programas y programaciónldm/mypage/data/si/apuntes/2019... · 2019-06-23 · virus: un programa...

1

SEGURIDAD INFORMÁTICA

UNTDF – IDEI | Profesor Lic. Leonardo de - Matteis | 2019/1c

Programas y programación

IDEI | 2019-1c | 2 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur

Seguridad InformáticaProgramas y programación

Temario

Organización de la memoria, desbordamientos de buffer y

contramedidas.

Errores comunes de programación.

Repaso de malwares y sus características.

Detección de virus.

Consejos para que los programadores escriban código pensando

en la seguridad de los sistemas.



Asignación de memoria

Stack

Heap

Static data

Code

High addresses

Low addresses



Datos e instrucciones

El mismo valor

hexadecimal en el mismo

lugar en la memoria puede

ser un dato o una

instrucción dependiendo de

si la computadora lo trata

como código o como datos.

Esta será la base de

muchos ataques.



Desbordamiento de buffer

Buffer overflow:

Ocurre cuando los datos se escriben más allá del espacio asignado

para ellos.

Ejemplo: un décimo byte en una arreglo de 9 bytes.

En un desbordamiento los valores insertados por un atacante

ingresan a regiones de memoria asignadas para datos, pero luego

esas entradas de datos pueden sobrescribir memoria que contiene

instrucciones ejecutables.

La idea es encontrar oportunidades de desbordamiento de buffer

que permitan sobrescribir memoria del programa que luego serán

ejecutadas.




Buffer overflow:

El problema proviene de la no comprobación de la longitud de la

información recibida y que será almacenada.

Sino se reservó el espacio adecuado se sobrescribirán otras partes

de memoria (con código ejecutable o no).

Consecuencias:

Mejor caso: segmentation fault y se elimina el proceso.

Peor caso: el atacante ejecuta código arbitrario con los privilegios

que posea el programa

2



Organización de la memoria

Ubicación del código

ejecutable de un proceso y

datos locales cuando se

encuentra en memoria

para ejecutarse.

Notar la ubicación del

código del sistema y sus

estructuras de datos.

System Data

Program Code

Local Data

System Code

High addresses

Low addresses

Stack

Heap




Programa:

char sample[10];

int i;

for (i=0; i<=9; i++)

sample[i] = ‘A’;

sample[10] = ‘B’;




Casos:



La pila luego de llamadas a procedimientos

Stack

P3Procedure A

P2

P1

Prog Ctr

Stack Ptr

P2

P1

Prog Ctr

Stack Ptr

call B

call C

Procedure C

Procedure B



Pila comprometida

Stack

P3Procedure A

P2

P1

Prog Ctr

Stack Ptr

code

code

Prog Ctr

Stack Ptr

call B

call C

Procedure C

Procedure B



Desbordamiento de buffer: ejemplo

Programa:

#include <stdio.h>

#include <string.h>

#include <stdlib.h>

int main(int argc, char *argv[])

{

char buffer[5];

strcpy(buffer, argv[1]);

printf("buffer content= %s\n", buffer);

printf("strcpy() executed...\n");

return 0;

}

3



Desbordamiento de buffer: ejemplo

Prueba 1:

12345678

$> Ejecución correcta.

Prueba 2:

123456789 (9 bytes)

$> Segmentation fault y finalización del proceso.




Funciones vulnerables en lenguaje C:

− gets()

− scanf()

− sprintf()

− strcpy()

− strcat()




Técnicas para lograr ejecución de código:

Sobrescribir el contador del programa almacenado en la pila.

Sobrescribir parte del código en memoria baja, sustituyéndolo

por instrucciones nuevas.

Sobrescribir el contador del programa y datos en la pila de

ejecución para que el contador del programa apunte a la pila.




Daños:

Sobrescritura de:

Alguna porción de datos del programa.

Instrucciones del programa.

Datos o código pertenecientes a otro programa.

Datos o código pertenecientes al sistema operativo.




Consecuencias:

Sobrescribir instrucciones de un programa brinda al atacante los

privilegios de ejecución con que cuente el programa.

Sobrescribir las instrucciones del sistema operativo otorga a los

atacantes los máximos privilegios de ejecución.




Contramedidas:

Comprobar longitudes antes de escribir datos.

Verificar que los subíndices de arreglos/matrices están dentro de los límites.

Chequear condiciones de límite para evitar errores off-by-one.

Limitar el ingreso de caracteres al número máximo aceptable.

Limitar privilegios de los programas para reducir daño potencial.

4




Contramedidas:

Muchos lenguajes poseen protecciones de desbordamiento.

Los analizadores/compiladores de código pueden identificar

muchas vulnerabilidades de desbordamiento de buffer.

Generar en tiempo de compilaciones instrucciones que permitan

agregar canary values en la pila para señalar posibles

modificaciones durante la ejecución.




Contramedidas:

Generar en tiempo de

compilación instrucciones

que permitan agregar

canary values en la pila

para señalar posibles

modificaciones durante la

ejecución.



Mediación incompleta

Mediación:

significa verificar que el sujeto está autorizado para realizar la operación sobre un objeto.

Formas de prevención:

Siempre validar todas las entradas, verificar que sean adecuadas/razonables.

Limitar el acceso de los usuarios a datos y funciones confidenciales.

Utilizar un monitor de referencia para especificar una mediación completa.



Del tiempo de verificación al tiempo de uso

Mediación realizada con un "cebo y interruptor" en el medio.

File:

my_file

Action:

Change byte 4 to A

File:

your_file

Action:

Delete file



Del tiempo de verificación a tiempo de uso

Formas de prevención:

El proceso de verificación de acceso debe mantener/bloquear los

datos referentes a la solicitud hasta que se complete la acción

solicitada.

No permitir ninguna interrupción (pérdida de control) durante la

validación.

La rutina de validación puede copiar los datos del espacio del

usuario al área de la rutina, fuera del alcance del usuario, y

realizar verificaciones de validación en la copia.



Del tiempo de verificación a tiempo de uso

Todos los métodos citados son expansiones del criterio de

inviolabilidad para un monitor de referencia:

Los datos en los que se basa la decisión de control de acceso y

el resultado de la decisión deben estar fuera del dominio del

programa cuyo acceso se está controlando.

5



Malware

Programas insertados por un agente con intención maliciosa para

causar efectos no anticipados o no deseados.

Tipos:

Virus: Un programa que puede replicarse y pasar código

malicioso a otros programas no maliciosos modificándolos.

Worm: Un programa que difunde copias de sí mismo a través

de una red.

Caballo de troya: Código que, además de su efecto declarado,

tiene un segundo efecto, no obvio y malicioso.



Malware: tipos



Malware: tipos



Malware: historia



Malware: historia



Ataque de día cero

Malware activo que explota una vulnerabilidad del producto no

conocida previamente y para la cual el fabricante del software no

tiene contramedidas disponibles.

Difícil de detectar con las prácticas tradicionales de seguridad

informática.

Los atacantes pasan años desarrollando la habilidad de encontrar

tales vulnerabilidades.

Prácticas avanzadas de detección y parches se vuelven críticas

para este tipo de vulnerabilidades.

6



Ataque de día cero: explotación



Ataque de día cero: explotación

Etapas del ataque:

Desarrolladores crean una aplicación, pero no saben que el código contiene una vulnerabilidad.

Atacantes reconocen la vulnerabilidad antes de que los desarrolladores puedan encontrarla o tener tiempo para corregirla.

El atacante escribe código malicioso y ejecuta un ataque mientras la vulnerabilidad aún está disponible.

Después de la explotación las organizaciones reconocen la fuga de datos, robo de identidad.

El desarrollador investiga consecuencias y corrige la vulnerabilidad.



Ataque de día cero: línea de tiempo de la vulnerabilidad



Ataque de día cero: detección

Técnicas:

Detección basada en firmas: la detección de explotaciones de vulnerabilidades se realiza en relación con las firmas que ya se han creado en base conocimiento anterior.

Detección basada en estadísticas: este es un enfoque que depende de los datos históricos de los perfiles de ataques previos.

Detección basada en comportamiento: basada en el examen de cómo se utilizan las técnicas para explotar las vulnerabilidades y cómo interactúan con el objetivo.

Detección híbrida: combinación de varios métodos de detección.



Ataques a organizaciones

El malware no solo ataca a usuarios individuales y computadoras

individuales. Aplicaciones de relevancia en industrias también

están en riesgo.

Caso de ejemplo: Stuxnet (2010) explota una vulnerabilidad en

el software de sistemas de control industrial de Siemens. Sobre

sistemas de control de supervisión y adquisición de datos (SCADA)

utilizados para controlar procesos en: fabricación de productos

químicos, refinación y distribución de petróleo, y plantas de

energía nuclear.



Ataques a organizaciones

7



Daño generado por código malicioso

Daño a los usuarios y sistemas:

Envío de correo electrónico a contactos de usuarios.

Borrado / cifrado de archivos.

Modificación de información del sistema. Ejemplo: registro de

Windows.

Robo de información sensible. Ejemplo: contraseñas.

Adherirse a archivos críticos del sistema.

Ocultamiento de copias de malware en diferentes ubicaciones.



Daño generado por código malicioso

Daño al mundo:

Algunos tipos de malware infectan millones de sistemas.

Velocidad cada vez mayores de propagación.

Sistemas infectados a menudo se convierten en áreas de prueba

y ensayo para nuevas infecciones.



Transmisión y propagación

Métodos:

Programa de instalación y instalación.

Archivo adjunto.

Virus en documentos. Ejemplos: archivos de texto, base de

datos, presentación de diapositivas, imágenes hojas de cálculo.

Autorun.




Métodos:

Usando programas no maliciosos:

Virus en archivos (dentro del programa).

Virus que rodean un programa.

Virus integrados.

Virus que reemplazan completamente el programa original.




Rodeando el programa.

Integrado con el programa.



Activación del malware

Métodos:

Ejecución única.

Virus en sector de inicio/arranque.

Virus residentes en memoria.

Archivos de aplicación (macro virus).

Bibliotecas de código.

Compiladores, loaders, linkers, monitores para ejecución,

debuggers.

8



Activación del malware

Virus en sector de inicio:



Efectos del malware

Virus Effect How It Is Caused

Attach to executable

program • Modify file directory

• Write to executable program file

Attach to data or

control file • Modify directory

• Rewrite data

• Append to data

• Append data to self

Remain in memory • Intercept interrupt by modifying interrupt handler address table

• Load self in non-transient memory area

Infect disks • Intercept interrupt

• Intercept operating system call (to format disk, for example)

• Modify system file

• Modify ordinary executable program

Conceal self • Intercept system calls that would reveal self and falsify result

• Classify self as “hidden” file

Spread infection • Infect boot sector

• Infect systems program

• Infect ordinary program

• Infect data ordinary program reads to

control its execution

Prevent deactivation • Activate before deactivating program and block deactivation

• Store copy to reinfect after deactivation



Toolkits/Rootkits

Kits de herramientas de malware que posibilitan que atacantes

novatos busquen y hagan uso de diferentes vulnerabilidades con

solo presionar un botón.



Contramedidas para el usuario

Utilizar software adquirido de fuentes confiables.

Prueba de desarrollos y aplicaciones en entornos aislados.

Abrir archivos adjuntos cuando se sabe que son seguros.

Tratar cada sitio web como potencialmente dañino.

Crear y mantener copias de seguridad.



Detección del malware

Los programas para búsqueda de virus buscan signos de

infección con código malicioso utilizando firmas en archivos de

programas y memoria.

Los anti-virus tradicionales poseen problemas para mantenerse

al día con respecto al surgimiento de nuevo malware.

Estudios demuestran que los antivirus sólo detectan

aproximadamente el 45% de las infecciones.



Detección del malware

Mecanismos:

Patrones (secuencia de bytes) conocidos en archivos.

Patrones (secuencia de bytes) conocidos en memoria

(procesos).

Patrones de ejecución.

Patrones de almacenamiento.

9



Patrones de detección del malware



Contramedidas para los desarrolladores

Utilizar código modular, cada módulo debe ser:

o Para un solo propósito

o Pequeño

o Sencillo

o Independiente

Encapsulación: ocultar detalles de la implementación de un

componente.

Ocultación de información: describir que hace un módulo no

como lo hace.



Contramedidas para los desarrolladores

Sospecha mutua: cada rutina protege sus datos de interfaz para que otras solo tengan acceso limitado.

Ejemplo: no se puede confiar en que un procedimiento para ordenar las celdas en una lista no modifique esos elementos, mientras que ese procedimiento no puede confiar en que su interlocutor proporcione una lista como entrada o proporcione el número correcto de elementos de la misma.

Confinamiento: programa limitado estrictamente en cuanto a qué recursos del sistema puede acceder y utilizar.

Diversidad: reduce el número de objetivos susceptibles a un tipo de ataque.

Simplicidad!



Verificación y prueba del código

Prueba de unidades: enviar un conjunto predeterminado de

datos al componente que se está probando y observar qué

acciones de salida y datos se producen. Se verifican estructuras

de datos internos, lógica y condiciones de entorno para los datos

de entrada y salida.

Pruebas de integración.

Prueba de funcionamiento.

Pruebas de rendimiento.



Verificación y prueba del código

Test de aceptación: ¿responde a lo solicitado por el cliente?

Pruebas de instalación.

Pruebas de regresión: después de realizar un cambio para

mejorar el sistema, hay que asegurar que todas las funciones

restantes siguen funcionando.

Pruebas de penetración.



Principios de diseño

Privilegios mínimos: para que cada usuario y procesos realicen

sus tareas.

Economía de mecanismo: el diseño del sistema de protección

debe ser pequeño, simple y sencillo. Analizado detenidamente, y

bien verificado.

Diseño abierto: no depender de la ignorancia de los atacantes

potenciales. El mecanismo de protección debe ser público.

10




Basado en permisos: la condición por defecto debe ser denegar

el acceso. Se deben especificar que objetos son accesibles.

Separación de privilegios: el acceso a los objetos debería

depender de más de una condición. Ejemplo: autenticación de

usuario + clave criptográfica.

Facilidad de uso: si el mecanismo de protección es fácil de usar

será poco probable que se evite.




Mecanismo menos común: objetos compartidos proporcionan

canales potenciales para el flujo de información. Utilizar

sistemas que empleen separación física o lógica para reducir el

riesgo asociado a compartir objetos.

Mediación completa: cada intento de acceso debe ser verificado.

Acceso directos e indirectos deben ser considerados en el

mecanismo de protección.



Otras contramedidas

Pruebas de corrección del programa (donde sea posible).

Programación defensiva: los diseñadores no solo deben escribir

código correcto también deben anticipar lo que podría salir mal.

Diseño por contrato: implica desarrollo de programas formal.

Documentar para cada módulo de programa sus condiciones

previas, postcondiciones e invariantes. Permitirá identificar

posibles fuentes de error.



Otras contramedidas

Estrategias no recomendadas:

Pruebas de penetración y posterior corrección

Seguridad por oscuridad

http://ithare.com/advocating-obscurity-part-iii-code-obfuscation-basics/



Resumen

Los ataques de desbordamiento de buffer aprovechan el hecho

de que las instrucciones están almacenadas en memoria.

Los programas pueden tener diferentes tipos de

vulnerabilidades: errores off-by-one, mediación incompleta y

condiciones de carrera.

El malware puede tener una variedad de efectos dañinos

dependiendo de sus características.

Los desarrolladores pueden usar una variedad de técnicas para

escribir y probar código teniendo en cuenta la seguridad.

programas y programaciónldm/mypage/data/si/apuntes/2019... · 2019-06-23 · virus: un programa...

Documents