30 MB Adat és Információvédelmi Mesteriskola Adat és Információvédelmi Mesteriskola Adat és Információvédelmi Mesteriskola AZ ETIKUS HACKELÉS MINT SZOLGÁLTATÁS I. SZÁMÍTÓGÉPESHÁLÓZATITÁMADÁSOKMÓDSZERTANA, TÍPUSAI Dr. Gyányi Sándor 2018.05.31.
30 MBAdat és Információvédelmi Mesteriskola
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
AZ ETIKUS HACKELÉS MINT SZOLGÁLTATÁS I.
SZÁMÍTÓGÉPES HÁLÓZATI TÁMADÁSOK MÓDSZERTANA, TÍPUSAI
Dr. Gyányi Sándor
2018.05.31.
Tartalom
• Etikus hackelés?
• Alapfogalmak
• Számítógépes hálózatok szerkezete, működése
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
működése
• Kommunikációs rendszer rétegeinek feladatai
• Hálózati eszközök feladatai
• Számítógépes hálózati támadások típusai
2018.05.31. 2
Ethical hacking
Hacking, hacker
• A „hacking” mint kifejezés egy rendszer működésének megértését jelenti, azonban az idők folyamán átalakult a jelentése, összefonódott a jogosulatlan hozzáférés
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola2018.05.31. 3
jelentése, összefonódott a jogosulatlan hozzáférés megszerzésével.
Etikus hacker
• Olyan hacker, aki módszereit tekintve nem sokban különbözik a többitől, de javító szándékkal, a cél rendszer tulajdonosának engedélyével végzi tevékenységét.
„White Hat” hacker
• Az etikus hacker másik elnevezése, tevékenysége a célpont sérülékenységének felderítésére, így végső soron annak kijavítására irányul.
Hacker „típusok” 1.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
soron annak kijavítására irányul.
„Black Hat” hacker
• Más néven „cracker”. Az ilyen szakember komoly szakmai tudását arra használja, hogy valamilyen bűncselekményt kövessen el, tetszőleges indítékból.
2018.05.31. 4
„Gray Hat” hacker
• Az átmenet az előző két típus között. A szándék alapvetően nem a károkozás, de a cél rendszer tulajdonosának tudta és akarata nélkül történik a
Hacker „típusok” 2.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
tulajdonosának tudta és akarata nélkül történik a tevékenység.
Egyéb típusok
• Hacktivista: az indítékok általában politikai jellegűek.
• Script kiddie: komolyabb szakértelem nélkül, szabadon elérhető segédeszközöket használ.
2018.05.31. 5
Weboldalak
• A cél a weboldal tartalmához hozzáférni.
• Adatlopás, jogosultság
Postafiókok
• A cél a postafiók tartalmának, vagy a postafiók használati jogának megszerzése.
Számítógépek
• A cél a számítógép használatához jogosultság szerzése.
Hálózatok
• A cél a hálózati erőforrásokhoz illetve a hálózatot alkotó számítógépekhez jogosultság
Célpontok
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
jogosultság szerzés vagy adatmódosítás (deface).
• Általában a weboldalt szolgáltató rendszer hibájának vagy a gyenge hitelesítés kihasználásával.
jogának megszerzése.
• Adatlopás vagy jogosulatlan használat (spam).
• Legtöbbször a gyenge hitelesítés kihasználásával.
szerzése.
• Adatlopás, adatmódosítás vagy a számítógép erőforrásainak használata.
• Különböző szoftverhibák, gyenge hitelesítés kihasználásával.
számítógépekhez jogosultság szerzése.
• Adatlopás, adatmódosítás vagy a számítógép erőforrásainak használata.
2018.05.31. 6
Felderítés
ScanningNyomok
eltüntetése /
Módszertan 1.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Scanning(letapogatás)
Hozzáférés megszerzése
Hozzáférés fenntartása
eltüntetése / riport
készítése
2018.05.31. 7
Felderítés
• Ebben a fázisban történik meg a célponttal kapcsolatos előzetes információgyűjtés.
• Aktív / passzív módszerek.
Módszertan 2.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
• Aktív / passzív módszerek.
Letapogatás
• A felderített célpont (vagy célpontok) részletes elemzése, a támadó szemszögéből elérhető szolgáltatások felderítése.
2018.05.31. 8
Hozzáférés megszerzése
• Az előző két fázisban felderített célpontok, szolgáltatások hibáinak felderítése.
• A fellelt hibák segítségével hozzáférés szerzése.
Módszertan 3.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
• A fellelt hibák segítségével hozzáférés szerzése.
Hozzáférés fenntartása
• Mivel a felderített sérülékenység befoltozása előbb-utóbb megtörténik, ezért a támadó ezen a ponton létrehozhat egy állandó hozzáférést.
• Hitelesnek tűnő felhasználói fiók, vagy hátsó kapu (backdoor).
• Etikus hack esetén ez a fázis megkérdőjelezhető…
2018.05.31. 9
Nyomok eltüntetése
• Egy támadás elkövetője valószínűleg nem szeretné viselni a tett következményeit, így igyekszik elkerülni a lebukást.
• A jogosultság szerzése általában sok olyan művelettel jár,
Módszertan 4.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
• A jogosultság szerzése általában sok olyan művelettel jár, aminek nyoma marad a célpont naplóiban.
• A megszerzett jogosultság birtokában ezek törlése lehetséges.
Riport készítése
• Ha a jogosultság megszerzését a célpont tulajdonosa rendelte meg, akkor ebben a fázisban készül el a behatolás eredményeit tartalmazó riport.
2018.05.31. 10
Hálózat
• Csomópontok és a köztük fennálló kapcsolatok összessége.
Néhány alapfogalom 1.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Számítógépes hálózat
• Független számítógéprendszerek olyan összekapcsolt együttesei, amelyek egymással információcserére képesek, együttműködnek bizonyos feladatok megoldásában, megosztják egymással erőforrásaikat.
2018.05.31. 11
Kommunikációs protokoll
• Az információ átvitele során alkalmazott szintaktikai, szemantikai és időzítési
Néhány alapfogalom 2.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
szintaktikai, szemantikai és időzítési szabályok összessége.
Sérülékenység (vulnerability)
• Támadásnak vagy sérülésnek kitettség.
2018.05.31. 12
Exploitation
• Egy sérülékenység kihasználása.
Néhány alapfogalom 3.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Shell
• Egy olyan környezet (burok) amiben a rendszert alkotó programok elindítása lehetséges (Linux bash, Windows cmd.exe).
2018.05.31. 13
Helyi hálózatok (LAN)
Számítógépes hálózatok mőködése 1.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola2018.05.31. 14
Többféle technológia
Többféle topológia
Többféle továbbító közeg
Számítógépes hálózatok mőködése 2.
Helyi hálózatok jellemzıi
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
• Ethernet
• Wifi (802.11)
• Token ring, token bus, arcnet, stb…
• Busz
• Csillag
• Szövevényes
• Rézkábel
• Optikai szál
• Rádióhullámok
• Infravörös fény
2018.05.31. 15
3.1.
Számítógépes hálózatok mőködése 3.
Távoli hálózatok (WAN)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
5.
2.
4.
2018.05.31. 16
Heterogén technológia
• A helyi hálózatok különböző
Többféle útvonal
• A hálózati topológia szövevényes,
Protokollok
• A heterogén technológia többféle, a helyi
Számítógépes hálózatok mőködése 4.
Távoli hálózatok jellemzıi
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
különböző paraméterekkel működhetnek (méret, technológia, kommunikációs sebesség).
• Az összekapcsolásukhoz közös megoldásra van szükség.
szövevényes, előfordulhatnak hurkok.
• A hurkok több, alternatív útvonalat jelentenek.
• Útválasztás szükséges.
• Az útvonalak tulajdonosai különbözőek lehetnek.
többféle, a helyi hálózatokban alkalmazott protokollt is jelent.
• Szükséges egy közös, minden helyi hálózat által alkalmazott protokollgyűjtemény kialakítása.
2018.05.31. 17
Rétegmodellek
Alkalmazási réteg
Megjelenítési réteg
Viszony réteg
Szállítási réteg
Alkalmazási réteg
Szállítási réteg
Az információátvitel meglehetősen komplex
feladat.
Az átvitel az alacsonyabb rétegekben egyre kevésbé absztrakt.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola2018.05.31. 18
Szállítási réteg
Hálózati réteg
Adatkapcsolati réteg
Fizikai réteg
Szállítási réteg
Hálózati réteg
Fizikai réteg
OSI rétegmodell TCP/IP rétegmodell
A rétegek feladatai jobban definiálhatók.
Az egyes rétegekben az implementációk különbözhetnek.
Helyi hálózati (LAN) technológia, OSI rétegmodellben: második réteg (L2)
• A végpontok üzenetszórással kommunikálnak.
Hálózati technológiák: Ethernet
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
A végpontokat egy 48 bites cím azonosítja (MAC address, pl: f0:79:59:6b:0d:45)
• Az adatok küldése kisebb méretű blokkokban (keret, frame) történik.
• Minden keret tartalmazza a feladó és a címzett MAC címét.
2018.05.31. 19
„Hálózatok közötti” technológia, helyi hálózatokat képes összekapcsolni nagyobb kiterjedésű hálózatokká, OSI rétegmodell: 3. réteg (L3)
• Jelenleg két aktív verziója van: IPv4 és IPv6.
Hálózati technológiák: Internet Protocol
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
• Jelenleg két aktív verziója van: IPv4 és IPv6.
Kapcsolatmentes, csomagkapcsolt protokoll: az adatokat blokkokban (csomag), egymástól függetlenül továbbítják
• A végpontokat IP címekkel azonosítják, minden csomag tartalmazza mind a feladó, mind a címzett IP címét.
2018.05.31. 20
Végpontot azonosító elem: IP cím, 32 bites bináris szám. Jelölése: 4 darab 8 bites szám, tízes számrendszerben, ponttal elválasztva (pl. 192.168.1.1)
• Minden IPv4 cím két részből áll: hálózati azonosító, végpont azonosító
Hálózati technológiák: IPv4 (1.)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
• Minden IPv4 cím két részből áll: hálózati azonosító, végpont azonosító („Hálózatok hálózata”).
A csomagkapcsolást végző elemek (útválasztók, „routerek”) a hálózati azonosító alapján keresik a célhálózatot, a célhálózat útválasztója kézbesíti a végpontnak.
• Régen „osztályos” IP címeket használtak, ma már „osztálymentes” (classless) címzést használunk. Új elem: hálózati maszk.
2018.05.31. 21
Hálózati technológiák: IPv4 (2.)
A második rétegtől eltérő címzést használ.
A címek logikai címek, nem a fizikai eszközhöz, hanem a hálózathoz
kötődnek.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola2018.05.31. 22
Egy végpont több IP címmel is rendelkezhet.
Több IP cím jelentése: több hálózatnak is tagja.
Második-harmadik rétegbeli címfordítás szükséges: ARP.
3.1.
1.) 192.168.1.0
255.255.255.0
2.) 192.168.2.0
255.255.255.0
3.) 192.168.3.0
255.255.255.0
4.) 192.168.4.0
255.255.255.0
5.) 192.168.5.0
255.255.255.0
Hálózati technológiák: IPv4 példa
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola2018.05.31. 23
5.
2.
4.
Az IPv4 címek a hálózati és a végpont azonosítók miatt szegmentáltak.
• Egy adott hálózati címtartományt csak a tulajdonos használhat, így sok kihasználatlan végpont azonosító maradhat.
Hálózati technológiák: hálózati
címfordítás (NAT) 1.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
• Bár a címmező több, mint 4 milliárd elemből áll, hamarabb kifogytak az igényelhető címek.
Több tartományt is visszatartottak a nem nyilvános hálózatok számára.
• 10.0.0.0/8, 172.16.0.0/20, 192.168.0.0/16
• Ezek használata nyilvános hálózatokban tiltott.
2018.05.31. 24
Helyi hálózat
• Nem nyilvános címek használata.
• A végpontok egymással közvetlenül képesek kommunikálni
Útválasztó
• Általában legalább két csatolóval rendelkezik.
• Belső hálózat felé a nem nyilvános címtartomány
Külső hálózatok
• Nyilvános címtartományok használata.
• Az ilyen hálózatokban a nem nyilvános
Hálózati technológiák: hálózati
címfordítás (NAT) 2.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
képesek kommunikálni (ARP).
• Külső hálózatok eléréséhez útválasztóra van szükség.
címtartomány használatával, külső hálózatok felé a nyilvános cím használatával.
• Átjáró, a belső és a külső végpontok között végez csomagtovábbítást.
a nem nyilvános címtartományok használata nem engedélyezett (egress, ingress filtering).
• Közvetlen kommunikáció ilyen módon nem lehetséges?
2018.05.31. 25
Megoldás: a továbbítás során a belső hálózati végpont címének lefordítása a saját nyilvános címre, majd a beérkező válasz visszafordítása.
• A legtöbb esetben ehhez több paramétert is módosítani kell (IP cím, forrás port cím).
Előnyök
Hálózati technológiák: hálózati
címfordítás (NAT) 3.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Előnyök
• Nyilvános címet (vagy címeket) elegendő csak az útválasztó számára biztosítani.
• A belső hálózati végpontok közvetlenül nem érhetők el a külső hálózatok felől (kisebb kitettség támadásoknak).
Hátrányok
• A belső végpontokra közvetlenül nem lehet kapcsolódni külső hálózatok felől (bizonyos szolgáltatások nem működnek).
2018.05.31. 26
Az IPv4 címek kifogyásának problémáját a címmező megnövelésével oldották meg
• 32 bites címek helyett 128 bit (6.67 * 10^23 darab IP cím a Föld minden négyzetméterére).
• Ábrázolás: 8 darab 16 bites szám, hexadecimális számrendszerben.
Hálózati technológiák: IPv6
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
• Ábrázolás: 8 darab 16 bites szám, hexadecimális számrendszerben. Például: 2a02:ab88:4542:200:bdba:5f9:f097:df01
• A csupa 0 bites számok kihagyhatók: fe80::18ab:de19:dd28:9409
• Tipikus használata: /64 prefix.
• Jelenleg még nem vette át az IPv4 szerepét (20 év alatt).
2018.05.31. 27
Második rétegben működő eszköz
Intelligens továbbítást végez (MAC címek
alapján)
Csillag topológiát valósít meg
Hálózati eszközök: Ethernet kapcsoló
(switch)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
„n” darab csatolóval rendelkezik
Többletszolgáltatások nyújtására is alkalmas
lehet (VLAN, IGMP Snooping, stb…)
2018.05.31. 28
Harmadik (hálózati) rétegben működik
Több, akár különböző hálózati technológiájú csatolóval rendelkezik
A csatolók között útvonalválasztást
végez
Hálózati eszközök: útválasztó (router)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Irányítási táblázat tartalmazza a
lehetséges útvonalakat
Többletszolgáltatások: csomagszűrés,
hálózati címfordítás
2018.05.31. 29
Vezeték nélküli hálózati eszközök
csatlakoztatására alkalmas
Általában rendelkezik vezetékes csatolóval is
Hálózati eszközök: Access Point (AP)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Többféle vezeték nélküli szabványt is támogathat
(802.11 b, g, n)
A bizalmasság biztosítására kriptográfiai
megoldások (WEP, WPA)
2018.05.31. 30
A belső és a külső hálózatok közti forgalmat figyeli
• Előre definiált szabályok szerint kiszűri a veszélyesnek ítélt forgalmat.
Hálózati eszközök: tőzfal
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Demilitarizált Zóna (DMZ)
• A belső és a külső hálózat között kiképzett külön tartomány, amely mindkét irányban tűzfallal védett.
• Olyan elemek számára, amelyeknek külső irányból elérhetőknek kell lenniük (levelező szerver, webszerver, stb…)
2018.05.31. 31
Az IP címek nehezen megjegyezhetők:193.224.40.214 (IPv4) 2a03:2880:f107:86:face:b00c:0:50fb (IPv6)
• Az emberi felhasználók miatt szükséges volt egyszerűsíteni a végpontok azonosítását.
Hálózati technológiák: DNS 1.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
A megoldás: Domain Name System (DNS) = tartománynév rendszer.
• Top Level Domain: például com, net, hu.
• Second Level domain ponttal elválasztva: például gyanyi.hu.
• Magasabb szintű tartománynevek is megengedettek, a „pont” karakter az elválasztó.
• A név-cím megfeleltetést DNS kiszolgálók végzik.
2018.05.31. 32
DNS szolgáltatás: UDP 53-as port címen elérhető DNS szerverek nyújtják.
• Elosztott adatbázis, TLD-k számára Root DNS szerverekkel.
• Második szintű tartománynév-kiszolgálók általában a tényleges (autoritív) kiszolgálókat adják meg.
• Az átlagos tartománynév feloldásához a harmadik szinten kapjuk meg a választ.
Hálózati technológiák: DNS 2.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
A DNS válasz különböző típusú rekordokat tartalmazhat.
• „A” rekord: a tartománynévhez rendelt IPv4 címet tartalmazza.
• „MX” rekord: a tartománynévhez kapcsolódó email címek átvételére szolgáló levelező szerver nevét tartalmazza.
• „AAAA” rekord: a tartománynévhez rendelt IPv6 címet tartalmazza.
• Fordított címfeloldás: egy IP címből előállítható egy „d.c.b.a.in-addr.arpa” formátumú tartománynév (az „a.b.c.d” formájú IPv4 címből előállítva), aminek „PTR” rekordja tartalmazza a regisztrált tartománynevet.
2018.05.31. 33
Informatikai támadások
•Az a tulajdonság, amely arra vonatkozik, hogy az információt csak az arra jogosultak ismerhessék meg, illetve rendelkezhessenek a felhasználásáról.
•Illetéktelen adatmódosítás nem történik.
•Támadási módszerek: hozzáférési jogosultság szerzése (olvasási jog), lehallgatás, socialengineering, adathordozó eltulajdonítás.
1. Bizalmasság (Confidentiality)
Egy támadás alapvetıen az alábbi három tulajdonság
megsértésére irányulhat:
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola2018.05.31. 34
engineering, adathordozó eltulajdonítás.
•Az eredeti állapotnak megfelel, fizikailag és logikailag teljes és bizonyítottan vagy bizonyíthatóan az elvárt forrásból származik.
•Adatmódosítási jog szükséges.
•Magasabb szintű hozzáférési jogkör szükséges hozzá.
2. Sértetlenség
(Integrity)
•Az adatok bizalmassága és sértetlensége nem sérül, csak az elérhetőségük szűnik meg.
•Nem szükséges hozzáférési jogot szerezni, elegendő lassítani, vagy megakadályozni az adatok elérését.
•Denial of Service (DoS) támadások.
3. Rendelkezésre állás (Availability)
Támadás típusok: lehallgatás 1.
Ha a támadó a célpont helyi hálózatán belül helyezkedik el
• Passzív lehallgatás: ha a hálózat megosztott közeget használ (koax, HUB/csavart érpár, Wifi), akkor a hálózat összes tagja
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola2018.05.31. 35
(koax, HUB/csavart érpár, Wifi), akkor a hálózat összes tagja „hallja” az üzeneteket, így ezek lehallgathatók.
• Aktív lehallgatás: switch-elt hálózat esetén a végpontok csak a saját, illetve a broadcast üzeneteket kapják meg. Ilyenkor aktív megoldásra van szükség:- MITM (Man in the Middle) támadás: a támadó a lehallgatni kívánt végpontok közé ékelődik (ARP poisoning).- MAC flood: a kapcsoló eszközök túlterhelésével elérik, hogy a switch degradált állapotba kerüljön.
Ha a támadó a célpont hálózatán kívül helyezkedik el
• Ilyen esetben az eszközök jóval szegényesebbek, mivel az adatokat továbbító hálózati eszközök nem hozzáférhetők a támadó számára.
• DNS posioning: a támadó a célpont által használt névfeloldó
Támadás típusok: lehallgatás 2.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
• DNS posioning: a támadó a célpont által használt névfeloldó kiszolgálót (recurser) „mérgezi” meg olyan adatokkal, amik a célpont eszközeit a támadó által üzemeltetett végpontra irányítják (MITM).
• Routing table poisoning: a hálózati forgalmat irányító útválasztók irányítási táblázataiba a támadó olyan útvonalakat helyez el, amelyek segítségével a saját eszközeire irányítja a kívánt forgalmat (hijacking). Például: https://arstechnica.com/information-technology/2017/12/suspicious-event-routes-traffic-for-big-name-sites-through-russia/
2018.05.31. 36
Hozzáférési jogosultság megszerzése
lehallgatással
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola2018.05.31. 37
Hozzáférési jogosultság szerzése
becsapós levéllel (phishing)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola2018.05.31. 38
A biztonsági lánc leggyengébb eleme általában az emberi munkaerő.
• A kevésbé biztonságtudatos felhasználók hajlamosak elárulni a hitelesítő adataikat ismertnek vagy hitelesnek vélt
Hozzáférési jogosultság szerzése
megtévesztéssel (social engineering)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
hitelesítő adataikat ismertnek vagy hitelesnek vélt személyeknek.
• Ha valaki sok rendszert használ, akkor hajlamos ugyanazokat a jelszavakat használni több helyen. Phishing levelekkel (például nyereményjáték) regisztrációra késztetve esélyes, hogy egy máshol is használt jelszóval jelentkezik fel.
• Alacsonyabb szintű felhasználói fiók használatával magasabb szintű jogosultságok is szerezhetők.
2018.05.31. 39
A programok általában tömböket használnak a kommunikáció során érkezett adatok tárolására
• Helyi változók esetén a „C”, „C++” programnyelvek a veremtárból foglalnak helyet a változónak.
Programhibák kihasználása: puffer
túlcsordulás
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
foglalnak helyet a változónak.
• Ha a programozó óvatlan, és feltételezi, hogy az érkező adat mennyisége korlátozott, akkor nem ellenőrzi a puffer telítődését.
• A többlet adat túllépi a rendelkezésre álló hely határait, felülírva az ott található tartalmat.
• Ha ez a többletadat végrehajtható kód, vagy végrehajtható kódrészletekre mutató címgyűjtemény, akkor távolról elindítható a célponton a támadó által kívánt programkód (például egy shell).
2018.05.31. 40
Programhibák kihasználása: SQL
injection
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola2018.05.31. 41
Főként webes rendszereknél fordulhat elő.
• A felhasználótól bekért adat belekerül egy SQL (Standard Query Language) lekérdezésbe.
• Ha ez nincs „fertőtlenítve”, akkor alapjaiban befolyásolhatja a lekérdezést.
• Jogosulatlan hozzáférést, akár adatmódosítást, adatvesztést is elő lehet idézni vele.
Webes rendszerek sérülékenysége
• A felhasználótól bekért adatok nem megfelelő ellenőrzésére vagy szűrésére épül.
Forgatókönyv
Programhibák kihasználása: Cross Site
Scripting (XSS)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
• A támadó megadja a támadáshoz szükséges adathalmazt a webes rendszernek (például egy komment formájában).
• A webes rendszer ezt megjeleníti a weboldalon, a támadó kódjával együtt.
• A látogatók (áldozatok) böngészője letölti és feldolgozza ezt a kódot, ami az áldozat számítógépén fut le.
• Ez a kód képes akár fertőzést okozni, vagy az áldozat számítógépén tárolt cookie-k tartalmát a támadó weboldalára elküldeni.
2018.05.31. 42
Egy informatikai rendszer feletti uralom megszerzése nem mindig lehetséges, vagy ha mégis, akkor nem éri meg a belefektetett munkát.
• Ilyen esetben az is elegendő, hogy ha a célpont rendszere
Mőködésképtelenné tétel: Denial of
Service (Dos) 2.
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
• Ilyen esetben az is elegendő, hogy ha a célpont rendszere hosszabb-rövidebb ideig működésképtelenné válik.
• Az informatikai rendszerek véges erőforrásokkal rendelkeznek, a szükséges kapacitás méretezése során a várható terhelést és a kiszolgálásukhoz szükséges eszközök költségeit egyaránt figyelembe kell venni.
• Általában elegendő az adathozzáférés sebességét lecsökkenteni, ez funkcionális működésképtelenséget jelent.
2018.05.31. 43
Programhiba kihasználásával
• időnként előfordulnak olyan programhibák, amik a szolgáltatást nyújtó komponens leállását okozzák (például: Ping of death).
Az erőforrások túlterhelésével
Hogyan lehet mőködésképtelenné tenni egy rendszert?
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Az erőforrások túlterhelésével
• Egy adott informatikai rendszert a várható terhelésre méreteznek. Ha a terhelés ezt jelentősen túllépi, akkor a rendszer lelassul.
• Kiszolgáló túlterhelése (alkalmazási réteg): a kiszolgálót olyan tevékenységre késztetik, amely többlet erőforrásokat igényel (például bonyolultabb keresés, szűrés).
• Hálózat túlterhelése: a támadó olyan mennyiségű adatforgalmat generál, amit a célpont hálózati kapacitása nem visel el.
2018.05.31. 44
A legnehezebben kivédhető támadási forma
• A támadás nem egyetlen, hanem nagyszámú végpontról indul, központi koordinációval.
Komplex támadási módszer
Elosztott túlterheléses támadás (DDoS)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Komplex támadási módszer
• Kivitelezéséhez nagyszámú végpont szükséges, központi irányítás alatt.
• Vírussal fertőzött számítógépek hálózata (botnet).
• Elosztott rendszer, mindenhol lehetnek tagjai, emiatt a forgalom kiszűrése nehézkes.
2018.05.31. 45
Más néven: erősített (amlified) támadás
• A támadó hamisított (az áldozat címét használva) forráscímmel küld kérést az erősítőnek.
• Az erősítő a kérésre a választ a kapott címre (áldozat)
Reflektív elosztott túlterheléses támadás (RDDoS)
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
• Az erősítő a kérésre a választ a kapott címre (áldozat) küldi.
• A válaszüzenet jelentősen nagyobb lehet, mint a kérés.
• Mivel ezek „normál” kérések, amikre a választ hiteles végpontok küldik, még nehezebb a védekezés.
2018.05.31. 46
A DNS szolgáltatás UDP protokollt
használ
UDP esetében viszonylag egyszerű a
címhamisítás
A kérések rövidebbek, mint a
válaszok
Reflektív elosztott túlterheléses támadás DNS TXT rekorddal
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
A DNS válasz tartalmazhat „TXT”
rekordot is
A „TXT” rekord mérete több kB is
lehet
2018.05.31. 47
nslookup -query=txt gyere.hu 62.112.194.11
Server: 62.112.194.11
Address: 62.112.194.11#53
gyere.hu text = "Ez egy RDDOS tamad\195\161s celjara
felhasznalhato TXT rekord! "