Bezpečnosť IT - návod na hackovanie

Bezpečnosť IT – návod na hackovanie

YnetSieť šD Mladosť

Matúš Kováčik

Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 2

Obsah

Všeobecne o bezpečnosti

Ako sa brániť

Slabé miesta IS

Ako útočiť

Sociálne inžinierstvo

Otázky?http://jeronimo.ynet.sk/download


Čo je čo v bezpečnosti

Aktívum

Hrozba,útočník(threat)

Zraniteľnosť,bezp. Diera(vulnerability)

Opatrenie(measure)


O čo sa bezpečnosť snaží

CIA Model– Dôvernosť (Confidentality)– Integrita (Integrity)– Dostupnosť (Availability)

Ďalšie– Autorizácia/autentizácia– Nepopierateľnosť– ...


Čo bezpečnosť rieši

Základné typy– fyzická– sieťová– personálna

Iné– obnova po havárii– antispam– bezpečné mazanie


Ako sa brániť

Všeobecne:– Systém je tak bezpečný, ako je bezpečný

jeho najslabší prvok

– Ochrana čím nižšie, tým lepšie :-)

– Filozofia minimálnych prístupových práv – čo nemôžeš, to nepokazíš

– Človek je najbezpečnejší, zároveňnajmenej bezpečný prvokinformačného systému


Otázka

Aká je najlepšia ochrana bezpečnostného projektu firmy, ktorý je umiestnený na počítači sekretárky?

Odstrániť ho odtiaľ!


Bezpečnostné opatrenia

Systémové– aktualizácia– antispam– antivírus– monitoring

Dátové– šifrovanie– digitálny podpis– zálohovanie

Sieťové– Firewall– IDS– bezpečné nastavenia

(ACL)


Bezpečnostné opatrenia Fyzické:

– Alarmy, strážnici– prístupové systémy– mreže, zámky,

dvere, steny– požiarne hlásiče, ...– UPS

Personálne– zastupiteľnosť– školenia

Všeobecné– penetračné

testovanie– logovanie (záznam

udalostí)– dokumentácia– testovanie– ACL

...


Ako hackovať

Zásady:– zistiť čo najviac informácií o systéme– nájsť slabé miesta systému– uvedomiť si niečo, čo si admin neuvedomuje– skrývať sa– využiť nevedomosť,

nedostatok času, nepozornosť, bordel, čokoľvek...


Typy útokov

– Exploit (napr. buffer overflow)– Bruteforce - hádanie hesla– (D)DOS - (Distributed) Denial of Service -

zhodenie služby– Sniffing - Odpočúvanie (napr. ARP poisoning)– Spyware (napr. Troyan horse, Keylogger)– Vírus– Sociálne inžinierstvo - manipulácia/klamanie

ľudí– Fyzické útoky - napr. vlámanie, krádež, ...


Bezpečnostné diery

Zopár faktov:● Za týždeň sa objaví priemerne 48 bezp. dier v

softvéroch● 96% objavených dier má strednú, alebo vysokú

závažnosť● 70% objavených dier je jednoducho zneužiteľných● Priemerný čas medzi objavením diery a

zverejnením exploitu je 5.8 dňa

* Štatistiky sú z prvého polroku 2004

** diera = bezpečnostná slabina (security vylnerability)


Slabé stránky IS

Slabé stránky IS:● Vnútorná sieť● Osobné počítače● Užívatelia● Vzdialený prístup● Heslá (uhádnuteľné, zdieľané, ...)

Typická situácia● Administrátor nemá čas● Užívatelia sa do počítačov nevyznajú● V systéme je bordel


Najväčšie problémy IT bezpečnosti


Otázka

Aký je najjednoduhší spôsob získania cudzieho hesla?

Vypýtať si ho!



“Najväčšia banková lúpež v histórii bola realizovaná bez použitia zbrane alebo počítača.”

Kevin Mittnick - Umenie klamu


Umenie klamu

– zistite si informácie o vnútornom prostredí– použite terminológiu, ktorá je pre obeť bežná– žiadajte úkon, ktorý je pre obeť bežný– vydávajte sa na niekoho dôležitého– získajte dôveru obete– požívajte informácie, ktoré si

obeť nemôže overiť– skrývajte sa– vyhýbajte sa osobnému kontaktu


Všeobecné zásady

– > 90% útokov pochádza z vnútra organizácie

– Bezpečnosť vs. jednoduchosť a dostupnosť

– Security vs. obcsurity

– Užívatelia radi obchádzajú bezpečnostné opatrenia

– prístup typu: "Aj tak nás hacknú,ak budú chcieť..."


Rekapitulácia

Všeobecne o bezpečnosti

Ako sa brániť

Slabé miesta IS

Ako útočiť


http://jeronimo.ynet.sk/download

Otázky ?

Ďakujem za pozornosť

Matúš Kováč[email protected]

Technology

Bezpečnosť IT - návod na hackovanie