¿Cómo es posible "piratear" si "defiendo" correctamente?

¿No te aseguras de que se apliquen todas las actualizaciones de seguridad? Recuerda, como defensor, debes ganar el 100% del tiempo . Un hacker solo necesita ganar una vez.

Los pasos que has enumerado también son mucho más fáciles de decir que de realizar (excepto la cuestión de las contraseñas ... ¡y aún así la gente todavía elige contraseñas horribles!).

2) Además, ¿qué es una "fuente creíble" para un servidor web público? ¿Toda la internet? ¿Toda la Internet, sin China / Rusia (/ algunos / otros / países)? Los sistemas automatizados pueden detectar muchos tipos de ataques, pero al igual que los antivirus, solo pueden llegar muy lejos.

3) La supervisión de archivos locales es buena, pero, nuevamente, no es una panacea. ¿Qué sucede si el atacante logra inyectar código en el servidor web y luego usa un error del núcleo para obtener código en el núcleo ... sin tener que escribir un archivo en el disco? En ese momento, podrían escribir archivos en el disco y usar un kit de raíz para evitar que la mayoría de los escaneos en línea (en teoría todos ) noten cualquier cambio en el sistema.

E incluso si solo logran explotar el servidor web, pueden hacer todo lo que puede hacer el servidor web (que podría ser todo lo que el atacante estaba interesado de todos modos).

4) Siempre debe validar la entrada del usuario. La mayoría de los desarrolladores lo saben (y muchos intentan hacerlo). Lamentablemente, es mucho más fácil decirlo que hacerlo, por lo que seguimos viendo un problema tras otro en el que la información del usuario no está validada de manera adecuada. Usted nunca podrá garantizar que cualquier software real esté correctamente validando todos los comentarios del usuario. Lea algunas preguntas de PHP + MySQL en StackOverflow para ver cuántas personas piensan que mysqli_real_escape_string() previene todos los ataques de inyección de SQL ( "where ID = " . $val es vulnerable, incluso cuando $val es el resultado de mysqli_real_escape_string !).

Incluso si pudieras (no puedes) asegurarte de que todos los vectores de ataque conocidos estuvieran protegidos, no puedes hacer nada más que moverte violentamente en la oscuridad y desconocer-desconocidos (bueno, educarte continuamente ayuda). / p>

Como ejemplo donde tus defensas no hubieran hecho nada, participé en un curso de seguridad donde estamos haciendo "juegos de guerra". Pude rootear el servidor de un equipo contrario pudiendo obtener una de sus contraseñas de usuario de la máquina otra (una de ellas la arruinó y la escribió en bash como un comando por error, y nunca pensaron para borrarlo de .bash_history ).

Desde allí, falsifiqué la IP de la máquina en la que usualmente se conectaba y SSHed, ingresando su nombre de usuario y contraseña. Tenía acceso limitado al sistema. Luego ejecuté sudo vim , ingresé nuevamente la misma contraseña y vim generó un shell bash. Tada! El acceso a la raíz, desde una fuente creíble, sin modificar ningún archivo local de forma inusual, sin explotar una contraseña débil (era mala, pero ni la mejor contraseña del mundo hubiera ayudado), ni confiar en la entrada de usuario no validada.

En ese momento, siendo malicioso, modifiqué manualmente todos los archivos de registro relacionados con mi inicio de sesión legítimo y borré sus IDS (apuesto a que no serán lo suficientemente observadores como para darse cuenta de que reemplazé todos sus archivos binarios con copias de /bin/true !). Un pirata informático "real" probablemente estaría mucho mejor equipado para garantizar que su actividad no fuera detectada por administradores más vigilantes, pero ya había logrado mi objetivo, y una pequeña parte de mí quería que descubrieran que alguien lo había conseguido.

Si puedo dañar la ley de Schneier:

  

Cualquiera, desde el aficionado más despistado hasta el mejor administrador de sistemas, puede crear un sistema de seguridad que él mismo no pueda descifrar.

En resumen, defender adecuadamente no es una tarea fácil porque ...

Probandorápidamentetusentradas->

  

Hacerquelacontraseñadelacuentadeadministradorsealarga...

Elmerosurfdehombroderrotacualquieresfuerzoencontraseñasseguras.
Además,sisusmecanismosdealmacenamientodecontraseñassondébiles(propensosalasinyeccionesdeSQL,mecanismosdehashinginseguroso,loqueespeor,elalmacenamientodecontraseñasdetextosinformato),siguesiendovulnerable.

  

Supervisarcadatráficoderedentrante

Estarásmonitoreandounagrancantidaddetráfico.¿Cuáleslagarantíadequenoteperderásalgunascosasimportantes?¿Yquéhayde cero días ?
¿Qué pasa con el tráfico cifrado? ¿Qué vas a monitorear en eso?

  

... y solo permite fuentes creíbles.

¿Qué sucede si sus fuentes creíbles se ven comprometidas / pirateadas? Entonces, ya no son creíbles , pero usted, el administrador del sistema, ¡no lo sabe!

  

... monitorear cambios de archivos locales ... Validar cada entrada de usuario ...

Nuevamente, ¿cuánto puede monitorear y cuántos registros puede analizar ...

Además, suponiendo que haya al menos algunos servicios ejecutándose en la máquina, las vulnerabilidades en el servicio pueden convertirse en la causa de que su máquina se vea comprometida.

Espero poder darte una idea de cómo es posible piratear :)

Ack: Imagen tomada de www.quotesparade.com

Si pudieras defender "correctamente", entonces los hackers nunca podrían entrar. El problema es lo que significa adecuadamente en este tipo de situación.

Podrías apagar el servidor y sellarlo en concreto a media milla debajo de la tierra y es bastante seguro, ¿verdad? Pero es inutilizable. Y si el valor de su contenido es lo suficientemente alto, un atacante puede intentar desenterrarlo. Así que ya puedes ver en este ejemplo extremo que la seguridad es un equilibrio. Debe ser apropiado, y aún así permitir que se utilice el servidor.

En este caso, los problemas que encontrará incluyen:

• ¿Cómo se asegura de que todos los ejecutables estén seguros? De nuevo, no puedes. Puede decidir cuánto esfuerzo desea invertir en verificarlos y ejecutar varias pruebas, pero las bases de código son lo suficientemente grandes para la mayoría de las aplicaciones en las que se producen errores accidentales.
• ¿la opción de seguridad propuesta hace que el servidor sea inutilizable para su público objetivo? Desconectarlo de la red aumentará la seguridad, pero no complacerá a sus usuarios.
• ¿sabe realmente todas las entradas posibles que sus usuarios pueden querer usar? Si es así, brillante - blanco enumerarlos. Pero recuerde actualizar cada vez que su aplicación se actualice o tenga nuevas características. Y compruebe cada vez que obtenga un nuevo usuario. Y pruebe que la lista blanca funciona para detener todas las entradas no aprobadas. Y así sucesivamente ...
• los ataques pueden no necesitar alterar ningún archivo en el disco. Los archivos de monitorización no detectarán ataques que codifiquen directamente en la memoria, por ejemplo.
• agregar controles de seguridad técnica no tiene en cuenta los ataques sociales o físicos. Si un atacante realmente quiere acceder a un servidor bien protegido, puede que valga la pena molestarlo, registrar sus pulsaciones de teclado para obtener contraseñas, etc. O puede ser más fácil molestar a un usuario, tal vez sean menos conscientes de la seguridad.
• etc etc

En pocas palabras, puede asegurar un nivel, dependiendo de su presupuesto. Decida cuánto está dispuesto a gastar en función de lo que quiere proteger. Acepte que habrá algún riesgo residual.

Y luego planifique que algo salga mal: en algún momento, su seguridad se romperá y usted necesita saber cómo responder. Para un servidor de archivos simple, este proceso puede ser simplemente borrado y reinstalado desde la copia de seguridad, pero para algo más complejo puede que tenga que informar a los usuarios, partes interesadas, reguladores, etc. el incidente ... y luego aproveche las experiencias de aprendizaje para reevaluar su plan de seguridad.

... y luego ... Rehacer todo de nuevo. ¡Reevalúe regularmente su seguridad y su apetito de seguridad, ya que es un mundo en rápido cambio!

Supongamos que tiene un servidor web, que toma un comando:

GET /helloworld.txt

Y eso devuelve, muy simplemente, "¡Hola mundo!"

Esto es lo más fácil de codificar en el mundo, ¿verdad? Suponiendo que tome la entrada, compruebe la cadena "GET /helloworld.txt" y haga lo correcto, luego ignore cualquier otra cosa, ¿cuáles son las posibilidades de pirateo? Ninguno?

OK. ¿De qué tamaño es tu búfer de comando? 20 bytes? ¿Lo suficiente para aceptar ese comando? ¿Qué pasa si alguien da un comando que es dos bytes más? ¿Qué pasa si dan un comando que es 2000 bytes más largo? ¿Cómo recibes realmente el comando? ¿Qué le habla a la tarjeta de red? ¿Qué hace el paquete de decodificación? ¿Qué sucede si los caracteres se envían en dos paquetes, sin terminación NUL entre bytes?

En resumen, incluso este "más simple" de los programas de red, que ni siquiera necesita acceso con contraseña, podría tener MUCHAS fallas de seguridad.

Simplemente, se trata de complejidad. Cada vez que se introduce una variable, el número de POSIBLES vectores de ataque aumenta exponencialmente. No todos serán vectores de ataque, pero PODRÍAN serlo, por lo que debe cubrirlos todos, si quiere estar seguro.

Eso es prácticamente imposible, sin un sistema completamente auditado, probado en unidad, diseñado por contrato y tal vez incluso matemáticamente probado. Que yo sepa, no existe tal sistema. OpenBSD podría acercarse, pero dudo que haya llegado hasta allí.

La respuesta muy breve es: con seguridad, asuma siempre lo peor. Es MUCHO más inteligente saber que eres vulnerable, y actuar de una manera humildemente apropiada, arriesgando lo menos posible, que asumir que estás a salvo simplemente porque no puedes pensar en un posible vector de ataque.

Si lo haces todo y lo haces correctamente, puedes prevenir muchos ataques diferentes. Desafortunadamente, la piratería es más que un simple ataque de inicio de sesión / acceso.

Una gran parte incluye eludir su protección, por lo que un atacante no tiene que saber la contraseña. La ingeniería social es otra parte importante. Las contraseñas no protegen nada, si son conocidas por los atacantes. Además, hay más ataques y objetivos dañinos que solo tener acceso al panel de administración. Si alguien no quiere que ejecute una tienda en línea, porque tiene la suya y desea mantener a sus clientes (y a usted fuera del negocio), ¿cómo quiere evitar un ataque DDoS o simplemente alguien que está desconectando su servidor? ¿habitación? (La señora de la limpieza, ¿quién solo quería desempolvar la placa base?;))

Además, la supervisión no ayuda realmente a prevenir los ataques.

Hay diferentes tipos de sistemas de protección, respuesta de manipulación indebida, resistencia de manipulación indebida y evidencia de manipulación indebida. Los sistemas resistentes a la manipulación indebida desean ralentizar los ataques (por ejemplo, contraseñas largas). La respuesta de sabotaje le indica si hay un ataque (por ejemplo, una alarma que suena cuando su IDS detecta algunas cadenas de inyección SQL), y el sistema de evidencia de manipulación le muestra cómo ocurrieron los ataques reales (por ejemplo, los archivos de registro)

Los piratas informáticos intentan descifrar o evitar estas protecciones, y es su trabajo estar un paso por delante. Por supuesto, esto es muy difícil, ya que apenas puede conocer los agujeros de seguridad en el software de su servidor, lo que puede permitir que un atacante acceda a la información de la raíz sin una contraseña. Por lo general, los atacantes encuentran este tipo de debilidades primero, y es su trabajo cuidar de su sistema y ralentizar sus ataques hasta que se solucione el problema.

  

Hacer que la contraseña de la cuenta de administrador sea lo suficientemente larga y complicada (es decir, teóricamente, la contraseña no se puede descifrar en un tiempo razonable).

¿Agrietado por la fuerza bruta? No. ¿Agrietado por la ingeniería social? Sí. Si mucha gente conoce la contraseña, no es demasiado difícil obtenerla a través de la ingeniería social. (cuando más de una persona conoce la contraseña, es posible utilizar la suplantación para obtener la contraseña). Si solo tiene acceso, entonces, aún así, el acceso físico se puede lograr a través de la ingeniería social. Sin embargo, es más difícil de manejar esto y debes preguntarte si realmente vale la pena el esfuerzo.

  

Supervise cada tráfico de red entrante a los archivos administrativos.

Esto no te protege de DDoS. Y si desea protegerse de DDoS, habrá demasiados falsos positivos de usuarios que se bloquean injustamente.

Incluso si su contraseña es larga, una botnet puede ingresar. Si tiene algún tipo de restricción en el número de veces que puede fallar un intento de contraseña, entonces pueden bloquear a usted .

Además, los CAPTCHA ya no son tan seguros, hay muchas entidades que pagan dinero para que las personas se sienten todo el día y resuelvan los captchas.

  

Para extender la capa de protección del # 2 anterior, supervise los cambios de archivos locales (especialmente los que tienen comandos que requieren privilegios de sudo.

No puedes monitorear completamente todos los cambios de archivos. Hay demasiada información. La mayoría de los programas hacen muchos problemas con los archivos mientras se ejecutan. ¿Cómo diferenciarías una actualización de programa y un archivo malicioso?

  

Valide cada entrada de usuario, para garantizar que todas las entradas de usuario estén seguras.

Asegúrate de hacer este lado del servidor.

Finalmente, los exploits de día cero siempre serán un problema. Si alguien encuentra una vulnerabilidad de seguridad en el marco que usas, entonces estás hundido. Para evitar esto, use marcos ampliamente utilizados y espere lo mejor.

Protegerse contra la piratería es como tratar de proteger un búnker submarino lleno de sodio. Hay muchos lugares que crees que necesitan parches. Puedes arreglarlos todos. Pero eso no significa que esté a salvo, todo lo que necesita es una pequeña fuga en un lugar que no inspeccionó para que todo se viniera abajo.

Para "defender adecuadamente" significa: "mi código no tiene errores, ninguna de las herramientas que utilizo". Pero el software tiene errores; el hardware tiene errores; nadie sabe cómo garantizar la inexistencia de errores en un software o hardware no trivial (los que afirman lo contrario son delirantes o mentirosos, o ambos). Consulte esta pregunta anterior para algunos discusión.

La forma práctica en que se producen los ataques es cuando un atacante descubre o descubre un error que puede aprovecharse para su ventaja, y antes de que el propietario del sistema lo descubra y lo arregle.

De tu lista:

• Una contraseña de administrador grande, gorda, aleatoria e indiscutible está bien, siempre y cuando la máquina en la que el administrador escriba su contraseña no esté infectada con algún malware de keylogger.

• El monitoreo en su mayoría ayuda al análisis post mortem; no impide el ataque, pero le ayuda a determinar qué ha ocurrido, qué error se explotó, para que pueda solucionarse ... para la próxima vez.

• No existe tal cosa como "entrada de usuario segura garantizada". Existe una "entrada de usuario que se ha verificado que cumple con un conjunto específico de reglas, lo que debería significar que dicha entrada de usuario se puede utilizar en una construcción determinada sin encontrar situaciones inconvenientes". Por ejemplo, un fragmento de texto puede ser "seguro para su inclusión en un archivo HTML" (no contiene algunos caracteres especiales de HTML que activan el procesamiento avanzado, como '<' y '&'), pero no es seguro en todo para su inclusión en una consulta SQL (los caracteres seguros para HTML podrían codificar una consulta SQL totalmente no segura).

Solo para agregar algunos puntos:

  

Haga que la contraseña de la cuenta de administrador sea lo suficientemente larga y complicada (es decir, teóricamente, la contraseña no se puede descifrar en un tiempo razonable).

Las contraseñas largas y complicadas, si bien son buenas, aumentan la probabilidad de que se escriban. Lo mismo con las contraseñas que deben ser cambiadas a menudo. Especialmente si más de una persona necesita la contraseña, o es una contraseña que no se usa con frecuencia.

  

Supervise todo el tráfico de red entrante a los archivos administrativos.

Los ataques de escalamiento de privilegios harán que eso no tenga sentido, ya que los cambios parecerán provenir del tráfico local, no de la red. Y demasiado monitoreo abrirá nuevos problemas. Desbordamiento de búfer Las explotaciones son comunes. Diablos, algunos enrutadores de los consumidores todavía se ahogan con los intentos de tráfico estancado que obstruyen las tablas de conexión.

  

Para extender la capa de protección del # 2 anterior, supervise los cambios de archivos locales (especialmente aquellos que tienen comandos que requieren privilegios de sudo).

Mejor, pero los ataques de escalamiento de privilegios podrían permitir que alguien suba un binario y le agregue bits pegajosos de suid / sgid. No estará en tu lista de archivos para verificar.

  

Valide todas las entradas del usuario, de modo que se garantice que todas las entradas del usuario sean seguras.

¿Cuánto esfuerzo pondrás en eso? La desinfección de la entrada del usuario nunca es 100% efectiva.

Básicamente, el punto es que algunas cosas que haces causarán más problemas que no hacerlas, siempre hay formas de evitarlo, solo intenta hacer lo mejor que puedas y espero que no cometas un error sin sentido. Sé como un desinfectante. Solo puedes eliminar el 99% del problema.

"Es posible no cometer errores y seguir perdiendo. Eso no es una debilidad, eso es la vida". - Picard

No has definido lo que significa que tu servidor sea hackeado.

El primer paso es definir cuál es el alcance del acceso legítimo al sistema. ¿Quiénes son los usuarios y qué proporciona el sistema a los usuarios que requieren protección?

Si el sistema está dedicado a una función muy específica y limitada (como servir a una aplicación distribuida en particular), y los atacantes solo pueden acceder a ese sistema a través de la red, entonces casi toda la aplicación debe ser segura, más la red. partes expuestas del sistema: el adaptador LAN, su controlador y la pila de red.

El verdadero desafío para la seguridad en un sistema operativo como Linux es cómo hacer que el sistema operativo no pueda ser conectado en una situación de múltiples usuarios, cuando las personas tienen un uso casi completo del sistema, pueden iniciar sesión en las cuentas del sistema operativo y ejecutar aplicaciones directamente.

Un sistema puede tener incidentes de seguridad sin que la cuenta del superusuario se vea comprometida. Supongamos que usted tiene un sistema Linux perfectamente irreconocible. Sin embargo, el usuario joe instala una aplicación insegura /home/joe/bin . Esa aplicación abre un documento malicioso, que explota una falla en la aplicación, por medio del cual un código malicioso gana ejecución de código arbitrario en el contexto de seguridad de joe . El código malicioso daña los datos de joe y también roba el tiempo de CPU de la máquina. (Sin embargo, si lo intenta, no puede obtener privilegios de ejecución de superusuario, ya que la máquina es "imposible de descifrar").

¿Eso es hackeado? ¿O no hackeado? ¿Qué tal desde la perspectiva del usuario joe ? ¿A joe le importa que root nunca se haya comprometido en el incidente?

Si las personas (o al menos sus administradores) nunca cometieron errores y los programas de computadora estuvieron todos libres de errores al 100% todo el tiempo, entonces, en teoría, usted tiene razón. Sin embargo, desafortunadamente, ninguno de estos es verdad y es bastante fácil para un atacante atacar en estos puntos.

Incluso perfectamente configurado, el software es incapaz de actuar como está configurado todo el tiempo debido a errores. Bajo las condiciones adecuadas, puede ser posible hacer que el software haga algo que no debería.

Del mismo modo, la ingeniería social es probablemente la forma más común de piratería. No hay necesidad de medidas técnicas complejas cuando simplemente puede engañar a su oponente para que le dé lo que quiere. Hombro para navegar por la contraseña, obtener un registrador de teclas en una computadora que el administrador usa o engañar a un administrador para que ejecute su software malicioso son todas las formas posibles de escabullirse debajo del radar.

Puede compensar gran parte de esto bloqueando un servidor en una sala sin conexión a Internet y solo permitiendo que los administradores usen el sistema mientras están en la sala con un guardia en la puerta, y de hecho, esta es la cantidad máxima Las redes gubernamentales de seguridad operan, pero ponen una enorme barrera a la usabilidad.

En última instancia, la seguridad se trata de equilibrar la usabilidad y el riesgo. Los pasos que usted describe requieren demasiada reducción en la usabilidad para poder implementarse de manera segura y, por lo tanto, no pueden funcionar por sí mismos en una situación del mundo real. La seguridad es un campo complejo y siempre cambiante que requiere mantenerse actualizado sobre las amenazas, verificar sus defensas contra las nuevas amenazas y asegurarse de monitorear los compromisos que puedan surgir como problemas de 0 días.

He estado tratando de construir sistemas a prueba de balas durante casi diez años. Tuve que aprender sobre técnicas de diseño de alta seguridad (por ejemplo, EAL7), canales ocultos, ataques de subversión, etc. Honestamente, la mayoría de los diseñadores o administradores de sistemas no tienen el conocimiento ni los recursos para proteger totalmente una máquina de ataques conocidos. Es casi imposible dadas las restricciones comerciales. La mayoría de las decisiones de seguridad reflejan compensaciones entre costos, características, facilidad de uso, compatibilidad heredada, perfiles de atacantes probables, etc.

Si desea saber, aquí tiene uno de mis desgloses simplificados en los distintos niveles y problemas de seguridad. (Y no es el tamaño de un libro 8). Estaba dirigido a un tipo que pensaba que los codificadores de primera clase podían hacer programas seguros, pero puede ser subadministrador para el codificador y aún los mismos resultados. Diviértase y aprenda las lecciones menos que repita la historia como gran parte de la comunidad de INFOSEC. ;)

enlace

Este comentario de seguimiento tiene muchos enlaces que rastrean el historial, los factores gubernamentales, los requisitos de desarrollo, etc. También enumero una tonelada de sistemas y procesos ejemplares. Cada uno puede tener fallas al acecho pero inspirar más confianza que el producto promedio.

enlace

  

Un sistema es tan fuerte como el enlace más débil

Esta es una frase que se repite con frecuencia y debe recordar que no importa cuán segura sea la contraseña, es un punto único de falla y un forzador de fuerza podrá romperla en algún momento.

Además, ¿qué pasaría si su administrador de sistemas decidiera aceptar una compensación bastante agradable para eliminar accidentalmente una carga de archivos?

Los alemanes pensaron que el enigma era imposible de rastrear y se ha argumentado que su confianza y confianza en este método único de cifrado les costó la guerra. .

Hay algunos aspectos humanos que no suelen presentarse cuando se pregunta algo como esto.

1. Algunas personas, literalmente, no tienen nada mejor que hacer e intentarán piratear tu sistema por puro aburrimiento.
2. Algunas personas lo hacen por diversión (como algunos sombreros blancos). Los sombreros blancos generalmente no son malos porque muchos de ellos se pondrán en contacto contigo y te dirán "amigo, me metí en tu sistema" y no hacemos nada malicioso.
3. Algunas personas intentarán obtener las contraseñas de sus usuarios para probarlas en otros sitios web, como las de tarjeta de crédito. Posan para obtener una gran ganancia al hacer esto
4. Algunas personas atacarán un servidor para vengarse. "¿Jane Berman dijo que soy un fanático? ¡SU SERVIDOR SE BAJARÁ!"

Las personas, especialmente en 2-4, tienden a ser increíblemente apasionadas al ingresar a su sistema. A veces el # 1 se convierte en 2-4. Las empresas tienen que pagar a alguien para asegurar un servidor, y se necesita mucho dinero, investigación y horas de trabajo para evitar que un ejército de este tipo de personas lo ataque.

Tal vez porque la mayoría de los sistemas y software no son conscientes de la seguridad en primer lugar. La seguridad es exigente para enseñar, comprender y también para actualizarse (noticias, nuevos vectores de ataque, etc.).

Es por eso que no se hace de forma completa y extensa. Por ejemplo, no hay una norma de seguridad como las normas ISO. También porque es un mercado potencial para la seguridad doméstica (antivirus).

Cuando las computadoras sean más comunes, tal vez algún día se convierta en algo que se cuidará. Algún futuro donde haya algo así como 100 o más computadoras por ser humano.

Si realmente lo piensas, no confiamos en las computadoras lo suficiente como para preocuparnos por la seguridad de Internet (al menos creo que, o al menos las partes en las que es fundamental se están cuidando bien).