Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 10: Hacking Dr. Erwin Hoffmann

Transkript

1 Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009 IT-Security Teil 10: Hacking Dr. Erwin Hoffmann

2 Was ist Hacking? Hacking ist der Versuch, unberechtigt in fremde Computer-Systeme einzudringen, um dort Informationen zu stehlen ( 202a StGB - elektronischer Hausfriedensbruch) Code auszuführen ( 303b StGB) - Computersabotage eine Backdoor einzurichten ( 303b StGB) - Computersabotage

3 Rechtliche Grundlagen 202a StGB Ausspähen von Daten Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugriff besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. 202b Abfangen von Daten Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten ( 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist. 202c StGB Vorbereiten des Ausspähens und Abfangens von Daten Wer eine Straftat nach 202a oder 202b vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ( 202a Abs. 2) ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. 149 Abs. 2 und 3 gilt entsprechend.

4 Rechtliche Grundlagen (2) 303a StGB Datenveränderung (1) Wer rechtswidrig Daten ( 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Der Versuch ist strafbar. 303b Computersabotage Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch stört, daß er 1. eine Tat nach 303a Abs. 1 begeht oder 2. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. (2) Der Versuch ist strafbar. Besonders der 'Hackerparagraph' 202c StGB ist in der Praxis eher hinderlich für die Beseitigung von Sicherheitslücken.

5 Technische Grundlagen Wir wollen die folgenden 'Hacker' Vorgehensweisen beleuchten: Eindringen über CGI-Skripte (Web-Hacking) Eindringen über SQL Kommandos (sql-slammer) Eindringen über Buffer-Overflows Eindringen über unkontrollierte Code-Ausführung Wie kann den Hacker begegnet werden? Saubere und fehlerfreie Programmierung Mandatorische Überprüfung der Eingangswerte Ein Programm darf niemals seinem Vorgänger-Programm vertrauen Was sind falsche Ansätze? Zonen mit 'trusted' Environments Nutzung der C-lib STDIO Funktionen

6 Angriffe über CGI-Skript 1. Manipulation von HIDDEN Einträge z.b. bei Web-Shops in Formularen: <FORM ACTION=" <IMG SRC=" VSPACE=5> <BR><B>Notebook HP 499,- EURO</B><BR>Anzahl: <INPUT type=text size=3 name="qty" value="1"> <input type=hidden name="partno" Value="1234"> <input type=hidden name="item" Value="Notebook HP"> <input type=hidden name="price" Value="499.00"> <input type=hidden value="bestellen"> Die Hidden-Felder werden vom Web-Server mitgeliefert aber nicht im Browser dargestellt. Der Browser überträgt diese Daten an den Web-Shop. Ein Web-Proxy kann die Daten aber leicht ändern. Übernimmt der Web-Shop z.b. die Preisinformation aus der Rückgabe des Browsers (und nicht aus der Datenbank), wird die Bestellung mit einem anderen als den vorgegebenen Werten durchgeführt.

7 URL Manipulation 2. URL Traversal:Über geeignete URL kann auf Betriebssystem-Ebene gekommen werden: Ausführen von Skripten (beim IIS): c+echo%20hallo%020 URL Manipulation bei Active Server Pages (: Diese Angriffe funktionieren, weil der Web-Server die URL interpretiert und hierzu folgende Symbole nutzt: ; Ausführen von Befehlen (Folge) &: Ausführen von Befehlen (logische UND Verknüpfung) : Ausführen von Befehlen (logische ODER Verknüpfung) 0x00 Null-Byte, 0x20 Space, 0xa und 0xd End of Line ' oder ": Quotes für SQL Queries <,>: Erstellen von Tags. Aktuelle Web-Server nutzten häufig eine Unicode-Darstellung; die aber genauso gefährlich ist.

8 OT: whitehouse.gov 22. Januar :52 OT: WebTrends auf WhiteHouse.gov mit hosts Datei verhindern Nackter Programmierpanda (313 Beiträge seit ) Ich bin dem Hinweis auf das Javascript von Webtrends nachgegangen und fand neben dem Aufbau eines Webtrends Objekts in der Homepage selbstein HTML Image in der Groesse 1x1 Pixel mit dem src Attribut auf "statse.webtrendslive.com". Wenn ich in der hosts Datei von Windows den Eintrag statse.webtrendslive.com hinzufuege, duerfte sich das Tracking durch Webtrends erledigt haben, oder ist da noch etwas zu bedenken oder fehlt gar was? Dasselbe habe ich mit auch gemacht. MfG. Nackter Programmierpanda <noscript> <div><img alt="dcsimg" id="dcsimg" width="1" height="1" src=" fg=1&wt.tv=8.6.0"/></div> </noscript>

9 SQL Injection Web-Browser greifen über den Web-Server häufig auf Datenbestände zu, die auf eine SQL Datenbank liegen (MS SQL, mysql, Oracle...). Auf UNIX System wird gerne die Anwendung LAMP eingesetzt (LDAP, Apache, mysql, PHP); auch für Windows als XAMP verfügbar. Bei der SQL Injection werden über die URL SQL Befehle an die Datenbank- Applikation durchgereicht. Moderne Datenbanken beinhalten nicht nur Daten sondern auch ausführbaren Code, sogenannte Stored Procedures (SPs). Diese können dort direkt aufgerufen werden. Der vor genau fünf Jahren (Januar 2003) aufgetretene Wurm SQL- Slammer verbreitete sich jedoch über eine RPC/UDP-Lücke im MS SQL- Server, die er aktiv ausnutzte um unmittelbar Befehle in dessen Kontext auszuführen. Hier wurde eine Buffer-Oveflow Lücke im Parsen des Datenbank-Names ausgenutzt (16 Byte). Der Wurm hatte ein "Grösse" von 389 Byte in einem UDP Paket.

10 IA-32 Programm-Architektur Argumente und Environment Variablen Stack Heap BSS Daten Programm-Code Im Code-Segment befindet sich der ausführbare Code Das Daten-Segment beinhaltet globale, initialisierte Daten Das BSS Segment beinhaltet globale, nicht initialisierte Daten Im Heap werden Daten hinterlegt, deren Platz zur Laufzeit reserviert ist Auf dem Stack werden lokale Variablen, Pointer und Rücksprungadressen abgelegt

11 Gezieltes Überschreiben des Stack Bei allen erfolgreichen Buffer-Overflow-Attacken (die nicht unmittelbar das Ziel haben, das Opfer auszuschalten) geht es darum Code einzuschmuggeln, der unter normalen Umständen nicht ausführbar ist. Hierzu dient ein gezieltes Überschreiben des Stack und Einschleusen einer Rücksprungadresse auf die Schadroutine. Hierzu muss zunächst ein Programm gefunden werden, was auf diese Weise kompromittierbar ist. In der Vergangenheit waren dies: MS Office (Word, Excel, Powerpoint) Adobe Reader Real Music-Player Diese Programme bringen für den Hacker den Vorteil mit, dass sie selbst Programme ausführen könne. Die Schadroutine kann so 'Huckepack' über das vorhandene API ausgeführt werden. Angriffe dieser Art sind auch in erster Line unabhängig vom Betriebssystem; es wird lediglich ein geeignetes Programm gebraucht.

12 Gegenmassnahmen Einige Hardware-Architekturen (z.b. AMD) erlauben die Kennzeichnung bestimmter Segmente als None-Executable (NX). Das Programm muss aber mit einem geeigneten Compiler erzeugt worden sein, dass diese Information benutzt. Eine andere Möglichkeit besteht darin, den starren Aufbau des Heap zu 'randomisieren'. Hierdurch wäre die Organisation des Heap abhängig vom Aufruf (und immer unterschiedlich). Dies würde die Ausnutzung von Heap-Schwächen durch gezielte Code- Manipulation praktisch ausschliessen.

13 Zero-Day Attacken "Hacker" testen alle möglichen Programme auf ihre Anfälligkeit hinsichtlich reproduzierbarer Buffer-Overflows, die zielgerichtet ausgenutzt werden können. Werden solche gefunden, können diese gegen (viel) Geld verkauft werden (vgl. Hacker-Paragraph). Sind diese Fehler noch nicht bekannt, können sie zu einer Zero-Day Attacke genutzt werden. Wird der Einbruch erkannt und die Lücke geschlossen, läuft der Angriff ins Leere. Viele Zero-Day Exploits werden aber nicht entdeckt und sind somit latent vorhanden. Auch die RPC Lücke bei Windows, die von Cornficker Virus ausgenutzt wurde stellt im Grunde eine Zero-Day Attacke dar. Diese wurde von MS schon im Oktober 2008 erkannt und behoben. Viele Systeme sind --und bleiben -- aber bis dato ungepatcht.