Reaktive Sicherheit Teil 5

Transkript

1 Reaktive Sicherheit Teil 5 Rateangriffe auf Paßwörter Rootkits Ulrich Flegel Lehrstuhl 6 Informationssysteme und Sicherheit Fachbereich Informatik Universität Dortmund 16. November 2006 c Ulrich Flegel Reaktive Sicherheit Teil 5 1 / 54

2 Paßwörter Traditioneller Paßwortschutz in Unix Abbildung: Paßwortschutz in Unix c Ulrich Flegel Reaktive Sicherheit Teil 5 4 / 54

3 Paßwörter Angriffswerkzeuge kennen viele Paßwortsysteme Abbildung: Beispiel: von Cain unterstützte Hash-Funktionen c Ulrich Flegel Reaktive Sicherheit Teil 5 5 / 54

4 Paßwörter Angriffsvektoren Wie gelangen Angreifer an Paßwörter? Überredung (social engineering) Sichtkontakt (shoulder surfing) Hardware-Tastatureingabeprotokollierung (keylogger) Abhören im Netzwerk (sniffer) Trojanische Pferde: Login-Programm, Rootkit Systematisches Raten (online, offline) (cracking, grinding) c Ulrich Flegel Reaktive Sicherheit Teil 5 7 / 54

5 Paßwörter Angriffsvektoren Hardware-Tastatureingabeprotokollierung c Ulrich Flegel Reaktive Sicherheit Teil 5 8 / 54

6 Paßwörter Raten mit Wörterbüchern und Brute Force Paßwörter brechen durch Aufzählen des Suchraums Ratewahrscheinlichkeit (für Brute Force) L: Lebensdauer R: Paßwortvergleichsrate A: Alphabetgröße M: Paßwortlänge P = L R A M Ergebnisse verschiedener Studien: Stallings 1992: von Paßwörtern ca. 15%: M 5 ca. 3%: M 4 Klein 1990: von gebrochenen Paßwörtern ca. 18%: M 5 ca. 2%: M 3 Programme: John (the Ripper), Crack, Cain, Brutus c Ulrich Flegel Reaktive Sicherheit Teil 5 10 / 54

7 Beispiel Brute Force Paßwörter Raten mit Wörterbüchern und Brute Force Abbildung: Beispiel: Brute-Force-Rateangriff mittels Cain c Ulrich Flegel Reaktive Sicherheit Teil 5 11 / 54

8 Paßwörter Paßwortraten: Online vs. Offline Raten mit Wörterbüchern und Brute Force Online-Paßwortraten verwendet die Login-Methode des anzugreifenden Systems Nicht verhinderbar Angreifer verlangsamen (inkrementelles Backoff, Verbindung kappen) Programme: Hydra, Brutus Offline-Paßwortraten empfindet die Authentisierungsmethode des anzugreifenden Systems nach, benötigt die Authentisierungsdaten (Paßwort-Hashes) des Systems Verhindern durch Schutz der Authentisierungsdaten Angreifer verlangsamen durch Suchraumvergrößerung Programme: John (the Ripper), Crack, Cain c Ulrich Flegel Reaktive Sicherheit Teil 5 12 / 54

9 Paßwörter Beispiel Online-Rateangriff Raten mit Wörterbüchern und Brute Force Abbildung: Beispiel: Wörterbuchangriff mittels Hydra c Ulrich Flegel Reaktive Sicherheit Teil 5 13 / 54

10 Paßwörter Wörterbücher zum Paßwortraten Raten mit Wörterbüchern und Brute Force Default-Paßwörter für Wartungs-Konten Wörterbücher (Sprachen, Namen,... ) Rainbow Tables (Ophcrack2, RainbowCrack) Wörtermanipulation: (John (the Ripper), Crack, Cain, Brutus) Präfixe und Suffixe, 1- und 2-stellig: 1 9,!,.,?,... Buchstabenersetzung durch Zahlen und Sonderzeichen: E 3, T 7,... Buchstabenersetzung durch angrenzende Zeichen auf Tastatur: W E, S D,... Permutationen der Groß-/Kleinschreibung Plural bilden Spiegeln Verdoppeln Sonderzeichen einfügen Programme: John (the Ripper), Crack, Cain, Hydra, Brutus c Ulrich Flegel Reaktive Sicherheit Teil 5 14 / 54

11 Beispiel Paßwortliste Paßwörter Raten mit Wörterbüchern und Brute Force Abbildung: Beispiel: Paßwortliste mit häufig verwendeten Wörtern c Ulrich Flegel Reaktive Sicherheit Teil 5 15 / 54

12 c Ulrich Flegel Reaktive Sicherheit Teil 5 16 / 54 Abbildung: Beispiel: Paßwortvorkommen in Wörterbüchern nach Klein 1990 Paßwörter Studie von Daniel Klein 1990 Wörterbücher Raten mit Wörterbüchern und Brute Force

13 Offline raten Paßwörter Raten mit Wörterbüchern und Brute Force Farmer/Venema 1993: Zeitraum gebrochene Paßwörter von min 50 30min 90 1h 1 root-pw <7 Tage root-pws Flegel 1997: Zeitraum gebrochene Paßwörter von s 1 1h 116 8h Tage 403 c Ulrich Flegel Reaktive Sicherheit Teil 5 17 / 54

14 Paßwörter Beispiel Offline-Rateangriff Raten mit Wörterbüchern und Brute Force Abbildung: Beispiel: Wörterbuchangriff mittels Cain c Ulrich Flegel Reaktive Sicherheit Teil 5 18 / 54

15 Paßwörter Raten mit Wörterbüchern und Brute Force Wo finden Angreifer die Paßworthashes? Unix: /etc/passwd /etc/shadow Windows 9x: pwl-dateien, normalerweise im Systemverzeichnis (traditionell) (wenn kein LDAP) Windows NT: SAM-Datei, laufenden Betrieb nicht zugreifbar Boot-Diskette/-CD-ROM Lokale Kopie der SAM (z.b. unter winnt repair oder im Backup) Dump aus der Registry (Cain, pwdump2/3) Windows 2000: Siehe Windows NT, d.h. über die SAM, oder Dump aus dem Active Directory (Cain, pwdump2/3) c Ulrich Flegel Reaktive Sicherheit Teil 5 19 / 54

16 Was tun? Paßwörter Gegenmaßnahmen Proaktiv: Nutzern Regeln und Tipps vermitteln Einfache Regeln technisch durchsetzen: Länge, Ziffern, Sonderzeichen,... ggf. Paßwörter beim Festlegen auf Stärke prüfen (OPUS) Paßwortalterung (Vorsicht! häufig unerwünschte Resultate) Inkrementelles Backoff bei falschem Paßwort Konto blockieren nach x falschen Paßwörtern (Vorsicht!) Andere Authentisierungstechnologien verwenden Single-Sign-On... Reaktiv: Regelmäßig Paßwörter der Nutzer auf Stärke prüfen / brechen c Ulrich Flegel Reaktive Sicherheit Teil 5 21 / 54

17 Angriffsverlauf Typische Vorgehensweise von Angreifern Informationssammlung Abtastung von Netzen und Systemen Ausnutzen gefundener Verwundbarkeiten, um Zugang zu erlangen Lokale Suche von Verwundbarkeiten Ausnutzen gefundener Verwundbarkeiten, um Rechte auszuweiten Spuren in Audit-Daten verwischen/löschen Zugang durch Hintertür konsolidieren Weitere Aktivitäten mittels Rootkit verbergen c Ulrich Flegel Reaktive Sicherheit Teil 5 24 / 54

18 Rootkit Rootkits Definition Rootkit erlaubt einem Angreifer, ein kompromittiertes System unbemerkt zu nutzen Basisfunktionalität: Filtern von Audit-Daten Verbergen von Prozessen, Dateien und Netzwerk-Verbindungen Bereitstellen einer Zugangsmöglichkeit über eine verborgene Hintertür (Backdoor) c Ulrich Flegel Reaktive Sicherheit Teil 5 26 / 54

19 Manipulation von Audit-Daten Abbildung: Beispiel: Filtern anhand von Schlüsselwörtern (t0rnkit) c Ulrich Flegel Reaktive Sicherheit Teil 5 28 / 54

20 Unzulänglichkeiten beim Filtern von Audit-Daten Audit-Daten, die nicht das Schlüsselwort enthalten, können auf herausgefilterte Audit-Daten hinweisen, s. Zeile zu /etc/ssh/primes Laufende Sitzung des Angreifers Laufende Prozesse des Angreifers Dateien des Angreifers Netzwerk-Verbindungen des Angreifers c Ulrich Flegel Reaktive Sicherheit Teil 5 29 / 54

21 Ersetzen von Systemprogrammen Vorgehensweise und Eigenschaften Vorgehensweise des Angreifers: Ersetzen von Programmen, z.b. ls, ps, netstat, lsof, rpm, md5sum, tripwire, syslogd,... Neue Versionen filtern die Ausgaben anhand von Schlüsselwörtern Eigenschaften des Ansatzes: Verbergen von Dateien, Prozessen und Verbindungen des Angreifers Bereitstellen von Hintertüren Liste der ersetzten Programm i.d.r. unvollständig c Ulrich Flegel Reaktive Sicherheit Teil 5 30 / 54

22 Ersetzen von Systemprogrammen Beispiel: t0rnkit V6.66 Ausgetauschte Programme: login, ifconfig, ps, du, ls, netstat, in.fingerd, find, top Dateilänge und Zeitstempel an Original angepaßt Paßwort in /etc/ttyhash Konfigurationsdaten und Sniffer in /usr/src/.puta SSH-Hintertür startet als nscd getarnt in /etc/rc.d/rc.sysinit telnet, shell und finger in inetd.conf aktiviert c Ulrich Flegel Reaktive Sicherheit Teil 5 31 / 54

23 Ersetzen von Systemprogrammen Entdeckung Entdeckung: Prüfung der Dateiintegrität (Tripwire, AIDE, rpm) + Schadensabschätzung möglich Pflegeaufwendig (Vergleichswerte aktualisieren und schützen) Ableich mit Signaturen (Chkrootkit, Rootkit Hunter) + Konkrete Aussage über Rootkit Nur bekannte/unmodifizierte Rootkits aufspürbar Manuelle Suche + Praktisch jedes Rootkit hat erkennbare Merkmale Nur bekannte Rootkits erkennbar c Ulrich Flegel Reaktive Sicherheit Teil 5 32 / 54

24 Beispiel zur Prüfung der Dateiintegrität Abbildung: Beispiel: AIDE und rpm entdecken das t0rnkit c Ulrich Flegel Reaktive Sicherheit Teil 5 33 / 54

25 Beispiel zum Signaturabgleich Abbildung: Beispiel: Chkrootkit erkennt das t0rnkit c Ulrich Flegel Reaktive Sicherheit Teil 5 34 / 54

26 Beispiel zur manuellen Suche I Abbildung: Beispiel: Alternativen zum Kommando ls c Ulrich Flegel Reaktive Sicherheit Teil 5 35 / 54

27 Beispiel zur manuellen Suche II Abbildung: Beispiel: Untersuchung von ls mittels strace (Solaris) c Ulrich Flegel Reaktive Sicherheit Teil 5 36 / 54

28 Ersetzen von Bibliotheksfunktionen Vorgehensweise des Angreifers: Ersetzen oder Überladen von Bibliotheken Neue Versionen von Funktionen filtern die Rückgabewerte Eigenschaften des Ansatzes: Verbergen von Dateien, Prozessen und Verbindungen des Angreifers Leichter portierbar als Kern-Rootkit Entdeckung: Vergleich der Ausgaben mit extern statisch gebundener Programmversion c Ulrich Flegel Reaktive Sicherheit Teil 5 37 / 54

29 Systemaufrufe Rootkits Systemaufrufe Bilden die Schnittstelle zu Betriebsmitteln des Kerns User-Space-Programme benutzen bei der Ausführung Systemaufrufe Kommandoebene: ls /tmp Systemaufrufe:... open(/tmp, O_RDONLY) getdents(... ) write(... )... c Ulrich Flegel Reaktive Sicherheit Teil 5 38 / 54

30 Regulärer Ablauf von Systemaufrufen in Unix (Bei Windows analog) Abbildung: Beispiel: Ablauf des Systemaufrufs open() c Ulrich Flegel Reaktive Sicherheit Teil 5 39 / 54

31 Kern-Rootkits: Ersetzen von Systemaufrufen Vorgehensweise und Eigenschaften Vorgehensweise des Angreifers: Rootkit als Modul in den Kern laden Ersetzen von Systemaufrufen durch Manipulation von Syscall-Tabelle, Interrupt-Handler, IDT oder Kernstrukturen Neue Versionen filtern die Rückgabewerte der Originale User-Space-Programme erhalten gefilterte Daten Eigenschaften des Ansatzes: Verbergen von Dateien, Prozessen und Verbindungen Verbergen der Abhöreinstellung von Netzwerkschnittstellen Umleiten bei der Programmausführung (Integritätsprüfung wirkungslos) Hintertüren über das Netzwerk, direkt im TCP/IP-Stack Manipulation beim Lesen von Speicherseiten, dadurch Verbergen des Rootkits Einstreuen von Fehlern bei Netzwerk- oder Dateioperationen c Ulrich Flegel Reaktive Sicherheit Teil 5 40 / 54

32 Kern-Rootkits: Vor der Installation Abbildung: Beispiel: kein Rootkit installiert c Ulrich Flegel Reaktive Sicherheit Teil 5 41 / 54

33 Kern-Rootkits: Manipulation der Syscall-Tabelle z.b. Adore, KIS Abbildung: Beispiel: Manipulierte Syscall-Tabelle c Ulrich Flegel Reaktive Sicherheit Teil 5 42 / 54

34 Kern-Rootkits: Manipulation des Interrupt-Handlers z.b. SucKIT Abbildung: Beispiel: Manipulierter Interrupt-Handler c Ulrich Flegel Reaktive Sicherheit Teil 5 43 / 54

35 Kern-Rootkits: Ersetzen von Systemaufrufen Beispiel Adore V0.42 Linux Kernmodul adore.o ersetzt Systemaufrufe: write(), getdents(), kill(), fork(), clone(), close(), open(), stat(), lstat(), oldstat(), oldlstat(), stat64(), lstat64(), mkdir(), getdents64() Hilfsmodul verbirgt adore.o durch Heraustrennen aus der Modulliste Programm ava als Schnittstelle zum Rootkit SSH-Hintertür wird von Rootkit verborgen c Ulrich Flegel Reaktive Sicherheit Teil 5 44 / 54

36 Kern-Rootkits: Ersetzen von Systemaufrufen Entdeckung Entdeckung: Suche nach unbekannten Modulen leicht zu umgehen Kontrolle kritischer Strukturen (kstat, ksec) + Viele Kern-Rootkits erkennbar Aufwendige Wartung der Referenzwerte Laufzeitmessung (patchfinder) + Entdeckt auch unbekannte Kern-Rootkits Minimale Eingriffe nicht von Messungenauigkeit unterscheidbar Manuelle Suche + Praktisch jedes Rootkit hat erkennbare Merkmale Nur bekannte Rootkits erkennbar c Ulrich Flegel Reaktive Sicherheit Teil 5 45 / 54

37 Beispiel zur Kontrolle kritischer Strukturen Kstat und Adore Abbildung: Beispiel: Kstat entdeckt Manipulationen der Syscall-Tabelle c Ulrich Flegel Reaktive Sicherheit Teil 5 46 / 54

38 Beispiel zur Laufzeitanalyse von Systemaufrufen Patchfinder und Adore c Ulrich Flegel Reaktive Sicherheit Teil 5 47 / 54

39 Beispiel zur Manuellen Suche I Umleitung bei der Dateiausführung Abbildung: Beispiel: Ausführen und Öffnen einer manipulierten init-datei c Ulrich Flegel Reaktive Sicherheit Teil 5 48 / 54

40 Beispiel zur Manuellen Suche II Entdecken der Umleitung durch Umbenennen Abbildung: Beispiel: Aufdecken von Dateiumleitungen durch Umbenennen c Ulrich Flegel Reaktive Sicherheit Teil 5 49 / 54

41 Effektivität der Maßnahmen am Beispiel von Adore V0.42, SucKIT V1.3b und Adore-NG V1.31 Abbildung: Maßnahmeneffektivität c Ulrich Flegel Reaktive Sicherheit Teil 5 50 / 54

42 Weiterführende Entwicklungen Ersetzung tieferliegenden Programmcodes, identifiziert durch Kontrollflußanalyse Abgleich von Referenzwerten mit Syscall-Tabelle wirkungslos Kernelmanipulation auf der Festplatte c Ulrich Flegel Reaktive Sicherheit Teil 5 51 / 54

43 Gegenmaßnahmen Rootkits Gegenmaßnahmen Audit-Daten: regelmäßige Kontrolle der Audit-Daten offenbart Unregelmäßigkeiten, nachträgliche Manipulation bei zentraler Audit-Datensammlung schwierig Deaktivieren von Kernmodulen: für sicherheitskritische gehärtete Systeme gut machbar, erschwert die Administration, Rootkit-Installation erschwert, aber dennoch möglich! Deaktivieren von /dev/kmem: für sicherheitskritische gehärtete Systeme gut machbar, z.b. X-Windows läuft nicht mehr, Rootkit-Installation erschwert, aber prinzipiell dennoch möglich! Prüfung der Dateiintegrität: bei Verdacht auf Rootkit Maschine aus dem Betrieb nehmen und das Dateisystem unter kontrollierten Bedingungen auf Integrität prüfen Regelmäßiges Abtasten: zum Auffinden einfacher Hintertüren, komplexe Hintertüren können den Port erst bei vereinbarten Signalen (z.b. Port-Knocking) sichtbar machen und werden nicht gefunden c Ulrich Flegel Reaktive Sicherheit Teil 5 53 / 54

44 Ende Nächste Vorlesung und Übung Übung zur Vorlesung Teil 5 Montag, 20. November :15-18:00 Uhr Campus Süd, Geschoßbau IV, Raum 318 Übungszettel liegt aus (auch auf Web-Seite verfügbar) bis Montag bearbeiten Vorlesung Teil 6 Donnerstag, 23. November :15-16:00 Uhr Campus Süd, Hörsaalgebäude 1, Hörsaal 3 Aktuelle Informationen zur Vorlesung und Übung teaching/lectures/06ws/reaktivesicherheit/ c Ulrich Flegel Reaktive Sicherheit Teil 5 54 / 54

45 Literatur Anhang Literatur Andreas Bunten. Rootkits: Techniken und Abwehr. In R. Schaumburg and M. Thorbrügge, editors, Tagungsband des 10. DFN-CERT Workshops über Sicherheit in vernetzten Systemen, pages E1 23. DFN-CERT, Books on Demand, February Andreas Bunten. Unix und Linux basierte Kernel Rootkits. DIMVA 2004, bitstream/2003/22815/1/dimva2004-sp-bunten.pdf, July Gescannte Abbildungen aus Eckert, IT-Sicherheit, Oldenbourg Kyas/a Campo, IT-Crackdown, mitp Bunten, Unix und Linux basierte Kernel Rootkits, Köllen Bunten, Rootkits: Techniken und Abwehr, DFN-CERT c Ulrich Flegel Reaktive Sicherheit Teil 5 55 / 54