Post on 12-Jun-2015
Технически и нетехнически аспекти на хака и хакването. PII,
Кибер престъпност и Господин Никой.
И З Г О Т В И Л :Д И Л Я Н А П Е Т Р О В А Ф . № 1 1 5 0 9И КО Н О М И Ч Е С К И У Н И В Е Р С И Т Е Т – В А Р Н А
В А Р Н А 2 0 1 4
Въведение
Глава първа – Хакери / кракери и социални инженери
• Определения
• Видове хакери / кракери
• Social Engineering
• История и развитие на фигурата на хакерa
Глава втора – господин Никой. Моят Роб, който взриви АЕЦ „Белене“ и отрови язовир „Цонево“
• PII – Лична идентифицируема информация
• Как се сдобихме с неговата информация и го превърнахме в господин Никой
• Изводи
ГЛАВА ПЪРВА – ХАКЕРИ / КРАКЕРИ И СОЦИАЛНИ ИНЖЕНЕРИ
Определениe
ХАКЕР – НЯ КОЙ, КО ЙТО РАЗБИВА О ПРЕДЕЛ Е НА КОМПЮТ ЪРНАСИСТЕМА НА Й- ЧЕ СТО С Ц ЕЛ ОБЛ АГА – НЕ ЗА ВИ СИМО Д АЛИ ТОВ А ЕС Ц ЕЛ ПРИДОБИВАНЕ НА ИНФОРМАЦИЯ, ПРИСВОЯВАНЕ НАДА ННИ, СЪЗД АВ А НЕ НА НЕ ПО ЗВ ОЛЕ НИ ОТ ПОДДЪРЖ АЩИТ ЕСИСТЕМАТА СПЕ ЦИАЛ ИСТ И ПРОМЕ НИ В СИСТЕМАТА , КОИТОЧ Е СТО В ОДЯ Т ДО НЕЙНИЯ СРИ, НЕДОБРА ФУ НКЦ ИОНА Л НОСТ, ИЛ ИНЕ ПРА В О МЕ РНО ИЗПОЛ ЗВА НЕ НА СА МАТА НЕ Я И Д А ННИТ Е В НЕ Я .
Видове хакери / кракери
Кракерите можем да разделим според това с какви цели хакват, т.екакви намерения имат, каква умисъл влагат и какви социо-политико-икономически убеждения имат, за да извършат своитепрестъпления и пробиви.
• White Hat
• Black Hat
• Gray Hat
• Blue Hat
• Хактивист
Social Engineering„ Можете да похарчите цялосъстояние за техника и услуги, исигурността на мрежата ви дабъде все така уязвима предизтърканите похвати наманипулацията.“ – Кевин Митник
Всичкия технологичен хакинг езагуба на време ако имате пропускв човешката система! Всичкиинвестирани милиони в сигурностотиват „в канала“, акослужителите Ви не са обучени давнимават и не са чували за SAT –Секюрити Ауернес Трейнинг!
История и развитие на фигурата на хакера (1)
• За начало на техническото хакване се смятат 50-те 60-те годинина 20-ти век. Истинското хакване започва с телефоните, а не скомпютрите – Phone Phreaking. Едни от най-известните хакери иосновоположници са Стив Уозниак, Джон Дрейпър и КевинМитник. Фрейкинга се използва с цел провеждане на безплатнимеждународни разговори в аналоговите телефонни мрежи. Товае възможно благодарение на Блубокс – устройство, коетопресъздава серия от звуци разпознати от телефонната централа,като сигнал даващ свободна международна линия.
• Това е ерата на нърдовете, често мотивирани единствено отсвоята любознателност и работещи единствено за своеудоволствие, без да реализират конкретни финансови изгоди.
История и развитие на фигурата на хакера (2)
• Средния етап е в развитието на хакерството е ерата на зората иразвитието на компютърните технологии.
• През този етап хакерите работят на дребно и предимно за себеси. Разликата с първия етап е, че тук вече те работят с целреализиране на печалби и финансови изгоди.
История и развитие на фигурата на хакера (3)
Съвременния период се характеризира с две основни черти:
• Първата е, че целите на хакерите в днешни дни са сходни сцелите, които са имали техните предшественици - крадене наинформация и интелектуална собственост, промишлен шпионаж свисокотехнологични средства, с основна идея реализиране нафинансови приходи и изгоди. Разликата е, погледите на хакеритесе изместват от индивида към корпорацията и държавата.
• Втората характеристика - по настоящем хакерите не работятиндивидуално и самостоятелно, а в екип от няколко човека сръководител и изпълняват високо платени проекти и поръчки.Хакер в днешно време, а и в бъдеще може да се нарече професия.
История и развитие на фигурата на хакера (4)
Ако разгледаме статистикитеясно ще установим тенденция,че над 50% от атаките са билинасочени къмПравителствения иКорпоративния сектор. Вднешно време 2/3 отхакерството е организирана иконтролирана високоплатенадейност, която сехарактеризира с ясно и точнопоставени цели, задачи иконкретно търсени резултати.
ГЛАВА ВТОРА - “ГОСПОДИН НИКОЙ. МОЯТ РОБ, КОЙТО ВЗРИВИ АЕЦ
„БЕЛЕНЕ“ И ОТРОВИ ЯЗОВИР „ЦОНЕВО““
PII – Personally Identifiable information (1)
НА Й- ОБЩО ПОД ЛИЧ НИ Д А ННИ, К АТО ПРА ВЕ Н ТЕ РМИН И ПОНЯТИЕВ ИНФО РМА Ц ИО ННАТА СИГУРНО СТ СЕ РАЗБИРА - ИНФ О РМАЦИЯ,КО ЯТО МОЖ Е ДА БЪДЕ ИЗПОЛЗВ А НА САМА ПО СЕБЕ СИ ИЛИ ВКОМБИНАЦ ИЯ С ДРУГА ИНФ О РМАЦИЯ, С Ц ЕЛ Д А СЕИДЕ НТИФИЦИРА , ЛО К АЛИЗИРА ИЛИ ОСЪЩЕ СТ ВИ КО НТА КТ СО ПРЕДЕЛ ЕНО Л ИЦЕ ИЛИ, ЗА Д А СЕ ИДЕ НТИФИЦИРА ДАД Е НИНДИВИД В О ПРЕДЕЛЕ Н КО НТЕ КСТ ИЛ И В УСЛО ВИЯТА НАЦ Я Л ОТО.
PII – Personally Identifiable information (2)
Ч Е СТО СА МИТЕ НИЕ КОМПРОМЕ ТИРАМЕ СО БСТ ВЕ НАТА СИСИГУРНОСТ, К АТО ИЗХ ВЪРЛ ЯМЕ СТАРИ И НЕ НУЖ НИ ДОГО ВО РИ,В НО СНИ БЕЛЕ Ж КИ И БЕЛЕЖ К И ОТ БА НКОМАТИ, ПЛ АТЕЖ НИНА РЕЖД АНИЯ , ЛИСТЧ ЕТО С ПИН КОДО ВЕТ Е, КОЕТО БА НК АТА НИ ЕИЗД АЛ А, СТА РИ АВ ТО БИОГРАФИИ, СТАРИТ Е СИ Х АРД ДИСКО ВЕ ИДРУГИ . ТАК А ТЕ СТАВ АТ ЛЕ СЕ Н О БЕ КТ НА DUMPSTER DIV IN G ОТСТРА НА НА КО НКУРЕ НТ И , КОИТО НИ Ш ПИОНИРАТ,НЕ ДО БРОЖ ЕЛАТ ЕЛИ И Л И КО ЙТО И Д А Е .
PII – Personally Identifiable information (3)
Аутентикацията може да сеизвърши чрез три способа:Нещо, която знаеш, Нещокоето имаш, и Нещо което си.Комбинация от два способаправи двуфакторнааутентикация. Комбинация оттрите прави трифакторнааутентикация – пример:картата на IDEX .
Как се сдобихме с неговата информация и го превърнахме в господин Никой
ПЪРВАТА С ТЪПКА ПРЕДИ ВС ЯКО ХАКВАНЕ Е РАЗУЗНАВАНЕТО НАВРАГА . АКО НЯМА ВСИЧКАТА НЕОБХОДИМА ИНФОРМАЦИЯ ЗАЦЕЛТА ХАКЕРЪТ ЧЕСТО МОЖЕ ДА СРЕЩНЕ ТРУДНОСТИ , ЗА КОИТОН Е Е ПОДГОТВЕН . ТОВА МОЖЕ ИЛИ ДА ГО ЗАБАВИ ДО ТОЛКОВА,ЧЕ ДА БЪДЕ ЗАСЕЧЕН ОТ СПЕЦИАЛИСТИТЕ ПО СИГУРНОСТТА ,ИЛИ НАПРАВО ДА ПРОВАЛИ МИСИЯТА М У. ТУККОНТРАРАЗУЗНАВАНЕТО И ДЕТАЙЛНОТО С ЪБИРАНЕ НАИНФОРМАЦИЯ, Е СТЪПКА НОМЕР 1 В ПРОЦЕСЪТ. ТОВА ВАЖИ,К АК ТО ЗА ХОРАТА, ТА К А И ЗА ОРГАНИЗАЦИИТЕ .
Как се сдобихме с неговата информация и го превърнахме в господин Никой
В КАЗУС 1 Щ Е ПРЕДПОЛОЖИМ, ЧЕ АЕЦ „БЕЛЕНЕ“ Е ПОС ТРОЕН ИНАПЪЛНО ВЪВЕДЕН В ЕКС ПЛОАТАЦИЯ .
В К А ЗУС 2 ЦЕЛТА Н И Е Д А ОТРОВИМ ЯЗО ВИ Р „ЦОНЕВО“ .
И ЗА ДВАТА КАЗУС А ЩЕ НИ ТРЯБВАТ И ТЕХНИЧЕСКИ, ИНЕТЕХНИЧЕСКИ МЕТОДИ И ПОХВАТИ .
Изводи:
• Хората вярват на хората, с които имат интимнивзаимоотношения, използвайте това, като свое предимство.
• Когато и ако някой Ви хване на неподходящо място, просто гозаговорете първи, бъдете дружелюбни и скрийте смущението задусмивката си, помолете да Ви упътят, тъй като сте се изгубилидокато сте търсили тоалетната, банята, стълбището, изхода иликаквото и да е.
• Хората не се интересуват от сигурността и често я забравят, ипренебрегват смятайки, че тя ги забавя, затруднява или направосе явява пречка пред това да си вършат работата. Не бъдете катотях.
Изводи:• Една добра политика по сигурността трябва ВИНАГИ да е добре
балансирана и фино настроена. Винаги дефинирай политикатавъзможно най-кратко. Така лесно се запомнят от служителите.
• Каквото е създадено от човек, може да бъде разбито от човек.
• Когато не можете да преодолеете сигурността, пробвайте да я заобиколите (Bypass it).
• Пазете личните си данни и корпоративните данни. Никой няма да го направи вместо Вас, но много хора биха искали да се сдобият с тях по ред причини.
Изводи:• Внимавайте, какво публикувате в интернет, като информация.
Никога не знаете, кой и как ще реши да ги използва. Гугъл иФейсбук „ не забравят “.
• Винаги използвайте похвата “ Сигурност в дълбочина „ – “Securityin Depth”. Това означава, да използвате контроли на няколко слоя.Контрол на едно единствено място е като Single Point Of Failure.Ако бъде пробита получават достъп до всичко.
• Внимавайте как се справяте с ненужни данни. Хартията ви нацели листи ли отива в контейнера? Ненужните стари дискове сфайловете по тях ли отиват за продажба или дарение? Знаете лив чии ръце ще попаднат?
БЛАГОДАРЯ ЗА ВНИМАНИЕТО!