securitatea informatiei
DESCRIPTION
Viruși. Spam. Malware. Botnets. Phishing. Rootkits. Ce au toate în comun? Cum ne putem proteja? O detaliere a tendințelor din domeniu, cu soluții practice.TRANSCRIPT
despre mine
Tudor DamianIT Solutions Specialist
tudy.tel
despre seminar
activități de zi cu zi
”dă-mi un link la blogul ăla...”
”trimite-mi pe mail...”
”uite ce-am găsit pe google...”
”dacă ai id de mess, îți trimit acolo fișierul...”
”pot să-mi verific mail-ul?...”
”îl am pe memory stick, îl poți copia de acolo...”
tendințe
16
cu
rio
sit
ycrim
e
1986 2008
Virus Destructive Virus Macro Virus
Vulnerabilities Openly Discussed
Mass Mailing Worms
Network Worms
Spam Tracking Cookies
Spam Explodes
Bots & Botnets
DDoSAttacks
Bots Explode
Paid Vulnerability
Research
Adware SpywareRootkits
On the RiseSpyware &
Adware Explode
Phishing CrimewarePhishing Explodes
Zero Day Exploits
& Threats
că tot vorbim de $$$ ...
Produs Preț
Instalare adware 30 cenţi in US, până la 2 cenţi in alte ţări
Pachet malware, versiunea basic 1.000$ – 2.000$
Add-ons pentru pachete malware Preţuri variabile pornind de la 20$
Închiriere de “exploit” - o oră De la 0,99$ la 1$
Închiriere de “exploit” - 2,5 ore De la 1,60$ la 2$
Închiriere de “exploit” - 5 ore 4$
Troian nedetectabil 80$
Atac DDOS 100$ pe zi
Acces la 10.000 de PC-uri compromise 1.000$
Informaţii despre conturi bancare Preţuri variabile pornind de la 50$
Un milion de mesaje e-mail De la 8$ în sus
o listă de prețuri
Informațiile se refera la anul 2007, sursa: TrendMicro
pe câmpul de luptă
trojan / rootkit / worm / spyware
AV-Test.org estimează că există peste 11 milioane de exemplare de malware
scopul poate fi extrem de diferit, de la caz la caz
spre exemplu, Win32.Worm.Delf.NFW (locul 9 în topul BitDefender pe luna iulie)
șterge fișiere mp3 care conțin numele unor cântareți români "populari"
Adrian MinuneAdi de la Valcea
Florin SalamFrații de AurLaura VassLiviu PuștiuLiviu Guță
DDoS / botnets
Network C
Network B
Network A
Attacker
Computer
ComputerComputer
Workstation Workstation Workstation
LaptopComputer
Computer Workstation
Broadcast Address
Broadcast Address
Broadcast Address
ICMP Echo
ICMP Echo
ICMP Echo
ICMP Echo
ICMP Echo
ICMP Echo
Target system
Replies from every terminal in the
Network
Replies from every terminal in the
Network
Replies from every terminal in the
Network
Smurf
Attacker
Server
Legitimate userr
Half Open Connection
Half Open Conenction
Half Open Conenction
Half Open Conenction
Legitimate Connection
SynFlood Attack SynFlood
Attack
erDNS 2
DNS 3
DNS 4
Target
Query with spoofed IP
Query with spoofed IP
Query with spoofed IP
Query with spoofed IP
Results from attackers query
Results from attackers query
Results from attackers query
Results from attackers query
DNS 1
DNS DoS
DDoS
Server Software
(Zombie)
Server Software
(Zombie)
Server Software
(Zombie)Server Software
(Zombie)
Server Software
(Zombie)
Client Software
Command
CommandCommand
Target Host
Packets
Packets
Packets
PacketsPackets
Attacker
Client
Attacker’s CommandsAttacker’s Coomand
exemplele nu sunt la scară reală :)
SQLi / XSS / CSRF / RFI
SQL injection
XSS
XSS
XSS
Open Web Application Security Project (OWASP) top 10 list
www.owasp.org/index.php/Top_10_2007
OWASP Top 10 List 2007
1. Cross Site Scripting (XSS)
2. Injection Flaws
3. Malicious File Execution
4. Insecure Direct Object Reference
5. Cross Site Request Forgery (CSRF)
6. Information Leakage and Improper Error Handling
7. Broken Authentication and Session Management
8. Insecure Cryptographic Storage
9. Insecure Communications
10. Failure to Restrict URL Access
spam
conform Sophos, 96.5% din business email este spam
phishing / crimeware / scareware
crimeware
categorie de malware concepută pentru automatizarea activităților
criminale de natură financiară
scareware, o variantă de social engineering
botnet on demand
BotnetNumărul de boți
estimatCapacitatea de generare de
spam
Kraken 400.000 100 miliarde mesaje pe zi
Srizbi 315.000 60 miliarde mesaje pe zi
Rustock 150.000 30 miliarde mesaje pe zi
Cutwail 125.000 16 miliarde mesaje pe zi
Storm 85.000 3 miliarde mesaje pe zi
top 5 botnets in 2008
Surse: SecureWorks, Damballa
furt de identitate
așteptările societății legat de confidențialitate scad vizibil
$40 pe an, 30.000 americani s-au înscris
You have no privacy, get
over it!
Scott McNealyCEO, Sun Microsystems
incidente soldate cu pierderi de date1 ianuarie 2005 – 4 august 2009
http://www.privacyrights.org/ar/ChronDataBreaches.htm
263 247 398 !
costul mediu al recuperării datelor pierdute/furate/compromise
$ 197.50 / data record !
sau aproximativ 20% din PIB-ul României pe 2008
cele 10 legi alesecurității rețelelor
#1dacă un atacator te convinge să rulezi programul lui pe calculatorul tău, nu
mai e calculatorul tău
#2dacă un atacator poate modifica
sistemul de operare de pe calculatorul tău, nu mai e calculatorul tău
#3dacă un atacator are acces fizic la
calculatorul tău, nu mai e calculatorul tău
#4dacă lași un atacator să upload-eze
programe pe site-ul tău, nu mai e site-ul tău
#5parolele slabe anulează orice altă
formă de securitate
#6un sistem e atât de sigur pe cât de
multă încredere poți avea în persoana care îl administrează
#7datele criptate sunt atât de sigure pe
cât de sigură e cheia de decriptare
#8un antivirus fără definiții la zi e cu
puțin mai bun decât unul inexistent
#9anonimitatea absolută nu e practică,
nici în viața reală, nici pe web
#10tehnologia nu e un panaceu
abordarea securității
un singur punct de acces fizic
un singur punct de acces electronic
disciplină, disciplină, disciplină
tot ce vine e malițios, până la proba contrarie
arhitectura veche
la început, internetul era izolat, rețelele corporate la fel
internet
corporate network
persoanele din CORP și-a dat seama că pe Internet se găsesc treburi
interesante, și au solicitat acces
internet
firewall
corporate network
și accesul outbound era suficient
între timp a apărut HTML / HTTP
iar când e vorba de culori, imagini și sunete, persoanele de la marketing
devin interesate
și au început să solicite să pună ”broșuri” pe Internet
internet
firewall
web server
corporate network
iar când s-a dorit și comunicarea cu cei din afară, a apărut DMZ
internet
firewall
web server (DMZ)database (DMZ)
corporate network
treptat, DMZ-ul a devenit o înșiruire de firewall-uri
soluțiile noi au devenit din ce în ce mai complexe, deoarece se bazau pe
soluțiile deja existente
engineers, architects and contractors
engineers begin knowing a little bit about a lot
they learn less and less about more and more
until they know nothing about everything
architects begin knowing a lot about a little
they learn more and more about less and less
until they know everything about nothing
contractors begin knowingeverything about everything
but end up knowing nothing about anything
because of their associationwith architects and engineers
pe cine cunoaștem?
PC-ul, sau persoana?
PC persoană
PC persoană
managed
unmanaged
arhitectura nouă
internet
corporate network
folosim împărțireamanaged / unmanaged
internet
unmanaged managed
corporate network
astfel, avem nevoie denetwork edge protection
pentru secțiunea unmanaged
dar ce facem cu partea managed?
știm PC-ul, știm persoana
dar până acum, acestea erau în interiorul rețelei, după firewall
acum, sistemele sunt în afară
două aspecte esențiale
ambele se asigură că informația ajunge doar la persoanele autorizate
1. confidențialitate
mecanism principal: criptare
criptarea nu poate preveni intercepția
2. posesie
mecanism principal: access control
posesia nu poate oferi secretizare
de reținut!
confidențialitate (criptare)
și
posesie (access control)
lucrul cu informația
ce se colectează?cum circulă?
unde e stocată, și pentru cât timp?cine o acesează și de ce?
ce se întâmplă în afara sistemului?când e distrusă?
soluții
non-admin login, NAP, Group Policy,autentificare cu certificate (X.509),
IPSec, IPv6 (Teredo), DNSv6, Firewall,soluții gen TrueCrypt/BitLocker, code security best practices, penetration testing, web security platforms, etc.
...și user awareness!
resurse online
oricine le poate găsi :)
feedback :)
http://infoeducatie.tudy.ro/
întrebări
mulțumesc.
Tudor DamianIT Solutions Specialist
tudy.tel