Seguridad. Felipe Andres Manzano FaMAF - Universidad Nacional de Córdoba - Argentina

Transcripción

1 Seguridad Felipe Andres Manzano FaMAF - Universidad Nacional de Córdoba - Argentina 2011

2 Se puede ganar?? i n t main ( ) { i n t cookie ; char buf [ 8 0 ] ; gets ( buf ) ; } i f ( cookie == 0x ) p r i n t f ( " Gansaste! \ n " ) ;

3 Atacante/Ataque/Vulnerabilidad Los programas tienen bug/errores Vulnerabilidad es un tipo de error que permite un ataque Ataque es simplemente una tecnica que utiliza el atacante Atacante es es quien intenta ver, modificar o corromper informacion que no deberia (con un fin malicioso)

4 Ataques de Ingenieria Social Caballitos de troya (Ejecutame este programita por favor) Login falso Lluvia de Pendrives

5 Rootkits (persistencia/ataques del programador) Hooking. Interceptar la ejecucion en algun punto y devolver el control al programa/funcion original. Cambiar programas de usuario. Cambiar codigo fuente Cambiar compilador Rootkit de kernel

6 Atacante externo Server side (servicios) Client Side (desktop) Local (Escalacion de privilegios)

7 Vulnerabilidades en software El input es controlado por un atacante Bugs + datos mezclados con informacion de control = vulnerabilidades Emergen clases de equivalencia Inyeccion de comandos Desbordamiento de enteros Buffer Overflows Format strings... etc..

8 Inyeccion de comandos Un programa vulnerable a injeccion de comandos utiliza la entrada del usuario para construir una linea de comando de shell si realizar los checkeos necesarios. El atacante controla parte de la linea de comandos a ejecutarse por el programa vulnerable y finalmente puede insertar comandos subrepticiamente.

9 Inyeccion de comandos - Ejemplo i n t main ( i n t argc, char argv ) { char b u f f e r [ 6 4 ] = " date " ; p r i n t f ( " Bienvenido a Megaserver! \ n \ r " ) ; p r i n t f ( " La hora y fecha a c t u a l es : " ) ; system ( " date " ) ; p r i n t f ( " Por f a v o r ingrese l a nueva : " ) ; gets ( b u f f e r + s t r l e n ( b u f f e r ) ) ; system ( b u f f e r ) ; return 0; }

10 Inyeccion de comandos - System system - ejecuta una orden del interprete de ordenes SINOPSIS #include <stdlib.h> int system(const char *string); DESCRIPCION system() ejecuta una orden especificada en string llamando a /bin/sh -c string, y regresa despues de que la orden se haya terminado de ejecutar. blah...

11 Inyeccion de comandos - Demo DEMO

12 Desbordamiento de enteros #include < s t d i o. h> i n t main ( i n t argc, char argv [ ] ) { unsigned i n t cookie = 0x ; unsigned i n t parameter = a t o i ( argv [ 1 ] ) ; i f ( cookie > cookie+parameter ) p r i n t f ( "NAAAAAAAAAAH! \ n \ a " ) ; return 0; }

13 Stack Overflows El tipo de vulnerabilidad mas conocido y documentado "Smashing the stack for Fun and Profit" (Aleph, One, 1996) ( 14&issue=49) Esto se viene explotando desde hace 25 anhos

14 Buffers Un cacho de memoria. Una porcion memoria continua y limitada En C, el buffer mas comun es un arreglo Los desbordamientos son posibles porque C/C++ no revisa los limites de los accesos Entonces se puede leer y escribir! fuera de rango

15 Leyendo fuera de rango #include < s t d i o. h> #include < s t r i n g. h> i n t main ( ) { i n t array [ 5 ] = { 1, 2, 3, 4, 5 } ; p r i n t f ( "%08x \ n ", array [ 5 ] ) ; } gcc -O0 -g read5.c -o read5 El compilador no se queja, pero cuando lo ejecutamos imprime un valor "loco"

16 Escribiendo fuera de rango i n t main ( ) { i n t array [ 5 ] ; i n t i ; for ( i = 0; i < 255; i ++) array [ i ] = 10; } gcc -O0 -g write5.c -o write5 El compilador no se queja, pero cuando lo ejecutamos "crashea"

17 La pila estructura de datois LIFO sirve para guardar variables automaticas(locales) e informacion de control para la anidacion de funciones en INTEL el registro *ESP* apunta al tope de la pila (al ultimo valor usado) y *EBP* a la base del marco de activacion actual (no es necesario) las intrucciones PUSH and POP usan ESP para acceder a la memoria de la pila

18 Buffer Overflows - Stack i n t main ( i n t argc, char argv [ ] ) { i n t cookie = 0x ; char b u f f e r [ 4 0 ] ; } s t r c p y ( b u f f e r, argv [ 1 ] ) ; i f ( cookie == 0x ) p r i n t f ( " Ganaste! \ n \ a " ) ; return 0;

19 Buffer Overflows - Stack $ gcc -O0 -g stack.c -o stack $./stack XXXXXXXXXXX...XXXXXXXXXXDCBA

20 Buffer Overflows - Controlando el eip EY! Pero ahi tambien esta la direccion de retorno de la funcion Intentemos sobreescribirla poniendo mucho mas input Vamos a sobreescribir todo el marco de activacion La direccion de retorno de la funcion actual es una variable local implicita e *invisible* para el programador

21 Buffer Overflows - EIP? A donde saltar? Hay que decidir donde saltar Historicamente se salta nuevamente a la pila Podemos elejir un lugar en la funcion main... digamos printf ("Ganaste!\n"); La direccion se investiga usando el gdb

22 Format strings SINOPSIS int printf(const char *format,...); DESCRIPCION Las funciones de la familia printf producen una salida de acuerdo a format. FORMAT %d El argumento int se convierte a la notacion decimal con signo. %n El numero de caracteres escritos hasta ahora se guarda en el entero indicado por el argumento de tipo puntero int * No se convierte ningun argumento.!!!!!!

23 Format strings - Ejemplo i n t main ( i n t argc, char argv [ ] ) { i n t value = 0xdeadbeef ; i n t cookie = 0x ; i n t value_p = &value ; i n t cookie_p = &cookie ; p r i n t f ( " La d i r de cookie :%08x \ n ", cookie_p ) ; p r i n t f ( " La d i r de value :%08x \ n ", value_p ) ; p r i n t f ( argv [ 1 ] ) ; } p r i n t f ( " El v a l o r de cookie :%08x \ n ", cookie ) ; p r i n t f ( " El v a l o r de value :%08x \ n ", value ) ; i f ( cookie == value ) p r i n t f ( "NAAAAAAAAAAH! \ n \ a " ) ; return 0;

24 Format strings - DEMO DEMO

25 Protecciones NX/DEP Mapas de memoria no ejecutables son... ergh.. no executables ASLR Aleatorizacion de la posicion base de los mapas de memoria /GS Cookie o propolice. Canaries en las stacks.

26