Download - White Hat Hacking #3
salut, pentru a treia oară.
Tudor Damian
IT Solutions Specialist
tudy
ce facem azi?
curs WHH, #3 Web Security Network Security Best Practices
activități de zi cu zi
”dă-mi un link la blogul ăla...”
”trimite-mi pe mail...”
”uite ce-am găsit pe google...”
”dacă ai id de mess, îți trimit acolo fișierul...”
”pot să-mi verific mail-ul?...”
”îl am pe memory stick, îl poți copia de acolo...”
tendințe
17
cu
rio
sit
y
crim
e
1986
2008
Virus Destructive Virus
Macro Virus
Vulnerabilities Openly Discussed
Mass Mailing Worms
Network Worms
Spam Tracking Cookies
Spam Explodes
Bots & Botnets
DDoS Attacks
Bots Explode
Paid Vulnerability
Research
Adware Spyware Rootkits
On the Rise Spyware &
Adware Explode
Phishing Crimeware Phishing Explodes
Zero Day Exploits
& Threats
că tot vorbim de $$$ ...
Produs Preț
Instalare adware 30 cenţi in US, până la 2 cenţi in alte ţări
Pachet malware, versiunea basic 1.000$ – 2.000$
Add-ons pentru pachete malware Preţuri variabile pornind de la 20$
Închiriere de “exploit” - o oră De la 0,99$ la 1$
Închiriere de “exploit” - 2,5 ore De la 1,60$ la 2$
Închiriere de “exploit” - 5 ore 4$
Troian nedetectabil 80$
Atac DDOS 100$ pe zi
Acces la 10.000 de PC-uri compromise 1.000$
Informaţii despre conturi bancare Preţuri variabile pornind de la 50$
Un milion de mesaje e-mail De la 8$ în sus
o listă de prețuri
Informațiile se refera la anul 2007, sursa: TrendMicro
pe câmpul de luptă
trojan / rootkit / worm / spyware
AV-Test.org estimează că există peste 11 milioane de exemplare de
malware
scopul poate fi extrem de diferit, de la caz la caz
spre exemplu, Win32.Worm.Delf.NFW (locul 9 în topul BitDefender pe luna iulie)
șterge fișiere mp3 care conțin numele unor cântareți români "populari"
Adrian Minune Adi de la Valcea
Florin Salam Frații de Aur Laura Vass Liviu Puștiu Liviu Guță
DDoS / botnets
botnet on demand
botnet on demand
Botnet Numărul de boți
estimat Capacitatea de generare de
spam
Kraken 400.000 100 miliarde mesaje pe zi
Srizbi 315.000 60 miliarde mesaje pe zi
Rustock 150.000 30 miliarde mesaje pe zi
Cutwail 125.000 16 miliarde mesaje pe zi
Storm 85.000 3 miliarde mesaje pe zi
top 5 botnets in 2008
Surse: SecureWorks, Damballa
Network C
Network B
Network A
Attacker
Computer
ComputerComputer
Workstation Workstation Workstation
LaptopComputer
Computer Workstation
Broadcast Address
Broadcast Address
Broadcast Address
ICMP Echo
ICMP Echo
ICMP Echo
ICMP Echo
ICMP Echo
ICMP Echo
Target system
Replies from every terminal in the
Network
Replies from every terminal in the
Network
Replies from every terminal in the
Network
Smurf
Attacker
Server
Legitimate userr
Half Open Connection
Half Open Conenction
Half Open Conenction
Half Open Conenction
Legitimate Connection
SynFlood Attack SynFlood
Attack
erDNS 2
DNS 3
DNS 4
Target
Query with spoofed IP
Query with spoofed IP
Query with spoofed IP
Query with spoofed IP
Results from attackers query
Results from attackers query
Results from attackers query
Results from attackers query
DNS 1
DNS DoS
DDoS
Server Software
(Zombie)
Server Software
(Zombie)
Server Software
(Zombie)Server Software
(Zombie)
Server Software
(Zombie)
Client Software
Command
CommandCommand
Target Host
Packets
Packets
Packets
PacketsPackets
Attacker
Client
Attacker’s CommandsAttacker’s Coomand
exemplele nu sunt la scară reală :)
SQLi / XSS / CSRF / RFI
SQL injection
XSS
XSS
XSS
Open Web Application Security Project (OWASP) top 10 list
www.owasp.org/index.php/Top_10_2007
OWASP Top 10 List 2007
1. Cross Site Scripting (XSS)
2. Injection Flaws
3. Malicious File Execution
4. Insecure Direct Object Reference
5. Cross Site Request Forgery (CSRF)
6. Information Leakage and Improper Error Handling
7. Broken Authentication and Session Management
8. Insecure Cryptographic Storage
9. Insecure Communications
10. Failure to Restrict URL Access
OWASP Top 10 List 2010 (RC1) OWASP Top 10 – 2007 (Previous) OWASP Top 10 – 2010 (New)
A2 – Injection Flaws A1 – Injection
A1 – Cross Site Scripting (XSS) A2 – Cross Site Scripting (XSS)
A7 – Broken Authentication and Session Management A3 – Broken Authentication and Session Management
A4 – Insecure Direct Object Reference A4 – Insecure Direct Object References
A5 – Cross Site Request Forgery (CSRF) A5 – Cross Site Request Forgery (CSRF)
<was T10 2004 A10 – Insecure Configuration Management> A6 – Security Misconfiguration (NEW)
A10 – Failure to Restrict URL Access A7 – Failure to Restrict URL Access
<not in T10 2007> A8 – Unvalidated Redirects and Forwards (NEW)
A8 – Insecure Cryptographic Storage A9 – Insecure Cryptographic Storage
A9 – Insecure Communications A10 – Insufficient Transport Layer Protection
A3 – Malicious File Execution <dropped from T10 2010>
A6 – Information Leakage and Improper Error Handling <dropped from T10 2010>
+
+
- -
=
=
spam
conform Sophos, 96.5% din business email este spam
phishing / crimeware / scareware
crimeware
categorie de malware concepută pentru automatizarea activităților
criminale de natură financiară
scareware, o variantă de social engineering
alte atacuri
spionaj industrial
...plătit, evident :)
furt de identitate
cele 10 legi ale securității rețelelor
#1 dacă un atacator te convinge să
rulezi programul lui pe calculatorul tău, nu mai e calculatorul tău
#2 dacă un atacator poate modifica
sistemul de operare de pe calculatorul tău, nu mai e
calculatorul tău
#3 dacă un atacator are acces fizic la
calculatorul tău, nu mai e calculatorul tău
#4 dacă lași un atacator să upload-eze programe pe site-ul tău, nu mai e
site-ul tău
#5 parolele slabe anulează orice altă
formă de securitate
#6 un sistem e atât de sigur pe cât de
multă încredere poți avea în persoana care îl administrează
#7 datele criptate sunt atât de sigure pe
cât de sigură e cheia de decriptare
#8 un antivirus fără definiții la zi e cu
puțin mai bun decât unul inexistent
#9 anonimitatea absolută nu e practică,
nici în viața reală, nici pe web
#10 tehnologia nu e un panaceu
abordarea securității
un singur punct de acces fizic
un singur punct de acces electronic
disciplină, disciplină, disciplină
tot ce vine e malițios, până la proba contrarie
componentele soluției
clădiri securizate fizic
opțiuni de autentificare
limitarea metodelor de comunicare și acces permise
inspecție și eliminare malware
procese și tehnologii de management definite clar
plan de acțiune în caz de criză (incident response)
securizare fizică a clădirilor
proprietate locație, perimetru, datacenter,
controlul climei, disaster recovery
oameni necunoscuți, utilizatori/angajați,
disaster recovery
opțiuni de autentificare
parolele nu sunt suficiente
procese și tehnologii de management definite clar
automatizarea instalărilor, configurare, update
monitorizarea sănătății sistemului, reparații în caz de nevoie
data recovery
arhitectura veche
la început, internetul era izolat, rețelele corporate la fel
internet
corporate network
persoanele din CORP și-a dat seama că pe Internet se găsesc treburi interesante, și au solicitat acces
internet
firewall
corporate network
și accesul outbound era suficient
dar între timp a apărut HTML / HTTP
iar când e vorba de culori, imagini și sunete, persoanele de la marketing
devin interesate
și au început să solicite să pună ”broșuri” pe Internet
internet
firewall
web server
corporate network
iar când s-a dorit și comunicarea cu cei din afară, a apărut DMZ
internet
firewall
web server (DMZ) database (DMZ)
corporate network
treptat, DMZ-ul a devenit o înșiruire de firewall-uri
soluțiile noi au devenit din ce în ce mai complexe, deoarece se bazau pe
soluțiile deja existente
engineers, architects and contractors
engineers begin knowing a little bit about a lot
they learn less and less about more and more
until they know nothing about everything
architects begin knowing a lot about a little
they learn more and more about less and less
until they know everything about nothing
contractors begin knowing everything about everything
but end up knowing nothing about anything
because of their association
with architects and engineers
pe cine cunoaștem?
PC-ul, sau persoana?
PC persoană
PC persoană
managed
unmanaged
arhitectura nouă
internet
corporate network
folosim împărțirea managed / unmanaged
internet
unmanaged managed
corporate network
astfel, avem nevoie de network edge protection
pentru secțiunea unmanaged
dar ce facem cu partea managed?
știm PC-ul, știm persoana
dar până acum, acestea erau în interiorul rețelei, după firewall
acum, sistemele sunt în afară
tehnologii curente care ne pot ajuta
Win7 & Windows Server 2008 R2 (DirectAccess), UAC, non-admin
login, NAP, Active Directory (Group Policy), autentificare cu certificate
(X.509), IPSec, IPv6 (Teredo), DNSv6, Firewall, BitLocker, BitLocker to Go
întrebări
mulțumesc.
Tudor Damian
IT Solutions Specialist
tudy