Varna uporaba interneta

Akademska in raziskovalna mreža Slovenije

1

Varna uporaba internetaVarna uporaba interneta

Gorazd BožičSI-CERT, ARNES, Jamova 39, [email protected]

SAFE.SI projekt, Prireditev “Otroški bazar”, Ljubljana, 15. 9. 2006


2

Pregled predavanjaPregled predavanja

ranljivosti in motivi

možni preventivni ukrepi

ukrepi po incidentu

zaključek


3

Nivoji ranljivostiNivoji ranljivosti

strojna oprema

operacijski sistem

BIOS

aplikacija

uporabnik


4

Šum v ozadjuŠum v ozadju

Apr 16 15:03:29.339239 219.146.177.175.80 > AA.BB.CC.DD.31030: S 1025052374:1025052374(0) Apr 16 17:09:49.428737 153.5.24.121.2339 > AA.BB.CC.DD.1433: S 1678550349:1678550349(0) win 65535Apr 16 17:09:52.347699 153.5.24.121.2339 > AA.BB.CC.DD.1433: S 1678550349:1678550349(0) win 65535Apr 16 17:12:33.828489 204.16.208.104.56946 > AA.BB.CC.DD.1026: udp 345 (DF)Apr 16 17:12:33.828678 204.16.208.104.56946 > AA.BB.CC.DD.1027: udp 345 (DF)Apr 16 17:12:33.888182 204.16.208.104.56946 > AA.BB.CC.DD.1027: udp 345 (DF)Apr 16 17:14:34.153327 204.16.208.111.49854 > AA.BB.CC.DD.1026: udp 417 (DF)Apr 16 17:14:34.153491 204.16.208.111.49854 > AA.BB.CC.DD.1027: udp 417 (DF)Apr 16 17:16:50.472032 12.102.208.104.0 > AA.BB.CC.DD.1025: udp 315Apr 16 17:16:50.473429 12.102.208.104.0 > AA.BB.CC.DD.1026: udp 315Apr 16 17:21:30.410291 218.27.194.67.49779 > AA.BB.CC.DD.1026: udp 900 (DF)Apr 16 17:21:30.410454 218.27.194.67.49779 > AA.BB.CC.DD.1027: udp 900 (DF)Apr 16 17:40:09.332529 218.27.194.66.59865 > AA.BB.CC.DD.1026: udp 900 (DF)Apr 16 17:40:09.333966 218.27.194.66.59865 > AA.BB.CC.DD.1027: udp 900 (DF)Apr 16 17:40:47.358476 204.16.208.111.49854 > AA.BB.CC.DD.1026: udp 417 (DF)Apr 16 17:40:47.358639 204.16.208.111.49854 > AA.BB.CC.DD.1027: udp 417 (DF)Apr 16 18:06:41.707050 204.16.208.111.49854 > AA.BB.CC.DD.1026: udp 417 (DF)Apr 16 18:06:41.707264 204.16.208.111.49854 > AA.BB.CC.DD.1027: udp 417 (DF)

Napad na MS SQL strežnik

Običajen spletni promet? Ne, 219.146.177.175 je vir prometa in ne cilj!

Kdo je 219.146.177.175?

inetnum: 219.146.0.0 - 219.147.31.255netname: CHINATELECOM-sddescr: CHINANET shandong province networkdescr: China Telecomdescr: No.31,jingrong streetdescr: Beijing 100032country: CN

Podtaknjene “reklame”


5

Socialni inženiringSocialni inženiring

Registrant: JT McGinty 426 Bougainvillea St NW Palm Bay, Florida 32907 United States

Administrative Contact: McGinty, JT [email protected] 426 Bougainvillea St NW Palm Bay, Florida 32907 United States (321) 674-9555 Fax --

Argentina


6

PhishingPhishing


7

Motivi vdiranjaMotivi vdiranja

dokaz znanja, premoči

maščevanje

vandalizem– razobličenje spletnih strani– uničevanje podatkov

skrivanje svojega izvora (IRC “bouncer”)

gmotna in drugačna neposredna korist– nameščanje botneta za spam– DDoS napadi ali vdor v rivalski BitTorrent tracker– igralni strežniki


8

Primer motivaPrimer motiva

[ 14:02:16 ] [ @Bl4cky ] PLISS KDO VE: jaz bi rabo nek virus :D za učitelco da bi ji poslal neki po mailu pa bi ona to odprla in bi se ji naloil virus in bi jaz lahko pol dostopil do njenih podatkov ? :DDD[ 14:02:17 ] [ @SeNcA ] JUMP DA FUCK UP[ 14:02:17 ] [ @Bl4cky ] :DDDDDD[ 14:02:20 ] [ @Bl4cky ] rabim test[ 14:02:23 ] [ @Bl4cky ] in ga ima na pcju[ 14:02:26 ] [ @SeNcA ] bl4cky[ 14:02:29 ] [ @SeNcA ] ownaj boxo[ 14:02:29 ] [ @SeNcA ] :D[ 14:02:33 ] [ @Bl4cky ] lol[ 14:02:34 ] [ @Bl4cky ] če ima[ 14:02:35 ] [ @Bl4cky ] arne[ 14:02:36 ] [ @Bl4cky ] s:[ 14:02:36 ] [ @SeNcA ] ja[ 14:02:37 ] [ @SeNcA ] :D[ 14:02:37 ] [ @Bl4cky ] :D[ 14:02:39 ] [ @SeNcA ] lol[ 14:02:40 ] [ @Bl4cky ] pa sploh ne irca[ 14:02:41 ] [ @SeNcA ] lamerks[ 14:02:42 ] [ @SeNcA ] lamerka*[ 14:02:43 ] [ @Bl4cky ] preko maila


9

Plačaj, ali pa … (TeŽaK)Plačaj, ali pa … (TeŽaK)

[TeŽaK]: maš jurja štirosto[TeŽaK]: ?------------: 1000 mam[TeŽaK]: juter [TeŽaK]: v sql da daš[TeŽaK]: 400 pa ko boš mel[TeŽaK]: ok?

[13:01:21] [TeŽaK] http: zaj bo zlodej brez neta :P[13:01:30] ------------: zakaj[13:01:37] [TeŽaK] http: sej oš vido[13:01:38] [TeŽaK] http: ;D[13:01:50] [TeŽaK] http: pa tebe bom tud dal če do pondelka ne vrneš keša[13:01:57] [TeŽaK] http: pol pa boš tak dolgo brez dokler neboš dal :S[13:02:09] [TeŽaK] http: ok?[13:02:14] ------------: hahahahaha[13:02:18] ------------: daj naprej zlodeja da vidimo[13:02:22] [TeŽaK] http: ja[13:02:25] [TeŽaK] http: sam mal da še zrihtam[13:02:29] [TeŽaK] http: upam da bo do dan zvečera[13:02:38] [TeŽaK] http: resno ti pravim stari[13:02:41] [TeŽaK] http: ker ko nastaviš 1x[13:02:48] [TeŽaK] http: bol težko da jih ustaviš[13:02:50] [TeŽaK] http: da nebojo več :S

[19:20:34] ------------: s kom si bil na pici?[19:20:42] [TeŽaK]: starimi skom pa[19:20:46] ------------: aja[19:20:47] ------------: nvm[19:20:51] [TeŽaK]: debil[19:20:52] ------------: vprašam[19:21:31] [TeŽaK]: ma kupla dnet? 450 botkov.... na 1 mesec 3k vsak mesec da vsa 1500 lahk frend zrihta drugače prite 8-10k.. tebe sm z 30 DDOSO pa te je v momentu sfukalo je pa še jih 450 gor!!!!!! jaojao[19:21:32] [TeŽaK]: ka to dela[19:21:36] [TeŽaK]: ma kupla?[19:21:49] ------------: ja[19:21:51] ------------: jas bi ne[19:21:54] ------------: ok[19:21:59] ------------: se ma v šoli zmenla[19:22:02] [TeŽaK]: ja[19:22:02] ------------: grem cod igrat[19:22:07] ------------: na ghost clan server[19:22:07] [TeŽaK]: loool ajde[19:22:09] ------------: brb

[18:04:42] Martin: kwa je zdaj ti n00b?[18:04:46] -------: kaj[18:04:49] Martin: a bo keš?[18:04:52] Martin: pička ti čorava…[18:06:13] -------: sam v čem je finta da nas dosaš[18:06:16] Martin: k bom kr dosnu[18:06:26] Martin: kwa v čem?[18:06:29] Martin: ker niste keš poslali…[18:06:50] -------: če pa naprej smo lahk igrali[18:06:55] -------: pol pa kr da mormo plačat[18:06:58] -------: neja mormo kr tak hitro[18:07:30] -------: ja komu te naj dam dnar[18:07:40] Martin: ma tale tžak te sploh ni ddoso kak 1 tedn ko sploh…[18:10:26] Martin: v pondelek da daš tžaku[18:10:37] Martin: oz. bom kr dau dosat…[18:11:19] Martin: k ste v januarju sam vi igrlai[18:11:22] Martin: mi nč[18:11:23] Martin: tk da[18:11:31] -------: ja zakaj niste prej rekli


10

TeŽaK je res podjetenTeŽaK je res podjeten

Date: XX Feb 2006 18:05:10 To: [email protected]: XXXXXXXX <[email protected]>

Pozdravljeni!

Imam ponudbo. Zasačo sem več ddosnetov in ker vem da to ni prav sem se odločil da bom prijavo na arnes. Sem tip, ki sem zelo proti 'heckanju' in 'ddosanju' in zato takšne ljudi tudi prijavlam. Sedaj pa me nekaj zanima. Kakšno nagrado bi lahko dobil, če bi vam izdal par serverjov in ljudi za katere sem 100% da imajo te zadeve, ker bi te ljudi zlahka najdli tudi če bi jih nadzorovali do 5dni!Nagrade bi lahko bile takšne:2mb paket za 1 leto ali denarna valuta.Upam da se boste pogovorili z šefom arnesa in sklenli kako boste. Če se boste strinjali vam lahko jaz prvi izdam podatke o teh ljudeh in nato daste nagrado.

Date: XX Feb 2006 18:05:10 To: [email protected]: XXXXXXXX <[email protected]>

Pozdravljeni!

Imam ponudbo. Zasačo sem več ddosnetov in ker vem da to ni prav sem se odločil da bom prijavo na arnes. Sem tip, ki sem zelo proti 'heckanju' in 'ddosanju' in zato takšne ljudi tudi prijavlam. Sedaj pa me nekaj zanima. Kakšno nagrado bi lahko dobil, če bi vam izdal par serverjov in ljudi za katere sem 100% da imajo te zadeve, ker bi te ljudi zlahka najdli tudi če bi jih nadzorovali do 5dni!Nagrade bi lahko bile takšne:2mb paket za 1 leto ali denarna valuta.Upam da se boste pogovorili z šefom arnesa in sklenli kako boste. Če se boste strinjali vam lahko jaz prvi izdam podatke o teh ljudeh in nato daste nagrado.


11

Preventivni ukrepiPreventivni ukrepi

filtriranje prometa– požarni zid za celotno omrežje– programski požarni zid na vsakem namizju

pregledovanje podatkov– pregled pošte na poštnem strežniku– pregled spletne komunikacije (anti-spyware)– protivirusni in proti-oglasni/protivohunski program

omejevanje izhodnega prometa– preusmerjanje prometa preko spletnega posrednika– dovoljeno pošiljanje pošte le preko lokalnega strežnika


12

Točke ščitenjaTočke ščitenja

VoIP

strežnik

usmerjevalnik

požarni zid

požarni zid za celotno omrežje

vsaka delovna postaja: avtomatska

posodabljanja (možna centralizacija),

programski požarni zid, protivirusni program, “antispy” programje

notranje širjenje okužb

zunanjinapad

druge naprave na omrežju

VoIP in videokonferenčne

naprave

spam/virusni filtripreusmeritev prometa čez

posrednika (proxy) in filtriranje izhodne pošte; zaznava okužb


13

Po incidentuPo incidentu

ocena stanjamožni ukrepi– hitra sanacija stanja– zbiranje dodatnih podatkov– omejevanje škode

prijava incidenta ([email protected])identifikacija vira napada

… zametek varnostne politike?


14

Načrt dopustne uporabeNačrt dopustne uporabe

zaščitni ukrepi

opis dopustne uporabe

možni ukrepi– tehnični (reakcija in ocena bodočega tveganja) – vzgojni (vnaprej znani)

podpora vodstva ustanove– problem rednega vzdrževanja (nevolunterskega!)


15

Zaščita pred samim sebojZaščita pred samim seboj

namerne objave– sodelovanje v forumih– objava osebnih podatkov– zloraba zasebnih podatkov

podatki, ki jih pošiljamo nevede– iskalni nizi (skupaj s piškotki in stalnimi IP naslovi)– spletne aplikacije– parazitno programje


16

ViriViri

http://www.arnes.si/si-cert/

http://www.arnes.si/si-cert/zascita.html

http://www.microsoft.com/slovenija/varnost/default.mspx

http://www.tldp.org/HOWTO/Security-HOWTO/+ posebej za vašo distribucijo

http://www.cert.org/nav/allpubs.html


17

Kaj pa filtriranje vsebin!?Kaj pa filtriranje vsebin!?

faktor “kačje sline”– kaj pravzaprav želimo preprečiti– kako pridemo do želenega rezultata– privlačnost “one click” rešitve

vprašljivi rezultati– sprotni vpis naslovov?– “inteligentne” metode so še dokaj neumne– lokalne vsebine niso zajete v tujih produktih

kombinirana rešitev verjetno najboljša

Varna uporaba interneta

Documents

Transcript of Varna uporaba interneta