Untitled


Zalogowany jako: 269289 - Krzysztof Markiewicz English Pomoc Wyloguj
Strona główna
Materiały do kursu
Semestr akademicki:

Ochrona danych w systemach informatycznych
Przedmiot::	1DI1406 - Ochrona danych w systemach informatycznych
Kierownik przedmiotu:
dr hab. inż. Bartosz Sawicki
Kierownik kursu:
dr hab. inż. Bartosz Sawicki
Grupy dziekańskie:
GR3, GR2, GR1
Otwarte Wykłady:	Materiały dostępne publicznie. Permalink: http://wyklady.ee.pw.edu.pl/course?cn=1DI1406
Terminy zajęć:
1DI1406:A - Laboratoria, Wtorek 10:15-12:00, Sala: GE-b 113, co tydzień, GR2, (mgr inż. Bartosz Chaber)
1DI1406:A - Laboratoria, Wtorek 18:15-20:00, Sala: GE-b 510, co tydzień, GR3, GR2, GR1, (dr hab. inż. Bartosz Sawicki, mgr inż. Bartosz Chaber)
1DI1406:A - Laboratoria, Czwartek 12:15-14:00, Sala: GE-b 113, co tydzień, GR3, (dr hab. inż. Bartosz Sawicki)
1DI1406:A - Laboratoria, Piątek 14:15-16:00, Sala: GE-b 510, co tydzień, GR1, (mgr inż. Bartosz Chaber)
1DI1406:A - Wykład, Czwartek 08:15-10:00, Sala: SK 108, co tydzień, GR3, GR1, GR2, (dr hab. inż. Bartosz Sawicki)
MATERIAŁY DO KURSU:

Wykład Ostatnia modyfikacja: B. Sawicki 8.05.2015 14:49
Tematyka wykładu

Algorytmy kryptograficzne

Wprowadzenie. Kryptografia, steganografia. Definicje pojęć. Rys historyczny. Algorytmy historyczne. Współczesna kryptografia. Problemy prawne. Szyfrowanie XOR, OTP. Entropia. Szyfry blokowe: DES, IDEA, RC5, AES. Tryby pracy szyfrów blokowych: ECB, CBC, CFB. Generowanie liczb losowych. Szyfry strumieniowe: RC4. Idea szyfrowania asymetrycznego. Artmetyka modularna. Szyfr plecakowy. Szyfrowanie asymetryczne: RSA, ElGamal, ECC. Funkcje jednokierunkowe. Funkcje skrótu i ich zastosowania. Ataki na funkcje skrótu. Algorytm MD5, rodzina SHA.
Protokoły kryptograficzne

Podpis cyfrowy. Możliwości i ograniczenia. DSA. Ślepy podpis przy pomocy RSA. Podpisy niezaprzeczalne. Uwierzytelnianie, a autoryzacja. Tajne hasło, 'challenge-and-response', dowody iteracyjne, dowody z wiedzą zerową. Protokół Fiata-Shamira. Protokoły uzgadniania kluczy. Atak 'man-in-the-middle'. Protokół Diffie-Hellmana. Protokół interlock. Protokóły dzielenia tajemnic. Protokóły zobowiązania bitowego.
Kontrola dostępu

Modele bezpieczeństwa. Polityki kontroli dostępu: uznaniowa, obowiązkowa (DAC, MAC, LBAC, RBAC). Model macierzowy. Model 'przejmij-przekaż'. Metody przechowywania uprawnień.
Bezpieczne programowanie

Projektowanie aplikacji, błędy programistyczne (przepełnienie bufora), walidacja danych. Bezpieczeństwo aplikacji internetowych (zarządzanie sesją, brak zaufania do strony klienta).
Zarządzanie bezpieczeństwem

Polityka bezpieczeństwa. Norma PN-ISO/IEC 17999, ISO 27000. Zasady i rodzaje audytu bezpieczeństwa.
Literatura

Kryptografia. Teoria i praktyka zabezpieczania systemów komputerowych: Kutyłowski Mirosław, Strothmann Willy-B; Wydawnictwo Read Me, 2000
Kryptografia. W teorii i w praktyce: Douglas R. Stinson; WNT, Warszawa, 2005
Teoria bezpieczeństwa systemów komputerowych: Josef Pieprzyk, Thomas Hardjono, Jennifer Seberry; Helion 2005
Podstawy kryptografii: Marcin Karbowski; Helion 2005
1.	Ochrona-QA-20160622.pdf (214,6 kb)	B. Sawicki, 22.06.2016 16:41
2.	Ochrona Wyklad 2015.zip (8084,0 kb)	B. Sawicki, 17.06.2015 14:18

Laboratorium 1 (Wprowadzenie) Ostatnia modyfikacja: B. Sawicki 8.05.2015 14:50
Cel zajęć


Celem pierwszych zajęć jest organizacja laboratorium, przygotowanie środowiska umożliwiającego studentom pracę w ciągu całego semestru oraz  przypomnienie podstawowych poleceń pracy w środowisku UNIX. Praca i programowanie w językach Shell i Python.


Przebieg zajęć

Przybliżony przebieg zajęć:

Zapisy studentów na zajęcia.
Przedstawienie regulaminu laboratorium.
Przedstawienie przebiegu dalszego przebiegu zajęć, wymagań i warunków zaliczenia.
Wyjaśnienie wszelkich wątpliwości formalnych.
Przygotowanie środowiska informatycznego do prowadzenia zajęć.
Wprowadzenie do pracy z sytemem UNIX w trybie linii poleceń.
Wprowadzenie do programowania w Shellu.
Wprowadzenie do programowania w Pythonie.


Ćwiczenia

pliki startowe powłoki
wbudowane mechanizmy nawigacji. historia
zmienne środowiska
praca ze strumieniami
Trywialny przykład skryptu w shellu:

if [ "$LANG" = "pl_PL" ]
  then
    echo Czesc
  else
    echo Hello
fi
Zapiszmy systemową bazę użytkowników do pliku:

$ getent passwd > passwd
Przykład 1

import posix
import string
uid = posix.getuid()
login = ''
passwd = open('passwd')
for line in passwd.readlines():
        rec = string.split(line, ':')
        if int(rec[2]) == uid:
                login = rec[0]
                break
if login:
        print "Witaj, %s" % login
else:
        print "Nie ma Cie w passwd"
Przykład 2

import sys
import string
login = sys.argv[1]
username = {}
passwd = open('passwd')
for line in passwd.readlines():
        rec = string.split(line, ':')
        username[rec[0]] = rec[4]
print "%s to %s" % (login, username[login])
Przykład 3

import sys
import string
text = sys.argv[1]
counter = 0
for line in sys.stdin.readlines():
        if string.count(line, text):
                print line
                counter += 1
print "Znaleziono %d linii zawierajacych %s" % (counter, text)


Ocenianie

Na tych zajęciach (wyjątkowo) nie jest przewidywane wystawianie ocen.


Materiały dodatkowe

W celu poćwiczenia pracy z systemem UNIX polecamy zainstalowanie komputerze jakiejkolwiek dystrybucji Linuksa, albo FreeBSD. Można też zdalnie pracować na jednym z serwerów uczelnianych.

Programowanie w shellu jest bardzo dobrze udokumentowane w samym systemie, wystarczy napisaćman bash.

Podręcznik do pythona otrzymamy za pomocą polecenia man python

Hasła dla Google: shell programming, introduction to python, wprowadzenie do pythona


Laboratorium 2 (Kryptografia historyczna) Ostatnia modyfikacja: B. Sawicki 5.03.2016 20:07
Cel zajęć

Zapoznanie się z historycznymi algorytmami kryptograficznych i słabościami związanymi z ich stosowaniem. Zostanie wykorzystany język skryptowy Python umożliwiający szybkie rozwiązanie nawet skomplikowanego problemu.

Wprowadzenie

Analiza algorytmu Cezara, czyli cyklicznego przesunięcie alfabetu. Badanie ROT13, który ma tą zaletę, że dwukrotne wywołanie funkcji szyfrującej jest równoważne odszyfrowaniu. Przykładowa implementacja:

import string
table = string.maketrans("abcdefghijklmnopqrstuvwxyz", "nopqrstuvwxyzabcdefghijklm")
import fileinput
for line in fileinput.input():
        line = line.rstrip()
        print string.translate(line, table)
Głównym narzędziem kryptoanalizy jest statystyka. Kryptogramy historyczne dalekie są od idealnego "białego" szumu. Najprostszą analizą tego rodzaju jest badanie częstotliwości występowania znaków w kryptogramie. Porównując wynik z uśrednionym wzorcem dla danego języka jesteśmy w stanie złamać większość prostych algorytmów historycznych.

Przykład programu dokonującego analizy częstotliwości występowania poszczególnych liter:

import sys, re, string

stat = {}
for line in sys.stdin.readlines():
        line = re.sub(r'\s', '', line)
        for znak in line:
                if znak in stat:
                        stat[znak] += 1
                else:
                        stat[znak] = 0

for znak in stat:
        print "%s <=> %d " % (znak, stat[znak])


Potrzebna wiedza

Przed przystąpieniem do wykonywania ćwiczenia student powinien wiedzą i umiejętnościami w następującej tematyce:

Modyfikowanie przedstawionych programów i pisanie nowych, podobnych.
Teoria algorytmów przesunięcia cyklicznego.
Rozumienie lingwistycznej analizy statystycznej.


Dodatkowe informacje

notatki z wykładów
Hasła dla Google: Cezar, ROT13, Vigenere, Beaufort


Przykładowe zadania

Napisz program szyfrujący algorytmem przesunięcia cyklicznego o wybraną liczbę.
Napisz program deszyfrujący algorytmem przesunięcia cyklicznego.
wykorzystując przesunięcie w tył,
wykorzystując przesunięcie w przód o dopełnienie do pełnego okresu.
Wielokrotnie wywołując algorytmu przesunięcia cyklicznego w pętli można uzyskać efekt odszyfrowania. Na przykład dla rot13, wystarczy tylko dwa razy. Dla podanej liczby określ teoretycznie ilość wymaganych powtórzeń, a następnie sprawdź to praktycznie.
Za pomocą analizy statystycznej postaraj się odszyfrować tekst zaszyfrowany algorytmem przesunięcia cyklicznego o nieznanym kluczu.
Porównaj rozkłady statystyczne tekstów w trzech różnych językach.
Napisz program szyfrujący algorytmem Vigenere.
Napisz program szyfrujący algorytmem Beauforta.

Laboratorium 3 (Szyfry strumieniowe) Ostatnia modyfikacja: B. Chaber 8.03.2016 22:51
Cel zajęć

Celem zajęć jest zapoznanie z algorytmami szyfrowania symetrycznego. Zarówno z algorytmami blokowymi jaki i strumieniowymi. Wprowadzanie do tematyki trybów pracy szyfrów blokowych, a także ataków brutalnej siły.

Wprowadzenie do RC4

Algorytm RC4 jest algorytmem szyfrowania strumieniowego. Jego zadaniem jest wygenerowanie strumienia klucza, który następnie jest łączony z tekstem jawnym za pomocą operacji XOR. Poniżej przedstawiony jest pseudokod RC4:

# Inicjalizowanie rejestru:
for i from 0 to 255
    S[i] := i
endfor
j := 0
for i from 0 to 255
    j := (j + S[i] + key[i mod keylength]) mod 256
    swap values of S[i] and S[j]
endfor

# Generowanie strumienia klucza
i := 0
j := 0
while GeneratingOutput:
    i := (i + 1) mod 256
    j := (j + S[i]) mod 256
    swap values of S[i] and S[j]
    K := S[(S[i] + S[j]) mod 256]
    output K
endwhile
Algorytm RC4 jest dostępny także w bibliotece Crypto:

from Crypto.Cipher import ARC4
cipher = ARC4.new("key")
encrypted = cipher.encrypt("Top secret")
Atak brutalnej siły na kryptogram polega na systematycznym przetestowaniu całej przestrzeni możliwych kluczy. Przeprowadzenie ataku wymaga określenia jednoznacznego kryterium zakończenia. Algorytm musi umieć stwierdzić, czy kryptogram został odszyfrowany prawidłowo. Ogólną metodą odróżniania poprawnego odszyfrowania od przypadkowych wyników jest entropia. Tekst naturalny ma entropię znacząco niższą niż przypadkowy wynik odszyfrowania. Znając jednak charakter tekstu jawnego, można zaproponować znacznie prostsze rozwiązania.

Entropia w teorii informacji definiuje się jako $H = - \sum p_i \cdot log_2(p_i)$, $p_i$ jest prawdopodobieństwem i-tego elementu. Entropię można łatwo wyznaczyć mając histogram tekstu. Trzeba po prostu zsumować $p_i \cdot log_2(p_i)$ dla wszystkich możliwych elementów histogramu o długości n ($p_i = \frac{n_i}{n}$).

Potrzebna wiedza

Podstawy programowania w języku Python. Znajomość algorytmów RC4. Zrozumienie znaczenia entropii i metod jej obliczania.

Dodatkowe informacje

Hasła dla Google: RC4, entropy

Przykładowe zadania

Zaimplementuj samodzielnie algorytm generowania klucza algorytmem RC4.
Napisz program szyfrujący przy pomocy XOR i klucza generowanego przez RC4.
Zweryfikuj zgodność swojej implementacji z ARC4 z biblioteki PyCrypto.
Napisz algorytm obliczający entropię.
Porównaj entropie tekstu naturalnego z entropia kryptogramu.
Napisz program przeprowadzający atak brutalnej siły na kryptogram.
Oceń szybkość algorytmu brutalnej-siły. Jaką długość klucza możesz złamać w ciągu 1 minuty?

Laboratorium 4 (Szyfry blokowe) Ostatnia modyfikacja: B. Chaber 16.03.2016 11:37
Cel zajęć

Celem zajęć jest zapoznanie z algorytmami blokowymi algorytmami szyfrowania symetrycznego oraz metodami przekształcania hasła na dobry klucz kryptograficzny.

Wprowadzenie

Tryby pracy szyfrów blokowych.

Algorytmy szyfrowania blokowego działają na blokach tekstu jawnego. Powstaje więc problem jak powinien zachowywać się system kryptograficzny w przypadku gdy tekst jest dłuższy niż długość bloku. Kwestią tą zajmują się tryby szyfrowania tj. ECB, CBC, CFB. Biblioteka Crypto udostępnia zmianę trybu zarówno dla algorytmu DES jaki AES.

from Crypto.Cipher import DES,AES
from Crypto.Random import get_random_bytes

des = DES.new("key12345")
iv = get_random_bytes(8)
des = DES.new("key12345",DES.MODE_CBC, iv)
encrypted = des.encrypt("secret12")
aes = AES.new("1234567890123456",AES.MODE_CFB)
encrypted = aes.encrypt("test")
Przekształcanie hasła na dobry klucz

Algorytmy szyfrowania mają często ściśle ustalone wymagania na klucz. Nie może być on zbyt długi, ani zbyt krótki, powinien mieć możliwie wysoką entropię. Naturalne hasła wykorzystywane przez człowieka nie mają tych cech. Dlatego warto jest wykorzystywać algorytmy przekształcające hasło w klucz. Opierają się one na wykorzystaniu wielokrotnym wykorzystaniu funkcji jednokierunkowej i losowej soli. Przykładem takiego algorytmu jest PBKDF2.

Entropię w teorii informacji definiuje się jako $H = - \sum p_i log_2(p_i)$, gdzie p_i jest prawdopodobieństwem i-tego elementu. Jednak przy założeniu płaskiego rozkładu prawdopodobieństwa można ją wykorzystać także do określenia maksymalnej ilości informacji, która może być przechowana w jednym znaku. Należy wtedy zastosować stosować uproszczony wzór $H(S) = log_2(n)$ (gdzie n jest liczbą znaków w alfabecie). Maksymalna entropia ciągu niezależnych znaków o długości $k$, wynosi $k \cdot log_2(n)$. Tej metody używamy do ocenienia siły haseł.

Potrzebna wiedza

Podstawy programowania w języku Python. Znajomość algorytmów DES, AES. Zrozumienie znaczenia entropii przy doborze hasła. Znajomość metod przekształcania hasła na klucz.

Dodatkowe informacje

Hasła dla Google: DES, AES, key derivation, entropy
Przykładowe zadania

Napisz algorytm obliczający entropię.
Porównaj entropie tekstu naturalnego z entropia kryptogramu.
Porównaj wynik szyfrowania w trybach ECB i CBC. Jaka jest entropia kryptogramów?
Napisz program szyfrujący pliki przy pomocy algorytmu AES w trybie CBC.
Zaproponuj algorytm tworzenia klucza na podstawie hasła podawanego przez człowieka.
Określ ile znaków [a-z] należy podać, żeby entropia hasła zbliżyła się do 256-bitowego klucza AES.
Napisz program do ataku brutalnej siły na kryptogram przy wykorzystaniu entropii jako uniwersalnego kryterium zakończenia algorytmu.
1.	blocks.bmp - Plik do testów kodowania za pomocą ECB i CBC obrazów (589,9 kb)	B. Chaber, 14.03.2017 09:26
2.	demo24.bmp - Plik do testów kodowania za pomocą ECB i CBC obrazów (190,6 kb)	B. Chaber, 14.03.2017 09:26

Laboratorium 5 (Funkcje hash) Ostatnia modyfikacja: B. Sawicki 8.05.2015 15:49
Cel zajęć

 Ćwiczenia z wykorzystaniem algorytmów kryptograficznych funkcji jednokierunkowych (hash) do ochrony bazy haseł. Poznanie zasad ataku systematycznego przeszukiwania (brute-force).

Wprowadzenie

Jedną z najstarszych funkcji jednokierunkowych używanych w systemach POSIX była systemowa funkcjacrypt(), która wykorzystuje algorytm DES. Obecnie jest zastępowana przez bezpieczniejsze algorytmy, jednak wciąż wiele programów korzysta właśnie z tej funkcji.

Przykładem może być program htpasswd z pakietu Apache, który służy do zarządzania prostą bazą użykowników. Baza przechowywana jest w pliku tekstowym, w którym poszczególne linie definiują kolejnych użytkowników. Hasła użytkowników są chronione przy pomocy kryptograficznej funkcji jednokierunkowej.

Przykładowe wywołanie funkcji crypt() z poziomu języka Python.

import sys
import crypt
import string
import random

password = sys.argv[1]

#sol powinna być zawsze losowa
salt = ''.join(random.sample(string.ascii_letters, 2))

protected_password = crypt.crypt(password, salt)
print protected_password
Innym zastosowaniem jednokierunkowych funkcji skrótu jest kontrola spójności plików (MAC). Program sha256sum (standardowo dostępny w systemach uniksopodobnych, w systemach BSD jest podobny program sha256) jest właśnie do tego przeznaczony, oblicza sumy kontrolne i może sprawdzić, czy zmieniły się one w stosunku do wcześniej zapisanych.

Przykładowe wywołanie funkcji realizujących algorytm SHA-256:

import sys
import hashlib
h  = hashlib.sha256( sys.argv[1] )
print h.digest()
print h.hexdigest()
Format pliku sum kontrolnych dla plików jest dosyć prosty. Każda linia zawiera MAC i ścieżkę dostępu do pliku np. :

0044f6a93aa14142974d45d62eb0636c  sciezka/dostepu/do/pliku.xxx
Ataki na funkcje jednokierunkowe

Metoda systematycznego przeszukiwania, inaczej zwana metodą brutalnej siły (ang. brute force) to jeden z najprostszych ataków na wszelkiego rodzaju zabezpieczenia. Polega ona na ślepym przeszukiwaniu przestrzeni klucza w celu znalezienia tego właściwego. Łatwą obroną przed tego typu atakiem jest rozszerzenie przestrzeni, a tym samym wydłużenie czasu potrzebnego do jej przeszukania.

Jednym z najbardziej znanych programów realizujących ten atak jest John the Ripper. W ramach ćwiczenia będziemy korzystać ze znacznie prostrzego przykładu. Przykładowy skrypt realizujący atak na hasło o długości trzech znaków, składające się z samych małych liter, ukryte za pomocą funkcji crypt():

import sys, string, crypt
passwd = sys.argv[1]
chars = string.ascii_letters
for a in chars:
        for b in chars:
                for c in chars:
                        trial = a+b+c
                        crypted = crypt.crypt( trial, passwd)
                        if crypted == passwd:
                                break
        if crypted == passwd:
            break
    if crypted == passwd:
        break
if crypted == passwd:
    print "Hasło złamane: " + trail
else:
    print "Nie złamano hasła"
Ataki przez kolizje to grupa metod, których celem jest naruszenie bezpieczeństwa jednokierunkowych funkcji skrótu. Wykorzystanie paradoksu urodzinowego może być wykorzystane do zwiększenia prawdopodobieństwa kolizji. Współczesne algorytmy MD5, SHA, mają na tyle długie wartości funkcji skrótu, że znalezienie kolizji jest bardzo czasochłonne. Można sobie jednak wyobrazić algorytm łatwiejszy do złamania, zaimplementujmy go pod funkcja trivial_hash().

def trivial_hash(dane):
        hash = 0
        for znak in dane:
                hash += ord(znak)
        return hash % 999
Nasze badania nad atakami przed kolizje ograniczymy do ataków na funkcje trivial_hash.

Potrzebna wiedza

Do realizacji zadań na zajęciach wymagane są:

podstawowa umiejętność programowania w języku Python i poruszania się w systemie UNIX,
rozumienie pojęcia kolizji MAC, algorytmów 'brute force',
teoria przechowywania haseł w systemie operacyjnych,
umiejętność obsługi programu htpasswd.
Dodatkowe informacje

Dodatkowych informacji należy szukać w materiałach oraz literaturze prezentowanej na wykładzie. Tematyka jest bardzo dobrze opracowana w Wikipedii.

man crypt

man htpasswd

man md5sum

http://httpd.apache.org/docs/2.2/misc/password_encryptions.html

Hasła dla Google: brute force attack, cryptographic hash function, htpasswd, md5sum, crypt function, unix password

Przykładowe zadania

Napisz program korzystający z bazy wygenerowanej przez program htpasswd. Celem programu jest sprawdzenie, czy użytkownik o podanym identyfikatorze i haśle jest w pliku bazy.

Napisz program umożliwiający zmianę hasła użytkownika w bazie programu htpasswd.

Napisz program umożliwiający dodawanie nowych użytkowników do bazy programu htpasswd.

Przy pomocy wywołania bibliotecznej funkcji md5() odtwórz działanie programu md5sum.

Przy pomocy wywołania bibliotecznej funkcji md5() odtwórz działanie polecenia md5sum -c, czyli kontrole spójności plików.

Korzystając z polecania time sprawdź wydajność dowolnej implementacji algorytmu łamania haseł metodą brutalnej siły i oszacuj czas maksymalny czas potrzebny do złamania haseł różnej długości i składający się z małych liter i dużych liter.

Napisz program zgadujący hasła ukryte za pomocą funkcji crypt(), przechowywane w bazie programu htpasswd. Przyjmij założenie, że hasła są trzy znakowe i składają się z samych małych liter.

Przygotuj dwa dokumenty, których funkcje skrótu trivial_hash() bedą identyczne, a treść różna. Wykorzystaj paradoks urodzinowy.

Napisz program szukający kolizji z określoną wartością funkcji skrótu trivial_hash() poprzez modyfikacje 'białych' znaków.

Porównaj wydajność programu "John the Ripper", z pythonowym skryptem do łamania haseł.

Laboratorium 6 (RSA) Ostatnia modyfikacja: B. Sawicki 4.04.2017 18:05
Cel zajęć

Celem zajęć jest praktyczne zapoznanie się z algortmem szyfrowania asymetrycznego na przykładzie RSA.

Wprowadzenie

Algorytm RSA jest wdzięcznym obiektem do ćwiczeń. Prosta budowa, a jednocześnie kilka kluczowych trudności powodują, że nawet w krótkim czasie zajęć można osiągnąć ciekawy wynik.

Uwaga 1.
Algorytm operuje na liczbach, a nie znakach - dlatego przed szyfrowaniem potrzebne jest przekształcenie ciągu znaków w wektor liczb. Długość bloku(liczby) nie może być większa od n, ale jednocześnie nie powinna być zbyt krótka, bo wtedy niebezpiecznie zbliżamy się do prostego szyfru przez podstawienie.

Uwaga 2.
Generowanie kluczy (e,n) i (d,n) to zadanie składające się z kilku kroków:

wylosowanie liczb pierwszych p i q
obliczenie n = p*q
losowe wybranie e, które jest względnie pierwsze z (p-1)(q-1),
obliczenie d będącego odwrotnością e modulo (p-1)(q-1)
Uwaga 3.
Zrealizowanie szyfrowania i deszyfrowanie jest bardzo proste, ale taki algorytm jest bardzo niewydajny.

enc = (msg ** e) % n
msg = (enc ** d) % n
Są znacznie lepsze algorytmy podnoszenia do wysokich potęg (realizuje je np. funkcja pow())

Uwaga 4.
Biblioteka kryptograficzna PyCrypto udostępnia profesjonalne wsparcie dla wykorzystania algorytmu RSA. Należy zawsze pamiętać, że lepiej jest skorzystać z gotowej, popularnej biblioteki niż samodzielnie implementować algorytm, nawet jeśli wydaje się on bardzo prosty.

from Crypto.PublicKey
import RSA
# Tworzenie kluczy RSA
rsa_keys = RSA.generate(1024)
# Wydzielenie klucza publicznego
pub_key = rsa_keys.publickey()
# Zaszyfrowanie przy pomocy klucza publicznego
encrypted = pub_key.encrypt("Top secret", "some randomness")
# Odszyfrowanie kluczem prywatnym
print rsa_keys.decrypt(encrypted)
Potrzebna wiedza

Podstawy programowania w języku Python, znajomość algorytmu Euklidesa, znajomość algorytmu RSA.

Dodatkowe informacje

Algorytm RSA jest bardzo dobrze opisany w każdej książce o kryptografii.

Przykładowe zadania

Napisz funkcje, która będzie przekształcać tekst w wektor liczb o określonej długości. Określ ilość znaków, którą chcesz kodować jednocześnie.
Napisz funkcje odwrotną, czyli przekształcającą wektor liczb w tekst.
Zaimplementuj prosty test pierwszości dla liczby (np. sito Erastotenesa, test Fermata).
Zaimplementuj algorytm Euklidesa do sprawdzenia największego wspólnego dzielnika.
Napisz funkcję wykorzystającą algorytm Euklidesa do sprawdzenia czy liczby są względnie pierwsze.
Napisz funkcję wykorzystającą algorytm Euklidesa do obliczenia liczby odwrotnej modulo.
Zaimplementuj algorytm szybkiego potęgowania w artmetyce modularnej.
Napisz pełny program generujący klucze RSA.
Napisz program realizujący szyfrowanie RSA.
Napisz program korzystający z PyCrypto do szyfrowania plików. Zaproponuj metodę ochrony klucza prywatnego.

Laboratorium 7 (Bezpieczeństwo oprogramowania -- język C) Ostatnia modyfikacja: B. Chaber 3.04.2017 18:30
Cel zajęć

Celem zajęć jest zapoznanie się z błędami popełnianymi przez programistów, które powodują obniżenie bezpieczeństwa systemu.

Wprowadzenie

Błąd przepełnienia bufora to klasyczny błąd popełniany przez programistów C, który przekłada się na drastyczne obniżenie bezpieczeństwa programu. Przyczyną błędu jest brak ochrony i kontroli nad pamięcią przydzieloną programowi. Dzięki temu, jeśli złośliwemu użytkownikowi uda się przepełnić pamięć przeznaczoną na jakąś zmienną, to zyskuje możliwość zmiany sąsiednich komórek pamięci.

Atak na zmienną

Najprostszym atakiem wykorzystującym idee przepełnienia bufora jest atak na sąsiednią zmienną. Taka sytuacja może mieć bardzo poważne konsekwencje. Zamieszczony poniżej, źle napisany program jest podatny na tego typu błąd. Po podaniu hasła "tajne" użytkownik zostanie zalogowany, ale możliwe jest zalogowanie nawet bez znajomości hasła. Atakujący może ręcznie ustawić zmienną 'zalogowany' na 't'.

// login - bardzo zle napisany program
int main(int argc, char *argv[]) {
  char zalogowany;
  char haslo[8];
  zalogowany = 'n';
  strcpy( haslo, argv[1] );
  if( strcmp( haslo, "tajne" ) == 0 ){
    zalogowany = 't';
  }
  if( zalogowany == 't' ){
    printf("Poprawne haslo, witamy :)\n");
  } else {
    printf("Bledne haslo, uciekaj :(\n");
  }
  return 0;
}
Atak na typ zmiennej

Kolejną grupą błędów programistycznych są błędy wynikające z nieuważnego kontrolowania typów zmiennych. Przykładem może być mylenie zmiennych 'bez znaku' ze zmiennymi 'ze znakiem' (np.unsigned int i int). Jedno nieprecyzyjne użycie instrukcji sscanf w zamieszczonym poniżej programie powoduje, że nie trzeba znać tajnego PINu:

  #define TAJNY_PIN 1234
  int main(int ac, char **av)
  {
          int pin;
          if (av[1][0] == '-') {
                  printf("Atak zablokowany\n");
                  exit(1);
          }
          sscanf(av[1], "%u", &pin);
          if (pin == TAJNY_PIN) {
                  pin = -1;
          }
          if (pin == -1) {
                  printf("PIN poprawny\n");
          } else {
                  printf("PIN bledny\n");
          }
  }
Atak na adres powrotu

Przepełnienie bufora może zostać wykorzystane do uruchomienia dowolnego kodu podrzuconego przez intruza. Jest to szczególnie niebezpieczne, jeśli atakowany program działa z wysokimi uprawnieniami. Popularnym celem takiego ataku jest uzyskanie dostępu do linni poleceń (ang. shell). Wyobraźmy sobie prosty i źle napisany program:


// vuln, czyli cel ataku

int main(int argc, char *argv[]) {
        char buffer[500];
        int i;
        strcpy(buffer, argv[1]);
        printf("BUFOR:\n");
        for (i = 0; i < (sizeof(buffer) / sizeof(char)); i++) {
                printf("\t%d) Adres: %x, Zawartosc: %x\n", i, &(buffer[i]), buffer[i]);
        }
}

Bufor jest na tyle duży, że swobodnie możemy umieścić w nim kod maszynowy uruchamiający linię poleceń (ang. shellcode). Wystarczy tak przekierować adres powrotu, aby skok powrotu nastąpił pod kontrolowany przez nas adres pamięci. Drobnym problemem jest ustalenie tego adresu. W wielu starszych systemach łatwo było przewidzieć ten adres, bo nie zmienia się on wiele podczas wywołań różnych programów. Dzisiaj ataki utrudnia się poprzez losowe przydzielanie miejsca w pamięci, w którym zostanie skopiowany kod. W ramach zajęć będziemy korzystać z systemu podatnego na ataki tego typu, wtedy możemy uzyskać poszukiwany adres w prosty sposób:

int main(int ac, char** av){ int x; printf("%x\n",&x); }
Załóżmy, że szukany adres to: da99fca1. Właściwy atak na program vuln sprowadza się tylko do jego wywołania z odpowiednio spreparowanymi danymi.

./vuln `perl -e 'print "\x90"x100;'``cat shellcode.bin``perl -e 'print "\xa1\xfc\x99\xda"x50'`;
Kilka przydatnych informacji:

shellcode.bin - 46 bajtowy shellcode dla architektury x86 i systemu GNU/Linux,

"\x90" to kod szesnastkowy operacji NOP, który umożliwia rozszerzenie pułapki i zwiększe prawdopodobieństwa powodzenia ataku,
krotność powtórzeń 100 i 50 wynikają z rozmiaru przepełnianego bufora i wielkości shellcode, należy je obliczyć,
ze względu na to, że architektura x86 używa schematu little endian, adresy pamięci podajemy w odwrotnej kolejności.

Istnieje wiele zabezpieczeń przed błędami przepełnienia bufora, poczynając od prostych zmian w strukturze programu, poprzez specjalną kontrolę długości danych, wykorzystanie bezpieczniejszych odpowiedników funkcji kopiujących dane (np. strncpy, dynamiczną alokacje pamięci, aż po użycie specjalnych bibiotek kontrolujących rozmiar danych (np. Libsafe).

Proszę zwrócić uwagę, że aktualnie kompilator GCC domyślnie ma włączoną opcję zabezpieczającą przed nadpisaniem stosu, dlatego na potrzebę tych zajęć należy skompilować program vuln.c następująco:

gcc -z execstack -fno-stack-protector vuln.c -o vuln
Potrzebna wiedza

Znajomość języka C i umiejętność obsługi kompilatora gcc
Rozumienie idei błędu przepełnienia bufora
Rozumienie schematu przechowywanie zmiennych w pamięci i adresowania w architekturze x86.
Dodatkowe informacje

Warto przypomnieć sobie notatki z wykładu dotyczące bezpiecznego programowania. Prezentowane ataki wymagają  zrozumienia działania systemu operacyjnego. Szczególnie polecamy:

Jon Erickson: "Hacking - sztuka penetracji", Helion 2004
Informacje organizacyjne

Część zajęć dotycząca shellcode'u powinna zostać przeprowadzona na maszynie wirtualnej z systemem Metasploitable 2. Maszyna jest uruchomiona na serwerze maszyn wirtualnych na VMWare. Aby uzyskać dostęp należy:

zalogować się sesją ssh na maszynę volt.iem.pw.edu.pl
na volcie:  ssh user@10.146.30.101

hasło: user
Po zalogowaniu do maszyny powinnien być widoczny znak zachęty w postaci:

user@metasploitable:~$
na maszynie wirtualnej Metasploitable2 należy utworzyć katalog o nazwie takiej jak login.
w utworzonym katalogu należy umieścić odpowiednie pliki (shellcode, kod źródłowy, kod programu testowego); shellcode.bin można skopiować z /home/user/shellcode.bin (proszę nie usuwać tego pliku).
Przykładowe zadania

Przeprowadź atak na program login, tak aby hasło zostało uznane za poprawne bez jego podawania.
Zmodyfikuj program login, tak aby nie był możliwy atak przez przepełnienie bufora. (Zaproponuj 2 różne modyfikacje.)
Wykorzystując błąd w programie vuln uzyskaj dostęp do linii poleceń.
Zaproponuj dwie poprawione wersję programu pin, odporne na błąd typów zmiennych.
Zabezpiecz program vuln przed atakiem polegającym na przepełnieniu bufora. Zaproponuj dwa różne rozwiązania.
Przeprowadź atak na program o buforze o innej długośći niż 500 bajtów (np. 600, 700).
1.	memins.c - Program demonstrujący lokowanie zmiennych na stosie i stercie (0,8 kb)	B. Chaber, 25.02.2014 11:08
2.	shellcode.bin - Shellcode (0,0 kb)	B. Chaber, 25.02.2014 11:08

Laboratorium 8 (Konfiguracja bezpiecznych serwisów sieciowych -- Apache) Ostatnia modyfikacja: B. Sawicki 18.04.2016 18:17
Cel zajęć

Uruchomienie, skonfigurowanie i zabezpieczenie usług serwera WWW. Demonstracja z jakimi uprawnieniami działa serwer i jak to wpływa na bezpieczeństwo danych.

Wprowadzenie

Pierwszym zadaniem będzie zainstalowanie serwera Apache, wstępne skonfigurowanie i przetestowanie poprawnej pracy. Wszystkie zmiany dotyczą pliku konfiguracyjnego nazywanego najczęściej httpd.conf. W przypadku problemów konieczna będzie analiza logów error_log i access_log.

Uruchamianie Apache'a w trybie "debug" :

od$ apache2 -d . -f apache2.conf -X
volt$ httpd -d . -f httpd.conf -X
Konfiguracja dotycząca wybranych katalogów może być przechowywana w pliki httpd.conf w znacznikach <Directory ...>, albo w pliku .htaccess. Szczególnie istotny jest parametr: Options, który można ustawić na: ExecCGI, FollowSymLinks, Includes, Indexes

Do ograniczenia dostępu do katalogu można wykorzystać mechanizmy uprawnień systemu plików, albo też specjalnego parametru konfiguracyjnego Allow/Deny oraz Require. Korzystając z programu htpasswd łatwo można stworzyć bazę użytkowników mających dostęp do zasobów.

Podstawą dzisiejszych aplikacji internetowych są programy działające po stronie serwera. Mamy wiele technologii, które wspierają ten proces: SSI, CGI, PHP, Python itd. Trzeba mieć świadomość z jakimi uprawnieniami działa ten program. Jest to szczególnie ważne jeżeli dojdzie do ataku, bo atakujący będzie działał w systemie właśnie z takimi uprawnieniami.

 Potrzebna wiedza

Umiejętność prostych zmian w konfiguracji serwera Apache.
 Dodatkowe informacje

http://httpd.apache.org/docs/current/

Hasła dla Google: apache

Przykładowe zadania

Uruchomienie serwera Apache, zmiana strony głównej i przetestowanie.
Ochrona wybranych katalogów przez indeksowaniem.
Ochrona wybranych katalogów przez dostępem.
Dostęp do katalogu na hasło (użycie htpasswd)
Uruchomienie mechanizmu CGI oraz przetestowanie uprawnień z jakimi on działa.
Uruchomienie mod_php i przetestowanie z jakimi uprawnieniami on działa.
Uruchomienie mod_python i przetestowanie z jakimi uprawnieniami on działa.
1.	apache2.conf - Plik z konfiguracją dla apache2 (Ubuntu, np. od.iem.pw.edu.pl) (8,3 kb)	B. Chaber, 17.04.2016 22:07
2.	httpd.conf - Plik z konfiguracją dla demona httpd (FreeBSD, np. volt.iem.pw.edu.pl) (17,2 kb)	B. Sawicki, 20.04.2015 11:13

Laboratorium 9 (Konfiguracja bezpiecznych serwisów sieciowych -- Apache+SSL) Ostatnia modyfikacja: B. Sawicki 6.05.2016 15:22
Cel zajęć

Uruchomienie i skonfigurowanie usług działających z wykorzystaniem protokołu SSL. Generowanie certyfikatów i ich podpisywanie.

Wprowadzenie

Uruchomienie https
Protokół SSL/TLS i biblioteka OpenSSL daje możliwość ustanowienia bezpiecznego połączenia wielu różnych programów. W trakcje zajęć zajmiemy się konfiguracją serwera stron WWW Apache w połączeniu z modułemmod_ssl

W celu uruchomienia serwera obsługującego połączenia protokołu https, konieczne jest zainstalowanie modułu mod_ssl.

Ceryfikat samopodpisany
Do wygenerowania odpowiednich kluczy kryptograficznych i certyfikatów wykorzystamy program openssl.

Zaczynamy od poleceń potrzebnych do wygenerowania klucza:

#Tworzenie klucza RSA
openssl genrsa -des3 -out testowy.key 1024

#Podglad klucza
openssl rsa -noout -text -in testowy.key
Następującym poleceniem stworzymy samopodpisany certyfikat:

openssl req -new -x509 -days 365 -key testowy.key -out testowy.crt

#Podgląd certyfikatu
openssl x509 -noout -text -in testowy.crt
Certyfikacja pełna
Proces uzyskania certyfikatu podpisanego przez zewnętrzną organizację rozpoczyna się podobnie jak w przypadku certyfikatu samopodpisanego - od wygenerowania kluczy. Następnie należy wygenerować prośbę o certyfikat:

#Stworzenie pliku prosby o certyfikacje
openssl req -new -key test.key -out test.csr

#Podglad prosby
openssl req -noout -text -in test.csr
Plik prośby *.csr powinien być przekazany do urzędu certyfikującego (CA). Urząd certyfikujący korzystając ze swojego klucza i certyfikatu podpisuje prośbę, która od tego momentu staje się podpisanym certyfikatem. Podpisywanie prośby nie jest już jednolinijkowym wywołaniem openssl, a więc wykorzystamy skrypt sign.shSkrypt ten zakłada, że klucz urzędu certyfikującego znajduje się w pliku ca.key, a jego certyfikat w plikuca.crt. Jeśli tak będzie, to jego wywołanie jest proste:

./sign.sh test.csr
Potrzebna wiedza

Podstawy administracji systemem FreeBSD i instalowania w nim oprogramowania.
Umiejętność prostych zmian w konfiguracji serwera Apache.
Rozumienie protokołu SSL i podstawowa znajomość biblioteki openssl.
 Dodatkowe informacje

Hasła dla Google: apache, mod_ssl

Przykładowe zadania

Uruchomienie serwera z obsługą https z certyfikatem samopodpisanym.
Uruchomienie serwera korzystającego z certyfikatu podpisanego przez inny serwer.
Doprowadzenie do sytuacji, w której przeglądarka będzie bez ostrzeżeń akceptowała wygenerowany certyfikat.
1.	httpd-ssl.conf - Przykładowy plik z konfiguracją SSL dla Apache (10,3 kb)	B. Chaber, 25.02.2014 11:06
2.	sign.sh - Skrypt do podpisywania CSR (1,9 kb)	B. Chaber, 25.02.2014 11:07

Laboratorium 10 (Bezpieczeństwo aplikacji internetowych - XSS) Ostatnia modyfikacja: B. Sawicki 6.05.2016 15:26
Cel zajęć

Celem zajęć jest zapoznanie z potencjalnymi błędami i zagrożeniami na które narażone są aplikacje internetowe. W czasie zajęć zostaną zaprezentowane przykładowe ataki XSS oraz sposoby naprawy aplikacji, aby była na nie odporna.

Ćwiczenie z użyciem mod_python

Jedną z metod pozwalających na korzystanie z języka Python do tworzenia aplikacji internetowych jest wykorzystanie modułu Apache mod_python. Do realizacji zadań na zajęciach wystarczy jego uruchomienie, oraz konfiguracja poprzez dodanie kilku linii w konfiguracji serwera Apache dotyczącej określonego katalogu.

AddHandler mod_python .py
PythonHandler mod_python.publisher
PythonDebug On
Atak XSS

Do celu demonstracji ataku posłużymy się bardzo prostą aplikacją. Składa się ona z formularza w języku HTML

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8"/>
</head>
<h3>Jak się nazywasz?</h3>
<form action="welcome.py" method=GET>
<input type="text" name="name">
<input type="submit" value="Wyślij">
</form>
</html>
oraz skryptu welcome.py, który obsługuje obliczanie wyrażeń.

#!/usr/bin/env python
# -*- coding: utf-8 -*-
def index(req, name=''):
        html = '<html>'
        html += 'Witaj ' + name
        html += '<p>Miło mi Cię poznać.</p>'
        html += '</html>'
        return html
Powyższy skrypt zawiera poważny błąd polegający braku sprawdzenia poprawności zmiennej name, którą użytkownik wprowadził w formularzu. Wykorzystując ten błąd można wprowadzić na stronę dowolny kod Javascript, który będzie uruchomiony w przez przeglądarkę.

Przeprowadź atak XSS na przykładową aplikację, którego celem jest:

zmiana tła strony,
automatyczne przełączenie na dowolną inną stronę,
wyświetlenie reklamy (obrazka zewnętrznego),
przesłanie cookie na zewnętrzny serwer,
zaproponuj poprawioną wersję skryptu.


Ćwiczenie z użyciem Gruyere

Zajęcia przeprowadzane będą na przykładowej aplikacji, o nazwie Gruyere (http://google-gruyere.appspot.com). Aplikacja ta jest napisana w języku Python i posiada wbudowany serwer HTTP, dlatego może zostać uruchomiona niezależnie od serwerów takich jak Apache HTTP.

Gruyere jest aplikacją, w której specjalnie nie zostały zaimplementowane zabezpieczenia przeciwko XSS i SQL Injection.
Należy pamiętać, że w każdej aplikacji, która ma być dostępna publicznie, programista ma obowiązek zaimplementować zabezpieczenia przeciwko atakom XSS czy SQL Injection. W obecnych czasach większość tego typu zabezpieczeń zapewniana jest przez różne frameworki do budowy aplikacji internetowych jednak świadomość tego typu luk jest konieczna.

Uruchamianie Gruyere

1. Aplikację Gruyere będziemy uruchamiać na maszynie volt.iem.pw.edu.pl. Należy się na nią zalogować, a następnie skopiować kod aplikacji z /tmp/gruyere do swojego katalogu domowego:

lab $ ssh chaberb@volt
od$ cp /tmp/gruyere-code.zip ~
od$ mkdir ~/gruyere
od$ cd ~/gruyere
od$ unzip gruyere-code.zip

2. Ponieważ na jednym serwerze będzie działać wiele aplikacji każda z nich musi zajmować inny port. Port na którym działa aplikacja jest zdefiniowany w linii 147 w pliku gruyere.py:

od$ vim gruyere.py +147

3. Następnie należy włączyć insecure_mode (linia 104) i dodać IP swojego komputera do tablicy allowed_ips (linia 788) , w ten sposób aplikacja będzie widoczna tylko dla nas poprzez publiczy adres volta.

od$ python gruyere.py

      Gruyere started...
          http://od.iem.pw.edu.pl:1337/
          http://od.iem.pw.edu.pl:1337/7602302410972024715/

4. Otwórzmy w przeglądarce podany przez Gruyere adres: http://od.iem.pw.edu.pl:1337/7602302410972024715/

Proszę zauważyć, że oprócz adresu URL Gruyere wygenerował też specjalny kod indentyfikujący instancję aplikacji. Dzięki temu (oraz temu, że aplikacja działa lokalnie) ograniczone zostało ryzyko ataku na maszynę. Podając zły kod lub nie podając go w ogóle aplikacja zakończy swoją pracę z błędem:

     DANGER! Request without unique id: /newaccount.gtl
     Exit: bad_id

5. Wyłączyć serwer można otwierając adres http://od.iem.pw.edu.pl:1337/7602302410972024715/quitserver

Obsługa Gruyere:

Gruyere umożliwia publikację wpisów w sposób przypominający prostą ścianę Facebooka lub Twitter. Domyślnie, niezalogowany użytkownik ma dostęp do przeglądania publicznych wpisów innych użytkowników. Pierwszym krokiem jest utworzenie swojego konta w aplikacji. UWAGA: Proszę nie podawać swoje prawdziwego hasła.

Proszę zwrócić uwagę czy i ew. jakim ograniczeniom poddawana jest nazwa użytkownika i hasło.

Po dodaniu konta proszę:
  - dodać publiczny wpis,
  - ustawić brakujące elementy profilu (nazwę, adres URL avataru, stronę domową, ulubiony kolor i prywatny wpis)
  - wgrać do aplikacji plik poprzez opcję 'Upload'

Atak XSS

Jest to jeden z popularniejszych rodzajów ataku. Polega on na umieszczeniu złośliwego kodu w treści strony aplikacji. Złośliwy kod (np. Java Script) działa po stronie klienta i (co najgorsze) w kontekście atakowanej aplikacji. Taki kod ma pełną kontrolę nad przeglądarką użytkownika, może na przykład:

zmodyfikować kod HTML strony (dodać swoją reklamę, ukryć przycisk wylogowania),
wykraść ciasteczko zalogowanego użytkownika, dzięki czemu atakujęcy może się później pod niego podszyć itp.
Potencjalnymi miejscami, które są podatne na tego typu ataki są pola tekstowe, w których użytkownik może podawać treść, która może być potem interpretowana jako HTML. Przykładem takiego pola jest pole ulubionego koloru w danych profilowych.
Wpisując w tym polu wartość: blue widzimy, że wygenerowany kod HTML to: <b><span style='color:blue'>Bartek Chaber</span></b>
Co się stanie, kiedy w polu 'Profile color' wpiszemy: blue' onclick='window.alert("Bazinga!");?
Żeby odpowiedzieć na to pytanie należy zapisać zmiany profilu, przejść na stronę główną i podejrzeć jej źródło.
Należy znaleźć swoją nazwę użytkownika i zobaczyć jaki jest kod HTML tego elementu.
Widać, że ma zdefiniowaną akcję onclick. Proszę spróbować kliknąć na swoją nazwę użytkownika przy publicznej notatce. Co się stanie, gdy zalogujemy się na innego użytkownika i klikniemy ten sam link?
Czy można sprawić, żeby użytkownik przypadkiem uruchomił nasz JavaScript?


Ciasteczka

Protokół HTTP jest bezstanowy. Nie pamięta połączeń, nie potrafi zorientować się, że ostatnie 10 zapytań, które obsłużył były zapytaniami jednego użytkownika zwiedzającego stronę. Ciasteczka są to dane, które przeglądarka trzyma w swojej pamięci podręcznej aby aplikacja internetowa mogła określić, że przychodzące żądania pochodzą od jednego użytkownika. Jest to najpopularniejsza metoda utrzymywania ciągłości sesji aplikacji webowej.

Zwykle aplikacja taka generuje pewien unikalny identyfikator, który jest wystarczającym potwierdzeniem, że to właśnie z tym użytkownikiem serwer prowadzi dialog. Ciasteczka są przypisane do domeny i przez nią mogą zostać odczytane. Ciasteczka mają też również swoją datę ważności (jak wszystkie produkty spożywcze) oraz ścieżkę poniżej której obowiązuje. Aby wyświetlić ciasteczka skojarzone z domeną aktualnej strony można wykonać skrypt javascript zawierający polecenie:

window.alert(document.cookie);

Pokaże to treść ciasteczka dla tej domeny.
Analogicznie możliwe jest przypisywanie ciasteczka z javascriptu:

document.cookie="FOO=bar; domain=.iem.pw.edu.pl; path =/;"

W powyższym przykładzie zdefiniowaliśmy ciasteczko o nazwie "FOO", dla domeny "iem.pw.edu.pl" (warto zauważyć, że domena ciasteczka MUSI mieć przynajmniej dwie kropki), dla wszystkich podstron (od korzenia - /).

Atak Path traversal

Kolejny atak pokazuje wrażliwość serwera HTTP na podstępnie zmodyfikowany adres strony. Ręcznie modyfikując adres URL można uzyskać dostęp do teoretycznie niedostępnych zasobów. Przykładowo, jeśli nasz adres aktualnej strony to:

http://127.0.0.1:8123/3965682000482361439/login.html

i otrzymaliśmy plik /home/www/login.html, to teoretycznie wywołując:

http://127.0.0.1:8123/3965682000482361439/../plik.txt

powinniśmy otrzymać /home/plik.txt.

Na szczęście nowoczesne przeglądarki internetowe są wyczulone na elementy adresu typu: '..', '../'. Jednak, zastępując znak '.' i '/' ich zakodowanymi odpowiednikami (czyli '%2e' i '%2f'') można uzyskać dostęp do niedostępnych zasobów.

Przykład:

Proszę przetestować adres: http://127.0.0.1:8123/<identyfikator>%2f%2e%2e%2fsecret.txt

Czy udało się wyświetlić plik secret.txt?

Co warto wiedzieć?
Jak odczytać wartość ciasteczek z JavaScript?
Jak wywołać zdalnie skrypt PHP z JavaScript?
Jak zapisać wartość ciasteczka z JavaScript?
Jak odczytać treść HTML elementu strony o pewnym ID?
Jak zapisać adres w pasku adresu przeglądarki, żeby przeglądarka nie optymalizowała adresu?
Jak pobrać argument przesłany GET z PHP?

Przykładowe zadania:

 1. Zmodyfikować prezentowany atak XSS, tak, aby przekazywał on skryptowi PHP ciasteczka użytkownika i zapamiętywał je w pliku.
 2. Zmodyfikować prezentowany atak XSS, tak, aby wydobywał on tajną notatkę użytkownika
 3. Zmodyfikować ciastka przeglądarki tak, aby zostać zalogowanym przez użytkownika


1.	gruyere-code.zip - Gruyere, do uruchomienia lokalnie (36,3 kb)	B. Chaber, 25.02.2014 11:06

Laboratorium 11 (Bezpieczeństwo aplikacji internetowych - Injection) Ostatnia modyfikacja: B. Sawicki 6.05.2016 15:33
Cel zajęć

Celem zajęć jest zapoznanie z metodą ataku na aplikację internetową polegającą na wstrzyknięciu kodu zmieniającego działanie aplikacji na serwerze. Omówiona zostanie zasada działania tego ataku oraz sposób naprawy aplikacji aby była na niego odporna.

Ćwiczenie z użyciem mod_python

Atak Code Injection
Do celu demonstracji ataków posłużymy się bardzo prostą aplikacją Kalkulatora. Składa się ona z formularza w języku HTML,

<html>
<h3>Kalkulator</h3>
<form action="calc.py" method=GET>
<input type="text" name="expr">
<input type="submit" value="Oblicz">
</form>
</html>
oraz skryptu calc.py, który obsługuje obliczanie wyrażeń.

def index(req, expr='0'):
        html = '<html>'
        html += 'Wynik: '
        exec "result=%s" % expr
        html += str(result)
        html += '</html>'
        return html
Powyższy skrypt zawiera poważny błąd polegający braku sprawdzenia poprawności zmiennej expr, którą użytkownik wprowadził w formularzu. Wykorzystując ten błąd można wstrzyknąć (ang. Injection) dowolny kod napisany w języku Python, który zostanie wykonany na serwerze.
Podpowiedź 1: Wiele poleceń można rozdzielać średnikami.
Podpowiedź 2: Manipulacja zmienną html pozwoli na wyświetlenie wyników.
Podpowiedź 3: Wykorzystaj pełne możliwości Pythona. Możesz używać polecenia import.

Polecenia:

1. Przeprowadź atak (Code injection) na przykładową aplikację kalkulatora, którego celem jest:
   - wyświetlenie zawartości katalogu /etc/ na serwerze,
   - rozpoznanie nazwy i wersji systemu operacyjnego serwera,
   - ściągnięcie z sieci dowolnego pliku i uruchomienie go.
2. Zaproponuj modyfikację programu blokującą omawiany atak.


Atak SQL Injection

W roli ofiary ataku SQL Injection wystąpi prosty system przechowujący w bazie danych sekrety. Zacznijmy od stworzenia pliku bazy danych:

from sqlite3 import *
db = connect('secrets.db')
cur = db.cursor()
cur.execute("CREATE TABLE secrets(key TEXT, secret TEXT)")
cur.execute("INSERT INTO secrets VALUES('1234', 'Hello world')")
cur.execute("INSERT INTO secrets VALUES('qwerty', 'Top secret')")
db.commit()
db.close()
Plik html formularza:

<html>
<h3>SQL Secrets</h3>
<form action="sql_secrets.py" method=GET>
Enter key:
<input type="text" name="key" size=50>
<input type="submit" value="Get secret">
</form>
</html>
Skrypt sql_secrets.py działający na serwerze:

import sqlite3
dbfile = '/home/{.....}/secrets.db'
def index(req, key=''):
    conn = sqlite3.connect(dbfile)
    c = conn.cursor()
    html = '<html>'
    html += 'Key: %s <br/>' % key
        query = "SELECT * FROM secrets WHERE key='%s'" % key
    for row in c.execute(query):
        html += 'Secret: %s <br/>' % row[1]
    html += '</html>'
    return html


Atak SQL Injection wykorzystuje błędy w walidacji danych wejściowych. Zmienna key jest bezpośrednio wstawiana w zapytanie SQL, dlatego odpowiednio nią manipulując można wpłynąć na działanie serwera bazy danych.
Podpowiedź 1: zobacz co się stanie jeżeli key zawiera znak '
Podpowiedź 2: dwa zapytania można łączyć komendą UNION

Polecenia:
1. Uruchom aplikację sql_secrets.py, a następnie zademonstruj w jaki sposób można wykraść wszystkie sekrety.
2. W jaki sposób atakujący może poznać wszystkie pola key?
3. Zaproponuj modyfikację programu blokującą omawiany atak.


Ćwiczenie z użyciem Gruyere

Tak samo jak w poprzednim ćwiczeniu prezentację ataku przedstawimy na przykładzie aplikacji Gruyere. Dostęp do bazy danych w aplikacji Gruyere został wykorzystany podczas operacji logowania, co jest bardzo powszechną praktyką. W kodzie aplikacji zostały zaimplementowane dwie różne metody uwierzytelniania użytkownika. Najpierw omówiona zostanie prostsza i bardziej niebezpieczna metoda.

Przed uruchomieniem aplikacji należy dokonać małej modyfikacji kodu. Należy odkomentować linie: 286 i 289, komentując jednocześnie linie 287 i 290. Odkomentowane linie to nasz pierwszy przypadek testowy. Jak widzimy za sprawdzenie tożsamości użytkownika odpowiada zapytanie SQL postaci:

SELECT 1 FROM login WHERE login = 'bartek' AND pw = 'akurat-je-tu-napisze'

Powyższe zapytanie odpowiada sytuacji, kiedy użytkownik logując się w formularzu logowania wpisał bartekjako użytkownik, natomiast jako hasło akurat-je-tu-napisze. Działanie tego zapytania polega na tym, że zwróci ono jeden wiersz tylko wtedy, gdy warunek po WHERE będzie spełniony. W przeciwnym wypadku nie zostanie zwrócony żaden wiersz. Problem w tym przypadku polega na tym, że zarówno login i hasło są wpisywane bezpośrednio do zapytania, więc użytkownik logując się modyfikuje to zapytanie.
Biorąc przykład z poprzednich zajęć przeanalizujmy sytuację, kiedy użytkownik spróbuje wpisać jako nazwę użytkownika brie (to nazwa użytkownika istniejącego w systemie) oraz jako hasło wpisze foo' OR 1 = 1 --
Zobaczmy jak wygląda teraz zapytanie:

SELECT 1 FROM login WHERE login = 'brie' AND pw = 'foo' OR 1 = 1 --'

Można zauważyć tu dwie bardzo ważne rzeczy. Podobnie jak w poprzednim ćwiczeniu udało się nam przedwcześnie zamknąć apostrof, przez co reszta treści, którą wpisaliśmy w polu hasłą została zinterpretowana jako kod SQL. Korzystając z właściwości operatorów logicznych sprawiliśmy, że warunek

login = 'brie' AND pw = 'foo' OR 1 = 1

jest prawdziwy niezależnie od wartości hasła. Drugą ważną rzeczą, która została wykorzystana jest -- na końcu naszej treści hasła. Podwójny znak - oznacza w SQL komentarz. Wszystkie znaki występujące po --są ignorowane. W ten sposób udało nam się pozbyć niezamkniętego apostrofu.

Poprawa mechanizmu uwierzytelniania

Trzeba przyznać, że przedstawiony powyżej mechanizm uwierzytelniania jest mało skuteczny. Dlatego przygotowano wersję poprawioną. Aby zaczęła ona działać należy z powrotem zakomentować linie 286 i 289, a odkomentować 287 i 290. Przyjrzyjmy się ponownie naszemu zapytaniu SQL.

SELECT pw FROM login WHERE login = 'bartek'

Jak widać teraz baza danych służy nam do wybrania hasła danego użytkonika, które następnie jest porównywane z podanym hasłem. Od razu zdajemy sobie sprawę z tego, że w tym wypadku modyfikacji SQL możemy dokonać tylko dzięki modyfikacji pola login. Przedstawiona kwerenda SQL zabezpiecza nas już przed powołanym dostępem (aby uzyskać dostęp do czyjegoś konta są wymagane bardziej wyszukane metody ataku). Jednak mimo to można wykorzystać je do wydobycia informacji o systemie, użytkownikach oraz ich hasłach.

Ponieważ w trakcie wykonywania zapytać SQL może pojawić się błąd należy sekcje z zapytaniami otaczać klauzulą try/except i wyłapywać wszystkie wyjątki. W badanej aplikacji w przypadku jakiegokolwiek wyjątku użytkownikowi pojawi się informacja o błędzie bazy danych ('Database error'). Jest to wskazówka, które pozwala rozeznać się w bazie danych.

Rozważmy przypadek w którym aplikacja wyświetla dwa komunikaty: Nie znaleziono użytkownika oraz Nieprawidłowe hasło. Mając informację, że istnieją dwa takie komunikaty atakujący może podawać w polu login różne wartości i badać, który użytkownik istnieje, a który nie. Pozbawienie atakującego tej informacji utrudni mu zadanie włamania do systemu. Na tej samej zasadzie komunikat "Błąd bazy danych" jest nadmiarowy i potencjalnie niebzezpieczny.
Proszę przetestować następujące zapytanie powstałe w wyniku wpisania w polu login wartości brie' AND foo = 3 --. Powstanie zapytanie:

SELECT pw FROM login WHERE login = 'brie' AND foo = 3 --'

Spodziewamy się, że to zapytanie zwróci wyjątek, ponieważ nie istnieje kolumna foo w tabeli login.Testując różne wartości możemy określić w jakiej strukturze przechowywane są dane, co pozwoli atakującemu skuteczniej przygotowywać złośliwe zapytania.
Poza strukturą możliwe jest też badanie zawartości bazy danych. Należy do tego wykorzystać instrukcje warunkowe SQL.

Przykładowym zapytaniem testującym dane w bazie danych może być:

SELECT pw FROM login WHERE login = 'brie' AND CASE WHEN length(pw) > 3 THEN 1/0 ELSE 1 END -- '

Trzeba tu zauważyć, że w tym momencie pojawiają nam się niuanse wynikające z zastosowanej bazy danych. Bardzo możliwe, że powyższe zapytanie nie zwróci wyjątku, ponieważ już sam serwer bazy danych wychwyci niebezpieczne dzielenie przez zero i bez wykonywania zapytania zwróci pusty wynik. Aby kompilator zapytania bazy danych nie mógł wychwycić takiej konstrukcji można zastosować zmodyfikowane zapytanie:

SELECT pw FROM login WHERE login = 'brie' AND CASE WHEN length(pw) > 3 THENlength(pw)/0 ELSE 1 END -- '

dzięki zastąpieniu konstrukcji 1/0 konstrukcją length(pw)/0 baza danych nie jest w stanie na 100% stwierdzić, że to zapytanie będzie błędne. Mimo to niektóre silniki baz danych nie wyrzucają wyjątku nawet podczas dzielenia przez 0 zwracając zamiast tego wartość NULL. Przykładem takiego silniku jest baza SQLite3 używana w Gruyere. Na szczęscie studiując dokumentację do Sqlite3 można znaleźć funkcję, która w pewnym przypadku wyrzuca wyjątek. Jednak znalezienie tej funkcji pozostawia się studentowi w ramach ćwiczenia.

Przykładowe zadania:

 Przypadek prosty (SELECT 1 FROM login WHERE login = '...' AND pw = '...')
 1. Zalogować się na użytkownika brie nie korzystając z sekwencji komentującej --

 Przypadek trudniejszy (SELECT pw FROM login WHERE login = '...')
 2. Określić ile znaków ma hasło użytkownika administrator,
 3. Sprawdzić czy użytkownik administrator posiada w haśle znaki specjalne '#', '%', '$', '@',
 4. Zaproponować dwa sposoby uniemożliwienia atakującemu badania hasła użytkowników,
 5. Zaproponować treść pola login tak, aby badać istnienie kolumn w innej tabeli niż login

1.	gruyere-sql.tar - Zmodyfikowana wersja Gruyere z obsługą bazy danych SQlite3 (107,0 kb)	B. Chaber, 25.02.2014 11:05

Projekt -- własna, bezpieczna aplikacja internetowa Ostatnia modyfikacja: B. Chaber 11.05.2016 09:06
Cel zajęć

Celem zajęć jest napisanie prostej aplikacji internetowej spełniającej wysokie standardy bezpieczeństwa.

 Wprowadzenie

Tworząc oprogramowanie programiści najczęściej skupiają się na funkcjonalności i wydajności systemu. Jednak tym razem pełna uwaga powinna być skupiona na kwestiach bezpieczeństwa. Dlatego realizując zadanie nie ma większego znaczenia wygląda aplikacji, ani jej możliwości - liczy się to w jaki sposób sprawdza ona poprawność danych, czy ma restrykcyjne ustawienia początkowe, czy poprawnie wykorzystuje algorytmy kryptograficzne.

Dobrym materiałem do tego rodzaju ćwiczeń jest moduł uwierzytelniania. Jest on kluczowym elementem ochrony systemu, dlatego powinien być napisany wyjątkowo starannie. Na poprzednich zajęciach uczyliśmy się wielu technik, które powinny być wykorzystane przy tej okazji:

walidacja danych wejściowych (z negatywnym nastawieniem),
opóźnienia i limit prób (żeby utrudnić zdalne zgadywanie i atak brute-force),
ograniczone informowanie o błędach (np. o tym przyczynie odmowy uwierzytelenia),
bezpieczne przechowywanie hasła (wykorzystanie kryptograficznych funcji mieszających, wykorzystanie soli, wielokrotne hashowanie)
kontrola siły hasła, żeby uświadomić użytkownikowi problem
monitorowanie pracy systemu (np. żeby poinformować użytkownika o nowych komputerach, które łączyły się z jego kontem)
Za modułem uwierzytelniania napiszmy prostą funkcjonalność opublikowanie notatki, albo zmianę statusu użytkownika. Umożliwiając użytkownikowi zmianę hasła, warto sprawdzić jakiej jakości jest podawane przez niego hasło.

 Potrzebna wiedza

podstawowa znajomość języka python
wiedza i umiejętności z poprzednich zajęć dotyczących konfiguracji Apache oraz bezpieczeństwa aplikacji internetowych,

 Dodatkowe informacje

http://www.petefreitag.com/item/505.cfm - 20 ways to Secure your Apache Configuration

http://httpd.apache.org/docs/2.2/misc/security_tips.html - Apache Security Tips

https://goope.ee.pw.edu.pl/bach/vial - minimalny framework do napisania aplikacji internetowej w Pythonie (bez zabezpieczeń)
Hasła dla Google: authentication, WWW security

Podstawowe wymagania:

Napisz aplikację WWW realizującą uwierzytelnianie w oparciu o tajne hasło. Zwróć uwagę na:

(niezbędne) restrykcyjna weryfikacje danych pochodzących z formularza login-hasło,
(niezbędne) przechowywanie hasła chronione funkcją hash i solą,
(niezbędne) możliwość opublikowania prostej notatki o swoim statusie (jak Facebook). Restrykcyjne sprawdzenie poprawność podanych w formularzu danych (ochrona przed atakami XSS/Injection).
(niezbędne) zabezpieczenie transmisji poprzez wykorzystanie protokołu https.
dodatkowa kontrola spójności sesji (przeciw atakom XSRF),
wielokrotne wykorzystanie funkcji hash, żeby wydłużyć ataki brute-force na hash,
weryfikacja liczby nieudanych prób logowania,
dodanie opóźnienia przy weryfikacji hasła w celu wydłużenia ataków zdalnych,
sprawdzanie jakości hasła (jego entropii),
możliwość odzyskania dostępu w przypadku utraty hasła,
dodaj użytkownikowi możliwość zmiany hasła,
informowanie użytkownika o nowych podłączeniach do jego konta.
Regulamin przedmiotu:

Końcowa ocena z przedmiotu wystawiana jest na podstawie sumy punktów: z laboratorium i z wykładu.
Z egzaminu na koniec wykładu można maksymalnie dostać 24 punkty, a więc punktacja z laboratorium jest w skali 0-16 pkt. W ten sposób maksymalna liczba punktów wynosi 40. Za dodatkową aktywność na przedmiocie można dostać dodatkowy bonus w maksymalnej wysokości 10% punktów.
Warunkiem koniecznym zaliczenia przedmiotu jest uzyskanie ponad 8 punktów z laboratorium.

Skala ocen:
21 - 3.0
25 - 3.5
29 - 4.0
33 - 4.5
37 - 5.0
Do egzaminu można przystąpić tylko dwa razy w jednym roku akademickim, ale dopiero oddanie pracy jest równoważne z przystąpieniem do egzaminu.
Informacje z karty przedmiotu:
(Poniższe dane możliwe są do edycji tylko w karcie przedmiotu przez kierownika przedmiotu.)
Cel przedmiotu:
Celem przedmiotu jest przedstawienie podstaw teoretycznych ochrony cyfrowych danych, a także praktycznych problemów występujących podczas zabezpieczania systemów informatycznych. Główną część wykładu zajmuje omówienie algorytmów kryptologicznych, które stanowią fundamenty zabezpieczeń informatycznych. W dalszym ciągu trwania przedmiotu zostaną poruszone takie problemy jak: tworzenie bezpiecznych programów komputerowych, aspekty bezpieczeństwa systemów operacyjnych, metody kontroli dostępu do danych cyfrowych, bezpieczna konfiguracja usług sieciowych, rola polityki bezpieczeństwa w działalności przedsiębiorstwa.
Treści merytoryczne:
Wykład:
Algorytmy kryptograficzne

Wprowadzenie. Kryptografia, steganografia. Definicje pojęć. Rys historyczny. Algorytmy historyczne. Współczesna kryptografia. Problemy prawne. Szyfrowanie XOR, OTP. Entropia.
Szyfry blokowe: DES, IDEA, RC5, AES. Tryby pracy szyfrów blokowych: ECB, CBC, CFB. Generowanie liczb losowych. Szyfry strumieniowe: RC4. Idea szyfrowania asymetrycznego. Artmetyka modularna. Szyfr plecakowy. Szyfrowanie asymetryczne: RSA, ElGamal, ECC. Funkcje jednokierunkowe. Funkcje skrótu i ich zastosowania. Ataki na funkcje skrótu. Algorytm MD5, rodzina SHA.
Protokoły kryptograficzne

Podpis cyfrowy. Możliwości i ograniczenia. DSA. Ślepy podpis przy pomocy RSA. Podpisy niezaprzeczalne. Uwierzytelnianie, a autoryzacja. Tajne hasło, 'challenge-and-response', dowody iteracyjne, dowody z wiedzą zerową. Protokół Fiata-Shamira. Protokoły uzgadniania kluczy. Atak 'man-in-the-middle'. Protokół Diffie-Hellmana. Protokół interlock. Protokóły dzielenia tajemnic. Protokóły zobowiązania bitowego.
Kontrola dostępu

Modele bezpieczeństwa. Polityki kontroli dostępu: uznaniowa, obowiązkowa (DAC, MAC, LBAC, RBAC). Model macierzowy. Model 'przejmij-przekaż'. Metody przechowywania uprawnień.
Bezpieczne programowanie

Projektowanie aplikacji, błędy programistyczne (przepełnienie bufora), walidacja danych. Bezpieczeństwo aplikacji internetowych (zarządzanie sesją, brak zaufania do strony klienta).
Zarządzanie bezpieczeństwem

Polityka bezpieczeństwa. Norma PN-ISO/IEC 17999, ISO 27000. Zasady i rodzaje audytu bezpieczeństwa.

Laboratorium:
Zajęcia organizacyjne. Wprowadzenie.
Algorytmy kryptografii historycznej (Python).
Algorytmy jednokierunkowych funkcji mieszających (Python).
Algorytmy szyfrowania asymetrycznego (Python)
Algorytmy szyfrowania strumieniowego (Python)
Algorytmy szyfrowania blokowego (Python)
Instalacja systemu FreeBSD
Bezpieczeństwo oprogramowania (język C)
Konfiguracja bezpiecznych serwisów sieciowych (Apache).
Konfiguracja bezpiecznych serwisów sieciowych (Apache+SSL).
Bezpieczeństwo oprogramowania internetowego 1 (Python)
Bezpieczeństwo oprogramowania internetowego 2 (Python)
Uszczelnianie systemu. Kopie zapasowe.
Audyt bezpieczeństwa systemu.
Zakończenie zajęć. Wpisy.
Termin zapasowy, wykorzystany w semestrze.
Literatura przedmiotu:
1. Kryptografia. Teoria i praktyka zabezpieczania systemów komputerowych: Kutyłowski Mirosław, Strothmann Willy-B; Wydawnictwo Read Me, 2000
2. Kryptografia. W teorii i w praktyce: Douglas R. Stinson; WNT, Warszawa, 2005
3. Teoria bezpieczeństwa systemów komputerowych: Josef Pieprzyk, Thomas Hardjono, Jennifer Seberry; Helion 2005
Metody oceny:
Ocena z przedmiotu jest wyliczana na podstawie sumy punktów z egzaminu i punktów z laboratorium (60% + 40%).
Internetowy System Obsługi Dziekanatu 2010-2017 (wersja: 1.4.239) | Icons by http://dryicons.com
Uwagi oraz pytania techniczne: isod.wsparcie@iem.pw.edu.pl. W sprawach merytorycznych proszę kontaktować sie osobiście z pracownikami Dziekanatu.