Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Przestępstwa i oszustwa internetowe. Przykłady i metody obrony. Prof. dr. hab. Piotr Bała Wydział Matematyki i Informatyki UMK Toruń 9.05.2001.

Podobne prezentacje


Prezentacja na temat: "Przestępstwa i oszustwa internetowe. Przykłady i metody obrony. Prof. dr. hab. Piotr Bała Wydział Matematyki i Informatyki UMK Toruń 9.05.2001."— Zapis prezentacji:

1 Przestępstwa i oszustwa internetowe. Przykłady i metody obrony. Prof. dr. hab. Piotr Bała Wydział Matematyki i Informatyki UMK Toruń

2 P. Bała P. Bała WMiI UMK 2 Bezpieczeństwo safety ochrona przed zagrożeniami „naturalnymi” (awarie) –awarie sprzętu –błędy oprogramowania –błędy ludzkie (np. nieumyślne skasowanie danych z dysku...) security ochrona przed zagrożeniami spowodowanymi wrogą działalnością ludzi

3 P. Bała P. Bała WMiI UMK 3 Polityka Bezpieczeństwa określa: Przedmiot ochrony i priorytety określonych obiektów Przed jakimi działaniami obiekty mają być chronione Realną szansę zagrożenia i opłacalność działań Odpowiedzialność za bezpieczeństwo Procedury i obowiązki pracowników w zakresie ochrony obiektów (administratorzy, pracownicy) Sposoby reagowania w sytuacjach wyjątkowych Pierwszeństwo odcięcia ataku czy śledzenia Czym jest naruszenie polityki (dokładnie i szeroko) Konsekwencje wobec naruszenia polityki przez pracownika.

4 P. Bała P. Bała WMiI UMK 4 Przyczyny awarii systemów IT

5 P. Bała P. Bała WMiI UMK 5 Replikacja systemów Duplikowane źródła zasilania Fizyczna redundancja urządzeń Urządzenia zapasowe Klasteryzacja serwerów –Kilka zsynchronizowanych serwerów (np. Google) Technologia „hot swap” –Wymiana krytycznych elementów bez wyłączania systemu Sun, HP, IBM Eliminacja punktów krytycznych („single point failure”)

6 P. Bała P. Bała WMiI UMK 6 Niezawodność systemów Klasa niezawodności –99% dnia/rok –99.9% - 9 godzin/rok –99.99% - 50 minut/rok Średni uptime HP-UX 538 days SunOS 241 days NetWare IA days FreeBSD 124 days NetBSD 104 days OpenBSD 93 days IRIX64 86 days Linux 78 days Windows 19 days Darwin 7 days

7 P. Bała P. Bała WMiI UMK 7 Survival time Internet Storm Center Czas (w minutach) od instalacji systemu do jego zainfekowania

8 P. Bała P. Bała WMiI UMK 8 Replikacja danych Transakcyjne bazy danych Technologia RAID Transakcyjne systemy plików (XFS) Archiwizacja i replikacja danych –Dyski zapasowe z aktualnym obrazem systemu –Archiwizacja danych –Archiwizacja na nośnikach zewnętrznych dyski, CD, DVD, taśmy –Archiwizacja inkrementalna Ważne dane nigdy nie powinny istnieć tylko w jednym egzemplarzu!

9 P. Bała P. Bała WMiI UMK 9 Procedury archiwizacji i odzysku danych 1. Zarchiwizuj dane. Sprawdź poprawność wykonanej kopii. 2. Uwtórz plan odtwarzania danych i przećwicz go w praktyce. Lokalizacja kopii (data, typ kopii – pełna, częściowa) Lista oprogramowania, włączając dokonywane uaktualnienia Lokalizacja sprzętu zastępczego 3. Nie dokonuj aktualizacji systemu bez stworzenia pełnej kopii zapasowej. 4. Dokumentację systemu wraz z oryginalnymi nośnikami oprogramowania przechowuj w bezpiecznym miejscu. 5. Kasuj stare pliki (nieużywnane, poprzednie wersje). 6. Bądź przygotowany na klęski żywiołowe (archiwizacja danych w fizycznie odległych miejscach).

10 P. Bała P. Bała WMiI UMK 10 Pomyłki ludzi Odpowiedzialne za 55% awarii Problem analfabetyzmu informatycznego –ECDL, advanced ECDL, certyfikaty (www.pti.org) Brak doświadczonego personelu Niski poziom firm IT w Polsce Bezrobocie strukturalne Konieczność szkolenia pracowników

11 P. Bała P. Bała WMiI UMK 11 Pomyłki ludzi Wielokrotne sprawdzanie decyzji Ograniczony dostęp w zależności od stanowiska Archiwizacja danych Logiczne (a nie fizyczne) usuwanie danych z bazy –Kłopoty z Ustawą o ochronie danych osobowych (wymaga fizycznego usuwania danych z bazy) Logowanie aktywności użytkowników –Możliwość określenia kto wprowadził modyfikacje –Czynnik psychologiczny Zabezpieczenia przed modyfikacją logów –Przesyłanie logów na dedykowany system

12 P. Bała P. Bała WMiI UMK 12 Bezpieczne oprogramowanie Korzystanie ze sprawdzonych aplikacji –aplikacje wykorzystywane są zazwyczaj kilka – kilkanaście lat –oprogramowanie OpenSource jest często lepiej sprawdzone Zakup wsparcia technicznego i utrzymania oprogramowania Stosowanie otwartych standardów wymiany danych –dyrektywa UE –ułatwia archiwizację i migrację danych

13 P. Bała P. Bała WMiI UMK 13 Systemy zarządzania obiegiem dokumentów BSCW....

14 P. Bała P. Bała WMiI UMK Computer Crime Survey - straty Przestępstwa elektroniczne zaczynają być problemem –Computer Crime Survey – po raz pierwszy w 2004 roku 639 respondents – starty $130,104,542 –Wirusy $42,787,767 –Nieautoryzowany dostęp $31,233,100 –Kradzież informacji $30,933,000 –DOS (denial of service category) $7,310,725 –Nadużycie dostępu do sieci $6,856,45 Średnia strata $200,000

15 P. Bała P. Bała WMiI UMK 15 Przyczyny powstawania strat finansowych Źródło danych: CSI/FBI Computer Crime & Security Survey 2004

16 P. Bała P. Bała WMiI UMK 16 Przestępstwa elektroniczne Źródło danych: CSI/FBI Computer Crime & Security Survey 2005

17 P. Bała P. Bała WMiI UMK 17 Przestępstwa elektroniczne Brak procedur w połowie firm w USA Źródło danych: CSI/FBI Computer Crime & Security Survey 2005

18 P. Bała P. Bała WMiI UMK 18 Najczęściej spotykane

19 P. Bała P. Bała WMiI UMK 19 Najczęstsze ataki Malware (szkodliwe oprogramowanie) –wirusy Ataki DOS (Denial of Service) Spam Ataki brute force na pliki haseł i usługi Sniffing (podsłuchiwanie) Spoffing (podszywanie się) Phishing Exploitowanie usług i programów

20 P. Bała P. Bała WMiI UMK 20 Szkodliwe oprogramowanie Przechwytywanie poufnych informacji –Hasła –Numery kart kredytowych –Numery kont bankowych 75% programów w 50. najbardziej szkodliwych programów w I połowie 2005 roku 50% w poprzednim półroczu. Źródło: Dziennik Internetowy

21 P. Bała P. Bała WMiI UMK 21 Łamanie haseł Zasada działania –próby odgadnięcia podstawiając kolejne kombinacje liter i znaków –opierając się na prawdopodobieństwie hasło z 6 znaków to 24^6 kombinacji ( ) –czas przetestowania dla hasła z 6 znaków - kilka sekund Wydajność –Wydajniejsze metody przy zastosowaniu słowników –Wpływa: złożoność i długość hasła, oraz czas potrzebny na sprawdzenie hasła

22 P. Bała P. Bała WMiI UMK 22 Przeciwdziałanie łamaniu haseł Stosowanie długich haseł Stosowanie mocnych funkcji jedno kierunkowych do szyfrowania haseł (MD5) Stosowanie mechanizmów blokady po określonej ilości złych haseł Stosowanie haseł złożonych z losowych znaków lub co najmniej jednego znaku specjalnego, cyfry, małej i wielkiej litery Prawidłowe zabezpieczanie plików haseł

23 P. Bała P. Bała WMiI UMK 23 Przeciwdziałanie łamaniu haseł Szkolenia personelu w zakresie odpowiedzialności za hasła dostępu i sposobów ich dobierania. Dostęp do kont tylko poprzez połączenia szyfrowane Okresowe sprawdzanie odporności haseł na łamanie Stosowanie podwójnych zabezpieczeń –biometryczne, karty etc.

24 P. Bała P. Bała WMiI UMK 24 Inne sposoby uzyskania hasła KeyLoggery Miniaturowe kamery video –hasło powinno być wpisywane palcami obu rąk Notatki –hasło nie może być zpisywane Nieświadomi pracownicy –Podstawowy sposób uzyskiwania nieautoryzowanego dostępu –w Starbburks Coffe (USA) 75% osób podało hasło w zamian za kawę ($5)

25 P. Bała P. Bała WMiI UMK 25 Sniffing Zasada działania –tryb ogólny (promiscious) –przechwytywanie i analiza pakietów Podatność Ethernet na ten typ ataku –wspólne medium Ogromne zagrożenie w sieciach bezprzewodowych

26 P. Bała P. Bała WMiI UMK 26 Podatność na sniffing Usługi najczęściej stosowane –FTP, HTTP, POP3, Telnet, SSH1 –wszelkie nieszyfrowane np. GG, ICQ, IRC Należy stsosować zamienne usługi szyfrowane –SFTP, HTTPS, POP3 po SSL, SSH2 Ogromne zagrożenie w dużych sieciach i tam gdzie jest łatwość podłączenia własnego komputera Konieczność dzielenia sieci na segmenty –Routery, switche (nie do końca skuteczne)

27 P. Bała P. Bała WMiI UMK 27 Wykrywanie sniffingu ARP test –sniffer odpowiada na pakiet jak by był do niego zaadresowany nawet gdy MAC jest spreparowany. Wysyłamy ARP request z innym adresem MAC Test DNS –sniffer wysyła zapytania o nazwę nadawcy Test ICMP –icmp echo request i nieprawidłowy MAC

28 P. Bała P. Bała WMiI UMK 28 Firewall FIREWALL Serwer plików Serwer WWW Serwer poczty Skanowanie Ataki typu „back door” IP spoofing Kradzież Sabotaż Podmiana stron www

29 P. Bała P. Bała WMiI UMK 29 Firewall osobisty W Korei Południowej każda osoba korzystająca z bankowości internetowej zobowiązana jest przez rząd do używania firewalla osobistego. Rząd chce także przygotować własny zestaw narzędzi antyhakerskich, które będą udostępniane użytkownikom. Planowane jest również stworzenie centralnie zarządzanego systemu uwierzytelnienia, mającego stanowić gwarancję tożsamości osoby dokonującej transakcji. Wynikiem przeświadczenia, że obawa przed wyciekiem poufnych danych przy dokonywaniu transakcji online jest hamulcem rozwoju handlu internetowego. Źródło: Dziennik Internetowy

30 P. Bała P. Bała WMiI UMK 30 Exploity Działanie –wykorzystanie wad oprogramowania by wykonać własny fragment kodu Techniki –Buffer overflow - stosowane by nad pisać adres powrotu z funkcji i prze kierować go do wnętrza bufora. –Kod wywołuje shell bądź wykonuje dowolne polecenia lub funkcje systemowe –exploitowanie programów SUID lub działających w trybie jądra lub jako usługa uprzywilejowana

31 P. Bała P. Bała WMiI UMK 31 Buffer Overflow Podatne są programy korzystające z funkcji nie określających długości bufora a operują na stringach W C++ string jest pojmowany jako ciąg znaków aż do pojawienia się ZERA Będąc nieostrożnym można skopiować więcej niż się chciało Częste naruszenie ochrony pamięci

32 P. Bała P. Bała WMiI UMK 32 Buffer Overflow Kod Programu Text (statyczne) Początek stosu Niskie adresy (początek pamięci procesu) Wysokie adresy Kolejne zmienne i dane związane z wywołaniami funkcji odkładane są na stos

33 P. Bała P. Bała WMiI UMK 33 Buffer Overflow Kod Programu Text (statyczne) Początek stosu buforstos bufordalsze elementy stosu Początek bufora Koniec bufora Adres powrotu z funkcji Overflow Wystarczy w miejsce adresu powrotu umieścić adres początku bufora w którym jest kod wywołujący shell

34 P. Bała P. Bała WMiI UMK 34 Wirusy (1) Nimda (wrzesień 2001) –Wykorzystywał znane dziury w serwerach serwisów internetowych i używał Outlooka oraz Outlook Expressa do dystrybuowania się poprzez . Blaster (2003/2004) –Wykorzystano zainfekowanych komputerów do ataku na serwer Microsoftu

35 P. Bała P. Bała WMiI UMK 35 Wirusy (2) MyDoom (2003/2004) – serwerów do ataku na SCO i Microsoft

36 P. Bała P. Bała WMiI UMK 36 Wirusy (2) Akher-F (kwiecień 2005) –Rozprzestrzenia się za pośrednictwem poczty elektronicznej jako załącznik ZIP ("sexy clip" z udziałem Angeliny Jolie oraz Brada Pitta) –Rozsyła się do osób z książki adresowej –Przeprowadza atak DOS –Cel ataku Microsoft

37 P. Bała P. Bała WMiI UMK 37 Trendy w atakach * Analiza dokonana przez Symantec Security Response na podstawie danych z Symantec, IDC & ICSA; 2002 **Źródło: CERT M 300M 400M 500M 600M 700M 900M 100M 800M 20,000 40,000 60,000 80, , , Ilość ataków wirusowych Ilość ataków sieciowych Zagrożenia hybrydowe (CodeRed, Nimda, Slammer ) Denial of Service (Yahoo!, eBay) Wirusy „Mass Mailer” (Love Letter/Melissa) Zombies Wirusy polimorficzne (Tequila) Zagrożenia wirusowe * Ataki sieciowe **

38 P. Bała P. Bała WMiI UMK 38 Wirusy w poczcie elektronicznej

39 P. Bała P. Bała WMiI UMK 39 Pojedyncze Organizacje Regionalny Zasięg Pojedyncze PC Sektor Zasięg globalny te Ewolucja zagrożeń Czas  1 sza gen. wirusów  Indywidualne DoS  Podmiana WWW  Robaki  DDoS  Hacking kart kredyt.  Zagrożenia hybrydowe  Limited Warhol threats  DDoS wykorz. robaki  Hacking infrastruktury Przyszłe zagrożenia  „Flash threats”?  Rozległe DDoS wykorz. robaki?  Krytyczne ataki na infrastr.?

40 P. Bała P. Bała WMiI UMK 40 KLEZ dotarł wszędzie w ciągu 2.5 godz.

41 P. Bała P. Bała WMiI UMK 41 Slammer dokonał tego w ciągu 10 minut!

42 P. Bała P. Bała WMiI UMK 42 SQLSlammer – rozwój zagrożenia Najszybciej rozprzestrzeniający się robak. Ponad 90% podatnych na atak serwerów zostało zainfekowane w ciągu 10 minut. Podwojenie liczby zainfekowanych maszyn następowało co 8.5 sekundy (dla CodeRed 37 minut). Pierwszy robak typu “Warhol”. Źródło:

43 P. Bała P. Bała WMiI UMK 43 Okno czasowe luka - zagrożenia Pojawienie się zagrożenia Rozwój zagrożeń: „Day-zero Threat” Zagrożenie day-zero threat to exploit wykorzystujący nieznaną wcześniej, a w związku z tym niezabezpieczoną lukę. Istotny czas od wykrycia luki do opublikowania metod jej usunięcia Wykrycie luki Czas

44 P. Bała P. Bała WMiI UMK 44 Spam Niechciane e –Serwery Open relay –Rozsyłane często z zainfekowanych serwerów 38% respondentów zetknęło się ze spamem Szacunkowo 60-70% i, 50% SMSów Próba wyłudzenia pieniędzy, oferta usług i towarów –Spam Niegeryjski –Oferty na środki typu Viagra

45 P. Bała P. Bała WMiI UMK 45 Spam

46 P. Bała P. Bała WMiI UMK 46 Spam Nigeryjski I am the Santa Claus jr, son of the famous Santa Claus from the North Pole. [..] I have inherited a lot of toys that I have to send to some worthy individual. Of course you need to make some dwon payment to receive them, but I will tell you about it later. Right now all you need to know is that the total value of these toys is uhhh million USD and you will get 20 percent if you agree to help me.

47 P. Bała P. Bała WMiI UMK 47 Spam - przeciwdziałanie Filtrowanie poczty –problem z detekcją spamu Ograniczanie dostępu do serwerów pocztowych –Autoryzacja przed wysłaniem poczty –Połączenia szyfrowane –Blokowanie portów SMTP

48 P. Bała P. Bała WMiI UMK 48 Phising Adresat otrzymuje z prośbą o zalogowanie się na określoną stronę i uaktualnienie swoich danych oraz zmienę hasła. Wykorzystuje nieświadomość adresata. Zazwyczaj wymagane jest podanie danych kompletnych – nie wymaganych przez bank.

49 P. Bała P. Bała WMiI UMK 49 Phising Websense, firma zajmująca się monitoringiem internetu, ostrzega przed zmasowanymi atakami phisherów na europejskie instytucje finansowe. Europejskie instytucje są mniejsze niż amerykańskie i podobno mają słabsze zabezpieczenia. Tylko podczas ostatniego weekendu ( ), Websense odkryła zmasowane ataki skierowane przeciwko ponad dwudziestu europejskim bankom, głównie z Hiszpanii i Włoch. Źródło: Dziennik Internetowy

50 P. Bała P. Bała WMiI UMK 50 Inteligo Mail z konta: Wezwanie do zalogowania się na stronę: Podobne akcje: CitiBank – styczeń 2004

51 P. Bała P. Bała WMiI UMK

52

53

54 najgroźniejszy phishing - farming nasz komputer WWW DNS fałszyw e WWW

55 P. Bała P. Bała WMiI UMK 55 Skan portów


Pobierz ppt "Przestępstwa i oszustwa internetowe. Przykłady i metody obrony. Prof. dr. hab. Piotr Bała Wydział Matematyki i Informatyki UMK Toruń 9.05.2001."

Podobne prezentacje


Reklamy Google