Brdo pri Kranju, 19. in 20 maj 2003 1/19

Kaj se dogaja na omrežju?

Gorazd Božičgorazd.bozic@arnes.si

ARNES / SI-CERTJamova 39, Ljubljana

Varnost v sodobnih omrežjih

Brdo pri Kranju, 19. in 20 maj 2003 2/19

Pregled predavanjaPregled predavanja

• predstavitev SI-CERT• razvoj omrežja s stališča varnosti• povzročitelji• nekaj tipičnih primerov• zaključki

Brdo pri Kranju, 19. in 20 maj 2003 3/19

SI-CERTSI-CERT

• ustanovljen leta 1994• deluje v okviru Arnesa• center za sporočanje varnostnih incidentov• obveščanje javnosti o varnostnih rizikih• član FIRST (Forum of Incident Response and

Security Teams)• Terena TF-CSIRT (evropski CERT-i)• strokovna pomoč Kriminalistični službi MNZ

SI-CERT:SlovenianComputerEmergencyResponseTeam

Brdo pri Kranju, 19. in 20 maj 2003 4/19

Mednarodno sodelovanjeMednarodno sodelovanje

• delovna skupina evropskih varnostnih centrovTerena TF-CSIRT

• vodja skupine Gorazd Božič

• skupni projekti• svetovanje

Evropski komisiji

TERENA:Trans-EuropeanResearch andEducationNetworkingAssociation

Brdo pri Kranju, 19. in 20 maj 2003 5/19

Pregled predavanjaPregled predavanja

• predstavitev SI-CERT• razvoj omrežja s stališča varnosti• povzročitelji• nekaj tipičnih primerov• zaključki

Brdo pri Kranju, 19. in 20 maj 2003 6/19

Širitev omrežjaŠiritev omrežja

• število zlorab raste s številom uporabnikov omrežja

• razslojevanje skupin– hekerji– IRC bojevniki– skriptni otročaji– razobličevalci

Brdo pri Kranju, 19. in 20 maj 2003 7/19

Enotne platformeEnotne platforme

• MS Windows, Linux, Cisco• izdelava orodij za vdiranje “po receptu”

– različni “rootkit” paketi za Linux– ogromno število črvov za MS Windows

• odgovornosti proizvajalca ni

Brdo pri Kranju, 19. in 20 maj 2003 8/19

Širokopasovni dostopŠirokopasovni dostop

• domači uporabnik postaja priljubljena tarča napadov– stalen IP naslov– pomanjkljivo ščitenje sistema– zadostna pasovna širina

• tipične zlorabe– IRC “boti”– okužbe s črvi– nameščeni DDoS agenti– posredovanje spam pošte

Brdo pri Kranju, 19. in 20 maj 2003 9/19

Divji VzhodDivji Vzhod

• hiter prodor interneta v Azijo in Južno Ameriko

• neobstoječa zakonska regulacija• odsotnost načel internetne

samoregulacije• neobstoječi ali nedelujoči CERT centri

Brdo pri Kranju, 19. in 20 maj 2003 10/19

Državna regulacijaDržavna regulacija

• počasnost spreminjanja zakonodaje• različnost zakonodaje• pomanjkljivo mednarodno sodelovanje

državnih služb• uporaba IT na področju organiziranega

kriminala

Brdo pri Kranju, 19. in 20 maj 2003 11/19

Pregled predavanjaPregled predavanja

• predstavitev SI-CERT• razvoj omrežja s stališča varnosti• povzročitelji• nekaj tipičnih primerov• zaključki

Brdo pri Kranju, 19. in 20 maj 2003 12/19

MotivacijaMotivacija

• osebni (nepridobitniški) razlogi– hekerji in hekerske skupine– IRC bojevniki– skriptni otročaji (script kiddies)

• pridobitniški razlogi– izsiljevanja– služenje s spam pošto in piramidnimi shemami– kraja kreditnih kartic

• politični razlogi– terorizem?– “civilna iniciativa”

Brdo pri Kranju, 19. in 20 maj 2003 13/19

CrackerjiCrackerji

Brdo pri Kranju, 19. in 20 maj 2003 14/19

Zone-H Defacemet statisticsZone-H Defacemet statistics

Brdo pri Kranju, 19. in 20 maj 2003 15/19

Pregled predavanjaPregled predavanja

• predstavitev SI-CERT• razvoj omrežja s stališča varnosti• povzročitelji• nekaj tipičnih primerov• zaključki

Brdo pri Kranju, 19. in 20 maj 2003 16/19

Napad na sosedaNapad na sosedaBritish Telecom

IPv6 tunnelbroker

British TelecomIPv6 tunnel

broker

IRC strežnikna PoljskemIRC strežnikna Poljskem

DDoS agentina Kitajskem inv Južni Koreji

DDoS agentina Kitajskem inv Južni Koreji

MariborMaribor Maribor, sosednji blokMaribor, sosednji blok

DDoS napadDDoS napad

Brdo pri Kranju, 19. in 20 maj 2003 17/19

MS SQL Slammer / SapphireMS SQL Slammer / Sapphire

25.1.2003 5:29 UTC0 okuženih

25.1.2003 6:00 UTC74,855 okuženih

Brdo pri Kranju, 19. in 20 maj 2003 18/19

udba.netudba.net

• cca. 70 GB podatkov– možnost OCR obdelave– izdelava baze z iskalnikom

• inšpektor izda ustno odločbo– umakne jo pred iztekom 8-dnevnega roka– pravne podlage za pritožbo ni

• ves ta čas uporabniki dostopajo preko posrednikov (proxy)

• kje je meja cenzure

Brdo pri Kranju, 19. in 20 maj 2003 19/19

ZaključkiZaključki

• poskusi zlorab kot šum v ozadju• medijska slika in realno stanje• neobveščenost uporabnikov• problemi zakonodaje in državnega

nadzora