Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Sikkerhet – hvordan ser en hacket maskin ut? Elisabeth Høidal Strøm.

PublisertKarsten Helgesen Endret for 9 år siden

Liknende presentasjoner

Presentasjon om: "© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Sikkerhet – hvordan ser en hacket maskin ut? Elisabeth Høidal Strøm."— Utskrift av presentasjonen:

1 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Sikkerhet – hvordan ser en hacket maskin ut? Elisabeth Høidal Strøm USIT:SAS:OS (PCadm) elisabhs@usit.uio.no

2 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 2 Innhold Hvem eller hva angriper? Hva vil hackeren oppnå? Typer angrep, hva utnytter de? Hva gjøres og hvilke verktøy brukes? Hva bør man gjøre hvis en mistenker maskinen sin for å være hacket? Hva ser vi etter sentralt?

3 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 3 Hvem eller hva angriper? Virus, ormer, trojanere Scriptkiddies eller crackere (Tidligere) ansatte

4 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 4 Hva vil hackeren oppnå? Systemressurser - diskplass og rask nett til å dele ut warez. Utgangspunkt for nye angrep Ære og berømmelse i kriminellt miljø Økonomisk vinning Politikk Forskningsresultater Hevn

5 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 5 Crackere/scriptkiddies: Scanner gjerne hele nett kontinuerlig etter sikkerhetshull, åpne porter IIS, MS SQL spesielt utsatt Scanneverktøy: -nmap -superscan

6 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 6 Typer angrep. Virus, ormer, trojanere Automatiserte angrep via: -mail (ekle attachments) -webbrowsere (javascript) -kazaa (ekstra kode i mp3-filer) Kommer gjerne etter at sikkerhetshull oppdages og maskiner som ikke patches blir sårbare

7 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 7 Typer angrep, hva utnytter de? Sikkerhetshull i OS og programvare, eksempler: -utnytter dårlig beskyttede webservere -utnytter dårlig kode (feks cgi) til å gi med ekstra kode -defaultbrukere med default passord for MS SQL og IIS. Passordsniffing: -lytte på trafikk mellom to maskiner (eks ukryptert telnettrafikk) -tastatursniffer på allerede hacket maskin

8 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 8 FBI/SANS top 10 liste windows(www.sans.org/top20)www.sans.org/top20 W1 Internet Information Services (IIS) W2 Microsoft Data Access Components (MDAC) -- Remote Data Services W3 Microsoft SQL Server W4 NETBIOS -- Unprotected Windows Networking Shares W5 Anonymous Logon -- Null Sessions W6 LAN Manager Authentication -- Weak LM Hashing W7 General Windows Authentication -- Accounts with No Passwords or Weak PasswordsW7 General Windows Authentication -- Accounts with No Passwords or Weak Passwords W8 Internet Explorer W9 Remote Registry Access W10 Windows Scripting Host

9 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 9 Hva installeres på en hacket maskin? Rootkit – ferdige pakker med scripts og verktøy Remote admin (radadmin, back orifice, ol) ftp-server (serv-U-ftp, raiden-ftp, ol) Irc-klient (med irc-bot, kan være istedet for ftp) passordsniffere (fakegina, pwdump, pwdump3, pwservice) Pstools (psexec, pskill, pslist, psloggedon, psinfo) Div snacks (netcat, findpdc, tlist, freespace, sc, sfind) Vil gjerne forsøke å skjule seg ved å gi verktøyene sine legitme navn Disabler antivirus

10 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 10 Hvor ”gjemmes” filene? C:\recycler\com1\(a\) C:\recycler\s-1-5.....\ C:\system volume information\ C:\winnt\system32\obskurt_navn\

11 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 11 Hvis man mistenker maskinen sin for å være hacket? Kontakte cert@usit.uio.no Ikke gjøre endringer på systemet Vurdere om maskinen bør slås av eller tas av nett Opprette lokal bruker med adminrettigheter Legg merke til timestamp på mapper Lete i registry etter run-nøkler Kikke i win.ini og boot.ini

12 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 12 Sjekke logger Eventlog IIS SQL Apache

13 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 13 Verktøy til hjelp Tcpview Filemon Regmon Fport Net start Netstat Tlist Alltid bruke egne versjoner av programmer selv om de ligger på systemet fra før. www.sysinternals.com har mye fintwww.sysinternals.com

14 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 14 Hva gjør vi sentralt? Daily - maskinene sett fra innsiden -kjører på w2k og xp i domenet -leter etter mistenkelig oppførsel (filer, porter, prosesser, servicer, osv) -patcher nt4 og w2k til siste service pack, -leverer logger til sentral server -daglig mailrapport til pcadm

15 © UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 15 Hva gjør vi sentralt? Scanorama – maskinene sett fra utsiden -portscanner uio-nettet, tcp og udp -bannergrabbing etter tjenester, os, mm -bruker nmap, head, dig -lagres i postgreSQL database

Laste ned ppt "© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Sikkerhet – hvordan ser en hacket maskin ut? Elisabeth Høidal Strøm."

Liknende presentasjoner

Nedlasting av apper på Apple

Nedlasting av apper på Apple
Avhengigheter og installering

Avhengigheter og installering
v/Tormod Engebu, IKAVA KDRS 13. november 2013

v/Tormod Engebu, IKAVA KDRS 13. november 2013
Design av sikre web-applikasjoner

Design av sikre web-applikasjoner
SuperOffice - Visma Global ERP link - Tilbud/Ordre SuperOffice - Visma Global integrasjonen består av 3 produkter. ERP link SuperOffice - Visma Global.

SuperOffice - Visma Global ERP link - Tilbud/Ordre SuperOffice - Visma Global integrasjonen består av 3 produkter. ERP link SuperOffice - Visma Global.
Webprogrammering (LO113A) 1 Kom i gang med PHP. Webprogrammering (LO113A) 2 Mål  Installere Apache og PHP  Konfigurasjon av Apache og PHP  Forstå samspillet.

Webprogrammering (LO113A) 1 Kom i gang med PHP. Webprogrammering (LO113A) 2 Mål  Installere Apache og PHP  Konfigurasjon av Apache og PHP  Forstå samspillet.
DaTaTing Hva er internett? •Verdensomspennende nettverk av nettverk. •I likhet med mennesker, kan ikke datamaskiner kommunisere med hverandre gjennom et.

DaTaTing Hva er internett? •Verdensomspennende nettverk av nettverk. •I likhet med mennesker, kan ikke datamaskiner kommunisere med hverandre gjennom et.
Kapittel 6 Data Backup Service. Tradisjonell arkitektur •Mange klienter •En server (evt. et cluster) •Klientene tar backup m jevne mellomrom •Inkrementell.

Kapittel 6 Data Backup Service. Tradisjonell arkitektur •Mange klienter •En server (evt. et cluster) •Klientene tar backup m jevne mellomrom •Inkrementell.
Lynkursdagene 2011 Webdrive Tilgang til UiO-disker utenfor UiO-nettet Mads Lomholt usit/sas/lipk.

Lynkursdagene 2011 Webdrive Tilgang til UiO-disker utenfor UiO-nettet Mads Lomholt usit/sas/lipk.
Eksterne sikkerhetsproblemer og trusler Med fokus på Windows nettverk.

Eksterne sikkerhetsproblemer og trusler Med fokus på Windows nettverk.
Lynkursdagene høsten 2011 Ansvar for egen PC ved UiO Hva bør jeg som bruker vite og gjøre..?

Lynkursdagene høsten 2011 Ansvar for egen PC ved UiO Hva bør jeg som bruker vite og gjøre..?
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 HOUSTON We have a problem.

© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 HOUSTON We have a problem.
Case Fiskeribedriften Tapir.

Case Fiskeribedriften Tapir.
Microsoft Office2010 ved UiO Fellesmøte IT-ansvarlige januar 2011.

Microsoft Office2010 ved UiO Fellesmøte IT-ansvarlige januar 2011.
Smart bruk av Vortex til møter, samhandling/samarbeid mm

Smart bruk av Vortex til møter, samhandling/samarbeid mm
D ATASIKKERHET For foreldre med barn og unge som bruker datamaskin og internett - Hvilke trusler står vi ovenfor, og hvordan kan vi avverge disse?

D ATASIKKERHET For foreldre med barn og unge som bruker datamaskin og internett - Hvilke trusler står vi ovenfor, og hvordan kan vi avverge disse?
UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGISide 1 USIT Drift av UNIX-maskiner ved UiO Ståle Askerød Johansen Gruppe for Basis Systemdrift.

UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGISide 1 USIT Drift av UNIX-maskiner ved UiO Ståle Askerød Johansen Gruppe for Basis Systemdrift.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Lasso ved UiO Erlend Garåsen, USIT 2003.

© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Lasso ved UiO Erlend Garåsen, USIT 2003.
© Lars-Erik Kindblad.  Et platformuavhengig verktøy for å automatisere build prosesser.  Støttes og drives av Apache Software Foundation.  Kommer ferdig.

© Lars-Erik Kindblad.  Et platformuavhengig verktøy for å automatisere build prosesser.  Støttes og drives av Apache Software Foundation.  Kommer ferdig.
Aksess kontroll None shall pass.

Aksess kontroll None shall pass.

Liknende presentasjoner

Annonser fra Google