Bucailsito: una sfida per gli hacker
Il concorso lanciato da Thunder Systems ha permesso di raccogliere interessanti informazioni sulle tipologie di attacco più comuni.
L’iniziativa voleva essere un modo per fare conoscere l’azienda, ma anche - e soprattutto - un progetto pensato per testare la capacità di reazione dei sistemi di sicurezza di fronte ad una massiccia dose di attacchi.
Quest’anno Thunder ha deciso di gettare nuovamente il suo guanto di sfida, spinta in particolare dal desiderio di mettere alla prova le novità della sua offerta tecnologica, specialmente nel settore Wi-Fi (la rete prevedeva infatti vari access point wireless collocati a Milano e hinterland).
Il cyber-agone si è concluso, come già nella prima edizione, senza che nessuno sia riuscito nell’impresa e il premio di 5.000 euro è stato quindi devoluto all’Onlus “Gruppi di Volontariato Vincenziano” di Milano.
“Buca il sito” 2004 è iniziato l‘8 marzo alle 12:00 per concludersi il 19 marzo alla stessa ora. Durante questi 11 giorni il sito di test www.bucailsito.it è stato preso di mira da un numero di attacchi assai elevato; nella sola giornata di apertura, gli accessi sono stati oltre 70.000.
Durante tutta la durata del concorso Thunder Systems ha monitorato i tipi di attacco ricevuti e i possibili punti deboli dell’infrastruttura di rete. Nelle righe che seguono troverete, subito dopo la descrizione dell’infrastruttura stessa, l’elenco degli attacchi più significativi. L’architettura di Bucailsito
La rete del progetto Bucailsito utilizzava le componenti topologiche descritte di seguito.
» Border Firewall
Il Border Firewall era la macchina più esterna della rete, un Bastion Host con un lato esterno (Internet) ed uno interno (Lan). Questa macchina ha sostenuto direttamente l’impatto degli attacchi, filtrandone la maggior parte. Attraverso un meccanismo interno al kernel denominato Dnat (Destination NAT), il firewall era in grado di pubblicare sulle proprie porte i servizi presenti su macchine all’interno della rete privata, proteggendo contemporaneamente le porte relative a servizi non pubblici. Un altro meccanismo denominato Snat (Source NAT) consentiva al firewall di permettere alle macchine presenti nella Lan l’accesso a Internet, ad esempio per effettuare gli aggiornamenti di sicurezza. L’accesso amministrativo a questo firewall (tramite Secure Shell) era permesso solo da alcuni indirizzi Ip. Questo firewall ha svolto anche la funzione di concentratore Vpn per le reti wireless.
» Ids
L’Ids (Intrusion Detection System) è uno strumento fondamentale per l’analisi degli attacchi subiti, ed è stato realizzato con una box Unix dedicata sui cui era stato installato il popolare Ids Snort (www.snort.org). Questa macchina possedeva diverse schede di rete tra cui il lato sniffer connesso a un cavo Ethernet cablato Rx only (sola ricezione) e senza la configurazione del layer Ip direttamente collegato all’esterno del firewall.
Questa scelta topologica riduce significativamente le possibilità che l’Ids possa essere compromesso, e quindi consente di proteggere in modo efficace i dati relativi agli attacchi subiti (la cui rilevazione era una delle finalità del concorso). L’Ids ha potuto quindi registrare la totalità degli attacchi, anche se la maggior parte di essi sono stati bloccati direttamente dal firewall. Le operazioni di amministrazione della macchina Ids avvenivano tramite un’altra interfaccia di rete che per ovvie ragioni non era pubblica. » Server Web / Server di e-mail
Il server Web di www.bucailsito.it era un server con attivi i servizi http, https, smtp. Per consentire la registrazione e la raccolta dei profili degli utenti, ospitava inoltre un database e del codice Php lato server. Questo server ospitava anche un ulteriore firewall e vari strumenti di monitoraggio, tra cui un secondo Ids che tuttavia, per la natura delle connessioni provenienti dal Border Firewall, poteva “vedere” solo gli attacchi indirizzati verso le porte su cui era attivo il servizio Dnat.
» Punti di accesso wireless
Per il concorso sono stati anche installati 6 punti wireless in alcune zone chiave di Milano. Anche in questo caso, l’obiettivo è stato quello di simulare una realtà aziendale, installando un firewall che filtrava il traffico proveniente dagli access point e fungeva da router per la Lan che proteggeva. Il firewall disponeva di una porta esterna (Internet), una porta interna sicura (per il collegamento dei Pc della rete) e una porta interna “insicura” (per il collegamento dei Pc wireless). Il traffico dalla porta wireless era consentito solo ed esclusivamente verso Internet ed era filtrato dal servizio di proxy, che garantiva la visione di un numero limitato di siti (Whitelist) e l’utilizzo di una banda limitata (Traffic Shaper).
I Pc wireless potevano avere accesso alla rete interna e ai suoi servizi solo attivando una Vpn cifrata.
Il concorso prevedeva una procedura di registrazione, con un duplice sistema di validazione: bisognava infatti indicare un indirizzo e-mail valido e digitare un codice alfanumerico letto da un’immagine generata in tempo reale, questo per impedire ad un’eventuale robot di creare automaticamente centinaia di account fasulli (per ulteriori informazioni su questa tecnica vi rimandiamo all’articolo Proteggete i moduli dei vostri siti Web con i Captcha, pubblicato sul numero di marzo 2004 di PC Professionale). Gli utenti registrati avevano a disposizione anche un servizio di I-Disk, ovvero un disco virtuale remoto (naturalmente privato) con una capacità di 2 MByte. Il servizio era ospitato sui server di Bucailsito e richiedeva un username e una password per l’accesso. L’applicazione, come tutto il codice, è stata scritta in PHP, su database MySql, prestando particolare attenzione alle vulnerabilità del codice, quali buffer-overflow e sql-injection. Gli attacchi più significativi
Anche se il sito è rimasto inviolato, il concorso ha permesso di raccogliere una notevole quantità di dati. Qui di seguito elenchiamo i tipi di attacco più significativi che sono stati riscontrati: si tratta di una lista che dovrebbe essere considerata con attenzione da qualunque security manager. Per ogni attacco abbiamo indicato l’impatto, i sistemi potenzialmente vulnerabili e i riferimenti per un eventuale approfondimento tecnico.
» WEB-CGI scriptalias access
Con questo attacco si cerca di avere accesso al sistema sfruttando eventuali programmi che sono nella directory degli script cgi-bin del server.
Impatto: Information gathering e potenziale compromissione del sistema. Possibilità di accesso al server e/o alle applicazioni. In alcuni casi è possibile l’esecuzione di codice arbitrario. Alcune applicazioni non effettuano controlli adeguati delle variabili e dei parametri che vengono passati alle stesse. Questo può causare grossi problemi di sicurezza che possono essere sfruttati attraverso l’uso ad esempio di buffer overflows. I dati presenti sul server possono essere compromessi ed in alcuni casi e’ possibile arrivare all’accesso amministrativo della macchina.
Sistemi coinvolti: tutti i sistemi che supportano l’uso di applicazioni CGI
Riferimenti: arachnids: 227 (www.whitehats.com/info/IDS227)
bugtraq: 2300 (www.securityfocus.com/bid/2300)
cve: CVE-1999-0236 (http://cve.mitre.org/cgi-bin/cvename.cgi?name =CVE-1999-0236)
» WEB-MISC webdav search access
Impatto: se il bersaglio fosse un server IIS 5.0, un attaccante potrebbe avere il completo accesso al directory listing del server Web dalla DocumentRoot in poi, il che fornirebbe molte informazioni utili per portare altri attacchi più decisivi in base alle vulnerabilità riscontrate. IIS 5.0 include un’implementazione di WebDAV come tool per il Web publishing. Inoltre, il WebDAV di IIS 5.0 è anche vulnerabile ad un attacco di tipo DoS (Denial Of Service) se la stringa di ricerca è molto lunga. L’attaccante ottiene il listing tramite l’invio di una stringa così formata:
SEARCH / HTTP/1.1
Sistemi coinvolti: Microsoft Windows IIS 5.0 + WebDAV
Riferimenti: arachnids: 474 (www.whitehats.com/info/IDS474)
» EXPLOIT ssh CRC32 overflow /bin/sh
SSH (Secure Shell) è un servizio che sostituisce l’ormai obsoleto telnet per l’amministrazione remota di macchine prevalentemente ad architettura Unix. A differenza di telnet si avvale delle librerie SSL (Secure Socket Layer) per proteggere la connessione attraverso l’uso della crittografia. Questo alert è generato dall’Ids quando viene riconosciuto il tentativo di exploit di versioni vulnerabili del demone Ssh.
Impatto: il sistema viene compromesso a livello critico, dando accesso di tipo root all’attaccante. Alcuni dispositivi di rete Netscreen sono vulnerabili ad attacchi di tipo DoS.
Una vulnerabilità di tipo integer-overflow nel compensation attack detection code CRC32 di Ssh può portare ad un’esecuzione arbitraria di codice con i privilegi dell’utente del demone Ssh (che solitamente è root). L’attaccante deve inviare dei pacchetti costruiti appositamente per generare un buffer overflow, in modo da poter sovrascrivere delle particolari porzioni della memoria del server attaccato.
Sistemi coinvolti: OpenSSH (versioni precedenti la 2.2), alcuni dispositivi di rete Cisco e Netscreen
Riferimenti: cve: CVE-2001-0144 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2001-0144)
bugtraq: 2347 (www.securityfocus.com/bid/2347) » WEB-MISC Cisco IOS HTTP configuration attempt
Si tratta di un potenziale attacco che porta all’accesso amministrativo di router Cisco. Questa vulnerabilità appare in molteplici release del software Cisco IOS.
Impatto: questo tipo di attacco può causare un accesso non autorizzato ad apparati di rete Cisco funzionanti con versioni di IOS (il sistema operativo dei router/switch Cisco) vulnerabili e con la possibilità di configurazione tramite interfaccia Web abilitata. L’attacco avviene utilizzando un Url del tipo:
http://router.address/level/$NUMBER/exec/….
dove $NUMBER è un intero compreso tra 16 e 99.
Sistemi coinvolti: alcuni router e switch Cisco con l’interfaccia Web abilitata
Riferimenti: Buqtraq: 2936 (www.securityfocus.com/bid/2936)
» WEB-MISC long basic auth string
Questo è un attacco di tipo Long Authentication String Buffer Overflow Vulnerability diretto contro il server Web AOLServer.
Impatto: l’attacco può mandare in crash il server e permettere all’attacker di lanciare codice arbitrario. AOLServer è un server Web open source liberamente utilizzabile. È stato originariamente scritto da AOL (America On Line). È stato scoperto un bug che permette all’utente remoto di mandare in crash il demone di AOLServer, togliendo il servizio agli utenti del sistema (DoS). Il problema risiede nel modo in cui viene gestita la password durante un accesso che richiede autenticazione. Se la password supera i 2.048 byte, non viene effettuato alcun controllo sulla lunghezza ed è possibile generare un buffer overflow. Attraverso il buffer overflow è possibile sovrascrivere le variabili nello stack, compreso il return address. Questo rende possibile ad un utente remoto l’esecuzione di codice arbitrario con i privilegi del processo con cui gira il server web AOL e potenzialmente consente di guadagnare accesso locale al sistema.
Sistemi coinvolti: tutti i server Web basati su AOLServer versione precedente alla 3.4
Riferimenti: bugtraq: 3230 (www.securityfocus.com/bid/3230)
» WEB-IIS SAM Attempt
Questo attacco consiste nel tentativo di accesso al Windows Security Accounts Manager (SAM), ovvero il file delle password, attraverso una richiesta Web.
Impatto: Information gathering. L’attaccante può recuperare il file contenente le password del sistema. Il SAM Password file contiene i login NTLM o LANMAN sui sistemi Windows NT/2K/XP. Gli algoritmi di protezione degli hash NTLM o LANMAN possono essere violati in breve tempo (nel caso di password poco robuste) con appositi tool. Questo attacco è ormai obsoleto, ma è stato menzionato perché in passato è stato molto sfruttato.
Sistemi coinvolti: Windows NT 3.x and 4.0
Riferimenti: www.ciac.org/ciac/bulletins/h-45.shtml
Ancora nessun commento.