Download presentation
Presentation is loading. Please wait.
1
Dejan Ristanović PC Press dejanr@pcpress.co.yu
Bezbednost u IT svetu Dejan Ristanović PC Press
2
Računar je mreža – svet je mreža
3
Mit o sigurnom sistemu Bezbednost nije problem koji se može rešiti…
… bezbednost je proces koji se konstantno razvija Potpuno siguran sistem na postoji Tehnologija sama za sebe ne može da obezbedi sigurnost Najslabija tačka svakog bezbednosnog sistema je čovek
4
Tehnički aspekti
5
Šta treba zaštititi? Zaštita na više nivoa Na nivou protokola
Na nivou servisa Na nivou aplikacije Na nivou operativnog sistema
6
Na nivou protokola Paketni filteri na ruteru
Blokiranje kompletnog saobraćaja Paketi prolaze ruter samo sa tačno navedenih adresa, na navedene adrese i to za tačno navedene servise access-list 100 deny ip any log access-list 100 deny icmp any any redirect log access-list 100 permit icmp any host access-list 100 permit tcp any any established access-list 100 permit tcp any host eq www access-list 100 permit tcp any host eq ident access-list 100 permit tcp any host eq smtp access-list 100 permit udp any host eq domain access-list 100 permit tcp any host eq domain access-list 100 deny ip any any log
7
Proksi ili translacija adresa
Radne stanica u mreži komuniciraju preko Proxy servera Onemogućena direktna komunikacija sa radnim stanicama unutar mreže Omogućeno korišćenje sigurnosnih mehanizama Proxy software-a Korišćenje privatnih IP adresa za sve radne stanice Javne IP adrese imaju samo Proxy server/Internet server i ruter
8
Koncept privatnih adresa
Privatne adrese Javne adrese Proxy Ruter Filtriranje saobraćaja
9
Zaštita na nivou servisa
Svaka serverska aplikacija koja čeka konekciju za odgređeni servis (SMTP, HTTP) ima svoj sistem zaštite Prihvata konekcije samo sa određenih adresa Sistem autentikacije Definisanje prava pristupa (read, write, exec...) Pravi log korišćenja Wrapper aplikacije čekaju konekciju, proveravaju ko je sa “druge strane” i tek onda startuju serversku aplikaciju
10
Zaštita na nivou aplikacije
Osnova zaštite je interni višekorisnički sistem Svaki korisnik ima svoje korisničko ime i lozinku Za svakog korisnika su definisana prava pristupa
11
Kriptovanje podataka Na nivou protokola Na nivou servisa
Na nivou aplikacije qANQR1DBwU4D/xtpxytzBAMQCADdiUINDyK8NOfKq/7V3/PTaNeaqiMxKEDFVL+0 ER+ppp/PtVGzzqkF2GXczB+JJJ0EgZn80xzDtlcFpOSe+Dqd9Q8n3LYdPQi/CZtc hQM1RQXrGUob7e5xsZPHHXG1pxgi5RkN9d4XPqyM8hQCRrf25wzWGhfhUhky9x3E Z36QU2ILtshaWjdqVZPRF883fqJwKLXszFDg4CUrR9oSoD7Daqzvq/4kmmjWpiwX oQ8rzrsAQoBtqSclqOQe9uyIi9hws8rlnd1ZHx3sKLIPVQpeAvg3bnr7msFHQb3r OSDb21el9WOkwMQBI1PgOolVBKyLi1D3zo12MdI46FB0KwiGB/9sdQUlesaxUsEQ J0Qz1IOGhT9EGtYaqXGdxkj/sPDHb40cH4332gWf803PzEaOH8mdqNkVumWnoUrR
12
Wireless mreže Jeftino i masovno Ogroman sigurnosni problem
Autorizacija WPA-PSK Enkripcija TKIP
13
Virtuelne privatne mreže
Teleworker
14
Virtuelne privatne mreže
Fieldworker
15
Virtuelne privatne mreže
Subsidiary
16
VPN: Prednosti i mane Utisak da se radi u jednoj mreži
Komunikacija je kriptovana Automatski ih održavaju mrežni uređaji Teško se konfigurišu Dešava se da administrator gasi sigurnosne mehanizme jedan po jedan, dok VPN ne proradi On-line kriptovanje zahteva resurse Dešava se da administrator oslabi kriptovanje da bi dobio na performansama
17
Scenario napada na mrežu
Footprinting Korišćenje javnih resursa za identifikaciju mreže ciljne organizacije DNS server kao bezbednosni problem Wardialing Prema filmu War Games (1983) Port Scanning Lista IP adresa servera i otvorenih portova Enumeration Određuje se interna namena servera i bira meta
18
Scenario napada na server
Korišćenje bagova operativnog sistema Korišćenje grešaka u konfiguraciji Kod novih operativnih sistema je po default-u (praktično) sve isključeno Najslabije tačke Windows-a NetBIOS / SMB Servisi (UDP 137, TCP 445, 139) SQL Server (TCP 1433, UDP 1434) Terminal Services / Remote Desktop (TCP 3389)
19
Originalna sigurnosna rešenja - par primera -
20
Propusti vašeg softvera
Cilj: ograničiti procesorsko vreme korisnika Na nivou VMS-a proces ograničen na 60 s CPU Korisnik ostane dugo u editoru – izgubi fajl Korisnik proba EDIT / RECOVER, ali to opet potroši 60 sekundi i korisnik opet izgubi fajl Korisnici stalno traže od operatera recover Automatizovati recover? Naprave javnog korisnika recover Korisnik recover ima forsiranu login.com proceduru u kojoj pita korisnika za ime datoteke koju treba oporaviti i onda je oporavi Korisnik recover mora da čita i piše fajlove drugih korisnika, dakle potrebne su mu privilegije
21
Nadigravanje RECOVER /NOCOM Korisnik otkuca puno slova u imenu fajla
Ne izvrši se sistemska login.com procedura, korisnik dobije $ prompt, a ima privilegije Postavljeno da je account recover captive Korisnik otkuca puno slova u imenu fajla Bude prekoračen bafer, greška, $ prompt Tretiraju grešku u login.com proceduri Korisnik edituje neki svoj fajl Tokom editovanja write sys$sysroot:login.com – dobije poruku o greški… Ali korisnik Recover ima pravo da to uradi!
22
Sad ćemo ozbiljno… Program LIMIT kojim korisnik bira odnos prioriteta procesa i procesorskog vremena LIMIT=1 – 3600 CPU sekundi, prioritet 1 LIMIT=5 – 60 CPU sekundi, prioritet 5 Podprocesi LIMIT=5 SPAWN LIMIT=1 LOGOUT
23
Igre bez granica LIMIT odbija da radi ako je startovan u podprocesu
SPAWN povratak u glavni proces, podproces aktivan LIMIT=5 STOP /id=broj_podprocesa
24
Sitni propusti ruše ideju
Sistem u kome samo administrator ima privilegije Operaterima ostavljen ograničeni shell (meni) iz koga pružaju usluge korisnicima Imaju mogućnost da promene lozinku običnom korisniku Kako li radi ta procedura? $run sys$sysroot:[sysexe]authorise modify $user /password=$pass Kad pita za lozinku otkucaš ‘xxx /priv=all’ Izvrši se modify $user /password=xxx /priv=all
25
Problem u drugoj dimenziji
Sistem u kome samo administrator ima privilegije Operaterima ostavljen ograničeni shell (meni) iz koga pružaju usluge korisnicima Podignu sistem sa drugog diska, tako da postoji samo jedan korisnik koji ima privilegije MOUNT-uju standardni sistemski disk kao sekundarni i menja tamo šta želi
26
Zaključak Na bezbednosti se mora stalno raditi
Sistemska bezbednosna rešenja imaju rupe, ali će vaša rešenja imati još više rupa Security by obscurity – loš koncept Stalno proučavanje sistemskih dnevnika Redovan backup podataka Sigurnost košta!
27
Socijalni inženjering
28
Šta je socijalni inženjering
Manipulacija ljudima tako da daju neovlašćenom licu informacije ili urade nešto za njega Ubeđivanje lažnim predstavljanjem Social Engineer – obmanjivač Mogu se koristiti tehnička sredstva (računar, telefon, faks…) ali ne nužno
29
Izjave Samo su dve stvari bezgranične: univerzum i ljudska glupost.
A za univerzum nisam baš siguran. Albert Ajnštajn
30
Neke od tehnika Da vam pomognem? Pomozite mi, molim vas!
Izgradnja poverenja Iluzija sigurnosti Pretexting (izmišljeni scenario) Phishing (“pecanje” informacija) Trojanci i road apple Quad pro quo (neko je tražio support)
31
Najveća pljačka banke Stanley Mark Rifkin – 1978
Security Pacific National Bank, LA Rifkin radio kao konsultant pri projektovanju backup sistema Upoznao mehanizme rada banke Dnevna šifra Službenici je pisali na papiriće Pozvao banku iz govornice i naredio transfer $10,200,000 u Švajcarsku Bez oružja, bez mnogo pripreme
32
Na šta obratiti pažnju Obuka službenika (Ne)poverenje u kolege
Poznavanje kompanijske terminologije ne znači da je u pitanju ovlašćena ličnost Ako neko zna imena važnih ljudi, to još ne znači da ti ljudi poznaju njega! Obrnuto obmanjivanje – službenik naveden da pozove obmanjivača
33
Malo literature Michael O’Dea: Windows Security hack notes
Frank William Abagnale:Catch Me if You Can (knjiga 1980, film 2002) Tsutomu Shimomura & J. Markoff: Takedown the pursuit and capture of Kevin Mitnick, America’s most wanted computer outlow – by the man who did it (1996) Jonathan Littman: The Fugitive Game (1997) Kevin Mitnick: The Art of Deception (2002) Kevin Mitnick: The Art of Intrusion (2005)
34
Hvala!
Similar presentations
© 2025 SlidePlayer.com Inc.
All rights reserved.