Professional Documents
Culture Documents
Polo Ska
Polo Ska
SaveAs
E s e t ta n u l m n y
egy felfedezett poloska programrl
Es et ta n ul m ny - p o l os k a
1.
TARTALOMJEGYZK
ESETTANULMNY
1.
TARTALOMJEGYZK
2.
2.1.
Bevezets s ltalnos vezeti sszefoglal
2.1.1. Elzmnyek
2.1.2. A projekt audit rsznek kimenetele
2.1.3. A poloska tulajdonsgai
2.1.4. Vgkvetkeztets
3
3
3
6
7
2.2.
A poloska felfedezse
2.2.1. A vletlen
2.2.2. Ami nem vletlen
2.2.3. Az Octopus eredmnye
2.2.4. Az idegen program egyrtelmstse
9
9
9
11
11
2.3.
A Poloska analizlsa
2.3.1. A program vdelmi mechanizmusa
2.3.2. A program intelligencija
2.3.3. A program kapcsolattartsa
13
13
14
16
3.
A VDELEM
17
4.
EGYB
18
4.1.
Jelen dokumentum kzlse
4.1.1. Az informcik minsgrl
18
18
4.2.
CopyRight
4.2.1. Kizrlagos jogok
Hasznosts s tbbszrzs
Nyilvnossghoz val kzvetts s idzs
Oktats
Minden ms esetben
18
18
18
18
18
18
2. oldal, sszesen: 18
Es et ta n ul m ny - p o l os k a
2.
2.1.
2.1.1. Elzmnyek
A SaveAs Kft.-t megbzja felkrte, hogy rendszerben tbb lpcss biztonsgiszint emelst hajtson vgre. A legfontosabb okok kztt szerepelt, hogy a
megbz gy rezte cgbl adatok szivrognak ki, melyek zletmenett
jelentsen befolysoljk.
Bizonytkok ugyan nem tmasztottk al, hogy bizonyos tenderek elvesztse
ott dolgoz, bels munkatrs vagy idegenkezsg az oka, azonban a sajt
zleti krkben visszahallott informcik alapjn valsznsthet volt, hogy
ltezik az gynevezett bels informcik kzkzen forgsa. A cgvezets
elsdleges clja nem a nyomozs volt, hanem egy sszer biztonsgi szint
elrse, ahol mindenki rendelkezik a munkjnak elvgzshez szksges
sszes informcival, de csak azzal.
A 2001 novemberben indul projekt a megbz informatikai rendszernek
tvilgtsval, azaz audittal kezddtt. (Ezt kvette ksbb az Informatikai
Biztonsgi Szablyzat (IBSZ) kidolgozsa, a megfelel biztonsgi infrastruktra
kiptse s bevezetse.)
3. oldal, sszesen: 18
Es et ta n ul m ny - p o l os k a
Workstation
(BO)
Attacker
Internet
4. oldal, sszesen: 18
Es et ta n ul m ny - p o l os k a
Open proxy 2
Open proxy 3
Open proxy 1
Open proxy
Company
SWITCH
Firewall
Internet
Client 1
Client 2
Client 3
Client 4
Company
CEO
Attacker
Assis.
Mark.
Sales
PM.
Devel.
HR
Finan.
5. oldal, sszesen: 18
Es et ta n ul m ny - p o l os k a
6. oldal, sszesen: 18
Es et ta n ul m ny - p o l os k a
2.1.4. Vgkvetkeztets
-
7. oldal, sszesen: 18
Es et ta n ul m ny - p o l os k a
8. oldal, sszesen: 18
Es et ta n ul m ny - p o l os k a
2.2.
A poloska felfedezse
2.2.1. A vletlen
A program felfedezse a vletlenen is mlt. Az audit sorn a kliens gpek is
szrprba szer tvizsglsra kerltek szoftver licensz s egyb szempontok
miatt. Egyik ilyen szmtgpnl a SaveAs szakemberei szembe tallkoztak egy
ismeretlen programmal, melyrl semmilyen informci nem llt rendelkezsre.
A msodik eset utn a vizsglat kzel 200 gpre terjedt ki, melybl 11 gpen
talltuk meg a poloska programot. Kln rdekessg, hogy a fertztt gpeket
szisztematikus rendszerben talltuk. Talltunk egy ilyen gpet a pnzgyi
osztlyon, kettt a marketingen, kettt az rtkestsi osztlyon, egyet a humn
erforrs osztlyon, kettt az igazgatsgi titkrsgon s tovbbi hrmat a
vezetsgi notebook-okon.
A tallt programokat alapos vizsglatnak vetettk al, mivel fontos volt, hogy
minden ktelyt mellzen bebizonyosodjon, hogy szoftver milyen sttuszban fut a
gpeken.
(A vizsglat tbb szempont alapjn folyt prhuzamosan, majd a szlak egyre
jobban sszertek, s a vizsglat ksbb bebizonytotta, hogy az rintett szoftver
valban kpes a vezetsg ltal felttelezett informcik eltulajdontsra. St
valsznsthet, hogy eleve ilyen jelleg adatszerzsre terveztk.)
9. oldal, sszesen: 18
Es et ta n ul m ny - p o l os k a
DMZ: Demilitarizlt Zna. Azokat a szolgltatsokat helyezik ebbe az elszeparlt znba, melyek az
internetrl elrhetek.
Es et ta n ul m ny - p o l os k a
A HTTP protokol egyik metdusa, mely arra alkalmas, hogy web-en keresztl adatokat szolgltasson
egy bngsz. Fknt krdvek (form) kitltsnl hasznlt.
Es et ta n ul m ny - p o l os k a
SysInternals: egy programoz csapat, amely a windows opercis rendszerhez kszt kiegszt
eszkzket
Es et ta n ul m ny - p o l os k a
2.3.
A Poloska analizlsa
SHA1: 32 bites kivonatkpzse (HASH) algoritmus. Clja egy tetszleges mret adatrl olyan 32
bites kivonat kpzse mely alapjn egyrtelmen jragenerlhat s sszehasonltva meghatrozhat,
hogy valban ugyanarrl a kt szvegrl van-e sz. A digitlis alrs alapja.
Es et ta n ul m ny - p o l os k a
program kpes volt sajt magt mutlni. Talltunk egy olyan rutint, ami a nullrl
jra pti az .exe file-t olyan formn hogy a korbbi .exe fjlt hasznlja fel, de
tvarilja a funkci tblt. Ilyen szint vdelmet akrmilyen polimorf vrus7
megirigyelhetne.
Mikor mr minden ltalunk felfedezett kdvdelmi trkkt sikerlt kijtszanunk
kvetkezhetett a program funkcionalitsnak felfedezse.
A program tulajdonkppen nem ms, mint egy freg. A szerepe, hogy brmilyen
hlzatban elhelyezve azt, onnan megprbljon kijutni s azon az ton ahol
kijutott bejratot nyisson idegenek szmra.
Es et ta n ul m ny - p o l os k a
Es et ta n ul m ny - p o l os k a
Es et ta n ul m ny - p o l os k a
3.
A VDELEM
gyfelnk szmra tartott konzultcin rmutattunk, hogy a megtallt program
valban egy olyan program mely alkalmas lehetett arra, hogy azon keresztl
bels informcik szivroghassanak ki.
Tekintve, hogy a program minden nyomot megprblt maga utn eltntetni gy
nem talltunk arra sem kzvetlen, sem kzvetett bizonytkot, hogy valaha is
ezen keresztl adat kiszivrgs valsan trtnt-e. Mindenesetre a tallt
programok szervezeten belli elhelyezkedse s a program mkdse
egyrtelmen rmutat arra, hogy milyen clzattal kerlt teleptsre. A naplfjlok
tbngszse sorn megtalltuk, hogy a programok kzel fl ve mr
egyrtelmen futnak nmelyik gpen.
A konzultci kiterjedt arra is, hogy miknt tudna gyfelnk a jvben vdekezni
az ilyen jelleg tmadsok ellen. Mi egy komplex megoldst ajnlottunk, mely
kiterjed minden olyan hinyossgra, mely elvezetett a vgeredmnyhez. A
komplex megolds rszei:
- Megfelel Informatikai Biztonsgi Szablyzat elksztse
- Szigorbb s egyben optimalizltabb tzfal szablyok bevezetse
- IDS teleptse
- Az Octopus szoftver tovbbi zemeltetse s felgyelete
Es et ta n ul m ny - p o l os k a
4.
4.1.
EGYB
Jelen dokumentum kzlse
4.2.
CopyRight
Hasznosts s tbbszrzs
Jelen dokumentcit az olvas zletszerzsre nem hasznosthatja. A
dokumentum nem mdosthat, azonban vltoztats nlkl szabadon
terjeszthet.
Oktats
Oktatsi clra a dokumentci szabadon felhasznlhat.
Minden ms esetben
a SaveAs Kft. rsbeli engedlye szksges.