Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Sikkerhet – hvordan ser en hacket maskin ut? Elisabeth Høidal Strøm.

Liknende presentasjoner


Presentasjon om: "© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Sikkerhet – hvordan ser en hacket maskin ut? Elisabeth Høidal Strøm."— Utskrift av presentasjonen:

1 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Sikkerhet – hvordan ser en hacket maskin ut? Elisabeth Høidal Strøm USIT:SAS:OS (PCadm)

2 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 2 Innhold Hvem eller hva angriper? Hva vil hackeren oppnå? Typer angrep, hva utnytter de? Hva gjøres og hvilke verktøy brukes? Hva bør man gjøre hvis en mistenker maskinen sin for å være hacket? Hva ser vi etter sentralt?

3 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 3 Hvem eller hva angriper? Virus, ormer, trojanere Scriptkiddies eller crackere (Tidligere) ansatte

4 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 4 Hva vil hackeren oppnå? Systemressurser - diskplass og rask nett til å dele ut warez. Utgangspunkt for nye angrep Ære og berømmelse i kriminellt miljø Økonomisk vinning Politikk Forskningsresultater Hevn

5 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 5 Crackere/scriptkiddies: Scanner gjerne hele nett kontinuerlig etter sikkerhetshull, åpne porter IIS, MS SQL spesielt utsatt Scanneverktøy: -nmap -superscan

6 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 6 Typer angrep. Virus, ormer, trojanere Automatiserte angrep via: -mail (ekle attachments) -webbrowsere (javascript) -kazaa (ekstra kode i mp3-filer) Kommer gjerne etter at sikkerhetshull oppdages og maskiner som ikke patches blir sårbare

7 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 7 Typer angrep, hva utnytter de? Sikkerhetshull i OS og programvare, eksempler: -utnytter dårlig beskyttede webservere -utnytter dårlig kode (feks cgi) til å gi med ekstra kode -defaultbrukere med default passord for MS SQL og IIS. Passordsniffing: -lytte på trafikk mellom to maskiner (eks ukryptert telnettrafikk) -tastatursniffer på allerede hacket maskin

8 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 8 FBI/SANS top 10 liste windows(www.sans.org/top20)www.sans.org/top20 W1 Internet Information Services (IIS) W2 Microsoft Data Access Components (MDAC) -- Remote Data Services W3 Microsoft SQL Server W4 NETBIOS -- Unprotected Windows Networking Shares W5 Anonymous Logon -- Null Sessions W6 LAN Manager Authentication -- Weak LM Hashing W7 General Windows Authentication -- Accounts with No Passwords or Weak PasswordsW7 General Windows Authentication -- Accounts with No Passwords or Weak Passwords W8 Internet Explorer W9 Remote Registry Access W10 Windows Scripting Host

9 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 9 Hva installeres på en hacket maskin? Rootkit – ferdige pakker med scripts og verktøy Remote admin (radadmin, back orifice, ol) ftp-server (serv-U-ftp, raiden-ftp, ol) Irc-klient (med irc-bot, kan være istedet for ftp) passordsniffere (fakegina, pwdump, pwdump3, pwservice) Pstools (psexec, pskill, pslist, psloggedon, psinfo) Div snacks (netcat, findpdc, tlist, freespace, sc, sfind) Vil gjerne forsøke å skjule seg ved å gi verktøyene sine legitme navn Disabler antivirus

10 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 10 Hvor ”gjemmes” filene? C:\recycler\com1\(a\) C:\recycler\s \ C:\system volume information\ C:\winnt\system32\obskurt_navn\

11 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 11 Hvis man mistenker maskinen sin for å være hacket? Kontakte Ikke gjøre endringer på systemet Vurdere om maskinen bør slås av eller tas av nett Opprette lokal bruker med adminrettigheter Legg merke til timestamp på mapper Lete i registry etter run-nøkler Kikke i win.ini og boot.ini

12 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 12 Sjekke logger Eventlog IIS SQL Apache

13 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 13 Verktøy til hjelp Tcpview Filemon Regmon Fport Net start Netstat Tlist Alltid bruke egne versjoner av programmer selv om de ligger på systemet fra før. har mye fintwww.sysinternals.com

14 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 14 Hva gjør vi sentralt? Daily - maskinene sett fra innsiden -kjører på w2k og xp i domenet -leter etter mistenkelig oppførsel (filer, porter, prosesser, servicer, osv) -patcher nt4 og w2k til siste service pack, -leverer logger til sentral server -daglig mailrapport til pcadm

15 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 15 Hva gjør vi sentralt? Scanorama – maskinene sett fra utsiden -portscanner uio-nettet, tcp og udp -bannergrabbing etter tjenester, os, mm -bruker nmap, head, dig -lagres i postgreSQL database


Laste ned ppt "© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Sikkerhet – hvordan ser en hacket maskin ut? Elisabeth Høidal Strøm."

Liknende presentasjoner


Annonser fra Google