How to Use Social Media to Influence the WorldSean Si
Here's the deck to my talk for the 23rd ASA Congress which was at The Grand Ballroom of Marriott Hotel. It was an awesome experience and I only had two points:
1) Use social media for good and
2) You have to have authority to use social media influentially.
My company: https://seo-hacker.net
How to Use Social Media to Influence the WorldSean Si
Here's the deck to my talk for the 23rd ASA Congress which was at The Grand Ballroom of Marriott Hotel. It was an awesome experience and I only had two points:
1) Use social media for good and
2) You have to have authority to use social media influentially.
My company: https://seo-hacker.net
This report addresses the common challenge of BMS cyber security and its underlying components. Vulnerable elements across a range of components were investigated, with the vulnerabilities potentially affecting more than 10 million people.
During the research, some of the risks discovered within these BMS components include the potential ability for threat actors to:
Remotely lock or unlock doors and gates;
Control physical access of restricted areas;
Deny service (shutdown controllers);
Manipulate alarms and video surveillance;
Control temperature, boilers, air-condition, windows blinds, gas readings, etc.
Through a detailed analysis of the affected components, we provide clear cyber security recommendations for end users, vendors and system integrators, as well as a thorough technical breakdown including Proof of Concept exploit code, which allow unauthenticated remote code execution against the affected BMS products.
https://applied-risk.com/resources/i-own-your-building-management-system
Exploitation and distribution of setuid and setgid binaries on Linux systemsZero Science Lab
Abstract—In an era of internet freedom, lack of control and supervision, every system is exposed to various attackers and malicious users which, given the right circumstances, are able to cause colossal damage. A single security vulnerability can be the reason for a business’ downfall, therefore significant attention needs to be paid to said systems’ security to avoid such issues. Unix-like filesystems define certain access rights flags, named setuid and setgid, which allow users to execute files with the permissions of the file’s owner or group. This can be exploited to gain unprivileged access using buffer overflow attacks. I performed tests by running a script to collect the files in Ubuntu, Debian, Slackware, Fedora and CentOS to find the files with the setuid and setgid bits set. My aim is to determine which distribution is the most secure one and whether Slackware, considering it’s known for its’ secure design and characteristics, will prove its’ reputation. The results show that Debian and CentOS have e least amount of exploitable binaries, while Slackware and Fedora have the most.
Web Vulnerabilities And Exploitation - Compromising The WebZero Science Lab
One of the main problems of all big companies is how their applications are secured from cyber attacks. New types of vulnerabilities and attack vectors are being developed every day, therefore they pose a potential threat to all applications that rely on some kind of web technology. This document explains the most common and most dangerous web attacks as well as techniques how to secure your infrastructure from being compromised. We focus on SQL injections, XSS, CSRF, RFI/LFI and Server Side Includes. We discuss the attack vectors of web vulnerabilities and exploitation schemas. However, regardless of the security measures taken and defenses being deployed, there will always be a way in. Nevertheless, security analysis provide a valuable insight that can grant the advantage over said attackers and allow us to stay one step ahead.
This document contains the results of a second comparative penetration test conducted by a team of security specialists at Zero Science Lab against two cloud-based Web Application Firewall (WAF) solutions: Incapsula and Cloudflare. This test was designed to bypass security controls in place, in any possible way, circumventing whatever filters they have. Given the rise in application-level attacks, the goal of the test was to provide IT managers of online businesses with a comparison of these WAFs against real-world threats in simulated real-world conditions.
This document contains the results of a comparative penetration test conducted by a team of security specialists at Zero Science Lab against three ‘leading’ web application firewall solutions. Our goal was to bypass security controls in place, in any way we can, circumventing whatever filters they have. This report also outlines the setup and configuration process, as well as a detailed security assessment.
Преоптоварување на баферот и безбедносни механизми на меморијата PPTZero Science Lab
Заштитата на податоците отсекогаш била важна, уште од минатото се користеле одредени алгоритми за шифрирање со цел информациите да бидат прочитани само од лицето за кое што биле наменети т.е лицето кое што го поседувал клучот за дешифрирање.
Преоптоварување на баферот и безбедносни механизми на меморијатаZero Science Lab
Преоптоварување на баферот претставува компјутерски пропуст како резултат на внесување низа на карактери во бафер преку функции кои не ги проверуваат границите на бројот на дозволени карактери што можат да бидат внесени. Структурираниот справувач со испади или SEH претставува механизам имплементиран во Microsoft Windows оперативните системи којшто претставува податочна структура т.е поврзана листа составена од најмалце едно поле во кое се сместени податоци и еден покажувач кон следниот елемент. ASLR механизмот е имплементиран кај Linux и Windows оперативните системи, и овозможува случајност на адресите (адресниот простор). DEP или ‘Data Execution Prevention’ претставува механизам со хардверска и софтверска имплементација за спречување на извршување на инструкции во делови од меморијата зададени од напаѓачот
c0c0n, previously known as Cyber Safe, is an annual event conducted as part of the International Information Security Day. The Information Security Research Association along with Matriux Security Community is organizing a 2 day International Security and Hacking Conference titled c0c0n 2010, as part of Information Security Day 2010. The event is supported by the Kochi City Police. Various technical, non-technical, legal and community events are organized as part of the program. c0c0n 2010 is scheduled on 05, 06 Aug 2010
The number of digital security incidents and cyber crimes are increasing daily on a proportionate rate. The industry is demanding more and more security professionals and controls to curb this never ending threat to information systems.
c0c0n is aimed at providing a platform to discuss, showcase, educate, understand and spread awareness on the latest trends in information, cyber and hi-tech crimes. It also aims to provide a hand-shaking platform for various corporate, government organizations including the various investigation agencies, academia, research organizations and other industry leaders and players for better co-ordination in making the cyber world a better and safe place to be.
This report addresses the common challenge of BMS cyber security and its underlying components. Vulnerable elements across a range of components were investigated, with the vulnerabilities potentially affecting more than 10 million people.
During the research, some of the risks discovered within these BMS components include the potential ability for threat actors to:
Remotely lock or unlock doors and gates;
Control physical access of restricted areas;
Deny service (shutdown controllers);
Manipulate alarms and video surveillance;
Control temperature, boilers, air-condition, windows blinds, gas readings, etc.
Through a detailed analysis of the affected components, we provide clear cyber security recommendations for end users, vendors and system integrators, as well as a thorough technical breakdown including Proof of Concept exploit code, which allow unauthenticated remote code execution against the affected BMS products.
https://applied-risk.com/resources/i-own-your-building-management-system
Exploitation and distribution of setuid and setgid binaries on Linux systemsZero Science Lab
Abstract—In an era of internet freedom, lack of control and supervision, every system is exposed to various attackers and malicious users which, given the right circumstances, are able to cause colossal damage. A single security vulnerability can be the reason for a business’ downfall, therefore significant attention needs to be paid to said systems’ security to avoid such issues. Unix-like filesystems define certain access rights flags, named setuid and setgid, which allow users to execute files with the permissions of the file’s owner or group. This can be exploited to gain unprivileged access using buffer overflow attacks. I performed tests by running a script to collect the files in Ubuntu, Debian, Slackware, Fedora and CentOS to find the files with the setuid and setgid bits set. My aim is to determine which distribution is the most secure one and whether Slackware, considering it’s known for its’ secure design and characteristics, will prove its’ reputation. The results show that Debian and CentOS have e least amount of exploitable binaries, while Slackware and Fedora have the most.
Web Vulnerabilities And Exploitation - Compromising The WebZero Science Lab
One of the main problems of all big companies is how their applications are secured from cyber attacks. New types of vulnerabilities and attack vectors are being developed every day, therefore they pose a potential threat to all applications that rely on some kind of web technology. This document explains the most common and most dangerous web attacks as well as techniques how to secure your infrastructure from being compromised. We focus on SQL injections, XSS, CSRF, RFI/LFI and Server Side Includes. We discuss the attack vectors of web vulnerabilities and exploitation schemas. However, regardless of the security measures taken and defenses being deployed, there will always be a way in. Nevertheless, security analysis provide a valuable insight that can grant the advantage over said attackers and allow us to stay one step ahead.
This document contains the results of a second comparative penetration test conducted by a team of security specialists at Zero Science Lab against two cloud-based Web Application Firewall (WAF) solutions: Incapsula and Cloudflare. This test was designed to bypass security controls in place, in any possible way, circumventing whatever filters they have. Given the rise in application-level attacks, the goal of the test was to provide IT managers of online businesses with a comparison of these WAFs against real-world threats in simulated real-world conditions.
This document contains the results of a comparative penetration test conducted by a team of security specialists at Zero Science Lab against three ‘leading’ web application firewall solutions. Our goal was to bypass security controls in place, in any way we can, circumventing whatever filters they have. This report also outlines the setup and configuration process, as well as a detailed security assessment.
Преоптоварување на баферот и безбедносни механизми на меморијата PPTZero Science Lab
Заштитата на податоците отсекогаш била важна, уште од минатото се користеле одредени алгоритми за шифрирање со цел информациите да бидат прочитани само од лицето за кое што биле наменети т.е лицето кое што го поседувал клучот за дешифрирање.
Преоптоварување на баферот и безбедносни механизми на меморијатаZero Science Lab
Преоптоварување на баферот претставува компјутерски пропуст како резултат на внесување низа на карактери во бафер преку функции кои не ги проверуваат границите на бројот на дозволени карактери што можат да бидат внесени. Структурираниот справувач со испади или SEH претставува механизам имплементиран во Microsoft Windows оперативните системи којшто претставува податочна структура т.е поврзана листа составена од најмалце едно поле во кое се сместени податоци и еден покажувач кон следниот елемент. ASLR механизмот е имплементиран кај Linux и Windows оперативните системи, и овозможува случајност на адресите (адресниот простор). DEP или ‘Data Execution Prevention’ претставува механизам со хардверска и софтверска имплементација за спречување на извршување на инструкции во делови од меморијата зададени од напаѓачот
c0c0n, previously known as Cyber Safe, is an annual event conducted as part of the International Information Security Day. The Information Security Research Association along with Matriux Security Community is organizing a 2 day International Security and Hacking Conference titled c0c0n 2010, as part of Information Security Day 2010. The event is supported by the Kochi City Police. Various technical, non-technical, legal and community events are organized as part of the program. c0c0n 2010 is scheduled on 05, 06 Aug 2010
The number of digital security incidents and cyber crimes are increasing daily on a proportionate rate. The industry is demanding more and more security professionals and controls to curb this never ending threat to information systems.
c0c0n is aimed at providing a platform to discuss, showcase, educate, understand and spread awareness on the latest trends in information, cyber and hi-tech crimes. It also aims to provide a hand-shaking platform for various corporate, government organizations including the various investigation agencies, academia, research organizations and other industry leaders and players for better co-ordination in making the cyber world a better and safe place to be.
2. Содржина
Спдржина ............................................................................................................................................... 2
1. Што претставува IDS? ................................................................................................................... 4
2. Кпи се пришините за нивнп впведуваое? ..................................................................................... 4
3. Типпвите на IDS. ............................................................................................................................. 5
2.1 Мрежнп базирани системи за детекција на престап (Network-based intrusion detection
system (NIDS)) ..................................................................................................................................... 5
2.2 Хпст базирани системи за детекција на престап (Host-based intrusion detection system
(HIDS)) ............................................................................................................................................... 7
2.3 Дистибуирани системи за детекција на престап (Distributed intrusion detection system ....... 8
3 Какп IDS функципнираат? .............................................................................................................. 9
4 Пришини и резулатати пд непвластен пристап............................................................................ 10
5 Алпгпритми кпи щтп се кпристат вп IDS. ..................................................................................... 11
5.1 PAYL (Wang and Stolfo ) алгпритам. ...................................................................................... 11
5.2 POSEIDON Алгпритам............................................................................................................ 12
Библиографија ..................................................................................................................................... 15
3. Вовед
Денес не постои 100% сигурност, но сепак постои шанса да се намали ризикот од
неовластен пристап на некое лице во нашата компјутерска мрежа. Тоа можеме да го направеме со
воведување на уреди кои всушност ќе го детектираат и исто така реагираат на одреден сомнителен
напад. Тие уреди се IDS(Intrusion Detection Systems) т.е систем за детекција на неовластен пристап
кои можат да помогнат во спречувањето на овие неовластени упади. Без разлика дали ние имаме
некој Web сервер или пак сервер за администрација на некоја локална мрежа, IDS можат да
детектираат малициозни напади базирани према пропустите коишто ги имаат самите страни или
пропустите на сотверскиот дел на еден оперативен систем како дел од еден сервер. Тоа значи дека
имаме Web базирани и апликатино базирани напади. Правилата коишто се дефинираат за IDS се
дефинираат од страна на експерти кои имаат добро познавање за типот на нападот,
карактеристиките и целта на нападот со што дефинираат таканаречени правила со цел спречување
на малициозните корисници од добивање на неовластен пристап до одредена локална мрежа. Во
продолжение ќе бидат објаснати карактеристиките на IDS, типовите на напад на истите,
алгоритмините коишто се користат и тн.
4. 1. Што претставува IDS?
IDS (Intrusion Detection Systems) претставуваат системи кпи имаат за цел да детектираат
непвластен пристап вп кпмпјутеската мрежа. Какп непвластен пристап се ппдразбира пбидпт да се
пристапи, кпмпрпмизира или направи щтета на уреди кпи щтп се ппврзани на една кпмпјутерска
мрежа.
Типпви на непвластен пристап се:
Eavesdropping
Data Modification
Identity Spoofing (IP Address Spoofing)
Password-Based напад
Denial-of-Service напад
Man-in-the-Middle напад
Compromised-Key напад
Sniffer напад
Application-Layer напад
IDS е high-tech е еквивалент на алармпт прптив прпвалуваое, кпјщтп е кпнфигуриран
да гп следи прптпкпт на инфпрмации на gateway-пт, непријателски дејнпсти или некпј веќе
идентификуван нападаш. IDS е специализирана алатка кпја знае какп да ги сппи и пбрабпти
акциите и прптпкпт на ппдатпци на мрежата или хпстпт. Вп ппдатпците кпи щтп ги анализира
IDS се вклушуваат мрежите пакети кпи щтп влегуваат и излегуваат вп една мрежа какп и
спдржината на лпг фајлптивите кпи щтп се креираат пд страна на рутерите, firewall-ите и
серверите. Принциппт на рабпта на пвие системи е такпв щтп тие имаат пдредена база на
ппдатпци вп кпја се зашувани пдредени инфпрмации за пдреден напад, дпдека нашинпт на
детекција се базира на сппредба на пвие инфпрмации (пд базата) сп текпвнипт напад.
Дпкплку се детектира напад, IDS предизвикува вклушуваое на алармпт и некпи
предупредуваоа, следен шекпр е активираое на автпматизирани акции какп исклушуваое на
интернетпт или следеое и спбираое на инфпрмации за идентификација и спбираое на
дпкази на нападашпт или серверпт активира ппвратни напади сп цел детекција на
нападашпт(launching back-traces).
2. Кои се причините за нивно воведување?
Пп аналпгија, улпгата на IDS вп кпмпјутерската мрежа е иста какп и рабптата на
антивируспт на еден кпмпјутески систем да спреши пдредени фајлпви сп малиципзни спдржини,
разликата е вп тпа щтп IDS ги детектира малиципзните пакети сппред нивните пзнаки (virus
signatures) делпвите кпи щтп се исти какп и вп базата на ппдатпци или ги детектира мпжните
акции на малиципзнипт спфтвер (вп завниснпст пд нивнптп пднесуваое).
5. intrusion detection се мисли на детекција на unauthorized use of или напад на систем или
мрежа. Какп и firewall-ите, IDS мпжат да бидат спфтверски апликација или кпмбинација на
спфтвер и хардвер вп вид на сампстпен IDS уред (пример десктпп кпмпјутер преинсталиран и
прекпнфигуриран сп цел кпристеое какп IDSfirewall). На истите уреди мпжат да рабптат и
firewall, прпксите, пператприте на сервиси, некпи дпдатни сензпри и управуваши какп дел пд
IDS. IDS немпжеме да ги кпристиме и дпбиеме пптималните резултати дпкплку ги кпристиме
какп дел пд истипт уред на кпјщтп имаме некпј сервер, firewall и слишнп. Овие системи се истп
така кприсни за детектираое и на напади пд кприсниците кпи се дел пд самата кпмпјутерска
мрежа, какп и на детектираое на пдредени престапи при пристап дп пдредени ресурси сп
пдредени пермисии кпи щтп не му дпзвплуваат нивнп менуваое или кпристеое.
Вп пракса, кпмпаниите имаат вп мрежата имаат кпмбинација на апликација или
хардверски IDS какп дел пд сервер/клиент сп цел нивна пбзервација на настаните щтп се
слушуваат вп мрежата какп и прегледуваое на кпмуникацијата на апликацискп нивп.
Освен пристаппт кпј претхпднп гп сппмавме т.е прегледпт на пптписи (signature detection) друг
пристап е детекција на анпмалии(anomaly detection). Овпј нашин на пристап кпристи пдредени
дефинирани или предефинирани правила за нпрмална и неправилната(abnormal)
кпмуникација на системпт и нивна пбзервација дпкплку настанат. За некпи анпмалии IDS
имплементира кприснишки прпфили(user profiles). Овие прпфили ги дефинираат границите на
нпрмалната активнпст и тие се направени кпристејќи семплираое(sampling), пристап преку
пдредени дефинирани правила(rule-base approaches), или neural networks.
3. Типовите на IDS.
IDS се класифицирани према нивната функципналнпст и улпга вп мрежата и сппред тпа тие се
ппделени вп три главни категприи и тпа:
Мрежнп базирани системи за детекција на престап (Network-based intrusion detection
system (NIDS))
Хпст базирани системи за детекција на престап (Host-based intrusion detection system
(HIDS))
Дистибуирани системи за детекција на престап (Distributed intrusion detection system
2.1 Мрежно базирани системи за детекција на престап (Network-based intrusion
detection system (NIDS))
Какп щтп кажува и самптп име мрежни базираните IDS се кпристат за пбзервација на
мрежата пд перспектива пд кадещтп тие се вметнати(приклушени). Пппрецизнп кажанп, врщи
пбзеврација на целата мрежа и сите нејзини мрежни сегменти. Се ппдразбира дпкплку
мрежната карта на кпмпјутерите вп мрежата рабпти вп nonpromiscuous мпд. Кпристеоетп на
6. пвпј мпд ппдразбира, самп пакетите за тпшнп дефинираната мрежна карта сп нејзината MAC
адреса ќе бидат сместени вп стекпт за анализираое. NIDS дпкплку кпристи promiscuous мпд
за пбзервација на мрежнипт сппбраќај ги анализира пакетите кпи не се наменети за нејзината
MAC адреса. Кпристеоетп на пвпј мпд, NIDS мпже да ја преслущкува(eavesdrop) целата
кпмуникација пд мрежата. NIDS треба да биде кпнектиран на лпкалнипт SPAN(Switched Port
Analyzer) ппрт на лпкалниптe switch connected to either a span port on your local switch, или на
мрежнипт таб(делпт каде щтп се кпнфигурира) сп цел дуплицираое на сппбраќајпт. И сппред
пва заклушуваме дека целта на NIDS-вата NIC картишка вп promiscuous mode е защтита на
мрежата.
NIDS
NIDS
WEB Email NIDS WEB DNS
Сервер Сервер Сервер Сервер
Слика 1.1
На сликата 1.1 ни е прикажанп сценарип на кпристеое на три NIDS.Тие се ппставени
на сп цел да врщат мпнитпринг на мрежнипт сппбраќај на сите уреди вп мрежата. Оваа
кпнфигурација претставува стандардна мрежана тппплпгија каде щтп стратещки се ппставени
IDS уредите сп цел секпја пд ппдмрежните да биде ппд пбзевација, така щтп и приватнипт и
јавнипт дел пд мрежата е защтитена и пвпзмпжува детекција на експлпити сп цел да се
спреши пенетрирација на нападашпт вп приватните делпви.Оваа упптреба на ппвеќе NIDS
уреди вп мрежата е пример за defense-in-depth безбеднпстна архитектура.
7. 2.2 Хост базирани системи за детекција на престап (Host-based intrusion
detection system (HIDS))
HIDS се разликуваат пд NIDS заради две пришини. HIDS гп щтити самп делпт на
хпстпт кпјщтп и пвпзмпжува функципналнпст на мрежата, и таа ппд дефплт рабпти вп
nonpromiscuous мпд. Nonpromiscuous мпд на управуваое мпже да има преднпст вп некпи
слушаи затпа щтп некпи NIC немаат ппција да рабптат вп promiscuous мпд. Истп така
promiscuous мпд мпже да биде ппдржани за ппслаби кпнфигурации на хпстпви. Ппради тпа
щтп пвие системе се кпристат за пбзервација на хпстпт тие истп така ракуваат сп сите дпдатни
инфпрмации какп дпдатни лпкални инфрпмации(additional local information) сп безбедпстни
импликации ,вкушувајќи ги и системските ппвици, системски мпдификации на фајлпвивите, и
системски лпгпви. Вп кпмбинација сп мрежните кпмуникации, сп пвпј нашин на ID се
пвпзмпжува ппдатпците рпбуснп да се пасираат дпкплку е пптребнп да се изврщи
пребаруваое на пдредени безбеднпстни настани (security events). Друга преднпст на HIDS е
можноста да се овозможи дефинирање на множество на правила за секој индивидуален хост.
На пример, нас не ни е ппттребнп да кпристиме мнпжествп за правила за пдреден хпст кпј ке
ни пвпзмпжува детектираое на DNS експлпити на хпст кпјщтп не кпристи DNS (Domain Name
Services), т.е се редуцира брпјпт на ппстпешки правила сп кпи се згплемуваат перфпрмансите и
кпристеоетп на прпцеспрпт.
HIDS HIDS
WEB Email WEB DNS
Сервер Сервер Сервер Сервер
HIDS HIDS HIDS
Слика 1.2
8. На сликата 2 ни е прикажанп кпристеое на HIDS, кпнфигурани на серверски и кприснишки
кпмпјутери. Од претхпднптп кажанп, мнпжествптп правила за HIDS на mail серверпт се
кастпмизирани(customized) да гп щтитат пд експлпитите наменети за ваквипт тип на сервер,
дпдека за Web серверпт мнпжествп правила за Web експлпити. При инсталацијата мпже да се
пдбере кпј тип на мнпжествп правила да биде упптребен вп зависнпст пд тпа какпв сервер
кпристиме.
2.3 Дистибуирани системи за детекција на престап (Distributed intrusion
detection system
Стандардните DIDS функципнираат кпристејќи Manager/Probe архитектура (probe –
удреди кпи служат за сканираое на мрежата и дплпвуваое на пакети) т.е архитектура
кпристејќи слпеви. Сензпрпт за детекции на NIDS кпристат далешинскп лпцираое и тие
креираат лпгпви, и истите ги испраќаат дп базата за меначираое. Лпгпвите креирани при
напад на мрежата се перипдишнп прикашуваат дп центарпт за нивнп меначираое кпристејќи
база на ппдатпци.Секпе правилп за секпј сензпр си има свпи дефинирани карактеристики,
така щтп при детекција на некпј напад, системпт за инфпрмираое(messaging system) лпциран
на базата за меначираое ќе биде упптребенп за да се инфпрмира IDS администратпрпт.
NIDS 2
NIDS 1
NIDS 3 WEB Email WEB DNS NIDS 4
Сервер Сервер Сервер Сервер
Приватна мрежа Приватна мрежа
NIDS Станица за
менаџирање
Слика 1.3
9. На сликата 1.3 е прикажанп DIDS спставенп пд шетири сензпри и централна станица за
меначираое. Сензприте NIDS 1 и NIDS 2 кпристат прикриен promiscuous мпд сп цел да се
защтитат јавните сервери. Сензприте NIDS 3 и NIDS 4 гп щтитат кприснишкипт дел вп trusted
computing зпната. Кпмуникацијата ппмеду сензприте и станицата за меначираое мпже да се
пствари преку приватна мрежа или мпже да се кпристи истата инфаструктура (да не се
спздава приватна мрежа). Кпга се кпристи веќе ппстпешката мрежа за меначираое таа треба
да се енкриптира или да се кпнфигурира VPN заради безбеднпст.
www.syngress.com
DIDS зависат пд кпмплекснпста на мрежата, истп така функципналнпста варира вп зависнпст
пд тпа кпј прпизвпдител на DIDS ќе се упптреби. Вп DIDS индивидуалните сензпри мпжат да
бидат NIDS, HIDS, или кпмбинација на двете, така щтп тие мпжат да функципнираат вп
promiscuous мпд или nonpromiscuous мпд.
3 Како IDS функционираат?
Какп щтп прехпднп ги претставивме видпвите на IDS и нивната архитектура вп една
кпмпјутерска мрежа ќе дефинираме на кпј нашин пвие системи рабптат. Најпрвин ќе треба да
разбереме щтп фсущнпст пвие системи пбзервираат вп мрежата. Вп зависнпст пд тпа щтп ќе
влези(input) вп мрежата зависи пд тпа щтп излез и какпв резултат на тпа ќе дпбиеме пд страна
на IDS, затпа и ппстпјат ппвеќе видпви на IDS. Имаме три видпви на IDS вп зависнпст пд
прптпкпт на инфпмации вп мрежата т.е:
Апликацискп-базирани према инфрпмаците какп ппдатпшенипт прптпк (Application-
specific information such as correct application data flow)
Хпст-базирани сп прптпк на ппдатпци: системски ппвици, лпкални лпг спдржини или
пермисии на фајлпви.Host-specific information such as system calls used, local log content,
and file system permissions
Мрежнп-базирани сп прптпк на ппдатпци према пакетите кпи се праќаат вп мрежата.
information such as the contents of packets on the wire
DIDS мпжат да ги имаат карактеристиките на сите пвие типпви, нп сепак зависи кпј тип
на ID ќе биде искпристен и какви далешински сензпри има. IDS нивниот начин на
функционирање може да варира во зависност од тоа каков начин на прибираое на ппдатпците
кпристат, на пример packet sniffing (впглавнп се кпристи вп promiscuous мпд за да ги спбира
ппдатпците најмнпгу щтп е мпжнп), пасираое на лпгпви(log parsing) за лпкалните системски и
апликациски лпгпви, преглед на системски ппвици (system call watching) вп kernel сп цел да се
регулира какп апликациите реагираат на пвие ппвици, и системскп набљудуваое на
фајлпвите(file system watching) сп цел детектираое на пбидите за прпмена на пермисиите.
Кпга IDS ќе ги спбере ппдатпците пд мрежата кпристи пдредени техники за да најде дали има
пбид за непвластен пристап.
Реакцијата на IDS дпкплку детектира некпј напад мпже да биде : пасивна(кпја мпже да
генерира предупредуваое или лпг нп не прави никакви манипулации сп мрежнипт
10. сппбрајќај) и активна( за разлика пд пасивната пвпј тип прави манипулации сп мрежата праќа
пдредени паките за да ги прекини TCP кпнекциите и истите мпже да ги блпкира).
4 Причини и резулатати од неовластен пристап.
Какп резултат на непвластен пристап на пдреден кпмпјутер пд лпкалната мрежа мпже да
биде и ппјавата на Blue Screen of Death, кпјащтп се ппјавува ппради мпжнпста на buffer overflow
напад.Секпј настан(event) кпјщтп се ппјавува на нащипт кпмпјутер треба да се пријави дп систем
администратпрпт. Денес buffer overflow нападите ппфаќаат најгплем прпцент пд сигурнпстните
прппусти кпищтп мпжат да бидат искпристени за пристап дп кпмпјутер на пдредена лпкална
мрежа. Ваквипт тип на прппусти се резултат на непрпфесипналнпста на прпграмерите, кпи не гп
прпверуваат дали на резервиранптп местп(buffer) за внесуваое на карактери(дали при лпгираое
или креираое на некпј нпв фајл) не ги прпверува границите на пгранишенипт брпј на карактери.
Експлпитите (престставуваат прппусти кпи мпжат да бидат искпристени за дпбиваое на пристап на
некпј кпмпјутер) мпжат да бидат спфтверски и експлпити на пперативнипт систем.
Слика 2
Нашинпт на кпјщтп функципнираат пвпј тип на прппусти е тпа щтп се внесуваат ппгплем брпј на
карактери пд дпзвпленипт сп щтп се дпзвплува на нападашпт да гп кпнтрплира изврщуваоетп на
инструкциите(тие се изврщуваат сп кпристеое на EIP- instruction pointer register). Сп дпбиваое на
11. кпнтрпла на пвпј регистер нападашпт ќе мпже да гп искпристи за иврщуваое на прпграмски кпд
кпјщтп мпже да биде пд малиципзен карактер(backdoor).
Дпкплку пвпј тип на прппуст е пд системски тип, тпј мпже да предизвика DoS(denial of service) кпј
мпже да резултира сп прекинуваое на рабптата на некпј сервис.
Одредени типпви на прппусти:
■ Red Hat lprd overflow
■ Linux samba overflow
■ IMAP login overflow
■ Linux mountd overflow
5 Алогоритми кои што се користат во IDS.
Какп пример за алгпритми на IDS ќе ги претставиме PAYL и POSEIDON кпи се дел пд
мрежните системи за непвластена детекција(NIDS) т.е анпмалиски базирани системи. Анпмалиски
базираните NIDS мпжат вп зависнпст пд алгпритмите детекцијата да биде сппред заглавиетп на
пакетите(packet headers), самптп тпварищте/спдржина(payload) щтп паќетпт ја спдржи или
кпмбинација на двете. Payload базираните NIDS денес најшестп се кпристат за детекција на пакети
кпј имаат за цел да ги искпристат спфтверските прппусти на пдреден кпмпјутер пд мрежата, па
сппред тпа мпжеме да заклушиме дека тие се апликациски базирани.
5.1 PAYL (Wang and Stolfo ) алгоритам.
Слика 3
12. На сликата 3 ни е прикажанп архитектурата на PAYL алгпритмпт кпјщтп рабпти на следнипв
нашин: најпрвин пакетите се ппдредени сппред пплжината на тпварищтетп(payload), а пптпа се
врщи анализа на спставните делпви(n-gram) на самптп тпварищте.
INPUT:
ip : IP адреса ∈ N
sp : ппрт ∈ N
l : дплжина на payload
x : PAYLOAD
Излез:
isAnomalous : BOOLEAN
/* Дали пакетпт е анпмален? */
dist := +∞
isAnomalous := FALSE
for each m ∈ M do
if (m.ip = ip and m.sp = sp and
m.l = l) then
dist := m.fv.getDistance(x)
/* get the distance between input */
/* data and associated model */
end if
done(for)
if (dist ≥ threshold) then
isAnomalous := TRUE
end if
return isAnomalous
Вп тестирашката фаза, ќе ги земеме вреднпстите на дплжината, дестинациската IP адреса и
TCP ппртпт ппд пдредени ппдмнпжества кпи ќе ги пбележеме сп Tljk. Алгпритмпт PAYL креира
статистишки мпдел на Tljk кадещтп најпрвин прави анализа на спставните делпви(n-gram) на секпј
пакет пд Tljk, и тпгащ за секпј спставен дел се зашувува инкрементирашка вреднпст вп еден вкупен
статистишки мпдел Мljk кпјщтп истп така вклушува и вектпр сп среден брпј на бајти заеднишки за
сите фреквенции. Вп текпт на детектирашката фаза, истите вреднпсти се дпбиваат пд паќетите кпи
пптпа се сппредени сп вреднпстите на мпделпт, вп зависнпст пд тпа дали има гплема разлика на
пвие вреднпсти сп зададените вреднпстите зададени пд кприсникпт се спздава настан или
тревпга.
5.2 POSEIDON Алгоритам
Дизајнпт на Poseidon беще сп цел да се направи дпбар алгпритам без кпристеое на метпд
на надзпр на мрежните пакети. Ове е типишен прпблем кпјщтп мпжеме да гп рещеме сп
кпристеое на неврпнски мрежи и пспбенп сп Self-Organizing Maps (SOM). SOM мапите глпбалнп
беа упптребувани претхпдните гпдини за калсицифираое на мрежните ппдатпци сп цел да се
класифицираат и сп цел да се детектираат пдредени анпмалии. Вп POSEIDON, тие се упптребени
13. за препрпцесираое. Архитектурата на POSEIDON алпгпритмпт е всущнпст кпмбинација на SOM
мапи сп мпдифициран PAYL алгпритам и тпј рабпти на следнипв нашин.
Слика 4
SOM мапата е упптребена за препрпцесираое на секпј пакет, пптпа PAYL алгпритмпт прави
класификација на вреднпст кпја ја дпбива пд страна SOM мапата, за разлика пд пбишнипт PAYL
алгпритам кпј ја кпристеще дплжината. Претхпднп PAYL кпристеще вкупен статишки мпдел Мljk, нп
сега за разлика параметрите кпи щтп ќе се кпристат местп дестинациската адреса, сега ќе се
кпристи дестинациска адреса и ппрт кпјщтп ќе бидат на местптп на прпменливата n.
14. Заклучок
Поради тоа што безбедноста е една од важните области во информатика, системите за
детекција на неовластен пристап зафаќаат голема област од форензика, оперативни системи,
компјутерска безбедност и програмирањето. Се запознавме со топологиите на архитектура коишто
можат да бидат направени користејќи различни типови на IDS. Како главна карактеристика и
основна цел на овие системи е детекција на малициозен напад којшто се состои од добивање на
текот на извршување на програмите на еден систем т.е освојување на EIP регистерот т.е
инструкцискиот покажувач кој ќе му овозможи извршување на малициозни код кој е составен од
машински јазик (асемблер). Детекција на IDS се состои од детекција на пакетите кои содржат
информации од малициозен карактер т.е инструкции познати како opcode (операциски кодови),
којашто детекција се базира на дефинирани правила од страна на експерти.