bezpecnost - liveonline.cz
Download
Report
Transcript bezpecnost - liveonline.cz
Mgr. Filip Kábrt, MFF UK
Přednášku redigoval a doplnil:
Petr Špiřík
Data z kvantitativních výzkumů:
PhDr. Martin Buchtík, FSV UK
Motivace kyber-útočníků
Trocha historie
Krádeže identity a phishing
Privátnost dat na Internetu
Hesla a jejich bezpečnost
Malware
Zabezpečení přenosu
Fyzický průnik do počítače
Shrnutí
Motivace kyber-útočníků
Trocha historie
Krádeže identity a phishing
Privátnost dat na Internetu
Hesla a jejich bezpečnost
Malware
Zabezpečení přenosu
Fyzický průnik do počítače
Shrnutí
Proč vůbec vznikají ohrožení bezpečnosti? Co z
toho útočníci mají?
Poškodit konkrétního člověka / firmu
„pro 78% firem jsou největší hrozbou firemní
bezpečnosti IS/IT vlastní zaměstnanci“
▪ Výzkum Ogilvy Public Relations pro GiTy
▪ Většina chyb omylem, ale nezřídka i cílená snaha
poškodit
Možná motivace snahou získat konkurenční
výhodu
Proč vůbec vznikají ohrožení bezpečnosti? Co z
toho útočníci mají?
Finanční zisk
Přímý (neautorizovaný převod peněz)
Nepřímý
▪ Zisk z použití služby, kterou jste si neobjednali (telefonování)
▪ Zpeněžení choulostivé informace
▪ Vaše osobní údaje, činnost na Internetu, apod.
Zdroj:
Torrentfreak,
2010,
http://torrentfreak.com/malware-extort-cash-from-bittorrent-users-100411/
Proč vůbec vznikají ohrožení bezpečnosti? Co z
toho útočníci mají?
Výpočetní sílu a krytí kriminální činnosti
Zombie počítače organizované do botnetu
K čemu je výpočetní síla dobrá?
▪ DDoS útoky (nutné vést z mnoha různých stran)
▪ Rozesílání spamu (krytí rozesílatele, konektivita zdarma)
▪ Hackerská činnost
Útočník se potřebuje schovat za cizí IP
▪ Podle IP lze snadno dohledat lokaci komunikujícího
Botnet lze přímo zpeněžit (pronájem, prodej)
Zdroj: Wikimedia Commons, © Tom-b 2010, použito v souladu s licencí Creative Commons Attribution-Share Alike 3.0 Unported
Hiring a botnet for DDoS attacks costs from $50 to thousands of dollars
for a continuous 24-hour attack.
Stolen bank account details vary from $1 to $1,500 depending on the
level of detail and account balance.
Personal data capable of allowing the criminals to open accounts in stolen
names costs $5 to $8 for US citizens; two or three times that for EU
citizens.
A list of one million email addresses costs between $20 and $100;
spammers charge $150 to $200 extra for doing the mailshot.
Small botnets of a few hundred bots cost $200 to 700, with an average
price amounting to $0.50 per bot. Large botnets cost much more.
The Shadow botnet, which was created by a 19-year-old hacker from
Holland and included over 100,000 computers, was put on sale for
$36,000.
Zdroj: The Economics of Botnets, Yuri Namestnikov, Kaspersky Laboratories, 2009
http://www.securelist.com/en/downloads/pdf/ynam_botnets_0907_en.pdf
Citováno z: http://www.computerweekly.com/Articles/2009/07/23/237015/kaspersky-reveals-pricelist-for-botnet-attacks.htm
Proč vůbec vznikají ohrožení bezpečnosti? Co z
toho útočníci mají?
Marketingově vytěžitelné údaje
E-mailové a další adresy
Přímá distribuce nevyžádané reklamy
▪ Adware, spam
Osobní profily, zájmy, …
Proč vůbec vznikají ohrožení bezpečnosti? Co z
toho útočníci mají?
Konkrétní zakázka
Získání konkrétní informace nebo provedení
jistého úkonu v cizím systému
▪ Je to jediný typ motivace, kterou pravděpodobně
nerealizuje automatizovaný robot
Opět: Cybercrime je dnes především business
Motivace kyber-útočníků
Trocha historie
Krádeže identity a phishing
Privátnost dat na Internetu
Hesla a jejich bezpečnost
Malware
Zabezpečení přenosu
Fyzický průnik do počítače
Shrnutí
1971 – John T. Draper, phone phreaking
1980 – první BBS
1982 – Skupina The 414s pronikla do 60-ti
počítačových systémů, první použití slova
„hacker“ v médiích
1983 – Film Wargames – panika a zároveň
zatraktivnění hackingu
1986 – Morris Worm na ARPAnetu, 6000
napadených počítačů na Cornell University
1993 – hack telefonních systémů rádiové
stanice umožní Kevinu Poulsenovi vyhrát
Porsche
1995 – Ruští hackeři převedou 10 miliónů USD
z Citibank
1995 – Kevin Mitnick zatčen za krádež čísel
20000 kreditních karet, soud až 4 roky poté
1999 – Windows 98, záplaty a počítačová
bezpečnost je mainstream, Melissa virus
2000 – DoS útok na Yahoo! a Amazon
2000 – e-mailový virus ILOVEYOU se šíří přes
adresář
2001 – Síť NAPSTER končí po žalobách
nahrávacího průmyslu
2004 – Prohlášení Severní Koreje o úspěších
hackerů na cíle v Jižní Koreji a Japonsku
2005 – Jeanson James Ancheta zatčen a
obviněn z rozsáhlého spamování pomocí
botnetů
2006 – Nejrozsáhlejší hack webových stránek
v historii – iSKORPiTX pronikl do 21549
stránek
2007 – Estonsko utrpělo masivní DoS útok
2008 – Čínští hackeři prohlašují, že získali
přistup ke kritickým serverům v USA, např. k
Pentagonu
2009 – Conficker infiltruje milióny PC
2010 – Google prohlašuje, že se stal obětí
útoku hackerů z Číny
dostatečně zabezpečený?
88% uživatelů PC v ČR odpovědělo ano
18% určitě ano
ZDROJ: WIP 2008, N=1245
počítačovým virem
63% uživatelů PC v ČR
ZDROJ: WIP 2008, N=1245
spamem
77% uživatelů PC v ČR
ZDROJ: WIP 2008, N=1245
phishingem
35% uživatelů PC v ČR
ZDROJ: WIP 2008, N=1245
hackingem
19% uživatelů PC v ČR
ZDROJ: WIP 2008, N=1245
falešnou identitou
na sociálních sítích
Péče o počítač
Osobně
Jiný člen rodiny
12-18 let
Kamarád, známý
30
19-30 let
Odborník, specializovaná firma
45
11
51
31-45 let
26
37
46 a více let
37
29
0%
20%
45
40%
13
12
14
60%
80%
Zdroj: WIP 2008, n=1242
Zhruba u čtvrtiny vlastníků počítače se o něj většinou stará někdo
mimo rodinu, s věkem se mění odpovědnost za počítač pouze
v rámci rodiny
Někdo jiný
13
1
9 1
13
1
10 2
100%
Phishing, identity scam, podvodné e-maily, …
Motivace kyber-útočníků
Trocha historie
Krádeže identity a phishing
Privátnost dat na Internetu
Hesla a jejich bezpečnost
Malware
Zabezpečení přenosu
Fyzický průnik do počítače
Shrnutí
Uživatel
Služba
„Vítejte v bance AB, kdo jste prosím?“
„Jsem Filip Kábrt“
„Vaše heslo prosím“
„Heslo je xxxxx“
„Děkuji. Co si přejete?“
„Rád bych převedl $100 000 na tento
účet“
„V pořádku, na to máte právo.“
Problém 1: Co když služba není banka AB?
Problém 2: Co když uživatel není Filip Kábrt
AUTENTIKACE
AUTORIZACE
Impersonace pomocí získaných osobních
informací
Loginy ke službám operujícím s finančními prostředky
Osobní ID (řidičský průkaz, …)
Loginy ke komunikačním službám
▪ Prostředek pro šíření malware
Hesla obecně
▪ Pro testování shody hesel na jiných službách
E-mailové adresy (pro rozesílání spamu)
Reálná adresa
Mnoho služeb pro úspěšnou registraci
vyžaduje osobní data
Víme, kdo je protistrana?
Jak s našimi daty naloží?
Příklady úspěšných nosičů scammingu
E-mail
Aplikace v sociálních sítích
Internetové služby s nejasným provozovatelem
Podvržení přihlašovacích formulářů třetí
stranou
Ochrana před phishingem
Kontrola URL a certifikátu
▪ Druhy certifikátů
Ruční zadávání URL (neklikat na linky v e-mailech)
Antivir a zabezpečený prohlížeč
Jak uchovat informaci na Internetu soukromou?
Motivace kyber-útočníků
Trocha historie
Krádeže identity a phishing
Privátnost dat na Internetu
Hesla a jejich bezpečnost
Malware
Zabezpečení přenosu
Fyzický průnik do počítače
Shrnutí
Kudy může uniknout citlivá informace?
Přímo z počítače, po cestě, podvrženou službou
Služby mohou mít bezpečnostní slabiny
▪ Úniky databází kvůli slabině systému
▪ Úniky databází selháním zaměstnance
▪ K mým datům mohou mít administrátoři DB neomezený přístup
Informace je zaindexována robotem
▪ Vyhledávače, roboti pro spamming a sniffing
Vinou příjemce informace
Změna politiky nakládání s privátními daty
Politika Facebooku v roce 2005:
No personal information that you submit to Facebook will be available to
any user of the Web Site who does not belong to at least one of the groups
specified by you in your privacy settings.
Politika Facebooku v roce 2010:
When you connect with an application or website it will have access to
General Information about you. The term General Information includes
your and your friends’ names, profile pictures, gender, user
IDs, connections, and any content shared using the Everyone privacy
setting. ... The default privacy setting for certain types of information you
post on Facebook is set to “everyone.” ... Because it takes two to connect,
your privacy settings only control who can see the connection on your
profile page. If you are uncomfortable with the connection being publicly
available, you should consider removing (or not making) the connection.
Zdroj: Electronic Frontier Foundation, 2010
Jakákoli uniklá informace do veřejného
Internetu je obecně těžko odstranitelná
Historie vyhledávačů
Archivační služby
Uložená v cache či jinak stažená
Odvoditelnost informace
Jaké všechny informace lze odvodit z dostupných
informací?
▪ Veřejné informace na sociálních sítích
Většinu hrozeb odhadnou základní návyky
Pozor na zdánlivou podobnost Internetu s
offline světem – mýty:
Vím, kdo se mnou komunikuje
Sdělená informace má dočasnou trvanlivost
Jsem příliš malý na to, aby někoho zajímaly mé
osobní informace
Je snadné zajistit, aby choulostivé informace
neunikly
Základní principy z hlediska bezpečnosti
Motivace kyber-útočníků
Trocha historie
Krádeže identity a phishing
Privátnost dat na Internetu
Hesla a jejich bezpečnost
Malware
Zabezpečení přenosu
Fyzický průnik do počítače
Shrnutí
Kde hrozí riziko kompromitace hesla?
Je někde napsáno (na papíře, v souboru…)
Na jiném počítači jste se přihlásili k webové službě
a neodhlásili
Na počítači máte nainstalován monitorovací
software (keylogger)
Heslo je slabé (krátké, slovníkové, uhodnutelné)
Psaní hesla se dá odpozorovat
Heslo používáte v nějaké webové službě, jejíž
databáze je kompromitována
Jaká pravidla používat pro hesla?
Nikam je nepsat v přesné podobě
Alespoň 8 písmen, střídat znaky, čísla, písmena
Hierarchizace hesel
▪ Jiná hesla pro kritické služby, jiná pro nedůležité
▪ Pozor na slabý článek řetězu (‚zaslat zapomenuté heslo‘)
▪ Alternativní přístup: systém tvorby hesel, keyring
Vyhnout se slovům ze slovníku
Studie na základě hacku RockYou.com
Jaká hesla lidé nejčastěji používají?
1. 123456
2. 12345
3. 123456789
4. Password
5. iloveyou
6. princess
7. rockyou
8. 1234567
9. 12345678
10. abc123
Zdroj: PC World,
http://www.pcworld.com/businesscenter/article/187354/study_
hacking_passwords_easy_as_123456.html
Všude stejné heslo
Celkem
Většinou stejné heslo
29
46 a více let
37
39
31-45 let
20
19-30 let
0%
2
34
39
40%
6
37
38
20%
2
25
41
34
Neví
32
29
27
12-18 let
Všude jiné heslo
1
25
60%
80%
2
100%
Zdroj: : WIP 2008, n=511
43% uživatelů hesel používá v heslech pouze jeden typ znaků;
u neuživatelů Internetu je to dokonce 72%.
Významně vyšší složitost hesel lze nalézt pouze u Interneťáků.
Tři z deseti respondentů používá všude stejné heslo, zhruba stejné
množství používá všude heslo jiné.
Na základě čeho se může uživatel prokázat?
něčeho co zná (heslo, kódová otázka)
něčeho co má (mobil, magnetická karta,
kalkulačka)
něčeho co je (CAPTCHA, biometrika)
Vícefaktorová autentikace exponenciálně
zvyšuje bezpečnost
Škodlivý kód v počítači
Motivace kyber-útočníků
Trocha historie
Krádeže identity a phishing
Privátnost dat na Internetu
Hesla a jejich bezpečnost
Malware
Zabezpečení přenosu
Fyzický průnik do počítače
Shrnutí
„Souhrnný pojem pro jakýkoli software, který
při svém spuštění zahájí činnost ke škodě
systému, ve kterém se nachází“
In Základní definice vztahující se k tématu kybernetické bezpečnosti, MV ČR
Hlavní typy malware
Počítačové viry
Trojské koně
Spyware
Adware
Kudy se malware dostane do systému?
Spuštěním uživatelem
▪ Přímým spuštěním
▪ Automatickým spuštěním z externího média
▪ Spuštěním přílohy e-mailu
▪ Spuštěním aktivního prvku (Java nebo ActiveX appletu) z
webu
Kudy se malware dostane do systému?
„Zavirovaný“ dokument
▪ Aplikace zareaguje na speciálně napsaný dokument tak,
že spustí škodlivý kód (typicky makro využívající slabin
aplikace)
▪ Časté terče: Adobe Reader, Microsoft Office
Kudy se malware dostane do systému?
Neošetřená reakce na komunikaci přes Internet
▪ Mnoho aplikací reaguje na příchozí komunikaci z
Internetu (naslouchají na konkrétních portech na příchozí
pakety)
▪ Co když přijde zpráva, kterou aplikace neočekává a neumí
na ní reagovat?
▪ Může zprávu ignorovat (OK)
▪ Může se ukončit s chybovým stavem (OK)
▪ Může nedopatřením spustit podvržený kód (PROBLÉM)
Kudy se malware dostane do systému?
Speciální případ: Slabiny webových prohlížečů
▪ Webový prohlížeč může chybovat při pokusu o vykreslení
stránky, stejná situace jako u neošetřené komunikace
▪ Rizikové stránky
▪ Warez, pornografické servery
▪ Linky zkrácené přes optimalizátor URL
Jaká je typická činnost spuštěného malware?
Zajištění vlastního přežití a nedetekovatelnosti
▪ Příklady: Deaktivace antivirů, Maskování se před detekcí
Zajištění dalšího šíření
▪ Příklady: Rozesílání e-mailu na adresy z adresáře, infikace
externích médií, infikace po síti, šíření přes webové
stránky (pomocí kompromitovaných FTP účtů), přes
messengery, …
Jaká je typická činnost spuštěného malware?
Vzdálené řízení systému
▪ Převzetí kontroly nad systémem vzdáleným útočníkem
▪ Spouštění plánovaných operací (rozesílání spamu, DDoS
útoky, …)
▪ Botnet
Sniffing
▪ Lokalizace či monitoring přihlašovacích a jiných kritických
údajů (čísla kreditních karet, …), dat, dokumentů
Jaká je typická činnost spuštěného malware?
Zobrazování nevyžádané reklamy
▪ Objednávka nevyžádaných služeb nebo software
▪ Tzv. adware (dle jedné z definic)
Aktualizace systému a aplikací
Záplatuje slabiny
Antivir a anti-spyware
Periodická kontrola existence malware
Rezidentní kontrola spouštěného a přenášeného kódu
Chovat se adekvátně důvěryhodnosti protistrany
Bance povolím spouštění skriptů, warez stránce nikoli
Deaktivace automatického spouštění kódu z
externích médií
Firewall
Analyzuje a příchozí a odchozí komunikaci
Šifrované přenosy
Motivace kyber-útočníků
Trocha historie
Krádeže identity a phishing
Privátnost dat na Internetu
Hesla a jejich bezpečnost
Malware
Zabezpečení přenosu
Fyzický průnik do počítače
Shrnutí
Slabá místa na cestě ke koncovému uzlu
Mezilehlé uzly
▪ Mohou být zavirované nebo jinak zkompromitované
Přenosová média
▪ Možnost odposlechu
Hrozby
Odposlech komunikace a sniffing hesel
▪ Veřejná wi-fi
Ochrana
Šifrované spojení (HTTPS)
Šifrovaný přenos (SSL) vs certifikát
Když má nepovolaná osoba přímo přístupný počítač
Motivace kyber-útočníků
Trocha historie
Krádeže identity a phishing
Privátnost dat na Internetu
Hesla a jejich bezpečnost
Malware
Zabezpečení přenosu
Fyzický průnik do počítače
Shrnutí
Jak se nepovolaná osoba může dostat do
počítače?
Přihlásí se pomocí znalosti hesla
▪ Nebo pokud počítač chráněn heslem není
Dostane se k počítači v době, kdy je tam někdo
přihlášený
Dostane se k souborům v počítači přes síť
Odnese z počítače disk
Dle slabých míst v systému
Motivace kyber-útočníků
Trocha historie
Krádeže identity a phishing
Privátnost dat na Internetu
Hesla a jejich bezpečnost
Malware
Zabezpečení přenosu
Fyzický průnik do počítače
Shrnutí
Běžící program
3
4
(např. prohlížeč)
Připojení
5
Server
(např. WWW stránky)
Internet
0
PC / systém
2
Malware
Uživatel
1
Cizí
osoba
Mapa bezpečnostních rizik