ugniasienės irgi dega
DESCRIPTION
Ugniasienės irgi dega. Audrius Lučiūnas. Šiuolaikinis hakeris. Ypatingai nesiskiria nuo aplinkinių Nebūtinai gerai gaudosi IT (bijo “klastingų” klausimų). Šiandien pažeidžiamumus sistemose aptikti sunkiau... ...bet juos išnaudoti tapę lengviau. Informacijos surinkimas. Internetas - PowerPoint PPT PresentationTRANSCRIPT
Ugniasienės irgi dega
Audrius Lučiūnas
Šiuolaikinis hakeris
• Ypatingai nesiskiria nuo aplinkinių• Nebūtinai gerai gaudosi IT (bijo “klastingų” klausimų)
• Šiandien pažeidžiamumus sistemose aptikti sunkiau...
• ...bet juos išnaudoti tapę lengviau
Informacijos surinkimas• Internetas• Įsilaužimas• Šiukšliadėžė• Pokalbių pasiklausymas• ...
• Prabangaus Palangos viešbučio „Vanagupė“ darbuotojai vogė savo klientų duomenis ir už juos pateikinėjo deklaracijas į VMI ir tokiu būdu bandė pasisavinti 2% pajamų mokesčio
• Viena ministerija paviešino VP Market valdybos asmens kodus internete, nors buvo įsitikinusi, kad jų nesimato
Jeremy Clarkson• 2007 m. spalį Didžiojoje Britanijoje
dingo du diskai su 25 000 000 asmeninių duomenų informacija
• Paskelbė savo sąskaitos numerį bei nurodė kaip susirasti jo gyvenamosios vietos adresą viename skaitomiausių laikraščių “The Sun“
• Po kelių dienų jis savo elektroninės bankininkystės sistemoje aptiko kas tam tikrą laiką vykdomus debetinius 500 svarų pavedimus paramos fondui, remiančiam sergančius diabetu.
Asmens kodai per Google
Lietuviškų slaptažodžių TOP 10
• 123456• saulute• 123456789• paulius• qwerty• 123123• samsung• marius• 111111• zuikis
Socialinė inžinerija
Socialinė inžinerija - apibrėžimas
• Menas ir mokslas kaip pasiekti, kad žmonės padarytų ko tau reikia. (Bernz)
• Prieš kompiuterinės sistemos vartotoją hakerio naudojamos psichologinės gudrybės, siekiant gauti prieigą prie sistemos. (Palumbo)
• Reikalingos informacijos (pvz. slaptažodžio) gavimas iš asmens, nesilaužiant į sistemą. (Berg)
• Hakerio manipuliacija žmonių pasitikėjimu. (Granger)
• Konfidencialios informacijos gavimas manipuliuojant vartotojais. (Wikipedia)
Suskaičiuokite baltos komandosperdavimus
http://www.youtube.com/results?search_query=awareness+test&aq=0
UAB „Informacijos saugos sprendimai“
www.isec.lt [email protected]
Socialinė inžinerija – apsaugos priemonės
• Informacijos klasifikavimas• Organizacijos saugumo politika, tvarkos,
kultūra• Mokymai, švietimas, supratimas• Atsakomybė
Įsilaužimas naudojantis pele
Metasploit
• Aplikacija, susidedanti iš programinių priemonių, bibliotekų, modulių ir valdymo aplinkos
• Paprasčiausia aplikacijos savybė – galimybė nesudėtingai sukonfigūruoti ir nukreipti į kitą sistemą žalingą programinį kodą
• Sėkmės atveju perimamas pažeidžiamos sistemos valdymas
• Aplikacijoje yra paruošti keli šimtai lengvai parenkamų exploit’ų įvairioms sistemoms
Metasploit
Exe 2 VBA / VBS smagumynai
• Konvertuoja programinį kodą į Visual Basic skriptus
• Bet kokią žalingą programą galima paslėpti Microsoft Office dokumentuose
• Apeinami pašto filtrai
• Apeinama ugniasienė (ugniasienės dega!)
Rezultatas
Juk Macro komandos standartiškai draudžiamos...
Bet žmonės naudojasi pele...
Audrius Lučiūnas
?