Sunteți pe pagina 1din 144

despre mine

Tudor Damian

IT Solutions Specialist

tudy.tel

Tudor Damian IT Solutions Specialist tudy.tel
Tudor Damian IT Solutions Specialist tudy.tel
Tudor Damian IT Solutions Specialist tudy.tel

despre seminar

despre seminar

activități de zi cu zi

activit ăț i de zi cu zi

”dă-mi un link la blogul ăla

”trimite-mi pe mail

”uite ce-am găsit pe google

”dacă ai id de mess, îți trimit

acolo fișierul

”pot să-mi verific mail-ul?

Ӕl am pe memory stick,

îl poți copia de acolo

tendințe

crime

 

Zero Day

 
  Phishing Phishing Crimeware Exploits

Phishing

  Phishing Phishing Crimeware Exploits

Phishing

  Phishing Phishing Crimeware Exploits

Crimeware

  Phishing Phishing Crimeware Exploits

Exploits

 

Explodes

 

& Threats

   
    Adware Spyware Spyware & Adware Explode Rootkits On the Rise

Adware

Spyware

Spyware

Spyware & Adware Explode

Spyware & Adware Explode

Spyware & Adware Explode

Rootkits On the Rise

 
  Paid

Paid

 
  Bots & DDoS Bots

Bots &

  Bots & DDoS Bots

DDoS

  Bots & DDoS Bots

Bots

 

Botnets

Attacks

Explode

Vulnerability

Research

 
  Spam Tracking   Spam Explodes  

Spam

  Spam Tracking   Spam Explodes  

Tracking

 
Spam Explodes

Spam Explodes

 
 

Cookies

 
 
Vulnerabilities

Vulnerabilities

 
Mass Mailing

Mass Mailing

Network

Network

 

curiosity

Openly Discussed

 

Worms

Worms

Virus Destructive Virus Macro Virus  

Virus

Destructive Virus

Destructive Virus

Virus Destructive Virus Macro Virus  

Macro Virus

 
 

1986

 

16

2008

  Worms Worms Virus Destructive Virus Macro Virus     1986   16 2008

că tot vorbim de $$$

o listă de prețuri

Produs

Preț

Instalare adware

30 cenţi in US, până la 2 cenţi in alte ţări

Pachet malware, versiunea basic

1.000$ 2.000$

Add-ons pentru pachete malware

Preţuri variabile pornind de la 20$

Închiriere de “exploit” - o oră

De la 0,99$ la 1$

Închiriere de “exploit” - 2,5 ore

De la 1,60$ la 2$

Închiriere de “exploit” - 5 ore

4$

Troian nedetectabil

80$

Atac DDOS

100$ pe zi

Acces la 10.000 de PC-uri compromise

1.000$

Informaţii despre conturi bancare

Preţuri variabile pornind de la 50$

Un milion de mesaje e-mail

De la 8$ în sus

Informațiile se refera la anul 2007, sursa: TrendMicro

pe câmpul de luptă

pe câmpul de luptă

trojan / rootkit / worm / spyware

AV-Test.org estimează că există peste

11 milioane de exemplare de malware

AV-Test.org estimează că există peste 11 milioane de exemplare de malware

scopul poate fi extrem de diferit,

de la caz la caz

spre exemplu, Win32.Worm.Delf.NFW (locul 9 în topul BitDefender pe luna iulie)

șterge fișiere mp3 care conțin numele

unor cântareți români "populari"

șterge fi ș iere mp3 care con ț in numele unor cântare ț i români "populari"

Adrian Minune

Adi de la Valcea Florin Salam

Frații de Aur Laura Vass

Liviu Puștiu

Liviu Guță

DDoS / botnets

Attacker

Smurf

ICMP Echo

Computer

ICMP Echo

Computer

Network A

Broadcast Address

Workstation
Workstation

ICMP Echo Computer Network A Broadcast Address Workstation Workstation ICMP Echo Network B ICMP Echo Broadcast

Workstation

ICMP Echo

Network B

ICMP Echo

Broadcast Address

ICMP Echo

ICMP Echo

Broadcast Address

Laptop Computer Network C Computer Workstation
Laptop
Computer
Network C
Computer
Workstation

Workstation

Computer

Replies from every

terminal in the

Network

Replies from every

terminal in the

Network

Replies from every

terminal in the

Network

Target system

SynFlood Attack SynFlood

SynFlood Attack S y n F l o o d Attacker Half Open Connection Half Open

Attacker

Half Open Connection Half Open Conenction Half Open Conenction Half Open Conenction
Half Open Connection
Half Open Conenction
Half Open Conenction
Half Open Conenction
Connection Half Open Conenction Half Open Conenction Half Open Conenction Legitimate Connection Server Legitimate userr

Legitimate Connection

Server

Legitimate userr

DNS DoS

Query with

Query with Query with spoofed IP DNS 1 Results from attackers query Attack er DNS 2

Query with spoofed IP

DNS 1

Query with Query with spoofed IP DNS 1 Results from attackers query Attack er DNS 2
Query with Query with spoofed IP DNS 1 Results from attackers query Attack er DNS 2

Results from attackers query

Attack er DNS 2 Resu lts from attackers query Query with spoofed IP Query with
Attack
er
DNS 2
Resu
lts from attackers query
Query with spoofed IP
Query with spoofed IP
DNS 3
Results from attackers query

spoofed IP

Target

IP Query with spoofed IP DNS 3 Results from attackers query spoofed IP Target DNS 4

DNS 4

Results from attackers query

DDoS

Attacker’s Coomand Attacker’s Commands Attacker Command Command Client Software Client Command Server Software
Attacker’s Coomand
Attacker’s Commands
Attacker
Command
Command
Client Software
Client
Command
Server Software
Server S
oftware
Server Software
Server Software
Server Software
(Zombie)
(Zom
bie)
(Zombie)
(Zombie)
(Zombie)
Pac
kets
Packets
Packets
Packets
Packets

Target Host

exemplele nu sunt

la scară reală :)

SQLi / XSS / CSRF / RFI

SQL injection

SQL injection

XSS

XSS

XSS

XSS

XSS

XSS

Open Web Application Security

Project (OWASP) top 10 list

www.owasp.org/index.php/Top_10_2007

OWASP Top 10 List 2007

1.

Cross Site Scripting (XSS)

2.

Injection Flaws

3.

Malicious File Execution

4.

Insecure Direct Object Reference

5.

Cross Site Request Forgery (CSRF)

6.

Information Leakage and Improper Error Handling

7.

Broken Authentication and Session Management

8.

Insecure Cryptographic Storage

9.

Insecure Communications

spam

conform Sophos, 96.5% din

business email este spam

phishing / crimeware / scareware

crimeware

categorie de malware concepută

pentru automatizarea activităților criminale de natură financiară

categorie de malware concepută pentru automatizarea activităților criminale de natură financiară

scareware, o variantă de

social engineering

botnet on demand

botnet on demand

top 5 botnets in 2008

Botnet

Numărul de boți estimat

Capacitatea de generare de spam

Kraken

400.000

100 miliarde mesaje pe zi

Srizbi

315.000

60

miliarde mesaje pe zi

Rustock

150.000

30

miliarde mesaje pe zi

Cutwail

125.000

16 miliarde mesaje pe zi

Storm

85.000

3 miliarde mesaje pe zi

Surse: SecureWorks, Damballa

furt de identitate

așteptările societății legat de

confidențialitate scad vizibil

$40 pe an,

30.000 americani s-au înscris

Scott McNealy CEO, Sun Microsystems You have no privacy, get over it!

Scott McNealy

CEO, Sun Microsystems

You have no

privacy, get

over it!

incidente soldate cu pierderi de date 1 ianuarie 2005 4 august 2009

http://www.privacyrights.org/ar/ChronDataBreaches.htm

263 247 398 !

costul mediu al recuperării datelor

pierdute/furate/compromise

$ 197.50 / data record !

sau aproximativ 20% din

PIB-ul României pe 2008

cele 10 legi ale

securității rețelelor

#1

dacă un atacator te convinge să rulezi

programul lui pe calculatorul tău, nu

mai e calculatorul tău

#2

dacă un atacator poate modifica

sistemul de operare de pe calculatorul

tău, nu mai e calculatorul tău

#3

dacă un atacator are acces fizic la

calculatorul tău, nu mai e calculatorul

tău

#4

dacă lași un atacator să upload-eze

programe pe site-ul tău, nu mai e site-

ul tău

#5

parolele slabe anulează orice altă formă de securitate

#6

un sistem e atât de sigur pe cât de

multă încredere poți avea în persoana

care îl administrează

#7

datele criptate sunt atât de sigure pe cât de sigură e cheia de decriptare

#8

un antivirus fără definiții la zi e cu puțin mai bun decât unul inexistent

#9

anonimitatea absolută nu e practică, nici în viața reală, nici pe web

#10

tehnologia nu e un panaceu

abordarea securității

un singur punct de acces fizic

un singur punct de acces

electronic

disciplină, disciplină, disciplină

tot ce vine e malițios,

până la proba contrarie

arhitectura veche

la început, internetul era izolat,

rețelele corporate la fel

internet
internet
corporate network
corporate network

persoanele din CORP și-a dat seama că pe Internet se găsesc treburi interesante, și au solicitat acces

internet
internet
internet firewall corporate network

firewall

internet firewall corporate network
corporate network
corporate network

și accesul outbound era suficient

între timp a apărut HTML / HTTP

iar când e vorba de culori, imagini și sunete, persoanele de la marketing devin interesate

și au început să solicite să pună

broșuri” pe Internet

internet
internet
internet firewall web server corporate network

firewall

internet firewall web server corporate network
web server corporate network
web server
corporate network

iar când s-a dorit și comunicarea cu

cei din afară, a apărut DMZ

internet firewall
internet
firewall
web server (DMZ) database (DMZ) corporate network
web server (DMZ)
database (DMZ)
corporate network

treptat, DMZ-ul a devenit o

înșiruire de firewall-uri

soluțiile noi au devenit din ce în ce mai complexe, deoarece se bazau pe soluțiile deja existente

engineers, architects and

contractors

engineers begin knowing a little bit about a lot

they learn less and less about more and more

until they know nothing about everything

architects begin knowing a lot about a little

they learn more and more about less and less

until they know everything about nothing

contractors begin knowing everything about everything

but end up knowing nothing about anything

because of their association with architects and engineers

pe cine cunoaștem?

PC-ul, sau persoana?

PC

PC persoană

persoană

PC persoană

PC

persoană

managed unmanaged
managed
unmanaged

arhitectura nouă

internet corporate network
internet
corporate network

folosim împărțirea

managed / unmanaged

internet unmanaged managed corporate network
internet
unmanaged
managed
corporate network

astfel, avem nevoie de

network edge protection

pentru secțiunea unmanaged

dar ce facem cu partea

managed?

știm PC-ul, știm persoana

dar până acum, acestea erau în

interiorul rețelei, după firewall

acum, sistemele sunt în afară

două aspecte esențiale

ambele se asigură că informația

ajunge doar la persoanele autorizate

1. confidențialitate

mecanism principal: criptare

criptarea nu poate preveni intercepția

2. posesie

mecanism principal: access control

posesia nu poate oferi secretizare

de reținut!

confidențialitate (criptare)

și

posesie (access control)

lucrul cu informația

ce se colectează?

cum circulă?

unde e stocată, și pentru cât timp?

cine o acesează și de ce?

ce se întâmplă în afara sistemului?

când e distrusă?

soluții

non-admin login, NAP, Group Policy, autentificare cu certificate (X.509),

IPSec, IPv6 (Teredo), DNSv6, Firewall,

soluții gen TrueCrypt/BitLocker, code

security best practices, penetration

testing, web security platforms, etc.

și

user awareness!

resurse online

oricine le poate găsi :)

oricine le poate găsi :)

feedback :)

http://infoeducatie.tudy.ro/

întrebări

întrebări

mulțumesc.

Tudor Damian

IT Solutions Specialist

tudy.tel

Tudor Damian IT Solutions Specialist tudy.tel
Tudor Damian IT Solutions Specialist tudy.tel
Tudor Damian IT Solutions Specialist tudy.tel