Congestion control -Congestion control -Congestion control -Congestion control -Congestion control -Congestion control - data communication - Congestion control -Congestion control - Congestion control -Congestion control - Congestion control- Congestion control Congestion control computer networks -Congestion control
Overview of the Domain Name System (DNS).
In the early days of the Internet, hosts had a fixed IP address.
Reaching a host required to know its numeric IP address.
With the growing number of hosts this scheme became quickly awkward and difficult to use.
DNS was introduced to give hosts human readable names that would be translated into a numeric IP addresses on the fly when a requesting host tried to reach another host.
To facilitate a distributed administration of the domain names, a hierarchic scheme was introduced where responsibility to manage domain names is delegated to organizations which can further delegate management of sub-domains.
Due to its importance in the operation of the Internet, domain name servers are usually operated redundantly. The databases of both servers are periodically synchronized.
- The TCP/IP model was created by the Department of Defense to provide reliable networking and data integrity during disasters. It is now the predominant networking model used today.
- The TCP/IP model layers correspond to layers in the OSI model. Key protocols at each TCP/IP layer include IP, TCP, UDP, ARP, and Ethernet at the network/data link layers.
- TCP provides reliable, connection-oriented communications using sequence numbers, acknowledgments, and retransmissions. UDP provides simpler, connectionless delivery without guarantees.
The document discusses data link layer protocols, including LLC, MAC, and Ethernet standards. It describes the functions of the physical layer, data link layer, and logical link control sublayer. It also covers IP addressing schemes like IPv4 addresses, network classes, public vs private addresses, and subnetting. CIDR is introduced as a method to improve address space utilization and routing scalability on the internet.
User Datagram Protocol (UDP) is a connectionless protocol that provides datagram socket services. It is simpler than TCP with less overhead but does not guarantee delivery or order of packets. The Java API provides the DatagramSocket and DatagramPacket classes to send and receive data packets. A MulticastSocket subclass of DatagramSocket allows sending data to multiple recipients by joining them to a multicast group.
This document discusses different networking devices including hubs, switches, routers, bridges, and brouters. It provides information on their functions, design, and operation at both the physical and data link layers of the OSI model. It also discusses IP addresses and their role in identifying devices and enabling communication using the Internet Protocol.
DNS is a distributed database that translates hostnames to IP addresses. It operates through a hierarchy of root servers, top-level domain servers, and authoritative name servers. DNS provides additional services like load balancing and mail server aliasing. Queries are resolved through recursive or iterative lookups between clients and servers to map names to addresses.
Biometrics Authentication Using Raspberry PiIJTET Journal
This document discusses a biometrics authentication system using fingerprint recognition on a Raspberry Pi. It uses a fingerprint reader module connected to a Raspberry Pi. Fingerprint images are captured using a GUI application and converted to binary templates. The templates are stored in a PostgreSQL database. A Python script is used to match fingerprints by comparing templates and identifying matching ridge patterns between fingerprints. The system was able to accurately match fingerprints from the same finger and distinguish fingerprints from different fingers based on the ridge patterns. Future work involves improving the matching accuracy and developing the system for real-time high-end applications.
Congestion control -Congestion control -Congestion control -Congestion control -Congestion control -Congestion control - data communication - Congestion control -Congestion control - Congestion control -Congestion control - Congestion control- Congestion control Congestion control computer networks -Congestion control
Overview of the Domain Name System (DNS).
In the early days of the Internet, hosts had a fixed IP address.
Reaching a host required to know its numeric IP address.
With the growing number of hosts this scheme became quickly awkward and difficult to use.
DNS was introduced to give hosts human readable names that would be translated into a numeric IP addresses on the fly when a requesting host tried to reach another host.
To facilitate a distributed administration of the domain names, a hierarchic scheme was introduced where responsibility to manage domain names is delegated to organizations which can further delegate management of sub-domains.
Due to its importance in the operation of the Internet, domain name servers are usually operated redundantly. The databases of both servers are periodically synchronized.
- The TCP/IP model was created by the Department of Defense to provide reliable networking and data integrity during disasters. It is now the predominant networking model used today.
- The TCP/IP model layers correspond to layers in the OSI model. Key protocols at each TCP/IP layer include IP, TCP, UDP, ARP, and Ethernet at the network/data link layers.
- TCP provides reliable, connection-oriented communications using sequence numbers, acknowledgments, and retransmissions. UDP provides simpler, connectionless delivery without guarantees.
The document discusses data link layer protocols, including LLC, MAC, and Ethernet standards. It describes the functions of the physical layer, data link layer, and logical link control sublayer. It also covers IP addressing schemes like IPv4 addresses, network classes, public vs private addresses, and subnetting. CIDR is introduced as a method to improve address space utilization and routing scalability on the internet.
User Datagram Protocol (UDP) is a connectionless protocol that provides datagram socket services. It is simpler than TCP with less overhead but does not guarantee delivery or order of packets. The Java API provides the DatagramSocket and DatagramPacket classes to send and receive data packets. A MulticastSocket subclass of DatagramSocket allows sending data to multiple recipients by joining them to a multicast group.
This document discusses different networking devices including hubs, switches, routers, bridges, and brouters. It provides information on their functions, design, and operation at both the physical and data link layers of the OSI model. It also discusses IP addresses and their role in identifying devices and enabling communication using the Internet Protocol.
DNS is a distributed database that translates hostnames to IP addresses. It operates through a hierarchy of root servers, top-level domain servers, and authoritative name servers. DNS provides additional services like load balancing and mail server aliasing. Queries are resolved through recursive or iterative lookups between clients and servers to map names to addresses.
Biometrics Authentication Using Raspberry PiIJTET Journal
This document discusses a biometrics authentication system using fingerprint recognition on a Raspberry Pi. It uses a fingerprint reader module connected to a Raspberry Pi. Fingerprint images are captured using a GUI application and converted to binary templates. The templates are stored in a PostgreSQL database. A Python script is used to match fingerprints by comparing templates and identifying matching ridge patterns between fingerprints. The system was able to accurately match fingerprints from the same finger and distinguish fingerprints from different fingers based on the ridge patterns. Future work involves improving the matching accuracy and developing the system for real-time high-end applications.
The application layer allows users to interface with networks through application layer protocols like HTTP, SMTP, POP3, FTP, Telnet, and DHCP. It provides the interface between applications on different ends of a network. Common application layer protocols include DNS for mapping domain names to IP addresses, HTTP for transferring web page data, and SMTP/POP3 for sending and receiving email messages. The client/server and peer-to-peer models describe how requests are made and fulfilled over the application layer.
Data-Intensive Technologies for CloudComputinghuda2018
This document provides an overview of data-intensive computing technologies for cloud computing. It discusses key concepts like data-parallelism and MapReduce architectures. It also summarizes several data-intensive computing systems including Google MapReduce, Hadoop, and LexisNexis HPCC. Hadoop is an open source implementation of MapReduce while HPCC provides distinct processing environments for batch and online query processing using its proprietary ECL programming language.
This document discusses the four layers of the TCP/IP model and how they coordinate with each other. It explains the processes of encapsulation and decapsulation as data moves between layers. Encapsulation involves each layer adding a header to data packets as they move down the stack, while decapsulation is the reverse process of removing headers as packets move up the stack at their destination. Figures and references are provided to illustrate these TCP/IP concepts.
The document discusses Mobile IP, which allows mobile devices to change their point of connection to the internet without changing their IP address. It describes key concepts like the home agent, foreign agent, care-of address, and registration process. Mobile IP addresses issues like triangular routing and proposes optimizations like reverse tunneling to improve efficiency when a mobile node changes locations.
The OSI Network Model is a 7-layer model created by ISO to provide a logical framework for how data communication processes should interact across networks. The 7 layers are physical, data link, network, transport, session, presentation, and application. Each layer has a specific role, with lower layers focusing on actual data transmission and higher layers providing services to users and applications.
DNS allows users to reference computer names via symbolic names like domain names instead of IP addresses. It works by translating these symbolic names to their associated IP addresses. DNS uses a hierarchical and distributed database across interconnected name servers to provide a global directory service for name resolution on the internet.
The document discusses remote administration tools and their uses. Remote administration allows controlling and monitoring networked devices from remote locations. It has evolved beyond simply controlling devices over networks and now provides cost-effective access for remote workers. Remote administration tools can automate tasks, allow remote control and multiple sessions, remotely power devices, and maintain online inventories. Some tools like AndroRAT and Dark Comet are specifically for remote administration on Android and Windows systems, but can also be used maliciously if installed without permission on a target system.
The document discusses networking concepts such as the difference between the internet and a network, internetworking, internet protocols, internet architecture, TCP/IP models, address mapping protocols, dynamic host configuration protocol, and domain name system servers. It provides definitions and explanations of these topics, describing for example that the internet is a global network of interconnected computer networks that uses common protocols like TCP/IP to connect devices, while a network is a set of devices connected locally.
Networking devices like repeaters, hubs, bridges, routers, switches, and gateways are used to connect nodes and networks. Repeaters extend network distance by boosting signals. Hubs connect workstations into a LAN by resending data frames to all ports. Bridges are more intelligent repeaters that examine MAC addresses to form tables. Routers operate at the network layer, can connect similar and dissimilar networks, and determine the shortest route between destinations. Switches form dedicated connections between ports like bridges but have multiple ports. Gateways link all seven layers of the OSI model when networks differ at any layer, primarily handling email protocols.
The document discusses mobile computing and its evolution. It defines mobile computing as using a computer while on the move. It covers related terms like pervasive computing and discusses how mobile computing evolved through phases of portability, miniaturization, connectivity, and the rise of mobile applications. It also discusses key technologies like mobile IP, how it allows devices to change networks while maintaining connections, and ongoing work in areas like security and routing efficiency.
The document provides an overview of protocol architectures and the TCP/IP protocol stack. It discusses how protocol architectures establish rules for exchanging data between systems using layered protocols. The TCP/IP model is then explained in detail through its five layers - physical, network access, internet, transport and application - and core protocols like IP, TCP and UDP. Key differences between IPv4 and IPv6 are also summarized.
This document provides an overview of Active Directory (AD) in Windows Server 2019. It describes what AD is, when and why it is used, and how to configure and manage it. Key components of AD are discussed such as domains, organizational units, group policy, backups. AD services like certificate services, domain services, and federation services are also summarized. The document provides best practices for using group policy and designing the AD structure.
A complete Coverage of DNS and its features. This ppt deals with well balanced practical and theoretical aspects of DNS. The best ppt for a novice learner.
SMTP (Simple Mail Transfer Protocol) is an Internet standard protocol for electronic mail transmission. It was first defined in 1982 and became widely used in the early 1980s as a complement to UUCP mail. SMTP uses a client-server model where the client initiates a connection and sends messages to the server, which then acknowledges receipt. It allows messages to be transferred between machines that are intermittently connected. Common SMTP commands include HELO, MAIL FROM, RCPT TO, DATA, QUIT, and RSET. SMTP can be secured using SSL/TLS to encrypt the communication channel. The latest developments include supporting real-time dynamic content in emails and internationalized email addresses encoded in UTF-8.
This document discusses network architecture and provides details on:
- The four basic types of network topologies: point-to-point, bus, star, and ring.
- The seven layer OSI model and what each layer is responsible for in network communication.
- A comparison between the OSI model and the TCP/IP model, explaining their different approaches to network architecture and protocols.
DHCP is a protocol that dynamically assigns IP addresses and other network configuration parameters to devices on a network. It uses a client-server model where DHCP clients make requests to DHCP servers which maintain pools of addresses. A DHCP client will broadcast requests at initialization and use a 4-step process to get an address assigned. It will later enter renewal states to extend its lease before initialization again if needed. This allows for efficient dynamic allocation and management of IP addresses on a network.
Network Fundamentals: Ch3 - Application Layer Functionality and ProtocolsAbdelkhalik Mosa
This document provides an overview of the application layer of the OSI model. It discusses application layer functions like providing an interface for applications to access the network. It describes application layer protocols like HTTP, FTP, SMTP, and DNS. It also covers topics like client-server and peer-to-peer networking, application layer software, and application layer protocols and port numbers.
The document discusses the Internet Control Message Protocol (ICMP). ICMP provides error reporting, congestion reporting, and first-hop router redirection. It uses IP to carry its data end-to-end and is considered an integral part of IP. ICMP messages are encapsulated in IP datagrams and are used to report errors in IP datagrams, though some errors may still result in datagrams being dropped without a report. ICMP defines various message types including error messages like destination unreachable and informational messages like echo request and reply.
The application layer allows users to interface with networks through application layer protocols like HTTP, SMTP, POP3, FTP, Telnet, and DHCP. It provides the interface between applications on different ends of a network. Common application layer protocols include DNS for mapping domain names to IP addresses, HTTP for transferring web page data, and SMTP/POP3 for sending and receiving email messages. The client/server and peer-to-peer models describe how requests are made and fulfilled over the application layer.
Data-Intensive Technologies for CloudComputinghuda2018
This document provides an overview of data-intensive computing technologies for cloud computing. It discusses key concepts like data-parallelism and MapReduce architectures. It also summarizes several data-intensive computing systems including Google MapReduce, Hadoop, and LexisNexis HPCC. Hadoop is an open source implementation of MapReduce while HPCC provides distinct processing environments for batch and online query processing using its proprietary ECL programming language.
This document discusses the four layers of the TCP/IP model and how they coordinate with each other. It explains the processes of encapsulation and decapsulation as data moves between layers. Encapsulation involves each layer adding a header to data packets as they move down the stack, while decapsulation is the reverse process of removing headers as packets move up the stack at their destination. Figures and references are provided to illustrate these TCP/IP concepts.
The document discusses Mobile IP, which allows mobile devices to change their point of connection to the internet without changing their IP address. It describes key concepts like the home agent, foreign agent, care-of address, and registration process. Mobile IP addresses issues like triangular routing and proposes optimizations like reverse tunneling to improve efficiency when a mobile node changes locations.
The OSI Network Model is a 7-layer model created by ISO to provide a logical framework for how data communication processes should interact across networks. The 7 layers are physical, data link, network, transport, session, presentation, and application. Each layer has a specific role, with lower layers focusing on actual data transmission and higher layers providing services to users and applications.
DNS allows users to reference computer names via symbolic names like domain names instead of IP addresses. It works by translating these symbolic names to their associated IP addresses. DNS uses a hierarchical and distributed database across interconnected name servers to provide a global directory service for name resolution on the internet.
The document discusses remote administration tools and their uses. Remote administration allows controlling and monitoring networked devices from remote locations. It has evolved beyond simply controlling devices over networks and now provides cost-effective access for remote workers. Remote administration tools can automate tasks, allow remote control and multiple sessions, remotely power devices, and maintain online inventories. Some tools like AndroRAT and Dark Comet are specifically for remote administration on Android and Windows systems, but can also be used maliciously if installed without permission on a target system.
The document discusses networking concepts such as the difference between the internet and a network, internetworking, internet protocols, internet architecture, TCP/IP models, address mapping protocols, dynamic host configuration protocol, and domain name system servers. It provides definitions and explanations of these topics, describing for example that the internet is a global network of interconnected computer networks that uses common protocols like TCP/IP to connect devices, while a network is a set of devices connected locally.
Networking devices like repeaters, hubs, bridges, routers, switches, and gateways are used to connect nodes and networks. Repeaters extend network distance by boosting signals. Hubs connect workstations into a LAN by resending data frames to all ports. Bridges are more intelligent repeaters that examine MAC addresses to form tables. Routers operate at the network layer, can connect similar and dissimilar networks, and determine the shortest route between destinations. Switches form dedicated connections between ports like bridges but have multiple ports. Gateways link all seven layers of the OSI model when networks differ at any layer, primarily handling email protocols.
The document discusses mobile computing and its evolution. It defines mobile computing as using a computer while on the move. It covers related terms like pervasive computing and discusses how mobile computing evolved through phases of portability, miniaturization, connectivity, and the rise of mobile applications. It also discusses key technologies like mobile IP, how it allows devices to change networks while maintaining connections, and ongoing work in areas like security and routing efficiency.
The document provides an overview of protocol architectures and the TCP/IP protocol stack. It discusses how protocol architectures establish rules for exchanging data between systems using layered protocols. The TCP/IP model is then explained in detail through its five layers - physical, network access, internet, transport and application - and core protocols like IP, TCP and UDP. Key differences between IPv4 and IPv6 are also summarized.
This document provides an overview of Active Directory (AD) in Windows Server 2019. It describes what AD is, when and why it is used, and how to configure and manage it. Key components of AD are discussed such as domains, organizational units, group policy, backups. AD services like certificate services, domain services, and federation services are also summarized. The document provides best practices for using group policy and designing the AD structure.
A complete Coverage of DNS and its features. This ppt deals with well balanced practical and theoretical aspects of DNS. The best ppt for a novice learner.
SMTP (Simple Mail Transfer Protocol) is an Internet standard protocol for electronic mail transmission. It was first defined in 1982 and became widely used in the early 1980s as a complement to UUCP mail. SMTP uses a client-server model where the client initiates a connection and sends messages to the server, which then acknowledges receipt. It allows messages to be transferred between machines that are intermittently connected. Common SMTP commands include HELO, MAIL FROM, RCPT TO, DATA, QUIT, and RSET. SMTP can be secured using SSL/TLS to encrypt the communication channel. The latest developments include supporting real-time dynamic content in emails and internationalized email addresses encoded in UTF-8.
This document discusses network architecture and provides details on:
- The four basic types of network topologies: point-to-point, bus, star, and ring.
- The seven layer OSI model and what each layer is responsible for in network communication.
- A comparison between the OSI model and the TCP/IP model, explaining their different approaches to network architecture and protocols.
DHCP is a protocol that dynamically assigns IP addresses and other network configuration parameters to devices on a network. It uses a client-server model where DHCP clients make requests to DHCP servers which maintain pools of addresses. A DHCP client will broadcast requests at initialization and use a 4-step process to get an address assigned. It will later enter renewal states to extend its lease before initialization again if needed. This allows for efficient dynamic allocation and management of IP addresses on a network.
Network Fundamentals: Ch3 - Application Layer Functionality and ProtocolsAbdelkhalik Mosa
This document provides an overview of the application layer of the OSI model. It discusses application layer functions like providing an interface for applications to access the network. It describes application layer protocols like HTTP, FTP, SMTP, and DNS. It also covers topics like client-server and peer-to-peer networking, application layer software, and application layer protocols and port numbers.
The document discusses the Internet Control Message Protocol (ICMP). ICMP provides error reporting, congestion reporting, and first-hop router redirection. It uses IP to carry its data end-to-end and is considered an integral part of IP. ICMP messages are encapsulated in IP datagrams and are used to report errors in IP datagrams, though some errors may still result in datagrams being dropped without a report. ICMP defines various message types including error messages like destination unreachable and informational messages like echo request and reply.
3. კიბერ საფრთხეები 3
DoD DHS SANS
1) კიბერ ომი
2) კიბერ ორგანიზებული დანაშაული
3) სამხედრო აღჭურვილობის დაზიანება
4) შეტევა კრიტიკული ინფრასტრუქტურაზე
5) კიბერ შპიონაჟი
4. კიბერ შპიონაჟის მაგალითები 4
2008-2012
1) Stuxnet / FLAME Malware
არაბული სახელმწიფოებიდან სენსიტიური ინფორმაციის მოპარვა
2) ACAD/MEDRE
სამხრეთ ამერიკული სახელმწიფოებიდან AutoCAD-ის არქიტექტურული
პროექტების ხელში ჩაგდება (ასევე აშშ. ჩინეთი. ტაივანი. ესპანეთი)
3) GhostNet
ჩინური კიბერ შპიონაჟი ტიბეტის მთავრობის წინააღმდეგ
4) Operation Shady RAT
ბოლო 5 წლის განმავლობაში 70+ გლობალურ კომპანიაში, ორგანიზაციებში და
რამდენიმე სახელმწიფოში გამიზნული კიბერ შეღწევა, დოკუმენტაციის ხელში
ჩაგდების მიზნით
5) Night Dragon
გლობალურ ნავთობ, ენერგო და ფეტოქიმიურ კორპორაციებში კიბერშპიონაჟი
ვირუსული კოდის გამოყენებით
6. 6
2011 წლის მარტში CERT-GOV-GE აღმოაჩინა ბოტნეტის სამართავი ვებ-სერვერი
ვებსერვერის, ვირუსული ფაილების და სკრიპტების ანალიზის შედეგად დადგინდა:
1. გატეხილია ქართული საინფორმაციო NEWS საიტები.
(მავნე სკრიპტი ჩასმულია მხოლოდ სპეციფიური ინფორმაციის შემცველ გვერდებზე)
1. ასეთი გვერდის გახისნისას კომპიუტერი ინფიცირდება უცნობი ვირუსით
(ვერც ერთი ანტივირუსული პროდუქტი ვერ აიდენტიფიცირებს მას, აღმოჩენის მომენტში)
3. ჩანერგვის შემდეგ ვირუსული ფაილი მთლიანად აკონტროლებს კომპიუტერს
4. ეძებს “სენსიტიურ სიტყვებს” დოკუმენტებში
5. აკეთებს ვიდეო და აუდიო ჩანაწერებს ჩაშენებული ვებ-კამერის მეშვეობით
7. 7
გატეხილი საიტები
www.ema.gov.ge - საწარმოთა მართვის სააგენტო
www.open.ge - ახალი ამბების NEWS ვებ-საიტები
www.opentext.ge
www.presa.ge
www.presage.tv
www.psnews.ge
www.psnews.info
www.resonancedaily.com
www.caucasustimes.com - საინფორმაციო საიტი კავკასიის შესახებ
www.cei.ge – Caucasus Energy and Infrastructure
12. Frame.php 12
Frame.php
იყენებს სხვადასხვა პროგრამულ პროდუქტში არსებულ უცნობ სისუსტეებს
1) Oracle Java ® – ობფუსცირებული jar ფაილი
2) Adobe® Reader – დაშიფრული PDF ფაილი (CERT-UK 2012 JUN)
3) Microsoft® Windows XP, 7 (ActiveX control) - 0-day
CVE-2010-0842 CVE-2006-3730 MS06-057
სამიზნეა ყველა პოპულარული ბრაუზერი (IE, Chrome, Firefox, Opera)
13. ვირუსის ფუნქციები 13
• დოკუმენტებში სენსიტიური სიტყვების ძებნა
• ნებისმიერი ფაილის გაგზავნა დისკიდან - სერვერის მიმართულებით
• სერტიფიკატების მოპარვა
• Remote Desktop Protocol RDP, pbk, VPN კონფიგურაციის ფაილების ძებნა
• Screenshot-ების გადაღება
• აუდიო ჩაწერა მიკროფონით
• ვიდეო ჩაწერა არსებული ვებ-კემერის მეშვეობით
• ქსელში არსებული სხვა კომპიუტერების სკანირება/ინფიცირება
• ნებისმიერი ქსელური აქტივობის განხორციელება დაინფიცირებული
კოპმიუტერიდან (DoS-ში მონაწილეობა)
ყველა ბრძანება ინდივიდუალურად ეგზავნება თითოეულ
დაინფიცირებულ კოპმიუტერს
14. 14
ვირუსული ფაილი სისტემატურად განიცდიდა განახლებებს:
30 მარტი, 2011 – დაემატა სერტიფიკატების მოპარვის ფუნქცია
14 სექტემბერი 2011 – შეიცვალა ინფიცირების მექანიზმი, ახალი Bypassing
მექანიზმი (Antivirus/Firewall/IDS)
25 ნოემბერი 2011 – ვირუსი დაშიფრულია განსხვავებული Crypter-ით.
აინფიცირებს Windows 7-ს.
12 December 2011 – დაემატა ვიდეო მონიტორინგის ფუნქცია,
ასკანერებს და აინფიცირებს ქსელში განთავსებულ სხვა კომპიუტერებს,
შეიცვალა გავრცელების ვექტორი
.
15. ვირუსული აქტივობა 15
Antivirus Clean, Bypasses Windows 7 sp1 patched, with Firewall
As of 25.03.2011, 20.06.2011, 16.01.2012, 25.03.2012
3.1-დან 5.4 ვერსიამდე
calc.exe აკეთებს შემდეგ 3 ქმედებას:
- მთავარი ვირუსული ფაილის გადმოწერამდე ამოწმებს სისტემის დროით
სარტყელს.
UTC+3, UTC+4 Time-zone.
- დადებითი პასუხის შემთხვევაში იწერს მთავარს ვირუსულ ფაილს და
კომუნიკაციას ამყარებს რამდენიმე სამართავ სერვერთან (C&C)
- დაშიფრულად გზავნის დაინფიცირებული კოპმიუტერის IP მისამართს, C
დისკის შიგთავსის სიას და ვინჩესტერის სერიულ ნომერს, სამართავ სერვერზე
16. სამართავი სერვერები 16
Command & Control
2010 წლის აგვისტო - abkhaziaonline.xp3.biz
2010 წლის 13 სექტემბერი - georgiaonline.xp3.biz
2011 წლის 5 თებერვალი - ema.gov.ge (გატეხილი)
2011 წლის 30 მარტი - 178.32.91.70 (საფრანგეთი OVH Hosting)
2011 წლის 6 ინვისი - 88.198.240.123 (გერმანია, DME Hosting)
2011 წლის 17 ივლისი - 88.198.238.55 (გერმანია, DME Hosting)
2011 წლის 26 ნოემბერი 94.199.48.104 (უნგრეთი, Net23.hu)
2011 წლის 29 ნოემბერი 173.212.192.83 (აშშ, DME Hosting)
2011 წლის 2 დეკემბერი 31.31.75.63 (ჩეხეთი, Wedos Hosting)
2011 წლის 25 დეკემბერი 31.214.140.214 (გერმანია, Exetel)
2012 წლის 14 მარტი 78.46.145.24 (გერმანია, DME Hosting)
18. 18
თუ ვერ ხერხდება სამართავ სერვერებთან დაკავშირება
ვირუსული ფაილი კითხულობს პირველ ხაზს (IP მისამართს)
გატეხილი ქართული სახელმწიფო საიტიდან http://ema.gov.ge
19. 19
ვირუსის განახლების ახალი მეთოდი
ვირუსის ახალი ვერსია იწერება როგორც base64 ენკოდირებული ტექსტი
ერთდროულად სხვადასხვა სამართავი სერვერიდან
ნაწილებად და შემდგომ ერთდება მთლიან ფაილად
25. Botnet 25
ვებ-პანელების მიხედვით დაინფიცირებულია 390 კომპიუტერი
80% - საქართველო
5% - აშშ
5% - უკრაინა
4% - კანადა, საფრანგეთი
3% - გერმანია
3% - რუსეთი
სხვა ქვეყნების IP მისამართები:
სავარაუდო ვიზიტორები ან დაინფიცირებული კომპიუტერის ქვეყნიდან გასვლა
26. Botnet 26
დაინფიცირებული ქართული კომპიუტერების უმრავლესობა
ეკუთვნის ქართულ სახელმწიფო სტრუქტურებს და კრიტიკული
ინფორმაციული ინფსრასტრუქტურის ორგანიზაციებს
ასევე რამდენიმე შემთხვევაში დაინფიცირებული იყო საბანკო
სექტორის, არასამთავრობო ორგანიზაციების, კერძო კომპანიის
კომპიუტერები
29. განსაკუთრებული მახასიათებლები 29
1) სენსიტიური დოკუმენტების ძებნა pdf, word, xls, txt, rtf, ppt
დოკუმენტების შიგთავსში.
2) ვებკამერიდან ვიდეოს ჩაწერა: skype ზარის დროს, live streaming
თვალყური
3) C&C Web Panel-იდან ვირუსული კოდის მოდიფიცირება
4) კერძო შექმნილი Packer, Crypter Assembler-ზე (evading A/V)
TDSS Rootkit-ის ზოგიერთი მახასიათებელი
5) განახლების მექანიზმი, Base-encoded plaintext, ერთდორულად
ნაწილების გადმოწერა სხვადასხვა C&C სერვერიდან. (evading IPS/IDS)
6) ქსელური კომუნიკაცია network socket ring0 level (evading firewall)
30. გატარებული ღონისძიებები 30
დაგროვილ ინფორმაციაზე დაყრდნობით შემუშავდა
ინციდენტზე რეაგირების გეგმა
1) შსს-სთან კოორდინირებული ქმედებებით, მოხერხდა
დაინფიცირების წყაროების გადაკეტვა:
აღმოჩენისთანავე იბლოკებოდა 6 C&C სერვერის IP მისამართები
ქვეყნის ძირითადი პროვაიდერების დონეზე (Fast Response)
2) ვირუსული ფაილის ღრმა ანალიზის შედეგად შემუშავდა
განეიტრალებისთვის საჭირო ტექნიკური მექანიზმები და
გადაეგზავნა დაინფიცირებულ უწყებებს
3) თანამშრომლობა სხვადასხვა Antivirus, IDS/IPS მწარმოებელ
კომპანიებთან, დაცვის საშუალებების შესამუშავებლად
(Microsoft, Symantec, Eset, Snort, Cisco, სხვადასხვა Blacklists, Blocklists)
31. გატარებული ღონისძიებები 31
4) თანამშრომლობა
US-CERT, Govermental-CERT-Germany, CERT-Ukraine, CERT-Polska, Microsoft
Cybersecurity Division
5) კონტაქტი ISP, Hosting Provider - Abuse Teams
С&С სერვერების გასათიშად და ელექტრონული სამხილების ამოსაღებად
(log files, system images) შემდგომი Cyber-Forensic ანალიზისათვის
6) სამართალდამცავი უწყებების ქმედებები გლობალურ დონეზე
FBI – Federal Bureau of Investigation
US Department of Homeland Security
United States Secret Service
32. 32
Cyber Counter-Intelligence
კიბერ შემტევების იდენტიფიცირება
Cyber CounterIntelligence –
are measures to identify, penetrate, or neutralize foreign operations that use cyber
means as the primary tradecraft methodology, as well as foreign intelligence service
collection efforts that use traditional methods to gauge cyber capabilities and
intentions
DoD – Cyber CounterIntellignece
34. 34
Cyber Counter-Intelligence
CERT-GOV-GE მოიპოვა სრული წვდომა Command & Controll
სერვერებზე, გაშიფრა კომუნიკაციის მექანიზმები და
გააანალიზა ვირუსული ფაილები
მიღებული ინფორმაციის საფუძველზე მოხერხდა შემტევი
პიროვნებების და ორგანიზაციების იდენტიფიკაცია
აღნიშნულ ინციდენტში, კიდევ ერთხელ გამოიკვეთა რუსი ჰაკერების
და სახელმწიფო ორგანიზაციების კვალი
35. 35
Cyber Counter-Intelligence
3 მთავარი ფაქტი, რომელიც მიუთითებს რუსულ ორგანიზაციებზე
Warynews.ru – კავშირი სამართავ სერვერთან კონფიგურაციის ფაილების მისაღებად sukimato.bin –
IP და DNS servers მისამართები Russian Business Network. (Linked with Russian Ministry of Defense in 2008 by US
Cyber Consequences Unit, Grey Goose) შეყვანილია სხვადასხვა Blacklist-ებში
194.186.36.167 - www.rbc.ru – ჩაწერილია პირდარპირ ვირუსულ ფაილში
კომუნიკაცია მყარდება თუ მიუწვდომელია სხვა სამართავი ვებ-სერვერები (C&C) Рос Бизнес Консалтинг
Legalcrf.in – იგზავნება SPAM ელექტრონული ფოსტა admin@President.gov.ge - სახელით
გაფორმებულია გაურკვეველ პიროვნებაზე, აღმოჩნდა ინდურ WHOIS სერვისის ჩანაწერში
Person - Artur Jafuniaev
Address: Lubianka 13, Moscow
40. 40
Lubianka 13
Лубянка, 13, Москва - Департамент тыла МВД России
- организация развития и обеспечения систем связи, совершенствования
информационно-телекоммуникационных технологий и технической защиты информации;
41. 41
დეზინფორმაცია რუსულ წყაროებში
ESET რეპორტზე დაყრდნობით
2011 წლის იანვარი - ESET Security - Report GEORBOT (cert-ის დახმარებით)
რუსული საინფორმაციო საშუალებები აღნიშნავენ რომ
ბოტნეტის კონტროლი ხდება ქართული სამთავრობო საიტიდან
არაფერია ნათქვამი 6 რეალურ Command & Control სერვერზე
42. 42
კიბერ-შემტევის იდენტიფიცირება
1) აღნიშნული ვირუსით დავაინფიცირეთ საკუთარი სატესტო კომპიუტერი
2) შეიქმნა დოკუმენტის არქივი ცრუ სახელწოდებით „საქართველო-ნატოს
შეთანხმება 2011“
3) არქივს მიება შემტევის შექმნილი ვირუსული ფაილი
4) კიბერ-შემტევმა მოიპარა -გადაწერა ცრუ „სენსიტიური“ დოკუმენტი
5) შედეგად იგი თავად დაინფიცირდა საკუთარი ვირუსული ფაილით
(10-15 წუთის განმავლობაში)
CERT ჯგუფმა მოიპოვა წვდომა სამართავ პანელზე
შედეგად შესაძლებელი გახდა შემტევის კოპმიუტერის სრული კონტროლი
43. 43
Cyber Counter-Intelligence
კიბერ შემტევის კომპიუტერის მართვის შედეგად მოვიპოვეთ:
ვიდეო მისი ვებ კამერიდან
ეკრანის Screenshot-ები
თუ როგორ ამატებს ახალ ფუნქციებს ვირუსულ ფაილში
მიმოწერა ფორუმებზე შიფრაციის მექანიზმების შესახებ WASM, OllyDebugger
დოკუმენტი რუსულ ენაზე, სადაც დეტალურად არის მითითებული ინსტრუქციები
თუ როგორ ხდება აღნიშნული ვირუსის გამოყენება
შემტევი დაკავშირებულია რამდენიმე რუს და გერმანელ ჰაკერთან.
ინფორმაცია მისი რეალური IP-ის, პროვაიდერის, სხვადასხვა Email, ფორუმ-ის user-ის,
მობილური კომპანიის, ავტომობილის შესახებ.
მისი ძმა -Ментор по Кибер-Безопасности, Санкт-Петербург
51. 51
პრეზენტაცია წარდგენილ იქნა შემდეგ საერთაშორისო კონფერენციებზე
1) SSECI 2012 (Safety, Security and Efficiency of Critical Infrastructures)
Prague, Czech Republic 30 may – 01 June 2012.
(with support of ONRG – Office of Naval Research Global)
2) Symposium on Cyber Incidents and Critical Infrastructure Protection
Tallinn, Estonia 18-19 June 2012
3) NATO – Science for Peace and Security (SPS) -
METU - Middle East Technical University
Georgian Cyber Cases for Afghan IT Specialists
Ankara, Turkey 21 May - 01 Jun 2012
52. საქართველოს იუსტიციის სამინისტრო
მონაცემთა გაცვლის სააგენტო
CERT-GOV-GE
თბილისი, საქართველო 0102
წმ. ნიკოლოზის/ნ. ჩხეიძის ქ. N2
Phone: +995 (32) 2 91 51 40
E-mail: certteam@dea.gov.ge
52