Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Bezpecnost webovych technologii

1,320 views

Published on

Published in: Technology, Self Improvement
  • Be the first to comment

  • Be the first to like this

Bezpecnost webovych technologii

  1. 1. Marek Fu čila Michal Zima 2008
  2. 2. Obsah <ul><li>DoS a DDoS </li></ul><ul><li>Cookies </li></ul><ul><li>CAPTCHA </li></ul><ul><li>Phishing </li></ul><ul><li>Keylogger </li></ul><ul><li>Skimming </li></ul><ul><li>Znám i hackeri </li></ul>
  3. 3. DoS a DDoS <ul><li>(D istributed ) D enial-of- S ervice attack </li></ul><ul><li>Útok zahltením cieľovej stránky alebo služby </li></ul><ul><li>Zámer je znefunkčniť alebo dočasne odstaviť cieľ </li></ul><ul><ul><li>Nedostupnosť častí stránok </li></ul></ul><ul><ul><li>Nemožnosť pripojenia k stránkam </li></ul></ul><ul><ul><li>Spomalenie komunikácie používateľa so stránkou alebo službou </li></ul></ul><ul><ul><li>Extrémny nárast spamu </li></ul></ul>
  4. 4. Typy DoS útokov <ul><li>ICMP floods </li></ul><ul><ul><li>Smurf attack – zneužitie broadcastu a ICMP echo </li></ul></ul><ul><ul><ul><li>Cicco: no ip directed-broadcast </li></ul></ul></ul><ul><ul><li>Ping-flood - &quot;ping -t&quot; </li></ul></ul><ul><ul><li>SYN-flood - TCP/SYN z falošnej IP, TCP/SYN-ACK nepríde </li></ul></ul><ul><li>Teardrop útok - chybne spracované fragmenty paketov </li></ul><ul><li>Peer-to-peer útok - zneužitie P2P klienta </li></ul><ul><li>Nukes – poškodené ICMP pakety a chyba v NetBIOSe </li></ul>
  5. 5. Obrana pred DoS útokmi <ul><li>SYN-cookies </li></ul><ul><ul><li>k zdrojom serveru sa pristupuje až po overení adresy </li></ul></ul><ul><ul><li>Implementované v Linuxoch aj Solarise </li></ul></ul><ul><li>Firewall </li></ul><ul><ul><li>Blokovanie IP </li></ul></ul><ul><li>Intrusion-prevention system </li></ul><ul><ul><li>ak je útok čitateľný, dá sa neskôr filtrovať </li></ul></ul>
  6. 6. Najväčšie DoS útoky <ul><li>Register.com </li></ul><ul><li>Írske Ministerstvo Financií - útok z univerzity </li></ul><ul><li>DNS Backbone EEoS útok, ktorý zahltil 9 z 13 koreňových serverov </li></ul><ul><li>10 000 herných servrov Return to Castle Wolfenstein, Halo a Counter-Strike napadnutých z tisícov počítačov z Ruska, Uzbekistanu a Bieloruska skupinou RUS </li></ul><ul><li>Gruzínske vládne servre a server Národnej banky napadnuté skupinou Russian Business Network </li></ul><ul><li>viraL napadol 10gbps DDoS útokom fórum 4chan a odstavil ho na dva týždne, neskôr napadol sociálnu sieť Digg a IRC GameSurge </li></ul>
  7. 7. <ul><li>Kúsky dát, ktoré si webserver prostredníctvom prehliadača ukladá v počítači a vracia nezmenené na požiadanie servra. </li></ul><ul><li>Zaznamenávanie stavu: </li></ul><ul><ul><li>nastavenie stránky, </li></ul></ul><ul><ul><li>história stránok, </li></ul></ul><ul><ul><li>obsahu nákupného košíka, </li></ul></ul><ul><ul><li>login a podobne. </li></ul></ul>Cookies
  8. 8. <ul><li>Cookies su len dáta, nie programový kód. </li></ul><ul><li>Jeden server si môže uložiť len obmedzený počet cookies: </li></ul><ul><ul><li>Mozilla Firefox ich obmedzuje na 50, </li></ul></ul><ul><ul><li>Opera 30, </li></ul></ul><ul><ul><li>Internet Explorer 50 - predtým 20. </li></ul></ul><ul><li>Jedna cookie môže mať 4kB, v IE toto obmedzenie platí na celú doménu. </li></ul>Cookies
  9. 9. <ul><li>Persistent cookie </li></ul><ul><ul><li>Cookie musí mať definovaný dátum,kedy bude automaticky zmazaná. </li></ul></ul><ul><li>Session cookie </li></ul><ul><ul><li>Ak server dátum nedefinuje, cookie je zmazaná bezprostredne po zatvorení prehliadača. </li></ul></ul>Cookies
  10. 10. <ul><li>Cookies tretej strany – reklamn ý server </li></ul><ul><ul><li>ciel enie reklam y podľa zvyklostí konkrétneho používateľa </li></ul></ul><ul><li>EU obmedzuje používanie cookies len so súhlasom, alebo ak je to z technických príčin nutné. </li></ul><ul><li>N a Slovensku nariadenie z r.2002 nebolo zatiaľ implementované do zákona. </li></ul><ul><li>V minulosti boli CIA a NSA podozrievané zo zneužívania cookies </li></ul>Cookies a súkromie
  11. 11. <ul><li>Cookie hijacking </li></ul><ul><ul><li>Odpočúvaním ukradnutá cookie </li></ul></ul><ul><li>Cookie poisoning </li></ul><ul><ul><li>Zneužitie starej /upravenej cookie </li></ul></ul><ul><li>Cross site cooking </li></ul><ul><ul><li>Dierou v prehliada či je možné prepísať cudziu cookie </li></ul></ul>Zneužitie c ookies
  12. 12. CAPTCHA <ul><li>C ompletely  A utomated  P ublic  T uring test to tell  C omputers and  H umans  A part </li></ul><ul><li>Väčšinou videné pri registrovaní sa na stránky </li></ul><ul><li>Bezpečnostný prvok </li></ul><ul><li>Implementované roku 1997 na  AltaVista  Andrei Broder om </li></ul>
  13. 13. <ul><li>Rôzne úrovne </li></ul>
  14. 14. Prelomenie CAPTCHA <ul><li>Google používa CAPTCHA na vytváranie účtov </li></ul><ul><li>Vytváranie mailových účtov na spam vďaka prelomeniu CAPTCHA na googli </li></ul><ul><li>20% pokusov na vytvorenie pomocou bota je vďaka tomuto úspešných </li></ul>
  15. 15. Phishing <ul><li>Vylákanie citlivých informácií pomocou sociálneho inžinierstva </li></ul><ul><li>Kópie dôveryhodných internetových stránok a emailov </li></ul><ul><li>Citlivé informácie obeť do tejto kópie sama zadá </li></ul>
  16. 16. <ul><li>Malá ochrana niektorých stránok </li></ul><ul><li>Presmerovanie </li></ul><ul><li>http:// www. aaaaaaa .sk /cgi-bin/web/app/redir.jsp?url=http:// hackerstranka .com </li></ul><ul><li>Jedna banka používala tento princíp donedávna (už nefunguje) </li></ul>
  17. 17. Key logger <ul><li>Škodlivé programy </li></ul><ul><li>Zhromažďujú informácie o prístupoch </li></ul><ul><li>Odosielajú tieto informácie tvorcovi programu </li></ul><ul><li>Bankové a mailové účty, veľa iných hesiel </li></ul>
  18. 18. Skimming <ul><li>Fyzické kopírovanie kreditnej (alebo debetnej) karty do špeciálneho zariadenia </li></ul><ul><li>Využíva sociálne inžinierstvo (falošné fasády bankomatu) </li></ul>
  19. 19. <ul><li>Oveľa efektívnejšie ako fyzické odcudzenie karty </li></ul><ul><li>Obeť na únik peňazí príde až po pár dňoch </li></ul><ul><li>Čipové karty sú bezpečnejšie </li></ul><ul><ul><li>Drahšie a väčšie čítacie zariadenia </li></ul></ul><ul><ul><li>Drahšia duplikácia </li></ul></ul><ul><ul><li>Zariadenie je menej nápadné </li></ul></ul>
  20. 20. <ul><li>Thomasz Grygoruk (Nový Zéland) nedávno odsúdený za skimming </li></ul><ul><li>Získal 300 000 USD (preukázane), ale viac ako 2,8 milióna sa mu prisudzuje </li></ul><ul><li>Odmena 3 roky väzenia </li></ul>
  21. 21. Kevin Mitnick <ul><li>Hackovanie dopravného systému </li></ul><ul><li>Telefónne systémy (Motorola, NEC, Nokia....) </li></ul><ul><li>Čítal e-maily bezpečnostných pracovníkov z MCI a Digital </li></ul><ul><li>Využíval sociálne inžinierstvo </li></ul><ul><li>Dolapili ho až po spolupráci s Tsutomu Shimomura , japonským expertom na bezpečnosť, neskôr to opísal v knihe </li></ul>
  22. 23. Jonathan James <ul><li>Prvý hacker ktorý bol zato uväznený (ako 16 ročný) </li></ul><ul><li>Crackol NASA počítače, skopíroval software za 1,7 milióna USD </li></ul><ul><li>Nainštaloval zadné dvierka do DTRA (časť ministerstva obrany USA) </li></ul><ul><li>Odsedel si 6 mesiacov, dospelý by sedel viac ako 10 rokov </li></ul><ul><li>Tiež White Hat Hacker </li></ul>
  23. 24. Priestor pre o tázky
  24. 25. Ďakujem za pozornosť

×