A treia parte a cursului de White Hat Hacking tinut de Tudor Damian - ITSpark (Cluj-Napoca, 20 noiembrie 2010)

2. salut, pentru a treia oară.

3. Tudor Damian
MVP, IT Solutions Specialist
tudy.tel

4. ce facem azi?

5. curs WHH, #3
Web Security
Network Security
Best Practices

8. o infracțiune are loc...

9. la fiecare 15 minute în Paris

10. la fiecare 3 ½ minute în New York

11. la fiecare 2 ½ minute în Tokyo

12. la fiecare 2 minute în Berlin

13. la fiecare ¼ secunde ONLINE

14. activități de zi cu zi

15. ”dă-mi un link la blogul ăla...”

16. ”trimite-mi pe mail...”

17. ”uite ce-am găsit pe google...”

18. ”dacă ai id de mess, îți trimit
acolo fișierul...”

19. ”pot să-mi verific mail-ul?...”

20. Ӕl am pe memory stick,
îl poți copia de acolo...”

21. tendințe

23. 23
curiositycrime
1986 2008
Virus Destructive Virus Macro Virus
Vulnerabilities
Openly Discussed
Mass Mailing
Worms
Network
Worms
Spam Tracking
Cookies
Spam Explodes
Bots &
Botnets
DDoS
Attacks
Bots
Explode
Paid
Vulnerability
Research
Adware Spyware
Rootkits
On the Rise
Spyware &
Adware Explode
Phishing Crimeware
Phishing
Explodes
Zero Day
Exploits
& Threats

24. că tot vorbim de $$$ ...

25. Produs Preț
Instalare adware 30 cenţi in US, până la 2 cenţi in alte ţări
Pachet malware, versiunea basic 1.000$ – 2.000$
Add-ons pentru pachete malware Preţuri variabile pornind de la 20$
Închiriere de “exploit” - o oră De la 0,99$ la 1$
Închiriere de “exploit” - 2,5 ore De la 1,60$ la 2$
Închiriere de “exploit” - 5 ore 4$
Troian nedetectabil 80$
Atac DDOS 100$ pe zi
Acces la 10.000 de PC-uri compromise 1.000$
Informaţii despre conturi bancare Preţuri variabile pornind de la 50$
Un milion de mesaje e-mail De la 8$ în sus
o listă de prețuri
Informațiile se refera la anul 2007, sursa: TrendMicro

26. Changes in the Threat Landscape
de la hackeri... ...la hoţi
”zgomotoși” și vizibili ”ninja” 
motivaţi de faimă motivaţi financiar
fără discriminări ţinte precise
schimbări în amenințări

27. Period
Numberofsignatures
Sursa: Symantec Security Response

28. protecția e o problemă constantă

29. e ca un joc ”de-a șoarecele și pisica”

30. pe măsură ce soluțiile de securitate
devin mai performante...

31. ...și tipurile de atacuri devin mai
complexe și mai distructive

32. metodele ”tradiționale”, bazate pe
semnături, nu mai fac față

33. avem nevoie de ceva diferit

34. ubicuitate

35. dacă am pune toate fișierele rele în
stânga și cele bune în dreapta...

36. ...am avea o distribuție ”long tail”
Nici o tehnică nu funcţionează
pentru cele zeci de milioane de
fișiere din această zonă de mijloc
(Și aici e și zona unde majoritatea
malware-ului se găsește)
fișiere rele fișiere bune
număr
Whitelisting
funcţionează aici
Pentru acest ”long tail” e
nevoie de o metodă nouă
Blacklisting
funcţionează aici

37. folosim utilizatorii!

39. Empower Users
un început timid...

40. ...însă direcția e bună

41. pe câmpul de luptă

42. trojan / rootkit / worm / spyware

43. AV-Test.org estimează că există
peste 11 milioane de exemplare de
malware

49. scopul poate fi extrem de diferit, de
la caz la caz

50. spre exemplu,
Win32.Worm.Delf.NFW (locul 9 în
topul BitDefender pe luna iulie 2009)

51. șterge fișiere mp3 care conțin numele
unor cântareți români "populari"

52. Adrian Minune
Adi de la Valcea
Florin Salam
Frații de Aur
Laura Vass
Liviu Puștiu
Liviu Guță

53. DDoS / botnets

54. botnet on demand

55. botnet on demand

56. Botnet
Numărul de boți
estimat
Capacitatea de generare de
spam
Grum 600.000 40 miliarde mesaje pe zi
Bobax 100.000 27 miliarde mesaje pe zi
Cutwail 1.500.000 19 miliarde mesaje pe zi
Rustock 150.000 17 miliarde mesaje pe zi
Bagle 500.000 14 miliarde mesaje pe zi
top 5 botnets in 2010

57. atacuri în rețea

58. Network C
Network B
Network A
Attacker
Computer
Computer
Computer
Workstation Workstation Workstation
Laptop
Computer
Computer Workstation
Broadcast Address
Broadcast Address
Broadcast Address
ICMP Echo
ICMP Echo
ICMP Echo
ICMP Echo
ICMP Echo
ICMP Echo
Target system
Replies from every
terminal in the
Network
Replies from every
terminal in the
Network
Replies from every
terminal in the
Network
Smurf

59. Attacker
Server
Legitimate userr
Half Open Connection
Half Open Conenction
Half Open Conenction
Half Open Conenction
Legitimate Connection
SynFlood Attack SynFlood

60. Attack
er
DNS 2
DNS 3
DNS 4
Target
Query with spoofed IP
Query with spoofed IP
Query with spoofed IP
Query with spoofed IP
Results from attackers query
Results from attackers query
Results from attackers query
Results from attackers query
DNS 1
DNS DoS

61. DDoS
Server Software
(Zombie)
Server Software
(Zombie)
Server Software
(Zombie)
Server Software
(Zombie)
Server Software
(Zombie)
Client Software
Command
CommandCommand
Target Host
Packets
Packets
Packets
Packets
Packets
Attacker
Client
Attacker’s Commands
Attacker’s Coomand

62. exemplele nu sunt
la scară reală :)

63. SQLi / XSS / CSRF / RFI

65. SQL injection

66. XSS

67. XSS

68. XSS

69. Open Web Application Security
Project (OWASP) top 10 list
www.owasp.org/index.php/Top_10_2010

70. OWASP Top 10 List 2010
OWASP Top 10 – 2007 (Previous) OWASP Top 10 – 2010 (New)
A2 – Injection Flaws A1 – Injection
A1 – Cross Site Scripting (XSS) A2 – Cross Site Scripting (XSS)
A7 – Broken Authentication and Session Management A3 – Broken Authentication and Session Management
A4 – Insecure Direct Object Reference A4 – Insecure Direct Object References
A5 – Cross Site Request Forgery (CSRF) A5 – Cross Site Request Forgery (CSRF)
<was T10 2004 A10 – Insecure Configuration Management> A6 – Security Misconfiguration (NEW)
A8 – Insecure Cryptographic Storage A7 – Insecure Cryptographic Storage
A10 – Failure to Restrict URL Access A8 – Failure to Restrict URL Access
A9 – Insecure Communications A9 – Insufficient Transport Layer Protection
<not in T10 2007> A10 – Unvalidated Redirects and Forwards (NEW)
A3 – Malicious File Execution <dropped from T10 2010>
A6 – Information Leakage and Improper Error Handling <dropped from T10 2010>
+
+
-
-
=
=
=

71. spam

72. conform Sophos, 96.5% din business
email este spam

74. phishing / crimeware / scareware

77. crimeware

78. categorie de malware concepută
pentru automatizarea activităților
criminale de natură financiară

79. scareware, o variantă de
social engineering

86. alte atacuri

87. spionaj industrial

88. ...plătit, evident :)

89. furt de identitate

90. cele 10 legi ale
securității rețelelor

91. #1
dacă un atacator te convinge să
rulezi programul lui pe calculatorul
tău, nu mai e calculatorul tău

92. #2
dacă un atacator poate modifica
sistemul de operare de pe
calculatorul tău, nu mai e
calculatorul tău

93. #3
dacă un atacator are acces fizic la
calculatorul tău, nu mai e
calculatorul tău

94. #4
dacă lași un atacator să upload-eze
programe pe site-ul tău, nu mai e
site-ul tău

95. #5
parolele slabe anulează orice altă
formă de securitate

96. #6
un sistem e atât de sigur pe cât de
multă încredere poți avea în
persoana care îl administrează

97. #7
datele criptate sunt atât de sigure pe
cât de sigură e cheia de decriptare

98. #8
un antivirus fără definiții la zi e cu
puțin mai bun decât unul inexistent

99. #9
anonimitatea absolută nu e practică,
nici în viața reală, nici pe web

100. #10
tehnologia nu e un panaceu

101. abordarea securității

102. un singur punct de acces fizic

103. un singur punct de acces electronic

104. disciplină, disciplină, disciplină

105. tot ce vine e malițios,
până la proba contrarie

106. componentele soluției

107. clădiri securizate fizic

108. opțiuni de autentificare

109. limitarea metodelor de comunicare
și acces permise

110. inspecție și eliminare malware

111. procese și tehnologii de
management definite clar

112. plan de acțiune în caz de criză
(incident response)

113. securizare fizică a clădirilor

114. proprietate
locație, perimetru, datacenter,
controlul climei, disaster recovery

115. oameni
necunoscuți, utilizatori/angajați,
disaster recovery

116. opțiuni de autentificare

117. parolele nu sunt suficiente

120. procese și tehnologii de
management definite clar

121. automatizarea instalărilor,
configurare, update

122. monitorizarea sănătății sistemului,
reparații în caz de nevoie

123. data recovery

124. arhitectura veche

125. la început, internetul era izolat,
rețelele corporate la fel

126. internet
corporate network

127. persoanele din CORP și-a dat seama
că pe Internet se găsesc treburi
interesante, și au solicitat acces

128. internet
firewall
corporate network

129. și accesul outbound era suficient

130. dar între timp a apărut HTML / HTTP

131. iar când e vorba de culori, imagini și
sunete, persoanele de la marketing
devin interesate

132. și au început să solicite să pună
”broșuri” pe Internet

133. internet
firewall
web server
corporate network

134. iar când s-a dorit și comunicarea cu
cei din afară, a apărut DMZ

135. internet
firewall
web server (DMZ)
database (DMZ)
corporate network

136. treptat, DMZ-ul a devenit o
înșiruire de firewall-uri

137. soluțiile noi au devenit din ce în ce
mai complexe, deoarece se bazau pe
soluțiile deja existente

138. engineers, architects and
contractors

139. engineers begin knowing a little bit about a lot
they learn less and less about more and more
until they know nothing about everything

140. architects begin knowing a lot about a little
they learn more and more about less and less
until they know everything about nothing

141. contractors begin knowing
everything about everything
but end up knowing nothing about anything
because of their association
with architects and engineers

142. pe cine cunoaștem?

143. PC-ul, sau persoana?

144. PC persoană

145. PC persoană
managed
unmanaged

146. arhitectura nouă

147. internet
corporate network

148. folosim împărțirea
managed / unmanaged

149. internet
unmanaged managed
corporate network

150. astfel, avem nevoie de
network edge protection
pentru secțiunea unmanaged

151. dar ce facem cu partea managed?

152. știm PC-ul, știm persoana

153. dar până acum, acestea erau în
interiorul rețelei, după firewall

154. acum, sistemele sunt în afară

155. tehnologii curente care ne pot ajuta

156. Win7 & Windows Server 2008 R2
(DirectAccess), UAC, non-admin
login, NAP, Active Directory (Group
Policy), autentificare cu certificate
(X.509), IPSec, IPv6 (Teredo), DNSv6,
Firewall, BitLocker, BitLocker to Go
etc. 

157. întrebări

158. mulțumesc.

159. Tudor Damian
MVP, IT Solutions Specialist
tudy.tel