przest pstwa i oszustwa internetowe przyk ady i metody obrony l.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Przestępstwa i oszustwa internetowe. Przykłady i metody obrony. PowerPoint Presentation
Download Presentation
Przestępstwa i oszustwa internetowe. Przykłady i metody obrony.

Loading in 2 Seconds...

play fullscreen
1 / 55

Przestępstwa i oszustwa internetowe. Przykłady i metody obrony. - PowerPoint PPT Presentation


  • 213 Views
  • Uploaded on

Przestępstwa i oszustwa internetowe. Przykłady i metody obrony. Prof. dr. hab. Piotr Bała. Wydział Matematyki i Informatyki UMK. Toruń 9.05.2001. safety ochrona przed zagrożeniami „naturalnymi” (awarie) awarie sprzętu błędy oprogramowania

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Przestępstwa i oszustwa internetowe. Przykłady i metody obrony.' - dianne


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
przest pstwa i oszustwa internetowe przyk ady i metody obrony

Przestępstwa i oszustwa internetowe. Przykłady i metody obrony.

Prof. dr. hab. Piotr Bała

Wydział Matematyki i

Informatyki UMK

Toruń 9.05.2001

bezpiecze stwo
safety

ochrona przed zagrożeniami „naturalnymi” (awarie)

awarie sprzętu

błędy oprogramowania

błędy ludzkie (np. nieumyślne skasowanie danych z dysku...)

security

ochrona przed zagrożeniami spowodowanymi wrogą działalnością ludzi

Bezpieczeństwo
polityka bezpiecze stwa okre la
Polityka Bezpieczeństwa określa:
  • Przedmiot ochrony i priorytety określonych obiektów
  • Przed jakimi działaniami obiekty mają być chronione
  • Realną szansę zagrożenia i opłacalność działań
  • Odpowiedzialność za bezpieczeństwo
  • Procedury i obowiązki pracowników w zakresie ochrony obiektów (administratorzy, pracownicy)
  • Sposoby reagowania w sytuacjach wyjątkowych
  • Pierwszeństwo odcięcia ataku czy śledzenia
  • Czym jest naruszenie polityki (dokładnie i szeroko)
  • Konsekwencje wobec naruszenia polityki przez pracownika.
replikacja system w
Replikacja systemów
  • Duplikowane źródła zasilania
  • Fizyczna redundancja urządzeń
  • Urządzenia zapasowe
  • Klasteryzacja serwerów
    • Kilka zsynchronizowanych serwerów (np. Google)
  • Technologia „hot swap”
    • Wymiana krytycznych elementów bez wyłączania systemu
      • Sun, HP, IBM
  • Eliminacja punktów krytycznych („single point failure”)
niezawodno system w
Niezawodność systemów
  • Klasa niezawodności
    • 99% - 3.5 dnia/rok
    • 99.9% - 9 godzin/rok
    • 99.99% - 50 minut/rok
  • Średni uptime

HP-UX 538 days

SunOS 241 days

NetWare IA32 161 days

FreeBSD 124 days

NetBSD 104 days

OpenBSD 93 days

IRIX64 86 days

Linux 78 days

Windows 19 days

Darwin 7 days

survival time
Survival time

Internet Storm Center http://isc.sans.org/

Czas (w minutach) od instalacji systemu do jego zainfekowania

replikacja danych
Replikacja danych
  • Transakcyjne bazy danych
  • Technologia RAID
  • Transakcyjne systemy plików (XFS)
  • Archiwizacja i replikacja danych
    • Dyski zapasowe z aktualnym obrazem systemu
    • Archiwizacja danych
    • Archiwizacja na nośnikach zewnętrznych
      • dyski, CD, DVD, taśmy
    • Archiwizacja inkrementalna
  • Ważne dane nigdy nie powinny istnieć tylko w jednym egzemplarzu!
procedury archiwizacji i odzysku danych
Procedury archiwizacji i odzysku danych
  • Zarchiwizuj dane. Sprawdź poprawność wykonanej kopii.
  • Uwtórz plan odtwarzania danych i przećwicz go w praktyce.
    • Lokalizacja kopii (data, typ kopii – pełna, częściowa)
    • Lista oprogramowania, włączając dokonywane uaktualnienia
    • Lokalizacja sprzętu zastępczego
  • Nie dokonuj aktualizacji systemu bez stworzenia pełnej kopii zapasowej.
  • Dokumentację systemu wraz z oryginalnymi nośnikami oprogramowania przechowuj w bezpiecznym miejscu.
  • Kasuj stare pliki (nieużywnane, poprzednie wersje).
  • Bądź przygotowany na klęski żywiołowe (archiwizacja danych w fizycznie odległych miejscach).
pomy ki ludzi
Pomyłki ludzi
  • Odpowiedzialne za 55% awarii
  • Problem analfabetyzmu informatycznego
    • ECDL, advanced ECDL, certyfikaty

(www.pti.org)

  • Brak doświadczonego personelu
  • Niski poziom firm IT w Polsce
  • Bezrobocie strukturalne
  • Konieczność szkolenia pracowników
pomy ki ludzi11
Pomyłki ludzi
  • Wielokrotne sprawdzanie decyzji
  • Ograniczony dostęp w zależności od stanowiska
  • Archiwizacja danych
  • Logiczne (a nie fizyczne) usuwanie danych z bazy
    • Kłopoty z Ustawą o ochronie danych osobowych (wymaga fizycznego usuwania danych z bazy)
  • Logowanie aktywności użytkowników
    • Możliwość określenia kto wprowadził modyfikacje
    • Czynnik psychologiczny
  • Zabezpieczenia przed modyfikacją logów
    • Przesyłanie logów na dedykowany system
bezpieczne oprogramowanie
Bezpieczne oprogramowanie
  • Korzystanie ze sprawdzonych aplikacji
    • aplikacje wykorzystywane są zazwyczaj kilka – kilkanaście lat
    • oprogramowanie OpenSource jest często lepiej sprawdzone
  • Zakup wsparcia technicznego i utrzymania oprogramowania
  • Stosowanie otwartych standardów wymiany danych
    • dyrektywa UE
    • ułatwia archiwizację i migrację danych
2005 computer crime survey straty
2005 Computer Crime Survey - straty
  • Przestępstwa elektroniczne zaczynają być problemem
    • Computer Crime Survey – po raz pierwszy w 2004 roku
  • 639 respondents – starty $130,104,542
    • Wirusy $42,787,767
    • Nieautoryzowany dostęp$31,233,100
    • Kradzież informacji $30,933,000
    • DOS (denial of service category)$7,310,725
    • Nadużycie dostępu do sieci$6,856,45
  • Średnia strata $200,000
przyczyny powstawania strat finansowych
Przyczyny powstawania strat finansowych

Źródło danych: CSI/FBI Computer Crime & Security Survey 2004

przest pstwa elektroniczne
Przestępstwa elektroniczne

Źródło danych: CSI/FBI Computer Crime & Security Survey 2005

przest pstwa elektroniczne17
Przestępstwa elektroniczne
  • Brak procedur w połowie firm w USA

Źródło danych: CSI/FBI Computer Crime & Security Survey 2005

najcz stsze ataki
Najczęstsze ataki
  • Malware (szkodliwe oprogramowanie)
    • wirusy
  • Ataki DOS (Denial of Service)
  • Spam
  • Ataki brute force na pliki haseł i usługi
  • Sniffing (podsłuchiwanie)
  • Spoffing (podszywanie się)
  • Phishing
  • Exploitowanie usług i programów
szkodliwe oprogramowanie
Szkodliwe oprogramowanie
  • Przechwytywanie poufnych informacji
    • Hasła
    • Numery kart kredytowych
    • Numery kont bankowych
  • 75%programów w 50. najbardziej szkodliwych programów w I połowie 2005 roku
  • 50% w poprzednim półroczu.

Źródło: Dziennik Internetowy www.di.com.pl 23.09.2005

amanie hase
Łamanie haseł
  • Zasada działania
    • próby odgadnięcia podstawiając kolejne kombinacje liter i znaków
    • opierając się na prawdopodobieństwie hasło z 6 znaków to 24^6 kombinacji (20 000 000)
    • czas przetestowania dla hasła z 6 znaków - kilka sekund
  • Wydajność
    • Wydajniejsze metody przy zastosowaniu słowników
    • Wpływa: złożoność i długość hasła, oraz czas potrzebny na sprawdzenie hasła
przeciwdzia anie amaniu hase
Przeciwdziałanie łamaniu haseł
  • Stosowanie długich haseł
  • Stosowanie mocnych funkcji jedno kierunkowych do szyfrowania haseł (MD5)
  • Stosowanie mechanizmów blokady po określonej ilości złych haseł
  • Stosowanie haseł złożonych z losowych znaków lub co najmniej jednego znaku specjalnego, cyfry, małej i wielkiej litery
  • Prawidłowe zabezpieczanie plików haseł
przeciwdzia anie amaniu hase23
Przeciwdziałanie łamaniu haseł
  • Szkolenia personelu w zakresie odpowiedzialności za hasła dostępu i sposobów ich dobierania.
  • Dostęp do kont tylko poprzez połączenia szyfrowane
  • Okresowe sprawdzanie odporności haseł na łamanie
  • Stosowanie podwójnych zabezpieczeń
    • biometryczne, karty etc.
inne sposoby uzyskania has a
Inne sposoby uzyskania hasła
  • KeyLoggery
  • Miniaturowe kamery video
    • hasło powinno być wpisywane palcami obu rąk
  • Notatki
    • hasło nie może być zpisywane
  • Nieświadomi pracownicy
    • Podstawowy sposób uzyskiwania nieautoryzowanego dostępu
    • w Starbburks Coffe (USA) 75% osób podało hasło w zamian za kawę ($5)
sniffing
Sniffing
  • Zasada działania
    • tryb ogólny (promiscious)
    • przechwytywanie i analiza pakietów
  • Podatność Ethernet na ten typ ataku
    • wspólne medium
  • Ogromne zagrożenie w sieciach bezprzewodowych
podatno na sniffing
Podatność na sniffing
  • Usługi najczęściej stosowane
    • FTP, HTTP, POP3, Telnet, SSH1
    • wszelkie nieszyfrowane np. GG, ICQ, IRC
  • Należy stsosować zamienne usługi szyfrowane
    • SFTP, HTTPS, POP3 po SSL, SSH2
  • Ogromne zagrożenie w dużych sieciach i tam gdzie jest łatwość podłączenia własnego komputera
  • Konieczność dzielenia sieci na segmenty
    • Routery, switche (nie do końca skuteczne)
wykrywanie sniffingu
Wykrywanie sniffingu
  • ARP test
    • sniffer odpowiada na pakiet jak by był do niego zaadresowany nawet gdy MAC jest spreparowany. Wysyłamy ARP request z innym adresem MAC
  • Test DNS
    • sniffer wysyła zapytania o nazwę nadawcy
  • Test ICMP
    • icmp echo request i nieprawidłowy MAC
firewall
Firewall

Skanowanie

Ataki typu „back door”

IP spoofing

Kradzież

Sabotaż

Podmiana stron www

Serwer plików

Serwer poczty

Serwer WWW

FIREWALL

firewall osobisty
Firewall osobisty
  • W Korei Południowej każda osoba korzystająca z bankowości internetowej zobowiązana jest przez rząd do używania firewalla osobistego.
  • Rząd chce także przygotować własny zestaw narzędzi antyhakerskich, które będą udostępniane użytkownikom.
  • Planowane jest również stworzenie centralnie zarządzanego systemu uwierzytelnienia, mającego stanowić gwarancję tożsamości osoby dokonującej transakcji.
  • Wynikiem przeświadczenia, że obawa przed wyciekiem poufnych danych przy dokonywaniu transakcji online jest hamulcem rozwoju handlu internetowego.

Źródło: Dziennik Internetowy www.di.com.pl 23.09.2005

exploity
Exploity
  • Działanie
    • wykorzystanie wad oprogramowania by wykonać własny fragment kodu
  • Techniki
    • Buffer overflow - stosowane by nad pisać adres powrotu z funkcji i prze kierować go do wnętrza bufora.
    • Kod wywołuje shell bądź wykonuje dowolne polecenia lub funkcje systemowe
    • exploitowanie programów SUID lub działających w trybie jądra lub jako usługa uprzywilejowana
buffer overflow
Buffer Overflow
  • Podatne są programy korzystające z funkcji nie określających długości bufora a operują na stringach
  • W C++ string jest pojmowany jako ciąg znaków aż do pojawienia się ZERA
  • Będąc nieostrożnym można skopiować więcej niż się chciało
  • Częste naruszenie ochrony pamięci
buffer overflow32
Buffer Overflow

Niskie adresy

(początek pamięci procesu)

Kod Programu

Text (statyczne)

Kolejne zmienne i dane związane z wywołaniami funkcji odkładane są na stos

Początek stosu

Wysokie adresy

buffer overflow33
Buffer Overflow

Kod Programu

bufor

dalsze elementy stosu

Text (statyczne)

Overflow

Adres powrotu z funkcji

Koniec bufora

Początek bufora

bufor

stos

Wystarczy w miejsce adresu powrotu

umieścić adres początku bufora w

którym jest kod wywołujący shell

Początek stosu

wirusy 1
Wirusy (1)
  • Nimda (wrzesień 2001)
    • Wykorzystywał znane dziury w serwerach serwisówinternetowych i używał Outlooka oraz Outlook Expressa do dystrybuowania się poprzez e-mail.
  • Blaster (2003/2004)
    • Wykorzystano 500 000 zainfekowanych komputerów do ataku na serwer Microsoftu
wirusy 2
Wirusy (2)
  • MyDoom (2003/2004)
    • 1 000 000 serwerów do ataku na SCO i Microsoft
wirusy 236
Wirusy (2)
  • Akher-F (kwiecień 2005)
    • Rozprzestrzenia się za pośrednictwem poczty elektronicznej jako załącznik ZIP ("sexy clip" z udziałem Angeliny Jolie oraz Brada Pitta)
    • Rozsyła się do osób z książki adresowej
    • Przeprowadza atak DOS
    • Cel ataku Microsoft
trendy w atakach

120,000

900M

800M

Zagrożenia hybrydowe

(CodeRed, Nimda, Slammer)

100,000

700M

Denial of Service

(Yahoo!, eBay)

80,000

600M

Ilość ataków wirusowych

500M

Ilość ataków sieciowych

60,000

Wirusy „Mass Mailer”

(Love Letter/Melissa)

400M

Zagrożenia

wirusowe*

40,000

300M

Zombies

Ataki

sieciowe**

200M

Wirusy polimorficzne

(Tequila)

20,000

100M

0

0

1995

1996

1997

1998

1999

2000

2001

2002

*Analiza dokonana przez Symantec Security Response na podstawie danych

z Symantec, IDC & ICSA; 2002

**Źródło: CERT

Trendy w atakach
ewolucja zagro e

Przyszłe zagrożenia

  • „Flash threats”?
  • Rozległe DDoS wykorz. robaki?
  • Krytyczne ataki na infrastr.?
  • Zagrożenia hybrydowe
  • Limited Warhol threats
  • DDoS wykorz. robaki
  • Hacking infrastruktury
  • Robaki email
  • DDoS
  • Hacking kart kredyt.
  • 1sza gen. wirusów
  • Indywidualne DoS
  • Podmiana WWW
Ewolucja zagrożeń

Zasięg

globalny

Sektor

Zasięg

Regionalny

Pojedyncze

Organizacje

Pojedyncze

PC

Czas

1990-te

2000

2003

sqlslammer rozw j zagro enia
SQLSlammer – rozwój zagrożenia
  • Najszybciej rozprzestrzeniający się robak.
  • Ponad 90% podatnych na atak serwerów zostało zainfekowane w ciągu 10 minut.
  • Podwojenie liczby zainfekowanych maszyn następowało co 8.5 sekundy (dla CodeRed37 minut).
  • Pierwszy robak typu “Warhol”.

Źródło:http://www.cs.berkeley.edu/~nweaver/sapphire/

rozw j zagro e day zero threat
Rozwój zagrożeń: „Day-zero Threat”
  • Zagrożenieday-zero threatto exploit wykorzystujący nieznaną wcześniej, a w związku z tym niezabezpieczoną lukę.
  • Istotny czas od wykrycia luki do opublikowania metod jej usunięcia

Okno czasowe

luka - zagrożenia

Czas

Wykrycie luki

Pojawienie się

zagrożenia

slide44
Spam
  • Niechciane e-maile
    • Serwery Open relay
    • Rozsyłane często z zainfekowanych serwerów
  • 38% respondentów zetknęło się ze spamem
  • Szacunkowo 60-70% e-maili, 50% SMSów
  • Próba wyłudzenia pieniędzy, oferta usług i towarów
    • Spam Niegeryjski
    • Oferty na środki typu Viagra
spam nigeryjski
Spam Nigeryjski
  • I am the Santa Claus jr, son of the famous Santa Claus from the North Pole. [..]
  • I have inherited a lot of toys that I have to send to some worthy individual. Of course you need to make some dwon payment to receive them, but I will tell you about it later.
  • Right now all you need to know is that the total value of these toys is uhhh million USD and you will get 20 percent if you agree to help me.
spam przeciwdzia anie
Spam - przeciwdziałanie
  • Filtrowanie poczty
    • problem z detekcją spamu
  • Ograniczanie dostępu do serwerów pocztowych
    • Autoryzacja przed wysłaniem poczty
    • Połączenia szyfrowane
    • Blokowanie portów SMTP
phising
Phising
  • Adresat otrzymuje e-mail z prośbą o zalogowanie się na określoną stronę i uaktualnienie swoich danych oraz zmienę hasła.
  • Wykorzystuje nieświadomość adresata.
  • Zazwyczaj wymagane jest podanie danych kompletnych – nie wymaganych przez bank.
phising49
Phising
  • Websense, firma zajmująca się monitoringiem internetu, ostrzega przed zmasowanymi atakami phisherów na europejskie instytucje finansowe.
  • Europejskie instytucje są mniejsze niż amerykańskie i podobno mają słabsze zabezpieczenia.
  • Tylko podczas ostatniego weekendu (15.09.2005), Websense odkryła zmasowane ataki skierowane przeciwko ponad dwudziestu europejskim bankom, głównie z Hiszpanii i Włoch.

Źródło: Dziennik Internetowy www.di.com.pl 23.09.2005

inteligo 9 02 2005
Inteligo - 9.02.2005
  • Mail z konta: inteligobank@go2.pl
  • Wezwanie do zalogowania się na stronę: www.inteligobank.friko.pl
  • Podobne akcje: CitiBank – styczeń 2004