Black Hat Briefings USA 2005 Ana Jeanet Salamanca
Black Hat Briefings USA 2005 Ana Jeanet Salamanca Septiembre 15 de 2005
Contenido n Conferencias – Segundo día n n n Seguridad de la aplicaciones Forense Privacidad Defensas de l día cero “Turbo Talks” Conclusiones
Conferencias – Segundo día n 6 presentaciones por cada uno de los temas 1. Seguridad Aplicaciones 2. Forense 3. Privacidad 4. Defensa día 0 5. Charlas rápidas
1. Seg. Aplicaciones - Advanced SQL Injection in Oracle Databases n n n Presentación de nuevas formas para atacar BD Oracle. Enfocadas en vulnerabilidades de SQL Injection y cómo pueden ser explotadas usando nuevas técnicas. Revisión de vulnerabilidades a través de código PL/SQL. Buffer Overflows, ataques remotos usando aplicaciones Web. Recomendaciones contra estos ataques. Vulnerabilidades en Oracles: n n Demoras en la liberación de parches. 40 Han sido corregidas con parches recientes. 65 Overflows no han sido aún corregidas Más de 20 vulnerabilidades de SQL Injection aún no corregidas.
1. Seg. Aplicaciones - Advanced SQL Injection in Oracle Databases n SQL Injection in Oracle n Conexión directa a la base de datos (con un usuario) n n Sin conexión directa a la base de datos (a través de una aplicación Web) n n Ejecución de comandos SQL para generar Buffer Overflow. Usando bloques de setencias PL/SQL n n Ejecución de comandos SQL. Anónimas: Por ejemplo: EXECUTE IMMEDIATE “BEGIN INSERT INTO MYTABLE (MYCOL 1) VALUES (‘’’ || PARAM || ‘’’) ; END ; ’; Simples: OPEN CUR_CUST FOR ‘select name from customers where id = ‘’’ ||| p_idtofinf || ‘’’’; Usando el usuario SYS: Cambiando la contraseña del usuario y guardando la anterior en sitio desde donde se puede restaurar después. Ejecutando comandos del SO
1. Seg. Aplicaciones - Advanced SQL Injection in Oracle Databases n Cómo protegernos n n Revocar privilegios de ejecución no necesarios. Especialmente para el rol PUBLIC. Otorgar privilegios CREATE ANY PROCEDURE, ALTER ANY PROCEDURE solamente a usuarios autorizados. Otorgar el role RESOURCE solamente a usuarios autorizados. En lo posibles definir procedimientos almacenados con la opción AUDIT_CURRENT_USER.
1. Seg. Aplicaciones - Advanced SQL Injection in Oracle Databases n Buffer Overflows en procedimientos almacenados n n n Le permiten al atacante ejecutar código malicioso en el servidor. Puede ser utilizado por un usuario normal de la base de datos o usando SQL Injection por un usuario remoto (Usuario de aplicación Web). Usando la vulnerabilidad de Buffer Overflow un atacante puede ejecutar un comando de SO para crear un usuario administrador: Net user admin 2 /add && net localgroup administrators admin 2 /add && net localgroup ORA_DBA admin 2 /add
1. Seg. Aplicaciones - Advanced SQL Injection in Oracle Databases n Creando un usuario SYSDBA n n Ejecución de sentencias SQL como SYSDBA a través de Sql. Plus. Para crear el usuario SYSDBA, el atacante debe crear el siguiente comando: echo CREATE USER ERIC IDENTIFY BY MYPSW 12; > c: cu. sql & echo GRANT DBA TO ERIC ; >> c: cu. sql & echo ALTER USER ERIC DEFAULT ROLE DBA ; >> c: cu. sql & echo GRANT SYSDBA TO “ERIC” WITH ADMIN OPTION; >> c: cu. sql & echo with >> c: cu. sql & c: oracleproduct10. 1. 0db_1binsqlplus. exe “ as sysdba” @c: cu. sql n Cómo detectar un ataque. . . .
1. Seg. Aplicaciones - Advanced SQL Injection in Oracle Databases n Cómo detectar un ataque n Revisión de los archivos “dump” n n n Revisar el archivo [ORACLE BASE] /admin/[SID]/cdump/[SID]CORE: LOG Buscar excepciones ACCES_VIO (0 xc 0000005). Código inyectado puede estar en la pila del “dump”. En el archivo asociado udump/[SID]ora[THREAD_ID]. trc puede estar la sentencia SQL de el atacante. Errores internos de Oracle pueden generar “dumps”
2. Seg. Aplicaciones – Engañando la encripción Base de Datos e ingenieria de reversa de los algoritmos de administración de Oracle n n n Presentación de las fallas de encripción de packages dbms_crypto. Y dbms_obfuscation_toolkit Un hacker puede interceptar las llaves de encripción y usarlas para desencriptar información crítica de las compañías. Por que se encripta la información? n n n Conservar la confidencialidad de la información Cumplir con regulaciones Última línea de defensa Backups Como se encripta? n Algoritmos DES, 3 DES, AES, RC 4, software especial
2. Seg. Aplicaciones – Engañando la encripción Base de Datos e ingenieria de reversa de los algoritmos de administración de Oracle n Estrategias para administrar las llaves n n Manejadas por el cliente: Se almacena en el cliente y el DBA no la conocerá Guardar las llaves en el file system: Se almacena en diferentes cuentas y accesadas a través de procedimientos externos. n Guardarlas en las bases de datos n Calcular llaves n Código PL/SQL n Oracle Enterprise Manager 10 g Grid Control n n n Herramienta monitorear y administrar. Software Oracle Aplicación web Feb/05 informó de vulnerabilidades
2. Seg. Aplicaciones – Engañando la encripción Base de Datos e ingenieria de reversa de los algoritmos de administración de Oracle n Problemas de Oracle Enterprise Manager 10 g Grid Control n n n Utiliza esquema SYSMAN Las contraseñas se guardan en tablas conocidas Las contraseñas se encriptan/desencriptan con una función El DBA puede utilizar las funciones de encriptan/desencriptan Se puede interceptar todas llaves Calcular las llaves con ingeniera de reversa n n Calcular las llaves a través de funciones y procedimientos PL/SQL Si se conoce la función, parámetros y la secuencia de llamados
2. Seg. Aplicaciones – Engañando la encripción Base de Datos e ingenieria de reversa de los algoritmos de administración de Oracle n Recomendaciones n n n Usar nombre de funciones/tablas no obvias Use SQL dinámicos para esconder dependencias Use nombre de calificadores completos (Por ejemplo SYS. dbms_crypto) Generación de llaves y acceso a librerías en un package Conclusiones n Riesgo de BDA n Un hacker puede obtener el perfil del DBA n La encripción con dbms_crypto o dbms_obfuscation_toolkit no es segura porque la administración de llaves seguras no es posible
3. Forense – GEN III Honeynets: The birth of roo n n n El propósito de esta presentación fue describir las nuevas capacidades del GEN III honeypot y demostrar el nuevo roo, adicionalmente se revisó los honeygrid conectados a honeynets Proyecto Honeynet: Se implementaron redes alrededor del mundo para ser atacadas Objetivos: n n n Incrementar el conocimiento de los riesgos existentes Para el conocedor enseñar e informar de los riesgos Dar a las organizaciones las posibilidad de aprender más sobre si mismas.
3. Forense – GEN III Honeynets: The birth of roo n Honeypot n n n Es un sistema de cebo diseñado para que los atacantes interactuen con el. Recolecta información mientras se usa Tipos de Honeypots n Baja interacción n n Alta interacción n n Emula Servicios, Aplicaciones y Sistemas Operativos Reales En el verano de 2005 se libero un nuevo honeynet llamado roo.
3. Forense – GEN III Honeynets: The birth of roo n n http: //Honeynet. org/tools/cdrom/roo/downloa d. html roo n n n Información de logs (FW, IDS) Entender las acciones de los atacantes Alto nivel de análisis
3. Forense – GEN III Honeynets: The birth of roo n Honeynet: Red de honeypot de alta interacción n n Honeywall: Honeynet Web basado en herramientas de análisis de datos Honeygrid: una red de Honeypots
3. Forense – GEN III Honeynets: The birth of roo
4. Forense – Desarrollando un efectiva respuesta a incidentes En esta sesión se revisó: n El impacto de los incidentes de Seguridad en las organizaciones. n Métodos para responder a un Incidente de Seguridad n Tendencias y tecnología que la época de la información nos ha traído
4. Forense – Desarrollando un efectiva respuesta a incidentes n Ataques n Sofisticados n n n Difícil de detectar Herramientas especializadas Rápida propagación Realizado desde el extranjero Las compañías no están preparadas para responder efectivamente a un incidente. n n Recursos especializados Recursos dedicados Recolectar los datos Rastros - evidencia
4. Forense – Desarrollando un efectiva respuesta a incidentes n Cómo detectan las compañías los incidentes? n Alertas n n n Antivirus IDS Firewall Sensores Usuarios finales Cómo detectan los usuarios finales los incidentes? n n Caídas de los sistemas Antivirus inactiva o no se puede visitar la pagina web del software antivirus Aplicaciones no corren Registry se cierra cuando se invoca
4. Forense – Desarrollando un efectiva respuesta a incidentes n Caso de estudio n En dos ocasiones se compromete el PIN de un cliente La entidad financiera revisa su red Donde se comprometieron los datos del cliente? n Evidencia n n n n Logs Antivirus Entrada de Dr. Watson Antispayware Historial del Browser Correo electrónicos Phishing
4. Forense – Desarrollando un efectiva respuesta a incidentes n Revisar PC victima n n n Aplicaciones instaladas Revisar historial del Browser Revisar los emails Revisar archivos temporales Revisar time / date stand Se encuentra un keylogger – Trojano
4. Forense – Desarrollando un efectiva respuesta a incidentes n Rootkits n n n Esconde Archivos y directorios Procesos Entradas al registro Evita sean borrados los archivos Evita ejecución de antivirus
4. Forense – Desarrollando un efectiva respuesta a incidentes n n Investigación Recolección de evidencia n n n Puertos Servicios Ip Regedit Log seguridad, sistema, aplicación
5. Forense – Atrapeme si puede Demostración de manipulación de logs y forma de evadir herramientas forense n n n Engañar herramientas de análisis forense Sobrepasar herramientas comerciales Evitar detección de actividad
5. Forense – Atrapeme si puede n Técnica Encase utiliza Timezone establecer hora de eventos y detectar archivos sospechosos n Anti-técnica n n n Borrar timestamps Modificar los log o removerlos Agregar entradas ficticias
5. Forense – Atrapeme si puede TIMESTAMP n Técnica usada para colocar a cada fichero un sello que certifica que éste fue creado a la hora que marca el mismo. n Existen herramientas como File Stamper, TIMESTOMP permite seleccionar múltiples ficheros y cambiarles la fecha de creación, el último acceso, y cuándo fue modificado, aparte de los atributos de oculto, lectura o sistema
5. Forense – Atrapeme si puede n Modificar propiedades de los archivos n n Modificación Acceso Creación Problemas SO n Adicionar datos binarios a un log n Cambiar encabezados
5. Forense – Atrapeme si puede n Do. S - Tecnica n n Analizar logs en tiempo real y correlacionar eventos Acceso Creación Anti-tecnica n Llenar los logs con eventos Adicionar datos binarios a un log n Cambiar encabezados n
5. Forense – Atrapeme si puede n Técnica Recuperación de datos n n Herramientas para recuperar datos borrados -Winhex Anti técnica n Utilizar herramientas de borrado seguro - Eraser Limpiar los slack space n Limpiar los unallocated space n
5. Forense – Atrapeme si puede n Técnica Análisis de firmas n Encase utiliza dos métodos para identificar archivos n n n Extensión Signature File Anti técnica n No diferencia entre un archivo TXT y un ejecutable n Editor de Texto cambia la información
5. Forense – Atrapeme si puede
5. Forense – Atrapeme si puede
6. Forense – Más alla de Ethereal : RUMINT n n n Herramienta de análisis de trafico paquetes Observar la red y la acción de un atacante Filtros
6. Forense – Más alla de Ethereal : RUMINT Visualización de Información Es el uso de representaciones interactivas, visual de datos abstractos, para reforzar conocimiento.
6. Forense – Más alla de Ethereal : RUMINT
6. Forense – Más alla de Ethereal : RUMINT
6. Forense – Más alla de Ethereal : RUMINT
6. Forense – Más alla de Ethereal : RUMINT
6. Forense – Más alla de Ethereal : RUMINT
6. Forense – Más alla de Ethereal : RUMINT
6. Forense – Más alla de Ethereal : RUMINT
6. Forense – Más alla de Ethereal : RUMINT n Copia de 3 archivos
Conclusiones n n n Antes de implementar controles de seguridad de la información, debemos crear conciencia, explicar el porque, ponerlo en el lenguaje de los usuarios, utilizar ejemplos ilustrativos. Esto para evitar una fricción entre los usuarios y los sistemas de información. Día a día vemos la necesidad de reforzar la seguridad de la información para garantizar su confidencialidad, integridad y disponibilidad. Debemos mantenernos al día con respectos a las últimas vulnerabilidades que aparecen, para poder aplicar los correctivos oportunamente.
Conclusiones n n Dada la problemática actual con respecto a las vulnerabilidades, es importante que durante la implementación de nuevas soluciones informáticas, así como de las ya existentes, debe ser considerada la seguridad de la información. No a la seguridad a través de la oscuridad. Debemos tener en cuanta las herramientas de seguridad también son vulnerables a posibles ataques. Las nuevas vulnerabilidades que son descubiertas, deben ser asumidas como un mecanismo pro-activo de defensa, y no cómo una amenaza para los proveedores de tecnología.
Referencias http: //www. blackhat. com/html/bh-media-archives/bh-multi-mediaarchives. html#USA-2005
Gracias
- Slides: 48