Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Sikkerhet – er maskinen min hacket? (litt om verktøy og hvordan maskinen.

Liknende presentasjoner


Presentasjon om: "© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Sikkerhet – er maskinen min hacket? (litt om verktøy og hvordan maskinen."— Utskrift av presentasjonen:

1 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Sikkerhet – er maskinen min hacket? (litt om verktøy og hvordan maskinen ser ut) Elisabeth Høidal Strøm USIT:SAS:OS (PCadm) elisabhs@usit.uio.no

2 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 2 Innhold Hvem eller hva angriper? Typer angrep, hva utnytter de? Hva gjøres og hvilke verktøy brukes? Hva bør man gjøre hvis en mistenker maskinen sin for å være hacket? Verktøy

3 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 3 Hvem eller hva angriper? Virus, ormer, trojanere Scriptkiddies eller crackere (Tidligere) ansatte

4 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 4 Crackere/scriptkiddies: Scanner gjerne hele nett kontinuerlig etter sikkerhetshull, åpne porter IIS, MS SQL spesielt utsatt Scanneverktøy: -nmap -superscan

5 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 5 Typer angrep. Virus, ormer, trojanere Automatiserte angrep via: -mail (ekle attachments) -webbrowsere (javascript) -kazaa (ekstra kode i mp3-filer) Kommer gjerne etter at sikkerhetshull oppdages og maskiner som ikke patches blir sårbare (f eks. DCOM ms03-026 og ms03-039)

6 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 6 Typer angrep, hva utnytter de? Sikkerhetshull i OS og programvare, eksempler: -utnytter dårlig beskyttede webservere -utnytter dårlig kode (feks cgi) til å gi med ekstra kode -defaultbrukere med default passord for MS SQL og IIS. Passordsniffing: -lytte på trafikk mellom to maskiner (eks ukryptert telnettrafikk) -tastatursniffer på allerede hacket maskin

7 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 7 Hva installeres på en hacket maskin? (utvalg av ting vi har funnet) Rootkit – ferdige pakker med scripts og verktøy Remote admin (radadmin, back orifice, ol) ftp-server (serv-U-ftp, raiden-ftp, ol) Irc-klient (med irc-bot, kan være istedet for ftp) passordsniffere (fakegina, pwdump, pwdump3, pwservice) Pstools (psexec, pskill, pslist, psloggedon, psinfo) Div snacks (netcat, findpdc, tlist, freespace, sc, sfind) Vil gjerne forsøke å skjule seg ved å gi verktøyene sine legitme navn Disabler antivirus

8 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 8 Hvor ”gjemmes” filene? C:\recycler\com1\(a\) C:\recycler\s-1-5.....\ C:\system volume information\ C:\winnt\system32\obskurt_navn\

9 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 9 Hvis man mistenker maskinen sin for å være hacket? Kontakte cert@usit.uio.no Ikke gjøre endringer på systemet Vurdere om maskinen bør slås av eller tas av nett Opprette lokal bruker med adminrettigheter Legg merke til timestamp på mapper Lete i registry etter run-nøkler Kikke i win.ini og boot.ini

10 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 10 Sjekke logger Eventlog IIS SQL Apache

11 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 11 Verktøy til hjelp Tcpview Filemon Regmon Fport Net start Netstat Tlist Alltid bruke egne versjoner av programmer selv om de ligger på systemet fra før. www.sysinternals.com har mye fintwww.sysinternals.com

12 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 12 Verktøy til hjelp for patching Windows update – kjøres via domenepolicy Office update – må kjøres manuelt Hfnetchk – sjekke patchestatus (evt. Patche) Languard – viser mye av det samme i et GUI som vi plukker i daily, kan patche opptil 50(?) maskiner

13 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 13 Linker: www.dshield.org www.sysinternals.com www.usit.uio.no/it/pc/usit-daily (ikke helt oppdatert ennå for siste versjon…) www.securityfocus.com www.ntsecurity.nu


Laste ned ppt "© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Sikkerhet – er maskinen min hacket? (litt om verktøy og hvordan maskinen."

Liknende presentasjoner


Annonser fra Google