1 / 17

Varna uporaba interneta

Varna uporaba interneta. Gorazd Božič SI-CERT, ARNES, Jamova 39, Ljubljana gorazd.bozic @arnes.si SAFE.SI projekt, Prireditev “Otroški bazar”, Ljubljana, 15. 9. 2006. Pregled predavanja. ranljivosti in motivi možni preventivni ukrepi ukrepi po incidentu zaključek. Nivoji ranljivosti.

osman
Télécharger la présentation

Varna uporaba interneta

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Varna uporaba interneta Gorazd BožičSI-CERT, ARNES, Jamova 39, Ljubljanagorazd.bozic@arnes.siSAFE.SI projekt, Prireditev “Otroški bazar”, Ljubljana, 15. 9. 2006

  2. Pregled predavanja • ranljivosti in motivi • možni preventivni ukrepi • ukrepi po incidentu • zaključek

  3. Nivoji ranljivosti strojna oprema BIOS uporabnik operacijski sistem aplikacija

  4. Šum v ozadju Ne, 219.146.177.175 je vir prometa in ne cilj! Običajen spletni promet? Apr 16 15:03:29.339239 219.146.177.175.80 > AA.BB.CC.DD.31030: S 1025052374:1025052374(0) Apr 16 17:09:49.428737 153.5.24.121.2339 > AA.BB.CC.DD.1433: S 1678550349:1678550349(0) win 65535 Apr 16 17:09:52.347699 153.5.24.121.2339 > AA.BB.CC.DD.1433: S 1678550349:1678550349(0) win 65535 Apr 16 17:12:33.828489 204.16.208.104.56946 > AA.BB.CC.DD.1026: udp 345 (DF) Apr 16 17:12:33.828678 204.16.208.104.56946 > AA.BB.CC.DD.1027: udp 345 (DF) Apr 16 17:12:33.888182 204.16.208.104.56946 > AA.BB.CC.DD.1027: udp 345 (DF) Apr 16 17:14:34.153327 204.16.208.111.49854 > AA.BB.CC.DD.1026: udp 417 (DF) Apr 16 17:14:34.153491 204.16.208.111.49854 > AA.BB.CC.DD.1027: udp 417 (DF) Apr 16 17:16:50.472032 12.102.208.104.0 > AA.BB.CC.DD.1025: udp 315 Apr 16 17:16:50.473429 12.102.208.104.0 > AA.BB.CC.DD.1026: udp 315 Apr 16 17:21:30.410291 218.27.194.67.49779 > AA.BB.CC.DD.1026: udp 900 (DF) Apr 16 17:21:30.410454 218.27.194.67.49779 > AA.BB.CC.DD.1027: udp 900 (DF) Apr 16 17:40:09.332529 218.27.194.66.59865 > AA.BB.CC.DD.1026: udp 900 (DF) Apr 16 17:40:09.333966 218.27.194.66.59865 > AA.BB.CC.DD.1027: udp 900 (DF) Apr 16 17:40:47.358476 204.16.208.111.49854 > AA.BB.CC.DD.1026: udp 417 (DF) Apr 16 17:40:47.358639 204.16.208.111.49854 > AA.BB.CC.DD.1027: udp 417 (DF) Apr 16 18:06:41.707050 204.16.208.111.49854 > AA.BB.CC.DD.1026: udp 417 (DF) Apr 16 18:06:41.707264 204.16.208.111.49854 > AA.BB.CC.DD.1027: udp 417 (DF) Kdo je 219.146.177.175? inetnum: 219.146.0.0 - 219.147.31.255 netname: CHINATELECOM-sd descr: CHINANET shandong province network descr: China Telecom descr: No.31,jingrong street descr: Beijing 100032 country: CN Napad na MS SQL strežnik Podtaknjene “reklame”

  5. Socialni inženiring Registrant: JT McGinty 426 Bougainvillea St NW Palm Bay, Florida 32907 United States Administrative Contact: McGinty, JT fuzzball@fibertel.com.ar 426 Bougainvillea St NW Palm Bay, Florida 32907 United States (321) 674-9555 Fax -- Argentina

  6. Phishing

  7. Motivi vdiranja • dokaz znanja, premoči • maščevanje • vandalizem • razobličenje spletnih strani • uničevanje podatkov • skrivanje svojega izvora (IRC “bouncer”) • gmotna in drugačna neposredna korist • nameščanje botneta za spam • DDoS napadi ali vdor v rivalski BitTorrent tracker • igralni strežniki

  8. Primer motiva [ 14:02:16 ] [ @Bl4cky ] PLISS KDO VE: jaz bi rabo nek virus :D za učitelco da bi ji poslal neki po mailu pa bi ona to odprla in bi se ji naloil virus in bi jaz lahko pol dostopil do njenih podatkov ? :DDD [ 14:02:17 ] [ @SeNcA ] JUMP DA FUCK UP [ 14:02:17 ] [ @Bl4cky ] :DDDDDD [ 14:02:20 ] [ @Bl4cky ] rabim test [ 14:02:23 ] [ @Bl4cky ] in ga ima na pcju [ 14:02:26 ] [ @SeNcA ] bl4cky [ 14:02:29 ] [ @SeNcA ] ownaj boxo [ 14:02:29 ] [ @SeNcA ] :D [ 14:02:33 ] [ @Bl4cky ] lol [ 14:02:34 ] [ @Bl4cky ] če ima [ 14:02:35 ] [ @Bl4cky ] arne [ 14:02:36 ] [ @Bl4cky ] s: [ 14:02:36 ] [ @SeNcA ] ja [ 14:02:37 ] [ @SeNcA ] :D [ 14:02:37 ] [ @Bl4cky ] :D [ 14:02:39 ] [ @SeNcA ] lol [ 14:02:40 ] [ @Bl4cky ] pa sploh ne irca [ 14:02:41 ] [ @SeNcA ] lamerks [ 14:02:42 ] [ @SeNcA ] lamerka* [ 14:02:43 ] [ @Bl4cky ] preko maila

  9. Plačaj, ali pa … (TeŽaK) [18:04:42] Martin: kwa je zdaj ti n00b? [18:04:46] -------: kaj [18:04:49] Martin: a bo keš? [18:04:52] Martin: pička ti čorava … [18:06:13] -------: sam v čem je finta da nas dosaš [18:06:16] Martin: k bom kr dosnu [18:06:26] Martin: kwa v čem? [18:06:29] Martin: ker niste keš poslali … [18:06:50] -------: če pa naprej smo lahk igrali [18:06:55] -------: pol pa kr da mormo plačat [18:06:58] -------: neja mormo kr tak hitro [18:07:30] -------: ja komu te naj dam dnar [18:07:40] Martin: ma tale tžak te sploh ni ddoso kak 1 tedn ko sploh … [18:10:26] Martin: v pondelek da daš tžaku [18:10:37] Martin: oz. bom kr dau dosat … [18:11:19] Martin: k ste v januarju sam vi igrlai [18:11:22] Martin: mi nč [18:11:23] Martin: tk da [18:11:31] -------: ja zakaj niste prej rekli [TeŽaK]: maš jurja štirosto [TeŽaK]: ? ------------: 1000 mam [TeŽaK]: juter [TeŽaK]: v sql da daš [TeŽaK]: 400 pa ko boš mel [TeŽaK]: ok? [13:01:21] [TeŽaK] http: zaj bo zlodej brez neta :P [13:01:30] ------------: zakaj [13:01:37] [TeŽaK] http: sej oš vido [13:01:38] [TeŽaK] http: ;D [13:01:50] [TeŽaK] http: pa tebe bom tud dal če do pondelka ne vrneš keša [13:01:57] [TeŽaK] http: pol pa boš tak dolgo brez dokler neboš dal :S [13:02:09] [TeŽaK] http: ok? [13:02:14] ------------: hahahahaha [13:02:18] ------------: daj naprej zlodeja da vidimo [13:02:22] [TeŽaK] http: ja [13:02:25] [TeŽaK] http: sam mal da še zrihtam [13:02:29] [TeŽaK] http: upam da bo do dan zvečera [13:02:38] [TeŽaK] http: resno ti pravim stari [13:02:41] [TeŽaK] http: ker ko nastaviš 1x [13:02:48] [TeŽaK] http: bol težko da jih ustaviš [13:02:50] [TeŽaK] http: da nebojo več :S [19:20:34] ------------: s kom si bil na pici? [19:20:42] [TeŽaK]: starimi skom pa [19:20:46] ------------: aja [19:20:47] ------------: nvm [19:20:51] [TeŽaK]: debil [19:20:52] ------------: vprašam [19:21:31] [TeŽaK]: ma kupla dnet? 450 botkov.... na 1 mesec 3k vsak mesec da vsa 1500 lahk frend zrihta drugače prite 8-10k.. tebe sm z 30 DDOSO pa te je v momentu sfukalo je pa še jih 450 gor!!!!!! jaojao [19:21:32] [TeŽaK]: ka to dela [19:21:36] [TeŽaK]: ma kupla? [19:21:49] ------------: ja [19:21:51] ------------: jas bi ne [19:21:54] ------------: ok [19:21:59] ------------: se ma v šoli zmenla [19:22:02] [TeŽaK]: ja [19:22:02] ------------: grem cod igrat [19:22:07] ------------: na ghost clan server [19:22:07] [TeŽaK]: loool ajde [19:22:09] ------------: brb

  10. TeŽaK je res podjeten Date: XX Feb 2006 18:05:10 To: si-cert@arnes.siFrom: XXXXXXXX <xxxxxxxx@hotmail.com>Pozdravljeni!Imam ponudbo. Zasačo sem več ddosnetov in ker vem da to ni prav sem se odločil da bom prijavo na arnes. Sem tip, ki sem zelo proti 'heckanju' in 'ddosanju' in zato takšne ljudi tudi prijavlam. Sedaj pa me nekaj zanima. Kakšno nagrado bi lahko dobil, če bi vam izdal par serverjov in ljudi za katere sem 100% da imajo te zadeve, ker bi te ljudi zlahka najdli tudi če bi jih nadzorovali do 5dni!Nagrade bi lahko bile takšne:2mb paket za 1 leto ali denarna valuta.Upam da se boste pogovorili z šefom arnesa in sklenli kako boste. Če se boste strinjali vam lahko jaz prvi izdam podatke o teh ljudeh in nato daste nagrado.

  11. Preventivni ukrepi • filtriranje prometa • požarni zid za celotno omrežje • programski požarni zid na vsakem namizju • pregledovanje podatkov • pregled pošte na poštnem strežniku • pregled spletne komunikacije (anti-spyware) • protivirusni in proti-oglasni/protivohunski program • omejevanje izhodnega prometa • preusmerjanje prometa preko spletnega posrednika • dovoljeno pošiljanje pošte le preko lokalnega strežnika

  12. Točke ščitenja spam/virusni filtripreusmeritev prometa čez posrednika (proxy) in filtriranje izhodne pošte; zaznava okužb druge naprave na omrežju požarni zid za celotno omrežje vsaka delovna postaja: avtomatska posodabljanja (možna centralizacija), programski požarni zid, protivirusni program, “antispy” programje VoIP in videokonferenčne naprave notranje širjenje okužb zunanji napad

  13. Po incidentu • ocena stanja • možni ukrepi • hitra sanacija stanja • zbiranje dodatnih podatkov • omejevanje škode • prijava incidenta (si-cert@arnes.si) • identifikacija vira napada • … zametek varnostne politike?

  14. Načrt dopustne uporabe • zaščitni ukrepi • opis dopustne uporabe • možni ukrepi • tehnični (reakcija in ocena bodočega tveganja) • vzgojni (vnaprej znani) • podpora vodstva ustanove • problem rednega vzdrževanja (nevolunterskega!)

  15. Zaščita pred samim seboj • namerne objave • sodelovanje v forumih • objava osebnih podatkov • zloraba zasebnih podatkov • podatki, ki jih pošiljamo nevede • iskalni nizi (skupaj s piškotki in stalnimi IP naslovi) • spletne aplikacije • parazitno programje

  16. Viri • http://www.arnes.si/si-cert/ • http://www.arnes.si/si-cert/zascita.html • http://www.microsoft.com/slovenija/varnost/default.mspx • http://www.tldp.org/HOWTO/Security-HOWTO/ • posebej za vašo distribucijo • http://www.cert.org/nav/allpubs.html

  17. Kaj pa filtriranje vsebin!? • faktor “kačje sline” • kaj pravzaprav želimo preprečiti • kako pridemo do želenega rezultata • privlačnost “one click” rešitve • vprašljivi rezultati • sprotni vpis naslovov? • “inteligentne” metode so še dokaj neumne • lokalne vsebine niso zajete v tujih produktih • kombinirana rešitev verjetno najboljša

More Related