Sikkerhet og Hacking. Samling 1 - Introduksjon. Tom Heine Nätt

Transkript

1 Sikkerhet og Hacking Samling 1 - Introduksjon Tom Heine Nätt

2 Dagens temaer Informasjon om kurset Hva, hvordan, hvem, hvorfor: Hacking Noen teaser eksempler på teknikker/neste forelesninger

3 Informasjon om kurset

4 Praktisk Motivasjonsfag 5(/6) samlinger av 4(-6) timer... 4 prosjekter 2 skriftlige 2 praktiske Grupper: 2 til 3 personer (Til nød 1 ) En 2 timers (individuell) eksamen Krav om oppmøte på mandagssamlingene Dere må ta egne notater! 5 stp bestått/ikke bestått

5 Praktisk Kurssiden: Viktig med deltakelse Send meg linker, innspill osv! Snille linker og diskusjoner kan også postes på Facebook-siden

6 Hvorfor lære dette? Ideen er å «utdanne» dere til skeptiske IT-personell... ikke hackere... Klare å se ukjente trussler Se datasikkerhet fra den «andre» siden

7 NB! Tenk før dere tester ting... Følg IT-Drifts retningslinjer for IT-bruk Ikke gjør noe ulovlig! «Advar» offer først At dere tar dette kurset fritar dere ikke fra ansvaret... Bruk: Virtuell maskin/livecd (/Dualboot)

8 Litteratur (anbefalt) Secrets & Lies Bruce Schneier, Innocent Code Sverre H. Huseby, Hacking Exposed McClure, Scambray, Kurtz, The Art of Deception Kevin D. Mitnick, Påvirkning i teori og praksis Robert B Cialdini,

9 Hvem, hva hvor, hvorfor, hvordan: Hackere

10 Ordet hacker

11 Ordet hacker Egentlig: En usedvanlig flink person som er dedikert til fagområdet Mediene har ødelagt ordet Før et komplement, nå et dårlig stempel Vi skal til en viss grad bruke medienes betydning av ordet

12 Hva er en typisk hacker?

13 Hva er en typisk hacker? Slik vi ofte har fått inntrykket fra filmer, media osv: Rundt 20 år Mann Usosial Nerd/Geek Mye tid Lite ressurser

14 Hvilke egenskaper har hacker miljøet?

15 Hvilke egenskaper har hacker miljøet? Kommuniserer med eget: Språk Kultur Regler Etikk (Kallenavn: Crackers) Kontakt foregår som oftest: Digitalt Annonymt Betalingen er (som oftest) ikke penger men respekt og status

16 Hva er parameterne til en hacker?

17 Parametere ved en hacker Motiv Kunnskap Ressurser Tilgang Rissikovilje Etiske begrensinger Må kjenne disse for å lage gode mottiltak...

18 Hvilke grupperinger/innedelinger av hackere finnes?

19 Klassifisering av hackere Inndelingsmetode 1: Hacker Cracker Inndelingsmetode 2: White hat Gray hat Black hat Script Kiddie Hacktivist Mf.

20 Hacker vs. Cracker En Hacker ( gode ) God forståelse Er interessert i å se om det går Liker å løse problemer Lager egne løsninger, som deles broderlig (Ligger i grenseland til hva som er lovlig) En Cracker ( onde ) Benytter andres «metoder» Er interessert i resultatet av handlingen (Er som oftest ute etter å gjøre ulovlige ting) I utgangspunktet skilt på ferdigheter, men nå mer på hensikt (ikke nødvendigvis moral )

21 White Hat «Ethical Hackers» Ofte sikkerhetseksperter Ofte ansatt av bedrifter for å hacke bedriftenes systemer Kalles ofte «red teams» (som skal overliste «blue teams» som er vanlige datasikkerhetsprsoner i bedriften...) «Alle» knep er tillatt

22 Grey hat Gjør noe ulovlig med «gode» hensikter En white hat hacker som har tatt på seg oppdraget selv... Er opptatt av å verne brukerne og ikke leverandører Rapporterer som oftest feil de finner Typisk de som avslører sikkerhetshull ofte med «tidsfrister» som press Mange gjør det også for å overbevise seg selv... Gjør ingenting «skadelig» når de kommer inn...

23 Black hat Hacker for gøy eller for fortjeneste.. Gjør ofte mer enn å bare bryte seg inn Ingen omtanke for hverken brukere eller leverandører I motsetning til white og gray, så sprer disse informasjon om sikkerhetshull i skjulte nettverk... så andre kan teste dem. Opphavet til virus, ormer, exploits osv.

24 Script Kiddie Annet navn på crackere Benytter andres verktøy (exploits osv.) Prøver å imponere Liten forståelse av hva de gjør og konsekvensene av det Ofte meget unge og ikke spesielt flinke

25 Hacktivist Ute etter å få frem politiske mål Ikke fortjeneste eller ære Kan sammenlignes med gatedemonstranter Hacker oftest systemene til «fienden» men også andres systemer for å spre budskapet Ønsker publisitet

26 «hacking means exploring the limits of what is possible, in a spirit of playful cleverness» Richard Stallman

27 Hva ønsker man å oppnå?

28 Mål/Drivkrefter - 1 Økonomisk svindel Utpressing Skjule spor Publisitet Følelse av makt Status Nysgjerrighet Revansje/hevn

29 Mål/Drivkrefter - 2 Åpenhet rundt feil Open Disclosure Politiske mål Overvåking Cyberstalking Identitetstyveri Terror / Krigføring

30 Mål/Drivkrefter - 3 Brand theft Åpne (kopi)sperrer Programvare Medier Websider Dokumentformater Stjele informasjon Stjele arbeid/patenter

31 Mål/Drivkrefter - 4 Skaffe bevis Teste egen sikkerhet.

32 Hvem er hacker?

33 Hvem er hackere? «Nerder» De på «gutterommet» Kriminelle personer Kriminelle grupper Organiserte kriminelle Cyber-Terrorister/Infowarriors Industrispioner Sikkerhetspersonell Insidere Presse Politi/Myndigheter/Overvåking Mafia Aktivister +++

34 Insidere - 1 Alt fra å «låse opp døra» til å utføre angrep Vanskelig å hindre man «må» stole på dem... Kjenner svakheter og har mye tilgang. Er innenfor sikkerhetsbarrikadene Motivasjon Revansje Økonomisk fortjeneste Forandringer Utpressing fra andre/videre Publisitet Rettferdiggjøre jobben sin Osv..

35 Insidere - 2 Softwareutviklere Bakdører Feil i sikkerhetssystemer osv Skaper behov for oppgraderinger Driftere Gjør jobben sin uunværlig Tredjepartsleverandører Lager seg arbeid (serviceavtaler) Tapping av data Vanlig ansatte Agenter for andre Tidligere ansatte Benytter selvlagde bakdører

36 Bedriftspionasje Uklare grenser for lovlighet Mye ressurser Selv dyre angrep er billigere enn å utvikle selv Alle gjør det i en viss grad

37 Bedriftsspionasje

38 Cyber-Terrorister Mye fokus på dette etter 9/11 Fremstår som snillere, og får dermed frem sitt budskap mer enn grusomheten i metodene JFR f.eks DoS-angrep Mål Langtidsmål: «saken» Korttidsmål: skape kaos Høy rissikovilje Ønsker publisitet

39 Cyber-Terrorister Hva med f.eks DoS på: Sykehus Kraftverk/strømnett Millitæret/Politi Flytrafikkovervåking Eller endring av data på: Skattekontor Telesentraler Offentlige nyhetskanaler Hackere ellers er «snille» med slikt...

40 InfoWarriors Ønske om å sette hele nasjoner(/infrastruktur) ut av spill En snillere og tryggere krigføring? Utføres hjemmefra Gir informasjon og kontroll Kommer til å bli en ny trend Jfr: tidligere ideer om elektronisk krigføring Enorme summer brukes på forskning Se f.eks Stuxnet

41 Hvilke metoder har man?

42 Metoder 1 (kun et lite utvalg ) Endre/fjerne data Defacing websider Denial of Service (DoS) Effektivt Publisitetsskapende snilt Teknologisk overvåkning GPS/Mobil => Obama-mobil Alle former for spy -utsyr

43 Metoder - 2 Trafikkanalyse Hvem Hvor Når Størrelse på meldinger Gjentakende meldinger Datainnsamling I can stalk you Pagejacking/Typo-pirates

44 Metoder - 3 Reverse engineering Brute Force Session hijacking Bakdører Pakkesniffing (port)scanning Default-passord Account hijacking

45 Account hijacking Istedenfor å stjele fra noen, blir man noen...

46 Hva skjer (1. Endrer passord) (2. Legger ut upassende informasjon) 3. Benytter din person til å svindle venner

47 Hvordan få til dette? Phishingsider Facebok.com (én o) «account-repair»-tjenester/spam Krysstjenester Samme passord overalt? Fake-tjenester Hacke andre tjenester Brute-force Session hijacking

48 Hvordan forhindre? Se opp for Phishing-angrep Sterke passord Ulike passord til alle (nivåer av) tjenester Begrense antall kontoer... Være skeptisk til invitasjoner...

49 Eksempler på angrep/teknikker

50 Eksempler på teknikker Mail spoofing Phishing Firebug Parameter - «vridning» Google Hacking Database (f.eks videokameraer) Bilde i mail logging Podslurping Mehlis-report Pakkesniffing Link-color-sporing i f.eks Firefox

51 Noen eksempler på angrep MSN-trojaner San Fransisco som gissel Tele2 Canadiske pass Japansk forsvarssystem med kode fra terroristgruppe Osv

52 Hva gjør hacking spesielt i forhold til annen kriminalitet?

53 Hva gjør hacking spesielt? Automasjon stjele litt fra alle 1 av 1000 «går på» Målretting (targeting) er enklere ( små ) Avstander Hele verden kan nåes Angrepene utføres «offsite» Alle mot alle Internet har ingen landegrenser for lover og regler... Ser aldri offeret i øynene Teknologisk spredning Én lager verktøyet Sprer seg eksponentielt... (Basert på boka Secrets & Lies)

54 Nye trender Social Engineering / Botnets

55 Social Engineering Teknisk begavede Sosialt begavede ScriptKiddies Hackere

56 Social Enginerring Letter å lure personer til å gi fra seg info/tilgang, enn å bryte seg inn teknisk Jfr: Ringe fra IT-drift og spørre om passord Få tror at de selv skal gå på slikt Baserer seg på kombinasjon av psykologi og teknologi Egen forelesning om dette

57 Botnets

58 Botnets Et stort antall infiserte maskiner som hackere kan styre Ikke lenger hackerne som blir anklaget SPAM og DoS-angrep «supermaskiner» Ofte til maskiner... Oppdaterer seg selv og får instruksjoner via et dynamisk utvalg websteder Algoritmisk genererte domener som maskinene «ringer hjem» til. Umulig å sperre doemenene, da det er så utrolig mange... F.eks: qimkwaify.ws, mphtfrxs.net, gxjofpj.ws, imctaef.cc Sjekk utbredelse her:

59 Hva kan hackes?

60 Hva kan hackes? Nettsider Programvare Operativsystemer Mobiltelefoner/Embedded systems Styresystemer/Infrastruktur Hardware

61 Hvordan hacke?

62 Hvordan hacke? Hacking er i hovedsak forarbeid, planlegging og innhenting av kunnskap Det praktiske står for en veldig liten andel Hacking handler lite om teknologi, men man må kjenne teknologien i detalj

63 Får Hvordan hacke? 1. Hente ut informasjon om systemet/offer 2. Lage en plan 3. Teste ut planen 4. Gjennomføre planen 5. Slette spor ofte bare 1 forsøk...

64 Ulv-ulv-metoden Forangrep Utløse alarmer så ofte at de skrus av Overfylle logfiler Utløse alle alarmer i en sentral En form for DoS-angrep

65 Hvordan hacke? - Systemer Begrepet «system» vs. «enhet» er viktig... Ting er aldri isolerte System = Nettbank Enheter = Databaser, Brannmurer, Routere, Brukere, Administratorer osv.. Systemer er meget kompliserte og derfor fulle av «bugs» Enheter er ofte godt testet og feilfrie + lette å analysere «Klassisk datasikkerhet» fokuserer kun på å sikre enhetene (og da kun teknologien)... Angripere ser på systemet (helheten)

66 Hvordan finner man informasjon? Overvåke systemer og offer Nettjenester F.eks: Whois / Små-hacking før selve angrepet Søppelkasse -metoden Lure folk til å oppgi informasjonen Social Engineering

67 Hva må en hacker kunne?

68 Hva må en hacker kunne? For å kunne hacke(/sikre) et system, må vi vite hvordan det fungerer Ikke bare hvordan det brukes (på normal måte) Det er ved å kjenne systemene at vi kan utnytte sikkerhetshull To sider: Kjenne teknologiene Kjenne det spesielle systemet

69 Hvorfor går det å hacke?

70 Hvorfor går det å hacke? -1 Sikkerhet sees på som én ting som noe man har eller ikke har Sikkerhet ovenfor hva/hvem? De som ser deg over skuldra Hackere utenfor Overordnede/IT-drift Atombombe-angrep Deg selv... Sikkerhet hvor lenge? Kryptografi: Sikker inntil noen finner nye måter å regne på..

71 Hvorfor går det å hacke? - 2 Folk er fornøyd så lenge ting fungerer Ofte er mennesker involvert Umulig å tenke på alt.. Kompleksiteten i systemer Sikkerhetsmekanismer klarer bare å ta igjen, ikke gå forbi, truslene Endringenes motstand er i organisasjoner, ikke i teknologien Alt for mange som kun tenker klassisk datasikkerhet Viktig å tenke som en hacker

72 Hvorfor går det å hacke? - 3 Stadig mer informasjon og systemer skal være online Man ønsker spredning/bruk, men ikke missbruk: Jfr; kopisperre, lisensiering osv. Digital data er spesiell, kan kopieres i endelig mange originaler Mens vi lærer å beskytte oss, kommer stadig mer komplekse systemer Mest fokus på preventiv sikkerhet, ikke deteksjon/skadesanering osv.

73 Hvorfor går det å hacker? - 4 tap * risiko < kostnaden til mottiltak

74 Hvorfor går det å hacke? - 5 Foreløpig: Sikkerhet er en «merkostnad» At sikkerhet nedprioriteres er «god ledelse» Lav sikkerhet = lave kostnader = fornøyde kunder/brukere Leverandører står ikke ansvarlige.. F.eks tap pga sikkerhetshull i programvare må ofte dekkes av brukerne/bedriftene selv... Mange tenker: Jeg vet ikke hvordan man skulle gjort det, så Dårlig sikkerhet er alltid unnskyldt innen IT i motsetning til andre fagområder

75 Hvorfor går det å hacke? - 6 «Sikkerhet er ikke et produkt, men en prosess» (Secrets & Lies) Derfor kan man ikke sikre et system utelukkende med kryptering, brannmurer osv..

76 Hvorfor går det å hacke? - 7 «If you think that technology can solve your security problems, then you don't understand the problem and you don't understand the technology» (Secrets & Lies) Det er her klassisk datasikkerhet ofte «feiler», ved å benytte kun teorien i praksis... gir differanse mellom følt sikkerhet og faktisk sikkerhet som blir hackernes spillerom... Ser på enheter og ikke systemer Mennesker er ofte den største svakheten, ikke teknologi

77 Hvorfor går det å hacke? -8 Mange elendige ideer: Forgotten password Oppgi mors pikenavn Innloggingsmåter Fødselsnummer+postnummer Avslørende feilmeldinger noe var feil vs feil brukernavn CVV-coder på kredittkort Single-log-in-løsnigner Feide Google Friend Connect Facebook Connect Osv Gammel teknologi som ikke lar seg endre F.eks mailprotokollen Svært godtroende mennesker

78 Hacking og Etikk

79 Hvor går grensene? Bryte seg inn og ikke gjøre noe Bryte seg inn og ikke gjøre noe, for så å si i fra om svakheten Bryte seg inn og se hva som ligger der, uten å benytte det til noe Bryte seg inn, hente ut informasjon, selge informasjon Hacke kriminelle organisasjoner Osv.. Hvordan oppfattes dette for den som blir angrepet / den som angriper / tredjepart?

80 Til neste gang Prosjekt 1 Bruk FB-siden Les The Hackers Manifesto + Foreslått litteratur (Secrets & Lies)