ݺߣ

ݺߣShare a Scribd company logo

Cyberprzestępczość 2.0 (TAPT 2014)

Download as PPTX, PDF
Adam Ziaja
Adam Ziaja

Prezentacja przedstawiona przeze mnie w 2014 roku na XVII Międzynarodowej Konferencji Naukowej Techniczne Aspekty Przestępczości Teleinformatycznej (TAPT) organizowanej przez Wyższą Szkołę Policji w Szczytnie.

1 of 43
Downloaded 11 times
Cyberprzestępczość 2.0 Adam Ziaja <adam@adamziaja.com> http://adamziaja.com
Cyberprzestępczość • Cyberprzestępczość 1.0 • W większości niespersonalizowane ataki, zazwyczaj wirusy rozsyłane pocztą elektroniczną na masową skalę • Cyberprzestępczość 2.0 • W większości spersonalizowane i precyzyjne ataki (ataki APT) z wykorzystaniem nowych technologii • W ciągu 4 lat koszty cyberprzestępczości wzrosły o 78 procent (HP: „2013 Cost of Cyber Crime Study”) © Adam Ziaja <adam@adamziaja.com>
Media społecznościowe • Dostarczają przestępcom informacji nt. m.in.: • Rodziny i znajomych • Pracy oraz szkoły • Lokalizacji • (Aktualnie) wykonywanych zajęć • […] • Media społecznościowe to realne zagrożenie, czyli open-source intelligence (biały wywiad) w akcji… © Adam Ziaja <adam@adamziaja.com>
Twitter © Adam Ziaja <adam@adamziaja.com>
Twitter API ["text"]=> string(113) "W pon rodzice i brat jadą na wieś i pozwolili mi nie jechać jajsjdnksmswowjicjsjxnwkdnjanajdjdj sama w domu xD" ["source"]=> string(82) "Twitter for iPhone" ["user"]=> ["display_url"]=> string(19) "ask.fm/OlaP[NAZWISKO]" ["geo"]=> ["coordinates"]=> { float(52.32608613), float(20.88154268) } © Adam Ziaja <adam@adamziaja.com>
Twitter API • Jedno zapytanie do Twitter API pozwoliło uzyskać informacje takie jak m.in.: • Imię i nazwisko (URL do profilu ask.fm) • Wizerunek i wiek (profil na ask.fm) • Zainteresowania (zespół „One Direction”) • Lokalizacja (pozycja GPS) • Dziecko będzie samo w domu (treść statusu) • W domu mieszkają 4 osoby (rodzice i rodzeństwo) • Status majątkowy (posiadanie iPhone) © Adam Ziaja <adam@adamziaja.com>
Twitter • Do lokalizacji domu potrzebujemy więcej statusów… © Adam Ziaja <adam@adamziaja.com>
Twitter API © Adam Ziaja <adam@adamziaja.com> …wszystkie statusy posiadające dane GPS
GPSVisualizer.com © Adam Ziaja <adam@adamziaja.com> …statusy świadczące, że zostały prawdopodobnie wysłane z domu
Twitter • Warto by było posiadać również dane odnośnie szkoły… © Adam Ziaja <adam@adamziaja.com>
Twitter API © Adam Ziaja <adam@adamziaja.com> ["geo"]=> ["coordinates"]=> { float(52.28304044), float(20.97022874) } XLI Liceum Ogólnokształcące im. Joachima Lelewela w Warszawie Gimnazjum nr 165 (wiek 13 lat, z profilu ask.fm)
Twitter, podsumowanie • W krótkim czasie byliśmy w stanie ustalić: • Imię i nazwisko, wiek, wizerunek • Zainteresowania • Lokalizację domu i szkoły • Status majątkowy • Profil rodziny – dwóch rodziców i dwoje dzieci • Kiedy dziecko będzie samo w domu • Nawet w którym supermarkecie robią zakupy…  © Adam Ziaja <adam@adamziaja.com>
Twitter • Cały proces można prosto zautomatyzować, Twitter API pozwala na wyszukiwanie statusów w promieniu X km od danej pozycji GPS • Dane zwracane są w formie tablicy, pozwala to na szybką automatyczną analizę wyników np. wyszukiwanie przez wyrażenia regularne wśród zwróconych wyników • /sama? w domu/i • „sam w domu”, „sama w domu” © Adam Ziaja <adam@adamziaja.com>
Ludzie chwalą się w mediach społecznościowych dosłownie wszystkim… © Adam Ziaja <adam@adamziaja.com>
Facebook © Adam Ziaja <adam@adamziaja.com> …przy pomocy tzw. krzywych w darmowym programie GIMP recepta
Twitter © Adam Ziaja <adam@adamziaja.com>
Twitter © Adam Ziaja <adam@adamziaja.com>
Twitter API • Automatyzacja przy pomocy Twitter API: © Adam Ziaja <adam@adamziaja.com>
Instagram, a dokumenty… © Adam Ziaja <adam@adamziaja.com>
Instagram (iconosquare.com) © Adam Ziaja <adam@adamziaja.com> dowodyosobiste
Instagram (iconosquare.com) © Adam Ziaja <adam@adamziaja.com> prawajazdy
Media społecznościowe • Dzięki zebranym informacjom w mediach społecznościowych można np.: • Płacić numerem karty w Internecie • Nie jest potrzebna data wygaśnięcia karty czy kod zabezpieczający (CVC, CVV, CVV2) – sklep płaci większą prowizję w przypadku braku zabezpieczeń (np. Amazon) • Zalogować się czyjeś konto np. w sieci komórkowej Play – potrzebujemy imię, nazwisko i PESEL jeśli nie pamiętamy hasła… • Nawet numer dzwoniącego telefonu możemy sfałszować (tzw. caller ID spoofing) – w sieci pełno jest takich komercyjnych usług… © Adam Ziaja <adam@adamziaja.com>
Wygoda przede wszystkim! © Adam Ziaja <adam@adamziaja.com> …i możemy aktywować opcję telefonicznie – bez kodu SMS …i kody zabezpieczające do przelewów bankowych mogą przychodzić na e-mail
„Zabezpieczenia”, a tworzenie „słupa” • Do aktywacji karty internetowej potrzeba: • Plik PDF z kartą  (np. z Allegro bez weryfikacji, płatność kartą lub przekazem pocztowym…) • E-mail (np. tymczasowy adres e-mail) • Dane osobowe (np. z prawa jazdy lub dowodu) • PESEL (np. z prawa jazdy lub generatora…) • Prawo jazdy > dowód – PESEL na awersie • Telefon komórkowy (kod zabezpieczający CVV2 do karty przychodzi SMS-em) © Adam Ziaja <adam@adamziaja.com>
„Zabezpieczenia”, a tworzenie „słupa” • receive-sms-online.com • receivesmsonline.net • receivesmsonline.com • receive-sms.com • […] …karty SIM prepaid nie są dobrym rozwiązaniem z uwagi na dane przesyłane do BTS © Adam Ziaja <adam@adamziaja.com>
„Zabezpieczenia”, a tworzenie „słupa” © Adam Ziaja <adam@adamziaja.com>
„Zabezpieczenia”, a tworzenie „słupa” © Adam Ziaja <adam@adamziaja.com>
Ataki APT • Ataki typu APT (ang. Advanced Persistent Threats) są złożonymi, długotrwałymi i wielostopniowymi działaniami kierowanymi przeciwko konkretnym osobom, organizacjom lub firmom • Ataki APT są wykonywane jak testy penetracyjne typu blackbox – główną różnicą jest fakt, że cyberprzestępcy nie mają ograniczeń czasowych… © Adam Ziaja <adam@adamziaja.com>
Ataki APT • Atak APT składa się zazwyczaj z trzech głównych etapów: 1. Zebranie informacji (głównie open-source intelligence czyli biały wywiad) 2. Uzyskanie dostępu 3. Kradzież, manipulacja danymi itp. © Adam Ziaja <adam@adamziaja.com>
Ataki APT • Ataki APT to problem każdego, nie tylko indywidualnych osób czy małych firm • To nie tylko suche fakty – pierwszy etap (zbieranie informacji) na przykładzie firmy Cisco Systems (amerykańskie przedsiębiorstwo informatyczne, jedno z największych w branży IT)… © Adam Ziaja <adam@adamziaja.com>
Ataki APT • Eksport strefy DNS cisco.com – można (było) znaleźć takie informacje jak: • Loginy użytkowników • Topologia sieci • Wykorzystywany sprzęt • […] /* możliwość eksportu strefy DNS zgłosiłem w październiku 2013 zgodnie z polityką „responsible disclosure” – błąd poprawiony */ © Adam Ziaja <adam@adamziaja.com>
Ataki APT • Topologia sieci cisco.com • Strefa posiada 1,808,339 rekordów DNS • LAN • 10.0.0.0/8 – 1,236,395 adresów IP • 172.16.0.0/12 – 139,426 adresów IP • 192.168.0.0/16 – 5,070 adresów IP • 1236395 + 139426 + 5070 = 1,380,891 LAN IP © Adam Ziaja <adam@adamziaja.com>
Ataki APT • ams-rawouter-vpn.cisco.com (rekord ze strefy DNS) • https://supportforums.cisco.com/people/rawouter © Adam Ziaja <adam@adamziaja.com> …sprawdzenie danych pochodzących ze strefy DNS
Ataki APT • https://www.linkedin.com/pub/raphael-wouters/2/68b/754 © Adam Ziaja <adam@adamziaja.com> …weryfikacja w serwisie Linkedin
Ataki APT • https://supportforums.cisco.com/robots.txt User-agent: * disallow: /people/ © Adam Ziaja <adam@adamziaja.com> …brak możliwości znalezienia listy użytkowników przez np. Google
Ataki APT • https://supportforums.cisco.com/people/aabell 200 • https://supportforums.cisco.com/people/aadamavi 404 • https://supportforums.cisco.com/people/aadegbom 200 • https://supportforums.cisco.com/people/aalassi 200 • https://supportforums.cisco.com/people/aalberio 200 • https://supportforums.cisco.com/people/aalbrech 200 • https://supportforums.cisco.com/people/aalhalaw 200 • https://supportforums.cisco.com/people/aannese 404 • https://supportforums.cisco.com/people/aarafeh 404 • https://supportforums.cisco.com/people/aarcidia 404 • https://supportforums.cisco.com/people/aarlegui 200 • https://supportforums.cisco.com/people/aarrizab 404 • https://supportforums.cisco.com/people/aasfandy 200 • https://supportforums.cisco.com/people/aathwal 200 • https://supportforums.cisco.com/people/aatie 200 • [...] © Adam Ziaja <adam@adamziaja.com>
Ataki APT 1. Skrypt analizujący strefę DNS – pozyskane dane to m.in. loginy użytkowników (VPN) 2. Skrypt sprawdzający dostępność profili oraz zapisujący istniejące profile z forum wsparcia – pozyskane dane to imię i nazwisko oraz stanowisko 3. Skrypt parsujący pobrane profile i generujący plik CSV (dane rozdzielone znakiem) 4. Import CSV do Excela… © Adam Ziaja <adam@adamziaja.com>
Ataki APT © Adam Ziaja <adam@adamziaja.com> kilka tysięcy rekordów…
Najsłabszym ogniwem w bezpieczeństwie IT jest człowiek, czyli drugi etap ataków APT – uzyskanie dostępu… © Adam Ziaja <adam@adamziaja.com>
Inżynieria społeczna, inżynieria socjalna, socjotechnika • Drugi etap ataku APT – uzyskanie dostępu np. przez phishing, może mieć postać: • Po(d)rzucony pendrive z naklejką zachęcającą do otwarcia np.: • „Zwolnienia” • „Wypłaty” • E-mail z załącznikiem od organizatorów do uczestników tej konferencji z fałszywego adresu • Telefon „z banku” z pytaniem „celem weryfikacji”, aby pozyskać dodatkowe informacje o osobie… © Adam Ziaja <adam@adamziaja.com>
Ataki APT • Ofiarą ataku APT była np. firma Adobe, wyciekły takie dane jak: • Adres e-mail • Hash hasła (hash to nieodwracalna funkcja skrótu) • Podpowiedź do hasła • Podpowiedzi zostały wykorzystane do łamania hashy haseł, ponieważ hashe się powtarzały… © Adam Ziaja <adam@adamziaja.com>
Ataki APT © Adam Ziaja <adam@adamziaja.com>
Dziękuje za uwagę! Adam Ziaja <adam@adamziaja.com> http://adamziaja.com

Recommended

Praktyczne ataki na aplikacje webowe (TAPT 2015)
Praktyczne ataki na aplikacje webowe (TAPT 2015)Praktyczne ataki na aplikacje webowe (TAPT 2015)
Praktyczne ataki na aplikacje webowe (TAPT 2015)
Adam Ziaja
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
PROIDEA
HTML5: Atak i obrona
HTML5: Atak i obronaHTML5: Atak i obrona
HTML5: Atak i obrona
Krzysztof Kotowicz
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
Dlaczego polskie firmy są tak łatwym celem dla cyberprzestępców?
PwC Polska
Bezprzewodowe niebezpieczeństwo (TAPT 2016)
Bezprzewodowe niebezpieczeństwo (TAPT 2016)Bezprzewodowe niebezpieczeństwo (TAPT 2016)
Bezprzewodowe niebezpieczeństwo (TAPT 2016)
Adam Ziaja
Introduction to security
Introduction to securityIntroduction to security
Introduction to security
Mukesh Chinta
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 RokuRaport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku
Cybersecurity Foundation
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Michał Olczak
It breakfast fin_28.08.2014_knf
It breakfast fin_28.08.2014_knfIt breakfast fin_28.08.2014_knf
It breakfast fin_28.08.2014_knf
Foundation IT Leader Club Poland
ERAU webinar november 2016 cyber security
ERAU webinar november 2016 cyber security ERAU webinar november 2016 cyber security
ERAU webinar november 2016 cyber security
Bill Gibbs
Audyty IT, eCommerce, Call Contact Center
Audyty IT, eCommerce, Call Contact CenterAudyty IT, eCommerce, Call Contact Center
Audyty IT, eCommerce, Call Contact Center
Przemysław Federowicz
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatyczny
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatycznyBezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatyczny
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatyczny
EYPoland
Top 10 - strony poświęcone bezpieczeństwu w Internecie
Top 10 - strony poświęcone bezpieczeństwu w Internecie Top 10 - strony poświęcone bezpieczeństwu w Internecie
Top 10 - strony poświęcone bezpieczeństwu w Internecie
irasz
Cyberprzestępcy atakują!
Cyberprzestępcy atakują!Cyberprzestępcy atakują!
Cyberprzestępcy atakują!
irasz
Path of Cyber Security
Path of Cyber SecurityPath of Cyber Security
Path of Cyber Security
Satria Ady Pradana
Sexsiyyetin formalasmasinda muellim sagird munasieti
Sexsiyyetin formalasmasinda muellim sagird munasietiSexsiyyetin formalasmasinda muellim sagird munasieti
Sexsiyyetin formalasmasinda muellim sagird munasieti
AZERİ AZERBAYCAN
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EYPoland
Hacker i cracker - kim są?
Hacker i cracker - kim są? Hacker i cracker - kim są?
Hacker i cracker - kim są?
irasz
Tackling today's cyber security challenges - WISER Services & Solutions
Tackling today's cyber security challenges - WISER Services & SolutionsTackling today's cyber security challenges - WISER Services & Solutions
Tackling today's cyber security challenges - WISER Services & Solutions
CYBERWISER .eu
Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”
EYPoland
Security First: What it is and What it Means for Your Business
Security First: What it is and What it Means for Your BusinessSecurity First: What it is and What it Means for Your Business
Security First: What it is and What it Means for Your Business
Georgian
Bitcoin a polskie prawo
Bitcoin a polskie prawoBitcoin a polskie prawo
Bitcoin a polskie prawo
Cyberlaw Beata Marek
Cyber Security
Cyber SecurityCyber Security
Cyber Security
Neha Gupta
Data link layer
Data link layer Data link layer
Data link layer
Mukesh Chinta
Cyber Security 2017 Challenges
Cyber Security 2017 ChallengesCyber Security 2017 Challenges
Cyber Security 2017 Challenges
Leandro Bennaton

More Related Content

Viewers also liked (17)

It breakfast fin_28.08.2014_knf
It breakfast fin_28.08.2014_knfIt breakfast fin_28.08.2014_knf
It breakfast fin_28.08.2014_knf
Foundation IT Leader Club Poland
ERAU webinar november 2016 cyber security
ERAU webinar november 2016 cyber security ERAU webinar november 2016 cyber security
ERAU webinar november 2016 cyber security
Bill Gibbs
Audyty IT, eCommerce, Call Contact Center
Audyty IT, eCommerce, Call Contact CenterAudyty IT, eCommerce, Call Contact Center
Audyty IT, eCommerce, Call Contact Center
Przemysław Federowicz
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatyczny
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatycznyBezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatyczny
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatyczny
EYPoland
Top 10 - strony poświęcone bezpieczeństwu w Internecie
Top 10 - strony poświęcone bezpieczeństwu w Internecie Top 10 - strony poświęcone bezpieczeństwu w Internecie
Top 10 - strony poświęcone bezpieczeństwu w Internecie
irasz
Cyberprzestępcy atakują!
Cyberprzestępcy atakują!Cyberprzestępcy atakują!
Cyberprzestępcy atakują!
irasz
Path of Cyber Security
Path of Cyber SecurityPath of Cyber Security
Path of Cyber Security
Satria Ady Pradana
Sexsiyyetin formalasmasinda muellim sagird munasieti
Sexsiyyetin formalasmasinda muellim sagird munasietiSexsiyyetin formalasmasinda muellim sagird munasieti
Sexsiyyetin formalasmasinda muellim sagird munasieti
AZERİ AZERBAYCAN
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EYPoland
Hacker i cracker - kim są?
Hacker i cracker - kim są? Hacker i cracker - kim są?
Hacker i cracker - kim są?
irasz
Tackling today's cyber security challenges - WISER Services & Solutions
Tackling today's cyber security challenges - WISER Services & SolutionsTackling today's cyber security challenges - WISER Services & Solutions
Tackling today's cyber security challenges - WISER Services & Solutions
CYBERWISER .eu
Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”
EYPoland
Security First: What it is and What it Means for Your Business
Security First: What it is and What it Means for Your BusinessSecurity First: What it is and What it Means for Your Business
Security First: What it is and What it Means for Your Business
Georgian
Bitcoin a polskie prawo
Bitcoin a polskie prawoBitcoin a polskie prawo
Bitcoin a polskie prawo
Cyberlaw Beata Marek
Cyber Security
Cyber SecurityCyber Security
Cyber Security
Neha Gupta
Data link layer
Data link layer Data link layer
Data link layer
Mukesh Chinta
Cyber Security 2017 Challenges
Cyber Security 2017 ChallengesCyber Security 2017 Challenges
Cyber Security 2017 Challenges
Leandro Bennaton
It breakfast fin_28.08.2014_knf
It breakfast fin_28.08.2014_knfIt breakfast fin_28.08.2014_knf
It breakfast fin_28.08.2014_knf
Foundation IT Leader Club Poland
ERAU webinar november 2016 cyber security
ERAU webinar november 2016 cyber security ERAU webinar november 2016 cyber security
ERAU webinar november 2016 cyber security
Bill Gibbs
Audyty IT, eCommerce, Call Contact Center
Audyty IT, eCommerce, Call Contact CenterAudyty IT, eCommerce, Call Contact Center
Audyty IT, eCommerce, Call Contact Center
Przemysław Federowicz
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatyczny
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatycznyBezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatyczny
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatyczny
EYPoland
Top 10 - strony poświęcone bezpieczeństwu w Internecie
Top 10 - strony poświęcone bezpieczeństwu w Internecie Top 10 - strony poświęcone bezpieczeństwu w Internecie
Top 10 - strony poświęcone bezpieczeństwu w Internecie
irasz
Cyberprzestępcy atakują!
Cyberprzestępcy atakują!Cyberprzestępcy atakują!
Cyberprzestępcy atakują!
irasz
Path of Cyber Security
Path of Cyber SecurityPath of Cyber Security
Path of Cyber Security
Satria Ady Pradana
Sexsiyyetin formalasmasinda muellim sagird munasieti
Sexsiyyetin formalasmasinda muellim sagird munasietiSexsiyyetin formalasmasinda muellim sagird munasieti
Sexsiyyetin formalasmasinda muellim sagird munasieti
AZERİ AZERBAYCAN
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa InformacjiEY 19. Światowe Badanie Bezpieczeństwa Informacji
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EYPoland
Hacker i cracker - kim są?
Hacker i cracker - kim są? Hacker i cracker - kim są?
Hacker i cracker - kim są?
irasz
Tackling today's cyber security challenges - WISER Services & Solutions
Tackling today's cyber security challenges - WISER Services & SolutionsTackling today's cyber security challenges - WISER Services & Solutions
Tackling today's cyber security challenges - WISER Services & Solutions
CYBERWISER .eu
Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”Badanie „Cyberbezpieczeństwo Firm”
Badanie „Cyberbezpieczeństwo Firm”
EYPoland
Security First: What it is and What it Means for Your Business
Security First: What it is and What it Means for Your BusinessSecurity First: What it is and What it Means for Your Business
Security First: What it is and What it Means for Your Business
Georgian
Bitcoin a polskie prawo
Bitcoin a polskie prawoBitcoin a polskie prawo
Bitcoin a polskie prawo
Cyberlaw Beata Marek
Cyber Security
Cyber SecurityCyber Security
Cyber Security
Neha Gupta
Data link layer
Data link layer Data link layer
Data link layer
Mukesh Chinta
Cyber Security 2017 Challenges
Cyber Security 2017 ChallengesCyber Security 2017 Challenges
Cyber Security 2017 Challenges
Leandro Bennaton

Cyberprzestępczość 2.0 (TAPT 2014)

  • 1. Cyberprzestępczość 2.0 Adam Ziaja <adam@adamziaja.com> http://adamziaja.com
  • 2. Cyberprzestępczość • Cyberprzestępczość 1.0 • W większości niespersonalizowane ataki, zazwyczaj wirusy rozsyłane pocztą elektroniczną na masową skalę • Cyberprzestępczość 2.0 • W większości spersonalizowane i precyzyjne ataki (ataki APT) z wykorzystaniem nowych technologii • W ciągu 4 lat koszty cyberprzestępczości wzrosły o 78 procent (HP: „2013 Cost of Cyber Crime Study”) © Adam Ziaja <adam@adamziaja.com>
  • 3. Media społecznościowe • Dostarczają przestępcom informacji nt. m.in.: • Rodziny i znajomych • Pracy oraz szkoły • Lokalizacji • (Aktualnie) wykonywanych zajęć • […] • Media społecznościowe to realne zagrożenie, czyli open-source intelligence (biały wywiad) w akcji… © Adam Ziaja <adam@adamziaja.com>
  • 4. Twitter © Adam Ziaja <adam@adamziaja.com>
  • 5. Twitter API ["text"]=> string(113) "W pon rodzice i brat jadą na wieś i pozwolili mi nie jechać jajsjdnksmswowjicjsjxnwkdnjanajdjdj sama w domu xD" ["source"]=> string(82) "Twitter for iPhone" ["user"]=> ["display_url"]=> string(19) "ask.fm/OlaP[NAZWISKO]" ["geo"]=> ["coordinates"]=> { float(52.32608613), float(20.88154268) } © Adam Ziaja <adam@adamziaja.com>
  • 6. Twitter API • Jedno zapytanie do Twitter API pozwoliło uzyskać informacje takie jak m.in.: • Imię i nazwisko (URL do profilu ask.fm) • Wizerunek i wiek (profil na ask.fm) • Zainteresowania (zespół „One Direction”) • Lokalizacja (pozycja GPS) • Dziecko będzie samo w domu (treść statusu) • W domu mieszkają 4 osoby (rodzice i rodzeństwo) • Status majątkowy (posiadanie iPhone) © Adam Ziaja <adam@adamziaja.com>
  • 7. Twitter • Do lokalizacji domu potrzebujemy więcej statusów… © Adam Ziaja <adam@adamziaja.com>
  • 8. Twitter API © Adam Ziaja <adam@adamziaja.com> …wszystkie statusy posiadające dane GPS
  • 9. GPSVisualizer.com © Adam Ziaja <adam@adamziaja.com> …statusy świadczące, że zostały prawdopodobnie wysłane z domu
  • 10. Twitter • Warto by było posiadać również dane odnośnie szkoły… © Adam Ziaja <adam@adamziaja.com>
  • 11. Twitter API © Adam Ziaja <adam@adamziaja.com> ["geo"]=> ["coordinates"]=> { float(52.28304044), float(20.97022874) } XLI Liceum Ogólnokształcące im. Joachima Lelewela w Warszawie Gimnazjum nr 165 (wiek 13 lat, z profilu ask.fm)
  • 12. Twitter, podsumowanie • W krótkim czasie byliśmy w stanie ustalić: • Imię i nazwisko, wiek, wizerunek • Zainteresowania • Lokalizację domu i szkoły • Status majątkowy • Profil rodziny – dwóch rodziców i dwoje dzieci • Kiedy dziecko będzie samo w domu • Nawet w którym supermarkecie robią zakupy…  © Adam Ziaja <adam@adamziaja.com>
  • 13. Twitter • Cały proces można prosto zautomatyzować, Twitter API pozwala na wyszukiwanie statusów w promieniu X km od danej pozycji GPS • Dane zwracane są w formie tablicy, pozwala to na szybką automatyczną analizę wyników np. wyszukiwanie przez wyrażenia regularne wśród zwróconych wyników • /sama? w domu/i • „sam w domu”, „sama w domu” © Adam Ziaja <adam@adamziaja.com>
  • 14. Ludzie chwalą się w mediach społecznościowych dosłownie wszystkim… © Adam Ziaja <adam@adamziaja.com>
  • 15. Facebook © Adam Ziaja <adam@adamziaja.com> …przy pomocy tzw. krzywych w darmowym programie GIMP recepta
  • 16. Twitter © Adam Ziaja <adam@adamziaja.com>
  • 17. Twitter © Adam Ziaja <adam@adamziaja.com>
  • 18. Twitter API • Automatyzacja przy pomocy Twitter API: © Adam Ziaja <adam@adamziaja.com>
  • 19. Instagram, a dokumenty… © Adam Ziaja <adam@adamziaja.com>
  • 20. Instagram (iconosquare.com) © Adam Ziaja <adam@adamziaja.com> dowodyosobiste
  • 21. Instagram (iconosquare.com) © Adam Ziaja <adam@adamziaja.com> prawajazdy
  • 22. Media społecznościowe • Dzięki zebranym informacjom w mediach społecznościowych można np.: • Płacić numerem karty w Internecie • Nie jest potrzebna data wygaśnięcia karty czy kod zabezpieczający (CVC, CVV, CVV2) – sklep płaci większą prowizję w przypadku braku zabezpieczeń (np. Amazon) • Zalogować się czyjeś konto np. w sieci komórkowej Play – potrzebujemy imię, nazwisko i PESEL jeśli nie pamiętamy hasła… • Nawet numer dzwoniącego telefonu możemy sfałszować (tzw. caller ID spoofing) – w sieci pełno jest takich komercyjnych usług… © Adam Ziaja <adam@adamziaja.com>
  • 23. Wygoda przede wszystkim! © Adam Ziaja <adam@adamziaja.com> …i możemy aktywować opcję telefonicznie – bez kodu SMS …i kody zabezpieczające do przelewów bankowych mogą przychodzić na e-mail
  • 24. „Zabezpieczenia”, a tworzenie „słupa” • Do aktywacji karty internetowej potrzeba: • Plik PDF z kartą  (np. z Allegro bez weryfikacji, płatność kartą lub przekazem pocztowym…) • E-mail (np. tymczasowy adres e-mail) • Dane osobowe (np. z prawa jazdy lub dowodu) • PESEL (np. z prawa jazdy lub generatora…) • Prawo jazdy > dowód – PESEL na awersie • Telefon komórkowy (kod zabezpieczający CVV2 do karty przychodzi SMS-em) © Adam Ziaja <adam@adamziaja.com>
  • 25. „Zabezpieczenia”, a tworzenie „słupa” • receive-sms-online.com • receivesmsonline.net • receivesmsonline.com • receive-sms.com • […] …karty SIM prepaid nie są dobrym rozwiązaniem z uwagi na dane przesyłane do BTS © Adam Ziaja <adam@adamziaja.com>
  • 26. „Zabezpieczenia”, a tworzenie „słupa” © Adam Ziaja <adam@adamziaja.com>
  • 27. „Zabezpieczenia”, a tworzenie „słupa” © Adam Ziaja <adam@adamziaja.com>
  • 28. Ataki APT • Ataki typu APT (ang. Advanced Persistent Threats) są złożonymi, długotrwałymi i wielostopniowymi działaniami kierowanymi przeciwko konkretnym osobom, organizacjom lub firmom • Ataki APT są wykonywane jak testy penetracyjne typu blackbox – główną różnicą jest fakt, że cyberprzestępcy nie mają ograniczeń czasowych… © Adam Ziaja <adam@adamziaja.com>
  • 29. Ataki APT • Atak APT składa się zazwyczaj z trzech głównych etapów: 1. Zebranie informacji (głównie open-source intelligence czyli biały wywiad) 2. Uzyskanie dostępu 3. Kradzież, manipulacja danymi itp. © Adam Ziaja <adam@adamziaja.com>
  • 30. Ataki APT • Ataki APT to problem każdego, nie tylko indywidualnych osób czy małych firm • To nie tylko suche fakty – pierwszy etap (zbieranie informacji) na przykładzie firmy Cisco Systems (amerykańskie przedsiębiorstwo informatyczne, jedno z największych w branży IT)… © Adam Ziaja <adam@adamziaja.com>
  • 31. Ataki APT • Eksport strefy DNS cisco.com – można (było) znaleźć takie informacje jak: • Loginy użytkowników • Topologia sieci • Wykorzystywany sprzęt • […] /* możliwość eksportu strefy DNS zgłosiłem w październiku 2013 zgodnie z polityką „responsible disclosure” – błąd poprawiony */ © Adam Ziaja <adam@adamziaja.com>
  • 32. Ataki APT • Topologia sieci cisco.com • Strefa posiada 1,808,339 rekordów DNS • LAN • 10.0.0.0/8 – 1,236,395 adresów IP • 172.16.0.0/12 – 139,426 adresów IP • 192.168.0.0/16 – 5,070 adresów IP • 1236395 + 139426 + 5070 = 1,380,891 LAN IP © Adam Ziaja <adam@adamziaja.com>
  • 33. Ataki APT • ams-rawouter-vpn.cisco.com (rekord ze strefy DNS) • https://supportforums.cisco.com/people/rawouter © Adam Ziaja <adam@adamziaja.com> …sprawdzenie danych pochodzących ze strefy DNS
  • 34. Ataki APT • https://www.linkedin.com/pub/raphael-wouters/2/68b/754 © Adam Ziaja <adam@adamziaja.com> …weryfikacja w serwisie Linkedin
  • 35. Ataki APT • https://supportforums.cisco.com/robots.txt User-agent: * disallow: /people/ © Adam Ziaja <adam@adamziaja.com> …brak możliwości znalezienia listy użytkowników przez np. Google
  • 36. Ataki APT • https://supportforums.cisco.com/people/aabell 200 • https://supportforums.cisco.com/people/aadamavi 404 • https://supportforums.cisco.com/people/aadegbom 200 • https://supportforums.cisco.com/people/aalassi 200 • https://supportforums.cisco.com/people/aalberio 200 • https://supportforums.cisco.com/people/aalbrech 200 • https://supportforums.cisco.com/people/aalhalaw 200 • https://supportforums.cisco.com/people/aannese 404 • https://supportforums.cisco.com/people/aarafeh 404 • https://supportforums.cisco.com/people/aarcidia 404 • https://supportforums.cisco.com/people/aarlegui 200 • https://supportforums.cisco.com/people/aarrizab 404 • https://supportforums.cisco.com/people/aasfandy 200 • https://supportforums.cisco.com/people/aathwal 200 • https://supportforums.cisco.com/people/aatie 200 • [...] © Adam Ziaja <adam@adamziaja.com>
  • 37. Ataki APT 1. Skrypt analizujący strefę DNS – pozyskane dane to m.in. loginy użytkowników (VPN) 2. Skrypt sprawdzający dostępność profili oraz zapisujący istniejące profile z forum wsparcia – pozyskane dane to imię i nazwisko oraz stanowisko 3. Skrypt parsujący pobrane profile i generujący plik CSV (dane rozdzielone znakiem) 4. Import CSV do Excela… © Adam Ziaja <adam@adamziaja.com>
  • 38. Ataki APT © Adam Ziaja <adam@adamziaja.com> kilka tysięcy rekordów…
  • 39. Najsłabszym ogniwem w bezpieczeństwie IT jest człowiek, czyli drugi etap ataków APT – uzyskanie dostępu… © Adam Ziaja <adam@adamziaja.com>
  • 40. Inżynieria społeczna, inżynieria socjalna, socjotechnika • Drugi etap ataku APT – uzyskanie dostępu np. przez phishing, może mieć postać: • Po(d)rzucony pendrive z naklejką zachęcającą do otwarcia np.: • „Zwolnienia” • „Wypłaty” • E-mail z załącznikiem od organizatorów do uczestników tej konferencji z fałszywego adresu • Telefon „z banku” z pytaniem „celem weryfikacji”, aby pozyskać dodatkowe informacje o osobie… © Adam Ziaja <adam@adamziaja.com>
  • 41. Ataki APT • Ofiarą ataku APT była np. firma Adobe, wyciekły takie dane jak: • Adres e-mail • Hash hasła (hash to nieodwracalna funkcja skrótu) • Podpowiedź do hasła • Podpowiedzi zostały wykorzystane do łamania hashy haseł, ponieważ hashe się powtarzały… © Adam Ziaja <adam@adamziaja.com>
  • 42. Ataki APT © Adam Ziaja <adam@adamziaja.com>
  • 43. Dziękuje za uwagę! Adam Ziaja <adam@adamziaja.com> http://adamziaja.com