Varna uporaba interneta
description
Transcript of Varna uporaba interneta
Akademska in raziskovalna mreža Slovenije
1
Varna uporaba internetaVarna uporaba interneta
Gorazd BožičSI-CERT, ARNES, Jamova 39, [email protected]
SAFE.SI projekt, Prireditev “Otroški bazar”, Ljubljana, 15. 9. 2006
Akademska in raziskovalna mreža Slovenije
2
Pregled predavanjaPregled predavanja
ranljivosti in motivi
možni preventivni ukrepi
ukrepi po incidentu
zaključek
Akademska in raziskovalna mreža Slovenije
3
Nivoji ranljivostiNivoji ranljivosti
strojna oprema
operacijski sistem
BIOS
aplikacija
uporabnik
Akademska in raziskovalna mreža Slovenije
4
Šum v ozadjuŠum v ozadju
Apr 16 15:03:29.339239 219.146.177.175.80 > AA.BB.CC.DD.31030: S 1025052374:1025052374(0) Apr 16 17:09:49.428737 153.5.24.121.2339 > AA.BB.CC.DD.1433: S 1678550349:1678550349(0) win 65535Apr 16 17:09:52.347699 153.5.24.121.2339 > AA.BB.CC.DD.1433: S 1678550349:1678550349(0) win 65535Apr 16 17:12:33.828489 204.16.208.104.56946 > AA.BB.CC.DD.1026: udp 345 (DF)Apr 16 17:12:33.828678 204.16.208.104.56946 > AA.BB.CC.DD.1027: udp 345 (DF)Apr 16 17:12:33.888182 204.16.208.104.56946 > AA.BB.CC.DD.1027: udp 345 (DF)Apr 16 17:14:34.153327 204.16.208.111.49854 > AA.BB.CC.DD.1026: udp 417 (DF)Apr 16 17:14:34.153491 204.16.208.111.49854 > AA.BB.CC.DD.1027: udp 417 (DF)Apr 16 17:16:50.472032 12.102.208.104.0 > AA.BB.CC.DD.1025: udp 315Apr 16 17:16:50.473429 12.102.208.104.0 > AA.BB.CC.DD.1026: udp 315Apr 16 17:21:30.410291 218.27.194.67.49779 > AA.BB.CC.DD.1026: udp 900 (DF)Apr 16 17:21:30.410454 218.27.194.67.49779 > AA.BB.CC.DD.1027: udp 900 (DF)Apr 16 17:40:09.332529 218.27.194.66.59865 > AA.BB.CC.DD.1026: udp 900 (DF)Apr 16 17:40:09.333966 218.27.194.66.59865 > AA.BB.CC.DD.1027: udp 900 (DF)Apr 16 17:40:47.358476 204.16.208.111.49854 > AA.BB.CC.DD.1026: udp 417 (DF)Apr 16 17:40:47.358639 204.16.208.111.49854 > AA.BB.CC.DD.1027: udp 417 (DF)Apr 16 18:06:41.707050 204.16.208.111.49854 > AA.BB.CC.DD.1026: udp 417 (DF)Apr 16 18:06:41.707264 204.16.208.111.49854 > AA.BB.CC.DD.1027: udp 417 (DF)
Napad na MS SQL strežnik
Običajen spletni promet? Ne, 219.146.177.175 je vir prometa in ne cilj!
Kdo je 219.146.177.175?
inetnum: 219.146.0.0 - 219.147.31.255netname: CHINATELECOM-sddescr: CHINANET shandong province networkdescr: China Telecomdescr: No.31,jingrong streetdescr: Beijing 100032country: CN
Podtaknjene “reklame”
Akademska in raziskovalna mreža Slovenije
5
Socialni inženiringSocialni inženiring
Registrant: JT McGinty 426 Bougainvillea St NW Palm Bay, Florida 32907 United States
Administrative Contact: McGinty, JT [email protected] 426 Bougainvillea St NW Palm Bay, Florida 32907 United States (321) 674-9555 Fax --
Argentina
Akademska in raziskovalna mreža Slovenije
6
PhishingPhishing
Akademska in raziskovalna mreža Slovenije
7
Motivi vdiranjaMotivi vdiranja
dokaz znanja, premoči
maščevanje
vandalizem– razobličenje spletnih strani– uničevanje podatkov
skrivanje svojega izvora (IRC “bouncer”)
gmotna in drugačna neposredna korist– nameščanje botneta za spam– DDoS napadi ali vdor v rivalski BitTorrent tracker– igralni strežniki
Akademska in raziskovalna mreža Slovenije
8
Primer motivaPrimer motiva
[ 14:02:16 ] [ @Bl4cky ] PLISS KDO VE: jaz bi rabo nek virus :D za učitelco da bi ji poslal neki po mailu pa bi ona to odprla in bi se ji naloil virus in bi jaz lahko pol dostopil do njenih podatkov ? :DDD[ 14:02:17 ] [ @SeNcA ] JUMP DA FUCK UP[ 14:02:17 ] [ @Bl4cky ] :DDDDDD[ 14:02:20 ] [ @Bl4cky ] rabim test[ 14:02:23 ] [ @Bl4cky ] in ga ima na pcju[ 14:02:26 ] [ @SeNcA ] bl4cky[ 14:02:29 ] [ @SeNcA ] ownaj boxo[ 14:02:29 ] [ @SeNcA ] :D[ 14:02:33 ] [ @Bl4cky ] lol[ 14:02:34 ] [ @Bl4cky ] če ima[ 14:02:35 ] [ @Bl4cky ] arne[ 14:02:36 ] [ @Bl4cky ] s:[ 14:02:36 ] [ @SeNcA ] ja[ 14:02:37 ] [ @SeNcA ] :D[ 14:02:37 ] [ @Bl4cky ] :D[ 14:02:39 ] [ @SeNcA ] lol[ 14:02:40 ] [ @Bl4cky ] pa sploh ne irca[ 14:02:41 ] [ @SeNcA ] lamerks[ 14:02:42 ] [ @SeNcA ] lamerka*[ 14:02:43 ] [ @Bl4cky ] preko maila
Akademska in raziskovalna mreža Slovenije
9
Plačaj, ali pa … (TeŽaK)Plačaj, ali pa … (TeŽaK)
[TeŽaK]: maš jurja štirosto[TeŽaK]: ?------------: 1000 mam[TeŽaK]: juter [TeŽaK]: v sql da daš[TeŽaK]: 400 pa ko boš mel[TeŽaK]: ok?
[13:01:21] [TeŽaK] http: zaj bo zlodej brez neta :P[13:01:30] ------------: zakaj[13:01:37] [TeŽaK] http: sej oš vido[13:01:38] [TeŽaK] http: ;D[13:01:50] [TeŽaK] http: pa tebe bom tud dal če do pondelka ne vrneš keša[13:01:57] [TeŽaK] http: pol pa boš tak dolgo brez dokler neboš dal :S[13:02:09] [TeŽaK] http: ok?[13:02:14] ------------: hahahahaha[13:02:18] ------------: daj naprej zlodeja da vidimo[13:02:22] [TeŽaK] http: ja[13:02:25] [TeŽaK] http: sam mal da še zrihtam[13:02:29] [TeŽaK] http: upam da bo do dan zvečera[13:02:38] [TeŽaK] http: resno ti pravim stari[13:02:41] [TeŽaK] http: ker ko nastaviš 1x[13:02:48] [TeŽaK] http: bol težko da jih ustaviš[13:02:50] [TeŽaK] http: da nebojo več :S
[19:20:34] ------------: s kom si bil na pici?[19:20:42] [TeŽaK]: starimi skom pa[19:20:46] ------------: aja[19:20:47] ------------: nvm[19:20:51] [TeŽaK]: debil[19:20:52] ------------: vprašam[19:21:31] [TeŽaK]: ma kupla dnet? 450 botkov.... na 1 mesec 3k vsak mesec da vsa 1500 lahk frend zrihta drugače prite 8-10k.. tebe sm z 30 DDOSO pa te je v momentu sfukalo je pa še jih 450 gor!!!!!! jaojao[19:21:32] [TeŽaK]: ka to dela[19:21:36] [TeŽaK]: ma kupla?[19:21:49] ------------: ja[19:21:51] ------------: jas bi ne[19:21:54] ------------: ok[19:21:59] ------------: se ma v šoli zmenla[19:22:02] [TeŽaK]: ja[19:22:02] ------------: grem cod igrat[19:22:07] ------------: na ghost clan server[19:22:07] [TeŽaK]: loool ajde[19:22:09] ------------: brb
[18:04:42] Martin: kwa je zdaj ti n00b?[18:04:46] -------: kaj[18:04:49] Martin: a bo keš?[18:04:52] Martin: pička ti čorava…[18:06:13] -------: sam v čem je finta da nas dosaš[18:06:16] Martin: k bom kr dosnu[18:06:26] Martin: kwa v čem?[18:06:29] Martin: ker niste keš poslali…[18:06:50] -------: če pa naprej smo lahk igrali[18:06:55] -------: pol pa kr da mormo plačat[18:06:58] -------: neja mormo kr tak hitro[18:07:30] -------: ja komu te naj dam dnar[18:07:40] Martin: ma tale tžak te sploh ni ddoso kak 1 tedn ko sploh…[18:10:26] Martin: v pondelek da daš tžaku[18:10:37] Martin: oz. bom kr dau dosat…[18:11:19] Martin: k ste v januarju sam vi igrlai[18:11:22] Martin: mi nč[18:11:23] Martin: tk da[18:11:31] -------: ja zakaj niste prej rekli
Akademska in raziskovalna mreža Slovenije
10
TeŽaK je res podjetenTeŽaK je res podjeten
Date: XX Feb 2006 18:05:10 To: [email protected]: XXXXXXXX <[email protected]>
Pozdravljeni!
Imam ponudbo. Zasačo sem več ddosnetov in ker vem da to ni prav sem se odločil da bom prijavo na arnes. Sem tip, ki sem zelo proti 'heckanju' in 'ddosanju' in zato takšne ljudi tudi prijavlam. Sedaj pa me nekaj zanima. Kakšno nagrado bi lahko dobil, če bi vam izdal par serverjov in ljudi za katere sem 100% da imajo te zadeve, ker bi te ljudi zlahka najdli tudi če bi jih nadzorovali do 5dni!Nagrade bi lahko bile takšne:2mb paket za 1 leto ali denarna valuta.Upam da se boste pogovorili z šefom arnesa in sklenli kako boste. Če se boste strinjali vam lahko jaz prvi izdam podatke o teh ljudeh in nato daste nagrado.
Date: XX Feb 2006 18:05:10 To: [email protected]: XXXXXXXX <[email protected]>
Pozdravljeni!
Imam ponudbo. Zasačo sem več ddosnetov in ker vem da to ni prav sem se odločil da bom prijavo na arnes. Sem tip, ki sem zelo proti 'heckanju' in 'ddosanju' in zato takšne ljudi tudi prijavlam. Sedaj pa me nekaj zanima. Kakšno nagrado bi lahko dobil, če bi vam izdal par serverjov in ljudi za katere sem 100% da imajo te zadeve, ker bi te ljudi zlahka najdli tudi če bi jih nadzorovali do 5dni!Nagrade bi lahko bile takšne:2mb paket za 1 leto ali denarna valuta.Upam da se boste pogovorili z šefom arnesa in sklenli kako boste. Če se boste strinjali vam lahko jaz prvi izdam podatke o teh ljudeh in nato daste nagrado.
Akademska in raziskovalna mreža Slovenije
11
Preventivni ukrepiPreventivni ukrepi
filtriranje prometa– požarni zid za celotno omrežje– programski požarni zid na vsakem namizju
pregledovanje podatkov– pregled pošte na poštnem strežniku– pregled spletne komunikacije (anti-spyware)– protivirusni in proti-oglasni/protivohunski program
omejevanje izhodnega prometa– preusmerjanje prometa preko spletnega posrednika– dovoljeno pošiljanje pošte le preko lokalnega strežnika
Akademska in raziskovalna mreža Slovenije
12
Točke ščitenjaTočke ščitenja
VoIP
strežnik
usmerjevalnik
požarni zid
požarni zid za celotno omrežje
vsaka delovna postaja: avtomatska
posodabljanja (možna centralizacija),
programski požarni zid, protivirusni program, “antispy” programje
notranje širjenje okužb
zunanjinapad
druge naprave na omrežju
VoIP in videokonferenčne
naprave
spam/virusni filtripreusmeritev prometa čez
posrednika (proxy) in filtriranje izhodne pošte; zaznava okužb
Akademska in raziskovalna mreža Slovenije
13
Po incidentuPo incidentu
ocena stanjamožni ukrepi– hitra sanacija stanja– zbiranje dodatnih podatkov– omejevanje škode
prijava incidenta ([email protected])identifikacija vira napada
… zametek varnostne politike?
Akademska in raziskovalna mreža Slovenije
14
Načrt dopustne uporabeNačrt dopustne uporabe
zaščitni ukrepi
opis dopustne uporabe
možni ukrepi– tehnični (reakcija in ocena bodočega tveganja) – vzgojni (vnaprej znani)
podpora vodstva ustanove– problem rednega vzdrževanja (nevolunterskega!)
Akademska in raziskovalna mreža Slovenije
15
Zaščita pred samim sebojZaščita pred samim seboj
namerne objave– sodelovanje v forumih– objava osebnih podatkov– zloraba zasebnih podatkov
podatki, ki jih pošiljamo nevede– iskalni nizi (skupaj s piškotki in stalnimi IP naslovi)– spletne aplikacije– parazitno programje
Akademska in raziskovalna mreža Slovenije
16
ViriViri
http://www.arnes.si/si-cert/
http://www.arnes.si/si-cert/zascita.html
http://www.microsoft.com/slovenija/varnost/default.mspx
http://www.tldp.org/HOWTO/Security-HOWTO/+ posebej za vašo distribucijo
http://www.cert.org/nav/allpubs.html
Akademska in raziskovalna mreža Slovenije
17
Kaj pa filtriranje vsebin!?Kaj pa filtriranje vsebin!?
faktor “kačje sline”– kaj pravzaprav želimo preprečiti– kako pridemo do želenega rezultata– privlačnost “one click” rešitve
vprašljivi rezultati– sprotni vpis naslovov?– “inteligentne” metode so še dokaj neumne– lokalne vsebine niso zajete v tujih produktih
kombinirana rešitev verjetno najboljša