Viruși. Spam. Malware. Botnets. Phishing. Rootkits. Ce au toate în comun? Cum ne putem proteja? O detaliere a tendințelor din domeniu, cu soluții practice.

2. despre mine

3. Tudor Damian
IT Solutions Specialist
tudy.tel

4. despre seminar

7. activități de zi cu zi

8. ”dă-mi un link la blogul ăla...”

9. ”trimite-mi pe mail...”

10. ”uite ce-am găsit pe google...”

11. ”dacă ai id de mess, îți trimit
acolo fișierul...”

12. ”pot să-mi verific mail-ul?...”

13. Ӕl am pe memory stick,
îl poți copia de acolo...”

14. tendințe

16. crime Zero Day
Phishing Exploits
Phishing Crimeware
Explodes & Threats
Spyware & Rootkits
Adware Spyware
Adware Explode On the Rise
Paid
Bots & DDoS Bots Vulnerability
Botnets Attacks Explode Research
Spam Tracking Spam Explodes
Cookies
Vulnerabilities Mass Mailing Network
Openly Discussed Worms Worms
curiosity
Virus Destructive Virus Macro Virus
1986 16 2008

17. că tot vorbim de $$$ ...

18. o listă de prețuri
Produs Preț
Instalare adware 30 cenţi in US, până la 2 cenţi in alte ţări
Pachet malware, versiunea basic 1.000$ – 2.000$
Add-ons pentru pachete malware Preţuri variabile pornind de la 20$
Închiriere de “exploit” - o oră De la 0,99$ la 1$
Închiriere de “exploit” - 2,5 ore De la 1,60$ la 2$
Închiriere de “exploit” - 5 ore 4$
Troian nedetectabil 80$
Atac DDOS 100$ pe zi
Acces la 10.000 de PC-uri compromise 1.000$
Informaţii despre conturi bancare Preţuri variabile pornind de la 50$
Un milion de mesaje e-mail De la 8$ în sus
Informațiile se refera la anul 2007, sursa: TrendMicro

19. pe câmpul de luptă

20. trojan / rootkit / worm / spyware

21. AV-Test.org estimează că există peste
11 milioane de exemplare de malware

26. scopul poate fi extrem de diferit,
de la caz la caz

27. spre exemplu,
Win32.Worm.Delf.NFW (locul 9 în
topul BitDefender pe luna iulie)

28. șterge fișiere mp3 care conțin numele
unor cântareți români "populari"

29. Adrian Minune
Adi de la Valcea
Florin Salam
Frații de Aur
Laura Vass
Liviu Puștiu
Liviu Guță

30. DDoS / botnets

31. Smurf
Computer
Computer
Computer
ICMP Echo Network A
Replies from every
terminal in the
Broadcast Address
Network
ICMP Echo Workstation Workstation Workstation
Network B Replies from every
ICMP Echo
terminal in the
Network
Target system
ICMP Echo
Broadcast Address
Attacker
Laptop
Computer
ICMP Echo Replies from every
Network C terminal in the
Network
ICMP Echo
Broadcast Address
Computer Workstation

32. SynFlood Attack SynFlood
Half Open Connection
Half Open Conenction
Attacker Half Open Conenction
Half Open Conenction
Server
Legitimate Connection
Legitimate userr

33. DNS DoS
Query with spoofed IP DNS 1
Results from attackers query
Attack
er
DNS 2 Target
Query with spoofed IP Results from attackers query
Query with spoofed IP DNS 3
Results from attackers query
Query with spoofed IP
DNS 4 Results from attackers query

34. DDoS
Attacker’s Coomand
Attacker’s Commands
Attacker
Command Command
Client Software Client
Command
Server Software
Server Software Server Software Server Software Server Software
(Zombie) (Zombie)
(Zombie) (Zombie) (Zombie)
Packets
Packets
Packets
Packets
Packets
Target Host

35. exemplele nu sunt
la scară reală :)

36. SQLi / XSS / CSRF / RFI

38. SQL injection

39. XSS

40. XSS

41. XSS

42. Open Web Application Security
Project (OWASP) top 10 list
www.owasp.org/index.php/Top_10_2007

43. OWASP Top 10 List 2007
1. Cross Site Scripting (XSS)
2. Injection Flaws
3. Malicious File Execution
4. Insecure Direct Object Reference
5. Cross Site Request Forgery (CSRF)
6. Information Leakage and Improper Error Handling
7. Broken Authentication and Session Management
8. Insecure Cryptographic Storage
9. Insecure Communications
10. Failure to Restrict URL Access

44. spam

45. conform Sophos, 96.5% din
business email este spam

47. phishing / crimeware / scareware

50. crimeware

51. categorie de malware concepută
pentru automatizarea activităților
criminale de natură financiară

52. scareware, o variantă de
social engineering

59. botnet on demand

60. top 5 botnets in 2008
Numărul de boți Capacitatea de generare de
Botnet
estimat spam
Kraken 400.000 100 miliarde mesaje pe zi
Srizbi 315.000 60 miliarde mesaje pe zi
Rustock 150.000 30 miliarde mesaje pe zi
Cutwail 125.000 16 miliarde mesaje pe zi
Storm 85.000 3 miliarde mesaje pe zi
Surse: SecureWorks, Damballa

61. furt de identitate

62. așteptările societății legat de
confidențialitate scad vizibil

67. $40 pe an,
30.000 americani s-au înscris

68. You have no
privacy, get
over it!
Scott McNealy
CEO, Sun Microsystems

70. incidente soldate cu pierderi de date
1 ianuarie 2005 – 4 august 2009
http://www.privacyrights.org/ar/ChronDataBreaches.htm

71. 263 247 398 !

72. costul mediu al recuperării datelor
pierdute/furate/compromise

74. $ 197.50 / data record !

76. sau aproximativ 20% din
PIB-ul României pe 2008

77. cele 10 legi ale
securității rețelelor

78. #1
dacă un atacator te convinge să rulezi
programul lui pe calculatorul tău, nu
mai e calculatorul tău

79. #2
dacă un atacator poate modifica
sistemul de operare de pe calculatorul
tău, nu mai e calculatorul tău

80. #3
dacă un atacator are acces fizic la
calculatorul tău, nu mai e calculatorul
tău

81. #4
dacă lași un atacator să upload-eze
programe pe site-ul tău, nu mai e site-
ul tău

82. #5
parolele slabe anulează orice altă
formă de securitate

83. #6
un sistem e atât de sigur pe cât de
multă încredere poți avea în persoana
care îl administrează

84. #7
datele criptate sunt atât de sigure pe
cât de sigură e cheia de decriptare

85. #8
un antivirus fără definiții la zi e cu
puțin mai bun decât unul inexistent

86. #9
anonimitatea absolută nu e practică,
nici în viața reală, nici pe web

87. #10
tehnologia nu e un panaceu

88. abordarea securității

89. un singur punct de acces fizic

90. un singur punct de acces
electronic

91. disciplină, disciplină, disciplină

92. tot ce vine e malițios,
până la proba contrarie

93. arhitectura veche

94. la început, internetul era izolat,
rețelele corporate la fel

95. internet
corporate network

96. persoanele din CORP și-a dat seama că
pe Internet se găsesc treburi
interesante, și au solicitat acces

97. internet
firewall
corporate network

98. și accesul outbound era suficient

99. între timp a apărut HTML / HTTP

100. iar când e vorba de culori, imagini și
sunete, persoanele de la marketing
devin interesate

101. și au început să solicite să pună
”broșuri” pe Internet

102. internet
firewall
web server
corporate network

103. iar când s-a dorit și comunicarea cu
cei din afară, a apărut DMZ

104. internet
firewall
web server (DMZ)
database (DMZ)
corporate network

105. treptat, DMZ-ul a devenit o
înșiruire de firewall-uri

106. soluțiile noi au devenit din ce în ce mai
complexe, deoarece se bazau pe
soluțiile deja existente

107. engineers, architects and
contractors

108. engineers begin knowing a little bit about a lot
they learn less and less about more and more
until they know nothing about everything

109. architects begin knowing a lot about a little
they learn more and more about less and less
until they know everything about nothing

110. contractors begin knowing
everything about everything
but end up knowing nothing about anything
because of their association
with architects and engineers

111. pe cine cunoaștem?

112. PC-ul, sau persoana?

113. PC persoană

114. PC persoană
managed
unmanaged

115. arhitectura nouă

116. internet
corporate network

117. folosim împărțirea
managed / unmanaged

118. internet
unmanaged managed
corporate network

119. astfel, avem nevoie de
network edge protection
pentru secțiunea unmanaged

120. dar ce facem cu partea
managed?

121. știm PC-ul, știm persoana

122. dar până acum, acestea erau în
interiorul rețelei, după firewall

123. acum, sistemele sunt în afară

124. două aspecte esențiale

125. ambele se asigură că informația
ajunge doar la persoanele autorizate

126. 1. confidențialitate

127. mecanism principal: criptare

128. criptarea nu poate preveni intercepția

129. 2. posesie

130. mecanism principal: access control

131. posesia nu poate oferi secretizare

132. de reținut!

133. confidențialitate (criptare)
și
posesie (access control)

134. lucrul cu informația
ce se colectează?
cum circulă?
unde e stocată, și pentru cât timp?
cine o acesează și de ce?
ce se întâmplă în afara sistemului?
când e distrusă?

135. soluții

136. non-admin login, NAP, Group Policy,
autentificare cu certificate (X.509),
IPSec, IPv6 (Teredo), DNSv6, Firewall,
soluții gen TrueCrypt/BitLocker, code
security best practices, penetration
testing, web security platforms, etc.

137. ...și user awareness!

138. resurse online

139. oricine le poate găsi :)

140. feedback :)

141. http://infoeducatie.tudy.ro/

142. întrebări

143. mulțumesc.

144. Tudor Damian
IT Solutions Specialist
tudy.tel