Upload
matus-kovacik
View
2.846
Download
5
Embed Size (px)
DESCRIPTION
Prednáška na FEI STU v spolupráci s Ynet-om a ďalšími študentskými organizáciami.
Citation preview
Bezpečnosť IT – návod na hackovanie
YnetSieť šD Mladosť
Matúš Kováčik
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 2
Obsah
Všeobecne o bezpečnosti
Ako sa brániť
Slabé miesta IS
Ako útočiť
Sociálne inžinierstvo
Otázky?http://jeronimo.ynet.sk/download
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 3
Čo je čo v bezpečnosti
Aktívum
Hrozba,útočník(threat)
Zraniteľnosť,bezp. Diera(vulnerability)
Opatrenie(measure)
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 4
O čo sa bezpečnosť snaží
CIA Model– Dôvernosť (Confidentality)– Integrita (Integrity)– Dostupnosť (Availability)
Ďalšie– Autorizácia/autentizácia– Nepopierateľnosť– ...
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 5
Čo bezpečnosť rieši
Základné typy– fyzická– sieťová– personálna
Iné– obnova po havárii– antispam– bezpečné mazanie
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 6
Ako sa brániť
Všeobecne:– Systém je tak bezpečný, ako je bezpečný
jeho najslabší prvok
– Ochrana čím nižšie, tým lepšie :-)
– Filozofia minimálnych prístupových práv – čo nemôžeš, to nepokazíš
– Človek je najbezpečnejší, zároveňnajmenej bezpečný prvokinformačného systému
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 7
Otázka
Aká je najlepšia ochrana bezpečnostného projektu firmy, ktorý je umiestnený na počítači sekretárky?
Odstrániť ho odtiaľ!
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 8
Bezpečnostné opatrenia
Systémové– aktualizácia– antispam– antivírus– monitoring
Dátové– šifrovanie– digitálny podpis– zálohovanie
Sieťové– Firewall– IDS– bezpečné nastavenia
(ACL)
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 9
Bezpečnostné opatrenia Fyzické:
– Alarmy, strážnici– prístupové systémy– mreže, zámky,
dvere, steny– požiarne hlásiče, ...– UPS
Personálne– zastupiteľnosť– školenia
Všeobecné– penetračné
testovanie– logovanie (záznam
udalostí)– dokumentácia– testovanie– ACL
...
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 10
Ako hackovať
Zásady:– zistiť čo najviac informácií o systéme– nájsť slabé miesta systému– uvedomiť si niečo, čo si admin neuvedomuje– skrývať sa– využiť nevedomosť,
nedostatok času, nepozornosť, bordel, čokoľvek...
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 11
Typy útokov
– Exploit (napr. buffer overflow)– Bruteforce - hádanie hesla– (D)DOS - (Distributed) Denial of Service -
zhodenie služby– Sniffing - Odpočúvanie (napr. ARP poisoning)– Spyware (napr. Troyan horse, Keylogger)– Vírus– Sociálne inžinierstvo - manipulácia/klamanie
ľudí– Fyzické útoky - napr. vlámanie, krádež, ...
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 12
Bezpečnostné diery
Zopár faktov:● Za týždeň sa objaví priemerne 48 bezp. dier v
softvéroch● 96% objavených dier má strednú, alebo vysokú
závažnosť● 70% objavených dier je jednoducho zneužiteľných● Priemerný čas medzi objavením diery a
zverejnením exploitu je 5.8 dňa
* Štatistiky sú z prvého polroku 2004
** diera = bezpečnostná slabina (security vylnerability)
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 13
Slabé stránky IS
Slabé stránky IS:● Vnútorná sieť● Osobné počítače● Užívatelia● Vzdialený prístup● Heslá (uhádnuteľné, zdieľané, ...)
Typická situácia● Administrátor nemá čas● Užívatelia sa do počítačov nevyznajú● V systéme je bordel
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 14
Najväčšie problémy IT bezpečnosti
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 15
Otázka
Aký je najjednoduhší spôsob získania cudzieho hesla?
Vypýtať si ho!
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 16
Sociálne inžinierstvo
“Najväčšia banková lúpež v histórii bola realizovaná bez použitia zbrane alebo počítača.”
Kevin Mittnick - Umenie klamu
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 17
Umenie klamu
– zistite si informácie o vnútornom prostredí– použite terminológiu, ktorá je pre obeť bežná– žiadajte úkon, ktorý je pre obeť bežný– vydávajte sa na niekoho dôležitého– získajte dôveru obete– požívajte informácie, ktoré si
obeť nemôže overiť– skrývajte sa– vyhýbajte sa osobnému kontaktu
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 18
Všeobecné zásady
– > 90% útokov pochádza z vnútra organizácie
– Bezpečnosť vs. jednoduchosť a dostupnosť
– Security vs. obcsurity
– Užívatelia radi obchádzajú bezpečnostné opatrenia
– prístup typu: "Aj tak nás hacknú,ak budú chcieť..."
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 19
Rekapitulácia
Všeobecne o bezpečnosti
Ako sa brániť
Slabé miesta IS
Ako útočiť
Sociálne inžinierstvo
http://jeronimo.ynet.sk/download
Otázky ?
Ďakujem za pozornosť
Matúš Kováč[email protected]