1 / 22

Klaveri ja tooli vaheline probleem, ehk loll saab Internetis kah peksa

Kaido Kikkas kakk@kakupesa.net JCI Toompea 10.09.08. Klaveri ja tooli vaheline probleem, ehk loll saab Internetis kah peksa. Paar mõtet. “Suurim turvarisk asub alati klaviatuuri ja tooli vahel” - IT aksioom

mari
Télécharger la présentation

Klaveri ja tooli vaheline probleem, ehk loll saab Internetis kah peksa

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Kaido Kikkaskakk@kakupesa.net JCI Toompea 10.09.08 Klaveri ja tooli vaheline probleem, ehk loll saab Internetis kah peksa

  2. Paar mõtet • “Suurim turvarisk asub alati klaviatuuri ja tooli vahel” - IT aksioom • “Lollikindlat masinat ei ole võimalik luua, sest lollid on ülimalt leidlikud.” - üks amishi talumees Howard Rheingoldile • “Ei ole küsimus, KAS süsteemi sisse murtakse, vaid MILLAL.” - Kevin Mitnick

  3. Rebase sündroom • Tänapäeva Internet on nagu ta on. Aga kes selles süüdi on...?? Kurjad kräkkerid, pahad spämmerid, vastikud petised... • VÕI MEIE ISE? • Vanarahvas teab rääkida, et rebane olevat suht must loom: tegevat äk-äk omaenda pessa... • Halvemal juhul laseme ise rahumeeli rebasel enda sussi sisse häda teha • SÜÜDIMATUS POLE SIIN VABANDUS

  4. “A mul po....!?” • Kuidas meeldiks: • Võtan suure paki raha ja kasti kangemat • Lähen Silberautosse ja ostan uue Mersu kupee • Libistan kasti ära • Lähen linna peale kimama 130 km/h ja loendan huvi pärast allaaetud penskareid • Absurd...? Aga Internetis see nii käibki • Netis pole ei autokooli, ARKi ega liikluspolitseid

  5. “Tere! Minu nimi on Mati ja ma olen dambjuuser!” • Mati, elukutselt (näiteks) automüügimees • Ostis endale korraliku uhke arvuti. Suure kauplemisega sai ***-st päris soodsa diili, printer anti kauba peale ja programmid ka kõik puha sees • Läks ***-sse ja tellis hea kiire Interneti • Pakkis kodus arvuti lahti, patsiga poiss tuli ja pani ka võrgu käima • Natuke aega oli OK, siis hakkas jama • MIKS MU ARVUTI IMELIKKE ASJU TEEB?

  6. “Hähähä, paras lollile”??? • Tegelikult jätsid oma töö tegemata nii: • Arvutikaupmees • Tarkvaramüüja (kui on)‏ • Internetipakkuja • Suurim probleem kogu loo juures:TAVAKASUTAJA TURVALISUS JA TURVA-TEADLIKKUS EI KOTI MITTE KEDAGI • Ja pesa reostamine jätkub...

  7. Torm veeklaasis? • Äkki Kakk ajab siin lihtsalt jahu ja üritab skandaali püsti panna...? • Vt näiteks üht tänaseks juba päris vana lugu: http://www.theregister.co.uk/2004/08/19/infected_in20_minutes • Mahavõetud süsteemidest koosnev botnet on juba mitu aastat tarbekaup • “Ära võta isiklikult!” (järgneb kaks lasku pähe)‏ • Skriptitatt – loll, aga see-eest järjekindel

  8. “No mida nad ikka teevad?” • Võrk on aeglane, kuna sinu kettal olev porno-arhiiv on minev kaup (sul vedas, see polnud lasteporno)‏ • BSA tuleb, näeb ja võidab (sinu kettal oli mitmesaja kilo eest pirasofti)‏ • Pisikesed pilusilmsed onud müüvad varastatud krediitkaarte. Sinu arvutis muide ka. • “Teil on õigus vait olla, kõike öeldut võib kasutada teie vastu” - FBI-le ei meeldi muukijad • “Ups, internetipank on tühi...!!!”

  9. Ostan 2 tunniks 3000 arvutit • Mida nendega peale hakata? • Erinevaid huvitavaid asju: • Saab saata hästi palju kirju üle maailma (näiteks pakkudes müüa erinevaid püstiajavaid asju või rääkides mõne huvitava loo surnud kindralist)‏ • Saab vihamehe või konkurendi netist minema peksta (DDoS-ründe abil)‏ • Saab ka mõne rikka, aga totu internetikaupmehe käest pappi küsida – kui ei maksa, vt. eelmist punkti. (nädala pärast teeme jälle ja küsime rohkem)‏

  10. Sogases netis kala püüdmine • “Ligupeetud kasutaja, muutke parolit...” • “Your PayPal account must be reactivated” • “I am Dr. Mobutu Mugu, an illegal son of a Congo Prime Minister....” • Jällegi on sageli jäänud kodutöö tegemata • Nimeserverite mürgitamine ja domeenitüngad on juba aga märksa raskemad juhtumid – siin aitab ainult kasutaja hea tähelepanu ja teadlikkus

  11. Ekskurss: Nigeeria • Miks just nemad? • Rikas maa, vaesed inimesed <= tohutu ebavõrdsus • Pikk ajalooline pettustetraditsioon, ulatub kaugele neti-eelsesse aega (organiseeritud kuritegevus ~ riigivõim)‏ • Suur maa, palju segaste suhetega hõime (hea end peita)‏ • Ca 250 rahvusrühma => inglise keel ühiskeeleks • Aafrika kohta hea haridustase (kirjaoskus 2006 68%)‏ • Küllalt hea IT-infrastruktuur (2005 57. maailmas)‏ • NB! Mitmes mõttes üsna sarnane Ida-Euroopaga!

  12. Alati ei ole üldse arvutit vaja • Phishing on võrgunähtus, kuid samalaadseid asju saab teha täiesti ka ilma arvutita • Vahel piisab täiesti telefonist või lihtsalt heast suhtlusoskusest • Ala suurmeister oli ilmselt Kevin Mitnick (soovitan lugeda tema “Art of Deceptioni”!)‏ • Stanley Rifkin, Security Pacific Bank ja 10 200 000 dollarit

  13. Manipulaatori põhimeetod • Kogu näiliselt süütute päringute abil maksimaalselt palju infot objekti kohta • Kasutades kogutud infot, mängi omainimest ning saa ligipääs olulisele infole • Kasuta saadud tähtsat infot oma äranägemise järgi

  14. Näide 1 • Osakonna raamatupidaja tädi Maalile helistab „Martin Meri siseauditi osakonnast“. Küsib järjekorras selliseid küsimusi: • Mitu töötajat on teie osakonnas? • Kui palju on kõrgharidusega töötajaid? • Kes vastutab osakonnas personalitöö eest? • Kui tihti korraldatakse osakonnas täienduskoolitusi? • Mis on osakonna personalikulude kontonumber raamatupidamises? • Mitu töötajat on lahkunud viimase aasta jooksul? • Milline on osakonna üldine tööõhkkond? • Mis siin valesti on...?

  15. Näide 2 • Vajalik varustus: mobla + kõnekaart • 1.kõne: firma raamatupidamisse hr. Sepale; mängida helpdeski ja küsida, kas kõik on ikka korras ja jätta „igaks juhuks“ oma telefon. Muu hulgas küsida ka võrgukaabli pesa numbrit. • 2.Kõne: firma IT-osakonda. Jätta mulje, et räägitakse „hr. Sepa kontorist“ ja paluda konkreetse numbriga kaablipesa välja lülitada. • 3.Oodata, kuni hr. Sepp paanikasse läheb ja „helpdeskile“ oma probleemiga helistab. Siis teha tähtsat nägu ja lubada aidata lahendada.

  16. Tunnikese pärast on asi korras – muidugi tuleb helistada vahepeal uuesti IT-osakonda ja paluda ühendus sisse lülitada. • 4.„Et seda enam ei juhtuks“, paluda hr. Sepal alla laadida üks programm ja käima panna. See ei tee midagi nähtavat – vabandada, et „oih, ei tööta“ ja paluda allalaetu kustutada. • MISSION COMPLETE - hr. Sepp laadis just oma masinasse trooja hobuse... • (Telefon pärast prügikasti - muidugi enne teha mälu tühjaks ja võtta aku välja)‏

  17. Näide 3 • Uus spordiala: mugu-baiting • Põhiidee: vastatakse mõne “Dr Mobutu” kirjale, mängitakse lolli valget meest (stiilipunkte annab endale võimalikult napaka nime väljamõtlemine nagu Gerald Womo Milton Glockenspiel) ja üritatakse seejärel õnnetu “ettevõtja” igasuguseid asju tegema panna. • Parimad pojad on saanud ise raha või lennutanud nigeerlase tema oma kulul New Yorki kohtuma. • Manipulatsiooni kõrgpilotaaž! • VT näiteks http://www.whatsthebloodypoint.com

  18. Mõned levinud petuskeemid • Lihtne “külm arve” netioksjonil • Autopettused (“ettemaks”, “maksa osa tagasi”)‏ • Tibitillikad (pardon) - “saada raha, tulen sinu juurde” • Tšeki- ja rahakaardipettused (üksnes USA)‏ • “Postkast” mõnes tsiviliseeritud riigis (sageli “pruut”) - ostmine varastatud krediitkaardiga • Ohvreid otsitakse tihti spämmi kaudu (“äriidee!”)‏

  19. Tavakasutaja 10 käsku • Et asi liiga jõrinaks ei läheks, siis paar konstruk-tiivsemat punkti ühe üsna traditsioonilise malli järgi, mida tasuks kasutajatele õpetada: • 1.Sina pead oma arvutisüsteemi uuendama, sest viirused, pahavara ja kurjad inimesed ei jäta lohakat mitte karistamata. • 2.Sina ei pea mitte võtma enesele ilmaasjata administraatoriõigusi. • 3.Sina pead valima oma paroolid korralikult, eriti administraatori oma, ja sinu paroolidel ei pea mitte olema mõistlikku tähendust üheski sinule teadaolevas keeles.

  20. 4.Sina pead tegema igale oma arvuti kasutajale tema enese konto. • 5.Sina pead panema oma arvutisse tulemüüri, antiviiruse ja nuhkvaratõrjuja ning neid tihedasti kasutama, kui sina soovid jääda Windowsi juurde. • 6.Sina ei pea mitte puutuma tundmatuid manuseid oma e-kirjades ega lubama seda teha kellelgi, kes sinu kojas elab. • 7.Sina pead kasutama rämpspostifiltrit. • 8.Sina pead teadma, mis tarkvara sinu arvutis on. • 9.Sina teed hästi, kui sina kasutad OpenOffice.org'i, Mozilla Thunderbirdi ja Firefoxi MS Office'i, MS Outlooki ja Internet Exploreri asemel. • 10.Sina pead usinasti taotlema tarkust ja otsima tarku inimesi enesele abiks. Tark inimene teeb ühe korra valesti, rumal teeb seda aina uuesti.

  21. Igaks juhuks veel • Usalda, aga kontrolli • On kohti, kus kehtib “mis pole lubatud, on keelatud” • Liiga hea, et olla tõsi? Ilmselt ongi • Rahaasju aetakse inimestega, keda tuntakse kauem ja ollakse üldjuhul ka näinud • Võrguostudeks kasuta virtuaalset krediitkaarti

  22. Tänan kuulamast

More Related