A további kiemelt díjazottak közé tartozik Philadelphia repülőtere, illetve a New York-i JFK, a brit T-Mobile, a San Francisco General Hospital és a Texas egyetem.

A díjakat a következő kategóriákban osztották ki:
A legmegmagyarázhatatlanabb biztonsági intézkedés
A legtolakodóbb biztonsági intézkedés
A legkontraproduktívabb biztonsági intézkedés
A legidegesítőbb biztonsági intézkedés
A leghallatlanabb biztonsági intézkedés

Az ausztrál kormány a leghallatlanabb intézkedés díját azzal nyerte el, hogy felállított egy ingyenesen hívható számot, ahol “minden gyanúsat” jelenthetnek a polgárok. Azt viszont soha nem magyarázták meg, mi számít gyanúsnak és mit kellene jelenteni.

Lefoglalt tea

A londoni repülőtér a “legmegmagyarázhatatlanabb hülye intézkedés” kategóriája második helyére érdemesült azzal, hogy lefoglaltak egy doboz zöld tealevelet, mivel a csomagoláson a “Gunpowder” (lőpor) felirat díszelgett.

Philadelphia repülőtere ezt a teljesítményt azzal tudta űberelni, hogy miután kipróbálták egy szaúdi egyetemista parfümjét, a biztonsági személyzetet kórházba szállították kivizsgálásra, két repülőtéri üzletet pedig bezártak. Az egyetemistát csak a parfüm laboratóriumi ellenőrzése után engedték szabadon.

A legkontraproduktívabb biztonsági intézkedés kategóriájának győztese a San Francisco-i General Hospital közkórház lett. Itt a főbejárathoz fegyveres őröket állítottak, akik a betegeket és a sérülteket fényképes igazolvány nélkül nem engedték be az épületbe.