Curs White Hat Hacking, partea a 3-a

2. salut, pentru a treia oară.

3. Tudor Damian
IT Solutions Specialist
tudy

4. ce facem azi?

5. curs WHH, #3
Web Security
Network Security
Best Practices

8. activități de zi cu zi

9. ”dă-mi un link la blogul ăla...”

10. ”trimite-mi pe mail...”

11. ”uite ce-am găsit pe google...”

12. ”dacă ai id de mess, îți trimit
acolo fișierul...”

13. ”pot să-mi verific mail-ul?...”

14. Ӕl am pe memory stick,
îl poți copia de acolo...”

15. tendințe

17. crime Zero Day
Phishing Exploits
Phishing Crimeware
Explodes & Threats
Spyware & Rootkits
Adware Spyware
Adware Explode On the Rise
Paid
Bots & DDoS Bots Vulnerability
Botnets Attacks Explode Research
Spam Tracking Spam Explodes
Cookies
Vulnerabilities Mass Mailing Network
Openly Discussed Worms Worms
curiosity
Virus Destructive Virus Macro Virus
1986 17 2008

18. că tot vorbim de $$$ ...

19. o listă de prețuri
Produs Preț
Instalare adware 30 cenţi in US, până la 2 cenţi in alte ţări
Pachet malware, versiunea basic 1.000$ – 2.000$
Add-ons pentru pachete malware Preţuri variabile pornind de la 20$
Închiriere de “exploit” - o oră De la 0,99$ la 1$
Închiriere de “exploit” - 2,5 ore De la 1,60$ la 2$
Închiriere de “exploit” - 5 ore 4$
Troian nedetectabil 80$
Atac DDOS 100$ pe zi
Acces la 10.000 de PC-uri compromise 1.000$
Informaţii despre conturi bancare Preţuri variabile pornind de la 50$
Un milion de mesaje e-mail De la 8$ în sus
Informațiile se refera la anul 2007, sursa: TrendMicro

20. pe câmpul de luptă

21. trojan / rootkit / worm / spyware

22. AV-Test.org estimează că există
peste 11 milioane de exemplare de
malware

28. scopul poate fi extrem de diferit, de
la caz la caz

29. spre exemplu,
Win32.Worm.Delf.NFW (locul 9 în
topul BitDefender pe luna iulie)

30. șterge fișiere mp3 care conțin numele
unor cântareți români "populari"

31. Adrian Minune
Adi de la Valcea
Florin Salam
Frații de Aur
Laura Vass
Liviu Puștiu
Liviu Guță

32. DDoS / botnets

33. botnet on demand

34. botnet on demand

35. top 5 botnets in 2008
Numărul de boți Capacitatea de generare de
Botnet
estimat spam
Kraken 400.000 100 miliarde mesaje pe zi
Srizbi 315.000 60 miliarde mesaje pe zi
Rustock 150.000 30 miliarde mesaje pe zi
Cutwail 125.000 16 miliarde mesaje pe zi
Storm 85.000 3 miliarde mesaje pe zi
Surse: SecureWorks, Damballa

36. Smurf
Computer
Computer
Computer
ICMP Echo Network A
Replies from every
terminal in the
Broadcast Address
Network
ICMP Echo Workstation Workstation Workstation
Network B Replies from every
ICMP Echo
terminal in the
Network
Target system
ICMP Echo
Broadcast Address
Attacker
Laptop
Computer
ICMP Echo Replies from every
Network C terminal in the
Network
ICMP Echo
Broadcast Address
Computer Workstation

37. SynFlood Attack SynFlood
Half Open Connection
Half Open Conenction
Attacker Half Open Conenction
Half Open Conenction
Server
Legitimate Connection
Legitimate userr

38. DNS DoS
Query with spoofed IP DNS 1
Results from attackers query
Attack
er
DNS 2 Target
Query with spoofed IP Results from attackers query
Query with spoofed IP DNS 3
Results from attackers query
Query with spoofed IP
DNS 4 Results from attackers query

39. DDoS
Attacker’s Coomand
Attacker’s Commands
Attacker
Command Command
Client Software Client
Command
Server Software
Server Software Server Software Server Software Server Software
(Zombie) (Zombie)
(Zombie) (Zombie) (Zombie)
Packets
Packets
Packets
Packets
Packets
Target Host

40. exemplele nu sunt
la scară reală :)

41. SQLi / XSS / CSRF / RFI

43. SQL injection

44. XSS

45. XSS

46. XSS

47. Open Web Application Security
Project (OWASP) top 10 list
www.owasp.org/index.php/Top_10_2007

48. OWASP Top 10 List 2007
1. Cross Site Scripting (XSS)
2. Injection Flaws
3. Malicious File Execution
4. Insecure Direct Object Reference
5. Cross Site Request Forgery (CSRF)
6. Information Leakage and Improper Error Handling
7. Broken Authentication and Session Management
8. Insecure Cryptographic Storage
9. Insecure Communications
10. Failure to Restrict URL Access

49. OWASP Top 10 List 2010 (RC1)
OWASP Top 10 – 2007 (Previous) OWASP Top 10 – 2010 (New)
A2 – Injection Flaws A1 – Injection
A1 – Cross Site Scripting (XSS) A2 – Cross Site Scripting (XSS)
A7 – Broken Authentication and Session Management A3 – Broken Authentication and Session Management
A4 – Insecure Direct Object Reference = A4 – Insecure Direct Object References
A5 – Cross Site Request Forgery (CSRF) = A5 – Cross Site Request Forgery (CSRF)
<was T10 2004 A10 – Insecure Configuration Management> + A6 – Security Misconfiguration (NEW)
A10 – Failure to Restrict URL Access A7 – Failure to Restrict URL Access
<not in T10 2007> + A8 – Unvalidated Redirects and Forwards (NEW)
A8 – Insecure Cryptographic Storage A9 – Insecure Cryptographic Storage
A9 – Insecure Communications A10 – Insufficient Transport Layer Protection
A3 – Malicious File Execution
- <dropped from T10 2010>
A6 – Information Leakage and Improper Error Handling - <dropped from T10 2010>

50. spam

51. conform Sophos, 96.5% din business
email este spam

53. phishing / crimeware / scareware

56. crimeware

57. categorie de malware concepută
pentru automatizarea activităților
criminale de natură financiară

58. scareware, o variantă de
social engineering

65. alte atacuri

66. spionaj industrial

67. ...plătit, evident :)

68. furt de identitate

69. cele 10 legi ale
securității rețelelor

70. #1
dacă un atacator te convinge să
rulezi programul lui pe calculatorul
tău, nu mai e calculatorul tău

71. #2
dacă un atacator poate modifica
sistemul de operare de pe
calculatorul tău, nu mai e
calculatorul tău

72. #3
dacă un atacator are acces fizic la
calculatorul tău, nu mai e
calculatorul tău

73. #4
dacă lași un atacator să upload-eze
programe pe site-ul tău, nu mai e
site-ul tău

74. #5
parolele slabe anulează orice altă
formă de securitate

75. #6
un sistem e atât de sigur pe cât de
multă încredere poți avea în
persoana care îl administrează

76. #7
datele criptate sunt atât de sigure pe
cât de sigură e cheia de decriptare

77. #8
un antivirus fără definiții la zi e cu
puțin mai bun decât unul inexistent

78. #9
anonimitatea absolută nu e practică,
nici în viața reală, nici pe web

79. #10
tehnologia nu e un panaceu

80. abordarea securității

81. un singur punct de acces fizic

82. un singur punct de acces electronic

83. disciplină, disciplină, disciplină

84. tot ce vine e malițios,
până la proba contrarie

85. componentele soluției

86. clădiri securizate fizic

87. opțiuni de autentificare

88. limitarea metodelor de comunicare
și acces permise

89. inspecție și eliminare malware

90. procese și tehnologii de
management definite clar

91. plan de acțiune în caz de criză
(incident response)

92. securizare fizică a clădirilor

93. proprietate
locație, perimetru, datacenter,
controlul climei, disaster recovery

94. oameni
necunoscuți, utilizatori/angajați,
disaster recovery

95. opțiuni de autentificare

96. parolele nu sunt suficiente

99. procese și tehnologii de
management definite clar

100. automatizarea instalărilor,
configurare, update

101. monitorizarea sănătății sistemului,
reparații în caz de nevoie

103. data recovery

104. arhitectura veche

105. la început, internetul era izolat,
rețelele corporate la fel

106. internet
corporate network

107. persoanele din CORP și-a dat seama
că pe Internet se găsesc treburi
interesante, și au solicitat acces

108. internet
firewall
corporate network

109. și accesul outbound era suficient

110. dar între timp a apărut HTML / HTTP

111. iar când e vorba de culori, imagini și
sunete, persoanele de la marketing
devin interesate

112. și au început să solicite să pună
”broșuri” pe Internet

113. internet
firewall
web server
corporate network

114. iar când s-a dorit și comunicarea cu
cei din afară, a apărut DMZ

115. internet
firewall
web server (DMZ)
database (DMZ)
corporate network

116. treptat, DMZ-ul a devenit o
înșiruire de firewall-uri

117. soluțiile noi au devenit din ce în ce
mai complexe, deoarece se bazau pe
soluțiile deja existente

118. engineers, architects and
contractors

119. engineers begin knowing a little bit about a lot
they learn less and less about more and more
until they know nothing about everything

120. architects begin knowing a lot about a little
they learn more and more about less and less
until they know everything about nothing

121. contractors begin knowing
everything about everything
but end up knowing nothing about anything
because of their association
with architects and engineers

122. pe cine cunoaștem?

123. PC-ul, sau persoana?

124. PC persoană

125. PC persoană
managed
unmanaged

126. arhitectura nouă

127. internet
corporate network

128. folosim împărțirea
managed / unmanaged

129. internet
unmanaged managed
corporate network

130. astfel, avem nevoie de
network edge protection
pentru secțiunea unmanaged

131. dar ce facem cu partea managed?

132. știm PC-ul, știm persoana

133. dar până acum, acestea erau în
interiorul rețelei, după firewall

134. acum, sistemele sunt în afară

135. tehnologii curente care ne pot ajuta

136. Win7 & Windows Server 2008 R2
(DirectAccess), UAC, non-admin
login, NAP, Active Directory (Group
Policy), autentificare cu certificate
(X.509), IPSec, IPv6 (Teredo), DNSv6,
Firewall, BitLocker, BitLocker to Go

137. întrebări

138. mulțumesc.

139. Tudor Damian
IT Solutions Specialist
tudy