Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2023:pass_the_hash_napadi_i_zastita [2024/01/13 17:05]
lplantak [Sažetak] 		racfor_wiki:seminari2023:pass_the_hash_napadi_i_zastita [2024/12/05 12:24] (trenutno)
Redak 6: Redak 6:
 ===== Sažetak ===== ===== Sažetak =====
  
-U današnje vrijeme, kako sve više organizacija koristi tehnologiju **jednostrukog prijavljivanja (SSO)** kako bi omogućile udaljeni rad i poboljšale korisničko iskustvo, napadači su prepoznali **ranjivost** pohranjenih lozinki i korisničkih akreditacija zbog čega su **napadi** bazirani na identitetu poput Pass the hash napada češći nego ikad prije. Takvi napadi,  gdje se napadači pretvaraju da su legitimni korisnici posebno su teški za otkrivanje jer većina tradicionalnih kibernetičkih rješenja ne može razlikovati pravog korisnika od napadača koji se pretvara da je legitimni korisnik. Ova tehnika napada često prethodi drugim, ozbiljnijim sigurnosnim problemima, poput krađe identiteta te napada zlonamjernim softverom ili //ransomware//-om, zbog čega je **zaštita** od takvih napada veoma bitna. U ovom radu detaljnije će biti objašnjeno što su i kako funkcioniraju **//Pass the hash// napadi** te kako ih spriječiti i kako se od njih zaštititi.+U današnje vrijeme, kako sve više organizacija koristi tehnologiju **jednostrukog prijavljivanja (SSO)** kako bi omogućile udaljeni rad i poboljšale korisničko iskustvo. Napadači su prepoznali **ranjivost** pohranjenih lozinki i korisničkih akreditacija zbog čega su **napadi** bazirani na identitetu poput Pass the hash napada češći nego ikad prije. Takvi napadi,  gdje se napadači pretvaraju da su legitimni korisnici posebno su teški za otkrivanje jer većina tradicionalnih kibernetičkih rješenja ne može razlikovati pravog korisnika od napadača koji se pretvara da je legitimni korisnik. Ova tehnika napada često prethodi drugim, ozbiljnijim sigurnosnim problemima, poput krađe identiteta te napada zlonamjernim softverom ili //ransomware//-om, zbog čega je **zaštita** od takvih napada veoma bitna. U ovom radu detaljnije će biti objašnjeno što su i kako funkcioniraju **//Pass the hash// napadi** te kako ih spriječiti i kako se od njih zaštititi.
  
 Ključne riječi: hash; ranjivost; napad; korisnik; napadač; jednostruko prijavljivanje; prevencija; zaštita Ključne riječi: hash; ranjivost; napad; korisnik; napadač; jednostruko prijavljivanje; prevencija; zaštita
 ===== Uvod ===== ===== Uvod =====
  
-**Pass the hash (PtH)** je vrsta kibernetičkog napada u kojem napadač ukrade **hash** korisničke akreditacije (najčešće lozinke) i koristi ju kako bi prevario **autentifikacijski sustav** i stvorio novu **autentificiranu korisničku sesiju** na istoj mreži. Za razliku od ostalih napada krađe akreditacija, kod PtH napada napadač ne treba znati ili probiti lozinku kako bi dobio pristup sustavu jer za upad u sustav koristi hash lozinke.+**Pass the hash (PtH)** je vrsta kibernetičkog napada u kojem napadač ukrade **hash** korisničke akreditacije (najčešće lozinke) i koristi ju kako bi prevario **autentifikacijski sustav** i stvorio novu **autentificiranu korisničku sjednicu** na istoj mreži. Za razliku od ostalih napada krađe akreditacija, kod PtH napada napadač ne treba znati ili probiti lozinku kako bi dobio pristup sustavu jer za upad u sustav koristi hash lozinke.
  
 Nakon što **napadač** dobije pristup sustavu PtH napadom, **cilj** mu je izvući čim više informacija i akreditacija i dalje se kretati mrežom koristeći različite uređaje i račune. To čine s nadom da će povećati svoja korisničke privilegije kako bi pristupili kritičnim sustavima, poput administratorskog računa mreže. Nakon što **napadač** dobije pristup sustavu PtH napadom, **cilj** mu je izvući čim više informacija i akreditacija i dalje se kretati mrežom koristeći različite uređaje i račune. To čine s nadom da će povećati svoja korisničke privilegije kako bi pristupili kritičnim sustavima, poput administratorskog računa mreže.
Redak 29: Redak 29:
 Hash funkcija je **jednosmjerna** u smislu da nije reverzibilna, tj. ne može se iskoristiti dobiveni šifrirani tekst (hash) kako bi se došlo do originalnog niza znakova (npr. lozinke). Hash funkcija je **jednosmjerna** u smislu da nije reverzibilna, tj. ne može se iskoristiti dobiveni šifrirani tekst (hash) kako bi se došlo do originalnog niza znakova (npr. lozinke).
 Postoji više **algoritama za hashiranje**, ali svi rade na istom principu.  Postoji više **algoritama za hashiranje**, ali svi rade na istom principu. 
-Kada se korisnik prijavljuje u sustav, pokreće se ista hash funkcija koja se koristila prilikom prvog stvaranja njegovih podataka za prijavu. Ako se rezultirajuće hash vrijednosti podudaraju, sustav **autentificira** korisnika. +Kada se korisnik prijavljuje u sustav, pokreće se ista hash funkcija koja se koristila prilikom prvog stvaranja njegovih podataka za prijavu. Ako se rezultirajuće hash vrijednosti poklapaju, sustav **autentificira** korisnika. 
 Na primjer, pretpostavimo da je korisnička lozinka "Racfor123". Hash te lozinke, koristeći //Bcrypt Hash Generator//, bio bi: „$2y$10$aPakLVrCDbdrA960gh3BWOPDIVGaCohTKozVHW0KiozFF6SSpNeFa“, što je vidljivo na Slici 2. Na primjer, pretpostavimo da je korisnička lozinka "Racfor123". Hash te lozinke, koristeći //Bcrypt Hash Generator//, bio bi: „$2y$10$aPakLVrCDbdrA960gh3BWOPDIVGaCohTKozVHW0KiozFF6SSpNeFa“, što je vidljivo na Slici 2.
  
Redak 35: Redak 35:
                       Slika 2. Generiranje hasha lozinke                       Slika 2. Generiranje hasha lozinke
  
-U ovom slučaju, što se tiče mehanizma autentifikacije, korisnička lozinka bila bi+U ovom slučaju, što se tiče mehanizma autentifikacije, korisnikova lozinka bila bi
 „$2y$10$aPakLVrCDbdrA960gh3BWOPDIVGaCohTKozVHW0KiozFF6SSpNeFa“, a ne "Racfor123". „$2y$10$aPakLVrCDbdrA960gh3BWOPDIVGaCohTKozVHW0KiozFF6SSpNeFa“, a ne "Racfor123".
  
 Hashevi pružaju **sigurnosne prednosti** jer sprječavaju pohranu akreditacija u običnom tekstu. Lozinka "Racfor123" nikada neće biti spremljena u sustav kao „Racfor123“. Također su praktični za sustave jednostrukog prijavljivanja (SSO). Nakon što se korisnik prijavi u mrežu, **SSO sustav** može koristiti kombinaciju korisničkog imena i hasha lozinke za kontinuiranu autentifikaciju dok korisnici obavljaju svoj posao. Hashevi pružaju **sigurnosne prednosti** jer sprječavaju pohranu akreditacija u običnom tekstu. Lozinka "Racfor123" nikada neće biti spremljena u sustav kao „Racfor123“. Također su praktični za sustave jednostrukog prijavljivanja (SSO). Nakon što se korisnik prijavi u mrežu, **SSO sustav** može koristiti kombinaciju korisničkog imena i hasha lozinke za kontinuiranu autentifikaciju dok korisnici obavljaju svoj posao.
  
-To je veoma korisno, međutim, ako **napadač** može pristupiti hashu, može ga iskoristiti za preuzimanje uloge korisnika u okruženju SSO-a i stvaranje **autentificiranih sesija** u ime tog korisnika.+To je veoma korisno, međutim, ako **napadač** može pristupiti hashu, može ga iskoristiti za preuzimanje uloge korisnika u okruženju SSO-a i stvaranje **autentificiranih sjednica** u ime tog korisnika.
  
 === Koraci napada === === Koraci napada ===
Redak 59: Redak 59:
 Ako **administrator sustava** unese svoje akreditacije za svoj račun koji ima visoku razinu privilegija na to isto računalo, njegova lozinka će također biti **pohranjena** u memoriji kao hash, čak i ako se na računalo povezuje udaljeno. Ako **administrator sustava** unese svoje akreditacije za svoj račun koji ima visoku razinu privilegija na to isto računalo, njegova lozinka će također biti **pohranjena** u memoriji kao hash, čak i ako se na računalo povezuje udaljeno.
    
-Ako napadač uspije **kompromitirati** to računalo i pristupiti mu, bit će u mogućnosti uhvatiti hash lozinke administratora sustava. Nakon toga može taj hash iskoristiti kako bi stvorio **autentificiranu sesiju** pretvarajući se da je administrator sustava bez da zna stvarnu lozinku administratora sustava. +Ako napadač uspije **kompromitirati** to računalo i pristupiti mu, bit će u mogućnosti uhvatiti hash lozinke administratora sustava. Nakon toga može taj hash iskoristiti kako bi stvorio **autentificiranu sjednicu** pretvarajući se da je administrator sustava bez da zna stvarnu lozinku administratora sustava. 
  
-Jednom kada to ostvari, može **iskoristiti** tu sesiju kako bi pristupio bazi podataka klijenata, repozitorijima izvornog koda, poslužiteljima e-pošte ili bilo čemu drugome čemu taj administrator sustava ima pristup. Sa tolikom moći, napadač može gotovo sigurno **ostvariti** svoj zlonamjerni **cilj**.+Jednom kada to ostvari, može **iskoristiti** tu sjednicu kako bi pristupio bazi podataka klijenata, repozitorijima izvornog koda, poslužiteljima e-pošte ili bilo čemu drugome čemu taj administrator sustava ima pristup. Sa tolikom moći, napadač može gotovo sigurno **ostvariti** svoj zlonamjerni **cilj**.
  
 === Rizici napada === === Rizici napada ===
Redak 102: Redak 102:
   * Ne korištenje //Remote Desktop Protocol//-a (RDP) za upravljanje korisničkim računalima – mnoge RDP aplikacije čuvaju kopije hasheva, što povećeva rizik od PtH napada   * Ne korištenje //Remote Desktop Protocol//-a (RDP) za upravljanje korisničkim računalima – mnoge RDP aplikacije čuvaju kopije hasheva, što povećeva rizik od PtH napada
   * Onemogućavanje //LAN Management// (LM) hasheva – LM hashevi su slabiji od Windows NT hasheva i ranjivi na napade grubom silom (engl. //brute force attacks//)   * Onemogućavanje //LAN Management// (LM) hasheva – LM hashevi su slabiji od Windows NT hasheva i ranjivi na napade grubom silom (engl. //brute force attacks//)
-  * Omogućavanje obuke o svjesnosti o sigurnosti – što su radnici neke tvrtke svjesnije opasnosti i sigurnosnih rizika (npr. //phishinga//), to je manja vjerojatnost uspješnog PtH napada +  * Omogućavanje obuke o svjesnosti o sigurnosti – što su zaposlenici neke tvrtke svjesniji opasnosti i sigurnosnih rizika (npr. //phishinga//), to je manja vjerojatnost uspješnog PtH napada (ako napadač ne može kompromitirati nijedno računalo, ne može niti izvući hash i napraviti PtH napad)
   * Ograničavanje dopuštenja računa domenskih administratora – dobro za ograničavanje vrijednosti administratorskog računa koju nudi napadačima   * Ograničavanje dopuštenja računa domenskih administratora – dobro za ograničavanje vrijednosti administratorskog računa koju nudi napadačima
  
 Neki postupci prevencije koje mogu primijeniti **korisnici**: Neki postupci prevencije koje mogu primijeniti **korisnici**:
  
-  * Korištenje vatrozida – štiti od malicioznih poveznica+  * Korištenje vatrozida – štiti od nekih malicioznih poveznica
   * Korištenje antivirusa – štiti od nekih virusa i nekih drugih online prijetnji   * Korištenje antivirusa – štiti od nekih virusa i nekih drugih online prijetnji
   * Redovito ažuriranje operacijskog sustava – ažuriranja sustava često nude sigurnosne zakrpe koje popravljaju sigurnosne ranjivosti i pomažu smanjiti rizik od zlonamjernih kibernetičkih napada   * Redovito ažuriranje operacijskog sustava – ažuriranja sustava često nude sigurnosne zakrpe koje popravljaju sigurnosne ranjivosti i pomažu smanjiti rizik od zlonamjernih kibernetičkih napada
-  * Redovito odjavljivanje iz uređaja i njihovo ponovno pokretanje – odjavljivanje s uređaja može se spriječiti da netko drugi pristupi uređaju kada korisnik nije prisutan, a ponovnim pokretanjem uređaja brišu se spremljeni hashevi iz memorije  +  * Redovito odjavljivanje iz uređaja i njihovo ponovno pokretanje – odjavljivanjem iz uređaja može se spriječiti da netko drugi pristupi uređaju kada korisnik nije prisutan, a ponovnim pokretanjem uređaja brišu se spremljeni hashevi iz memorije  
   * Redovito mijenjanje lozinki – mijenjanjem lozinke mijenja se i njezin hash što automatski otežava PtH napad   * Redovito mijenjanje lozinki – mijenjanjem lozinke mijenja se i njezin hash što automatski otežava PtH napad
   * Pozorno razmišljanje prije otvaranja poveznica i privitaka u elektroničkoj pošti – i poveznice i privitci mogu sadržavati maliciozan sadržaj kojim se može pokrenuti PtH napad   * Pozorno razmišljanje prije otvaranja poveznica i privitaka u elektroničkoj pošti – i poveznice i privitci mogu sadržavati maliciozan sadržaj kojim se može pokrenuti PtH napad
Redak 120: Redak 120:
 ===== Zaključak ===== ===== Zaključak =====
  
-**Pass the hash** napadi poprilično su opasni iz razloga što ih je **teško otkriti** i zaustaviti jer koriste **važeće** akreditacije kako bi nanijeli **štetu**. Nažalost, zbog rasta popularnosti sustava koji koriste tehnologiju **jednostrukog prijavljivanja** (engl. //Single-Sign-On//) raste i popularnost ovih napada. Upravo zato je veoma važno biti **svjestan** postojanja tih napada i načina kako ih spriječiti, kako na strani **administratora** sustava, tako i na strani **korisnika** sustava. Srećom, danas postoji mnogo mehanizama koji **olakšavaju** njihovo sprječavanje, međutim nijedan od njih ga ne može **garantirati**. Budući da svaki PtH napad najčešće počinje nekom metodom //**social engineering**-a//, najslabija karika sustava, naravno, još uvijek ostaje sam **korisnik**, tj. čovjek.+**Pass the hash** napadi poprilično su opasni iz razloga što ih je **teško otkriti** i zaustaviti jer koriste **važeće** akreditacije kako bi nanijeli **štetu**. Nažalost, zbog rasta popularnosti sustava koji koriste tehnologiju **jednostrukog prijavljivanja** (engl. //Single-Sign-On//) raste i popularnost ovih napada. Upravo zato je veoma važno biti **svjestan** postojanja tih napada i načina kako ih spriječiti, kako na strani **administratora** sustava, tako i na strani **korisnika** sustava. Srećom, danas postoje mnogi mehanizmi koji **olakšavaju** njihovo sprječavanje, međutim nijedan od njih ga ne može **garantirati**. Budući da svaki PtH napad najčešće počinje nekom metodom //**social engineering**-a//, najslabija karika sustava, naravno, još uvijek ostaje sam **korisnik**, tj. čovjek.
 ===== Literatura ===== ===== Literatura =====
 [1] [[https://www.crowdstrike.com/cybersecurity-101/pass-the-hash/|Lenaerts-Bergmans, B., PASS-THE-HASH ATTACK, 24. svibnja 2023.]] [1] [[https://www.crowdstrike.com/cybersecurity-101/pass-the-hash/|Lenaerts-Bergmans, B., PASS-THE-HASH ATTACK, 24. svibnja 2023.]]
Redak 141: Redak 141:
  
 [10] [[https://www.bleepingcomputer.com/news/security/pass-the-hash-attacks-and-how-to-prevent-them-in-windows-domains/|Specops, Pass-the-Hash Attacks and How to Prevent them in Windows Domains, 27. rujna 2022.]] [10] [[https://www.bleepingcomputer.com/news/security/pass-the-hash-attacks-and-how-to-prevent-them-in-windows-domains/|Specops, Pass-the-Hash Attacks and How to Prevent them in Windows Domains, 27. rujna 2022.]]
 +
  
  
  
racfor_wiki/seminari2023/pass_the_hash_napadi_i_zastita.1705165511.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0