Post on 16-Jan-2016
description
Przestępstwa i oszustwa internetowe.
Przykłady i metody obrony.
Prof. dr. hab. Piotr Bała
Wydział Matematyki i Informatyki UMK
Toruń 9.05.2001
P. BałaP. Bała WMiI UMK
2Bezpieczeństwo
safety ochrona przed
zagrożeniami „naturalnymi” (awarie)– awarie sprzętu
– błędy oprogramowania
– błędy ludzkie (np. nieumyślne skasowanie danych z dysku...)
security ochrona przed
zagrożeniami spowodowanymi wrogą działalnością ludzi
P. BałaP. Bała WMiI UMK
3Polityka Bezpieczeństwa określa:
Przedmiot ochrony i priorytety określonych obiektów Przed jakimi działaniami obiekty mają być chronione Realną szansę zagrożenia i opłacalność działań Odpowiedzialność za bezpieczeństwo Procedury i obowiązki pracowników w zakresie ochrony
obiektów (administratorzy, pracownicy) Sposoby reagowania w sytuacjach wyjątkowych Pierwszeństwo odcięcia ataku czy śledzenia Czym jest naruszenie polityki (dokładnie i szeroko) Konsekwencje wobec naruszenia polityki przez
pracownika.
P. BałaP. Bała WMiI UMK
4Przyczyny awarii systemów IT
55%
9%
10%2%
20%4%
Pomyłki ludzi
NiezadowolonypersonelNieuczciwy personel
Ataki z zewnątrz
Problemy fizycznychzabezpieczeńWirusy
P. BałaP. Bała WMiI UMK
5Replikacja systemów
Duplikowane źródła zasilania Fizyczna redundancja urządzeń Urządzenia zapasowe Klasteryzacja serwerów
– Kilka zsynchronizowanych serwerów (np. Google)
Technologia „hot swap”– Wymiana krytycznych elementów bez wyłączania
systemu• Sun, HP, IBM
Eliminacja punktów krytycznych („single point failure”)
P. BałaP. Bała WMiI UMK
6Niezawodność systemów
Klasa niezawodności– 99% - 3.5 dnia/rok
– 99.9% - 9 godzin/rok
– 99.99% - 50 minut/rok
Średni uptimeHP-UX 538
days
SunOS 241 days
NetWare IA32 161 days
FreeBSD 124 days
NetBSD 104 days
OpenBSD 93 days
IRIX64 86 days
Linux 78 days
Windows 19 days
Darwin 7 days
P. BałaP. Bała WMiI UMK
7Survival time
Internet Storm Center http://isc.sans.org/
Czas (w minutach) od instalacji systemu do jego zainfekowania
P. BałaP. Bała WMiI UMK
8Replikacja danych
Transakcyjne bazy danych Technologia RAID Transakcyjne systemy plików (XFS) Archiwizacja i replikacja danych
– Dyski zapasowe z aktualnym obrazem systemu– Archiwizacja danych– Archiwizacja na nośnikach zewnętrznych
• dyski, CD, DVD, taśmy
– Archiwizacja inkrementalna
Ważne dane nigdy nie powinny istnieć tylko w jednym egzemplarzu!
P. BałaP. Bała WMiI UMK
9Procedury archiwizacji i odzysku danych
1. Zarchiwizuj dane. Sprawdź poprawność wykonanej kopii.
2. Uwtórz plan odtwarzania danych i przećwicz go w praktyce. Lokalizacja kopii (data, typ kopii – pełna, częściowa)
Lista oprogramowania, włączając dokonywane uaktualnienia
Lokalizacja sprzętu zastępczego
3. Nie dokonuj aktualizacji systemu bez stworzenia pełnej kopii zapasowej.
4. Dokumentację systemu wraz z oryginalnymi nośnikami oprogramowania przechowuj w bezpiecznym miejscu.
5. Kasuj stare pliki (nieużywnane, poprzednie wersje).
6. Bądź przygotowany na klęski żywiołowe (archiwizacja danych w fizycznie odległych miejscach).
P. BałaP. Bała WMiI UMK
10Pomyłki ludzi
Odpowiedzialne za 55% awarii Problem analfabetyzmu informatycznego
– ECDL, advanced ECDL, certyfikaty
(www.pti.org)
Brak doświadczonego personelu Niski poziom firm IT w Polsce Bezrobocie strukturalne
Konieczność szkolenia pracowników
P. BałaP. Bała WMiI UMK
11Pomyłki ludzi
Wielokrotne sprawdzanie decyzji Ograniczony dostęp w zależności od stanowiska Archiwizacja danych Logiczne (a nie fizyczne) usuwanie danych z bazy
– Kłopoty z Ustawą o ochronie danych osobowych (wymaga fizycznego usuwania danych z bazy)
Logowanie aktywności użytkowników– Możliwość określenia kto wprowadził modyfikacje– Czynnik psychologiczny
Zabezpieczenia przed modyfikacją logów– Przesyłanie logów na dedykowany system
P. BałaP. Bała WMiI UMK
12Bezpieczne oprogramowanie
Korzystanie ze sprawdzonych aplikacji– aplikacje wykorzystywane są zazwyczaj kilka –
kilkanaście lat
– oprogramowanie OpenSource jest często lepiej sprawdzone
Zakup wsparcia technicznego i utrzymania oprogramowania
Stosowanie otwartych standardów wymiany danych
– dyrektywa UE
– ułatwia archiwizację i migrację danych
P. BałaP. Bała WMiI UMK
13Systemy zarządzania obiegiem dokumentów
BSCW....
P. BałaP. Bała WMiI UMK
142005 Computer Crime Survey - straty
Przestępstwa elektroniczne zaczynają być problemem
– Computer Crime Survey – po raz pierwszy w 2004 roku
639 respondents – starty $130,104,542 – Wirusy
$42,787,767
– Nieautoryzowany dostęp $31,233,100
– Kradzież informacji $30,933,000
– DOS (denial of service category) $7,310,725
– Nadużycie dostępu do sieci $6,856,45
Średnia strata $200,000
P. BałaP. Bała WMiI UMK
15Przyczyny powstawania strat finansowych
319
250
196
95
72
71
70
4440 9 Wirusy
Kradzież Laptopów
Nadużycie dostępu dosieciAtaki DoS
Kradzież poufnychinformacjiDostęp bez zezwolenia
Włamania do systemu
Sabotaż
Oszustwa finansowe
Oszustwatelekomunikacyjne
Źródło danych: CSI/FBI Computer Crime & Security Survey 2004
P. BałaP. Bała WMiI UMK
16Przestępstwa elektroniczne
Źródło danych: CSI/FBI Computer Crime & Security Survey 2005
P. BałaP. Bała WMiI UMK
17Przestępstwa elektroniczne
Brak procedur w połowie firm w USA
Źródło danych: CSI/FBI Computer Crime & Security Survey 2005
P. BałaP. Bała WMiI UMK
18Najczęściej spotykane
0 10 20 30 40 50 60 70 80
malwareDoS
SPAMnieautoryzowany dostęp (z
phishingnieautoryzowany dostęp (z
oszustwakradzież własności
kradzież informacji zastrzeżonejkradzież tożsamości
sabotażwymuszenie
P. BałaP. Bała WMiI UMK
19Najczęstsze ataki
Malware (szkodliwe oprogramowanie)– wirusy
Ataki DOS (Denial of Service) Spam Ataki brute force na pliki haseł i usługi Sniffing (podsłuchiwanie) Spoffing (podszywanie się) Phishing Exploitowanie usług i programów
P. BałaP. Bała WMiI UMK
20Szkodliwe oprogramowanie
Przechwytywanie poufnych informacji– Hasła
– Numery kart kredytowych
– Numery kont bankowych
75% programów w 50. najbardziej szkodliwych programów w I połowie 2005 roku
50% w poprzednim półroczu.
Źródło: Dziennik Internetowy www.di.com.pl 23.09.2005
P. BałaP. Bała WMiI UMK
21Łamanie haseł
Zasada działania– próby odgadnięcia podstawiając kolejne kombinacje
liter i znaków
– opierając się na prawdopodobieństwie hasło z 6 znaków to 24^6 kombinacji (20 000 000)
– czas przetestowania dla hasła z 6 znaków - kilka sekund
Wydajność– Wydajniejsze metody przy zastosowaniu słowników
– Wpływa: złożoność i długość hasła, oraz czas potrzebny na sprawdzenie hasła
P. BałaP. Bała WMiI UMK
22Przeciwdziałanie łamaniu haseł
Stosowanie długich haseł Stosowanie mocnych funkcji jedno kierunkowych
do szyfrowania haseł (MD5) Stosowanie mechanizmów blokady po określonej
ilości złych haseł Stosowanie haseł złożonych z losowych znaków
lub co najmniej jednego znaku specjalnego, cyfry, małej i wielkiej litery
Prawidłowe zabezpieczanie plików haseł
P. BałaP. Bała WMiI UMK
23Przeciwdziałanie łamaniu haseł
Szkolenia personelu w zakresie odpowiedzialności za hasła dostępu i sposobów ich dobierania.
Dostęp do kont tylko poprzez połączenia szyfrowane
Okresowe sprawdzanie odporności haseł na łamanie
Stosowanie podwójnych zabezpieczeń– biometryczne, karty etc.
P. BałaP. Bała WMiI UMK
24Inne sposoby uzyskania hasła
KeyLoggery Miniaturowe kamery video
– hasło powinno być wpisywane palcami obu rąk
Notatki– hasło nie może być zpisywane
Nieświadomi pracownicy– Podstawowy sposób uzyskiwania nieautoryzowanego
dostępu
– w Starbburks Coffe (USA) 75% osób podało hasło w zamian za kawę ($5)
P. BałaP. Bała WMiI UMK
25Sniffing
Zasada działania– tryb ogólny (promiscious)
– przechwytywanie i analiza pakietów
Podatność Ethernet na ten typ ataku– wspólne medium
Ogromne zagrożenie w sieciach bezprzewodowych
P. BałaP. Bała WMiI UMK
26Podatność na sniffing
Usługi najczęściej stosowane– FTP, HTTP, POP3, Telnet, SSH1
– wszelkie nieszyfrowane np. GG, ICQ, IRC
Należy stsosować zamienne usługi szyfrowane– SFTP, HTTPS, POP3 po SSL, SSH2
Ogromne zagrożenie w dużych sieciach i tam gdzie jest łatwość podłączenia własnego komputera
Konieczność dzielenia sieci na segmenty– Routery, switche (nie do końca skuteczne)
P. BałaP. Bała WMiI UMK
27Wykrywanie sniffingu
ARP test– sniffer odpowiada na pakiet jak by był do niego
zaadresowany nawet gdy MAC jest spreparowany. Wysyłamy ARP request z innym adresem MAC
Test DNS– sniffer wysyła zapytania o nazwę nadawcy
Test ICMP – icmp echo request i nieprawidłowy MAC
P. BałaP. Bała WMiI UMK
28Firewall
FIREWALL
Serwer plików
Serwer WWW
Serwer poczty
Skanowanie
Ataki typu „back door”
IP spoofing
Kradzież
Sabotaż
Podmiana stron www
P. BałaP. Bała WMiI UMK
29Firewall osobisty
W Korei Południowej każda osoba korzystająca z bankowości internetowej zobowiązana jest przez rząd do używania firewalla osobistego.
Rząd chce także przygotować własny zestaw narzędzi antyhakerskich, które będą udostępniane użytkownikom.
Planowane jest również stworzenie centralnie zarządzanego systemu uwierzytelnienia, mającego stanowić gwarancję tożsamości osoby dokonującej transakcji.
Wynikiem przeświadczenia, że obawa przed wyciekiem poufnych danych przy dokonywaniu transakcji online jest hamulcem rozwoju handlu internetowego.
Źródło: Dziennik Internetowy www.di.com.pl 23.09.2005
P. BałaP. Bała WMiI UMK
30Exploity
Działanie– wykorzystanie wad oprogramowania by wykonać
własny fragment kodu
Techniki– Buffer overflow - stosowane by nad pisać adres
powrotu z funkcji i prze kierować go do wnętrza bufora.
– Kod wywołuje shell bądź wykonuje dowolne polecenia lub funkcje systemowe
– exploitowanie programów SUID lub działających w trybie jądra lub jako usługa uprzywilejowana
P. BałaP. Bała WMiI UMK
31Buffer Overflow
Podatne są programy korzystające z funkcji nie określających długości bufora a operują na stringach
W C++ string jest pojmowany jako ciąg znaków aż do pojawienia się ZERA
Będąc nieostrożnym można skopiować więcej niż się chciało
Częste naruszenie ochrony pamięci
P. BałaP. Bała WMiI UMK
32Buffer Overflow
Kod Programu
Text (statyczne)
Początek stosu
Niskie adresy (początek pamięci procesu)
Wysokie adresy
Kolejne zmienne i dane związane z wywołaniami funkcji odkładane są na stos
P. BałaP. Bała WMiI UMK
33Buffer Overflow
Kod Programu
Text (statyczne)
Początek stosu
bufor stos
bufor dalsze elementy stosu
Początek buforaKoniec bufora
Adres powrotu z funkcji
Overflow
Wystarczy w miejsce adresu powrotu umieścić adres początku bufora w którym jest kod wywołujący shell
P. BałaP. Bała WMiI UMK
34Wirusy (1)
Nimda (wrzesień 2001)– Wykorzystywał znane dziury w serwerach serwisów
internetowych i używał Outlooka oraz Outlook Expressa do dystrybuowania się poprzez e-mail.
Blaster (2003/2004)– Wykorzystano 500 000 zainfekowanych komputerów
do ataku na serwer Microsoftu
P. BałaP. Bała WMiI UMK
35Wirusy (2)
MyDoom (2003/2004)– 1 000 000 serwerów do ataku na SCO i Microsoft
P. BałaP. Bała WMiI UMK
36Wirusy (2)
Akher-F (kwiecień 2005)– Rozprzestrzenia się za pośrednictwem poczty
elektronicznej jako załącznik ZIP ("sexy clip" z udziałem Angeliny Jolie oraz Brada Pitta)
– Rozsyła się do osób z książki adresowej
– Przeprowadza atak DOS
– Cel ataku Microsoft
P. BałaP. Bała WMiI UMK
37Trendy w atakach
*Analiza dokonana przez Symantec Security Response na podstawie danych z Symantec, IDC & ICSA; 2002
**Źródło: CERT
0 0
200M
300M
400M
500M
600M
700M
900M
100M
800M
20,000
40,000
60,000
80,000
120,000
100,000
1995 1996 1997 1998 1999 2000 2001 2002
Ilość
ata
kó
w w
iru
sow
ych
Iloś
ć a
tak
ów
sie
cio
wy
ch
Zagrożenia hybrydowe(CodeRed, Nimda, Slammer)
Denial of Service(Yahoo!, eBay)
Wirusy „Mass Mailer”(Love Letter/Melissa)
Zombies
Wirusy polimorficzne(Tequila)
Zagrożeniawirusowe*
Ataki sieciowe**
P. BałaP. Bała WMiI UMK
38Wirusy w poczcie elektronicznej
P. BałaP. Bała WMiI UMK
39
Pojedyncze Organizacje
Regionalny
Za
się
g
PojedynczePC
Sektor
Zasięgglobalny
2000 20031990-te
Ewolucja zagrożeń
Czas
1sza gen. wirusów Indywidualne DoS Podmiana WWW
Robaki email DDoS Hacking kart kredyt.
Zagrożenia hybrydowe Limited Warhol threats DDoS wykorz. robaki Hacking infrastruktury
Przyszłe zagrożenia „Flash threats”? Rozległe DDoS wykorz. robaki? Krytyczne ataki na infrastr.?
P. BałaP. Bała WMiI UMK
40KLEZ dotarł wszędzie w ciągu 2.5 godz.
P. BałaP. Bała WMiI UMK
41Slammer dokonał tego w ciągu 10 minut!
P. BałaP. Bała WMiI UMK
42SQLSlammer – rozwój zagrożenia
Najszybciej rozprzestrzeniający się robak.
Ponad 90% podatnych na atak serwerów zostało zainfekowane w ciągu 10 minut.
Podwojenie liczby zainfekowanych maszyn następowało co 8.5 sekundy (dla CodeRed 37 minut).
Pierwszy robak typu “Warhol”.
Źródło:http://www.cs.berkeley.edu/~nweaver/sapphire/
P. BałaP. Bała WMiI UMK
43
Okno czasoweluka - zagrożenia
Pojawienie sięzagrożenia
Rozwój zagrożeń: „Day-zero Threat”
Zagrożenie day-zero threat to exploit wykorzystujący nieznaną wcześniej, a w związku z tym niezabezpieczoną lukę.
Istotny czas od wykrycia luki do opublikowania metod jej usunięcia
Wykrycie luki Czas
P. BałaP. Bała WMiI UMK
44Spam
Niechciane e-maile– Serwery Open relay
– Rozsyłane często z zainfekowanych serwerów
38% respondentów zetknęło się ze spamem Szacunkowo 60-70% e-maili, 50% SMSów Próba wyłudzenia pieniędzy, oferta usług i towarów
– Spam Niegeryjski
– Oferty na środki typu Viagra
P. BałaP. Bała WMiI UMK
45Spam
P. BałaP. Bała WMiI UMK
46Spam Nigeryjski
I am the Santa Claus jr, son of the famous Santa Claus from the North Pole. [..]
I have inherited a lot of toys that I have to send to some worthy individual. Of course you need to make some dwon payment to receive them, but I will tell you about it later.
Right now all you need to know is that the total value of these toys is uhhh million USD and you will get 20 percent if you agree to help me.
P. BałaP. Bała WMiI UMK
47Spam - przeciwdziałanie
Filtrowanie poczty– problem z detekcją spamu
Ograniczanie dostępu do serwerów pocztowych– Autoryzacja przed wysłaniem poczty
– Połączenia szyfrowane
– Blokowanie portów SMTP
P. BałaP. Bała WMiI UMK
48Phising
Adresat otrzymuje e-mail z prośbą o zalogowanie się na określoną stronę i uaktualnienie swoich danych oraz zmienę hasła.
Wykorzystuje nieświadomość adresata. Zazwyczaj wymagane jest podanie danych
kompletnych – nie wymaganych przez bank.
P. BałaP. Bała WMiI UMK
49Phising
Websense, firma zajmująca się monitoringiem internetu, ostrzega przed zmasowanymi atakami phisherów na europejskie instytucje finansowe.
Europejskie instytucje są mniejsze niż amerykańskie i podobno mają słabsze zabezpieczenia.
Tylko podczas ostatniego weekendu (15.09.2005), Websense odkryła zmasowane ataki skierowane przeciwko ponad dwudziestu europejskim bankom, głównie z Hiszpanii i Włoch.
Źródło: Dziennik Internetowy www.di.com.pl 23.09.2005
P. BałaP. Bała WMiI UMK
50Inteligo - 9.02.2005
Mail z konta: inteligobank@go2.pl Wezwanie do zalogowania się na stronę:
www.inteligobank.friko.pl
Podobne akcje: CitiBank – styczeń 2004
P. BałaP. Bała WMiI UMK
P. BałaP. Bała WMiI UMK
P. BałaP. Bała WMiI UMK
P. BałaP. Bała WMiI UMK
najgroźniejszy phishing - farming
nasz komputer
WWW
DNS
fałszywe
WWW
P. BałaP. Bała WMiI UMK
55Skan portów