Presentation is loading. Please wait.

Presentation is loading. Please wait.

Dejan Ristanović PC Press

Published byJuliet Ryan Modified over 6 years ago

Similar presentations

Presentation on theme: "Dejan Ristanović PC Press"— Presentation transcript:

1 Dejan Ristanović PC Press dejanr@pcpress.co.yu
Bezbednost u IT svetu Dejan Ristanović PC Press

2 Računar je mreža – svet je mreža

3 Mit o sigurnom sistemu Bezbednost nije problem koji se može rešiti…
… bezbednost je proces koji se konstantno razvija Potpuno siguran sistem na postoji Tehnologija sama za sebe ne može da obezbedi sigurnost Najslabija tačka svakog bezbednosnog sistema je čovek

4 Tehnički aspekti

5 Šta treba zaštititi? Zaštita na više nivoa Na nivou protokola
Na nivou servisa Na nivou aplikacije Na nivou operativnog sistema

6 Na nivou protokola Paketni filteri na ruteru
Blokiranje kompletnog saobraćaja Paketi prolaze ruter samo sa tačno navedenih adresa, na navedene adrese i to za tačno navedene servise access-list 100 deny ip any log access-list 100 deny icmp any any redirect log access-list 100 permit icmp any host access-list 100 permit tcp any any established access-list 100 permit tcp any host eq www access-list 100 permit tcp any host eq ident access-list 100 permit tcp any host eq smtp access-list 100 permit udp any host eq domain access-list 100 permit tcp any host eq domain access-list 100 deny ip any any log

7 Proksi ili translacija adresa
Radne stanica u mreži komuniciraju preko Proxy servera Onemogućena direktna komunikacija sa radnim stanicama unutar mreže Omogućeno korišćenje sigurnosnih mehanizama Proxy software-a Korišćenje privatnih IP adresa za sve radne stanice Javne IP adrese imaju samo Proxy server/Internet server i ruter

8 Koncept privatnih adresa
Privatne adrese Javne adrese Proxy Ruter Filtriranje saobraćaja

9 Zaštita na nivou servisa
Svaka serverska aplikacija koja čeka konekciju za odgređeni servis (SMTP, HTTP) ima svoj sistem zaštite Prihvata konekcije samo sa određenih adresa Sistem autentikacije Definisanje prava pristupa (read, write, exec...) Pravi log korišćenja Wrapper aplikacije čekaju konekciju, proveravaju ko je sa “druge strane” i tek onda startuju serversku aplikaciju

10 Zaštita na nivou aplikacije
Osnova zaštite je interni višekorisnički sistem Svaki korisnik ima svoje korisničko ime i lozinku Za svakog korisnika su definisana prava pristupa

11 Kriptovanje podataka Na nivou protokola Na nivou servisa
Na nivou aplikacije qANQR1DBwU4D/xtpxytzBAMQCADdiUINDyK8NOfKq/7V3/PTaNeaqiMxKEDFVL+0 ER+ppp/PtVGzzqkF2GXczB+JJJ0EgZn80xzDtlcFpOSe+Dqd9Q8n3LYdPQi/CZtc hQM1RQXrGUob7e5xsZPHHXG1pxgi5RkN9d4XPqyM8hQCRrf25wzWGhfhUhky9x3E Z36QU2ILtshaWjdqVZPRF883fqJwKLXszFDg4CUrR9oSoD7Daqzvq/4kmmjWpiwX oQ8rzrsAQoBtqSclqOQe9uyIi9hws8rlnd1ZHx3sKLIPVQpeAvg3bnr7msFHQb3r OSDb21el9WOkwMQBI1PgOolVBKyLi1D3zo12MdI46FB0KwiGB/9sdQUlesaxUsEQ J0Qz1IOGhT9EGtYaqXGdxkj/sPDHb40cH4332gWf803PzEaOH8mdqNkVumWnoUrR

12 Wireless mreže Jeftino i masovno Ogroman sigurnosni problem
Autorizacija WPA-PSK Enkripcija TKIP

13 Virtuelne privatne mreže
Teleworker

14 Virtuelne privatne mreže
Fieldworker

15 Virtuelne privatne mreže
Subsidiary

16 VPN: Prednosti i mane Utisak da se radi u jednoj mreži
Komunikacija je kriptovana Automatski ih održavaju mrežni uređaji Teško se konfigurišu Dešava se da administrator gasi sigurnosne mehanizme jedan po jedan, dok VPN ne proradi On-line kriptovanje zahteva resurse Dešava se da administrator oslabi kriptovanje da bi dobio na performansama

17 Scenario napada na mrežu
Footprinting Korišćenje javnih resursa za identifikaciju mreže ciljne organizacije DNS server kao bezbednosni problem Wardialing Prema filmu War Games (1983) Port Scanning Lista IP adresa servera i otvorenih portova Enumeration Određuje se interna namena servera i bira meta

18 Scenario napada na server
Korišćenje bagova operativnog sistema Korišćenje grešaka u konfiguraciji Kod novih operativnih sistema je po default-u (praktično) sve isključeno Najslabije tačke Windows-a NetBIOS / SMB Servisi (UDP 137, TCP 445, 139) SQL Server (TCP 1433, UDP 1434) Terminal Services / Remote Desktop (TCP 3389)

19 Originalna sigurnosna rešenja - par primera -

20 Propusti vašeg softvera
Cilj: ograničiti procesorsko vreme korisnika Na nivou VMS-a proces ograničen na 60 s CPU Korisnik ostane dugo u editoru – izgubi fajl Korisnik proba EDIT / RECOVER, ali to opet potroši 60 sekundi i korisnik opet izgubi fajl Korisnici stalno traže od operatera recover Automatizovati recover? Naprave javnog korisnika recover Korisnik recover ima forsiranu login.com proceduru u kojoj pita korisnika za ime datoteke koju treba oporaviti i onda je oporavi Korisnik recover mora da čita i piše fajlove drugih korisnika, dakle potrebne su mu privilegije

21 Nadigravanje RECOVER /NOCOM Korisnik otkuca puno slova u imenu fajla
Ne izvrši se sistemska login.com procedura, korisnik dobije $ prompt, a ima privilegije Postavljeno da je account recover captive Korisnik otkuca puno slova u imenu fajla Bude prekoračen bafer, greška, $ prompt Tretiraju grešku u login.com proceduri Korisnik edituje neki svoj fajl Tokom editovanja write sys$sysroot:login.com – dobije poruku o greški… Ali korisnik Recover ima pravo da to uradi!

22 Sad ćemo ozbiljno… Program LIMIT kojim korisnik bira odnos prioriteta procesa i procesorskog vremena LIMIT=1 – 3600 CPU sekundi, prioritet 1 LIMIT=5 – 60 CPU sekundi, prioritet 5 Podprocesi LIMIT=5 SPAWN LIMIT=1 LOGOUT

23 Igre bez granica LIMIT odbija da radi ako je startovan u podprocesu
SPAWN povratak u glavni proces, podproces aktivan LIMIT=5 STOP /id=broj_podprocesa

24 Sitni propusti ruše ideju
Sistem u kome samo administrator ima privilegije Operaterima ostavljen ograničeni shell (meni) iz koga pružaju usluge korisnicima Imaju mogućnost da promene lozinku običnom korisniku Kako li radi ta procedura? $run sys$sysroot:[sysexe]authorise modify $user /password=$pass Kad pita za lozinku otkucaš ‘xxx /priv=all’ Izvrši se modify $user /password=xxx /priv=all

25 Problem u drugoj dimenziji
Sistem u kome samo administrator ima privilegije Operaterima ostavljen ograničeni shell (meni) iz koga pružaju usluge korisnicima Podignu sistem sa drugog diska, tako da postoji samo jedan korisnik koji ima privilegije MOUNT-uju standardni sistemski disk kao sekundarni i menja tamo šta želi

26 Zaključak Na bezbednosti se mora stalno raditi
Sistemska bezbednosna rešenja imaju rupe, ali će vaša rešenja imati još više rupa Security by obscurity – loš koncept Stalno proučavanje sistemskih dnevnika Redovan backup podataka Sigurnost košta!

27 Socijalni inženjering

28 Šta je socijalni inženjering
Manipulacija ljudima tako da daju neovlašćenom licu informacije ili urade nešto za njega Ubeđivanje lažnim predstavljanjem Social Engineer – obmanjivač Mogu se koristiti tehnička sredstva (računar, telefon, faks…) ali ne nužno

29 Izjave Samo su dve stvari bezgranične: univerzum i ljudska glupost.
A za univerzum nisam baš siguran. Albert Ajnštajn

30 Neke od tehnika Da vam pomognem? Pomozite mi, molim vas!
Izgradnja poverenja Iluzija sigurnosti Pretexting (izmišljeni scenario) Phishing (“pecanje” informacija) Trojanci i road apple Quad pro quo (neko je tražio support)

31 Najveća pljačka banke Stanley Mark Rifkin – 1978
Security Pacific National Bank, LA Rifkin radio kao konsultant pri projektovanju backup sistema Upoznao mehanizme rada banke Dnevna šifra Službenici je pisali na papiriće Pozvao banku iz govornice i naredio transfer $10,200,000 u Švajcarsku Bez oružja, bez mnogo pripreme

32 Na šta obratiti pažnju Obuka službenika (Ne)poverenje u kolege
Poznavanje kompanijske terminologije ne znači da je u pitanju ovlašćena ličnost Ako neko zna imena važnih ljudi, to još ne znači da ti ljudi poznaju njega! Obrnuto obmanjivanje – službenik naveden da pozove obmanjivača

33 Malo literature Michael O’Dea: Windows Security hack notes
Frank William Abagnale:Catch Me if You Can (knjiga 1980, film 2002) Tsutomu Shimomura & J. Markoff: Takedown the pursuit and capture of Kevin Mitnick, America’s most wanted computer outlow – by the man who did it (1996) Jonathan Littman: The Fugitive Game (1997) Kevin Mitnick: The Art of Deception (2002) Kevin Mitnick: The Art of Intrusion (2005)

34 Hvala!

Download ppt "Dejan Ristanović PC Press"

Similar presentations

Ma.

Ma.
El Alfabeto Con Vocabulario

El Alfabeto Con Vocabulario
Click on each of us to hear our sounds.

Click on each of us to hear our sounds.
Las Vocales En Espanol.

Las Vocales En Espanol.
Japanese Writing Systems Part 1: HIRAGANA (HEE-RAH-GAH-NAH)

Japanese Writing Systems Part 1: HIRAGANA (HEE-RAH-GAH-NAH)
HIRAGANA by number of strokes Images from:

HIRAGANA by number of strokes Images from:
Prof: doc.dr. Samir Lemeš student: Samir Hrnjić. System restore je komponenta Microsoftovih operativnih sistema Windows Serveri ne podržavaju opciju System.

Prof: doc.dr. Samir Lemeš student: Samir Hrnjić. System restore je komponenta Microsoftovih operativnih sistema Windows Serveri ne podržavaju opciju System.
PHONICS Repeat each sound. Blend the sounds. Read each word.

PHONICS Repeat each sound. Blend the sounds. Read each word.
ma mu mi mo me pe pi pa pu po si sa so.

ma mu mi mo me pe pi pa pu po si sa so.
Javni Oblak Uloga SaaS WEB servisa Ljubomir Ivaniš CPU d.o.o.

Javni Oblak Uloga SaaS WEB servisa Ljubomir Ivaniš CPU d.o.o.
Sílabas con m,p,s tema 2. pe so ma si mu se.

Sílabas con m,p,s tema 2. pe so ma si mu se.
MA. ME MI MO MU MÁ MÉ MÍ MÓ MŮ LA LE LI.

MA. ME MI MO MU MÁ MÉ MÍ MÓ MŮ LA LE LI.
Predavanje br. 7 Formiranje GIS-a II Relacione klase.

Predavanje br. 7 Formiranje GIS-a II Relacione klase.
Provisioning Windowsa 10 na IoT, mobilnim i desktop uređajima

Provisioning Windowsa 10 na IoT, mobilnim i desktop uređajima
Programi zasnovani na prozorima

Programi zasnovani na prozorima
v.as.mr. Samir Lemeš Univerzitet u Zenici

v.as.mr. Samir Lemeš Univerzitet u Zenici
Software Defined DC powered by Cisco

Software Defined DC powered by Cisco
Operativni sistemi.

Operativni sistemi.
Algoritmi raspoređivanja

Algoritmi raspoređivanja
Mrežni protokoli.

Mrežni protokoli.

Similar presentations

Ads by Google