1. Ynet
Sieť šD Mladosť
Bezpečnosť IT – návod na
hackovanie
Matúš Kováčik
2. Obsah
Všeobecne o bezpečnosti
Ako sa brániť
Slabé miesta IS
Ako útočiť
Sociálne inžinierstvo
Otázky?
http://jeronimo.ynet.sk/download
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 2
3. Čo je čo v bezpečnosti
Opatrenie
(measure) Aktívum
Hrozba, Zraniteľnosť,
útočník bezp. Diera
(vulnerability)
(threat)
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 3
4. O čo sa bezpečnosť snaží
CIA Model
– Dôvernosť (Confidentality)
– Integrita (Integrity)
– Dostupnosť (Availability)
Ďalšie
– Autorizácia/autentizácia
– Nepopierateľnosť
– ...
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 4
5. Čo bezpečnosť rieši
Základné typy
– fyzická
– sieťová
– personálna
Iné
– obnova po havárii
– antispam
– bezpečné mazanie
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 5
6. Ako sa brániť
Všeobecne:
– Systém je tak bezpečný, ako je bezpečný
jeho najslabší prvok
– Ochrana čím nižšie, tým lepšie :-)
– Filozofia minimálnych prístupových práv – čo
nemôžeš, to nepokazíš
– Človek je najbezpečnejší, zároveň
najmenej bezpečný prvok
informačného systému
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 6
7. Otázka
Aká je najlepšia ochrana bezpečnostného
projektu firmy, ktorý je umiestnený na
počítači sekretárky?
Odstrániť ho odtiaľ!
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 7
10. Ako hackovať
Zásady:
– zistiť čo najviac informácií o systéme
– nájsť slabé miesta systému
– uvedomiť si niečo, čo si admin neuvedomuje
– skrývať sa
– využiť nevedomosť,
nedostatok času,
nepozornosť, bordel,
čokoľvek...
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 10
11. Typy útokov
– Exploit (napr. buffer overflow)
– Bruteforce - hádanie hesla
– (D)DOS - (Distributed) Denial of Service -
zhodenie služby
– Sniffing - Odpočúvanie (napr. ARP poisoning)
– Spyware (napr. Troyan horse, Keylogger)
– Vírus
– Sociálne inžinierstvo - manipulácia/klamanie
ľudí
– Fyzické útoky - napr. vlámanie, krádež, ...
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 11
12. Bezpečnostné diery
Zopár faktov:
●
Za týždeň sa objaví priemerne 48 bezp. dier v
softvéroch
●
96% objavených dier má strednú, alebo vysokú
závažnosť
●
70% objavených dier je jednoducho zneužiteľných
●
Priemerný čas medzi objavením diery a
zverejnením exploitu je 5.8 dňa
* Štatistiky sú z prvého polroku 2004
** diera = bezpečnostná slabina (security vylnerability)
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 12
13. Slabé stránky IS
Slabé stránky IS:
●
Vnútorná sieť
●
Osobné počítače
●
Užívatelia
●
Vzdialený prístup
●
Heslá (uhádnuteľné, zdieľané, ...)
Typická situácia
●
Administrátor nemá čas
●
Užívatelia sa do počítačov nevyznajú
●
V systéme je bordel
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 13
14. Najväčšie problémy IT
bezpečnosti
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 14
15. Otázka
Aký je najjednoduhší spôsob získania
cudzieho hesla?
Vypýtať si ho!
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 15
16. Sociálne inžinierstvo
“Najväčšia banková lúpež v histórii bola
realizovaná bez použitia zbrane alebo
počítača.”
Kevin Mittnick - Umenie klamu
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 16
17. Umenie klamu
– zistite si informácie o vnútornom prostredí
– použite terminológiu, ktorá je pre obeť bežná
– žiadajte úkon, ktorý je pre obeť bežný
– vydávajte sa na niekoho dôležitého
– získajte dôveru obete
– požívajte informácie, ktoré si
obeť nemôže overiť
– skrývajte sa
– vyhýbajte sa osobnému kontaktu
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 17
18. Všeobecné zásady
– > 90% útokov pochádza z vnútra organizácie
– Bezpečnosť vs. jednoduchosť a dostupnosť
– Security vs. obcsurity
– Užívatelia radi obchádzajú bezpečnostné
opatrenia
– prístup typu: quot;Aj tak nás hacknú,
ak budú chcieť...quot;
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 18
19. Rekapitulácia
Všeobecne o bezpečnosti
Ako sa brániť
Slabé miesta IS
Ako útočiť
Sociálne inžinierstvo
http://jeronimo.ynet.sk/download
Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 19