Cyberterroryzm

mgr Tomasz Xięski

Instytut Informatyki,

Uniwersytet Śląski

Wprowadzenie do informatyki i wykorzystanie internetu– studia podyplomowe

Bezpieczeństwo

Bezpieczeństwo jest to stan systemuinformatycznego, w którym poziomryzyka jego aplikacji jest zredukowany doakceptowalnego poziomu, poprzezzastosowanie odpowiednich środków.

Bezpieczeństwo teleinformatyczne

Bezpieczeństwem teleinformatycznym nazywamy wszystkie zagadnienia związane z bezpieczeństwem systemów i sieci teleinformatycznych w których wytwarzane, przetwarzane, przechowywane lub przesyłane są informacje.

Najważniejsze tezy na rok 2012

• W 2012 roku CERT Polska odnotował ponad 10,5 mln automatycznych zgłoszeń dotyczących naruszeń bezpieczeństwa, przede wszystkim przypadków źródeł spamu oraz botów.

• Po raz pierwszy od 2005 roku wzrosła liczba incydentów obsłużonych przez CERT Polska ręcznie, a więc tych najpoważniejszych. W 2012 roku było ich 1 082, czyli o blisko 80%więcej niż przed rokiem – głównie za sprawą złośliwego oprogramowania i phishingu.

• Mamy stosunkowo mało stron związanych z phishingiem, ale za to bardzo dużo przejętych komputerów zombie.

• Pewne robaki, takie jak Sasser czy Conficker wciąż „mają się dobrze”, choć powstały 5 i więcej lat temu!

• Nowością wśród często atakowanych usług jest Zdalny Pulpit w systemach MS Windows (3389/TCP).

Zagrożenia

– Oprogramowania - Związane z danymi (ujawnianie, przetwarzanie, zniekształcanie, utrata) lub z oprogramowaniem (jego uszkodzeniem bądź wykorzystaniem do celów sprzecznych z prawem)

– Sprzętowe - dotyczące zniszczeń samego sprzętu. Świadome (przestępstwa komputerowe ) oraz nieświadome (działania niedoświadczonych użytkowników, zdarzenia losowe, wpływ otoczenia).

– Osobowe – Związane z błędem ludzkim, człowiekiem ujawniającym niepowołane informacje, itp..

Rodzaje ataków

PhishingMan in the

middle;sniffing i spoofing

Socjotechnika

Deface (D)DOS Wirusy i pokrewne

Phishing

• Termin "phishing" odnosi się do procesu zbierania (kradzieży)danych przez przestępców.

• W typowym ataku phishingowym cyberprzestępca tworzyprawie idealną replikę strony WWW dowolnej instytucji lubportalu.

• Następnie przy użyciu technik spamowych wysyłane sąwiadomości e-mail imitujące prawdziwą korespondencjęwysyłaną przez różne instytucje.

• Wszystkie takie wiadomości mają jeden cel: nakłonienieodbiorców do kliknięcia zawartego w liście odsyłacza.

• Stworzone przez phisherów odsyłacze kierują użytkownikówbezpośrednio do fałszywej strony WWW, na której "schwytanaryba" wprowadza poufne informacje

Phishing

Bardzo wiarygodnie wyglądająca wiadomość, pozornie od BZ WBK.

Phishing

Bardzo wiarygodnie wyglądająca wiadomość, pozornie od BZ WBK.

Phishing

Bardzo wiarygodnie wyglądająca wiadomość, pozornie od BZ WBK.

Phishing

Kolejny e-mail, tutaj nawet adres został podrobiony.

Phishing

Phishing – metody ochrony

• Inna nazwa, inne miejsce docelowe

• Alarmująca

• Nakazowa

• Oferty

• Nieznany

• Podszywający się

• Niechlujna

• Z błędami

FormaNadawca

Odnośniki

Treść

Ćwiczenie nr 1

• Proszę zredagować tekst będący podwalinami do tzw. Polityki bezpieczeństwa i wymiany informacji drogą elektroniczną w szkole.

• Należy zadbać o:– Prosty język przekazu (dla laików)– Zadbanie o jasny i klarowny przekaz– Zwrócenie uwagi na najważniejsze sygnały i próby wyłudzenia

informacji– Objęcie zakresem nie tylko maila, ale także innych form komunikacji

elektronicznej (fax, telefon, itp.)– Jak przenosić informacje? Korzystanie z nośników niewiadomego

pochodzenia.– Jak tworzyć dobre hasła?– Jak zabezpieczona jest sieć WiFi? Czy hasło jest publicznie znane? Czy

sieć jest odseparowana od sieci wewnętrznej?– Może się przydać zrobienie testu (ang):

http://www.sonicwall.com/furl/phishing/

Ćwiczenie nr 2

• Skomponuj i stwórz prawdziwy mail phishingowy.• Za temat niech posłuży coś spersonalizowane

związanego z Twoją placówką edukacyjną.• Zadbaj o „wiarygodny” powód i skieruj użytkownika na

tą stronę: http://tnij.org/zmiana-danych (ewentualnie: http://www.tomaszx.pl/form/)

• Po otrzymaniu zgody od władz Twojej szkoły spróbuj przeprowadzić atak na kolegów z pracy. Skrypt niczego nie zapisuje w bazie danych.

• Pomyśl w jaki sposób dotrzeć do uczniów z takim przekazem.

• Ściągnij cały projekt z fałszywą stroną i przerób ją według własnego uznania: http://www.tomaszx.pl/wdipi_phishing.zip

(D)DOS

• DDoS (ang. Distributed Denial of Service –rozproszona odmowa usługi) – atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów

(D)DOS

(D)DOS

Styczeń 2012: przebieg ataków na strony rządowe

Deface

• „Oczernienie” jest typowym atakiem na stronę internetową zmieniającą jej wygląd zewnętrzny. Zwykle jest skutkiem ataku osób mniej obeznanych technicznie, nowicjuszy w świecie hackerskim.

• Jest uważane za formę cyber-grafitti XXI wieku

Deface

Strona Roberta Lewandowskiego

Deface

Centralna Komisja Egzaminacyjna

Deface – metody obrony

Stały monitoring stron

• Automatyczny

• Ręczny

Audyty bezpieczeństwa

• Zewnętrzny

• Wewnętrzny

Zapewnienie innych kanałów komunikacji

Ćwiczenie 3

1. Przejrzyj stronę internetową szkoły pod kątem:1. Treści, które ładują się zbyt wolno, zbyt dużych zdjęć, itp.2. Treści obraźliwych lub niestosownych.3. Martwych odnośników.4. Formularzy, do których można „wstrzyknąć” złośliwy kod.

Sprawdzamy to najłatwiej wpisując do pola coś takiego:"><h1>Test XSS</h1>Jeśli strona jest podatna (jak np. http://www.spskgryzliny.pl/ksiega-gosci ) to wyświetli „Test XSS” bardzo dużą czcionką.

5. Jak strona wyświetla się w różnych przeglądarkach? Możesz skorzystać ze strony http://browsershots.org/

6. Innych nieprawidłowości (spisz je i przedyskutuj w grupie)

Ćwiczenie 4

• Czasami w celu analizy witryny internetowej należy zapisać jej stan. Proste Plik -> Zapisz jako czasami nie wystarcza.

• Skorzystaj z darmowych rozszerzeń (np. FireShotWebpage Screenshots dla Firefox’a) aby zapisać stronę w całości jako jeden obrazek.

• Tenże obrazek udostępnij w internecie. Np. w serwisie http://pl.tinypic.com/

• Po wszystkim, wyczyść wszystkie prywatne dane przeglądarki (ctrl+shift+delete).

Ćwiczenie 4a

• Niestety, takie czyszczenie danych nie usuwa śladów historii użytkownika.

• Otwórz menu start, konsolę windowsa (win+r, wpisz „cmd”) a następnie wydaj polecenie:ipconfig /displaydns > c:/dns.txt

• W pliku dns.txt na dysku C znajdą się wszystkie dotychczasowo odwiedzone witryny, nawet te usunięte z historii przeglądarki

Najsłabsze ogniowo systemu informacyjnego

Socjotechnika

• zestaw metod mających na celu uzyskanie niejawnych informacji przez cyberprzestępcę.

• Hackerzy często wykorzystują niewiedzę bądź łatwowierność użytkowników systemów informatycznych, aby pokonać zabezpieczenia odporne na wszelkie formy ataku.

• Wyszukują przy tym najsłabszy punkt systemu bezpieczeństwa, którym najczęściej jest człowiek.

Socjotechnika w praktyce

Socjotechnika w praktyce

Wszystko w porządku.

Proszę o szczegóły przelewu

Dziesięć milionów dwieście tysięcy dolarów z Irving Trust Company w Nowym Jorku do Wozchod Handels Bank of Zurich

w Szwajcarii

Metody ataku socjotechnicznego

Z pozoru nieszkodliwa informacja

Czasem wystarczy po prostu poprosić

Budowanie zaufania

Może pomóc?

Potrzebuję pomocy

Współczucie, wina i zastraszenie

Phishing i potęga mediów społecznościowych

Kalendarium 23.04.2013 r.:T = 0 minut –> rozpoczęcie ataku phishingowegoT = 7 minut -> administratorzy reagują wysyłając ostrzeżenieT = 50 minut –> włamanie na kontoT = 55 minut -> nowojorska giełda zaczyna reagowaćT = 59 minut -> AP publikuje sprostowanieT = 63 minuty -> sytuacja wraca do normy

Ćwiczenie 5

• Wykonaj formalny dokument:– Polityka ujawniania treści

• Komu, w jakich okolicznościach, po jakiej autoryzacji ujawniać treści zwykłe (tj. informacje o zajęciach danej klasy, o obecności nauczyciela w szkole, o obecności ucznia, itp.)

• Jw., ale tym razem treści chronionych (ocen, obecności na sprawdzianach, wyników klasyfikacji, itp.)

• Jakie informacje ujawniać mediom i osobom postronnym? Kto powinien za to odpowiadać?

• Jak radzić sobie z natłokiem telefonów/faksów proszących o kontakt z „osobą decyzyjną”?

• Całościowy dokument możesz znaleźć w 16tym rozdziale książki:http://wwww.leopoold.nazwa.pl/eb/Mitnick%20Kevin%20-%20Sztuka%20Podstepu.pdf (zwłaszcza dodatek od strony 359)

Najbardziej spektakularne porażki

Widoczne hasło do systemu Lotniczego Pogotowia Ratunkowego

Najbardziej spektakularne porażki

Hasła do brytyjskiego systemu monitorowania lotnictwa wojskowego na zdjęciach Księcia Williama.

Siła hasła

3 polskie słowa

• Siła hasła: 1,25×10¹⁴

• Dokument kon placki

• Drogie herbaty chodza

• Czytanie swieczek noca

• Tworczosc pieknatworze

• Recznik extra ciemnosc

7 losowych znaków

• Siła hasła: 6,48×10¹³

• \9Z#Tpn

• <-!ZpBO

• xp?Y[rY

• !-f-g\^

• 7NfgN|q

Najbardziej spektakularne porażki

fot. wp.pl

Strona http://mon.gov.pl

Najbardziej spektakularne porażki

http://premier.gov.pl

Najbardziej spektakularne porażki

Profil na portalu Facebook Marszałek Sejmu Ewy Kopacz

Najbardziej spektakularne porażki

Afera z upublicznieniem bazy CV w banku PKO

Najbardziej spektakularne porażki

Oficjalny komunikat giełdowy spółki CERABUD S.A.

Najbardziej spektakularne porażki

Nowy atak pozwalający na wykradzenie dowolnego hasła

Najbardziej spektakularne porażki

Numer nadawcy smsa jest bardzo łatwy do podrobienia

Najbardziej spektakularne porażki

Kieleckie infokioski

Najbardziej spektakularne porażki

Szef MSW koniecznie chciał przeciąć wstęgę otwieranego tajnego ośrodka Centrum Przetwarzania Danych Policji

Zamieszanie sprawiło, że wiedza o nieznanym dotąd ośrodku przy spokojnej warszawskiej uliczce, rozprzestrzeniła się lotem błyskawicy.

Najbardziej spektakularne porażki

Anr.gov.pl

Agencja Nieruchomości Rolnych udostępnia pełne dane o obywatelach

Podsumowanie

SzkoleniaZwiększanie świadomości

Audyty bezpieczeńst

wa

Polityka ujawniania

treści

Polityka bezpieczeńst

waDobre hasła

Podstawy kryptografii

Firewall, antywirus,

IDS

Bibliografia

1. Kevin Mitnick: Sztuka podstępu.

2. http://niebezpiecznik.pl

3. http://cert.pl

4. http://bip.msw.gov.pl/portal/bip/6/19057

Pytania? Uwagi?

mgr Tomasz Xięski

Instytut Informatyki

Uniwersytet Śląski

tomasz.xieski@us.edu.pl