Przestępstwa i oszustwa internetowe. Przykłady i metody obrony. Prof. dr. hab. Piotr Bała Wydział Matematyki i Informatyki UMK Toruń 9.05.2001
Download ReportTranscript Przestępstwa i oszustwa internetowe. Przykłady i metody obrony. Prof. dr. hab. Piotr Bała Wydział Matematyki i Informatyki UMK Toruń 9.05.2001
Przestępstwa i oszustwa internetowe.
Przykłady i metody obrony.
Prof. dr. hab. Piotr Bała
Wydział Matematyki i
Informatyki UMK
Toruń 9.05.2001
2
Bezpieczeństwo
safety
security
ochrona przed
zagrożeniami
„naturalnymi” (awarie)
ochrona przed
zagrożeniami
spowodowanymi
wrogą działalnością
ludzi
– awarie sprzętu
– błędy oprogramowania
– błędy ludzkie (np.
nieumyślne skasowanie
danych z dysku...)
P. Bała WMiI UMK
3
Polityka Bezpieczeństwa określa:
Przedmiot ochrony i priorytety określonych obiektów
Przed jakimi działaniami obiekty mają być chronione
Realną szansę zagrożenia i opłacalność działań
Odpowiedzialność za bezpieczeństwo
Procedury i obowiązki pracowników w zakresie ochrony
obiektów (administratorzy, pracownicy)
Sposoby reagowania w sytuacjach wyjątkowych
Pierwszeństwo odcięcia ataku czy śledzenia
Czym jest naruszenie polityki (dokładnie i szeroko)
Konsekwencje wobec naruszenia polityki przez
pracownika.
P. Bała WMiI UMK
4
Przyczyny awarii systemów IT
Pomyłki ludzi
4%
Niezadowolony
personel
Nieuczciwy personel
20%
2%
10%
55%
9%
Ataki z zewnątrz
Problemy fizycznych
zabezpieczeń
Wirusy
P. Bała WMiI UMK
5
Replikacja systemów
Duplikowane źródła zasilania
Fizyczna redundancja urządzeń
Urządzenia zapasowe
Klasteryzacja serwerów
– Kilka zsynchronizowanych serwerów (np. Google)
Technologia „hot swap”
– Wymiana krytycznych elementów bez wyłączania
systemu
• Sun, HP, IBM
Eliminacja punktów krytycznych („single point
failure”)
P. Bała WMiI UMK
6
Niezawodność systemów
Średni uptime
HP-UX
SunOS
NetWare IA32
FreeBSD
NetBSD
OpenBSD
IRIX64
Linux
Windows
Darwin
538 days
241 days
161 days
124 days
104 days
93 days
86 days
78 days
19 days
7 days
Klasa niezawodności
– 99%
- 3.5 dnia/rok
– 99.9%
- 9 godzin/rok
– 99.99%
- 50 minut/rok
P. Bała WMiI UMK
7
Survival time
Czas
(w minutach)
od instalacji
systemu do
jego
zainfekowania
Internet Storm Center http://isc.sans.org/
P. Bała WMiI UMK
8
Replikacja danych
Transakcyjne bazy danych
Technologia RAID
Transakcyjne systemy plików (XFS)
Archiwizacja i replikacja danych
– Dyski zapasowe z aktualnym obrazem systemu
– Archiwizacja danych
– Archiwizacja na nośnikach zewnętrznych
• dyski, CD, DVD, taśmy
– Archiwizacja inkrementalna
Ważne dane nigdy nie powinny istnieć tylko w
jednym egzemplarzu!
P. Bała WMiI UMK
Procedury archiwizacji i odzysku
danych
9
1.
Zarchiwizuj dane. Sprawdź poprawność wykonanej kopii.
2.
Uwtórz plan odtwarzania danych i przećwicz go w
praktyce.
Lokalizacja kopii (data, typ kopii – pełna, częściowa)
Lista oprogramowania, włączając dokonywane uaktualnienia
Lokalizacja sprzętu zastępczego
3.
Nie dokonuj aktualizacji systemu bez stworzenia pełnej
kopii zapasowej.
4.
Dokumentację systemu wraz z oryginalnymi nośnikami
oprogramowania przechowuj w bezpiecznym miejscu.
5.
Kasuj stare pliki (nieużywnane, poprzednie wersje).
6.
Bądź przygotowany na klęski żywiołowe (archiwizacja
danych w fizycznie odległych miejscach).
P. Bała WMiI UMK
10
Pomyłki ludzi
Odpowiedzialne za 55% awarii
Problem analfabetyzmu informatycznego
– ECDL, advanced ECDL, certyfikaty
(www.pti.org)
Brak doświadczonego personelu
Niski poziom firm IT w Polsce
Bezrobocie strukturalne
Konieczność szkolenia pracowników
P. Bała WMiI UMK
11
Pomyłki ludzi
Wielokrotne sprawdzanie decyzji
Ograniczony dostęp w zależności od stanowiska
Archiwizacja danych
Logiczne (a nie fizyczne) usuwanie danych z bazy
– Kłopoty z Ustawą o ochronie danych osobowych
(wymaga fizycznego usuwania danych z bazy)
Logowanie aktywności użytkowników
– Możliwość określenia kto wprowadził modyfikacje
– Czynnik psychologiczny
Zabezpieczenia przed modyfikacją logów
– Przesyłanie logów na dedykowany system
P. Bała WMiI UMK
12
Bezpieczne oprogramowanie
Korzystanie ze sprawdzonych aplikacji
– aplikacje wykorzystywane są zazwyczaj kilka –
kilkanaście lat
– oprogramowanie OpenSource jest często lepiej
sprawdzone
Zakup wsparcia technicznego i utrzymania
oprogramowania
Stosowanie otwartych standardów wymiany
danych
– dyrektywa UE
– ułatwia archiwizację i migrację danych
P. Bała WMiI UMK
Systemy zarządzania obiegiem
dokumentów
13
BSCW....
P. Bała WMiI UMK
14
2005 Computer Crime Survey - straty
Przestępstwa elektroniczne zaczynają być
problemem
– Computer Crime Survey – po raz pierwszy w 2004 roku
639 respondents – starty
$130,104,542
– Wirusy
$42,787,767
– Nieautoryzowany dostęp
$31,233,100
– Kradzież informacji
$30,933,000
– DOS (denial of service category)
$7,310,725
– Nadużycie dostępu do sieci
$6,856,45
Średnia strata
$200,000
P. Bała WMiI UMK
Przyczyny powstawania strat
finansowych
44
15
Wirusy
40 9
Kradzież Laptopów
70
319
71
Nadużycie dostępu do
sieci
Ataki DoS
Kradzież poufnych
informacji
Dostęp bez zezwolenia
72
Włamania do systemu
95
Sabotaż
Oszustwa finansowe
250
196
Źródło danych: CSI/FBI Computer Crime & Security Survey 2004
Oszustwa
telekomunikacyjne
P. Bała WMiI UMK
16
Przestępstwa elektroniczne
Źródło danych: CSI/FBI Computer Crime & Security Survey 2005
P. Bała WMiI UMK
17
Przestępstwa elektroniczne
Brak procedur w połowie firm w USA
Źródło danych: CSI/FBI Computer Crime & Security Survey 2005
P. Bała WMiI UMK
18
Najczęściej spotykane
malware
DoS
SPAM
nieautoryzowany dostęp (z
phishing
nieautoryzowany dostęp (z
oszustwa
kradzież własności
kradzież informacji zastrzeżonej
kradzież tożsamości
sabotaż
wymuszenie
0
10
20
30
40
50
60
70
80
P. Bała WMiI UMK
19
Najczęstsze ataki
Malware (szkodliwe oprogramowanie)
– wirusy
Ataki DOS (Denial of Service)
Spam
Ataki brute force na pliki haseł i usługi
Sniffing (podsłuchiwanie)
Spoffing (podszywanie się)
Phishing
Exploitowanie usług i programów
P. Bała WMiI UMK
20
Szkodliwe oprogramowanie
Przechwytywanie poufnych informacji
– Hasła
– Numery kart kredytowych
– Numery kont bankowych
75% programów w 50. najbardziej szkodliwych
programów w I połowie 2005 roku
50% w poprzednim półroczu.
Źródło: Dziennik Internetowy www.di.com.pl 23.09.2005
P. Bała WMiI UMK
21
Łamanie haseł
Zasada działania
– próby odgadnięcia podstawiając kolejne kombinacje
liter i znaków
– opierając się na prawdopodobieństwie hasło z 6
znaków to 24^6 kombinacji (20 000 000)
– czas przetestowania dla hasła z 6 znaków - kilka
sekund
Wydajność
– Wydajniejsze metody przy zastosowaniu słowników
– Wpływa: złożoność i długość hasła, oraz czas
potrzebny na sprawdzenie hasła
P. Bała WMiI UMK
22
Przeciwdziałanie łamaniu haseł
Stosowanie długich haseł
Stosowanie mocnych funkcji jedno kierunkowych
do szyfrowania haseł (MD5)
Stosowanie mechanizmów blokady po określonej
ilości złych haseł
Stosowanie haseł złożonych z losowych znaków
lub co najmniej jednego znaku specjalnego, cyfry,
małej i wielkiej litery
Prawidłowe zabezpieczanie plików haseł
P. Bała WMiI UMK
23
Przeciwdziałanie łamaniu haseł
Szkolenia personelu w zakresie odpowiedzialności
za hasła dostępu i sposobów ich dobierania.
Dostęp do kont tylko poprzez połączenia
szyfrowane
Okresowe sprawdzanie odporności haseł na
łamanie
Stosowanie podwójnych zabezpieczeń
– biometryczne, karty etc.
P. Bała WMiI UMK
24
Inne sposoby uzyskania hasła
KeyLoggery
Miniaturowe kamery video
– hasło powinno być wpisywane palcami obu rąk
Notatki
– hasło nie może być zpisywane
Nieświadomi pracownicy
– Podstawowy sposób uzyskiwania nieautoryzowanego
dostępu
– w Starbburks Coffe (USA) 75% osób podało hasło w
zamian za kawę ($5)
P. Bała WMiI UMK
25
Sniffing
Zasada działania
– tryb ogólny (promiscious)
– przechwytywanie i analiza pakietów
Podatność Ethernet na ten typ ataku
– wspólne medium
Ogromne zagrożenie w sieciach
bezprzewodowych
P. Bała WMiI UMK
26
Podatność na sniffing
Usługi najczęściej stosowane
– FTP, HTTP, POP3, Telnet, SSH1
– wszelkie nieszyfrowane np. GG, ICQ, IRC
Należy stsosować zamienne usługi szyfrowane
– SFTP, HTTPS, POP3 po SSL, SSH2
Ogromne zagrożenie w dużych sieciach i tam
gdzie jest łatwość podłączenia własnego
komputera
Konieczność dzielenia sieci na segmenty
– Routery, switche (nie do końca skuteczne)
P. Bała WMiI UMK
27
Wykrywanie sniffingu
ARP test
– sniffer odpowiada na pakiet jak by był do niego
zaadresowany nawet gdy MAC jest spreparowany.
Wysyłamy ARP request z innym adresem MAC
Test DNS
– sniffer wysyła zapytania o nazwę nadawcy
Test ICMP
– icmp echo request i nieprawidłowy MAC
P. Bała WMiI UMK
28
Firewall
Skanowanie
Ataki typu
„back door”
Serwer plików
Serwer poczty
IP spoofing
Kradzież
Serwer WWW
Sabotaż
Podmiana
stron www
FIREWALL
P. Bała WMiI UMK
29
Firewall osobisty
W Korei Południowej każda osoba korzystająca z
bankowości internetowej zobowiązana jest przez rząd do
używania firewalla osobistego.
Rząd chce także przygotować własny zestaw narzędzi
antyhakerskich, które będą udostępniane użytkownikom.
Planowane jest również stworzenie centralnie zarządzanego
systemu uwierzytelnienia, mającego stanowić gwarancję
tożsamości osoby dokonującej transakcji.
Wynikiem przeświadczenia, że obawa przed wyciekiem
poufnych danych przy dokonywaniu transakcji online jest
hamulcem rozwoju handlu internetowego.
Źródło: Dziennik Internetowy www.di.com.pl 23.09.2005
P. Bała WMiI UMK
30
Exploity
Działanie
– wykorzystanie wad oprogramowania by wykonać
własny fragment kodu
Techniki
– Buffer overflow - stosowane by nad pisać adres
powrotu z funkcji i prze kierować go do wnętrza bufora.
– Kod wywołuje shell bądź wykonuje dowolne polecenia
lub funkcje systemowe
– exploitowanie programów SUID lub działających w
trybie jądra lub jako usługa uprzywilejowana
P. Bała WMiI UMK
31
Buffer Overflow
Podatne są programy korzystające z funkcji nie
określających długości bufora a operują na
stringach
W C++ string jest pojmowany jako ciąg znaków aż
do pojawienia się ZERA
Będąc nieostrożnym można skopiować więcej niż
się chciało
Częste naruszenie ochrony pamięci
P. Bała WMiI UMK
32
Buffer Overflow
Kod Programu
Niskie adresy
(początek pamięci procesu)
Text (statyczne)
Kolejne zmienne i dane związane
z wywołaniami funkcji odkładane
są na stos
Początek stosu
Wysokie adresy
P. Bała WMiI UMK
33
Buffer Overflow
Kod Programu
bufor
Text (statyczne)
dalsze elementy stosu
Overflow
Adres powrotu z funkcji
bufor
stos
Początek stosu
Koniec bufora
Początek bufora
Wystarczy w miejsce adresu powrotu
umieścić adres początku bufora w
którym jest kod wywołujący shell
P. Bała WMiI UMK
34
Wirusy (1)
Nimda (wrzesień 2001)
– Wykorzystywał znane dziury w serwerach serwisów
internetowych i używał Outlooka oraz Outlook
Expressa do dystrybuowania się poprzez e-mail.
Blaster (2003/2004)
– Wykorzystano 500 000 zainfekowanych komputerów
do ataku na serwer Microsoftu
P. Bała WMiI UMK
35
Wirusy (2)
MyDoom (2003/2004)
– 1 000 000 serwerów do ataku na SCO i Microsoft
P. Bała WMiI UMK
36
Wirusy (2)
Akher-F (kwiecień 2005)
– Rozprzestrzenia się za pośrednictwem poczty
elektronicznej jako załącznik ZIP ("sexy clip" z
udziałem Angeliny Jolie oraz Brada Pitta)
– Rozsyła się do osób z książki adresowej
– Przeprowadza atak DOS
– Cel ataku Microsoft
P. Bała WMiI UMK
37
120,000
900M
Zagrożenia hybrydowe
(CodeRed, Nimda, Slammer)
800M
100,000
700M
Denial of Service
(Yahoo!, eBay)
600M
500M
Wirusy „Mass Mailer”
(Love Letter/Melissa)
400M
300M
200M
100M
80,000
Zombies
60,000
Zagrożenia
wirusowe*
40,000
Ataki
sieciowe**
Wirusy polimorficzne
(Tequila)
20,000
0
0
1995
1996
1997
1998
1999
2000
2001
2002
*Analiza dokonana przez Symantec Security Response na podstawie danych
z Symantec, IDC & ICSA; 2002
**Źródło: CERT
P. Bała WMiI UMK
Ilość ataków sieciowych
Ilość ataków wirusowych
Trendy w atakach
38
Wirusy w poczcie elektronicznej
P. Bała WMiI UMK
39
Ewolucja zagrożeń
Zasięg
globalny
Przyszłe zagrożenia
„Flash threats”?
Rozległe DDoS wykorz. robaki?
Krytyczne ataki na infrastr.?
Zasięg
Sektor
Regionalny
Robaki email
DDoS
Hacking kart kredyt.
Pojedyncze
Organizacje
Pojedyncze
PC
Zagrożenia hybrydowe
Limited Warhol threats
DDoS wykorz. robaki
Hacking infrastruktury
1sza gen. wirusów
Indywidualne DoS
Podmiana WWW
1990-te
2000
2003
Czas
P. Bała WMiI UMK
KLEZ dotarł wszędzie w ciągu 2.5 godz.
P. Bała WMiI UMK
40
Slammer dokonał tego w ciągu 10 minut!
P. Bała WMiI UMK
41
SQLSlammer – rozwój zagrożenia
Najszybciej
rozprzestrzeniający się
robak.
Ponad 90% podatnych
na atak serwerów
zostało zainfekowane w
ciągu 10 minut.
Podwojenie liczby
zainfekowanych maszyn
następowało co 8.5
sekundy (dla CodeRed
37 minut).
Źródło:
http://www.cs.berkeley.edu/~nweaver/sapphire/
Pierwszy robak typu
P. Bała WMiI UMK
“Warhol”.
42
43
Rozwój zagrożeń: „Day-zero Threat”
Zagrożenie day-zero
threat to exploit
wykorzystujący
nieznaną wcześniej,
a w związku z tym
niezabezpieczoną
lukę.
Okno czasowe
luka - zagrożenia
Wykrycie luki
Pojawienie się
zagrożenia
Czas
Istotny czas od
wykrycia luki do
opublikowania metod
jej usunięcia
P. Bała WMiI UMK
44
Spam
Niechciane e-maile
– Serwery Open relay
– Rozsyłane często z zainfekowanych serwerów
38% respondentów zetknęło się ze spamem
Szacunkowo 60-70% e-maili, 50% SMSów
Próba wyłudzenia pieniędzy, oferta usług i towarów
– Spam Niegeryjski
– Oferty na środki typu Viagra
P. Bała WMiI UMK
45
Spam
P. Bała WMiI UMK
46
Spam Nigeryjski
I am the Santa Claus jr, son of the famous Santa
Claus from the North Pole. [..]
I have inherited a lot of toys that I have to send to
some worthy individual. Of course you need to
make some dwon payment to receive them, but I
will tell you about it later.
Right now all you need to know is that the total
value of these toys is uhhh million USD and you
will get 20 percent if you agree to help me.
P. Bała WMiI UMK
47
Spam - przeciwdziałanie
Filtrowanie poczty
– problem z detekcją spamu
Ograniczanie dostępu do serwerów pocztowych
– Autoryzacja przed wysłaniem poczty
– Połączenia szyfrowane
– Blokowanie portów SMTP
P. Bała WMiI UMK
48
Phising
Adresat otrzymuje e-mail z prośbą o zalogowanie
się na określoną stronę i uaktualnienie swoich
danych oraz zmienę hasła.
Wykorzystuje nieświadomość adresata.
Zazwyczaj wymagane jest podanie danych
kompletnych – nie wymaganych przez bank.
P. Bała WMiI UMK
49
Phising
Websense, firma zajmująca się monitoringiem
internetu, ostrzega przed zmasowanymi atakami
phisherów na europejskie instytucje finansowe.
Europejskie instytucje są mniejsze niż
amerykańskie i podobno mają słabsze
zabezpieczenia.
Tylko podczas ostatniego weekendu (15.09.2005),
Websense odkryła zmasowane ataki skierowane
przeciwko ponad dwudziestu europejskim bankom,
głównie z Hiszpanii i Włoch.
Źródło: Dziennik Internetowy www.di.com.pl 23.09.2005
P. Bała WMiI UMK
50
Inteligo - 9.02.2005
Mail z konta: [email protected]
Wezwanie do zalogowania się na stronę:
www.inteligobank.friko.pl
Podobne akcje: CitiBank – styczeń 2004
P. Bała WMiI UMK
P. Bała WMiI UMK
P. Bała WMiI UMK
P. Bała WMiI UMK
najgroźniejszy phishing - farming
WWW
nasz
komputer
DNS
fałszyw
e
WWW
P. Bała WMiI UMK
55
Skan portów
P. Bała WMiI UMK