Sikkerhet – hvordan ser en hacket maskin ut?

1. Sikkerhet – hvordan ser en hacket maskin ut? Elisabeth Høidal Strøm USIT:SAS:OS (PCadm) elisabhs@usit.uio.no

2. Innhold • Hvem eller hva angriper? • Hva vil hackeren oppnå? • Typer angrep, hva utnytter de? • Hva gjøres og hvilke verktøy brukes? • Hva bør man gjøre hvis en mistenker maskinen sin for å være hacket? • Hva ser vi etter sentralt?

3. Hvem eller hva angriper? • Virus, ormer, trojanere • Scriptkiddies eller crackere • (Tidligere) ansatte

4. Hva vil hackeren oppnå? • Systemressurser - diskplass og rask nett til å dele ut warez. • Utgangspunkt for nye angrep • Ære og berømmelse i kriminellt miljø • Økonomisk vinning • Politikk • Forskningsresultater • Hevn

5. Crackere/scriptkiddies: • Scanner gjerne hele nett kontinuerlig etter sikkerhetshull, åpne porter • IIS, MS SQL spesielt utsatt • Scanneverktøy: -nmap -superscan

6. Typer angrep. • Virus, ormer, trojanere • Automatiserte angrep via: -mail (ekle attachments) -webbrowsere (javascript) -kazaa (ekstra kode i mp3-filer) • Kommer gjerne etter at sikkerhetshull oppdages og maskiner som ikke patches blir sårbare

7. Typer angrep, hva utnytter de? • Sikkerhetshull i OS og programvare, eksempler: -utnytter dårlig beskyttede webservere -utnytter dårlig kode (feks cgi) til å gi med ekstra kode -defaultbrukere med default passord for MS SQL og IIS. • Passordsniffing: -lytte på trafikk mellom to maskiner (eks ukryptert telnettrafikk) -tastatursniffer på allerede hacket maskin

8. FBI/SANS top 10 liste windows(www.sans.org/top20) • W1 Internet Information Services (IIS) • W2 Microsoft Data Access Components (MDAC) -- Remote Data Services • W3 Microsoft SQL Server • W4 NETBIOS -- Unprotected Windows Networking Shares • W5 Anonymous Logon -- Null Sessions • W6 LAN Manager Authentication -- Weak LM Hashing • W7 General Windows Authentication -- Accounts with No Passwords or Weak Passwords • W8 Internet Explorer • W9 Remote Registry Access • W10 Windows Scripting Host

9. Hva installeres på en hacket maskin? • Rootkit – ferdige pakker med scripts og verktøy • Remote admin (radadmin, back orifice, ol) • ftp-server (serv-U-ftp, raiden-ftp, ol) • Irc-klient (med irc-bot, kan være istedet for ftp) • passordsniffere (fakegina, pwdump, pwdump3, pwservice) • Pstools (psexec, pskill, pslist, psloggedon, psinfo) • Div snacks (netcat, findpdc, tlist, freespace, sc, sfind) • Vil gjerne forsøke å skjule seg ved å gi verktøyene sine legitme navn • Disabler antivirus

10. Hvor ”gjemmes” filene? • C:\recycler\com1\(a\) • C:\recycler\s-1-5.....\ • C:\system volume information\ • C:\winnt\system32\obskurt_navn\

11. Hvis man mistenker maskinen sin for å være hacket? • Kontakte cert@usit.uio.no • Ikke gjøre endringer på systemet • Vurdere om maskinen bør slås av eller tas av nett • Opprette lokal bruker med adminrettigheter • Legg merke til timestamp på mapper • Lete i registry etter run-nøkler • Kikke i win.ini og boot.ini

12. Sjekke logger • Eventlog • IIS • SQL • Apache

13. Verktøy til hjelp • Tcpview • Filemon • Regmon • Fport • Net start • Netstat • Tlist • Alltid bruke egne versjoner av programmer selv om de ligger på systemet fra før. • www.sysinternals.com har mye fint

14. Hva gjør vi sentralt? • Daily - maskinene sett fra innsiden -kjører på w2k og xp i domenet -leter etter mistenkelig oppførsel (filer, porter, prosesser, servicer, osv) -patcher nt4 og w2k til siste service pack, -leverer logger til sentral server -daglig mailrapport til pcadm

15. Hva gjør vi sentralt? • Scanorama – maskinene sett fra utsiden -portscanner uio-nettet, tcp og udp -bannergrabbing etter tjenester, os, mm -bruker nmap, head, dig -lagres i postgreSQL database