Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
5
như Solaris 9, RedHat Linux 8, Windows Xp … cùng với các thông tin liên quan tới các
sơ hở mới được phát hiện. Các kỹ thuật xâm nhập quan trọng cần được triển khai thử
nghiệm tại các mạng tin học mà nhóm nghiên cứu đang làm việc để có thể nắm vững
các kỹ thuật này. Các phiên bản mới của hệ điều hành, của trình dòch vụ … cần được
cài đặt cho công tác thử nghiệm. Ngoài ra, nhóm nghiên cứu cần phân công nhau đăng
ký vào các forum chuyên ngành, xử lý thông tin trên đó và tìm ra những thông tin mới
nhất.
b/ Xây dựng Web site.
Xây dựng một Website chuyên biệt để phục vụ đề tài. Các kiến thức, công nghệ mới
nhất về bảo mật một website sẽ được triển khai. Hệ thống cổng thông tin iPortal,
phương thực xác thực LDAP, Radius, phương thức kết nối an toàn giữa máy chủ dữ
liệu và máy chủ Web, các tiện ích phát hiện xâm nhập … sẽ được triển khai để có được
một Web site an toàn nhất. Website này sẽ là đối tượng đầu tiên và quan trọng nhất
của nhóm nghiên cứu tấn công thử nghiệm. Ngoài ra, nhóm nghiên cứu sẽ mời rộng rãi
những người quan tâm tới bảo vệ hệ thống tin học tấn công thử nghiệm Website này.
c/ Nghiên cứu và triển khai thử nghiệm IDS
Hai công nghệ đã được nhóm đề tài nghiên cứu là thiết bò IDS của hãng Cisco và phần
mềm snort trên hệ điều hành Linux hoặc Sun Solaris. Các thiết bò/phần mềm này đã
được triển khai trong cùng một hệ thống mạng với Website bugsearch của đề tài nhằm
xem xét khả năng phát hiện xâm nhập thực tế cũng như xâm nhập thử nghiệm của bản
thân nhóm đề tài. Trong quá trình triển khai trên thực tế, nhóm dự án đã xem xét thêm
Internet Security System – ISS. Đây là một sản phẩm IDS rất mạnh, đầy đủ của hãng
Nokia, đã được bưu điện Hà nội và bưu điện Tp HCM triển khai cho 2 Trung tâm cung
cấp dòch vụ Internet mới của mình.
d/ Dò tìm sơ hở mạng
Sau khi thực hiện thu thập thông tin thông qua khảo sát hiện trạng, nhóm nghiên cứu
đã triển khai công tác dò tìm các sơ hở.
Công tác tìm sơ hở phải thỏa mãn các tiêu chí sau:
• Không được gây bất cứ một sự rối loạn nào, dù nhỏ, trong hoật động bình
thường của mạng.
• Không được lấy, sử dụng bất kỳ bất kỳ dữ liệu nào của mạng nghiên cứu
• Các bằng chứng về sơ hở có tính thuyết phục cao, đặc biệt có tính nghiêm trọng
của hậu quả nếu bò xâm nhập cho phép phụ trách kỹ thuật của các hệ thống
mạng có thể thuyết phục lãnh đạo về các đầu tư nhằm tăng cường an ninh của
mạng tin học của mình.
• Trong trường hợp mạng đã có sơ hở, tìm kiếm các backdoor có thể có do các
cracker đã làm trước đó. Đây là một nội dung có tầm quan trọng đặc biệt vì nếu
mạng đã có sơ hở thì với xác suất cao là mạng đã bò xâm nhập và bò cài
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
6
backdoor. Các backdoor đó có thể được che dấu tính vi và thực sự nguy hiểm
nếu không phát hiện được chúng. Với nhiều hệ thống, một khi một máy có
backdoor thì tất cả các thiết bò, phần mềm bảo mật đắt tiền khác của hệ thống
sẽ bò vô hiệu hóa.
e/ Nghiên cứu các phương pháp bảo vệ và đánh giá hiệu quả.
Sau khi phát hiện các sơ hở, đánh giá mức độ nguy hiểm của từng sơ hở, nhóm nghiên
cứu sẽ xem xét các phương thức bảo vệ. Các giải pháp bảo vệ khác phục sơ hở sẽ được
thông báo chi tiết tới các mạng tin học có vấn đề. Trong khả năng cho phép, nhóm
nghiên cứu sẽ tải về và chuyển giao các phần mềm cần thiết cho đối tượng nghiên cứu
cùng với các khuyến cáo.
f/ Đào tạo và chuyển giao công nghệ.
Nhóm nghiên cứu sẽ tổ chức một một hội thảo rộng rãi cho khoảng 50 lãnh đạo và
chuyên viên IT và một lớp tập huấn cho 20 quản trò viên mạng tin học, đặc biệt là cho
các công ty đã phối hợp chặt chẽ với nhóm nghiên cứu, nhằm nâng cao trình độ bảo vệ
hệ thống của các cán bộ quản trò mạng. Chi phí của các hoạt động này đã được dự trù
trong kinh phí của đề tài.
4 Các kết quả nghiên cứu đạt được
4.1 Khảo sát hệ thống địa chỉ IP cùng tên miền của các máy tính
nối mạng Internet của Việt nam
4.1.1 Phương pháp khảo sát
Lấy danh sách các tên miền của Việt nam. Hiện nay, các máy chủ tên miền của
Việt nam khơng cho phép thực hiện chức năng list cho phép xem các record của
tên miền. Vì vậy, nhóm triển khai phải sử dụng các nguồn thơng tin thu thập từ
nhiều nguồn khác nhau và được một danh sách như trong bảng sau.
Phương pháp tiếp theo để thu thập các địa chỉ IP của Việt nam là thơng qua các
thơng tin của Internic về các AS đã phân bổ cho Việt nam. Sử dụng thơng tin
này, chúng ta có được thơng tin chính xác về các địa chỉ IP của Việt nam, nhưng
sử dụng các địa chỉ này gặp khó khăn lớn là có rất nhiều địa chỉ chưa sử dụng
và việc qt hết danh sách này tốn rất nhiều thời gian và đường truyền. Thêm
nữa đa phần các địa chỉ IP của chúng ta khơng có phân giải ngược IP về tên
miền nên nhiều khi nhóm dự án phát hiện sơ hở của máy chủ nhưng khơng xác
định được máy chủ thuộc đơn vị/cơng ty nào.
Nhóm dự án xây dựng một chương trình ngắn để phân giải ngược tự động các
địa chỉ IP của Việt nam.
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
7
4.1.2 Kết quả thực hiện được
• Xác định rõ các địa chỉ IP của các mạng tin học Việt nam
• Tổ chức “qt” (scan) số lượng lớn các địa chỉ IP của Việt nam nhằm tìm ra
các sơ hở dựa trên các lỗi đã được cơng bố trên Internet. Đặc biệt, chúng tơi
có quan tâm đặc biệt tới các địa chỉ của các mạng quan trọng như Webcity,
VDC, SaigonNet, Netnam …
Các kết quả trên được trình bày cụ thể trong các phần sau.
4.2 Tìm hiểu các dịch vụ triển khai trên các máy chủ của các
mạng tin học Việt nam,
Cơ sở dữ liệu các địa chỉ IP cùng với các thơng tin về dịch vụ đang mở trên từng IP là rất
quan trọng, cho phép chúng ta nhanh chóng xác định khả năng bị xâm nhập đối với một
máy tính. Giả sử ta có được thơng tin từ Internet về một kiểu sơ hở, ta có thể tìm trong cơ
sở dữ liệu này địa chỉ IP có sơ hở tương ứng và nhanh chóng tiến hành xâm nhập thử
nghiệm xem có thể hiện thực hóa xâm nhập được hay khơng.
Theo thơng tin từ APNIC, tổ chức quản lý Internet tại châu Á, Việt nam chúng ta có 3
vùng AS (Autonomous System) (http://ftp.apnic.net/stats/apnic/) và khỏang 83456 IP
Việc “qt” tòan bộ tất cả các IP trên là một cơng việc lớn và làm ảnh hưởng nhiều tới
mạng của máy đi qt cũng như máy bị qt. Nhóm nghiên cứu đã phải tực hiện chủ yếu
các thao tác này vào nghỉ cuối tuần và ban đêm. Chiến lược “qt” của chúng tơi là dò
tìm tất cả các port trên một số mạng quan trọng, các IP quen biết và dò tìm một số cổng
dịch vụ phổ biến cho các IP khác.
Cụ thể là cơng tác dò tìm các port cơ bản được thực hiện cho
203.113.128.0 (8192)
203.160.0.0 (512)
203.161.0.0 (1024)
203.162.0.0 (4096)
apnic
VN
asn
18403 1 20030103
allocated
apnic
VN
asn
7552 1 20021008
allocated
apnic
VN
asn
7643 1 19971014
allocated
apnic
VN
ipv4
203.113.128.0 8192 20020904
allocated
apnic
VN
ipv4
203.160.0.0 512 19940923
assigned
apnic
VN
ipv4
203.161.0.0 1024 19950308
allocated
apnic
VN
ipv4
203.162.0.0 2048 19950809
allocated
apnic
VN
ipv4
203.162.128.0 4096 20010718
allocated
apnic
VN
ipv4
203.162.144.0 4096 20021105
allocated
apnic
VN
ipv4
203.162.16.0 4096 19981123
allocated
apnic
VN
ipv4
203.162.160.0 8192 20021105
allocated
apnic
VN
ipv4
203.162.32.0 8192 19981123
allocated
apnic
VN
ipv4
203.162.64.0 16384 20010718
allocated
apnic
VN
ipv4
203.162.8.0 2048 19981102
allocated
apnic
VN
ipv4
203.210.128.0 16384 20021105
allocated
apnic
VN
ipv4
210.245.0.0 8192 20020806
allocated
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
8
203.162.16.0 (12288)
203.162.64.0 (32768)
203.210.128.0 (16384)
210.245.0.0 (8192)
Tỷ lệ IP đã scan được khỏang 80 % của tòan bộ vùng IP trên.
Dò tìm rộng các port từ 1 đến 65535 cho các vùng IP
203.162.0.0(4096)
203.162.17.0/24
203.162.53.0/24
203.162.57.0/24
203.162.97.0/24
203.113.131.0/24
Tỉ lệ IP đã scan của vùng này 11.35%
Cùng với dò tìm các sơ hở một cách đại trà trên mạng, nhòm nghiên cứu cũng đã thực
hiện việc phân giải tên của các IP để biết chủ sở hữu của các IP. Với một phần mềm nhỏ,
nhóm nghiên cứu đã thử cho tất cả các địa chỉ IP nhưng chi phân giải được 783 địa chỉ,
chiếm 0,94 %. Ngun nhân của kết quả này là rất nhiều địa chỉ IP chưa sử dụng, địa chỉ
IP dùng cho kết nối động qua dial-up, ADSL; IP dùng cho kết nối routers; và rất nhiều
tên miền khơng có phân giải ngược IP-> tên trong Cơ sở dữ liệu DNS. Phụ lục B sao
trính một phần các địa chỉ IP có tên miền tương ứng.
Các tiện ích được sử dụng để tiến hành thăm dò các dịch vụ đang họat động trên một
máy chủ là
• Trên Windows: SuperScan (thích hợp khi cần scan nhanh)
• Trên Unix: nmap, nessus
Kết quả thăm dò các mạng khá dài (trên 2000 trang), do đó nhóm đề tài chỉ xin trích đoạn
một số kết quả làm ví dụ:
203.113.142.14
Service Severity Description
telnet (23/tcp) Info Port is open
general/udp Low For your information, here is the traceroute to 203.113.142.14 :
192.168.20.2
192.168.20.2
192.168.20.2
203.113.142.14
telnet (23/tcp) Low An unknown service is running on this port.
It is usually reserved for Telnet
telnet (23/tcp) Low Remote telnet banner :
User Access Verification
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
9
Password:
general/tcp Low The remote host uses non-random IP IDs, that is, it is possible to
predict the next value of the ip_id field of the ip packets sent by this host.
An attacker may use this feature to determine if the remote host sent a packet in reply
to another request. This may be used for portscanning and other things.
Solution : Contact your vendor for a patch
Risk factor : Low
general/tcp Low The remote host does not discard TCP SYN packets which have the
FIN flag set.
Depending on the kind of firewall you are using, an attacker may use this flaw to
bypass its rules.
See also :
http://archives.neohapsis.com/archives/bugtraq/2002-10/0266.html
http://www.kb.cert.org/vuls/id/464113
Solution : Contact your vendor for a patch
Risk factor : Medium
BID : 7487
general/tcp Low Remote OS guess : Cisco 801/1720 running 12.2.8
CVE : CAN-1999-0454
telnet (23/tcp) Low The Telnet service is running.
This service is dangerous in the sense that it is not ciphered - that is, everyone can
sniff the data that passes between the telnet client and the telnet server. This includes
logins and passwords. You should disable this service and use OpenSSH instead.
(www.openssh.com)
Solution : Comment out the 'telnet' line in /etc/inetd.conf.
Risk factor : Low
Page 7
Network Vulnerability Assessment Report 05.08.2003
CVE : CAN-1999-0619
203.113.142.2
Service Severity Description
telnet (23/tcp) Info Port is open
telnet (23/tcp) Low The Telnet service is running.
This service is dangerous in the sense that it is not ciphered - that is, everyone can
sniff the data that passes between the telnet client and the telnet server. This includes
logins and passwords.
You should disable this service and use OpenSSH instead. (www.openssh.com)
Solution : Comment out the 'telnet' line in /etc/inetd.conf.
Risk factor : Low
CVE : CAN-1999-0619
general/tcp Low The remote host does not discard TCP SYN packets which
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
10
have the FIN flag set. Depending on the kind of firewall you are using, an
attacker may use this flaw to bypass its rules.
See also :
http://archives.neohapsis.com/archives/bugtraq/2002-10/0266.html
http://www.kb.cert.org/vuls/id/464113
Solution : Contact your vendor for a patch
Risk factor : Medium
BID : 7487
general/udp Low For your information, here is the traceroute to 203.113.142.2 :
192.168.20.2
192.168.20.2
192.168.20.2
192.168.20.2
?
192.168.20.2
192.168.20.2
192.168.20.2
203.113.142.2
general/tcp Low The remote host uses non-random IP IDs, that is, it is possible to
predict the next value of the ip_id field of the ip packets sent by this host.
Page 8
Network Vulnerability Assessment Report 05.08.2003
An attacker may use this feature to determine if the remote host sent a packet in reply
to another request. This may be used for portscanning and other things.
Solution : Contact your vendor for a patch
Risk factor : Low
general/tcp Low Remote OS guess : Cisco X.25/TCP/LAT Protocol Translator ver
8.2(4)
CVE : CAN-1999-0454
203.113.142.30
Service Severity Description
telnet (23/tcp) Info Port is open telnet (23/tcp) Low The Telnet service is running.
This service is dangerous in the sense that it is not ciphered - that is, everyone can
sniff the data that passes between the telnet client and the telnet server. This includes
logins and passwords.
You should disable this service and use OpenSSH instead.
(www.openssh.com)
Solution : Comment out the 'telnet' line in /etc/inetd.conf.
Risk factor : Low
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
11
CVE : CAN-1999-0619
general/tcp Low The remote host uses non-random IP IDs, that is, it is possible to
predict the next value of the ip_id field of the ip packets sent by this host.
An attacker may use this feature to determine if the remote host sent a packet in reply
to another request. This may be used for portscanning and other things.
Solution : Contact your vendor for a patch
Risk factor : Low
general/udp Low For your information, here is the traceroute to 203.113.142.30 :
192.168.20.2
192.168.20.2
203.113.142.30
telnet (23/tcp) Low A telnet server seems to be running on this port
general/tcp Low Remote OS guess : Cisco 3600 running IOS 12.2(6c)
CVE : CAN-1999-0454
Page 10
Network Vulnerability Assessment Report 05.08.2003
telnet (23/tcp) Low Remote telnet banner :
User Access Verification
Username:
general/tcp Low The remote host does not discard TCP SYN packets which have the
FIN flag set. Depending on the kind of firewall you are using, an
attacker may use this flaw to bypass its rules.
See also :
http://archives.neohapsis.com/archives/bugtraq/2002-10/0266.html
http://www.kb.cert.org/vuls/id/464113
Solution : Contact your vendor for a patch
Risk factor : Medium
BID : 7487
(Ngắt trích đọan ở đây …)
4.3 Các sai sót tìm thấy và có thể bị khai thác tại mạng tin học
Việt nam
Sau khi “qt” một cách hệ thống các địa chỉ IP của Việt nam và biết được các dịch vụ
mà các máy tính đang sử dụng, nhóm đề tài lựa chọn và xâm nhập thử nghiệm các máy
tính này. Kết quả thử nghiệm được trình bày ở phần sau. Với mỗi máy bị xâm nhập,
chúng tơi cố gắng xác định chủ nhân của máy, miêu tả hệ điều hành, các lỗi mà qua đó ta
có thể xâm nhập hệ thống và một số sao chép từ màn hình minh họa cho xâm nhập thành
cơng của nhóm đề tài. Các màn hình minh học dạng copy màn hình khơg được in ở đây
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
12
vì q dài. Nhóm dự án sẽ kèm theo những tập tin trên đĩa CDROM để minh họa khi cần
thiết.
Các thơng tin liên quan tới sơ hở, đọan chương trình cho phép khai thác sơ hở (exploit
code) được nhóm nghiên cứu tra cứu chủ yếu ở các website sau :
http://security.ultraseek.net/
http://www.uhagr.org/
http://thecorpz.org/
http://www.w00w00.org/
http://www.techie.hopto.org
http://www.hackersplayground.org/
http://www.hackerz.org/
http://www.thc.org/
http://www.telhack.tk/
http://www.securitytracker.com
http://www.securityfocus.com/
http://security.nnov.ru/
http://www.phenoelit.de/
http://www.opennet.ru
http://www.cnhonker.net
http://neworder.box.sk/
http://www.netric.be/
http://www.netblast.i12.com/
http://teso.scene.at/
http://www.f4kelive.rg3.net/
http://www.geocities.com/myexploits2002/
1) 203.162.57.227 (Suntest.vnnic.net)
a. Hệ điều hành: Solaris 8
b. Hostname: Suntest
c. Lỗi remote:
i. Telnetd exploit trên Solaris cho các version 2.6, 2.7, 2.8
ii. Exploit code đã được cơng bố trên internet khá lâu
iii. Dùng exploit code trên máy Linux từ xa có thể chiếm được shell với quyền của user
bin
d. Lỗi local
i. priocntl exploit trên Solaris với cấu trúc lệnh 64 bit
ii. Lỗi này cũng đã được thơng báo trên internet
iii. Khai thác thành cơng đem lại root shell
iv. Kết quả:
1. tạo file /etc/.bugsearch
2. copy file /etc/passwd, /etc/shadow
( Exploit code, /etc/passwd,/etc/shadow và màn hình copy đính kèm ).
2) 203.162.53.51 ( Stelecom)
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
13
a. Hệ điều hành: Solaris 6.0
b. Hostname: hrl (local hostname), local IP
# /usr/sbin/ifconfig -a
lo0: flags=849<UP,LOOPBACK,RUNNING,MULTICAST> mtu 8232
inet 127.0.0.1 netmask ff000000
pnet0: flags=863<UP,BROADCAST,NOTRAILERS,RUNNING,MULTICAST> mtu
1500
inet 10.1.11.11 netmask ffffff00 broadcast 10.1.11.255
ether 8:0:20:a5:d7:82
pnet1: flags=863<UP,BROADCAST,NOTRAILERS,RUNNING,MULTICAST> mtu
1500
inet 10.1.11.14 netmask ffffff00 broadcast 10.1.11.255
ether 8:0:20:a5:d7:83
c. Lỗi remote: Telnetd, mật khẩu yếu
- Xâm nhập thành cơng qua 2 user: hrl và oms, user root khơng login từ xa được.
- Có thể khai thác lỗi của telnetd và chiếm được remote shell dưới quyền user bin
d. Lỗi local
- Thử su và dò thành cơng password root
- Có thể khai thác lỗi local xlock overflow
e. Các server lân cận bị khai thác
i. oms1.lgic.co.kr (10.1.11.12)
1. hostname: oms1
2. local IP: 10.1.11.12
3. hệ điều hành: Solaris 7
oms1# /usr/sbin/ifconfig -a
lo0: flags=849<UP,LOOPBACK,RUNNING,MULTICAST> mtu 8232
inet 127.0.0.1 netmask ff000000
hme0: flags=863<UP,BROADCAST,NOTRAILERS,RUNNING,MULTICAST>
mtu 1500
inet 10.1.11.12 netmask ffff0000 broadcast 10.1.255.255
ether 0:3:ba:9:3a:a2
oms1#
Từ máy hrl chỉ cần telnet sang máy oms1 với user root, passwd root:
# telnet oms1.lgic.co.kr
Trying 10.1.11.12
Connected to oms1.lgic.co.kr.
Escape character is '^]'.
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
14
SunOS 5.7
welcome to oms1
don't work other jobs
login: root
Password:
Sun Microsystems Inc. SunOS 5.7 Generic October 1998
You have new mail.
oms1# w
1:15pm up 103 day(s), 2:48, 2 users, load average: 0.02, 0.02, 0.02
User tty login@ idle JCPU PCPU what
oms console 20Jun03103days /usr/dt/bin/sdt_shell -c unseten
oms pts/3 16Sep0315days /bin/csh
oms pts/7 Sun 7pm 27:55 telnet hlr
oms pts/8 9:42am 3:14 telnet hlr
root pts/9 1:15pm w
oms1#
ii. oms2.lgic.co.kr (10.1.11.13)
1. hệ điều hành: Solaris 7
2. Local IP: 10.1.11.13
Từ máy hrl hay oms1 chỉ cần telnet đến oms2 với user root, passwd root là ta có được
quyền admin trên máy này.
iii. IWM (10.2.105.21)
1. local hostname: IWM
2. Local IP: 10.2.105.21
3. Hệ điều hành: Solaris 6
4. Lỗi remote: telnetd
Từ máy oms2 dùng lệnh arp –a để tìm các máy lân cận, ta thấy có máy IWM, thử
telnet với các user trên các máy đã xâm nhập được và các passwd đơn giản nhưng
khơng thành cơng.
Lấy file binary dùng để khai thác lỗi telnetd từ máy của ta vào máy hrl ( vì khơng
biên dịch được trên các server này).
Từ shell ta thực thi file này và chiếm được user bin trên máy IWM.
5. Lỗi local
- Khai thác lỗi xlock giống như máy hrl nhưng khơng thành cơng.
- Với quyền của user bin có thể xem được file /etc/passwd. Ta thấy trong máy này
khơng có nhiều user, chỉ có user common là có thể tận dụng được, thử su từ bin sang
common và dò password nhưng khơng thành cơng.
- Thốt khỏi IWM và quay lại hrl, thực hiện lại file khai thác lỗi telnetd với user là
common, thành cơng, ta có được shell với quyền của user common. Thử lệnh su ta
được ngay quyền root mà khơng cần passwprd.
3) 203.162.53.52 ( Stelecom)
a. Hệ điều hành: Solaris 7
b. Hostname: ho_eipa
Không có nhận xét nào:
Đăng nhận xét