SlideShare ist ein Scribd-Unternehmen logo

Bezpečnosť IT - návod na hackovanie

Matus Kovacik
Matus Kovacik

Prednáška na FEI STU v spolupráci s Ynet-om a ďalšími študentskými organizáciami.

Technologie
1 von 21
Downloaden Sie, um offline zu lesen
Ynet Sieť šD Mladosť Bezpečnosť IT – návod na hackovanie Matúš Kováčik
Obsah  Všeobecne o bezpečnosti  Ako sa brániť  Slabé miesta IS  Ako útočiť  Sociálne inžinierstvo  Otázky? http://jeronimo.ynet.sk/download Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 2
Čo je čo v bezpečnosti Opatrenie (measure) Aktívum Hrozba, Zraniteľnosť, útočník bezp. Diera (vulnerability) (threat) Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 3
O čo sa bezpečnosť snaží  CIA Model – Dôvernosť (Confidentality) – Integrita (Integrity) – Dostupnosť (Availability)  Ďalšie – Autorizácia/autentizácia – Nepopierateľnosť – ... Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 4
Čo bezpečnosť rieši  Základné typy – fyzická – sieťová – personálna  Iné – obnova po havárii – antispam – bezpečné mazanie Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 5
Ako sa brániť  Všeobecne: – Systém je tak bezpečný, ako je bezpečný jeho najslabší prvok – Ochrana čím nižšie, tým lepšie :-) – Filozofia minimálnych prístupových práv – čo nemôžeš, to nepokazíš – Človek je najbezpečnejší, zároveň najmenej bezpečný prvok informačného systému Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 6
Otázka  Aká je najlepšia ochrana bezpečnostného projektu firmy, ktorý je umiestnený na počítači sekretárky? Odstrániť ho odtiaľ! Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 7
Bezpečnostné opatrenia  Systémové  Sieťové – aktualizácia – Firewall – antispam – IDS – antivírus – bezpečné nastavenia – monitoring (ACL)  Dátové – šifrovanie – digitálny podpis – zálohovanie Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 8
Bezpečnostné opatrenia  Fyzické:  Všeobecné – Alarmy, strážnici – penetračné – prístupové systémy testovanie – mreže, zámky, – logovanie (záznam dvere, steny udalostí) – požiarne hlásiče, ... – dokumentácia – UPS – testovanie – ACL  Personálne – zastupiteľnosť  ... – školenia Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 9
Ako hackovať  Zásady: – zistiť čo najviac informácií o systéme – nájsť slabé miesta systému – uvedomiť si niečo, čo si admin neuvedomuje – skrývať sa – využiť nevedomosť, nedostatok času, nepozornosť, bordel, čokoľvek... Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 10
Typy útokov – Exploit (napr. buffer overflow) – Bruteforce - hádanie hesla – (D)DOS - (Distributed) Denial of Service - zhodenie služby – Sniffing - Odpočúvanie (napr. ARP poisoning) – Spyware (napr. Troyan horse, Keylogger) – Vírus – Sociálne inžinierstvo - manipulácia/klamanie ľudí – Fyzické útoky - napr. vlámanie, krádež, ... Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 11
Bezpečnostné diery  Zopár faktov: ● Za týždeň sa objaví priemerne 48 bezp. dier v softvéroch ● 96% objavených dier má strednú, alebo vysokú závažnosť ● 70% objavených dier je jednoducho zneužiteľných ● Priemerný čas medzi objavením diery a zverejnením exploitu je 5.8 dňa * Štatistiky sú z prvého polroku 2004 ** diera = bezpečnostná slabina (security vylnerability) Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 12
Slabé stránky IS  Slabé stránky IS: ● Vnútorná sieť ● Osobné počítače ● Užívatelia ● Vzdialený prístup ● Heslá (uhádnuteľné, zdieľané, ...)  Typická situácia ● Administrátor nemá čas ● Užívatelia sa do počítačov nevyznajú ● V systéme je bordel Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 13
Najväčšie problémy IT bezpečnosti Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 14
Otázka  Aký je najjednoduhší spôsob získania cudzieho hesla? Vypýtať si ho! Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 15
Sociálne inžinierstvo “Najväčšia banková lúpež v histórii bola realizovaná bez použitia zbrane alebo počítača.” Kevin Mittnick - Umenie klamu Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 16
Umenie klamu – zistite si informácie o vnútornom prostredí – použite terminológiu, ktorá je pre obeť bežná – žiadajte úkon, ktorý je pre obeť bežný – vydávajte sa na niekoho dôležitého – získajte dôveru obete – požívajte informácie, ktoré si obeť nemôže overiť – skrývajte sa – vyhýbajte sa osobnému kontaktu Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 17
Všeobecné zásady – > 90% útokov pochádza z vnútra organizácie – Bezpečnosť vs. jednoduchosť a dostupnosť – Security vs. obcsurity – Užívatelia radi obchádzajú bezpečnostné opatrenia – prístup typu: quot;Aj tak nás hacknú, ak budú chcieť...quot; Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 18
Rekapitulácia  Všeobecne o bezpečnosti  Ako sa brániť  Slabé miesta IS  Ako útočiť  Sociálne inžinierstvo http://jeronimo.ynet.sk/download Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 19
Otázky ?
Ďakujem za pozornosť Matúš Kováčik matus.kovacik@ynet.sk

Empfohlen

IT security in Slovakia
IT security in SlovakiaIT security in Slovakia
IT security in Slovakia
Jozef Supsak
 
Andrey's presentation about movements from Peace and development seminar
Andrey's presentation about movements from Peace and development seminarAndrey's presentation about movements from Peace and development seminar
Andrey's presentation about movements from Peace and development seminar
Matus Kovacik
 
Reclamas de que
Reclamas de queReclamas de que
Reclamas de que
Deus, família, trabalho, estudos, amigos, resiliência
 
Aktuálne trendy v oblasti internetových hrozieb
Aktuálne trendy v oblasti internetových hroziebAktuálne trendy v oblasti internetových hrozieb
Aktuálne trendy v oblasti internetových hrozieb
Matus Kovacik
 
Online Public Relations
Online Public RelationsOnline Public Relations
Online Public Relations
Matus Kovacik
 
Jokut-jokes
Jokut-jokesJokut-jokes
Jokut-jokes
ashokpappadia
 
Protocolo
ProtocoloProtocolo
Protocolo
rogelio01
 
Ngo Management
Ngo ManagementNgo Management
Ngo Management
Matus Kovacik
 

Empfohlen

IT security in Slovakia
IT security in SlovakiaIT security in Slovakia
IT security in Slovakia
Jozef Supsak
 
Andrey's presentation about movements from Peace and development seminar
Andrey's presentation about movements from Peace and development seminarAndrey's presentation about movements from Peace and development seminar
Andrey's presentation about movements from Peace and development seminar
Matus Kovacik
 
Reclamas de que
Reclamas de queReclamas de que
Reclamas de que
Deus, família, trabalho, estudos, amigos, resiliência
 
Aktuálne trendy v oblasti internetových hrozieb
Aktuálne trendy v oblasti internetových hroziebAktuálne trendy v oblasti internetových hrozieb
Aktuálne trendy v oblasti internetových hrozieb
Matus Kovacik
 
Online Public Relations
Online Public RelationsOnline Public Relations
Online Public Relations
Matus Kovacik
 
Jokut-jokes
Jokut-jokesJokut-jokes
Jokut-jokes
ashokpappadia
 
Protocolo
ProtocoloProtocolo
Protocolo
rogelio01
 
Ngo Management
Ngo ManagementNgo Management
Ngo Management
Matus Kovacik
 
O usilovnom mravčekovi
O usilovnom mravčekoviO usilovnom mravčekovi
O usilovnom mravčekovi
Matus Kovacik
 
Prezentácia o prezentáciách
Prezentácia o prezentáciáchPrezentácia o prezentáciách
Prezentácia o prezentáciách
Matus Kovacik
 
Čo som sa naučil o time managemente
Čo som sa naučil o time managementeČo som sa naučil o time managemente
Čo som sa naučil o time managemente
Matus Kovacik
 
Ergonómia práce z PC
Ergonómia práce z PCErgonómia práce z PC
Ergonómia práce z PC
Matus Kovacik
 
Paradoxy dnesnej doby
Paradoxy dnesnej dobyParadoxy dnesnej doby
Paradoxy dnesnej doby
Matus Kovacik
 
Time Management 2
Time Management 2Time Management 2
Time Management 2
Matus Kovacik
 
Time Management 1
Time Management 1Time Management 1
Time Management 1
Matus Kovacik
 
Ynet - úvod do štúdia 2007
Ynet - úvod do štúdia 2007Ynet - úvod do štúdia 2007
Ynet - úvod do štúdia 2007
Matus Kovacik
 
Ynet - valné zhromaždenie 2006
Ynet - valné zhromaždenie 2006Ynet - valné zhromaždenie 2006
Ynet - valné zhromaždenie 2006
Matus Kovacik
 
Ďalšia prezentácia Ynetu
Ďalšia prezentácia YnetuĎalšia prezentácia Ynetu
Ďalšia prezentácia Ynetu
Matus Kovacik
 
Návrh projektu siete na internáte Dobrovičova
Návrh projektu siete na internáte DobrovičovaNávrh projektu siete na internáte Dobrovičova
Návrh projektu siete na internáte Dobrovičova
Matus Kovacik
 
Mobilné siete 3.5G a 4G
Mobilné siete 3.5G a 4GMobilné siete 3.5G a 4G
Mobilné siete 3.5G a 4G
Matus Kovacik
 
Diplomová práca - Štúdia pokročilých vlastností operačného systému Solaris
Diplomová práca - Štúdia pokročilých vlastností operačného systému SolarisDiplomová práca - Štúdia pokročilých vlastností operačného systému Solaris
Diplomová práca - Štúdia pokročilých vlastností operačného systému Solaris
Matus Kovacik
 
Tímový projekt - Záverečná prezentácia
Tímový projekt - Záverečná prezentáciaTímový projekt - Záverečná prezentácia
Tímový projekt - Záverečná prezentácia
Matus Kovacik
 
Tímový projekt - Ponuka
Tímový projekt - PonukaTímový projekt - Ponuka
Tímový projekt - Ponuka
Matus Kovacik
 
Photography workshop (part1)
Photography workshop (part1)Photography workshop (part1)
Photography workshop (part1)
Matus Kovacik
 
Ako prežiť projekty na FEI/FIIT STU
Ako prežiť projekty na FEI/FIIT STUAko prežiť projekty na FEI/FIIT STU
Ako prežiť projekty na FEI/FIIT STU
Matus Kovacik
 

Weitere ähnliche Inhalte

Mehr von Matus Kovacik

Prezentácia o prezentáciách
Prezentácia o prezentáciáchPrezentácia o prezentáciách
Prezentácia o prezentáciách
Matus Kovacik
 
Čo som sa naučil o time managemente
Čo som sa naučil o time managementeČo som sa naučil o time managemente
Čo som sa naučil o time managemente
Matus Kovacik
 
Ergonómia práce z PC
Ergonómia práce z PCErgonómia práce z PC
Ergonómia práce z PC
Matus Kovacik
 
Paradoxy dnesnej doby
Paradoxy dnesnej dobyParadoxy dnesnej doby
Paradoxy dnesnej doby
Matus Kovacik
 
Ynet - úvod do štúdia 2007
Ynet - úvod do štúdia 2007Ynet - úvod do štúdia 2007
Ynet - úvod do štúdia 2007
Matus Kovacik
 
Ynet - valné zhromaždenie 2006
Ynet - valné zhromaždenie 2006Ynet - valné zhromaždenie 2006
Ynet - valné zhromaždenie 2006
Matus Kovacik
 
Návrh projektu siete na internáte Dobrovičova
Návrh projektu siete na internáte DobrovičovaNávrh projektu siete na internáte Dobrovičova
Návrh projektu siete na internáte Dobrovičova
Matus Kovacik
 

Mehr von Matus Kovacik (17)

O usilovnom mravčekovi
O usilovnom mravčekoviO usilovnom mravčekovi
O usilovnom mravčekovi
 
Prezentácia o prezentáciách
Prezentácia o prezentáciáchPrezentácia o prezentáciách
Prezentácia o prezentáciách
 
Čo som sa naučil o time managemente
Čo som sa naučil o time managementeČo som sa naučil o time managemente
Čo som sa naučil o time managemente
 
Ergonómia práce z PC
Ergonómia práce z PCErgonómia práce z PC
Ergonómia práce z PC
 
Paradoxy dnesnej doby
Paradoxy dnesnej dobyParadoxy dnesnej doby
Paradoxy dnesnej doby
 
Time Management 2
Time Management 2Time Management 2
Time Management 2
 
Time Management 1
Time Management 1Time Management 1
Time Management 1
 
Ynet - úvod do štúdia 2007
Ynet - úvod do štúdia 2007Ynet - úvod do štúdia 2007
Ynet - úvod do štúdia 2007
 
Ynet - valné zhromaždenie 2006
Ynet - valné zhromaždenie 2006Ynet - valné zhromaždenie 2006
Ynet - valné zhromaždenie 2006
 
Ďalšia prezentácia Ynetu
Ďalšia prezentácia YnetuĎalšia prezentácia Ynetu
Ďalšia prezentácia Ynetu
 
Návrh projektu siete na internáte Dobrovičova
Návrh projektu siete na internáte DobrovičovaNávrh projektu siete na internáte Dobrovičova
Návrh projektu siete na internáte Dobrovičova
 
Mobilné siete 3.5G a 4G
Mobilné siete 3.5G a 4GMobilné siete 3.5G a 4G
Mobilné siete 3.5G a 4G
 
Diplomová práca - Štúdia pokročilých vlastností operačného systému Solaris
Diplomová práca - Štúdia pokročilých vlastností operačného systému SolarisDiplomová práca - Štúdia pokročilých vlastností operačného systému Solaris
Diplomová práca - Štúdia pokročilých vlastností operačného systému Solaris
 
Tímový projekt - Záverečná prezentácia
Tímový projekt - Záverečná prezentáciaTímový projekt - Záverečná prezentácia
Tímový projekt - Záverečná prezentácia
 
Tímový projekt - Ponuka
Tímový projekt - PonukaTímový projekt - Ponuka
Tímový projekt - Ponuka
 
Photography workshop (part1)
Photography workshop (part1)Photography workshop (part1)
Photography workshop (part1)
 
Ako prežiť projekty na FEI/FIIT STU
Ako prežiť projekty na FEI/FIIT STUAko prežiť projekty na FEI/FIIT STU
Ako prežiť projekty na FEI/FIIT STU
 

Bezpečnosť IT - návod na hackovanie

  • 1. Ynet Sieť šD Mladosť Bezpečnosť IT – návod na hackovanie Matúš Kováčik
  • 2. Obsah  Všeobecne o bezpečnosti  Ako sa brániť  Slabé miesta IS  Ako útočiť  Sociálne inžinierstvo  Otázky? http://jeronimo.ynet.sk/download Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 2
  • 3. Čo je čo v bezpečnosti Opatrenie (measure) Aktívum Hrozba, Zraniteľnosť, útočník bezp. Diera (vulnerability) (threat) Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 3
  • 4. O čo sa bezpečnosť snaží  CIA Model – Dôvernosť (Confidentality) – Integrita (Integrity) – Dostupnosť (Availability)  Ďalšie – Autorizácia/autentizácia – Nepopierateľnosť – ... Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 4
  • 5. Čo bezpečnosť rieši  Základné typy – fyzická – sieťová – personálna  Iné – obnova po havárii – antispam – bezpečné mazanie Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 5
  • 6. Ako sa brániť  Všeobecne: – Systém je tak bezpečný, ako je bezpečný jeho najslabší prvok – Ochrana čím nižšie, tým lepšie :-) – Filozofia minimálnych prístupových práv – čo nemôžeš, to nepokazíš – Človek je najbezpečnejší, zároveň najmenej bezpečný prvok informačného systému Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 6
  • 7. Otázka  Aká je najlepšia ochrana bezpečnostného projektu firmy, ktorý je umiestnený na počítači sekretárky? Odstrániť ho odtiaľ! Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 7
  • 8. Bezpečnostné opatrenia  Systémové  Sieťové – aktualizácia – Firewall – antispam – IDS – antivírus – bezpečné nastavenia – monitoring (ACL)  Dátové – šifrovanie – digitálny podpis – zálohovanie Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 8
  • 9. Bezpečnostné opatrenia  Fyzické:  Všeobecné – Alarmy, strážnici – penetračné – prístupové systémy testovanie – mreže, zámky, – logovanie (záznam dvere, steny udalostí) – požiarne hlásiče, ... – dokumentácia – UPS – testovanie – ACL  Personálne – zastupiteľnosť  ... – školenia Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 9
  • 10. Ako hackovať  Zásady: – zistiť čo najviac informácií o systéme – nájsť slabé miesta systému – uvedomiť si niečo, čo si admin neuvedomuje – skrývať sa – využiť nevedomosť, nedostatok času, nepozornosť, bordel, čokoľvek... Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 10
  • 11. Typy útokov – Exploit (napr. buffer overflow) – Bruteforce - hádanie hesla – (D)DOS - (Distributed) Denial of Service - zhodenie služby – Sniffing - Odpočúvanie (napr. ARP poisoning) – Spyware (napr. Troyan horse, Keylogger) – Vírus – Sociálne inžinierstvo - manipulácia/klamanie ľudí – Fyzické útoky - napr. vlámanie, krádež, ... Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 11
  • 12. Bezpečnostné diery  Zopár faktov: ● Za týždeň sa objaví priemerne 48 bezp. dier v softvéroch ● 96% objavených dier má strednú, alebo vysokú závažnosť ● 70% objavených dier je jednoducho zneužiteľných ● Priemerný čas medzi objavením diery a zverejnením exploitu je 5.8 dňa * Štatistiky sú z prvého polroku 2004 ** diera = bezpečnostná slabina (security vylnerability) Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 12
  • 13. Slabé stránky IS  Slabé stránky IS: ● Vnútorná sieť ● Osobné počítače ● Užívatelia ● Vzdialený prístup ● Heslá (uhádnuteľné, zdieľané, ...)  Typická situácia ● Administrátor nemá čas ● Užívatelia sa do počítačov nevyznajú ● V systéme je bordel Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 13
  • 14. Najväčšie problémy IT bezpečnosti Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 14
  • 15. Otázka  Aký je najjednoduhší spôsob získania cudzieho hesla? Vypýtať si ho! Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 15
  • 16. Sociálne inžinierstvo “Najväčšia banková lúpež v histórii bola realizovaná bez použitia zbrane alebo počítača.” Kevin Mittnick - Umenie klamu Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 16
  • 17. Umenie klamu – zistite si informácie o vnútornom prostredí – použite terminológiu, ktorá je pre obeť bežná – žiadajte úkon, ktorý je pre obeť bežný – vydávajte sa na niekoho dôležitého – získajte dôveru obete – požívajte informácie, ktoré si obeť nemôže overiť – skrývajte sa – vyhýbajte sa osobnému kontaktu Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 17
  • 18. Všeobecné zásady – > 90% útokov pochádza z vnútra organizácie – Bezpečnosť vs. jednoduchosť a dostupnosť – Security vs. obcsurity – Užívatelia radi obchádzajú bezpečnostné opatrenia – prístup typu: quot;Aj tak nás hacknú, ak budú chcieť...quot; Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 18
  • 19. Rekapitulácia  Všeobecne o bezpečnosti  Ako sa brániť  Slabé miesta IS  Ako útočiť  Sociálne inžinierstvo http://jeronimo.ynet.sk/download Bezpečnosť IT - Návod na hackovanie, Matúš Kováčik, Sieť ŠD Mladosť - Ynet 19
  • 21. Ďakujem za pozornosť Matúš Kováčik matus.kovacik@ynet.sk