1 / 34

Bezbednos t u IT svetu

Bezbednos t u IT svetu. Dejan Ristanovi ć PC Press dejanr@pcpress.co.yu. Računar je mreža – svet je mreža. Mit o sigurnom sistemu. Bezbednost nije problem koji se može rešiti … … b ezbednost je proces koji se konstantno razvija Potpuno siguran sistem na postoji

aviva
Download Presentation

Bezbednos t u IT svetu

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Bezbednostu IT svetu Dejan RistanovićPC Press dejanr@pcpress.co.yu

  2. Računar je mreža – svet je mreža

  3. Mit o sigurnom sistemu • Bezbednost nije problemkoji se može rešiti… • … bezbednost je proceskoji se konstantno razvija • Potpuno siguran sistemna postoji • Tehnologija sama za sebene može da obezbedi sigurnost • Najslabija tačka svakog bezbednosnog sistema je čovek

  4. Tehnički aspekti

  5. Šta treba zaštititi? • Zaštita na više nivoa • Na nivou protokola • Na nivou servisa • Na nivou aplikacije • Na nivou operativnog sistema

  6. Na nivou protokola • Paketni filteri na ruteru • Blokiranje kompletnog saobraćaja • Paketi prolaze ruter samo sa tačno navedenih adresa, na navedene adrese i to za tačno navedene servise access-list 100 deny ip 193.203.17.0 0.0.0.127 any log access-list 100 deny icmp any any redirect log access-list 100 permit icmp any host 193.203.17.1 access-list 100 permit tcp any any established access-list 100 permit tcp any host 193.203.17.1 eq www access-list 100 permit tcp any host 193.203.17.1 eq ident access-list 100 permit tcp any host 193.203.17.1 eq smtp access-list 100 permit udp any host 193.203.17.1 eq domain access-list 100 permit tcp any host 193.203.17.1 eq domain access-list 100 deny ip any any log

  7. Proksi ili translacija adresa • Radne stanica u mreži komuniciraju preko Proxy servera • Onemogućena direktna komunikacija sa radnim stanicama unutar mreže • Omogućeno korišćenje sigurnosnih mehanizama Proxy software-a • Korišćenje privatnih IP adresa za sveradne stanice • Javne IP adrese imaju samo Proxy server/Internet server i ruter

  8. Koncept privatnih adresa 193.203.17.2 10.0.1.1 Privatne adrese Proxy Javne adrese 10.0.1.2 193.203.17.1 Ruter 10.0.1.3 10.0.1.4 Filtriranje saobraćaja 10.0.1.5 10.0.1.6

  9. Zaštita na nivou servisa • Svaka serverska aplikacija koja čeka konekciju za odgređeni servis (SMTP, HTTP) ima svoj sistem zaštite • Prihvata konekcije samo sa određenih adresa • Sistem autentikacije • Definisanje prava pristupa (read, write, exec...) • Pravi log korišćenja • Wrapper aplikacije čekaju konekciju, proveravaju ko je sa “druge strane” i tek onda startuju serversku aplikaciju

  10. Zaštita na nivou aplikacije • Osnova zaštite je internivišekorisnički sistem • Svaki korisnik ima svoje • korisničko ime i lozinku • Za svakog korisnika sudefinisana prava pristupa

  11. Kriptovanje podataka • Na nivou protokola • Na nivou servisa • Na nivou aplikacije qANQR1DBwU4D/xtpxytzBAMQCADdiUINDyK8NOfKq/7V3/PTaNeaqiMxKEDFVL+0ER+ppp/PtVGzzqkF2GXczB+JJJ0EgZn80xzDtlcFpOSe+Dqd9Q8n3LYdPQi/CZtchQM1RQXrGUob7e5xsZPHHXG1pxgi5RkN9d4XPqyM8hQCRrf25wzWGhfhUhky9x3EZ36QU2ILtshaWjdqVZPRF883fqJwKLXszFDg4CUrR9oSoD7Daqzvq/4kmmjWpiwXoQ8rzrsAQoBtqSclqOQe9uyIi9hws8rlnd1ZHx3sKLIPVQpeAvg3bnr7msFHQb3rOSDb21el9WOkwMQBI1PgOolVBKyLi1D3zo12MdI46FB0KwiGB/9sdQUlesaxUsEQJ0Qz1IOGhT9EGtYaqXGdxkj/sPDHb40cH4332gWf803PzEaOH8mdqNkVumWnoUrR

  12. Wireless mreže • Jeftino i masovno • Ogroman sigurnosniproblem • Autorizacija • WPA-PSK • Enkripcija • TKIP

  13. Virtuelne privatne mreže Teleworker

  14. Virtuelne privatne mreže Fieldworker

  15. Virtuelne privatne mreže Subsidiary

  16. VPN: Prednosti i mane • Utisak da se radi u jednoj mreži • Komunikacija je kriptovana • Automatski ih održavaju mrežni uređaji • Teško se konfigurišu • Dešava se da administrator gasi sigurnosne mehanizme jedan po jedan, dok VPN ne proradi • On-line kriptovanje zahteva resurse • Dešava se da administrator oslabi kriptovanjeda bi dobio na performansama

  17. Scenario napada na mrežu • Footprinting • Korišćenje javnih resursa za identifikaciju mreže ciljne organizacije • DNS server kao bezbednosni problem • Wardialing • Prema filmu War Games (1983) • Port Scanning • Lista IP adresa servera i otvorenih portova • Enumeration • Određuje se interna namena servera i bira meta

  18. Scenario napada na server • Korišćenje bagova operativnog sistema • www.milw0rm.com • Korišćenje grešaka u konfiguraciji • Kod novih operativnih sistema je po default-u (praktično) sve isključeno • Najslabije tačke Windows-a • NetBIOS / SMB Servisi (UDP 137, TCP 445, 139) • SQL Server (TCP 1433, UDP 1434) • Terminal Services / Remote Desktop (TCP 3389)

  19. Originalnasigurnosna rešenja- par primera -

  20. Propusti vašeg softvera • Cilj: ograničiti procesorsko vreme korisnika • Na nivou VMS-a proces ograničen na 60 s CPU • Korisnik ostane dugo u editoru – izgubi fajl • Korisnik proba EDIT / RECOVER, ali to opet potroši 60 sekundi i korisnik opet izgubi fajl • Korisnici stalno traže od operatera recover • Automatizovati recover? • Naprave javnog korisnika recover • Korisnik recover ima forsiranu login.com proceduru u kojoj pita korisnika za ime datoteke koju treba oporaviti i onda je oporavi • Korisnik recover mora da čita i piše fajlove drugih korisnika, dakle potrebne su mu privilegije

  21. Nadigravanje • RECOVER /NOCOM • Ne izvrši se sistemska login.com procedura, korisnik dobije $ prompt, a ima privilegije • Postavljeno da je account recover captive • Korisnik otkuca puno slova u imenu fajla • Bude prekoračen bafer, greška, $ prompt • Tretiraju grešku u login.com proceduri • Korisnik edituje neki svoj fajl • Tokom editovanja write sys$sysroot:login.com– dobije poruku o greški… • Ali korisnik Recover ima pravo da to uradi!

  22. Sad ćemo ozbiljno… • Program LIMIT kojim korisnik bira odnos prioriteta procesa i procesorskog vremena • LIMIT=1 – 3600 CPU sekundi, prioritet 1 • LIMIT=5 – 60 CPU sekundi, prioritet 5 • Podprocesi • LIMIT=5 • SPAWN • LIMIT=1 • LOGOUT

  23. Igre bez granica • LIMIT odbija da radi ako jestartovan u podprocesu • LIMIT=1 • SPAWN • povratak u glavni proces, podproces aktivan • LIMIT=5 • STOP /id=broj_podprocesa

  24. Sitni propusti ruše ideju • Sistem u kome samo administratorima privilegije • Operaterima ostavljen ograničeni shell (meni) iz koga pružaju usluge korisnicima • Imaju mogućnost da promene lozinku običnom korisniku • Kako li radi ta procedura? • $run sys$sysroot:[sysexe]authorise • modify $user /password=$pass • Kad pita za lozinku otkucaš‘xxx /priv=all’ • Izvrši se modify $user /password=xxx /priv=all

  25. Problem u drugoj dimenziji • Sistem u kome samo administratorima privilegije • Operaterima ostavljen ograničeni shell (meni) iz koga pružaju usluge korisnicima • Podignu sistem sa drugog diska, tako da postoji samo jedan korisnik koji ima privilegije • MOUNT-uju standardni sistemski disk kao sekundarni i menja tamo šta želi

  26. Zaključak • Na bezbednosti se mora stalno raditi • Sistemska bezbednosna rešenja imaju rupe, ali će vaša rešenja imati još više rupa • Security by obscurity – loš koncept • Stalno proučavanje sistemskih dnevnika • Redovan backup podataka • Sigurnost košta!

  27. Socijalni inženjering

  28. Šta je socijalni inženjering • Manipulacija ljudima tako da daju neovlašćenom licu informacije ili urade nešto za njega • Ubeđivanje lažnim predstavljanjem • Social Engineer – obmanjivač • Mogu se koristiti tehnička sredstva (računar, telefon, faks…) ali ne nužno

  29. Izjave Samo su dve stvari bezgranične: univerzum i ljudska glupost. A za univerzum nisam baš siguran. Albert Ajnštajn

  30. Neke od tehnika • Da vam pomognem? • Pomozite mi, molim vas! • Izgradnja poverenja • Iluzija sigurnosti • Pretexting (izmišljeni scenario) • Phishing (“pecanje” informacija) • Trojanci i road apple • Quad pro quo (neko je tražio support)

  31. Najveća pljačka banke • Stanley Mark Rifkin – 1978 • Security Pacific National Bank, LA • Rifkin radio kao konsultant pri projektovanju backup sistema • Upoznao mehanizme rada banke • Dnevna šifra • Službenici je pisali na papiriće • Pozvao banku iz govornice i naredio transfer $10,200,000 u Švajcarsku • Bez oružja, bez mnogo pripreme

  32. Na šta obratiti pažnju • Obuka službenika • (Ne)poverenje u kolege • Poznavanje kompanijske terminologije ne znači da je u pitanju ovlašćena ličnost • Ako neko zna imena važnih ljudi, to još ne znači da ti ljudi poznaju njega! • Obrnuto obmanjivanje – službenik naveden da pozove obmanjivača

  33. Malo literature • Michael O’Dea: Windows Security hack notes • Frank William Abagnale:Catch Me if You Can(knjiga 1980, film 2002) • Tsutomu Shimomura & J. Markoff: Takedown • the pursuit and capture of Kevin Mitnick, America’s most wanted computer outlow –by the man who did it (1996) • Jonathan Littman: The Fugitive Game (1997) • Kevin Mitnick: The Art of Deception (2002) • Kevin Mitnick: The Art of Intrusion (2005)

  34. Hvala! www.ristanovic.com/etf-security.ppt

More Related