1 / 20

Klaveri ja tooli vahel: inimfaktor ja arvutiturve

Kaido Kikkas kakk@kakupesa.net Securefest 2006. Klaveri ja tooli vahel: inimfaktor ja arvutiturve. Paar mõtet. “Lollikindlat masinat ei ole võimalik luua, sest lollid on ülimalt leidlikud.” - üks amishi talumees Howard Rheingoldile

avent
Download Presentation

Klaveri ja tooli vahel: inimfaktor ja arvutiturve

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Kaido Kikkaskakk@kakupesa.net Securefest 2006 Klaveri ja tooli vahel: inimfaktor ja arvutiturve

  2. Paar mõtet • “Lollikindlat masinat ei ole võimalik luua, sest lollid on ülimalt leidlikud.” - üks amishi talumees Howard Rheingoldile • “Ei ole küsimus, KAS süsteemi sisse murtakse, vaid MILLAL.” - Kevin Mitnick • Iga ahel on nii tugev, kui selle kõige nõrgem lüli. - üldlevinud tarkus

  3. Rebase sündroom • Tänapäeva Internet on nagu ta on. Aga kes selles süüdi on...?? Kurjad kräkkerid, pahad spämmerid, vastikud petised... • VÕI MEIE ISE? • Vanarahvas teab rääkida, et rebane olevat suht must loom: tegevat äk-äk omaenda pessa... • Kui mõned (näiteks spämmerid) tegelevad otse-selt meie suure ühispesa reostamisega, siis meie teised tihti ei saa aru, mis toimub, ei oska selle tähtsust hinnata või on meil täitsa savi. • Paha hais aga levib üha hullemini

  4. “A mul po....!?” • Kuidas meeldiks: • Võtan suure paki raha ja kasti kangemat • Lähen Silberautosse ja ostan uue Mersu kupee • Libistan kasti ära • Lähen linna peale kimama 130 km/h ja loendan huvi pärast allaaetud penskareid • Absurd...? Aga Internetis see nii käibki • Netis pole ei autokooli, ARKi ega liikluspolitseid

  5. “Tere! Minu nimi on Mati ja ma olen dambjuuser!” • Mati, elukutselt (näiteks) automüügimees • Ostis endale korraliku uhke arvuti. Suure kauplemisega sai ***-st päris soodsa diili, printer anti kauba peale ja programmid ka kõik puha sees • Läks ***-sse ja tellis hea kiire Interneti • Pakkis kodus arvuti lahti, patsiga poiss tuli ja pani ka võrgu käima • Natuke aega oli OK, siis hakkas jama • MIKS MU ARVUTI IMELIKKE ASJU TEEB?

  6. “Hähähä, paras lollile”??? • Tegelikult jätsid oma töö tegemata nii: • Arvutikaupmees • Tarkvaramüüja (kui on) • Internetipakkuja • Suurim probleem kogu loo juures:TAVAKASUTAJA TURVALISUS JA TURVA-TEADLIKKUS EI KOTI MITTE KEDAGI • Ja pesa reostamine jätkub...

  7. Torm veeklaasis? • Äkki Kakk ajab siin lihtsalt jahu ja üritab skandaali püsti panna...? • Vt näiteks üht tänaseks juba päris vana lugu: http://www.theregister.co.uk/2004/08/19/infected_in20_minutes • Mahavõetud süsteemidest koosnev botnet on juba mitu aastat tarbekaup • “Ära võta isiklikult!” (järgneb kaks lasku pähe) • Skriptitatt – loll, aga see-eest järjekindel

  8. “No mida nad ikka teevad?” • Võrk on aeglane, kuna sinu kettal olev porno-arhiiv on minev kaup (sul vedas, see polnud lasteporno) • BSA tuleb, näeb ja võidab (sinu kettal oli mitmesaja kilo eest pirasofti) • Pisikesed pilusilmsed onud müüvad varastatud krediitkaarte. Sinu arvutis muide ka. • “Teil on õigus vait olla, kõike öeldut võib kasutada teie vastu” - FBI-le ei meeldi muukijad • “Ups, internetipank on tühi...!!!”

  9. Ostan 2 tunniks 3000 arvutit • Mida nendega peale hakata? • Erinevaid huvitavaid asju: • Saab saata hästi palju kirju üle maailma (näiteks pakkudes müüa erinevaid püstiajavaid asju või rääkides mõne huvitava loo surnud kindralist) • Saab vihamehe või konkurendi netist minema peksta (DDoS-ründe abil) • Saab ka mõne rikka, aga totu internetikaupmehe käest pappi küsida – kui ei maksa, vt. eelmist punkti. (nädala pärast teeme jälle ja küsime rohkem)

  10. Sogases netis kala püüdmine • “Ligupeetud kasutaja, muutke parolit...” • “Your PayPal account must be reactivated” • “I am Dr. Mobutu Mugu, an illegal son of a Congo Prime Minister....” • Jällegi on sageli jäänud kodutöö tegemata • Nimeserverite mürgitamine ja domeenitüngad on juba aga märksa raskemad juhtumid – siin aitab ainult kasutaja hea tähelepanu ja teadlikkus

  11. Alati ei ole üldse arvutit vaja • Phishing on võrgunähtus, kuid samalaadseid asju saab teha täiesti ka ilma arvutita • Vahel piisab täiesti telefonist või lihtsalt heast suhtlusoskusest • Ala suurmeister oli ilmselt Kevin Mitnick (soovitan lugeda tema “Art of Deceptioni”!) • Stanley Rifkin, Security Pacific Bank ja 10 200 000 dollarit

  12. Manipulaatori põhimeetod • Kogu näiliselt süütute päringute abil maksimaalselt palju infot objekti kohta • Kasutades kogutud infot, mängi omainimest ning saa ligipääs olulisele infole • Kasuta saadud tähtsat infot oma äranägemise järgi

  13. Näide 1 • Osakonna raamatupidaja tädi Maalile helistab „Martin Meri siseauditi osakonnast“. Küsib järjekorras selliseid küsimusi: • Mitu töötajat on teie osakonnas? • Kui palju on kõrgharidusega töötajaid? • Kes vastutab osakonnas personalitöö eest? • Kui tihti korraldatakse osakonnas täienduskoolitusi? • Mis on osakonna personalikulude kontonumber raamatupidamises? • Mitu töötajat on lahkunud viimase aasta jooksul? • Milline on osakonna üldine tööõhkkond? • Mis siin valesti on...?

  14. Näide 2 • Vajalik varustus: mobla + kõnekaart • 1.kõne: firma raamatupidamisse hr. Sepale; mängida helpdeski ja küsida, kas kõik on ikka korras ja jätta „igaks juhuks“ oma telefon. Muu hulgas küsida ka võrgukaabli pesa numbrit. • 2.Kõne: firma IT-osakonda. Jätta mulje, et räägitakse „hr. Sepa kontorist“ ja paluda konkreetse numbriga kaablipesa välja lülitada. • 3.Oodata, kuni hr. Sepp paanikasse läheb ja „helpdeskile“ oma probleemiga helistab. Siis teha tähtsat nägu ja lubada aidata lahendada.

  15. Tunnikese pärast on asi korras – muidugi tuleb helistada vahepeal uuesti IT-osakonda ja paluda ühendus sisse lülitada. • 4.„Et seda enam ei juhtuks“, paluda hr. Sepal alla laadida üks programm ja käima panna. See ei tee midagi nähtavat – vabandada, et „oih, ei tööta“ ja paluda allalaetu kustutada. • MISSION COMPLETE - hr. Sepp laadis just oma masinasse trooja hobuse... • (Telefon pärast prügikasti - muidugi enne teha mälu tühjaks ja võtta aku välja)

  16. Näide 3 • Uus spordiala: mugu-baiting • Põhiidee: vastatakse mõne “Dr Mobutu” kirjale, mängitakse lolli valget meest (stiilipunkte annab endale võimalikult napaka nime väljamõtlemine nagu Gerald Womo Milton Glockenspiel) ja üritatakse seejärel õnnetu “ettevõtja” igasuguseid asju tegema panna. • Parimad pojad on saanud ise raha või lennutanud nigeerlase tema oma kulul New Yorki kohtuma. • Manipulatsiooni kõrgpilotaaž! • VT näiteks http://www.whatsthebloodypoint.com

  17. Tavakasutaja 10 käsku • Et asi liiga jõrinaks ei läheks, siis paar konstruk-tiivsemat punkti ühe üsna traditsioonilise malli järgi, mida tasuks kasutajatele õpetada: • 1.Sina pead oma arvutisüsteemi uuendama, sest viirused, pahavara ja kurjad inimesed ei jäta lohakat mitte karistamata. • 2.Sina ei pea mitte võtma enesele ilmaasjata administraatoriõigusi. • 3.Sina pead valima oma paroolid korralikult, eriti administraatori oma, ja sinu paroolidel ei pea mitte olema mõistlikku tähendust üheski sinule teadaolevas keeles.

  18. 4.Sina pead tegema igale oma arvuti kasutajale tema enese konto. • 5.Sina pead panema oma arvutisse tulemüüri, antiviiruse ja nuhkvaratõrjuja ning neid tihedasti kasutama, kui sina soovid jääda Windowsi juurde. • 6.Sina ei pea mitte puutuma tundmatuid manuseid oma e-kirjades ega lubama seda teha kellelgi, kes sinu kojas elab. • 7.Sina pead kasutama rämpspostifiltrit. • 8.Sina pead teadma, mis tarkvara sinu arvutis on. • 9.Sina teed hästi, kui sina kasutad OpenOffice.org'i, Mozilla Thunderbirdi ja Firefoxi MS Office'i, MS Outlooki ja Internet Exploreri asemel. • 10.Sina pead usinasti taotlema tarkust ja otsima tarku inimesi enesele abiks. Tark inimene teeb ühe korra valesti, rumal teeb seda aina uuesti.

  19. Mida tuleks veel teha? • Tavakasutaja harimine peaks muutuma kõigi asjaga seotud osapoolte (riistvaramüüja, tarkvara pakkuja, võrguteenuse osutaja) asjaks • Püsiühenduse kasutajaeksam (nagu juhiluba)? • “Vaata Maailma” sarnane massiline lühikoolitus ettevõtete ja asutuste töötajatele – 8-10 tundi elementaarset turvakäitumist (sh ka manipulat-sioonide äratundmine ja vastutegevus) • MITTEMIDAGITEGEMINE MAKSAB EDASPIDI KURJASTI KÄTTE

  20. (ehk andis natuke mõtteainet ka) ... ja kes slaide otsib, saab need http://www.kakupesa.net/kakk/docs/sf2006.odp Tänan kuulamast

More Related