cyberterroryzm - tomasz x• w 2012 roku cert polska odnotował ponad 10,5 mln automatycznych...
TRANSCRIPT
Cyberterroryzm
mgr Tomasz Xięski
Instytut Informatyki,
Uniwersytet Śląski
Wprowadzenie do informatyki i wykorzystanie internetu– studia podyplomowe
Bezpieczeństwo
Bezpieczeństwo jest to stan systemuinformatycznego, w którym poziomryzyka jego aplikacji jest zredukowany doakceptowalnego poziomu, poprzezzastosowanie odpowiednich środków.
Bezpieczeństwo teleinformatyczne
Bezpieczeństwem teleinformatycznym nazywamy wszystkie zagadnienia związane z bezpieczeństwem systemów i sieci teleinformatycznych w których wytwarzane, przetwarzane, przechowywane lub przesyłane są informacje.
Najważniejsze tezy na rok 2012
• W 2012 roku CERT Polska odnotował ponad 10,5 mln automatycznych zgłoszeń dotyczących naruszeń bezpieczeństwa, przede wszystkim przypadków źródeł spamu oraz botów.
• Po raz pierwszy od 2005 roku wzrosła liczba incydentów obsłużonych przez CERT Polska ręcznie, a więc tych najpoważniejszych. W 2012 roku było ich 1 082, czyli o blisko 80%więcej niż przed rokiem – głównie za sprawą złośliwego oprogramowania i phishingu.
• Mamy stosunkowo mało stron związanych z phishingiem, ale za to bardzo dużo przejętych komputerów zombie.
• Pewne robaki, takie jak Sasser czy Conficker wciąż „mają się dobrze”, choć powstały 5 i więcej lat temu!
• Nowością wśród często atakowanych usług jest Zdalny Pulpit w systemach MS Windows (3389/TCP).
Zagrożenia
– Oprogramowania - Związane z danymi (ujawnianie, przetwarzanie, zniekształcanie, utrata) lub z oprogramowaniem (jego uszkodzeniem bądź wykorzystaniem do celów sprzecznych z prawem)
– Sprzętowe - dotyczące zniszczeń samego sprzętu. Świadome (przestępstwa komputerowe ) oraz nieświadome (działania niedoświadczonych użytkowników, zdarzenia losowe, wpływ otoczenia).
– Osobowe – Związane z błędem ludzkim, człowiekiem ujawniającym niepowołane informacje, itp..
Rodzaje ataków
PhishingMan in the
middle;sniffing i spoofing
Socjotechnika
Deface (D)DOS Wirusy i pokrewne
Phishing
• Termin "phishing" odnosi się do procesu zbierania (kradzieży)danych przez przestępców.
• W typowym ataku phishingowym cyberprzestępca tworzyprawie idealną replikę strony WWW dowolnej instytucji lubportalu.
• Następnie przy użyciu technik spamowych wysyłane sąwiadomości e-mail imitujące prawdziwą korespondencjęwysyłaną przez różne instytucje.
• Wszystkie takie wiadomości mają jeden cel: nakłonienieodbiorców do kliknięcia zawartego w liście odsyłacza.
• Stworzone przez phisherów odsyłacze kierują użytkownikówbezpośrednio do fałszywej strony WWW, na której "schwytanaryba" wprowadza poufne informacje
Phishing
Bardzo wiarygodnie wyglądająca wiadomość, pozornie od BZ WBK.
Phishing
Bardzo wiarygodnie wyglądająca wiadomość, pozornie od BZ WBK.
Phishing
Bardzo wiarygodnie wyglądająca wiadomość, pozornie od BZ WBK.
Phishing
Kolejny e-mail, tutaj nawet adres został podrobiony.
Phishing
Phishing – metody ochrony
• Inna nazwa, inne miejsce docelowe
• Alarmująca
• Nakazowa
• Oferty
• Nieznany
• Podszywający się
• Niechlujna
• Z błędami
FormaNadawca
Odnośniki
Treść
Ćwiczenie nr 1
• Proszę zredagować tekst będący podwalinami do tzw. Polityki bezpieczeństwa i wymiany informacji drogą elektroniczną w szkole.
• Należy zadbać o:– Prosty język przekazu (dla laików)– Zadbanie o jasny i klarowny przekaz– Zwrócenie uwagi na najważniejsze sygnały i próby wyłudzenia
informacji– Objęcie zakresem nie tylko maila, ale także innych form komunikacji
elektronicznej (fax, telefon, itp.)– Jak przenosić informacje? Korzystanie z nośników niewiadomego
pochodzenia.– Jak tworzyć dobre hasła?– Jak zabezpieczona jest sieć WiFi? Czy hasło jest publicznie znane? Czy
sieć jest odseparowana od sieci wewnętrznej?– Może się przydać zrobienie testu (ang):
http://www.sonicwall.com/furl/phishing/
Ćwiczenie nr 2
• Skomponuj i stwórz prawdziwy mail phishingowy.• Za temat niech posłuży coś spersonalizowane
związanego z Twoją placówką edukacyjną.• Zadbaj o „wiarygodny” powód i skieruj użytkownika na
tą stronę: http://tnij.org/zmiana-danych (ewentualnie: http://www.tomaszx.pl/form/)
• Po otrzymaniu zgody od władz Twojej szkoły spróbuj przeprowadzić atak na kolegów z pracy. Skrypt niczego nie zapisuje w bazie danych.
• Pomyśl w jaki sposób dotrzeć do uczniów z takim przekazem.
• Ściągnij cały projekt z fałszywą stroną i przerób ją według własnego uznania: http://www.tomaszx.pl/wdipi_phishing.zip
(D)DOS
• DDoS (ang. Distributed Denial of Service –rozproszona odmowa usługi) – atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów
(D)DOS
(D)DOS
Styczeń 2012: przebieg ataków na strony rządowe
Deface
• „Oczernienie” jest typowym atakiem na stronę internetową zmieniającą jej wygląd zewnętrzny. Zwykle jest skutkiem ataku osób mniej obeznanych technicznie, nowicjuszy w świecie hackerskim.
• Jest uważane za formę cyber-grafitti XXI wieku
Deface
Strona Roberta Lewandowskiego
Deface
Centralna Komisja Egzaminacyjna
Deface – metody obrony
Stały monitoring stron
• Automatyczny
• Ręczny
Audyty bezpieczeństwa
• Zewnętrzny
• Wewnętrzny
Zapewnienie innych kanałów komunikacji
Ćwiczenie 3
1. Przejrzyj stronę internetową szkoły pod kątem:1. Treści, które ładują się zbyt wolno, zbyt dużych zdjęć, itp.2. Treści obraźliwych lub niestosownych.3. Martwych odnośników.4. Formularzy, do których można „wstrzyknąć” złośliwy kod.
Sprawdzamy to najłatwiej wpisując do pola coś takiego:"><h1>Test XSS</h1>Jeśli strona jest podatna (jak np. http://www.spskgryzliny.pl/ksiega-gosci ) to wyświetli „Test XSS” bardzo dużą czcionką.
5. Jak strona wyświetla się w różnych przeglądarkach? Możesz skorzystać ze strony http://browsershots.org/
6. Innych nieprawidłowości (spisz je i przedyskutuj w grupie)
Ćwiczenie 4
• Czasami w celu analizy witryny internetowej należy zapisać jej stan. Proste Plik -> Zapisz jako czasami nie wystarcza.
• Skorzystaj z darmowych rozszerzeń (np. FireShotWebpage Screenshots dla Firefox’a) aby zapisać stronę w całości jako jeden obrazek.
• Tenże obrazek udostępnij w internecie. Np. w serwisie http://pl.tinypic.com/
• Po wszystkim, wyczyść wszystkie prywatne dane przeglądarki (ctrl+shift+delete).
Ćwiczenie 4a
• Niestety, takie czyszczenie danych nie usuwa śladów historii użytkownika.
• Otwórz menu start, konsolę windowsa (win+r, wpisz „cmd”) a następnie wydaj polecenie:ipconfig /displaydns > c:/dns.txt
• W pliku dns.txt na dysku C znajdą się wszystkie dotychczasowo odwiedzone witryny, nawet te usunięte z historii przeglądarki
Najsłabsze ogniowo systemu informacyjnego
Socjotechnika
• zestaw metod mających na celu uzyskanie niejawnych informacji przez cyberprzestępcę.
• Hackerzy często wykorzystują niewiedzę bądź łatwowierność użytkowników systemów informatycznych, aby pokonać zabezpieczenia odporne na wszelkie formy ataku.
• Wyszukują przy tym najsłabszy punkt systemu bezpieczeństwa, którym najczęściej jest człowiek.
Socjotechnika w praktyce
Socjotechnika w praktyce
Wszystko w porządku.
Proszę o szczegóły przelewu
Dziesięć milionów dwieście tysięcy dolarów z Irving Trust Company w Nowym Jorku do Wozchod Handels Bank of Zurich
w Szwajcarii
Metody ataku socjotechnicznego
Z pozoru nieszkodliwa informacja
Czasem wystarczy po prostu poprosić
Budowanie zaufania
Może pomóc?
Potrzebuję pomocy
Współczucie, wina i zastraszenie
Phishing i potęga mediów społecznościowych
Kalendarium 23.04.2013 r.:T = 0 minut –> rozpoczęcie ataku phishingowegoT = 7 minut -> administratorzy reagują wysyłając ostrzeżenieT = 50 minut –> włamanie na kontoT = 55 minut -> nowojorska giełda zaczyna reagowaćT = 59 minut -> AP publikuje sprostowanieT = 63 minuty -> sytuacja wraca do normy
Ćwiczenie 5
• Wykonaj formalny dokument:– Polityka ujawniania treści
• Komu, w jakich okolicznościach, po jakiej autoryzacji ujawniać treści zwykłe (tj. informacje o zajęciach danej klasy, o obecności nauczyciela w szkole, o obecności ucznia, itp.)
• Jw., ale tym razem treści chronionych (ocen, obecności na sprawdzianach, wyników klasyfikacji, itp.)
• Jakie informacje ujawniać mediom i osobom postronnym? Kto powinien za to odpowiadać?
• Jak radzić sobie z natłokiem telefonów/faksów proszących o kontakt z „osobą decyzyjną”?
• Całościowy dokument możesz znaleźć w 16tym rozdziale książki:http://wwww.leopoold.nazwa.pl/eb/Mitnick%20Kevin%20-%20Sztuka%20Podstepu.pdf (zwłaszcza dodatek od strony 359)
Najbardziej spektakularne porażki
Widoczne hasło do systemu Lotniczego Pogotowia Ratunkowego
Najbardziej spektakularne porażki
Hasła do brytyjskiego systemu monitorowania lotnictwa wojskowego na zdjęciach Księcia Williama.
Siła hasła
3 polskie słowa
• Siła hasła: 1,25×10¹⁴
• Dokument kon placki
• Drogie herbaty chodza
• Czytanie swieczek noca
• Tworczosc pieknatworze
• Recznik extra ciemnosc
7 losowych znaków
• Siła hasła: 6,48×10¹³
• \9Z#Tpn
• <-!ZpBO
• xp?Y[rY
• !-f-g\^
• 7NfgN|q
Najbardziej spektakularne porażki
fot. wp.pl
Strona http://mon.gov.pl
Najbardziej spektakularne porażki
http://premier.gov.pl
Najbardziej spektakularne porażki
Profil na portalu Facebook Marszałek Sejmu Ewy Kopacz
Najbardziej spektakularne porażki
Afera z upublicznieniem bazy CV w banku PKO
Najbardziej spektakularne porażki
Oficjalny komunikat giełdowy spółki CERABUD S.A.
Najbardziej spektakularne porażki
Nowy atak pozwalający na wykradzenie dowolnego hasła
Najbardziej spektakularne porażki
Numer nadawcy smsa jest bardzo łatwy do podrobienia
Najbardziej spektakularne porażki
Kieleckie infokioski
Najbardziej spektakularne porażki
Szef MSW koniecznie chciał przeciąć wstęgę otwieranego tajnego ośrodka Centrum Przetwarzania Danych Policji
Zamieszanie sprawiło, że wiedza o nieznanym dotąd ośrodku przy spokojnej warszawskiej uliczce, rozprzestrzeniła się lotem błyskawicy.
Najbardziej spektakularne porażki
Anr.gov.pl
Agencja Nieruchomości Rolnych udostępnia pełne dane o obywatelach
Podsumowanie
SzkoleniaZwiększanie świadomości
Audyty bezpieczeńst
wa
Polityka ujawniania
treści
Polityka bezpieczeńst
waDobre hasła
Podstawy kryptografii
Firewall, antywirus,
IDS
Bibliografia
1. Kevin Mitnick: Sztuka podstępu.
2. http://niebezpiecznik.pl
3. http://cert.pl
4. http://bip.msw.gov.pl/portal/bip/6/19057
Pytania? Uwagi?
mgr Tomasz Xięski
Instytut Informatyki
Uniwersytet Śląski