docBetriebssysteme I: Klassische UNIX Exploits
download 
Denúncia Transcrição
Betriebssysteme I: Klassische UNIX Exploits
Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Betriebssysteme I: Klassische UNIX Exploits Proseminar Secure Computing Markus Sieber 6. Dez 2006 Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Agenda 1 Sicherheitskonzepte von UNIX Kernel Usermode/Kernelmode Mehrbenutzersystem Zugriffskontrolle im Kernel Entstehen von Lücken 2 Root Exploits Root Exploits gegen Anwendungen im Userspace Exploits gegen den Kernel 3 Rootkits Userland Rootkits Kernel Rootkits Erkennmöglichkeiten Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Usermode/Kernelmode Mehrbenutzersystem Zugriffskontrolle im Kernel Entstehen von Lücken CPU Modi Heutige Prozessoren unterstützen mindestens 2 Betriebsmodi: Kernelmode: Vollständiger Zugriff aus Systemressourcen erlaubt Usermode: Zugriff stark limitiert Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Usermode/Kernelmode Mehrbenutzersystem Zugriffskontrolle im Kernel Entstehen von Lücken Mehrbenutzersystem Alle Prozesse laufen in dem Kontext eines Benutzers Jeder Benutzer besitzt einge eindeutige ID: die UID Dem Benutzer root - UID 0 - wird vom Kernel voller Zugriff auf Alles gewährt. Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Usermode/Kernelmode Mehrbenutzersystem Zugriffskontrolle im Kernel Entstehen von Lücken Zugriffskontrolle im Kernel Zu jedem Prozess wird die UID des Anwenders gespeichert. Für jede Zugriffskontrolle wird diese gespeicherte ID benutzt um die Rechte zu bestimmen: Für UID = 0: alles erlaubt Für alle anderen: eingeschränkte Rechte Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Usermode/Kernelmode Mehrbenutzersystem Zugriffskontrolle im Kernel Entstehen von Lücken Entstehen von Lücken Bufferoverflows Mangelnde Überprüfung in priviligierten Programmen Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Root Exploits gegen Anwendungen im Userspace Exploits gegen den Kernel Was sind Root Exploits Exploits sind Programme, die Fehler in Software ausnutzen, um die eigenen Rechte zu erweitern Root Exploits sind Programme, die die Nutzerrechte auf die Administratorrechte ausweiten Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Root Exploits gegen Anwendungen im Userspace Exploits gegen den Kernel Root Exploits gegen Anwendungen im Userspace Welche Anwendungen sind betroffen? alle, die durch Usereingaben gesteuert werden können Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Root Exploits gegen Anwendungen im Userspace Exploits gegen den Kernel Exploits gegen den Kernel Kernel Exploits nutzen Fehlimplementierungen im Kernel um die eigenen Rechte zu erweitern. Beispiel: Ptrace. Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Userland Rootkits Kernel Rootkits Erkennmöglichkeiten Was sind Rootkits Rootkits sind Programme, die bösartige Hacker auf einem eingebrochenen System installieren beinhalten eine Backdoor, durch die der Cracker wieder Zugriff auf das System erlangen kann tarnen sich selbst, damit sie unentdeckt bleiben können Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Userland Rootkits Kernel Rootkits Erkennmöglichkeiten Userland Rootkits Stellen eine Backdoor bereit, über die der Angreifer jederzeit wieder vollen Zugriff auf das System bekommt Ändern vorhandene Programme, wie ls, netstat usw. so ab, dass der Prozess für die Backdoor versteckt wird Zum Teil implementieren sie auch Funktionen, um die Spuren aus den Logs zu entfernen Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Userland Rootkits Kernel Rootkits Erkennmöglichkeiten Kernel Rootkits Stellen eine Backdoor bereit, über die der Angreifer jederzeit wieder vollen Zugriff auf das System bekommt Ändern (zB durch ein nachgeladenes Modul) den Kernel dahingehend, dass er keine Informationen zu dem Backdoorprozess herausgibt Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Userland Rootkits Kernel Rootkits Erkennmöglichkeiten Beispiel: Adore-NG Adore-NG Features Leichte Installation über ein ladbares Modul Dateien, Verzeichnisse, Prozesse und Sockets sind versteckbar“ ” Logs werden automatisch gefiltert Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Userland Rootkits Kernel Rootkits Erkennmöglichkeiten Beispiel: Adore-NG Adore-NG Userinterface Bei Installation wird ADORE KEY festgelegt Nachdem eine Shell mit Hilfe des ADORE KEYs authentifiziert ist: Admin Funktionalität des Rootkits aktiviert Clientprogramm ava ist mit dem Schlüssel kompiliert worden. Dieses Programm übernimmt die Authentifizierung. Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Userland Rootkits Kernel Rootkits Erkennmöglichkeiten Grunsätzliches zum Erkennen von Rootkits Userland Rootkits: Die Tarnung von Userland Rootkits lässt sich durch Benutzung sicherer Software“ umgehen ” IDS guter Schutz gegen Userland Rootkits, Änderungen an Binaries fallen gleich auf Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Userland Rootkits Kernel Rootkits Erkennmöglichkeiten Grunsätzliches zum Erkennen von Rootkits Userland Rootkits: Die Tarnung von Userland Rootkits lässt sich durch Benutzung sicherer Software“ umgehen ” IDS guter Schutz gegen Userland Rootkits, Änderungen an Binaries fallen gleich auf Kernel Rootkits: Perfekte Tarnung theoretisch möglich In der Praxis sind gewisse Techniken benutzbar, da alle Rootkits manche Informationslecks übersehen“ ” Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Userland Rootkits Kernel Rootkits Erkennmöglichkeiten Mögliche Techniken im laufenden Betrieb Keine Software ist perfekt und damit vergessen auch Rootkits oft bestimme Spuren zu verwischen: Existenz von Prozessen über mehrere Schnittstellen“ prüfen: ” Signal an alle Prozesse von 1-10000 schicken und dann überprüfen, ob dazu auch ein /proc Eintrag existiert Eine Partition mit einem Userland Filesystem Programm anschauen und nach Unterschieden zum vom Kernel gemounteten suchen Kernelspeicher nach bekannten Rootkitsignaturen durchsuchen Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Userland Rootkits Kernel Rootkits Erkennmöglichkeiten Rescue System Im Rescue System kann das Rootkit sich nicht verstecken. Durch Überprüfung aller Dateien mit der Sicherheitskopie lassen sich schnell geänderte Dateien finden, die zum Laden des Rootkits fungieren. Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Vielen Dank für die Aufmerksamkeit! Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits Agenda Sicherheitskonzepte von UNIX Kernel Root Exploits Rootkits Discuss! Hältst du dein System aktuell, um gegen Viren, die aktuelle Sicherheitslücken benutzen immun zu sein? Denkst du, du würdest ein Rootkit auf deinem Rechner bemerken? Proseminar Secure Computing Markus Sieber Betriebssysteme I: Klassische UNIX Exploits
