Operációs rendszerek sebezhetőségeinek vizsgálata automatizált környezetben Informatika Biztonsági labor
Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/
Célkitűzés Baross projekt célja – Informatikai támadások kockázatának a vizsgálata TDK munka célja – végpont védelmek vizsgálata exploitokkal szemben Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/
Régen és most Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/ World Wide Web Netscape Microsoft Internet Explorer 1.0 Safari Mozilla Firefox Google Chrome Lynks
Napjainkban A „normál” operációs rendszerek háttérbe szorulnak a hétköznapokban A Cloud technológia segítségével szinte mindent elvégezhetünk böngészőkben Szövegszerkesztés, film lejátszás, írás Kiegészítő futtató környezetek szükségesek – Javascript – Adobe Flash – Silverlight (Moonlight) Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/
Probléma Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/
Probléma Napjainkban a biztonsági hibákkal való kereskedés felkapott Egy normál Adobe Flash 0 day sebezhetőség $-t is érhet A fertőzések okaként elsősorban a szoftverek foltjainak (frissítések) nem telepítése Régen a kártékony kódok írásához mélyebb szakértelem kellett Ez megváltozott! Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/
W32/SQLSlammer.worm A hiba kihasználást egy víruskutató tette közzé számítógépet megfertőzött Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/
W32/Witty március 19. BlackICE nevű népszerű személyi tűzfal IP hálózat felett zajlik A vírus világszerte ezer számítógépet fertőzött meg -> gép Katonai rendszerek ellen irányult Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/
Mi az exploit? Cél: – DOS – Privilégium emelés Fajták – Local exploit – Remote exploit – PoC (Proof of Concept) Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/
Evasion technikák TCPsendmaxtime HTML::base Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/
Metasploit Framework 2003-ban adták ki Szoftversebezhetőségek vizsgálatára tervezték Az exploitok révén gyorsabban használható ki egy sebezhetőség Rövid tesztelési idő Biztonsági kutatók fejlesztik Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/
Automatikus vizsgálati rendszer Exploitok automatikus tesztelése Gyors és hatékony működés Teljes kompatibilitás az Exploit keretrendszerekkel Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/
Automatizált tesztelő rendszer Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/ kliensek AMPS vezérlő tároló tűzfal tűzfal & router tároló MSF tesztelő rendszer
A tesztelés lépései Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/
Kliens Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/
Kliensek Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/
Tesztelési eredmények Exploit KASPERSKY MCAFEE NORTON Detection Execut ion blocke d Execution allowed Detection Execut ion blocke d Execution allowedDetection Execut ion blocke d Execut ion allowe d exploit200 Exploit.Java.Agent.f Malicious Java File Download 40 exploit202 Exploit.Java.CVE ac 40 Generic Exploit.j 04 CrimePack Toolkit JavaClass Download 40 exploit203 Exploit.Java.CVE e 40 Generic Exploit.j 04 Malicious Java File Download 40 exploit206 Exploit.Java.Agent.eq 40 Generic Exploit.j 04 Malicious Java File Download 40 exploit209 HEUR:Trojan- Downloader.Script.Generic 40 Swrort.d, Swrort.f 04 ADODB.Stream Object File Installation Weakness 40 exploit211 HEUR:Trojan.Win32.Generic 40 Swrort.d, Swrort.f 04 HTTP IE Unsafe Scripting Misconfiguration 40 exploit213 HEUR:Exploit.Script.Generic Malicious Java Download Attack 5 40 exploit215 HEUR:Exploit.Script.Generic Java Deployment Toolkit Input Validation CVE exploit217 Expolit.JS.CVE m HTTP MSIE CreateTextRange Code Exec 40 exploit219 HEUR:Exploit.Script.Generic 40 Exploit- CVE WebViewFolderIcon SetSlice CVE exploit220 HEUR:Exploit.Script.Generic HTTP DirectAnimation KeyFrame Heap BO 40 exploit223 HEUR:Exploit.Script.Generic Local or Remote Attacker: 2 13 exploit225 HEUR:Exploit.Script.Generic MSIE CVE exploit226 HEUR:Exploit.Script.Generic Local or Remote Attacker: 2 40 TOTAL % 0%43%50% 100%86%14% Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/
Tesztelési eredmények Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/
Összefoglalás Az exploit szerepe egyre jelentőssé válik Automatikus rendszert alakítottam ki – az exploitok vizsgálatára vonatkozóan – a védelmi rendszerek vizsgálatára vonatkozóan Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/ Köszönöm a figyelmet!
Forrás Dr. Leitold Ferenc, Horváth Botond – Dobozba zárt internet, Hacktivity 2011, Budapest Szőr Péter – A vírusvédelem művészete SZAK KIADÓ KFT Pere László - GNU/Linux rendszerek üzemeltetése II Andrew S. Tanenbaum - Számítógép-hálózatok (új, bővített kiadás - Panem) 2003 Peter Norton – A hálózat biztonság alapjairól Kiskapu 2000 Leitold Ferenc: Automatikus vírusanalizáló rendszer, Proceeding of the HISEC'96 Conference, Budapest, pp , 1996 Leitold Ferenc: Automatic Virus Analyser System, Proceeding of the 5th International Virus Bulletin Conference, Boston, USA, pp , buhera.blog.hu Hallgatói tudományos és szakmai műhelyek fejlesztése a Dunaújvárosi Főiskolán TÁMOP-4.2.2/B-10/