Lectures for 2008 - KTH

More documents

Recommendations

Info

KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ URL-spoofing är vanligt i olika bedrägerisammanhang, såsom vid phising-attacker där falska e-postutskick från banker eller liknande innehåller webbadresser som i löptext förefaller peka på en korrekt webbplats, men när länken aktiveras kopplar till en annan adress. Förutom ren spoofing kan man även råka ut för scenarion och attacker där någon har satt upp en vilseledande webbtjänst som i så stor utsträckning skall se ut och fungera som originalwebben. Orsaken kan vara att någon vill tillskansa sig information eller pengar. 2.4.4 Återuppspelningsattack En enkel och effektiv attack är den så kallade återuppspelningsattacken (eng. replay attack). I vissa protokollimplementationer och vid viss protokollformgivning kan man gå runt säkerhetsmekanismerna genom att spela in data och sedan åter spela upp dem. Med en återuppspelningsattack kan man till exempel göra en inloggning med ett inspelat, krypterat lösenord utan att ha kunskap om klartextlösenordet,eller upprepa en transaktion flera gånger så att mer pengar överförs. För att skydda sig mot återuppspelningsattacker kan man i protokoll bland annat använda sig av tidsstämplar, serienummer och sekvensnummer. Dessa parametrar används i kombination med att man bygger in kontroller i programvaran för att registrera vilka sekvensnummer som använts, vilka tidsomfång som är tillåtna för stunden och liknande. Sekvensnummer, tidsstämplar och liknande bör skyddas av kryptering och intregritetsskydd. 2.4.5 Buffertöverskrivning Definition 28: Buffertöverskrivningsattacker är samlingsnamnet på en mängd olika attacker som utförs genom att en kombination av data och maskinkod skrivs i och utanför en databuffert, där det injicerade programkoden sedan fås att exekveras. Om databufferten ligger sparad i vissa delar av datorns minne, tex på stacken eller i det område som kallas för heap, kan vissa viktiga parametrar manipuleras, till exempel återhoppsadressen för en subrutin. Genom att skriva in ett förändrat värde på denna återhoppsadress kan man få datorn att anropa en programsekvens som installerats utan lov. Buffertöverskrivningsattacker utförs bland annat mot inläsningsfunktioner och bearbetningsfunktioner i nättjänster. Genom att via nätverket sända in maskinkod och data går det därmed att fjärrexekvera och fjärrstyra ett system, till exempel en webb- eller namnserver. En buffertöverskrivningsattack kan i teorin förefalla avancerad och kräva omfattande kunskaper i hur en kompilator och länkare genererar kod, var någonstans i objekt- och binärkod en viss rutin och dess tillhörande dataarea finns, var någonstans i minnet den kommer att laddas och liknande. I praktiken finns det emellertid mängder av detaljerade beskrivningar idag om hur en buffertöverskrivning går till, till och med massiva läroböcker 36 om hur man själv skall kunna finna de latenta buffertöverskrivningshålen i program. Det finns också mängder av exempelprogram och så kallad skelettkod för vanliga maskinvaruarkitekturer såsom X86, Alpha, SPARC och HP-PA. 36 The Shellcode Hackers Handbook Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 32 (139)
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ Det finns flera sätt att skydda sig mot buffertöverskrivningsattacker. Man bör till exempel kontrollera indata och filtrera bort de data som inte är tillåtna. Bufferthanteringen bör vidare inkludera en kontroll av att det inte skrivs in mer data än vad bufferten klarar av att hantera. En annan skyddsmekanism är att se till att kompilatorer genererar speciell kod som inför särskilda kontrollsummor på stacken som kontrolleras för överskrivning innan subrutiner anropas eller returnerar data. Dessutom bör de minnesareor som används som stackutrymme märkas så att de inte är exekverbara, alltså att det inte går att köra program från dessa delar av minnet. Detta är skydd som måste byggas in i operativsystemet. Vissa operativsystem, såsom Windows Vista och OpenBSD, har dessa skydd. På engelska kallas denna typ av attacker ofta för buffer overrun, stack overrun, stack smashing eller liknande. Det finns flera varianter av denna typ av attack. En relativt nyupptäckt variant är missbruk av formatsträngar i utmatningsfunktioner (eng. format string attack) i vissa programspråk, främst C. Exempelvis så sker utmaning vanligtvis via funktionen printf enligt nedanstående princip: printf(”%s\n”, variabel); Där %s är ett formatterings- och datadirektiv till printf-funktionen. Men ibland utelämnar en slarvig programmerare detta direktiv, med resultatet: printf(variabel); Angreppet innebär att man formar indatat på ett speciellt sätt så att en datadriven attack leder till att man kan lura printf att adressera minnesområden och data som normalt sett inte skulle använts. En annan besläktad attack är integer overflows där ett heltal kan fås att tolkas annorlunda av olika programdelar. I programspråk som C och C++ så definieras heltal som positiva (eng. unsigned) heltal eller teckesatta (eng. signed) heltal. Genom att manipulera siffervärden kan man skriva utanför en definierad variabellista, få minnesallokeringsfunktioner att fungera felaktigt och andra liknande angrepp. En till variant av bufferöverskrivning är så kallad heap smashing, det anmärkningsvärda med denna överskrivningsmetod är att den arbetar mot en annan del av arbetsminnet och med andra metoder, vilket gör de enkla skydd och tester som utförs mot stacksmashing inte är tillämpbara. 2.4.6 Intrång Definition 29: Intrång är en metod för att obehörig tillgång till information eller IT-resurser När områden som IT-säkerhet och nätverkssäkerhet är intrång en av de första konsekvenserna som folk som regel tänker på. Att någon tar sig in i ett system och där utför en eller fler gärningar. Dataintrång kan delas upp i förstörande intrång och icke-förstörande intrång. Ett exempel på ett icke-förstörande intrång är att någon har olovligen kommit över användarnamn och lösenord för att sedan via nätverket logga in och läsa dokument som personen normalt sett inte haft tillgång till. Ett exempel på ett förstörande intrång är obehörligen förändrade webbsidor (eng. defacements) eller att någon raderar filer i det system som denne tagit sig in i. Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 33 (139)
Page 1 and 2: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 31: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 83 and 84:
KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 85 and 86:
Page 87 and 88:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
Page 107 and 108:
Page 109 and 110:
Page 111 and 112:
Page 113 and 114:
Page 115 and 116:
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139:
show all

Lectures for 2008 - KTH

Create successful ePaper yourself

Delete template?

Save as template?