Häkkimine ja turvainfo süvatasandid

Autor: Argo Vilberg

Emailide ebaseadusliku RISTKASUTUSE tuvastamise süsteem:

teha gmaili konto argo#anna@gmail.com

1. Kus iganes registreerimisvormis on emaili vaja, siis paned #anna lipu püsti.
Ning pärast kui sulle tuleb suvaliselst kohast email argo#anna@gmail.com.
Siis on teada milline sait sinu emaili välja jagas. Kuigi ei tohtinud seda teha.

2. INTERNET pole anonüümne. SA pead oma sõnade eest täpselt samapalju vastutama, kui reaalses elus.
Kõigil EESTI interneti pakkujatel on kohustus hoida detailselt INTERNETI logi vähemalt 6 kuud.
Kui mingi sitaga hakkama saad, siis 5 minutiga saadakse täpselt teada millise arvuti tagant seda tehti.

3. RAte loogika, inimesed ei tea, et kui sa teed anonüümse konto rate.ee et ilustydruk7,
ning hakkad selle alt sitta keerma, ning kui keegi inimene teeb politseile avalduse,
siis on võimalik inimene tuvastada 5 minutiga.

4. WIFI alade probleem. Avalikud WIFI alad mis on turvamata netitraffikuga.
On võimalik pealt kuulata suvalist traffikut. Tavaline HTTP on kui plain tekst mida
pealt kuulates analüüsides on võimalik kätte saada suvaliste sessioonide passwordid.
GMAILI on võimalik kasutada http kui ka https-ina.
Näide eesti suurim turvakonverents 4 kuud tagasi.
Kõik eksperdid kohal, päeva lõpuks Tõnu Samuel tuli esinema ja viskas poolte osalejate paroolid ekraanile
kõigile näha. Ehk inimesed olid kasutanaud avalikud WIFI alas gmaili kontot tavalise http protkolliga.
trükkides http://gmail.com versus https://gmail.com
Rate.ee – l pole https protokolli ja seoses sellega 100% avalikus wifi alas mis pole krüpteeritud
pealt kuulatav.
WAP kodeering 64 bitine lahtimurtav 2-3 minutiga. 128 bitine u 10 minutit.
WPA-ga läheb kauem aega, kuna toimub sõnaraamatu põhine lahtihäkkimine.
Mida rohkem kasutajaid sees seda kiiremini läheb.

5. Põhimõtteliselt on võimalik anonüümne internetis käimine.
Läbi avalike wifi alade. Samas on võimalik ka oma füüsilise võrgukaardi MAC aadressi võltsimine.
Saadakse küll teada, et on tuldud sellise WIFI IP pealt. Aga kui kaameraid üleval polnud,
siis ei võta mitte midagi kinni.

6. On olemas anonymous DNS-id. Paned anonymous DNS-i peale, kuskil Hiinas asuvad.
Relva ähvardusel ei anna ka oma infot välja. Esiteks seda infot ei hoitagi alles.
Ütlevad, et meil on null aimu, me ei tea kes siit läbi käib, ning maha neid servereid
ka ei suudeta võtta. On üritatud, aga pole õnnestunud. Kus ametlikud seadused ei kehti,
seal pole midagi teha, kui raha on taga, siistehakse ikkagi ära.

7. Kui vähegi mälu meeles peab, siis ärge kasutage igalpool sama parooli.
Kasvõi varieerige parooli, et algusosa on sama ja lõpposa muutub, olenevalt saidist.
Ise väljamõeldud variatsioonidega paroolid.

8. Kui kasutada Gmaili teenused, siis kui gmail on sisse lülitaud selleks ajaks kui surfad.
Siis salvestakse sinu kogu webis surfamise ajalugu. Seda teenust on võimalik aktiveerida,
et saaksid ise vaadata, teavad kõike kus sa käinud oled.
Minul on logi olemas alates 2005 aastast. Ning kui avalikus wifi alas keegi häkker võtab
su parooli rajalt maha, saab kogu sinu otsingute ajaloo järgi kõik sinu kohta teada.
Ma saan ise vaadata viimase 4 aasta kõik otsingud mis mateinud olen.
Google toolbar omab sinu kohta kohutavalt täpselt infot, millega sa täpselt tegeled,
sisuliselt logitakse kogu google webiteensute tegevused detailselt ära, et sulle vajadusel
õiget reklaami pakkuda.
www.google.com/searchhistory?
See on suht vaikimisi aktiveeritud. Aga iseendale nägemiseks saad selle lihtsaltsisse lülitada,
et ise ka seda infot näha.
Kui google konto alt ollakse sisse logitud, siis see logimine töötab automaatselt,
olenemata sellest kas sa oled selle teenuse aktiveerinud või mitte.

9. Rate.ee case.
Sessiooni cookie oli võimalik ära muuta arvuti kõvakettal. Pannes sinna suvalise teise inimese
user ID ja sa tegid refresh ja olidki selle inimese alt sees. Andrei Korobeiniku alt sisse saada
polnud mingi probleem. Häkker läks tema konto alt sisse ja ültes, hallo siin häkker!!

10. JAvascript exploite. On võimlik läbi javascripti kävitada suvaline koodijupp sinu arvutis.
Ehk on tehtud saidid, kus on see javascript exploit peal ja kui brauser selle kävitab.
Siis läbi selle javascripti vea tõmmatakse sinu arvutis suvaline kood käima. Ehk saadakse kohe sulle sisse.

11. Järgimine jama on IE6 ja IE7. Kui vähegi võimalik siis neid üldse vältida.
Kasutada firefoxi, google chrome või safarit. Näiteks alles hiljuti avastati ie viga
kus brauseris pildi renderdamise käigus oli võimalik kliendi arvutis kävitada suvaline sulle vajalik kood.

12. BOTNET VÕRKUDE KIRJELDUS.
Enamus viirusi ei tee mitte muffigi, istuvad sul mälus ja aeg-ajalt tsekkavad ema serverit.
ET kas on tulnud käska aktiveeruda. Istub taustal ei keera sul mitte midagi nässu.
Aeg-ajalt võibolla muteerub. Tema ainuke mõte on selles, et kui tuleb käsk peaserverilt, siis ta aktiveerub.
Kui käsu kätte saab, siis hakkab pommitama seda IP-d. Sinuga ei juhtu midagi, isegi INTERNET-i kiirus ei
vähene märgatavalt. Aga kuna seda teeb korraga umbes 5 miljonit masinat, siis on järsku mingi sait maas.
Saidi omanikule helistatakse, et 200 000 $ sellisele kontole ja paneme saidi jälle püsti tagasi.
Ja nii käibki.

Eesti vastases küberrünnakuses osales 3 botnet võrku kokku poole miljoni arvutiga. Kõik need botnet võrgud
asusid venemaal.

On võimalik välja traceda kust rünnak tuleb, üks USA ärimees võttis selle ette. Ta sai tänu häkkerite abile teada
isegi füüsiliselt kes see inimene on. Aga kuna inimene asus Venemaal, siis karistada seda ei saa.

Ta võitis selle sõja, sest suutis kõik BOTNET-id suunata tagasi.
Tema webikauplus võeti maha ja nõuti 40 000 dollarit.
Ta ei olnud nõus maksma ja läks lõpuni, et asja olemus kätte saada.
Ning nüüd on ta üks USA nõutumaid turvaspetsialiste sellel alal.

13. BOTNET VÕRGU KAITSESTRATEEGIA:

1. Vasturünnak sellele süsteemile on teha kindlaks ema server , kes käske jagab. Kellel poole botnet võrgud
pöörduvad. Ning omakorda selle ema serveri vastu korraldada DDOS rünnak. S.t. sellisel juhul
ei saa botnet võrk enam ümber restruktureerida. Ning sellisel juhul muudad oma webipoe aadressi ära.
Botnet võrk sinu uut IPd ei saa kätte ja ongi süsteemil kaitse olemas.

Selleks, et see emaserveri info kätte saada on vaja see trooja hobune kätte saada, netiliikluse skänner peale
panna, ning trooja tegevus kaardistada. Ning seejärel anda oma vasturünnaku BOTNET võrgule käsk
vastase emaserver maha võtta.

Kõik kahtlased päringud mis tulevad botnet zombi arvutitelt,
kahekordistatakse ja saadetakse ema serverile tagasi

Kõik nad enamasti pingivad, ehk kasutavad interneti pakettide alusprotokolli ICMP.
INTERNET CONTROL MANAGEMENT PROTOCOL.
DDOS attack on põhiasi.

Ta tõmbab kooma tasandi millel serverid ja ruuterid omavahel vahetavad alusinfot, kuidas ruutida
pakette, mis serverid on elus ja kes kus füüsiliselt asub. Ehk see on protokolli kiht,
mis on virtuaalse pakettide maailma ja raua tasandi draiverite vahel.

14. PROTOKOLLIDEST.
Mida vanem ja lihtsam protokoll, seda lihtsam on teda ära kasutada
UDP on lõdvalt maha tõmmatav.
ipv4 on kerge, ipv6 on raskem rajalt maha tõmmata.
ipsec on ka lihtne.

15. TURVALISUSE RAUDREEGEL
RAudreegel, mida populaarsem tarkvara, seda rohekm on tal vigu.
Kui vähegi ajakapatsiteet lubab, siis kasutage firefoxi, safarit, chrome.
IE-s leitakse siiamaani tagauksi ja siiamaani neid ka kasutatakse.
Enamusesl on ju IE tarkvara turvapaigad paigaldamata. Tavakasutaja ei tea neist mummugi.

Image renderdamseil saab panna käima koodi arvutis.
Pildi renderdamisel.

AVAST on kõige parem, vabavaralistest.

90% softist mis õpilaste seas ringi liigub on tõmmatud kuskilt karupersest ja on viirusi täis.
Kräkitud softid.

16.VIIRUSTE VASTANE TURVALINE JA LOLLIKINDEL SÜSTEEM.
3X3 TASANDILINE SÜSTEEM.(mille 4 dimensioon on vaimne)

17. Küberrünnakud eesti vastu.
Kasutati BOT-NET võrke.
3-e bot-net võrku kasutati kokku.

Tehakse honeyBOT.
Kõik päringud sumbuvad mõütetusse lülisse.
Suunatakse kõik musta auku.

HoneyBOT suunajad on ammuilma olemas olnud.
Vähesed teavad neist üldse ja veel vähesemad oskavad neid õieti kasutada.

Kui on süvateadmisd käes, siis piisab põhimõtteliselt ühest inimesest.
AGa kolepalju ligipääse peab olema.

Ligipääs suurtele interneti sõlmpunktidele:
LinxTelekom, Elion, Eesti Energia.

Nimeserveritele juurdepääs, peab oleam võimalus flasshide nimeservereid.

18. PHP ja webiserverite turvalisus.

1. website cross site scripting, sql injection proccessing.
saab tõmmata käima skripti mis füüsiliselt asub minu saidis, aga kävitub tema saidis.
Tema saidi õigustes.
Vastumeede : HTMLENTITYES. Kõik kasutaja poolt sisestatud info varjestad sellega ära.

2. Enamus php turvavigasid galeriis ja otsingus.
Kus saab kasutaja ringi silgata webiserveris nagu omas arvutis.

3. FCKEditor turvaviga viskab ette kogu arvuti kataloogipuu webiserveris.

19. TURVA KAHE SISEVÕRGU VAHEL
Turvalisus kontori ja serveri vahel.
1. Kontori ja serveri vahel paned püsti VPN-i.
2. Kõik ühendused käivad üle https-i.
Kõik. Valmis. Tehtud.
TURVALINE

Muud polegi vaja.
Turvaekspereid on ajanud asjsa nii keeruliseks, et täitsa perses kus nüüd tuleb ehitada ja saagida.

20.
PHP TURVALISEKS TEGEMISE 3 REEGLIT.
1. HTML ENTITIES
2. mysql real escape string. päringute varjestamine.
3. URL escape
(et brauserid kokku ei jookseks kui sul URL-is on näiteks täpitähed)

21. PAROOLIMAJANDUS POSTULAADID:

1. Inimene kasutab tavaliselt sama parooli kõikides kohtades.

2. Paroole hoitakse andmebaasis plain tekstina. DBA-l ligipääse potensiaalselt kõigile kasutajate kontodele.

3. Võimalik teha webisaidile registreerimisvorm ja selle kaudu paroolid kätte saada.
Saidi admin, kasutades inimlikku loogikat suudab inimese identideedi varastada suvalises kohas.

4. MD5 hash-iga kaitsud paroolid andmebaasis on võimalik lahti muukida. MD5 hashi täielik kood on 9 TERABAIT-i suur.

5. RC5 hash on hetkel veel murdmata.

6. Inimlikust lohakusest veebis kättesaadavad password failid.

Viited materjalidele:

http://www.riso.ee/wiki/Riots
http://www.riso.ee/wiki/Riots2
http://www.riso.ee/wiki/Riots3

CERT kokkuvõte:
http://www.ria.ee/public/CERT/CERT_2007_aastakokkuv6te.pdf

Infoturbe_soovituste_juhend_v1.pdf(50 lk)
http://www.ria.ee/public/ISKE/Infoturbe_soovituste_juhend_v1.pdf

Infosüsteemi turvameetmete süsteem(1024 lk)
http://www.ria.ee/public/ISKE/ISKE_rakendusjuhend_4_01_16122008.pdf

http://doubleshotsecurity.com/pdf/NANOG-eesti.pdf

http://www.google.com/search?q=pinguem+estonskie+servera

http://en.wikipedia.org/wiki/Internet_Control_Message_Protocol

http://www.cert.ee/

Artikkel Hillar Aarelaiuga
http://ap3.ee/Default2.aspx?PaperArticle=1&code=3606/uud_uudidx_360605
http://ec.europa.eu/information_society/policy/nis/docs/largescaleattacksdocs/s5_gadi_evron.pdf
http://www.cert.ee/esstonia_nl2.pdf

Küberturbe firma:
http://www.hermitage.ee/

Häkkimise näide:
http://epood.atf.ee
http://epood.atf.ee/index.php?aux_page=../index.php
http://epood.atf.ee/index.php?aux_page=connect.inc.php

Tarmo Randel
http://www.google.ee/search?rlz=1C1GGLS_etEE306EE306&sourceid=chrome&ie=UTF-8&q=tarmo+randel

Fastflux DNS
http://www.icann.org/en/committees/security/sac025.pdf

Küberjulgeoleu strateegia 2008-2013
http://www.kmin.ee/static/sisu/files/kyberjulgeoleku_strateegia_2008-2013.pdf

MAc address change
http://www.nthelp.com/NT6/change_mac_w2k.htm

http://www.cpni.gov.uk/Docs/tn-03-09-security-assessment-TCP.pdf

http://www.gfi.com/nsm/

Hiina küberluurajate paljatamine.
http://infowarmonitor.net/
http://www.infowar-monitor.net/
http://www.nartv.org/mirror/breachingtrust.pdf

Conficker viiruse algtekstid.
http://mtc.sri.com/Conficker/addendumC/index.html
http://mtc.sri.com/
http://arstechnica.com/security/news/2008/12/time-for-forced-updates-conficker-botnet-makes-us-wonder.ars

Be Sociable, Share!
Aigar Säde

Mitu korda vaadatud:
Sõnade arv: 1871

Kõik artiklid sellelt autorilt

Kommentaarid

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga