Przestępstwa i oszustwa internetowe. Przykłady i metody obrony.

Przestępstwa i oszustwa internetowe.

Przykłady i metody obrony.

Prof. dr. hab. Piotr Bała

Wydział Matematyki i Informatyki UMK

Toruń 9.05.2001

P. BałaP. Bała WMiI UMK

2Bezpieczeństwo

safety ochrona przed

zagrożeniami „naturalnymi” (awarie)– awarie sprzętu

– błędy oprogramowania

– błędy ludzkie (np. nieumyślne skasowanie danych z dysku...)

security ochrona przed

zagrożeniami spowodowanymi wrogą działalnością ludzi


3Polityka Bezpieczeństwa określa:

Przedmiot ochrony i priorytety określonych obiektów Przed jakimi działaniami obiekty mają być chronione Realną szansę zagrożenia i opłacalność działań Odpowiedzialność za bezpieczeństwo Procedury i obowiązki pracowników w zakresie ochrony

obiektów (administratorzy, pracownicy) Sposoby reagowania w sytuacjach wyjątkowych Pierwszeństwo odcięcia ataku czy śledzenia Czym jest naruszenie polityki (dokładnie i szeroko) Konsekwencje wobec naruszenia polityki przez

pracownika.


4Przyczyny awarii systemów IT

55%

9%

10%2%

20%4%

Pomyłki ludzi

NiezadowolonypersonelNieuczciwy personel

Ataki z zewnątrz

Problemy fizycznychzabezpieczeńWirusy


5Replikacja systemów

Duplikowane źródła zasilania Fizyczna redundancja urządzeń Urządzenia zapasowe Klasteryzacja serwerów

– Kilka zsynchronizowanych serwerów (np. Google)

Technologia „hot swap”– Wymiana krytycznych elementów bez wyłączania

systemu• Sun, HP, IBM

Eliminacja punktów krytycznych („single point failure”)


6Niezawodność systemów

Klasa niezawodności– 99% - 3.5 dnia/rok

– 99.9% - 9 godzin/rok

– 99.99% - 50 minut/rok

Średni uptimeHP-UX 538

days

SunOS 241 days

NetWare IA32 161 days

FreeBSD 124 days

NetBSD 104 days

OpenBSD 93 days

IRIX64 86 days

Linux 78 days

Windows 19 days

Darwin 7 days


7Survival time

Internet Storm Center http://isc.sans.org/

Czas (w minutach) od instalacji systemu do jego zainfekowania


8Replikacja danych

Transakcyjne bazy danych Technologia RAID Transakcyjne systemy plików (XFS) Archiwizacja i replikacja danych

– Dyski zapasowe z aktualnym obrazem systemu– Archiwizacja danych– Archiwizacja na nośnikach zewnętrznych

• dyski, CD, DVD, taśmy

– Archiwizacja inkrementalna

Ważne dane nigdy nie powinny istnieć tylko w jednym egzemplarzu!


9Procedury archiwizacji i odzysku danych

1. Zarchiwizuj dane. Sprawdź poprawność wykonanej kopii.

2. Uwtórz plan odtwarzania danych i przećwicz go w praktyce. Lokalizacja kopii (data, typ kopii – pełna, częściowa)

Lista oprogramowania, włączając dokonywane uaktualnienia

Lokalizacja sprzętu zastępczego

3. Nie dokonuj aktualizacji systemu bez stworzenia pełnej kopii zapasowej.

4. Dokumentację systemu wraz z oryginalnymi nośnikami oprogramowania przechowuj w bezpiecznym miejscu.

5. Kasuj stare pliki (nieużywnane, poprzednie wersje).

6. Bądź przygotowany na klęski żywiołowe (archiwizacja danych w fizycznie odległych miejscach).


10Pomyłki ludzi

Odpowiedzialne za 55% awarii Problem analfabetyzmu informatycznego

– ECDL, advanced ECDL, certyfikaty

(www.pti.org)

Brak doświadczonego personelu Niski poziom firm IT w Polsce Bezrobocie strukturalne

Konieczność szkolenia pracowników


11Pomyłki ludzi

Wielokrotne sprawdzanie decyzji Ograniczony dostęp w zależności od stanowiska Archiwizacja danych Logiczne (a nie fizyczne) usuwanie danych z bazy

– Kłopoty z Ustawą o ochronie danych osobowych (wymaga fizycznego usuwania danych z bazy)

Logowanie aktywności użytkowników– Możliwość określenia kto wprowadził modyfikacje– Czynnik psychologiczny

Zabezpieczenia przed modyfikacją logów– Przesyłanie logów na dedykowany system


12Bezpieczne oprogramowanie

Korzystanie ze sprawdzonych aplikacji– aplikacje wykorzystywane są zazwyczaj kilka –

kilkanaście lat

– oprogramowanie OpenSource jest często lepiej sprawdzone

Zakup wsparcia technicznego i utrzymania oprogramowania

Stosowanie otwartych standardów wymiany danych

– dyrektywa UE

– ułatwia archiwizację i migrację danych


13Systemy zarządzania obiegiem dokumentów

BSCW....


142005 Computer Crime Survey - straty

Przestępstwa elektroniczne zaczynają być problemem

– Computer Crime Survey – po raz pierwszy w 2004 roku

639 respondents – starty $130,104,542 – Wirusy

$42,787,767

– Nieautoryzowany dostęp $31,233,100

– Kradzież informacji $30,933,000

– DOS (denial of service category) $7,310,725

– Nadużycie dostępu do sieci $6,856,45

Średnia strata $200,000


15Przyczyny powstawania strat finansowych

319

250

196

95

72

71

70

4440 9 Wirusy

Kradzież Laptopów

Nadużycie dostępu dosieciAtaki DoS

Kradzież poufnychinformacjiDostęp bez zezwolenia

Włamania do systemu

Sabotaż

Oszustwa finansowe

Oszustwatelekomunikacyjne

Źródło danych: CSI/FBI Computer Crime & Security Survey 2004


16Przestępstwa elektroniczne



17Przestępstwa elektroniczne

Brak procedur w połowie firm w USA



18Najczęściej spotykane

0 10 20 30 40 50 60 70 80

malwareDoS

SPAMnieautoryzowany dostęp (z

phishingnieautoryzowany dostęp (z

oszustwakradzież własności

kradzież informacji zastrzeżonejkradzież tożsamości

sabotażwymuszenie


19Najczęstsze ataki

Malware (szkodliwe oprogramowanie)– wirusy

Ataki DOS (Denial of Service) Spam Ataki brute force na pliki haseł i usługi Sniffing (podsłuchiwanie) Spoffing (podszywanie się) Phishing Exploitowanie usług i programów


20Szkodliwe oprogramowanie

Przechwytywanie poufnych informacji– Hasła

– Numery kart kredytowych

– Numery kont bankowych

75% programów w 50. najbardziej szkodliwych programów w I połowie 2005 roku

50% w poprzednim półroczu.

Źródło: Dziennik Internetowy www.di.com.pl 23.09.2005


21Łamanie haseł

Zasada działania– próby odgadnięcia podstawiając kolejne kombinacje

liter i znaków

– opierając się na prawdopodobieństwie hasło z 6 znaków to 24^6 kombinacji (20 000 000)

– czas przetestowania dla hasła z 6 znaków - kilka sekund

Wydajność– Wydajniejsze metody przy zastosowaniu słowników

– Wpływa: złożoność i długość hasła, oraz czas potrzebny na sprawdzenie hasła


22Przeciwdziałanie łamaniu haseł

Stosowanie długich haseł Stosowanie mocnych funkcji jedno kierunkowych

do szyfrowania haseł (MD5) Stosowanie mechanizmów blokady po określonej

ilości złych haseł Stosowanie haseł złożonych z losowych znaków

lub co najmniej jednego znaku specjalnego, cyfry, małej i wielkiej litery

Prawidłowe zabezpieczanie plików haseł


23Przeciwdziałanie łamaniu haseł

Szkolenia personelu w zakresie odpowiedzialności za hasła dostępu i sposobów ich dobierania.

Dostęp do kont tylko poprzez połączenia szyfrowane

Okresowe sprawdzanie odporności haseł na łamanie

Stosowanie podwójnych zabezpieczeń– biometryczne, karty etc.


24Inne sposoby uzyskania hasła

KeyLoggery Miniaturowe kamery video

– hasło powinno być wpisywane palcami obu rąk

Notatki– hasło nie może być zpisywane

Nieświadomi pracownicy– Podstawowy sposób uzyskiwania nieautoryzowanego

dostępu

– w Starbburks Coffe (USA) 75% osób podało hasło w zamian za kawę ($5)


25Sniffing

Zasada działania– tryb ogólny (promiscious)

– przechwytywanie i analiza pakietów

Podatność Ethernet na ten typ ataku– wspólne medium

Ogromne zagrożenie w sieciach bezprzewodowych


26Podatność na sniffing

Usługi najczęściej stosowane– FTP, HTTP, POP3, Telnet, SSH1

– wszelkie nieszyfrowane np. GG, ICQ, IRC

Należy stsosować zamienne usługi szyfrowane– SFTP, HTTPS, POP3 po SSL, SSH2

Ogromne zagrożenie w dużych sieciach i tam gdzie jest łatwość podłączenia własnego komputera

Konieczność dzielenia sieci na segmenty– Routery, switche (nie do końca skuteczne)


27Wykrywanie sniffingu

ARP test– sniffer odpowiada na pakiet jak by był do niego

zaadresowany nawet gdy MAC jest spreparowany. Wysyłamy ARP request z innym adresem MAC

Test DNS– sniffer wysyła zapytania o nazwę nadawcy

Test ICMP – icmp echo request i nieprawidłowy MAC


28Firewall

FIREWALL

Serwer plików

Serwer WWW

Serwer poczty

Skanowanie

Ataki typu „back door”

IP spoofing

Kradzież

Sabotaż

Podmiana stron www


29Firewall osobisty

W Korei Południowej każda osoba korzystająca z bankowości internetowej zobowiązana jest przez rząd do używania firewalla osobistego.

Rząd chce także przygotować własny zestaw narzędzi antyhakerskich, które będą udostępniane użytkownikom.

Planowane jest również stworzenie centralnie zarządzanego systemu uwierzytelnienia, mającego stanowić gwarancję tożsamości osoby dokonującej transakcji.

Wynikiem przeświadczenia, że obawa przed wyciekiem poufnych danych przy dokonywaniu transakcji online jest hamulcem rozwoju handlu internetowego.



30Exploity

Działanie– wykorzystanie wad oprogramowania by wykonać

własny fragment kodu

Techniki– Buffer overflow - stosowane by nad pisać adres

powrotu z funkcji i prze kierować go do wnętrza bufora.

– Kod wywołuje shell bądź wykonuje dowolne polecenia lub funkcje systemowe

– exploitowanie programów SUID lub działających w trybie jądra lub jako usługa uprzywilejowana


31Buffer Overflow

Podatne są programy korzystające z funkcji nie określających długości bufora a operują na stringach

W C++ string jest pojmowany jako ciąg znaków aż do pojawienia się ZERA

Będąc nieostrożnym można skopiować więcej niż się chciało

Częste naruszenie ochrony pamięci


32Buffer Overflow

Kod Programu

Text (statyczne)

Początek stosu

Niskie adresy (początek pamięci procesu)

Wysokie adresy

Kolejne zmienne i dane związane z wywołaniami funkcji odkładane są na stos


33Buffer Overflow

Kod Programu

Text (statyczne)

Początek stosu

bufor stos

bufor dalsze elementy stosu

Początek buforaKoniec bufora

Adres powrotu z funkcji

Overflow

Wystarczy w miejsce adresu powrotu umieścić adres początku bufora w którym jest kod wywołujący shell


34Wirusy (1)

Nimda (wrzesień 2001)– Wykorzystywał znane dziury w serwerach serwisów

internetowych i używał Outlooka oraz Outlook Expressa do dystrybuowania się poprzez e-mail.

Blaster (2003/2004)– Wykorzystano 500 000 zainfekowanych komputerów

do ataku na serwer Microsoftu


35Wirusy (2)

MyDoom (2003/2004)– 1 000 000 serwerów do ataku na SCO i Microsoft


36Wirusy (2)

Akher-F (kwiecień 2005)– Rozprzestrzenia się za pośrednictwem poczty

elektronicznej jako załącznik ZIP ("sexy clip" z udziałem Angeliny Jolie oraz Brada Pitta)

– Rozsyła się do osób z książki adresowej

– Przeprowadza atak DOS

– Cel ataku Microsoft


37Trendy w atakach

*Analiza dokonana przez Symantec Security Response na podstawie danych z Symantec, IDC & ICSA; 2002

**Źródło: CERT

0 0

200M

300M

400M

500M

600M

700M

900M

100M

800M

20,000

40,000

60,000

80,000

120,000

100,000

1995 1996 1997 1998 1999 2000 2001 2002

Ilość

ata

kó

w w

iru

sow

ych

Iloś

ć a

tak

ów

sie

cio

wy

ch

Zagrożenia hybrydowe(CodeRed, Nimda, Slammer)

Denial of Service(Yahoo!, eBay)

Wirusy „Mass Mailer”(Love Letter/Melissa)

Zombies

Wirusy polimorficzne(Tequila)

Zagrożeniawirusowe*

Ataki sieciowe**


38Wirusy w poczcie elektronicznej


39

Pojedyncze Organizacje

Regionalny

Za

się

g

PojedynczePC

Sektor

Zasięgglobalny

2000 20031990-te

Ewolucja zagrożeń

Czas

1sza gen. wirusów Indywidualne DoS Podmiana WWW

Robaki email DDoS Hacking kart kredyt.

Zagrożenia hybrydowe Limited Warhol threats DDoS wykorz. robaki Hacking infrastruktury

Przyszłe zagrożenia „Flash threats”? Rozległe DDoS wykorz. robaki? Krytyczne ataki na infrastr.?


40KLEZ dotarł wszędzie w ciągu 2.5 godz.


41Slammer dokonał tego w ciągu 10 minut!


42SQLSlammer – rozwój zagrożenia

Najszybciej rozprzestrzeniający się robak.

Ponad 90% podatnych na atak serwerów zostało zainfekowane w ciągu 10 minut.

Podwojenie liczby zainfekowanych maszyn następowało co 8.5 sekundy (dla CodeRed 37 minut).

Pierwszy robak typu “Warhol”.

Źródło:http://www.cs.berkeley.edu/~nweaver/sapphire/


43

Okno czasoweluka - zagrożenia

Pojawienie sięzagrożenia

Rozwój zagrożeń: „Day-zero Threat”

Zagrożenie day-zero threat to exploit wykorzystujący nieznaną wcześniej, a w związku z tym niezabezpieczoną lukę.

Istotny czas od wykrycia luki do opublikowania metod jej usunięcia

Wykrycie luki Czas


44Spam

Niechciane e-maile– Serwery Open relay

– Rozsyłane często z zainfekowanych serwerów

38% respondentów zetknęło się ze spamem Szacunkowo 60-70% e-maili, 50% SMSów Próba wyłudzenia pieniędzy, oferta usług i towarów

– Spam Niegeryjski

– Oferty na środki typu Viagra


45Spam


46Spam Nigeryjski

I am the Santa Claus jr, son of the famous Santa Claus from the North Pole. [..]

I have inherited a lot of toys that I have to send to some worthy individual. Of course you need to make some dwon payment to receive them, but I will tell you about it later.

Right now all you need to know is that the total value of these toys is uhhh million USD and you will get 20 percent if you agree to help me.


47Spam - przeciwdziałanie

Filtrowanie poczty– problem z detekcją spamu

Ograniczanie dostępu do serwerów pocztowych– Autoryzacja przed wysłaniem poczty

– Połączenia szyfrowane

– Blokowanie portów SMTP


48Phising

Adresat otrzymuje e-mail z prośbą o zalogowanie się na określoną stronę i uaktualnienie swoich danych oraz zmienę hasła.

Wykorzystuje nieświadomość adresata. Zazwyczaj wymagane jest podanie danych

kompletnych – nie wymaganych przez bank.


49Phising

Websense, firma zajmująca się monitoringiem internetu, ostrzega przed zmasowanymi atakami phisherów na europejskie instytucje finansowe.

Europejskie instytucje są mniejsze niż amerykańskie i podobno mają słabsze zabezpieczenia.

Tylko podczas ostatniego weekendu (15.09.2005), Websense odkryła zmasowane ataki skierowane przeciwko ponad dwudziestu europejskim bankom, głównie z Hiszpanii i Włoch.



50Inteligo - 9.02.2005

Mail z konta: [email protected] Wezwanie do zalogowania się na stronę:

www.inteligobank.friko.pl

Podobne akcje: CitiBank – styczeń 2004


najgroźniejszy phishing - farming

nasz komputer

WWW

DNS

fałszywe

WWW


55Skan portów

Przestępstwa i oszustwa internetowe. Przykłady i metody obrony.

Documents

Transcript of Przestępstwa i oszustwa internetowe. Przykłady i metody obrony.