Ciemna strona mocy / Internetu

Transkrypt

2014-07-01
Ciemna
strona
mocy / Internetu
Człowiek – najlepsza inwestycja
Projekt współfinansowany ze środków Unii europejskiej
W ramach Europejskiego Funduszu Społecznego
http://eng.letscc.net/detail.php?idx=233442&k=vader
http://eng.letscc.net/detail.php?idx=233445&k=anakin%20skywalker
Kompetentny e-Nauczyciel
Ciemna strona mocy /
Internetu
Adam Mizerski:
Audytor, biegły sądowy, rzeczoznawca Izby Rzeczoznawców PTI a także ekspert
z obszaru informatyki w zakresie wyceny środków trwałych oraz wartości
niematerialnych i prawnych.
V-ce prezes Oddziału Górnośląskiego PTI oraz członek Zarządu Głównego PTI.
Pasjonat bezpieczeństwa (co współpracownicy nazywają obsesją) oraz metod
(PN-ISO/IEC 27005:2010/Risk IT/COSO) oceny zintegrowanej analizy ryzyka,
Główny Administrator Bezpieczeństwa Systemów oraz „karbowy XXI wieku”
czyli szef działu IT.
1
2014-07-01
Internetu
Agenda:
• Botnety, trojany i inne „wredne paskudztwa”
• WiFi Hacking / WiFi WarDriving
• DNS Spoofing / DNS Poisoning
Internetu
Atak
http://eng.letscc.net/detail.php?idx=233437&k=sword
http://eng.letscc.net/detail.php?idx=233437&k=sword
Obrona
2
2014-07-01
Internetu
Potwór z Loch Ness sfotografowany przez satelity?
http://wiadomosci.dziennik.pl/nauka/artykuly/456689,czy-to-potwor-z-loch-ness-zobacz-satelitarne-zdjecia-z-apple-maps-i-googlemaps.html
http://wiadomosci.gazeta.pl/wiadomosci/1,114871,15829112,Potwor_z_Loch_Ness_sfotografowany_przez_satelity_.html
Internetu
Atak / Obrona : Botnety
Botnet – grupa komputerów zainfekowanych złośliwym
oprogramowaniem (np. robakiem) pozostającym w ukryciu przed
użytkownikiem ipozwalającym jego twórcy na sprawowanie zdalnej
kontroli nad wszystkimi komputerami w ramach botnetu. Kontrola ta
pozwala na zdalne rozsyłanie spamu oraz inne ataki z użyciem
zainfekowanych komputerów.
http://eng.letscc.net/detail.php?idx=97357&k=botnet
http://pl.wikipedia.org/wiki/Botnet_(bezpiecze%C5%84stwo_komputerowe)
Botnety posiadają potężną moc obliczeniową. Stanowią potężną cyberbroń i skuteczne narzędzie
do nielegalnego zarabiania pieniędzy. Właściciel botnetu może kontrolować komputery tworzące
sieć z dowolnego miejsca na świecie - z innego miasta, państwa, a nawet kontynentu. Internet
jest skonstruowany w taki sposób, że możliwe jest kontrolowanie botnetu anonimowo.
Źródło: http://www.securelist.pl/analysis/5859,biznes_botnetowy.html
3
2014-07-01
Internetu
2010: Stuxnet
Działający w systemie Windows robak komputerowy, po raz pierwszy wykryty
w czerwcu 2010. Jest pierwszym znanym robakiem używanym do szpiegowania
i przeprogramowywania instalacji przemysłowych. Zawierał rootkit na system
Windows, pierwszy w historii PLC rootkit. Wykorzystywał też wiele luk 0-day. Wirus
miał zdolność aktualizacji metodą peer-to-peer.
2011: Duqu
Język następcy Stuxneta, Duqu odkrytego we wrześniu 2011 roku, był zagadką dla
analityków bezpieczeństwa Kaspersky Lab przez ponad pół roku. Niewiadomymi były
również użyty do scalenia modułów wirusa kompilator a także typu szkieletu, na jakim
oparto całe rozwiązanie Duqu. W lutym 2012 roku poprosili oni o pomoc na forach
internetowych
Internetu
2012: Flame
Karspersky Lab dokonał dogłębnej analizy aktywności wirusa Flame, który
niepostrzeżenie przez kilka ostatnich lat rozprzestrzeniał się przy pomocy domen
rejestrowanych z wykorzystaniem fałszywych tożsamości. Infrastruktura wirusa była
przenoszoną do różnych krajów, w tym do Polski. Tymczasem założyciel firmy
Kaspersky ostrzega świat przez coraz głośniejszą cyberwojną.
W latach 2008-2012 twórcy Flame, najbardziej zaawansowanego szkodliwego
oprogramowania odkrytego do tej pory (czerwiec 2012 !), zarejestrowali na całym
świecie 80 domen, które służyły do kontrolowania działalności robaka.
Infrastruktura była przenoszona pomiędzy różnymi krajami, m.in. Polską, Hong
Kongiem, Niemcami, Malezją, Łotwą, Wielką Brytanią i Szwajcarią. Kasperky Lab w
porozumieniu z GoDaddy oraz OpenDNS doprowadził do odłączenia wszystkich domen,
w większości zarejestrowanych na sfałszowane lub skradzione tożsamości
http://technologie.gazeta.pl/internet/1,104530,11881362,Flame__wirus_wszech_czasow__atakowal_m_in__z_Polski.html
4
2014-07-01
Internetu
2012: Gauss
Kolejny członek rodziny Stuxnet, Duqu, Flame Po raz pierwszy zaatakował we wrześniu
2011, ale świat dowiaduje się o nim dopiero teraz (sierpień 2012). Powstał na tej samej
platformie co wcześniejsze, sponsorowane przez najprawdopodobniej CIA i Mossad
projekty o nazwach Stuxnet, Duqu, Flame. Tym razem celuje w kradzież danych
dotyczących …kont bankowych.
Co potrafi Gauss?
- przechwytuje ciastka i hasła z przeglądarek
- wykrada pliki konfiguracyjne i wysyła je autorom trojana
- infekuje dyski USB
- kradnie dane dostępowe do banków (głównie ze Środkowego Wschodu: Bank of
Beirut, EBLF, BlomBank, ByblosBank, FransaBank, Credit Libanais, Citibank, PayPal.)
- kradnie dane dostępowe do portali społecznociowych, skrzynek e-mail
http://niebezpiecznik.pl/post/gauss-kolejny-czlonek-rodziny-stuxnet-duqu-flame/
Internetu
2014 „The Mask / Careto"
Eksperci z Kaspersky Lab wykryli "The Mask" (inna nazwa to Careto) - zaawansowane
szkodliwe oprogramowanie, zaangażowane w globalne operacje cyberszpiegowskie,
które istnieje co najmniej od 2007 roku. The Mask wyróżnia się złożonością zestawu
narzędzi wykorzystywanych przez atakujących. Obejmuje niezwykle wyrafinowane
szkodliwe oprogramowanie, rootkita, bootkita, wersje dla systemu OS X oraz Linux i
prawdopodobnie wersje dla Androida oraz iOS (iPad/iPhone). Ofiary operacji "The
Mask" zlokalizowano w państwach na cały świecie, w tym w Polsce.
Głównym celem osób atakujących jest gromadzenie poufnych danych z zainfekowanych
systemów. Obejmują one oficjalne dokumenty, jak również różne klucze szyfrowania,
konfiguracje VPN, klucze SSH (służące do identyfikacji użytkownika na serwerze SSH)
oraz pliki RDP (wykorzystywane podczas korzystania ze zdalnego pulpitu).
http://tech.wp.pl/kat,1009779,title,The-Mask-jedna-z-najbardziej-zaawansowanych-operacji-cyberszpiegowskich-whistorii,wid,16398245,wiadomosc.html?ticaid=112ca3
5
2014-07-01
Internetu
Botnety – to nie działalność gimnazjalistów
Botnety to BIZNES
Wzrastająca popularność botnetów wynika z niskich kosztów, jakie trzeba
ponieść, aby je wynająć. Jak powiedział Kijewski, wynajęcie botnetu do
całodniowego ataku, DDoS (atak, który polega na zablokowaniu strony
internetowej) to koszt od 30 do 70 dolarów, za botnet zajmujący się
wysyłaniem spamu trzeba zapłacić 10 dolarów za 1 mln wysłanych
wiadomości. Z kolei zakup niedużego botnetu liczącego 2000 botów kosztuje
200 dolarów.
http://biznes.onet.pl/ekspert-rosnie-zagrozenia-zwiazane-z-botnetami,18568,5587269,news-detal
Ataki na Allegro
Internetu
Polska na 9 miejscu
najbardziej
zarażonych
botnetami krajów
świata.
14.11.2013
Czy ja też ???
botnet.global.sonicwall.com
Google: "botnet ip checker"
Źródło: http://technologie.gazeta.pl/internet/1,104530,14954461,Polska_na_9__miejscu_najbardziej_zarazonych_botnetami.html
6
2014-07-01
Internetu
Konsekwencje bycia członkiem
botnetu
Trafienie na czarną listę spamerów
tzw. spam servers blacklist
Zablokowanie dostępu do Internetu
Utrata danych
http://eng.letscc.net/detail.php?idx=233959&k=prisioner
http://eng.letscc.net/detail.php?idx=100009&k=cyber%20attack
Oskarżenie o udział w cyberataku
Internetu
• 8 kwietnia 2014
Źródło: http://www.snt.at/
7
2014-07-01
Internetu
• 8 kwietnia 2014
Źródło: http://www.microsoft.com/pl-pl/windows/business/retiring-xp.aspx
Internetu
Źródło: http://ubuntu.pl/
8
2014-07-01
Internetu
Źródło: http://ubuntu.pl/pobierz.php
Internetu
• Aktualizacje
9
2014-07-01
Internetu
• Antywirus
Źródło: https://www.virusbtn.com/index
Internetu
• Praca na koncie bez uprawnień ADMINISTRATORA (!)
10
2014-07-01
Internetu
• Unikanie stron „XXX”
Źródło: http://www.pcworld.pl/news/359613/Niebezpieczne.strony.porno.jak.sie.ochronic.html
Internetu
• Unikanie stron „XXX”
Źródło: http://www.komputerswiat.pl/artykuly/redakcyjne/2013/11/uwaga-policja-puka-do-drzwi!-ransomware-powrocil.aspx
11
2014-07-01
Internetu
• „Darmowe” oprogramowanie
Źródło: http://sourceforge.net/
Internetu
http://thenextweb.com/shareables/2010/02/09/passwords-are-like-underwear/
Hasła są jak majtki :
zmieniaj je często,
nie zostawiaj na
widoku,
nie pożyczaj obcym.
12
2014-07-01
Internetu
Atak / Obrona : WiFi Hacking
Źródło: https://www.flickr.com/photos/dullhunk/9730894552/in/photostream/
Internetu
Źródło: https://www.flickr.com/photos/andrewcurrie/4271097701/in/photolist-64e6Y3-6dFqq9-pr2JL-pr3SF-pr3SD-pr3SB-8r99QwfGKB4i-6rk47A-83Zvig-eyzbiN-891ssh-qnMDD-7vuiGs-7vquxx-owDF7-owDEW-owDEU-owDF3-owDEZ-6rfT96-95z4UN-6rfUhaxDxp3-owDFc-yRrGc-yRrND-yRrAq-yRrX1-yRs5d-yRrtq-qnN8W-cxXCTu-coTMTJ-qnMVP-qnMMZ-7vquiV-6UWw3M-6UWvop6V1AQj-6V1AcW-6V1B1d-6V1BSC-6hCys8-qnMmo-qnMue-6V1BBf-dd5hkm-sMgbt-sMgdd/
13
2014-07-01
Internetu
Źródło: https://www.flickr.com/photos/97919868@N05/10582094105/in/photolist-h86ZUn-nATnDo-9HXo3H-9J1e8y-8KkuoX9J1eAu-9nUxmJ-6y3mtQ-5B9Hv3-nmrgAQ-a9xbmk-jq9NM9-jhjAd-64hm2b-5B5sqv-6cnoSG-51A7Zt-nCW222-nmrz44-a9xbpeaNS3XM-m51Kqh-64d7rH-64d7o8-8tQDec-cZjf2q-4ckLkD-2PDyfD-8Zipey-8uR2eW-6zaUWx-eesi9Z-4LHfZh-3ACVWn-a7aFyU8Kkusp-64hnxN-m51KQ5-66qWpc-9ufUtZ-7ifRtY-nCCUVK-kYZo39-8KoxEG-6BSZmQ-bETopH-akoBe9-6zsDJj-njQBop-m4ZoPt
Internetu
• Protokół WPA2:
EEE 802.11i, WPA2 (ang. Wi-Fi Protected Access II) – protokół sieci bezprzewodowych.
Implementuje w sobie: 802.1x oraz CCMP.
W porównaniu z WEP :
•
•
•
•
•
wykorzystuje 128-bitowe klucze kryptograficzne
ma poprawione wszystkie znalezione luki w zabezpieczeniach WEP
wykorzystuje dynamiczne klucze (na poziomie użytkownika, sesji, pakietów)
automatycznie dystrybuuje klucze
posiada podniesiony poziom bezpieczeństwa autoryzacji użytkownika (przy
użyciu 802.1x oraz EAP)
Źródło:http://pl.wikipedia.org/wiki/IEEE_802.11i
14
2014-07-01
Internetu
• Protokół WPA2:
Źródło:http://www.kaspersky.pl/about.html?s=news_reviews&cat=3&newsid=1943
Internetu
• Protokół WPA2 - zalecenia:
•
Hasło do sieci Wi-Fi powinno być długie i skomplikowane. Dzięki temu sieć będzie
odporna na próby łamania hasła przy pomocy metody słownikowej lub ataku
siłowego (brute force).
•
Używajmy „generatorów haseł” np. https://generator.blulink.pl/
- Złe hasło: 12345678
+ Dobre hasło: hhJu5qDS8q:J}X_HeZpqvebcYy6aaH
Komputerowi „jest obojętne” jak skomplikowane jest hasło do WiFi
15
2014-07-01
Internetu
• Protokół WPA2 - zalecenia:
•
Poza hasłem do sieci należy także zadbać o ochronę dostępu do routera, ponieważ
standardowo mamy do czynienia z zabezpieczeniem fabrycznym – login i hasło można
wówczas znaleźć na stronie internetowej producenta sprzętu sieciowego. Po
ustawieniu własnego hasła dostępowego do routera osoby trzecie nie będą w stanie
połączyć się z nim i modyfikować jego ustawień.
•
Jeżeli router daje możliwość zmniejszenia zasięgu sygnału, skorzystaj z tego. Gdy
dostosujesz siłę sygnału Wi-Fi do obszaru swojego lokalu, osoby z zewnątrz nie będą
mogły połączyć się z Twoją siecią (lub będzie to znacznie utrudnione).
Źródło:http://www.kaspersky.pl/about.html?s=news_reviews&cat=3&newsid=1943
Internetu
Atak / Obrona : WiFi Hacking / WarDriving
Źródło:http://www.computerworld.pl/artykuly/320914/Wardriving.pieszo.isamochodem.html
Źródło:http://https://www.flickr.com/photos/sylvaincarle/171281/in/photolist-moyUN-SV8-3agFVG-3acbyK-2eM8K-v7WTh-5egLrH-dAfK-4NLTbg-5Xv1zK-4ae6w-6dAsRk-6r3oMCEyFPa-7aWCRR-aM3VH-3rZQ7-sT5H-9c7v4S-2ZrSQ-2hD5w-5HJoKX-EyFSH-EyFQr-9c7qYb-9c7qR3-7vDQ3d-7zvqcv-5AWNBU-KdvMt-FtmQq-7f927v-7fcXr1-7fcVeh-7f92Ug7fcX19-7f91J8-7f94hR-7f8ZYc-48zghp-7ZiV5E-boC9WD-kW6rY-FtmQw-49DCy-7tRFkS-4jYkLP-6PZTR-4HcAqk-5EpUCu/
WarDriving w Katowicach http://adamziaja.com/projects/wardrive/
16
2014-07-01
Internetu
Atak / Obrona : DNS Spoofing / DNS Poisoning
Źródło: http://blog.solidpass.com/2011/07/dns-cache-poisoning-attack-hits.html
Internetu
Stracił 16 000 PLN bo miał dziurawy router.
Prawie 1,2 miliona Polaków może być podatnych na ten atak!
15 stycznia z konta mi zniknęło blisko 16.000 zł. Przelew został wykonany na konto
mbanku do realnej osoby (jak potwierdził [mi] bank), ale i jednoczesnie natychmiast
został przelany na kolejne numery kont (osób, które jak się okazało, też były ofiarami).
Cala procedura polegała, co mogę stwierdzić już po fakcie, na zamianie DNS-ów
w routerze (podatny na atak AirLive WT-2000ARM). Potwierdzilem to, kiedy drugi raz,
2 dni temu, znów coś niepokojącego pojawiło się na stronie mBanku. Nie mogłem
uruchomić nowej wersji strony banku. Caly czas przekierowywało mnie na starą wersję,
co wydało mi się dziwne, a dodatkowo nie było już certyfikatu, a adres banku wyglądał
tak:ssl-.www.mbank.com.pl
Źródło: http://niebezpiecznik.pl/post/stracil-16-000-pln-bo-mial-dziurawy-router-prawie-12-miliona-polakow-moze-byc-podatnych-na-ten-atak/
17
2014-07-01
Internetu
Atak w skrócie polega na
•
•
•
wyszukaniu w internecie podatnych routerów (co można bardzo prosto zrobić przy
pomocy odpowiedniego zapytania do Shodana).
odwołaniu się do pliku z backupem konfiguracji na routerze i zdekodowaniu go w celu
uzyskania hasła.
zalogowaniu się na router “odzyskanym” hasłem i podmianie ustawień serwera DHCP
na routerze tak, aby w polach “serwery DNS” zwracał nie dane dostawcy łącza
internetowego, a fałszywy serwer DNS kontrolowany przez atakujących.
Od teraz wszystkie rozwiązania nazw domenowych przechodzą przez serwer
DNS należący do atakujących
Źródło: http://niebezpiecznik.pl/post/stracil-16-000-pln-bo-mial-dziurawy-router-prawie-12-miliona-polakow-moze-byc-podatnych-na-ten-atak/
Internetu
Źródło: http://http://cert.orange.pl/modemscan/
18
2014-07-01
Internetu
Źródło: http://www.opendns.com/
Internetu
19
2014-07-01
Internetu
http://www.biuletyn.pti.org.pl
Internetu
Internet jest jak miasto nocą:
są miejsca w miarę bezpieczne
http://eng.letscc.net/detail.php?idx=233449&k=gotham%20city
są miejsca pozornie bezpieczne
x są miejsca
zaglądać
gdzie
lepiej
nie
20
2014-07-01
Internetu
tu nie przyjdzie nam
z pomocą Batman,
a nawet jeżeli przyjdzie to …
http://eng.letscc.net/detail.php?idx=233454&k=batman
Ale Internet
to nie
Gotham City,
Internetu
Dziękuje za uwagę
itsecurity24.info
securityblog.info.pl
Polskie Towarzystwo Informatyczne
Oddział Górnośląski
www.pti.katowice.pl
Adam Mizerski [email protected] 507-071-401
21

Ciemna strona mocy / Internetu

Transkrypt

Podobne dokumenty

Fotodioda – efekt fotoelektryczny wewnętrzny Ogniwa