Embed Size (px)
DESCRIPTION
Citation preview
SVEUČILIŠTE U ZAGREBU
FAKULTET PROMETNIH ZNANOSTI
Marko Leljak
Računalni incident u Brazilu
DOMAĆA ZADAĆA
Zagreb, 2012.
Sveučilište u Zagrebu
Fakultet prometnih znanosti
DOMAĆA ZADAĆA
Računalni incident u Brazilu
Mentor: Vladimir Remenar , dipl. ing.
Student: Marko Leljak, univ. bacc. ing. traff. 0135206352
Zagreb, 2012
Sadržaj:
1. Uvod...................................................................................................................................................4
2. Računalno sigurnosni incident............................................................................................................5
3.Primjer računalno-sigurnosnog incidenta............................................................................................6
3.1 Elementi informacijsko komunikacijskog sustava i prijetnje prema njima u gore navedenom primjeru..............................................................................................................................................6
3.2 Profil ljudskog faktora i motivi napadača.....................................................................................7
4. Iskorištavanje sigurnosnog problema kroz sedam koraka ugrožavanja IK sustava.............................8
5. Alati korišteni u napadu......................................................................................................................9
6. Zaključak..........................................................................................................................................10
Literatura..............................................................................................................................................11
1. Uvod
Računalna tehnologija svakim danom se razvija sve više. Jedan od razloga
takvom razvitku je i ugrožavanje sigurnosti računalnih sustava. U ovoj zadaći će
biti opisan jedan takav napad koji se dogodio u Brazilu. Opisano će biti od
napadnutih elemenata informacijskog sustava pa sve do motiva i profila
napadača. Isto tako će biti navedeni i alati koji su korišteni u ovome napadu, te
koje su pogreške bile napravljene što je dovelo do realiziranja napadačevih
ideja.
2. Računalno sigurnosni incident
Računalno-sigurnosni incident je, prema definiciji iz Pravilnika o koordinaciji
prevencije i odgovora na računalno-sigurnosne incidente, svaki događaj koji
kompromitira bilo koji aspekt računalne sigurnosti, odnosno koji za posljedicu
ima gubitak povjerljivosti, cjelovitosti i raspoloživosti podatka, zlouporabu ili
oštećenje informacijskog sustava ili informacija, uskraćivanje usluge ili
onemogućavanje rada informacijskog sustava te svaka nezakonita radnja čiji se
dokazi mogu pohraniti na računalni medij. [1]
3.Primjer računalno-sigurnosnog incidenta
Alatom za skeniranje javnih IP adresa Nmap su napadači skenirali range IP
adresa u Brazilu. Nakon toga su filtrirali IP adrese kako bi izdvojili samo one
koje pripadaju određenom poslužitelju koji je svojim korisnicima davao
Brodcome modeme. Iskoristili su greške u modemu kako bi došli do
administratorskih lozinki te pomoću 2 java skripte promijenili ih u lozinke koje
njima odgovaraju. Nakon što su kontrolirali firmware od modema krenuli su i
prema korisničkom računalu a to su napravili tako da su korisnika slali na
„phishing siteove“ preko svojih DNS servera. Nakon što bi se korisnik logirao
na neku stranicu prikupljali bi podatke koje trenutno iznosi prema van, te isto
tako tijekom „surfanja“ su instalirali „trojan“ na korisničko računalo nakon čega
su imali potpunu kontrolu računala. [2]
3.1 Elementi informacijsko komunikacijskog sustava i prijetnje prema
njima u gore navedenom primjeru
Hardware-DSL modem, računalo korisnika i napadača. U ovom slučaju
osiguranjem sofwarea automatski štitimo i hardweare zbog toga što je hardweare
bio ugrožen zbog nepromijenjenih tvorničkih lozinki. Isto tako čipset je bio tako
dan od tvornice te korisnici nisu mogli što se toga tiče napraviti ništa.
Software-Firmware DSl modema, Java u kojemu su programirane skripte,
operacijski sustav, mmap-alat za skeniranje IP adresa. Sigurnost u ovom slučaju
bi se osigurala tako da prilikom inicijalnog postavljanja rutera u rad se zahtjeva
promjena LOG-IN podataka iz default-nih u odabrane od strane korisnika te isto
tako testiranje firmwera.
Orgware-Korisnici, napadači, telekom poslužitelj koji nije „setup“-iro DSL-
modeme, Brodcome koji je imao grešku u proizvodnji.
Lifeware-Korisnici koji nisu promijenili tvorničke lozinke, i napadači koji su to
iskoristili „Blach-Hat hakeri“ . Napadači koji su bili ljudi s atribucijom
namjernosti dok su korisnici bili nenamjernosti jer nisu imali znanje kako
spriječiti napad (promjena lozinke)
Netware-DNS server, LAN mreža korisnika i napadača, Internet, DSL modem.
Onemogućavanje pojava DNS servera. Modem-ovi SNMP i UPNP nisu smjeli
biti vidljivi na internetu. Pristupanje sa javnih IP adresa u administratorsko
sučelje nije smjelo biti omogućeno.
Dataware- Bata podataka IP adresa koje su bile skenirane-podaci o poslužitelju,
lokaciji korisnika, Baza podataka korisnika koji koriste Brodcome modeme.
[2,3]
3.2 Profil ljudskog faktora i motivi napadača
Ljudi s atribucijom nenamjernosti su bili sami korisnici koji nisu bili dovoljno
educirani niti nisu bili svjesni rizika koji može nastati zbog njihovog neznanja.
Da su promijenili default-ne postavke modema ne bi došlo do takvih problema.
Ljudi s atribucijom namjernosti su bili „Black-Hat“ hakeri koji su si omogućili
neovlašten pristup u korisnička računala te su onda radili bankovne transakcije u
svoju korist (krađa). Motiv im je znači bio financijsko bogaćenje.
4. Iskorištavanje sigurnosnog problema kroz sedam koraka ugrožavanja IK
sustava
1. Izviđanje (eng. reconnaissance)
Ispitali range IP adresa Brazila, pronalazak podataka o poslužiteljima koji daju
Brodcome modeme
2. Ispitivanje (eng. probe)
Pronašli su slabu točku u Brodcome čipsetu i firmweru modema (ne
promijenjene lozinke)
3. Polazna točka (eng. toehold)
Pomoću 2 Java skripte probijene log in postavke i promijenjene u pogodne
napadačima
4. Napredak (eng. advancement)
Preusmjeravani korisnici na maliciozne DNS servere
5. Sakrivanje (eng. stealth)
6. Osluškivanje (eng. listening post)
Instaliravanje trojana na korisnička računala i preuzeta kontrola nad korisničkim
računalom
7. Preuzimanje (eng. Takeover)
Preko korisnički računala naštetili sigurnost bankarskog sustava tj. Rađene
transakcije u korist napadača
5. Alati korišteni u napadu
Alati koji su bili korišteni u napadu su „Nmap“ to je alat sa kojim su skenirali
range IP adresa u Brazilu nakon čega su mogli pridružiti te IP adrese korisnika
određenemo poslužitelju. Nakon toga su filtrima se bazirali samo na IP adrese
koje su bile od poslužitelja koji su davali Brodcome modeme. Nakon toga su
koristili Java script kako bi programirali dvije skripte koje su prva probijala
lozinku a druga mijenjala log in lozinku korisničkog računala. Nakon toga su
preusmjerenim korisnici na maliciozne DNS servere prilikom „surfanja“ Internet
stranicama bili instalirani Trojanski konji pomoću kojih su njihova računala
prešla u potpunu kontrolu napadača,
6. ZaključakPrilikom samog instaliranja informacijskog sustava mora se paziti kako ne bi
došlo do krucijalnih grešaka koje bi se mogle iskoristiti u narušavanju sigurnosti
istog. To se u ovom slučaju dogodilo. Kako je već objašnjeno u radu, tehničari
su ostavili tvorničke postavke modema koje korisnici nisu promijenili što je
omogućilo napadačima lagano probijanje zaštite. Iz svega toga možemo
zaključiti da je edukacija korisnika ključna u sprječavanju napada na
informacijske sustave. Isto tako uz edukaciju vrlo je bitna i softwersko-
hardwerska komponenta (firewall, tiping point…).
Literatura
1.http://www.zsis.hr/site/CERTZSISa/Ra%C4%8Dunalnosigurnosniincidenti/
tabid/107/Default.aspx
2. http://liderpress.hr/tehnopolis/-masovni-hakerski-napad-u-brazilu/
3.http://www.securelist.com/en/blog/208193852/
The_tale_of_one_thousand_and_one_DSL_modems
