Marek Fu čila Michal Zima 2008
Obsah <ul><li>DoS a  DDoS </li></ul><ul><li>Cookies </li></ul><ul><li>CAPTCHA </li></ul><ul><li>Phishing   </li></ul><ul><...
DoS a  DDoS  <ul><li>(D istributed )   D enial-of- S ervice attack </li></ul><ul><li>Útok zahltením cieľovej stránky alebo...
Typy DoS útokov <ul><li>ICMP floods  </li></ul><ul><ul><li>Smurf attack  – zneužitie broadcastu a ICMP echo </li></ul></ul...
Obrana  pred DoS útokmi <ul><li>SYN-cookies  </li></ul><ul><ul><li>k zdrojom serveru sa pristupuje až po overení adresy </...
Najväčšie DoS útoky <ul><li>Register.com </li></ul><ul><li>Írske Ministerstvo Financií - útok z univerzity </li></ul><ul><...
<ul><li>Kúsky dát, ktoré si webserver prostredníctvom prehliadača ukladá v počítači a vracia nezmenené na požiadanie servr...
<ul><li>Cookies su len dáta, nie programový kód. </li></ul><ul><li>Jeden server si môže uložiť len obmedzený počet cookies...
<ul><li>Persistent cookie  </li></ul><ul><ul><li>Cookie musí mať definovaný dátum,kedy bude automaticky zmazaná.  </li></u...
<ul><li>Cookies tretej strany – reklamn ý server </li></ul><ul><ul><li>ciel enie  reklam y  podľa zvyklostí konkrétneho po...
<ul><li>Cookie hijacking </li></ul><ul><ul><li>Odpočúvaním ukradnutá cookie </li></ul></ul><ul><li>Cookie poisoning </li><...
CAPTCHA  <ul><li>C ompletely  A utomated  P ublic  T uring test to tell  C omputers and  H umans  A part </li></ul><ul><li...
<ul><li>Rôzne úrovne </li></ul>
Prelomenie  CAPTCHA <ul><li>Google používa  CAPTCHA  na vytváranie účtov </li></ul><ul><li>Vytváranie mailových účtov na s...
Phishing <ul><li>Vylákanie citlivých informácií pomocou sociálneho inžinierstva </li></ul><ul><li>Kópie dôveryhodných inte...
<ul><li>Malá ochrana niektorých stránok </li></ul><ul><li>Presmerovanie  </li></ul><ul><li>http:// www. aaaaaaa .sk /cgi-b...
Key logger <ul><li>Škodlivé programy </li></ul><ul><li>Zhromažďujú informácie o prístupoch </li></ul><ul><li>Odosielajú ti...
Skimming <ul><li>Fyzické kopírovanie kreditnej (alebo debetnej) karty do špeciálneho zariadenia </li></ul><ul><li>Využíva ...
<ul><li>Oveľa efektívnejšie ako fyzické odcudzenie karty </li></ul><ul><li>Obeť na únik peňazí príde až po pár dňoch </li>...
<ul><li>Thomasz Grygoruk  (Nový Zéland) nedávno odsúdený za skimming </li></ul><ul><li>Získal 300 000 USD (preukázane), al...
Kevin Mitnick  <ul><li>Hackovanie dopravného systému </li></ul><ul><li>Telefónne systémy (Motorola, NEC, Nokia....) </li><...
 
Jonathan James <ul><li>Prvý hacker ktorý bol zato uväznený (ako 16 ročný) </li></ul><ul><li>Crackol NASA počítače, skopíro...
Priestor pre o tázky
Ďakujem za pozornosť
Upcoming SlideShare
Loading in …5
×

Bezpecnost webovych technologii

1,270 views
1,210 views

Published on

Published in: Technology, Self Improvement
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,270
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Bezpecnost webovych technologii

  1. 1. Marek Fu čila Michal Zima 2008
  2. 2. Obsah <ul><li>DoS a DDoS </li></ul><ul><li>Cookies </li></ul><ul><li>CAPTCHA </li></ul><ul><li>Phishing </li></ul><ul><li>Keylogger </li></ul><ul><li>Skimming </li></ul><ul><li>Znám i hackeri </li></ul>
  3. 3. DoS a DDoS <ul><li>(D istributed ) D enial-of- S ervice attack </li></ul><ul><li>Útok zahltením cieľovej stránky alebo služby </li></ul><ul><li>Zámer je znefunkčniť alebo dočasne odstaviť cieľ </li></ul><ul><ul><li>Nedostupnosť častí stránok </li></ul></ul><ul><ul><li>Nemožnosť pripojenia k stránkam </li></ul></ul><ul><ul><li>Spomalenie komunikácie používateľa so stránkou alebo službou </li></ul></ul><ul><ul><li>Extrémny nárast spamu </li></ul></ul>
  4. 4. Typy DoS útokov <ul><li>ICMP floods </li></ul><ul><ul><li>Smurf attack – zneužitie broadcastu a ICMP echo </li></ul></ul><ul><ul><ul><li>Cicco: no ip directed-broadcast </li></ul></ul></ul><ul><ul><li>Ping-flood - &quot;ping -t&quot; </li></ul></ul><ul><ul><li>SYN-flood - TCP/SYN z falošnej IP, TCP/SYN-ACK nepríde </li></ul></ul><ul><li>Teardrop útok - chybne spracované fragmenty paketov </li></ul><ul><li>Peer-to-peer útok - zneužitie P2P klienta </li></ul><ul><li>Nukes – poškodené ICMP pakety a chyba v NetBIOSe </li></ul>
  5. 5. Obrana pred DoS útokmi <ul><li>SYN-cookies </li></ul><ul><ul><li>k zdrojom serveru sa pristupuje až po overení adresy </li></ul></ul><ul><ul><li>Implementované v Linuxoch aj Solarise </li></ul></ul><ul><li>Firewall </li></ul><ul><ul><li>Blokovanie IP </li></ul></ul><ul><li>Intrusion-prevention system </li></ul><ul><ul><li>ak je útok čitateľný, dá sa neskôr filtrovať </li></ul></ul>
  6. 6. Najväčšie DoS útoky <ul><li>Register.com </li></ul><ul><li>Írske Ministerstvo Financií - útok z univerzity </li></ul><ul><li>DNS Backbone EEoS útok, ktorý zahltil 9 z 13 koreňových serverov </li></ul><ul><li>10 000 herných servrov Return to Castle Wolfenstein, Halo a Counter-Strike napadnutých z tisícov počítačov z Ruska, Uzbekistanu a Bieloruska skupinou RUS </li></ul><ul><li>Gruzínske vládne servre a server Národnej banky napadnuté skupinou Russian Business Network </li></ul><ul><li>viraL napadol 10gbps DDoS útokom fórum 4chan a odstavil ho na dva týždne, neskôr napadol sociálnu sieť Digg a IRC GameSurge </li></ul>
  7. 7. <ul><li>Kúsky dát, ktoré si webserver prostredníctvom prehliadača ukladá v počítači a vracia nezmenené na požiadanie servra. </li></ul><ul><li>Zaznamenávanie stavu: </li></ul><ul><ul><li>nastavenie stránky, </li></ul></ul><ul><ul><li>história stránok, </li></ul></ul><ul><ul><li>obsahu nákupného košíka, </li></ul></ul><ul><ul><li>login a podobne. </li></ul></ul>Cookies
  8. 8. <ul><li>Cookies su len dáta, nie programový kód. </li></ul><ul><li>Jeden server si môže uložiť len obmedzený počet cookies: </li></ul><ul><ul><li>Mozilla Firefox ich obmedzuje na 50, </li></ul></ul><ul><ul><li>Opera 30, </li></ul></ul><ul><ul><li>Internet Explorer 50 - predtým 20. </li></ul></ul><ul><li>Jedna cookie môže mať 4kB, v IE toto obmedzenie platí na celú doménu. </li></ul>Cookies
  9. 9. <ul><li>Persistent cookie </li></ul><ul><ul><li>Cookie musí mať definovaný dátum,kedy bude automaticky zmazaná. </li></ul></ul><ul><li>Session cookie </li></ul><ul><ul><li>Ak server dátum nedefinuje, cookie je zmazaná bezprostredne po zatvorení prehliadača. </li></ul></ul>Cookies
  10. 10. <ul><li>Cookies tretej strany – reklamn ý server </li></ul><ul><ul><li>ciel enie reklam y podľa zvyklostí konkrétneho používateľa </li></ul></ul><ul><li>EU obmedzuje používanie cookies len so súhlasom, alebo ak je to z technických príčin nutné. </li></ul><ul><li>N a Slovensku nariadenie z r.2002 nebolo zatiaľ implementované do zákona. </li></ul><ul><li>V minulosti boli CIA a NSA podozrievané zo zneužívania cookies </li></ul>Cookies a súkromie
  11. 11. <ul><li>Cookie hijacking </li></ul><ul><ul><li>Odpočúvaním ukradnutá cookie </li></ul></ul><ul><li>Cookie poisoning </li></ul><ul><ul><li>Zneužitie starej /upravenej cookie </li></ul></ul><ul><li>Cross site cooking </li></ul><ul><ul><li>Dierou v prehliada či je možné prepísať cudziu cookie </li></ul></ul>Zneužitie c ookies
  12. 12. CAPTCHA <ul><li>C ompletely  A utomated  P ublic  T uring test to tell  C omputers and  H umans  A part </li></ul><ul><li>Väčšinou videné pri registrovaní sa na stránky </li></ul><ul><li>Bezpečnostný prvok </li></ul><ul><li>Implementované roku 1997 na  AltaVista  Andrei Broder om </li></ul>
  13. 13. <ul><li>Rôzne úrovne </li></ul>
  14. 14. Prelomenie CAPTCHA <ul><li>Google používa CAPTCHA na vytváranie účtov </li></ul><ul><li>Vytváranie mailových účtov na spam vďaka prelomeniu CAPTCHA na googli </li></ul><ul><li>20% pokusov na vytvorenie pomocou bota je vďaka tomuto úspešných </li></ul>
  15. 15. Phishing <ul><li>Vylákanie citlivých informácií pomocou sociálneho inžinierstva </li></ul><ul><li>Kópie dôveryhodných internetových stránok a emailov </li></ul><ul><li>Citlivé informácie obeť do tejto kópie sama zadá </li></ul>
  16. 16. <ul><li>Malá ochrana niektorých stránok </li></ul><ul><li>Presmerovanie </li></ul><ul><li>http:// www. aaaaaaa .sk /cgi-bin/web/app/redir.jsp?url=http:// hackerstranka .com </li></ul><ul><li>Jedna banka používala tento princíp donedávna (už nefunguje) </li></ul>
  17. 17. Key logger <ul><li>Škodlivé programy </li></ul><ul><li>Zhromažďujú informácie o prístupoch </li></ul><ul><li>Odosielajú tieto informácie tvorcovi programu </li></ul><ul><li>Bankové a mailové účty, veľa iných hesiel </li></ul>
  18. 18. Skimming <ul><li>Fyzické kopírovanie kreditnej (alebo debetnej) karty do špeciálneho zariadenia </li></ul><ul><li>Využíva sociálne inžinierstvo (falošné fasády bankomatu) </li></ul>
  19. 19. <ul><li>Oveľa efektívnejšie ako fyzické odcudzenie karty </li></ul><ul><li>Obeť na únik peňazí príde až po pár dňoch </li></ul><ul><li>Čipové karty sú bezpečnejšie </li></ul><ul><ul><li>Drahšie a väčšie čítacie zariadenia </li></ul></ul><ul><ul><li>Drahšia duplikácia </li></ul></ul><ul><ul><li>Zariadenie je menej nápadné </li></ul></ul>
  20. 20. <ul><li>Thomasz Grygoruk (Nový Zéland) nedávno odsúdený za skimming </li></ul><ul><li>Získal 300 000 USD (preukázane), ale viac ako 2,8 milióna sa mu prisudzuje </li></ul><ul><li>Odmena 3 roky väzenia </li></ul>
  21. 21. Kevin Mitnick <ul><li>Hackovanie dopravného systému </li></ul><ul><li>Telefónne systémy (Motorola, NEC, Nokia....) </li></ul><ul><li>Čítal e-maily bezpečnostných pracovníkov z MCI a Digital </li></ul><ul><li>Využíval sociálne inžinierstvo </li></ul><ul><li>Dolapili ho až po spolupráci s Tsutomu Shimomura , japonským expertom na bezpečnosť, neskôr to opísal v knihe </li></ul>
  22. 23. Jonathan James <ul><li>Prvý hacker ktorý bol zato uväznený (ako 16 ročný) </li></ul><ul><li>Crackol NASA počítače, skopíroval software za 1,7 milióna USD </li></ul><ul><li>Nainštaloval zadné dvierka do DTRA (časť ministerstva obrany USA) </li></ul><ul><li>Odsedel si 6 mesiacov, dospelý by sedel viac ako 10 rokov </li></ul><ul><li>Tiež White Hat Hacker </li></ul>
  23. 24. Priestor pre o tázky
  24. 25. Ďakujem za pozornosť

×