Materiały dla uczestników

Ochrona pracownika biurowego
przed atakami internetowymi
1. Cyberprzestępstwo – przestępstwo popełnione za pomocą komputera, sieci
lub sprzętu komputerowego.
Komputer lub urządzenie może być przyczyną, pośrednikiem lub celem
przestępstwa. (Symantec)
2. Rada Unii Europejskiej przyjęła strategię Komisji Europejskiej, dotyczącą walki
z cyberprzestępczością. Strategia zaleca podjęcie serii środków operacyjnych,
jak powołanie do życia tzw. "Cyberpatroli", wspólnych drużyn śledczych w
Internecie oraz osobnych jednostek badawczych, które zostałyby
zaangażowane do walki z cyberprzestępczością w następnych pięciu latach.
Strategia Komisji Europejskiej wprowadza również konkretne rozwiązania
bliższej współpracy i wymiany informacji pomiędzy organami wymiaru
sprawiedliwości a jednostkami sektora prywatnego.
3. Botnet - sieć współdziałających ze sobą
komputerów, które wykonują polecenia zadawane przez osobę kontrolującą.
Różni się on jednak od np. systemu klastrowego tym podłączane są
podstępnie i tajnie, a sami użytkownicy tych komputerów są w większości
przypadków nieświadomi współuczestnictwa w procederze
Scentralizowany botnet
Zdecentralizowany botnet
Staytystyki
Metody infekcji
•
•
•
•
SQL injection
Komunikatory internetowe
Podejrzane strony
Atak słownikowy
(123456, haslo, qwerty, 12345, abc123, test)
Wynajem:
~ 700 zł - xx 000 maszyn
1000 - 2 500 zł - x00 000 maszyn
Spam to niechciane lub niepotrzebne wiadomości elektroniczne
Istotą spamu jest rozsyłanie dużej ilości informacji o jednakowej treści do nieznanych
sobie osób. Nie ma znaczenia, jaka jest treść tych wiadomości.
Aby określić wiadomość mianem spamu, musi ona spełnić trzy następujące warunki
jednocześnie:
Treść wiadomości jest niezależna od tożsamości odbiorcy.
Odbiorca nie wyraził uprzedniej, zamierzonej zgody na otrzymanie tej wiadomości.
Treść wiadomości daje podstawę do przypuszczeń, iż nadawca wskutek
jej
wysłania może odnieść zyski nieproporcjonalne w stosunku do korzyści odbiorcy.
Medycyna – 75%
Podróbki – 20%
Phishing – 4%
Wirusy ~ 1%
Pierwszy spam: 3 maja 1978
● Aktualnie: 75% - 95% wiadomości to SPAM
● ok. 150 miliardów dziennie
● 75% SPAMu – ok. 3 sieci botnet
● 90% SPAMu – ok. 7 sieci botnet
PHISHING - wyłudzanie poufnych informacji osobistych (np. haseł lub szczegółów
karty kredytowej) przez podszywanie się pod godną zaufania osobę lub instytucję,
której te informacje są pilnie potrzebne. Jest to rodzaj ataku opartego na inżynierii
społecznej. (Wikipedia)
UWAGA !!! ŚWIĘTA !!!
Jak donosi AVG Technologies, prawie 75% internautów bez zastanowienia otwiera
elektroniczne kartki, jeśli tylko w polu nadawca widnieje imię i nazwisko znanej im
osoby.
Jeżeli jedynie 0,1% wysłanych w tym roku elektronicznych kartek z życzeniami
będzie zarażonych wirusem lub złośliwym kodem, oznaczać to będzie dziesiątki
tysięcy zainfekowanych komputerów.
Phishing – a klienci banków
Do tej pory rozpoznano 175 000 zagrożeń czyhających na użytkowników Androida.
Przewidywania wskazują, że w przyszłym roku będzie ich już ćwierć miliona.
DDOS - (ang. Distributed Denial of Service) - atak na system komputerowy lub
usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich
wolnych zasobów, przeprowadzany równocześnie z wielu komputerów (np. zombie).
Atak DDoS jest odmianą ataku DOS polegającą na jednoczesnym atakowaniu ofiary
z wielu miejsc. Służą do tego najczęściej komputery, nad którymi przejęto kontrolę
przy użyciu specjalnego oprogramowania (Wikipedia)
Skimming to przestępstwo polegające na nielegalnym skopiowaniu zawartości
paska magnetycznego karty płatniczej bez wiedzy jej posiadacza w celu wytworzenia
kopii i wykonywania nieuprawnionych płatności za towary i usługi, lub wypłat z
bankomatów.
Ponieważ skopiowana karta w systemach elektronicznych-bankowych zachowuje się
jak karta oryginalna, wszystkie operacje wykonane przy jej pomocy odbywają się
kosztem posiadacza oryginalnej karty i obciążają jego rachunek.
Szczególnie często skimming zdarza się w barach, restauracjach i na stacjach
benzynowych oraz wszędzie tam gdzie, karta znika choćby na chwile z pola widzenia
klienta. Karta jest kopiowana przez sprzedawcę, który współpracuje z przestępcami
lub sam jest przestępcą.
CLICKJACKING - cyberprzestępca może wymusić kliknięcie dowolnego obiektu na
odpowiednio spreparowanej stronie, mimo że użytkownik nic nie będzie o tym
wiedział. Podatność ta dotyczy wszystkich znaczących przeglądarek: Mozilla
Firefoksa, Internet Explorera, Safari, Opery oraz wtyczki Adobe Flash. To
„fundamentalny błąd w sposobie, w jaki przeglądarka działa”, i nie można go
rozwiązać za pomocą prostej łatki.
Trojan – polega na zaaplikowaniu dedykowanego oprogramowania na komputerzeofierze, które pozwala krakerowi na zdalną kontrolę. Z reguły takie konie trojańskie
po uruchomieniu nasłuchują połączeń przychodzących od agresora, aczkolwiek nic
nie stoi na przeszkodzie, aby komunikowały się one w inny sposób – choćby przez
IRCa czy Gadu-Gadu – wtedy są onę klientami w rozumowaniu sieciowym;
Exploity – są to metody wykorzystujące dziury w oprogramowaniu, które często
pozwalają na wstrzyknięcie i uruchomienie obcego kodu. Ataki tego typu należą do
najniebezpieczniejszych, bowiem teoretycznie narażone są aplikacje uruchomione z
konta uprzywilejowanego użytkownika, z reguły jednak serwisy działają pod
ograniczonymi uprawnieniami, co więcej znalezienie takiej luki jest trudne, a jeśli do
tego dojdzie, to wadliwe oprogramowanie jest łatane
Najczęstsze błędy konfigurowania sieci bezprzewodowych:
•
•
•
•
•
włączone rozgłaszanie ESSID (Extended Service Set ID) na koncentratorze
(AP) - agresor może poznać nazwę naszej sieci co umożliwia mu łatwe
podpięcie się do jej zasobów
brak szyfrowania włączenie szyfrowania połączeń radiowych powoduje 1015% spadek ich wydajności, jednak dzięki temu agresor będzie musiał
poświecić kilkadziesiąt godzin na złamanie klucza szyfrującego i co
ważniejsze odrzuci to ponad 90% włamań przez użytkowników mało
doświadczonych (tzw. Włamania przypadkowe)
szyfrowanie WEP
Punkty dostępowe (AP) często są pozostawiane bez haseł lub z hasłami, które
są wprowadzane fabrycznie przez producenta urządzenia
AP często są podłączane bezpośrednio do sieci LAN w budynku bez
żadnego zabezpieczenia (firewall), co w przypadku złamania zabezpieczeń
sieci Wi-Fi automatycznie daje włamywaczowi dostęp do sieci LAN np.: w
firmie.
Man-in-the-Middle – atak ten w odróżnieniu od poprzednich nie polega na
wywołaniu bezpośredniej szkody w komputerze ofiary, lecz na podszyciu się pod nią,
polega on na preparowaniu pakietów sieciowych w ten sposób, aby wyglądały one
jak wysłane z innego, konkretnego hosta.
Sniffing – polega na przechwyceniu pakietów sieciowych przez agresora.
W przypadku nieszyfrowanych protokołów może to oznaczać np. przechwycenie
hasła lub innych poufnych informacji.
Serwer pośredniczący – oprogramowanie lub serwer z odpowiednim
oprogramowaniem, które dokonuje pewnych operacji (zwykle nawiązuje połączenia)
w imieniu użytkownika.
Ataki socjotechniczne (ang. social engineering) - to działania prowadzące do
uzyskania dostępu do informacji i danych poufnych o firmie, poprzez pozyskanie
zaufania pracowników firmy lub uzyskanie dostępu do nieupoważnionych czynności.
O atakach tego typu często można się przekonać w momencie, gdy z firmy zostaną
skradzione ważne informacje lub gdy po jakimś czasie okazuje się, iż oferty
konkurencji są zawsze lepsze od naszych.
Celem działań tego typu jest często manipulacja ludźmi dla korzyści hackera,
pozyskanie hasła, kodów dostępu, czy informacji o osobach odpowiedzialnych za
bezpieczeństwo w firmie i ciągłość jej funkcjonowania, a także o elementach
zabezpieczeń czy nawet procesów produkcji.
Przeciwdziałanie:
W obliczu bardzo powszechnego zagrożenia, jakim są ataki socjotechniczne
profilaktyka wydaje się być nieuniknionym celem zarządu firmy. Z racji charakteru
tego typu ataków, główne ryzyko wiąże się z brakiem świadomością ludzi
zatrudnionych w firmie o podawanych publicznie informacjach. Przeciwdziałanie
atakom socjotechnicznym wymusza często także ustalenia odpowiednich procedur
szybkiego reagowania.
Zabezpieczenia techniczne:
Na całym świecie nie znaleziono jeszcze jak dotąd żadnych zabezpieczeń
technicznych umożliwiających w skuteczny sposób wyeliminowanie ataków
socjotechnicznych. Podstawowym aspektem są w przypadku tego typu zagrożeń
szkolenia uświadamiające najsłabsze ogniwo w łańcuchu bezpieczeństwa firmy - a
więc ludzi, w tym pracowników firmy i współpracowników.
PAMIĘTAJ !!!
1.
Hasła nigdy nie mogą identyfikować użytkownika
2.
Staraj się układać hasła w taki sposób aby nie znajdowały się w żadnym
słowniku
3.
Nigdy nie wchodź przez linki na „znane” strony podesłane przez nieznanych
nadawców
4.
Nie odpowiadaj na SPAM
5.
Nigdzie nie podawaj publicznie swojego adresu e-mail. Jeśli musisz go
gdzieś umieścić staraj się zmienić go tak, aby roboty sieciowe go nie wyłapały.
6.
Nigdy nie udostępniaj osobom trzecim swojego identyfikatora, haseł czy
kodu autoryzacyjnego, nie podawaj ich również na nieszyfrowanych stronach
oraz innych niż strony Banku.
7.
Nigdy nie zostaniesz poproszony przez bank o podanie pełnego hasła
maskowanego.
8.
Zawsze zwracaj uwagę, czy adresy stron logowania (gdzie wpisujesz
identyfikator użytkownika i następnie hasło) widoczne w pasku adresowym są
poprawne, czy są poprzedzone zapisem „https”.
9.
Nie instaluj dodatkowych zabezpieczeń w postaci tzw. certyfikatów esecurity.
10.
Bank nigdy nie wymaga od Ciebie instalowania
oprogramowania do korzystania z bankowości internetowej.
dodatkowego
Opracował Dyrektor Laboratorium
Informatyki Kryminalistycznej
mgr inż. Daniel Suchocki