550 likes | 872 Views
Przestępstwa i oszustwa internetowe. Przykłady i metody obrony. Prof. dr. hab. Piotr Bała. Wydział Matematyki i Informatyki UMK. Toruń 9.05.2001. safety ochrona przed zagrożeniami „naturalnymi” (awarie) awarie sprzętu błędy oprogramowania
E N D
Przestępstwa i oszustwa internetowe. Przykłady i metody obrony. Prof. dr. hab. Piotr Bała Wydział Matematyki i Informatyki UMK Toruń 9.05.2001
safety ochrona przed zagrożeniami „naturalnymi” (awarie) awarie sprzętu błędy oprogramowania błędy ludzkie (np. nieumyślne skasowanie danych z dysku...) security ochrona przed zagrożeniami spowodowanymi wrogą działalnością ludzi Bezpieczeństwo
Polityka Bezpieczeństwa określa: • Przedmiot ochrony i priorytety określonych obiektów • Przed jakimi działaniami obiekty mają być chronione • Realną szansę zagrożenia i opłacalność działań • Odpowiedzialność za bezpieczeństwo • Procedury i obowiązki pracowników w zakresie ochrony obiektów (administratorzy, pracownicy) • Sposoby reagowania w sytuacjach wyjątkowych • Pierwszeństwo odcięcia ataku czy śledzenia • Czym jest naruszenie polityki (dokładnie i szeroko) • Konsekwencje wobec naruszenia polityki przez pracownika.
Replikacja systemów • Duplikowane źródła zasilania • Fizyczna redundancja urządzeń • Urządzenia zapasowe • Klasteryzacja serwerów • Kilka zsynchronizowanych serwerów (np. Google) • Technologia „hot swap” • Wymiana krytycznych elementów bez wyłączania systemu • Sun, HP, IBM • Eliminacja punktów krytycznych („single point failure”)
Niezawodność systemów • Klasa niezawodności • 99% - 3.5 dnia/rok • 99.9% - 9 godzin/rok • 99.99% - 50 minut/rok • Średni uptime HP-UX 538 days SunOS 241 days NetWare IA32 161 days FreeBSD 124 days NetBSD 104 days OpenBSD 93 days IRIX64 86 days Linux 78 days Windows 19 days Darwin 7 days
Survival time Internet Storm Center http://isc.sans.org/ Czas (w minutach) od instalacji systemu do jego zainfekowania
Replikacja danych • Transakcyjne bazy danych • Technologia RAID • Transakcyjne systemy plików (XFS) • Archiwizacja i replikacja danych • Dyski zapasowe z aktualnym obrazem systemu • Archiwizacja danych • Archiwizacja na nośnikach zewnętrznych • dyski, CD, DVD, taśmy • Archiwizacja inkrementalna • Ważne dane nigdy nie powinny istnieć tylko w jednym egzemplarzu!
Procedury archiwizacji i odzysku danych • Zarchiwizuj dane. Sprawdź poprawność wykonanej kopii. • Uwtórz plan odtwarzania danych i przećwicz go w praktyce. • Lokalizacja kopii (data, typ kopii – pełna, częściowa) • Lista oprogramowania, włączając dokonywane uaktualnienia • Lokalizacja sprzętu zastępczego • Nie dokonuj aktualizacji systemu bez stworzenia pełnej kopii zapasowej. • Dokumentację systemu wraz z oryginalnymi nośnikami oprogramowania przechowuj w bezpiecznym miejscu. • Kasuj stare pliki (nieużywnane, poprzednie wersje). • Bądź przygotowany na klęski żywiołowe (archiwizacja danych w fizycznie odległych miejscach).
Pomyłki ludzi • Odpowiedzialne za 55% awarii • Problem analfabetyzmu informatycznego • ECDL, advanced ECDL, certyfikaty (www.pti.org) • Brak doświadczonego personelu • Niski poziom firm IT w Polsce • Bezrobocie strukturalne • Konieczność szkolenia pracowników
Pomyłki ludzi • Wielokrotne sprawdzanie decyzji • Ograniczony dostęp w zależności od stanowiska • Archiwizacja danych • Logiczne (a nie fizyczne) usuwanie danych z bazy • Kłopoty z Ustawą o ochronie danych osobowych (wymaga fizycznego usuwania danych z bazy) • Logowanie aktywności użytkowników • Możliwość określenia kto wprowadził modyfikacje • Czynnik psychologiczny • Zabezpieczenia przed modyfikacją logów • Przesyłanie logów na dedykowany system
Bezpieczne oprogramowanie • Korzystanie ze sprawdzonych aplikacji • aplikacje wykorzystywane są zazwyczaj kilka – kilkanaście lat • oprogramowanie OpenSource jest często lepiej sprawdzone • Zakup wsparcia technicznego i utrzymania oprogramowania • Stosowanie otwartych standardów wymiany danych • dyrektywa UE • ułatwia archiwizację i migrację danych
Systemy zarządzania obiegiem dokumentów • BSCW....
2005 Computer Crime Survey - straty • Przestępstwa elektroniczne zaczynają być problemem • Computer Crime Survey – po raz pierwszy w 2004 roku • 639 respondents – starty $130,104,542 • Wirusy $42,787,767 • Nieautoryzowany dostęp$31,233,100 • Kradzież informacji $30,933,000 • DOS (denial of service category)$7,310,725 • Nadużycie dostępu do sieci$6,856,45 • Średnia strata $200,000
Przyczyny powstawania strat finansowych Źródło danych: CSI/FBI Computer Crime & Security Survey 2004
Przestępstwa elektroniczne Źródło danych: CSI/FBI Computer Crime & Security Survey 2005
Przestępstwa elektroniczne • Brak procedur w połowie firm w USA Źródło danych: CSI/FBI Computer Crime & Security Survey 2005
Najczęstsze ataki • Malware (szkodliwe oprogramowanie) • wirusy • Ataki DOS (Denial of Service) • Spam • Ataki brute force na pliki haseł i usługi • Sniffing (podsłuchiwanie) • Spoffing (podszywanie się) • Phishing • Exploitowanie usług i programów
Szkodliwe oprogramowanie • Przechwytywanie poufnych informacji • Hasła • Numery kart kredytowych • Numery kont bankowych • 75%programów w 50. najbardziej szkodliwych programów w I połowie 2005 roku • 50% w poprzednim półroczu. Źródło: Dziennik Internetowy www.di.com.pl 23.09.2005
Łamanie haseł • Zasada działania • próby odgadnięcia podstawiając kolejne kombinacje liter i znaków • opierając się na prawdopodobieństwie hasło z 6 znaków to 24^6 kombinacji (20 000 000) • czas przetestowania dla hasła z 6 znaków - kilka sekund • Wydajność • Wydajniejsze metody przy zastosowaniu słowników • Wpływa: złożoność i długość hasła, oraz czas potrzebny na sprawdzenie hasła
Przeciwdziałanie łamaniu haseł • Stosowanie długich haseł • Stosowanie mocnych funkcji jedno kierunkowych do szyfrowania haseł (MD5) • Stosowanie mechanizmów blokady po określonej ilości złych haseł • Stosowanie haseł złożonych z losowych znaków lub co najmniej jednego znaku specjalnego, cyfry, małej i wielkiej litery • Prawidłowe zabezpieczanie plików haseł
Przeciwdziałanie łamaniu haseł • Szkolenia personelu w zakresie odpowiedzialności za hasła dostępu i sposobów ich dobierania. • Dostęp do kont tylko poprzez połączenia szyfrowane • Okresowe sprawdzanie odporności haseł na łamanie • Stosowanie podwójnych zabezpieczeń • biometryczne, karty etc.
Inne sposoby uzyskania hasła • KeyLoggery • Miniaturowe kamery video • hasło powinno być wpisywane palcami obu rąk • Notatki • hasło nie może być zpisywane • Nieświadomi pracownicy • Podstawowy sposób uzyskiwania nieautoryzowanego dostępu • w Starbburks Coffe (USA) 75% osób podało hasło w zamian za kawę ($5)
Sniffing • Zasada działania • tryb ogólny (promiscious) • przechwytywanie i analiza pakietów • Podatność Ethernet na ten typ ataku • wspólne medium • Ogromne zagrożenie w sieciach bezprzewodowych
Podatność na sniffing • Usługi najczęściej stosowane • FTP, HTTP, POP3, Telnet, SSH1 • wszelkie nieszyfrowane np. GG, ICQ, IRC • Należy stsosować zamienne usługi szyfrowane • SFTP, HTTPS, POP3 po SSL, SSH2 • Ogromne zagrożenie w dużych sieciach i tam gdzie jest łatwość podłączenia własnego komputera • Konieczność dzielenia sieci na segmenty • Routery, switche (nie do końca skuteczne)
Wykrywanie sniffingu • ARP test • sniffer odpowiada na pakiet jak by był do niego zaadresowany nawet gdy MAC jest spreparowany. Wysyłamy ARP request z innym adresem MAC • Test DNS • sniffer wysyła zapytania o nazwę nadawcy • Test ICMP • icmp echo request i nieprawidłowy MAC
Firewall Skanowanie Ataki typu „back door” IP spoofing Kradzież Sabotaż Podmiana stron www Serwer plików Serwer poczty Serwer WWW FIREWALL
Firewall osobisty • W Korei Południowej każda osoba korzystająca z bankowości internetowej zobowiązana jest przez rząd do używania firewalla osobistego. • Rząd chce także przygotować własny zestaw narzędzi antyhakerskich, które będą udostępniane użytkownikom. • Planowane jest również stworzenie centralnie zarządzanego systemu uwierzytelnienia, mającego stanowić gwarancję tożsamości osoby dokonującej transakcji. • Wynikiem przeświadczenia, że obawa przed wyciekiem poufnych danych przy dokonywaniu transakcji online jest hamulcem rozwoju handlu internetowego. Źródło: Dziennik Internetowy www.di.com.pl 23.09.2005
Exploity • Działanie • wykorzystanie wad oprogramowania by wykonać własny fragment kodu • Techniki • Buffer overflow - stosowane by nad pisać adres powrotu z funkcji i prze kierować go do wnętrza bufora. • Kod wywołuje shell bądź wykonuje dowolne polecenia lub funkcje systemowe • exploitowanie programów SUID lub działających w trybie jądra lub jako usługa uprzywilejowana
Buffer Overflow • Podatne są programy korzystające z funkcji nie określających długości bufora a operują na stringach • W C++ string jest pojmowany jako ciąg znaków aż do pojawienia się ZERA • Będąc nieostrożnym można skopiować więcej niż się chciało • Częste naruszenie ochrony pamięci
Buffer Overflow Niskie adresy (początek pamięci procesu) Kod Programu Text (statyczne) Kolejne zmienne i dane związane z wywołaniami funkcji odkładane są na stos Początek stosu Wysokie adresy
Buffer Overflow Kod Programu bufor dalsze elementy stosu Text (statyczne) Overflow Adres powrotu z funkcji Koniec bufora Początek bufora bufor stos Wystarczy w miejsce adresu powrotu umieścić adres początku bufora w którym jest kod wywołujący shell Początek stosu
Wirusy (1) • Nimda (wrzesień 2001) • Wykorzystywał znane dziury w serwerach serwisówinternetowych i używał Outlooka oraz Outlook Expressa do dystrybuowania się poprzez e-mail. • Blaster (2003/2004) • Wykorzystano 500 000 zainfekowanych komputerów do ataku na serwer Microsoftu
Wirusy (2) • MyDoom (2003/2004) • 1 000 000 serwerów do ataku na SCO i Microsoft
Wirusy (2) • Akher-F (kwiecień 2005) • Rozprzestrzenia się za pośrednictwem poczty elektronicznej jako załącznik ZIP ("sexy clip" z udziałem Angeliny Jolie oraz Brada Pitta) • Rozsyła się do osób z książki adresowej • Przeprowadza atak DOS • Cel ataku Microsoft
120,000 900M 800M Zagrożenia hybrydowe (CodeRed, Nimda, Slammer) 100,000 700M Denial of Service (Yahoo!, eBay) 80,000 600M Ilość ataków wirusowych 500M Ilość ataków sieciowych 60,000 Wirusy „Mass Mailer” (Love Letter/Melissa) 400M Zagrożenia wirusowe* 40,000 300M Zombies Ataki sieciowe** 200M Wirusy polimorficzne (Tequila) 20,000 100M 0 0 1995 1996 1997 1998 1999 2000 2001 2002 *Analiza dokonana przez Symantec Security Response na podstawie danych z Symantec, IDC & ICSA; 2002 **Źródło: CERT Trendy w atakach
Przyszłe zagrożenia • „Flash threats”? • Rozległe DDoS wykorz. robaki? • Krytyczne ataki na infrastr.? • Zagrożenia hybrydowe • Limited Warhol threats • DDoS wykorz. robaki • Hacking infrastruktury • Robaki email • DDoS • Hacking kart kredyt. • 1sza gen. wirusów • Indywidualne DoS • Podmiana WWW Ewolucja zagrożeń Zasięg globalny Sektor Zasięg Regionalny Pojedyncze Organizacje Pojedyncze PC Czas 1990-te 2000 2003
SQLSlammer – rozwój zagrożenia • Najszybciej rozprzestrzeniający się robak. • Ponad 90% podatnych na atak serwerów zostało zainfekowane w ciągu 10 minut. • Podwojenie liczby zainfekowanych maszyn następowało co 8.5 sekundy (dla CodeRed37 minut). • Pierwszy robak typu “Warhol”. Źródło:http://www.cs.berkeley.edu/~nweaver/sapphire/
Rozwój zagrożeń: „Day-zero Threat” • Zagrożenieday-zero threatto exploit wykorzystujący nieznaną wcześniej, a w związku z tym niezabezpieczoną lukę. • Istotny czas od wykrycia luki do opublikowania metod jej usunięcia Okno czasowe luka - zagrożenia Czas Wykrycie luki Pojawienie się zagrożenia
Spam • Niechciane e-maile • Serwery Open relay • Rozsyłane często z zainfekowanych serwerów • 38% respondentów zetknęło się ze spamem • Szacunkowo 60-70% e-maili, 50% SMSów • Próba wyłudzenia pieniędzy, oferta usług i towarów • Spam Niegeryjski • Oferty na środki typu Viagra
Spam Nigeryjski • I am the Santa Claus jr, son of the famous Santa Claus from the North Pole. [..] • I have inherited a lot of toys that I have to send to some worthy individual. Of course you need to make some dwon payment to receive them, but I will tell you about it later. • Right now all you need to know is that the total value of these toys is uhhh million USD and you will get 20 percent if you agree to help me.
Spam - przeciwdziałanie • Filtrowanie poczty • problem z detekcją spamu • Ograniczanie dostępu do serwerów pocztowych • Autoryzacja przed wysłaniem poczty • Połączenia szyfrowane • Blokowanie portów SMTP
Phising • Adresat otrzymuje e-mail z prośbą o zalogowanie się na określoną stronę i uaktualnienie swoich danych oraz zmienę hasła. • Wykorzystuje nieświadomość adresata. • Zazwyczaj wymagane jest podanie danych kompletnych – nie wymaganych przez bank.
Phising • Websense, firma zajmująca się monitoringiem internetu, ostrzega przed zmasowanymi atakami phisherów na europejskie instytucje finansowe. • Europejskie instytucje są mniejsze niż amerykańskie i podobno mają słabsze zabezpieczenia. • Tylko podczas ostatniego weekendu (15.09.2005), Websense odkryła zmasowane ataki skierowane przeciwko ponad dwudziestu europejskim bankom, głównie z Hiszpanii i Włoch. Źródło: Dziennik Internetowy www.di.com.pl 23.09.2005
Inteligo - 9.02.2005 • Mail z konta: inteligobank@go2.pl • Wezwanie do zalogowania się na stronę: www.inteligobank.friko.pl • Podobne akcje: CitiBank – styczeń 2004