Ciemna strona mocy / Internetu
Transkrypt
Ciemna strona mocy / Internetu
2014-07-01 Ciemna strona mocy / Internetu Człowiek – najlepsza inwestycja Projekt współfinansowany ze środków Unii europejskiej W ramach Europejskiego Funduszu Społecznego http://eng.letscc.net/detail.php?idx=233442&k=vader http://eng.letscc.net/detail.php?idx=233445&k=anakin%20skywalker Kompetentny e-Nauczyciel Ciemna strona mocy / Internetu Adam Mizerski: Audytor, biegły sądowy, rzeczoznawca Izby Rzeczoznawców PTI a także ekspert z obszaru informatyki w zakresie wyceny środków trwałych oraz wartości niematerialnych i prawnych. V-ce prezes Oddziału Górnośląskiego PTI oraz członek Zarządu Głównego PTI. Pasjonat bezpieczeństwa (co współpracownicy nazywają obsesją) oraz metod (PN-ISO/IEC 27005:2010/Risk IT/COSO) oceny zintegrowanej analizy ryzyka, Główny Administrator Bezpieczeństwa Systemów oraz „karbowy XXI wieku” czyli szef działu IT. 1 2014-07-01 Ciemna strona mocy / Internetu Agenda: • Botnety, trojany i inne „wredne paskudztwa” • WiFi Hacking / WiFi WarDriving • DNS Spoofing / DNS Poisoning Ciemna strona mocy / Internetu Atak http://eng.letscc.net/detail.php?idx=233437&k=sword http://eng.letscc.net/detail.php?idx=233437&k=sword Obrona 2 2014-07-01 Ciemna strona mocy / Internetu Potwór z Loch Ness sfotografowany przez satelity? http://wiadomosci.dziennik.pl/nauka/artykuly/456689,czy-to-potwor-z-loch-ness-zobacz-satelitarne-zdjecia-z-apple-maps-i-googlemaps.html http://wiadomosci.gazeta.pl/wiadomosci/1,114871,15829112,Potwor_z_Loch_Ness_sfotografowany_przez_satelity_.html Ciemna strona mocy / Internetu Atak / Obrona : Botnety Botnet – grupa komputerów zainfekowanych złośliwym oprogramowaniem (np. robakiem) pozostającym w ukryciu przed użytkownikiem ipozwalającym jego twórcy na sprawowanie zdalnej kontroli nad wszystkimi komputerami w ramach botnetu. Kontrola ta pozwala na zdalne rozsyłanie spamu oraz inne ataki z użyciem zainfekowanych komputerów. http://eng.letscc.net/detail.php?idx=97357&k=botnet http://pl.wikipedia.org/wiki/Botnet_(bezpiecze%C5%84stwo_komputerowe) Botnety posiadają potężną moc obliczeniową. Stanowią potężną cyberbroń i skuteczne narzędzie do nielegalnego zarabiania pieniędzy. Właściciel botnetu może kontrolować komputery tworzące sieć z dowolnego miejsca na świecie - z innego miasta, państwa, a nawet kontynentu. Internet jest skonstruowany w taki sposób, że możliwe jest kontrolowanie botnetu anonimowo. Źródło: http://www.securelist.pl/analysis/5859,biznes_botnetowy.html 3 2014-07-01 Ciemna strona mocy / Internetu Atak / Obrona : Botnety 2010: Stuxnet Działający w systemie Windows robak komputerowy, po raz pierwszy wykryty w czerwcu 2010. Jest pierwszym znanym robakiem używanym do szpiegowania i przeprogramowywania instalacji przemysłowych. Zawierał rootkit na system Windows, pierwszy w historii PLC rootkit. Wykorzystywał też wiele luk 0-day. Wirus miał zdolność aktualizacji metodą peer-to-peer. 2011: Duqu Język następcy Stuxneta, Duqu odkrytego we wrześniu 2011 roku, był zagadką dla analityków bezpieczeństwa Kaspersky Lab przez ponad pół roku. Niewiadomymi były również użyty do scalenia modułów wirusa kompilator a także typu szkieletu, na jakim oparto całe rozwiązanie Duqu. W lutym 2012 roku poprosili oni o pomoc na forach internetowych Ciemna strona mocy / Internetu Atak / Obrona : Botnety 2012: Flame Karspersky Lab dokonał dogłębnej analizy aktywności wirusa Flame, który niepostrzeżenie przez kilka ostatnich lat rozprzestrzeniał się przy pomocy domen rejestrowanych z wykorzystaniem fałszywych tożsamości. Infrastruktura wirusa była przenoszoną do różnych krajów, w tym do Polski. Tymczasem założyciel firmy Kaspersky ostrzega świat przez coraz głośniejszą cyberwojną. W latach 2008-2012 twórcy Flame, najbardziej zaawansowanego szkodliwego oprogramowania odkrytego do tej pory (czerwiec 2012 !), zarejestrowali na całym świecie 80 domen, które służyły do kontrolowania działalności robaka. Infrastruktura była przenoszona pomiędzy różnymi krajami, m.in. Polską, Hong Kongiem, Niemcami, Malezją, Łotwą, Wielką Brytanią i Szwajcarią. Kasperky Lab w porozumieniu z GoDaddy oraz OpenDNS doprowadził do odłączenia wszystkich domen, w większości zarejestrowanych na sfałszowane lub skradzione tożsamości http://technologie.gazeta.pl/internet/1,104530,11881362,Flame__wirus_wszech_czasow__atakowal_m_in__z_Polski.html 4 2014-07-01 Ciemna strona mocy / Internetu Atak / Obrona : Botnety 2012: Gauss Kolejny członek rodziny Stuxnet, Duqu, Flame Po raz pierwszy zaatakował we wrześniu 2011, ale świat dowiaduje się o nim dopiero teraz (sierpień 2012). Powstał na tej samej platformie co wcześniejsze, sponsorowane przez najprawdopodobniej CIA i Mossad projekty o nazwach Stuxnet, Duqu, Flame. Tym razem celuje w kradzież danych dotyczących …kont bankowych. Co potrafi Gauss? - przechwytuje ciastka i hasła z przeglądarek - wykrada pliki konfiguracyjne i wysyła je autorom trojana - infekuje dyski USB - kradnie dane dostępowe do banków (głównie ze Środkowego Wschodu: Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank, Credit Libanais, Citibank, PayPal.) - kradnie dane dostępowe do portali społecznociowych, skrzynek e-mail http://niebezpiecznik.pl/post/gauss-kolejny-czlonek-rodziny-stuxnet-duqu-flame/ Ciemna strona mocy / Internetu Atak / Obrona : Botnety 2014 „The Mask / Careto" Eksperci z Kaspersky Lab wykryli "The Mask" (inna nazwa to Careto) - zaawansowane szkodliwe oprogramowanie, zaangażowane w globalne operacje cyberszpiegowskie, które istnieje co najmniej od 2007 roku. The Mask wyróżnia się złożonością zestawu narzędzi wykorzystywanych przez atakujących. Obejmuje niezwykle wyrafinowane szkodliwe oprogramowanie, rootkita, bootkita, wersje dla systemu OS X oraz Linux i prawdopodobnie wersje dla Androida oraz iOS (iPad/iPhone). Ofiary operacji "The Mask" zlokalizowano w państwach na cały świecie, w tym w Polsce. Głównym celem osób atakujących jest gromadzenie poufnych danych z zainfekowanych systemów. Obejmują one oficjalne dokumenty, jak również różne klucze szyfrowania, konfiguracje VPN, klucze SSH (służące do identyfikacji użytkownika na serwerze SSH) oraz pliki RDP (wykorzystywane podczas korzystania ze zdalnego pulpitu). http://tech.wp.pl/kat,1009779,title,The-Mask-jedna-z-najbardziej-zaawansowanych-operacji-cyberszpiegowskich-whistorii,wid,16398245,wiadomosc.html?ticaid=112ca3 5 2014-07-01 Ciemna strona mocy / Internetu Atak / Obrona : Botnety Botnety – to nie działalność gimnazjalistów Botnety to BIZNES Wzrastająca popularność botnetów wynika z niskich kosztów, jakie trzeba ponieść, aby je wynająć. Jak powiedział Kijewski, wynajęcie botnetu do całodniowego ataku, DDoS (atak, który polega na zablokowaniu strony internetowej) to koszt od 30 do 70 dolarów, za botnet zajmujący się wysyłaniem spamu trzeba zapłacić 10 dolarów za 1 mln wysłanych wiadomości. Z kolei zakup niedużego botnetu liczącego 2000 botów kosztuje 200 dolarów. http://biznes.onet.pl/ekspert-rosnie-zagrozenia-zwiazane-z-botnetami,18568,5587269,news-detal Ataki na Allegro Ciemna strona mocy / Internetu Atak / Obrona : Botnety Polska na 9 miejscu najbardziej zarażonych botnetami krajów świata. 14.11.2013 Czy ja też ??? botnet.global.sonicwall.com Google: "botnet ip checker" Źródło: http://technologie.gazeta.pl/internet/1,104530,14954461,Polska_na_9__miejscu_najbardziej_zarazonych_botnetami.html 6 2014-07-01 Ciemna strona mocy / Internetu Konsekwencje bycia członkiem botnetu Trafienie na czarną listę spamerów tzw. spam servers blacklist Zablokowanie dostępu do Internetu Utrata danych http://eng.letscc.net/detail.php?idx=233959&k=prisioner http://eng.letscc.net/detail.php?idx=100009&k=cyber%20attack Oskarżenie o udział w cyberataku Ciemna strona mocy / Internetu Atak / Obrona : Botnety • 8 kwietnia 2014 Źródło: http://www.snt.at/ 7 2014-07-01 Ciemna strona mocy / Internetu Atak / Obrona : Botnety • 8 kwietnia 2014 Źródło: http://www.microsoft.com/pl-pl/windows/business/retiring-xp.aspx Ciemna strona mocy / Internetu Atak / Obrona : Botnety Źródło: http://ubuntu.pl/ 8 2014-07-01 Ciemna strona mocy / Internetu Atak / Obrona : Botnety Źródło: http://ubuntu.pl/pobierz.php Ciemna strona mocy / Internetu Atak / Obrona : Botnety • Aktualizacje 9 2014-07-01 Ciemna strona mocy / Internetu Atak / Obrona : Botnety • Antywirus Źródło: https://www.virusbtn.com/index Ciemna strona mocy / Internetu Atak / Obrona : Botnety • Praca na koncie bez uprawnień ADMINISTRATORA (!) 10 2014-07-01 Ciemna strona mocy / Internetu Atak / Obrona : Botnety • Unikanie stron „XXX” Źródło: http://www.pcworld.pl/news/359613/Niebezpieczne.strony.porno.jak.sie.ochronic.html Ciemna strona mocy / Internetu Atak / Obrona : Botnety • Unikanie stron „XXX” Źródło: http://www.komputerswiat.pl/artykuly/redakcyjne/2013/11/uwaga-policja-puka-do-drzwi!-ransomware-powrocil.aspx 11 2014-07-01 Ciemna strona mocy / Internetu Atak / Obrona : Botnety • „Darmowe” oprogramowanie Źródło: http://sourceforge.net/ Ciemna strona mocy / Internetu http://thenextweb.com/shareables/2010/02/09/passwords-are-like-underwear/ Hasła są jak majtki : zmieniaj je często, nie zostawiaj na widoku, nie pożyczaj obcym. 12 2014-07-01 Ciemna strona mocy / Internetu Atak / Obrona : WiFi Hacking Źródło: https://www.flickr.com/photos/dullhunk/9730894552/in/photostream/ Ciemna strona mocy / Internetu Atak / Obrona : WiFi Hacking Źródło: https://www.flickr.com/photos/andrewcurrie/4271097701/in/photolist-64e6Y3-6dFqq9-pr2JL-pr3SF-pr3SD-pr3SB-8r99QwfGKB4i-6rk47A-83Zvig-eyzbiN-891ssh-qnMDD-7vuiGs-7vquxx-owDF7-owDEW-owDEU-owDF3-owDEZ-6rfT96-95z4UN-6rfUhaxDxp3-owDFc-yRrGc-yRrND-yRrAq-yRrX1-yRs5d-yRrtq-qnN8W-cxXCTu-coTMTJ-qnMVP-qnMMZ-7vquiV-6UWw3M-6UWvop6V1AQj-6V1AcW-6V1B1d-6V1BSC-6hCys8-qnMmo-qnMue-6V1BBf-dd5hkm-sMgbt-sMgdd/ 13 2014-07-01 Ciemna strona mocy / Internetu Atak / Obrona : WiFi Hacking Źródło: https://www.flickr.com/photos/97919868@N05/10582094105/in/photolist-h86ZUn-nATnDo-9HXo3H-9J1e8y-8KkuoX9J1eAu-9nUxmJ-6y3mtQ-5B9Hv3-nmrgAQ-a9xbmk-jq9NM9-jhjAd-64hm2b-5B5sqv-6cnoSG-51A7Zt-nCW222-nmrz44-a9xbpeaNS3XM-m51Kqh-64d7rH-64d7o8-8tQDec-cZjf2q-4ckLkD-2PDyfD-8Zipey-8uR2eW-6zaUWx-eesi9Z-4LHfZh-3ACVWn-a7aFyU8Kkusp-64hnxN-m51KQ5-66qWpc-9ufUtZ-7ifRtY-nCCUVK-kYZo39-8KoxEG-6BSZmQ-bETopH-akoBe9-6zsDJj-njQBop-m4ZoPt Ciemna strona mocy / Internetu Atak / Obrona : WiFi Hacking • Protokół WPA2: EEE 802.11i, WPA2 (ang. Wi-Fi Protected Access II) – protokół sieci bezprzewodowych. Implementuje w sobie: 802.1x oraz CCMP. W porównaniu z WEP : • • • • • wykorzystuje 128-bitowe klucze kryptograficzne ma poprawione wszystkie znalezione luki w zabezpieczeniach WEP wykorzystuje dynamiczne klucze (na poziomie użytkownika, sesji, pakietów) automatycznie dystrybuuje klucze posiada podniesiony poziom bezpieczeństwa autoryzacji użytkownika (przy użyciu 802.1x oraz EAP) Źródło:http://pl.wikipedia.org/wiki/IEEE_802.11i 14 2014-07-01 Ciemna strona mocy / Internetu Atak / Obrona : WiFi Hacking • Protokół WPA2: Źródło:http://www.kaspersky.pl/about.html?s=news_reviews&cat=3&newsid=1943 Ciemna strona mocy / Internetu Atak / Obrona : WiFi Hacking • Protokół WPA2 - zalecenia: • Hasło do sieci Wi-Fi powinno być długie i skomplikowane. Dzięki temu sieć będzie odporna na próby łamania hasła przy pomocy metody słownikowej lub ataku siłowego (brute force). • Używajmy „generatorów haseł” np. https://generator.blulink.pl/ - Złe hasło: 12345678 + Dobre hasło: hhJu5qDS8q:J}X_HeZpqvebcYy6aaH Komputerowi „jest obojętne” jak skomplikowane jest hasło do WiFi 15 2014-07-01 Ciemna strona mocy / Internetu Atak / Obrona : WiFi Hacking • Protokół WPA2 - zalecenia: • Poza hasłem do sieci należy także zadbać o ochronę dostępu do routera, ponieważ standardowo mamy do czynienia z zabezpieczeniem fabrycznym – login i hasło można wówczas znaleźć na stronie internetowej producenta sprzętu sieciowego. Po ustawieniu własnego hasła dostępowego do routera osoby trzecie nie będą w stanie połączyć się z nim i modyfikować jego ustawień. • Jeżeli router daje możliwość zmniejszenia zasięgu sygnału, skorzystaj z tego. Gdy dostosujesz siłę sygnału Wi-Fi do obszaru swojego lokalu, osoby z zewnątrz nie będą mogły połączyć się z Twoją siecią (lub będzie to znacznie utrudnione). Źródło:http://www.kaspersky.pl/about.html?s=news_reviews&cat=3&newsid=1943 Ciemna strona mocy / Internetu Atak / Obrona : WiFi Hacking / WarDriving Źródło:http://www.computerworld.pl/artykuly/320914/Wardriving.pieszo.isamochodem.html Źródło:http://https://www.flickr.com/photos/sylvaincarle/171281/in/photolist-moyUN-SV8-3agFVG-3acbyK-2eM8K-v7WTh-5egLrH-dAfK-4NLTbg-5Xv1zK-4ae6w-6dAsRk-6r3oMCEyFPa-7aWCRR-aM3VH-3rZQ7-sT5H-9c7v4S-2ZrSQ-2hD5w-5HJoKX-EyFSH-EyFQr-9c7qYb-9c7qR3-7vDQ3d-7zvqcv-5AWNBU-KdvMt-FtmQq-7f927v-7fcXr1-7fcVeh-7f92Ug7fcX19-7f91J8-7f94hR-7f8ZYc-48zghp-7ZiV5E-boC9WD-kW6rY-FtmQw-49DCy-7tRFkS-4jYkLP-6PZTR-4HcAqk-5EpUCu/ WarDriving w Katowicach http://adamziaja.com/projects/wardrive/ 16 2014-07-01 Ciemna strona mocy / Internetu Atak / Obrona : DNS Spoofing / DNS Poisoning Źródło: http://blog.solidpass.com/2011/07/dns-cache-poisoning-attack-hits.html Ciemna strona mocy / Internetu Atak / Obrona : DNS Spoofing / DNS Poisoning Stracił 16 000 PLN bo miał dziurawy router. Prawie 1,2 miliona Polaków może być podatnych na ten atak! 15 stycznia z konta mi zniknęło blisko 16.000 zł. Przelew został wykonany na konto mbanku do realnej osoby (jak potwierdził [mi] bank), ale i jednoczesnie natychmiast został przelany na kolejne numery kont (osób, które jak się okazało, też były ofiarami). Cala procedura polegała, co mogę stwierdzić już po fakcie, na zamianie DNS-ów w routerze (podatny na atak AirLive WT-2000ARM). Potwierdzilem to, kiedy drugi raz, 2 dni temu, znów coś niepokojącego pojawiło się na stronie mBanku. Nie mogłem uruchomić nowej wersji strony banku. Caly czas przekierowywało mnie na starą wersję, co wydało mi się dziwne, a dodatkowo nie było już certyfikatu, a adres banku wyglądał tak:ssl-.www.mbank.com.pl Źródło: http://niebezpiecznik.pl/post/stracil-16-000-pln-bo-mial-dziurawy-router-prawie-12-miliona-polakow-moze-byc-podatnych-na-ten-atak/ 17 2014-07-01 Ciemna strona mocy / Internetu Atak / Obrona : DNS Spoofing / DNS Poisoning Atak w skrócie polega na • • • wyszukaniu w internecie podatnych routerów (co można bardzo prosto zrobić przy pomocy odpowiedniego zapytania do Shodana). odwołaniu się do pliku z backupem konfiguracji na routerze i zdekodowaniu go w celu uzyskania hasła. zalogowaniu się na router “odzyskanym” hasłem i podmianie ustawień serwera DHCP na routerze tak, aby w polach “serwery DNS” zwracał nie dane dostawcy łącza internetowego, a fałszywy serwer DNS kontrolowany przez atakujących. Od teraz wszystkie rozwiązania nazw domenowych przechodzą przez serwer DNS należący do atakujących Źródło: http://niebezpiecznik.pl/post/stracil-16-000-pln-bo-mial-dziurawy-router-prawie-12-miliona-polakow-moze-byc-podatnych-na-ten-atak/ Ciemna strona mocy / Internetu Atak / Obrona : DNS Spoofing / DNS Poisoning Źródło: http://http://cert.orange.pl/modemscan/ 18 2014-07-01 Ciemna strona mocy / Internetu Atak / Obrona : DNS Spoofing / DNS Poisoning Źródło: http://www.opendns.com/ Ciemna strona mocy / Internetu Atak / Obrona : DNS Spoofing / DNS Poisoning 19 2014-07-01 Ciemna strona mocy / Internetu http://www.biuletyn.pti.org.pl Ciemna strona mocy / Internetu Internet jest jak miasto nocą: są miejsca w miarę bezpieczne http://eng.letscc.net/detail.php?idx=233449&k=gotham%20city są miejsca pozornie bezpieczne x są miejsca zaglądać gdzie lepiej nie 20 2014-07-01 Ciemna strona mocy / Internetu tu nie przyjdzie nam z pomocą Batman, a nawet jeżeli przyjdzie to … http://eng.letscc.net/detail.php?idx=233454&k=batman Ale Internet to nie Gotham City, Ciemna strona mocy / Internetu Dziękuje za uwagę itsecurity24.info securityblog.info.pl Polskie Towarzystwo Informatyczne Oddział Górnośląski www.pti.katowice.pl Adam Mizerski [email protected] 507-071-401 21