http://eng.letscc.net/detail.php?idx=233445&k=anakin%20skywalker Kompetentny e-nauczyciel Ciemna strona mocy / Człowiek najlepsza inwestycja Projekt współfinansowany ze środków Unii europejskiej W ramach Europejskiego Funduszu Społecznego http://eng.letscc.net/detail.php?idx=233442&k=vader Adam Mizerski: Audytor, biegły sądowy, rzeczoznawca Izby Rzeczoznawców PTI a także ekspert z obszaru informatyki w zakresie wyceny środków trwałych oraz wartości niematerialnych i prawnych. V-ce prezes Oddziału Górnośląskiego PTI oraz członek Zarządu Głównego PTI. Pasjonat bezpieczeństwa (co współpracownicy nazywają obsesją) oraz metod (PN-ISO/IEC 27005:2010/Risk IT/COSO) oceny zintegrowanej analizy ryzyka, Główny Administrator Bezpieczeństwa Systemów oraz karbowy XXI wieku czyli szef działu IT. 1
Agenda: Botnety, trojany i inne wredne paskudztwa WiFi Hacking/ WiFi WarDriving DNS Spoofing/ DNS Poisoning Obrona http://eng.letscc.net/detail.php?idx=233437&k=sword Atak http://eng.letscc.net/detail.php?idx=233437&k=sword 2
Potwór z Loch Nesssfotografowany przez satelity? http://wiadomosci.dziennik.pl/nauka/artykuly/456689,czy-to-potwor-z-loch-ness-zobacz-satelitarne-zdjecia-z-apple-maps-i-googlemaps.html http://wiadomosci.gazeta.pl/wiadomosci/1,114871,15829112,potwor_z_loch_ness_sfotografowany_przez_satelity_.html Botnet grupa komputerów zainfekowanych złośliwym oprogramowaniem (np. robakiem) pozostającym w ukryciu przed użytkownikiem ipozwalającym jego twórcy na sprawowanie zdalnej kontroli nad wszystkimi komputerami w ramach botnetu. Kontrola ta pozwala na zdalne rozsyłanie spamu oraz inne ataki z użyciem zainfekowanych komputerów. http://pl.wikipedia.org/wiki/botnet_(bezpiecze%c5%84stwo_komputerowe) http://eng.letscc.net/detail.php?idx=97357&k=botnet Botnety posiadają potężną moc obliczeniową. Stanowią potężną cyberbroń i skuteczne narzędzie do nielegalnego zarabiania pieniędzy. Właściciel botnetu może kontrolować komputery tworzące sieć z dowolnego miejsca na świecie - z innego miasta, państwa, a nawet kontynentu. Internet jest skonstruowany w taki sposób, że możliwe jest kontrolowanie botnetu anonimowo. Źródło: http://www.securelist.pl/analysis/5859,biznes_botnetowy.html 3
2010: Stuxnet Działający w systemie Windows robak komputerowy, po raz pierwszy wykryty w czerwcu 2010. Jest pierwszym znanym robakiem używanym do szpiegowania i przeprogramowywania instalacji przemysłowych. Zawierał rootkit na system Windows, pierwszy w historii PLC rootkit. Wykorzystywał też wiele luk 0-day. Wirus miał zdolność aktualizacji metodą peer-to-peer. 2011: Duqu Język następcy Stuxneta, Duqu odkrytego we wrześniu 2011 roku, był zagadką dla analityków bezpieczeństwa Kaspersky Lab przez ponad pół roku. Niewiadomymi były również użyty do scalenia modułów wirusa kompilator a także typu szkieletu, na jakim oparto całe rozwiązanie Duqu. W lutym 2012 roku poprosili oni o pomoc na forach internetowych 2012: Flame Karspersky Lab dokonał dogłębnej analizy aktywności wirusa Flame, który niepostrzeżenie przez kilka ostatnich lat rozprzestrzeniał się przy pomocy domen rejestrowanych z wykorzystaniem fałszywych tożsamości. Infrastruktura wirusa była przenoszoną do różnych krajów, w tym do Polski. Tymczasem założyciel firmy Kaspersky ostrzega świat przez coraz głośniejszą cyberwojną. W latach 2008-2012 twórcy Flame, najbardziej zaawansowanego szkodliwego oprogramowania odkrytego do tej pory (czerwiec 2012!), zarejestrowali na całym świecie 80 domen, które służyły do kontrolowania działalności robaka. Infrastruktura była przenoszona pomiędzy różnymi krajami, m.in. Polską, Hong Kongiem, Niemcami, Malezją, Łotwą, Wielką Brytanią i Szwajcarią. Kasperky Lab w porozumieniu z GoDaddy oraz OpenDNS doprowadził do odłączenia wszystkich domen, w większości zarejestrowanych na sfałszowane lub skradzione tożsamości http://technologie.gazeta.pl/internet/1,104530,11881362,flame wirus_wszech_czasow atakowal_m_in z_polski.html 4
2012: Gauss Kolejny członek rodziny Stuxnet, Duqu, Flame Po raz pierwszy zaatakował we wrześniu 2011, ale świat dowiaduje się o nim dopiero teraz(sierpień 2012). Powstał na tej samej platformie co wcześniejsze, sponsorowane przez najprawdopodobniej CIA i Mossad projekty o nazwach Stuxnet, Duqu, Flame. Tym razem celuje w kradzież danych dotyczących kont bankowych. Co potrafi Gauss? - przechwytuje ciastka i hasła z przeglądarek - wykrada pliki konfiguracyjne i wysyła je autorom trojana - infekuje dyski USB - kradnie dane dostępowe do banków (głównie ze Środkowego Wschodu: Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank, Credit Libanais, Citibank, PayPal.) - kradnie dane dostępowe do portali społecznociowych, skrzynek e-mail http://niebezpiecznik.pl/post/gauss-kolejny-czlonek-rodziny-stuxnet-duqu-flame/ 2014 TheMask/Careto" Eksperci z Kaspersky Lab wykryli "The Mask" (inna nazwa to Careto) - zaawansowane szkodliwe oprogramowanie, zaangażowane w globalne operacje cyberszpiegowskie, które istnieje co najmniej od 2007 roku. The Mask wyróżnia się złożonością zestawu narzędzi wykorzystywanych przez atakujących. Obejmuje niezwykle wyrafinowane szkodliwe oprogramowanie, rootkita, bootkita, wersje dla systemu OS X oraz Linux i prawdopodobnie wersje dla Androida oraz ios (ipad/iphone). Ofiary operacji "The Mask" zlokalizowano w państwach na cały świecie, w tym w Polsce. Głównym celem osób atakujących jest gromadzenie poufnych danych z zainfekowanych systemów. Obejmują one oficjalne dokumenty, jak również różne klucze szyfrowania, konfiguracje VPN, klucze SSH (służące do identyfikacji użytkownika na serwerze SSH) oraz pliki RDP(wykorzystywane podczas korzystania ze zdalnego pulpitu). http://tech.wp.pl/kat,1009779,title,the-mask-jedna-z-najbardziej-zaawansowanych-operacji-cyberszpiegowskich-whistorii,wid,16398245,wiadomosc.html?ticaid=112ca3 5
Botnety to nie działalność gimnazjalistów Botnety to BIZNES Wzrastająca popularność botnetów wynika z niskich kosztów, jakie trzeba ponieść, aby je wynająć. Jak powiedział Kijewski, wynajęcie botnetu do całodniowego ataku, DDoS (atak, który polega na zablokowaniu strony internetowej) to koszt od 30 do 70 dolarów, za botnet zajmujący się wysyłaniem spamu trzeba zapłacić 10 dolarów za 1 mln wysłanych wiadomości. Z kolei zakup niedużego botnetu liczącego 2000 botów kosztuje 200 dolarów. http://biznes.onet.pl/ekspert-rosnie-zagrozenia-zwiazane-z-botnetami,18568,5587269,news-detal Ataki na Allegro Polska na 9 miejscu najbardziej zarażonych botnetamikrajów świata. 14.11.2013 Czy ja też??? botnet.global.sonicwall.com Google: "botnet ip checker" Źródło: http://technologie.gazeta.pl/internet/1,104530,14954461,polska_na_9 miejscu_najbardziej_zarazonych_botnetami.html 6
Konsekwencje bycia członkiem botnetu http://eng.letscc.net/detail.php?idx=100009&k=cyber%20attack Oskarżenie o udział w cyberataku Zablokowanie dostępu do Utrata danych Trafienie na czarną listę spamerów tzw. spam servers blacklist http://eng.letscc.net/detail.php?idx=233959&k=prisioner 8 kwietnia 2014 Źródło: http://www.snt.at/ 7
8 kwietnia 2014 Źródło: http://www.microsoft.com/pl-pl/windows/business/retiring-xp.aspx Źródło: http://ubuntu.pl/ 8
Źródło: http://ubuntu.pl/pobierz.php Aktualizacje 9
Antywirus Źródło: https://www.virusbtn.com/index Praca na koncie bez uprawnień ADMINISTRATORA(!) 10
Unikanie stron XXX Źródło: http://www.pcworld.pl/news/359613/niebezpieczne.strony.porno.jak.sie.ochronic.html Unikanie stron XXX Źródło: http://www.komputerswiat.pl/artykuly/redakcyjne/2013/11/uwaga-policja-puka-do-drzwi!-ransomware-powrocil.aspx 11
Darmowe oprogramowanie Źródło: http://sourceforge.net/ Hasłasąjakmajtki: http://thenextweb.com/shareables/2010/02/09/passwords-are-like-underwear/ zmieniaj je często, nie zostawiaj na widoku, nie pożyczaj obcym. 12
Atak/Obrona :WiFiHacking Źródło: https://www.flickr.com/photos/dullhunk/9730894552/in/photostream/ Atak/Obrona :WiFiHacking Źródło: https://www.flickr.com/photos/andrewcurrie/4271097701/in/photolist-64e6y3-6dfqq9-pr2jl-pr3sf-pr3sd-pr3sb-8r99qwfgkb4i-6rk47a-83zvig-eyzbin-891ssh-qnmdd-7vuigs-7vquxx-owdf7-owdew-owdeu-owdf3-owdez-6rft96-95z4un-6rfuhaxdxp3-owdfc-yrrgc-yrrnd-yrraq-yrrx1-yrs5d-yrrtq-qnn8w-cxxctu-cotmtj-qnmvp-qnmmz-7vquiv-6uww3m-6uwvop- 6V1AQj-6V1AcW-6V1B1d-6V1BSC-6hCys8-qnMmo-qnMue-6V1BBf-dd5hkm-sMgbt-sMgdd/ 13
Atak/Obrona :WiFiHacking Źródło: https://www.flickr.com/photos/97919868@n05/10582094105/in/photolist-h86zun-natndo-9hxo3h-9j1e8y-8kkuox- 9J1eAu-9nUxmJ-6y3mtQ-5B9Hv3-nmrgAQ-a9xbmk-jq9NM9-jhjAd-64hm2b-5B5sqv-6cnoSG-51A7Zt-nCW222-nmrz44-a9xbpe- ans3xm-m51kqh-64d7rh-64d7o8-8tqdec-czjf2q-4cklkd-2pdyfd-8zipey-8ur2ew-6zauwx-eesi9z-4lhfzh-3acvwn-a7afyu- 8Kkusp-64hnxN-m51KQ5-66qWpc-9ufUtZ-7ifRtY-nCCUVK-kYZo39-8KoxEG-6BSZmQ-bETopH-akoBe9-6zsDJj-njQBop-m4ZoPt Atak/Obrona:WiFiHacking Protokół WPA2: EEE 802.11i,WPA2(ang.Wi-Fi ProtectedAccess II) protokół sieci bezprzewodowych. Implementuje w sobie: 802.1x oraz CCMP. W porównaniu zwep: wykorzystuje 128-bitowe klucze kryptograficzne ma poprawione wszystkie znalezione luki w zabezpieczeniach WEP wykorzystuje dynamiczne klucze (na poziomie użytkownika, sesji, pakietów) automatycznie dystrybuuje klucze posiada podniesiony poziom bezpieczeństwa autoryzacji użytkownika (przy użyciu 802.1x oraz EAP) Źródło:http://pl.wikipedia.org/wiki/IEEE_802.11i 14
Atak/Obrona:WiFiHacking Protokół WPA2: Źródło:http://www.kaspersky.pl/about.html?s=news_reviews&cat=3&newsid=1943 Atak/Obrona:WiFiHacking Protokół WPA2- zalecenia: Hasło do sieci Wi-Fi powinno być długie i skomplikowane. Dzięki temu sieć będzie odporna na próby łamania hasła przy pomocy metody słownikowej lub ataku siłowego (brute force). Używajmy generatorów haseł np. https://generator.blulink.pl/ - Złe hasło: 12345678 + Dobre hasło: hhju5qds8q:j}x_hezpqvebcyy6aah Komputerowi jest obojętne jak skomplikowane jest hasło do WiFi 15
Atak/Obrona:WiFiHacking Protokół WPA2- zalecenia: Poza hasłem do sieci należy także zadbać o ochronę dostępu do routera, ponieważ standardowo mamy do czynienia z zabezpieczeniem fabrycznym login i hasło można wówczas znaleźć na stronie internetowej producenta sprzętu sieciowego. Po ustawieniu własnego hasła dostępowego do routera osoby trzecie nie będą w stanie połączyć się z nim i modyfikować jego ustawień. Jeżeli router daje możliwość zmniejszenia zasięgu sygnału, skorzystaj z tego. Gdy dostosujesz siłę sygnału Wi-Fi do obszaru swojego lokalu, osoby z zewnątrz nie będą mogły połączyć się z Twoją siecią (lub będzie to znacznie utrudnione). Źródło:http://www.kaspersky.pl/about.html?s=news_reviews&cat=3&newsid=1943 Atak/Obrona :WiFiHacking/WarDriving Źródło:http://www.computerworld.pl/artykuly/320914/Wardriving.pieszo.isamochodem.html Źródło:http://https://www.flickr.com/photos/sylvaincarle/171281/in/photolist-moyUN-SV8-3agFVG-3acbyK-2eM8K-v7WTh-5egLrH-dAfK-4NLTbg-5Xv1zK-4ae6w-6dAsRk-6r3oMC- EyFPa-7aWCRR-aM3VH-3rZQ7-sT5H-9c7v4S-2ZrSQ-2hD5w-5HJoKX-EyFSH-EyFQr-9c7qYb-9c7qR3-7vDQ3d-7zvqcv-5AWNBU-KdvMt-FtmQq-7f927v-7fcXr1-7fcVeh-7f92Ug- 7fcX19-7f91J8-7f94hR-7f8ZYc-48zghp-7ZiV5E-boC9WD-kW6rY-FtmQw-49DCy-7tRFkS-4jYkLP-6PZTR-4HcAqk-5EpUCu/ WarDriving w Katowicach http://adamziaja.com/projects/wardrive/ 16
Atak/Obrona :DNSSpoofing/DNSPoisoning Źródło: http://blog.solidpass.com/2011/07/dns-cache-poisoning-attack-hits.html Atak/Obrona :DNSSpoofing/DNSPoisoning Stracił 16 000 PLN bo miał dziurawy router. Prawie 1,2 miliona Polaków może być podatnych na ten atak! 15 stycznia z konta mi zniknęło blisko 16.000 zł. Przelew został wykonany na konto mbanku do realnej osoby (jak potwierdził [mi] bank), ale i jednoczesnie natychmiast został przelany na kolejne numery kont(osób, które jak się okazało, też były ofiarami). Cala procedura polegała, co mogę stwierdzić już po fakcie, na zamianie DNS-ów w routerze (podatny na atak AirLive WT-2000ARM). Potwierdzilem to, kiedy drugi raz, 2 dni temu, znów coś niepokojącego pojawiło się na stronie mbanku. Nie mogłem uruchomić nowej wersji strony banku. Caly czas przekierowywało mnie na starą wersję, co wydało mi się dziwne, a dodatkowo nie było już certyfikatu, a adres banku wyglądał tak:ssl-.www.mbank.com.pl Źródło: http://niebezpiecznik.pl/post/stracil-16-000-pln-bo-mial-dziurawy-router-prawie-12-miliona-polakow-moze-byc-podatnych-na-ten-atak/ 17
Atak/Obrona :DNSSpoofing/DNSPoisoning Atakwskróciepolegana wyszukaniu w internecie podatnych routerów (co można bardzo prosto zrobić przy pomocy odpowiedniego zapytania do Shodana). odwołaniu się do pliku z backupem konfiguracji na routerze i zdekodowaniu go w celu uzyskania hasła. zalogowaniu się na router odzyskanym hasłem i podmianie ustawień serwera DHCP na routerze tak, aby w polach serwery DNS zwracał nie dane dostawcy łącza internetowego, a fałszywy serwer DNS kontrolowany przez atakujących. Od teraz wszystkie rozwiązania nazw domenowych przechodzą przez serwer DNS należący do atakujących Źródło: http://niebezpiecznik.pl/post/stracil-16-000-pln-bo-mial-dziurawy-router-prawie-12-miliona-polakow-moze-byc-podatnych-na-ten-atak/ Atak/Obrona:DNSSpoofing/DNSPoisoning Źródło: http://http://cert.orange.pl/modemscan/ 18
Atak/Obrona:DNSSpoofing/DNSPoisoning Źródło: http://www.opendns.com/ Atak/Obrona:DNSSpoofing/DNSPoisoning 19
http://www.biuletyn.pti.org.pl Internet jest jak miasto nocą: są miejsca w miarę bezpieczne są miejsca pozornie bezpieczne http://eng.letscc.net/detail.php?idx=233449&k=gotham%20city x są miejsca gdzie lepiej nie zaglądać 20
Ale Internet to nie Gotham City, tu nie przyjdzie nam z pomocą Batman, a nawet jeżeli przyjdzie to http://eng.letscc.net/detail.php?idx=233454&k=batman Dziękuje za uwagę itsecurity24.info securityblog.info.pl Polskie Towarzystwo Informatyczne Oddział Górnośląski www.pti.katowice.pl Adam Mizerski adam@mizerski.net.pl 507-071-401 21