Sigurnost na InternetuBranko Mažar

Odjel za računalnu sigurnostCARNet

Sadržaj

• Uvod• Internetske usluge • Aktualni trendovi i statistike• Analiza prisutnih problema na Internetu i

načini učinkovite zaštite• Računalo u školi - kako osigurati računalnu

mrežu• Sigurnosna politika - potreba donošenja pravila

prihvatljivog ponašanja kao preduvjet sigurne računalne mreže

Uvod

• Veliki broj korisnika Interneta i sve veći broj usluga• U svakom trenutku je prisutno nekoliko

milijuna korisnika na Internetu• Nepažljivim korištenjem računala moguće

je ugroziti druge korisnike pa čak i počiniti kazneno djelo

• Briga o sigurnosti svojih računala briga je i o sigurnosti drugih korisnika Interneta

Uvod

• Internet – globalna računalna mreža

• Nastao na temeljima mreže ARPANET, američke računalne mreže pokrenute 1969. godine

• 2009. godine zabilježeno je 1,67 milijardi aktivnih korisnika

• Distribuirana arhitektura, ne postoji centralna kontrola Interneta

• Mnoštvo sadržaja i načina komunikacije

Internetske usluge

• Informacija: WWW (World Wide Web)• Komunikacija: e-mail, IM, VoIP, news• Razmjena datoteka: FTP, Torrent• Društvene mreže: Facebook, MySpace

World Wide Web

• Najraširenija usluga na Internetu

• Skup hipertekst dokumenata smještenih na poslužiteljima kojima se pristupa korištenjem hiperlinkova• Dokumenti mogu sadržavati

tekst, slike, glazbu, itd. • Web stranice – hipertekst

dokumenti • Svaki hiperlink omogućuje

pristup pojedinoj web stranici

Komunikacija na Internetu

• E-mail – usluga razmjene poruka elektroničke pošte• Outlook Express, Thunderbird• Webmail: CARNet webmail, Gmail, Yahoo…

• Instant Messaging – razmjena tekstualnih poruka i datoteka u stvarnom vremenu• Skype, Yahoo! Messanger, ICQ…

Društvene mreže

• Društvene mreže čine pojedinci međusobno povezani nekim interesom• Prijateljstvo, uvjerenja, hobi, posao, škola

• Povezanost se uglavnom ostvaruje putem web stranica

• Najpopularnije društvene mreže su Facebook i MySpace

Trenutno sanje • Veliki broj elektroničkih uređaja s mogućnostima povezivanja i IP komunikacije– Foto aparati, mobiteli,

digitalne kamere, prijenosna računala

• Rastući broj komunikacijskih tehnologija – GSM, GPRS, UMTS,

WiMAX, xDSL, FTTH• Veliki broj dostupnih e-

commerce usluga • Sve veći broj korisnika

Aktualni trendovi

• Izvori sigurnosnih problema• Ilegalni poslužitelji • Aktualni oblici napada• Geografska rasprostranjenost napada• Pokazatelji za naredno razdoblje

Izvori problema

• Predvode zemlje s najrazvijenijom informacijskom infrastrukturom i najvećim brojem korisnika Interneta

• Veliki utjecaj zastupljenosti broadband tehnologija kod kućnih korisnika (xDSL, kabel, WiMAX)

• 31% svih oblika napada dolazi iz Sjedinjenih Američkih Država

• 10% napada – Kina

Izvori problema

Načini izvođenja ilegalnih radnji• Udaljeno kontrolirana osobna računala i ilegalni poslužitelji• Ilegalni poslužitelji:• Udomljavanje lažiranih web stranica, pohranjivanje i

razmjena ukradenih podataka, razmjena malicioznog koda, informacija o propustima te pokretanje napada

• Korištenjem tehnika anonimiziranja vrlo se teško detektiraju• Najtraženiji podaci:• Brojevi kreditnih i debitnih kartica• Korisnička imena i zaporke• Programske ranjivosti

• Prema procjeni Symanteca, 86% kreditnih i debitnih kartica dostupnih na crnom tržištu izdano je od strane banaka u SAD-u

Ciljevi napada

• Većina napada se izvodi putem kompromitiranih sustava• širokopojasni pristup Internetu kućnih korisnika (ADSL,

kabelski pristup …)• kompromitirane mreže pojedinih organizacija

• Akademska i obrazovna zajednica je pri vrhu ciljeva napada• Razlozi: veliki broj korisnika, slobodnije sigurnosne

postavke – lakša zloupotreba sustava• Mreže obrazovnih ustanova nisu krajnji cilj napada

već se kompromitirana računala koriste za izvođenje daljnjih napada

Kompromitirano računalo

• Napadačima nije u interesu onesposobiti kompromitirano računalo

• Najčešće postaje dio botneta – mreže zaraženih računala pod kontrolom napadača

• Koristi se za daljnje izvođenje napada• Širenje spama,

kompromitacija drugih računala u lokalnoj mreži te daljnje širenje zlonamjernog koda

Primjer iz prakse: Zaraženo računaloReturn-Path: <BertaalbumRudd@realclearpolitics.com>Received: from rly-dc08.mx.aol.com (rly-dc08.mail.aol.com[172.19.136.37]) by air-dc03.mail.aol.com (v121_r2.12) with ESMTP idMAILINDC034-b3848bcdcfb3d7; Tue, 02 Sep 2008 02:28:26 -0400Received: from skola(skola-za-primjer-prijave-incidenta.skole.carnet.hr[193.198.112.256]) by rly-dc08.mx.aol.com (v121_r2.11) with ESMTP idMAILRELAYINDC084-b3848bcdcfb3d7; Tue, 02 Sep 2008 02:28:12 -0400Message-ID: 015601c90cc5$110f3630$3128ac0a@skolaFrom: "Juliette Jacob" <BertaalbumRudd@realclearpolitics.com>Subject: Buy ViagraDate: Tue, 2 Sep 2008 08:27:53 -0100MIME-Version: 1.0Content-Type: text/plain;

format=flowed;charset="iso-8859-1";reply-type=original

Content-Transfer-Encoding: 7bitX-Priority: 3X-MSMail-Priority: NormalX-Mailer: Microsoft Outlook Express 6.00.2800.1106X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106X-AOL-IP: 193.198.112.256X-AOL-SCOLL-AUTHENTICATION: listenair ; SPF_helo : nX-AOL-SCOLL-AUTHENTICATION: listenair ; SPF_822_from : n

Primjer iz prakse: Promet sa zaraženog računala

Date flow start Duration Prot Src IP:Port Dst IP:Port Pkts Bytes Flows 2008-09-01 09:25:31.872 81557.603 0 193.198.112.287.0:0 -> 0.0.0.0:25 5.3M 1.1G 448012 2008-09-01 09:51:12.141 15106.946 0 193.198.112.293.0:0 -> 0.0.0.0:25 581 29234 177 2008-09-01 08:55:15.897 22340.197 0 193.198.116.486.0:0 -> 0.0.0.0:25 2894 226574 95 2008-09-01 08:16:12.119 67701.570 0 193.198.112.263.0:0 -> 0.0.0.0:25 1509 1.8M 29 2008-09-01 08:33:48.810 84543.802 0 193.198.112.482.0:0 -> 0.0.0.0:25 761 752731 26 2008-09-01 08:08:27.612 20695.549 0 193.198.112.484.0:0 -> 0.0.0.0:25 7189 9.3M 26 2008-09-01 11:20:15.689 72184.598 0 193.198.116.481.0:0 -> 0.0.0.0:25 1863 2.2M 26 2008-09-01 08:44:10.500 81123.616 0 193.198.112.488.0:0 -> 0.0.0.0:25 7407 9.6M 24 2008-09-01 08:40:09.990 82742.096 0 193.198.112.509.0:0 -> 0.0.0.0:25 1392 1.7M 20 2008-09-01 08:17:03.254 85635.437 0 193.198.116.482.0:0 -> 0.0.0.0:25 4195 5.3M 19 2008-09-01 08:53:52.890 81594.651 0 193.198.116.266.0:0 -> 0.0.0.0:25 749 441985 19 2008-09-01 08:04:21.403 24632.146 0 193.198.112.264.0:0 -> 0.0.0.0:25 156 50063 13 2008-09-01 12:35:02.865 69808.053 0 193.198.116.285.0:0 -> 0.0.0.0:25 232 238900 8 2008-09-01 08:08:59.932 84615.482 0 193.198.112.274.0:0 -> 0.0.0.0:25 927 1.1M 8 2008-09-01 12:38:03.408 5952.822 0 193.198.112.273.0:0 -> 0.0.0.0:25 282 309063 8 2008-09-01 08:15:57.524 35503.502 0 193.198.116.493.0:0 -> 0.0.0.0:25 307 328352 8 2008-09-01 14:26:14.332 62830.538 0 193.198.112.486.0:0 -> 0.0.0.0:25 1118 1.4M 7 2008-09-01 09:18:20.968 25623.105 0 193.198.112.284.0:0 -> 0.0.0.0:25 3843 5.1M 7 2008-09-01 09:02:35.826 19444.239 0 193.198.116.260.0:0 -> 0.0.0.0:25 352 409246 6 2008-09-01 12:17:18.234 69680.506 0 193.198.116.487.0:0 -> 0.0.0.0:25 343 425071 6

total flows: 448633, total bytes: 1.1 G, total packets: 5.4 M, avg bps: 112366, avg pps: 65, avg bpp: 215 Time window: 2008-09-01 07:33:43 - 2008-09-02 08:04:56

Najkorištenije usluge, problemi i mjere zaštite

• WWW• Spam• Zlonamjerni programi• Komunikacija • Chat• Socijalne mreže• Krađa identiteta

WWW

• Najraširenija usluga na Internetu• Mnoštvo korisnih web stranica• Zlonamjerne web stranice• Web stranice s propustima

Propusti na web stranicama

• Korisničke pogreške prilikom programiranja• Web stranice napravljene u često korištenim

programskim jezicima su predmet ispitivanja propusta

• PHP – jednostavan i često korišten programski jezik za izradu web stranica

• Propusti u CMS sustavima• Poznati propusti koji nisu pravovremeno

ispravljeni• Drupal, Joomla – najčešći CMS sustavi

Spam

• Neželjena elektronička pošta• Oko 80% ukupnog e-mail prometa• Najčešći načini širenja spama:• Zaraženo računalo s aktivnim SMTP

poslužiteljem• Kompromitiran webmail korisnički račun –

sve češći način širenja spama

Spam – detekcija• Detekcija spama se temelji na

prepoznavanju specifičnih uzoraka u sadržaju e-mail poruka

• Analiza e-mail poruka se radi korištenjem matematičkih algoritama za raspoznavanje uzoraka

• Nakon primjene algoritma svaka poruka dobiva određenu ocjenu

• Sve poruke koje su dobile ocjenu iznad određenog praga bivaju proglašene kao spam

Spam – sprečavanje širenja• Black liste• DNSBL – DNS black lista• Blokiranje pojedinih IP adresa i raspona IP

adresa• Nezavisne internetske organizacije održavaju

ove black liste• Spamtrap – e-mail adrese namijenjene za

prikupljanje spama• Nisu javno oglašene pa sve e-mail poruke

poslane na njih ukazuju na ilegalne izvore pa se isti blokiraju

Zlonamjerni programi

• Skupina računalnih programa kojima je glavni cilj zloupotreba sustava

• Komunikacija s ostalim zaraženim računalima

• Zaštita se temelji na antivirusnim alatima te alatima za otkrivanje pojedinih specifičnih oblika zlonamjernih aktivnosti

• Načini širenja: web sjedišta, propusti u programima, korisnička nepažnja

Sigurna komunikacija

• Na Internetu je u svakom trenutku prisutno nekoliko stotina milijuna korisnika

• Dostupnost korisnika u kratkom vremenu• Zlonamjerni korisnici za cilj imaju

prvenstveno društvenim metodama nagovoriti druge korisnike na izvođenje određenih aktivnosti• Kopromitacija računala• Krađa identiteta

Lokalna računalna mreža• Računalna mreža s ograničenim

geografskim opsegom te s korisnicima sličnog profila• Edukacijska zajednica – učenici

• Ograničen pristup s Interneta• Ograničeni korisnički računi su preduvjet

stabilnosti lokalne mreže• Ograničen broj administratora mreže

• Javne IP adrese pojedinih računala ili jedna javna IP adresa cijele mreže – NAT

NAT – Network Address Translation• Preslikavanje svake pojedine IP adrese iz

lokalne mreže u jednu IP adresu• Privatne IP adrese u javnu IP adresu

• Nemogućnost jednoznačne identifikacije end-to-end komunikacije

• Nadzor mrežnog prometa u lokalnoj mreži• IDS • Centralizirani antivirusni nadzor• Centralizirana kontrola korisnika (Windows

domena)

IDS – Intrusion Detection System

• Proaktivna zaštita• Analiza mrežnog prometa• Analiza pojedinih računala

IDS – analiza mrežnog prometa

• Analiza mrežnog prometa i detekcija anomalija

• Prijavljivanje prepoznatih anomalija u mrežnom prometu

• Automatizirano poduzimanje akcija• Često ovakvi sustavi prijavljuju lažne

anomalije• Potreba za detaljnom prilagodbom sustava

potrebama lokalne mreže • Primjer alata: Snort

IDS – analiza pojedinih računala

• HIDS – Host intrusion detection system• Analiza log zapisa • Prepoznavanje uobičajenih problematičnih

uzoraka

Analiza log zapisa

• Učinkovita metoda sigurnosnog nadzora• Velika većina napada je u određenom trenutku vidljiva

u log zapisima:• Maliciozni GET zahtjevi na web poslužitelj• Neuspjeli pokušaji spajanja na SSH• Problemi u radu sustava

• Automatizirano praćenje log zapisa, prepoznavanje anomalija i analiza rezultata mogu dati dobar uvid u sigurnosno stanje računala

Osnove analize log zapisa

• Jasno definirati regularne događaje• Razlučiti neregularne događaje koji su rezultat

greške od onih koji predstavljaju napad• Korelirati regularne i neregularne događaje• veći broj neregularnih događaja nakon čega slijedi

jedan regularan zahtijeva pozornost• Aktivno nadograđivati popis neregularnih

događaja

OSSEC

• Open source rješenje HIDS sustava• Analiza većine popularnih formata logova• Provjera integriteta datotečnog sustava• Detekcija rootkita• Automatizirano poduzimanje zaštitnih

mjera na sustavu• Administracijsko web sučelje

Primjer pravila za analizu pristupa web stranicama

<rule id="31105" level="6"> <if_sid>31100</if_sid> <url>%3Cscript|%2Fscript|script>|script%3E|SRC=javascript|IMG%20|</url> <url>%20ONLOAD=|INPUT%20|iframe%20</url> <description>XSS (Cross Site Scripting) attempt.</description> <group>attack,</group></rule>

<rule id="31106" level="12"> <if_sid>31103, 31104, 31105</if_sid> <id>^200</id> <description>A web attack returned code 200 (success).</description> <group>attack,</group></rule>

<rule id="31103" level="6"> <if_sid>31100</if_sid> <url>='|select%20|select+|insert%20|%20from%20|%20where%20|union%20|</url> <url>union+|where+|null,null|xp_cmdshell</url> <description>SQL injection attempt.</description> <group>attack,sql_injection,</group></rule>

Centralizirani antivirusni nadzor

• Centralna konzola• Agenti na klijentskim računalima• Središnji uvid u stanje u mreži i

centralizirano provođenje akcija na klijentima

• Efikasno rješenje za mreže s većim brojem klijentskih računala • Par desetaka računala je zahtjevno za

održavati pojedinačno

Windows domena

• Kontrola korisnika• Jednoznačna identifikacija korisnika i

njihovih aktivnosti• Ne postoji potreba za zajedničkim

korisničkim računima• Automatizirano provođenje sigurnosnih

mjera, održavanja programske podrške te definiranje pravila korištenja računalnih resursa

Windows domena – centralizirano upravljanje

• Upravljanje programskom podrškom na korisničkim računalima

• Centralizirana primjena sigurnosnih nadogradnji

• Upravljanje korisničkim pravima• Primjena određenih akcija na svim

računalima• Analiza stanja računala• Obavljanje sistemskih operacija

Sigurnosna politika• Neodgovorno korisničko ponašanje je najčešći

uzrok problema• Skup pravila koja propisuju načine prihvatljivog

korištenja računalne mreže• Krovni dokument koji definira osnovne principe

prihvatljivog korištenja kao i sankcije u slučaju nepridržavanja

• Temelj za uvođenje adekvatne razine informacijske sigurnosti

• Izbjegavaju se najčešće neadekvatne “vatrogasne mjere”

Osnovni elementi sigurnosne politike

• Sigurnosna politika• Pravilnici• Pravilnik o mreži• Pravilnik o korištenju računala• Pravilnik o lozinkama• Pravilnik o prihvatljivom ponašanju

(društvene mreže, igrice, chat…)• Registar resursa s pripadajućim rizicima

Pravilnici• Detaljnije propisuju načine korištenja

pojedinih segmenata informacijskog sustava

• Specifična pravila koja proizlaze iz Sigurnosne politike

• Na primjer, pravilnik o korištenju računalnih sustava propisuje:• Minimalnu duljinu lozinke, razinu korisničkih

prava, ovlasti za instalaciju programa, korištenje prijenosnih memorijskih medija i slično

Registar resursa s pripadajućim rizicima• Potrebno je jednoznačno identificirati bitne

računalne resurse te procijeniti rizike svakog od njih

• Identificiraju se resursi koji imaju utjecaja na funkcioniranje računalnog sustava

• Primjer bitnih resursa: • Javna web stranica• Korisničko računalo• Centralni datotečni poslužitelj• Itd…

Sankcioniranje korisnika

• Svaka Sigurnosna politika definira i sankcije u slučaju ne pridržavanja pravila

• Lakši i teži prekršaji• Povreda pravila prihvatljivog korištenja• Namjerna zloupotreba računalnog sustava

CARNetove sigurnosne usluge• Provjera ranjivosti računalnih sustava• Automatiziranim i ručnim postupcima

ispituju se potencijalni problemi pojedinih računala

• Poslužiteljski elektronički certifikati• Zaštita web komunikacije

• Abuse služba• Prijava problema kojima je izvor u CARNet

mreži• Pravovremene prijave povećavaju razinu

sigurnosti ostalih korisnika CARNet mreže

Više o sigurnosti na CARNetovom webu

Hvala na pažnji!

Rasprava i pitanjaBranko Mažar

Branko.Mazar@CARNet.hrhttp://sigurnost.carnet.hr