Ciemna strona mocy / Internetu

Transkrypt

1 Kompetentny e-nauczyciel Ciemna strona mocy / Człowiek najlepsza inwestycja Projekt współfinansowany ze środków Unii europejskiej W ramach Europejskiego Funduszu Społecznego Adam Mizerski: Audytor, biegły sądowy, rzeczoznawca Izby Rzeczoznawców PTI a także ekspert z obszaru informatyki w zakresie wyceny środków trwałych oraz wartości niematerialnych i prawnych. V-ce prezes Oddziału Górnośląskiego PTI oraz członek Zarządu Głównego PTI. Pasjonat bezpieczeństwa (co współpracownicy nazywają obsesją) oraz metod (PN-ISO/IEC 27005:2010/Risk IT/COSO) oceny zintegrowanej analizy ryzyka, Główny Administrator Bezpieczeństwa Systemów oraz karbowy XXI wieku czyli szef działu IT. 1

2 Agenda: Botnety, trojany i inne wredne paskudztwa WiFi Hacking/ WiFi WarDriving DNS Spoofing/ DNS Poisoning Obrona Atak 2

3 Potwór z Loch Nesssfotografowany przez satelity? Botnet grupa komputerów zainfekowanych złośliwym oprogramowaniem (np. robakiem) pozostającym w ukryciu przed użytkownikiem ipozwalającym jego twórcy na sprawowanie zdalnej kontroli nad wszystkimi komputerami w ramach botnetu. Kontrola ta pozwala na zdalne rozsyłanie spamu oraz inne ataki z użyciem zainfekowanych komputerów. Botnety posiadają potężną moc obliczeniową. Stanowią potężną cyberbroń i skuteczne narzędzie do nielegalnego zarabiania pieniędzy. Właściciel botnetu może kontrolować komputery tworzące sieć z dowolnego miejsca na świecie - z innego miasta, państwa, a nawet kontynentu. Internet jest skonstruowany w taki sposób, że możliwe jest kontrolowanie botnetu anonimowo. Źródło: 3

4 2010: Stuxnet Działający w systemie Windows robak komputerowy, po raz pierwszy wykryty w czerwcu Jest pierwszym znanym robakiem używanym do szpiegowania i przeprogramowywania instalacji przemysłowych. Zawierał rootkit na system Windows, pierwszy w historii PLC rootkit. Wykorzystywał też wiele luk 0-day. Wirus miał zdolność aktualizacji metodą peer-to-peer. 2011: Duqu Język następcy Stuxneta, Duqu odkrytego we wrześniu 2011 roku, był zagadką dla analityków bezpieczeństwa Kaspersky Lab przez ponad pół roku. Niewiadomymi były również użyty do scalenia modułów wirusa kompilator a także typu szkieletu, na jakim oparto całe rozwiązanie Duqu. W lutym 2012 roku poprosili oni o pomoc na forach internetowych 2012: Flame Karspersky Lab dokonał dogłębnej analizy aktywności wirusa Flame, który niepostrzeżenie przez kilka ostatnich lat rozprzestrzeniał się przy pomocy domen rejestrowanych z wykorzystaniem fałszywych tożsamości. Infrastruktura wirusa była przenoszoną do różnych krajów, w tym do Polski. Tymczasem założyciel firmy Kaspersky ostrzega świat przez coraz głośniejszą cyberwojną. W latach twórcy Flame, najbardziej zaawansowanego szkodliwego oprogramowania odkrytego do tej pory (czerwiec 2012!), zarejestrowali na całym świecie 80 domen, które służyły do kontrolowania działalności robaka. Infrastruktura była przenoszona pomiędzy różnymi krajami, m.in. Polską, Hong Kongiem, Niemcami, Malezją, Łotwą, Wielką Brytanią i Szwajcarią. Kasperky Lab w porozumieniu z GoDaddy oraz OpenDNS doprowadził do odłączenia wszystkich domen, w większości zarejestrowanych na sfałszowane lub skradzione tożsamości wirus_wszech_czasow atakowal_m_in z_polski.html 4

5 2012: Gauss Kolejny członek rodziny Stuxnet, Duqu, Flame Po raz pierwszy zaatakował we wrześniu 2011, ale świat dowiaduje się o nim dopiero teraz(sierpień 2012). Powstał na tej samej platformie co wcześniejsze, sponsorowane przez najprawdopodobniej CIA i Mossad projekty o nazwach Stuxnet, Duqu, Flame. Tym razem celuje w kradzież danych dotyczących kont bankowych. Co potrafi Gauss? - przechwytuje ciastka i hasła z przeglądarek - wykrada pliki konfiguracyjne i wysyła je autorom trojana - infekuje dyski USB - kradnie dane dostępowe do banków (głównie ze Środkowego Wschodu: Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank, Credit Libanais, Citibank, PayPal.) - kradnie dane dostępowe do portali społecznociowych, skrzynek TheMask/Careto" Eksperci z Kaspersky Lab wykryli "The Mask" (inna nazwa to Careto) - zaawansowane szkodliwe oprogramowanie, zaangażowane w globalne operacje cyberszpiegowskie, które istnieje co najmniej od 2007 roku. The Mask wyróżnia się złożonością zestawu narzędzi wykorzystywanych przez atakujących. Obejmuje niezwykle wyrafinowane szkodliwe oprogramowanie, rootkita, bootkita, wersje dla systemu OS X oraz Linux i prawdopodobnie wersje dla Androida oraz ios (ipad/iphone). Ofiary operacji "The Mask" zlokalizowano w państwach na cały świecie, w tym w Polsce. Głównym celem osób atakujących jest gromadzenie poufnych danych z zainfekowanych systemów. Obejmują one oficjalne dokumenty, jak również różne klucze szyfrowania, konfiguracje VPN, klucze SSH (służące do identyfikacji użytkownika na serwerze SSH) oraz pliki RDP(wykorzystywane podczas korzystania ze zdalnego pulpitu). 5

6 Botnety to nie działalność gimnazjalistów Botnety to BIZNES Wzrastająca popularność botnetów wynika z niskich kosztów, jakie trzeba ponieść, aby je wynająć. Jak powiedział Kijewski, wynajęcie botnetu do całodniowego ataku, DDoS (atak, który polega na zablokowaniu strony internetowej) to koszt od 30 do 70 dolarów, za botnet zajmujący się wysyłaniem spamu trzeba zapłacić 10 dolarów za 1 mln wysłanych wiadomości. Z kolei zakup niedużego botnetu liczącego 2000 botów kosztuje 200 dolarów. Ataki na Allegro Polska na 9 miejscu najbardziej zarażonych botnetamikrajów świata Czy ja też??? botnet.global.sonicwall.com Google: "botnet ip checker" Źródło: miejscu_najbardziej_zarazonych_botnetami.html 6

7 Konsekwencje bycia członkiem botnetu Oskarżenie o udział w cyberataku Zablokowanie dostępu do Utrata danych Trafienie na czarną listę spamerów tzw. spam servers blacklist 8 kwietnia 2014 Źródło: 7

8 8 kwietnia 2014 Źródło: Źródło: 8

9 Źródło: Aktualizacje 9

10 Antywirus Źródło: Praca na koncie bez uprawnień ADMINISTRATORA(!) 10

11 Unikanie stron XXX Źródło: Unikanie stron XXX Źródło: 11

12 Darmowe oprogramowanie Źródło: Hasłasąjakmajtki: zmieniaj je często, nie zostawiaj na widoku, nie pożyczaj obcym. 12

13 Atak/Obrona :WiFiHacking Źródło: Atak/Obrona :WiFiHacking Źródło: 6V1AQj-6V1AcW-6V1B1d-6V1BSC-6hCys8-qnMmo-qnMue-6V1BBf-dd5hkm-sMgbt-sMgdd/ 13

14 Atak/Obrona :WiFiHacking Źródło: 9J1eAu-9nUxmJ-6y3mtQ-5B9Hv3-nmrgAQ-a9xbmk-jq9NM9-jhjAd-64hm2b-5B5sqv-6cnoSG-51A7Zt-nCW222-nmrz44-a9xbpe- ans3xm-m51kqh-64d7rh-64d7o8-8tqdec-czjf2q-4cklkd-2pdyfd-8zipey-8ur2ew-6zauwx-eesi9z-4lhfzh-3acvwn-a7afyu- 8Kkusp-64hnxN-m51KQ5-66qWpc-9ufUtZ-7ifRtY-nCCUVK-kYZo39-8KoxEG-6BSZmQ-bETopH-akoBe9-6zsDJj-njQBop-m4ZoPt Atak/Obrona:WiFiHacking Protokół WPA2: EEE i,WPA2(ang.Wi-Fi ProtectedAccess II) protokół sieci bezprzewodowych. Implementuje w sobie: 802.1x oraz CCMP. W porównaniu zwep: wykorzystuje 128-bitowe klucze kryptograficzne ma poprawione wszystkie znalezione luki w zabezpieczeniach WEP wykorzystuje dynamiczne klucze (na poziomie użytkownika, sesji, pakietów) automatycznie dystrybuuje klucze posiada podniesiony poziom bezpieczeństwa autoryzacji użytkownika (przy użyciu 802.1x oraz EAP) Źródło: 14

15 Atak/Obrona:WiFiHacking Protokół WPA2: Źródło: Atak/Obrona:WiFiHacking Protokół WPA2- zalecenia: Hasło do sieci Wi-Fi powinno być długie i skomplikowane. Dzięki temu sieć będzie odporna na próby łamania hasła przy pomocy metody słownikowej lub ataku siłowego (brute force). Używajmy generatorów haseł np. - Złe hasło: Dobre hasło: hhju5qds8q:j}x_hezpqvebcyy6aah Komputerowi jest obojętne jak skomplikowane jest hasło do WiFi 15

16 Atak/Obrona:WiFiHacking Protokół WPA2- zalecenia: Poza hasłem do sieci należy także zadbać o ochronę dostępu do routera, ponieważ standardowo mamy do czynienia z zabezpieczeniem fabrycznym login i hasło można wówczas znaleźć na stronie internetowej producenta sprzętu sieciowego. Po ustawieniu własnego hasła dostępowego do routera osoby trzecie nie będą w stanie połączyć się z nim i modyfikować jego ustawień. Jeżeli router daje możliwość zmniejszenia zasięgu sygnału, skorzystaj z tego. Gdy dostosujesz siłę sygnału Wi-Fi do obszaru swojego lokalu, osoby z zewnątrz nie będą mogły połączyć się z Twoją siecią (lub będzie to znacznie utrudnione). Źródło: Atak/Obrona :WiFiHacking/WarDriving Źródło: Źródło: EyFPa-7aWCRR-aM3VH-3rZQ7-sT5H-9c7v4S-2ZrSQ-2hD5w-5HJoKX-EyFSH-EyFQr-9c7qYb-9c7qR3-7vDQ3d-7zvqcv-5AWNBU-KdvMt-FtmQq-7f927v-7fcXr1-7fcVeh-7f92Ug- 7fcX19-7f91J8-7f94hR-7f8ZYc-48zghp-7ZiV5E-boC9WD-kW6rY-FtmQw-49DCy-7tRFkS-4jYkLP-6PZTR-4HcAqk-5EpUCu/ WarDriving w Katowicach 16

17 Atak/Obrona :DNSSpoofing/DNSPoisoning Źródło: Atak/Obrona :DNSSpoofing/DNSPoisoning Stracił PLN bo miał dziurawy router. Prawie 1,2 miliona Polaków może być podatnych na ten atak! 15 stycznia z konta mi zniknęło blisko zł. Przelew został wykonany na konto mbanku do realnej osoby (jak potwierdził [mi] bank), ale i jednoczesnie natychmiast został przelany na kolejne numery kont(osób, które jak się okazało, też były ofiarami). Cala procedura polegała, co mogę stwierdzić już po fakcie, na zamianie DNS-ów w routerze (podatny na atak AirLive WT-2000ARM). Potwierdzilem to, kiedy drugi raz, 2 dni temu, znów coś niepokojącego pojawiło się na stronie mbanku. Nie mogłem uruchomić nowej wersji strony banku. Caly czas przekierowywało mnie na starą wersję, co wydało mi się dziwne, a dodatkowo nie było już certyfikatu, a adres banku wyglądał tak:ssl-. Źródło: 17

18 Atak/Obrona :DNSSpoofing/DNSPoisoning Atakwskróciepolegana wyszukaniu w internecie podatnych routerów (co można bardzo prosto zrobić przy pomocy odpowiedniego zapytania do Shodana). odwołaniu się do pliku z backupem konfiguracji na routerze i zdekodowaniu go w celu uzyskania hasła. zalogowaniu się na router odzyskanym hasłem i podmianie ustawień serwera DHCP na routerze tak, aby w polach serwery DNS zwracał nie dane dostawcy łącza internetowego, a fałszywy serwer DNS kontrolowany przez atakujących. Od teraz wszystkie rozwiązania nazw domenowych przechodzą przez serwer DNS należący do atakujących Źródło: Atak/Obrona:DNSSpoofing/DNSPoisoning Źródło: 18

19 Atak/Obrona:DNSSpoofing/DNSPoisoning Źródło: Atak/Obrona:DNSSpoofing/DNSPoisoning 19

20 Internet jest jak miasto nocą: są miejsca w miarę bezpieczne są miejsca pozornie bezpieczne x są miejsca gdzie lepiej nie zaglądać 20

21 Ale Internet to nie Gotham City, tu nie przyjdzie nam z pomocą Batman, a nawet jeżeli przyjdzie to Dziękuje za uwagę itsecurity24.info securityblog.info.pl Polskie Towarzystwo Informatyczne Oddział Górnośląski Adam Mizerski adam@mizerski.net.pl