Bezpečnostní tým na VŠB-TUO

Transkript

1 Bezpečnostní tým na VŠB-TUO Ing. Radomír Orkáč , Ostrava

2 O nás Bezpečnostní tým Martin Pustka, Jiří Grygárek, Pavel Jeníček, Radomír Orkáč, Martin Šviček. Síť VŠB-TUO má název TUONET: /16, 2001:0718:1001::/48, studentů a 2853 zaměstnanců ( ), přes registrovaných zařízení, běžně 1400 klientů WiFi sítě současně, nejvyšší špička byla klientů WiFi.

3 Co řešíme.. Řešení bezpečnostních incidentů: malware (škodlivý kód), porušování zákona a pravidel pro připojení, napadání, skenování, rozesílání nevyžádáné pošty, zneužívání diskuzních fór a návštěvních knih, krádeže IP adres (užití bez registrace), neoprávněný provoz bezdrátových přístup. bodů, phishing.

4 Postup při řešení Přijetí incidentu. Zdokumentování pracovníkem bezp. týmu. Závažná ohrožení - blokace uživatele, stanice, webu. Kontaktování uživatele / správce. Řešení incidentu provádí uživatel stanice / příslušný správce stanice (např. fakultní, rektorátní). Uživatel / správce, po vyřešení problému, informuje o způsobu a výsledcích pracovníka bezp. týmu.

5 Postup při řešení Pracovník bezp. týmu dohlíží na řešení problému. Po přijetí informace o vyřešení od oprávněné osoby a po ověření tohoto faktu může incident uzavřít. Při uzavření incidentu vyrozumí pracovník bezp. týmu o tomto faktu uživatele i správce koncové stanice a zajistí publikaci tohoto faktu v informačních systémech.

6 Informace pro řešení BI Uchováváme záznamy o automatickém přidělování IP adres jednotlivým počítačům. Uchováváme záznamy autentizačního serveru. Bezdrátová síť (WiFi) a vzdálené připojení do naší sítě (VPN). Evidenční / registrační systém Netis. Koleje a Centrum Informačních technologií,. 3Q 2008 všechny nové registrace. Eviduje se IP adresa, MAC adresa, login, čas.

7 Informace pro řešení BI Hlídáme především: sdílení chráněných dat (hlavně P2P, ulozto.cz), zneužívání diskuzních fór, krádež IP adres, měření přenesených dat, Externí podněty: CESNET, BayTSP Inc., zástupci Columbia Pictures,... Policie ČR.

8 Provozní řády a pravidla Provozní řád bezpečnostního týmu: zdroje incidentů, detekce, přijímání incidentu, postup při zpracování, technické a personální zajištění provozu. Pravidla pro připojení do sítě: práva, povinnosti, sankce.

9 Provozní řády a pravidla Pravidla pro připojení do sítě Uživatel musí dodržovat Pravidla užívání počítačové sítě VŠB-TUO (TUO_SME_99_002). Uživatel je povinen neprodleně hlásit porušení stanovených pravidel provozu počítačové sítě jejímu správci. Uživatel má povinnost zaregistrovat informace o své osobě a zařízení. Administrátor je oprávněn dočasně odpojit od sítě počítač, který je napaden.

10 Provozní řády a pravidla Příklady činností, které jsou ve zřejmém rozporu se stanovenými pravidly Komerční využívání Internetu. Provozování serverů, PC s nelegálním SW nebo s obsahem porušujícím autorská práva. Získání neautorizovaného přístupu (hacking). Připojení dalších PC do počítačové sítě bez souhlasu administrátora. Nepovolená instalace bezdrátového přístup. bodu. Změna přidělené IP adresy.

11 Ohlédnutí Institucionální podpora: Návody, dokumentace, vzor zasílaných zpráv: konkrétní postupy, FAQ, pravidelná revize. Evidence BI: vymahatelnost, schválení postupu řešení BI. zodpovědnost za řešení a zastupitelnost, archiv vyjádření, recidiva. Od konce roku ,791 bezp. incidentů. phishing incidentů, porušování autorských práv incidentů, zavirování incidentů.

12 Policie ČR Žádost o zjištění uživatele IP adresy.... Zdejší součást Policie ČR provádí šetření podezření z možného spáchání trestného činu podle 197a tr. zákona, kdy dosud neustanovení podezřelí vyhrožují na diskuzním fóru internetových stránek fyzickým napadením a smrtí konkrétní osobě. Z provedené zálohy a zjištění přístupových logů bylo zjištěno, že jeden z vyhrožujících se připojil pod IP adresou x.x, která by měla být provozována Technickou univerzitou v Ostravě....

13 Oznámení / denní sestavy IP/DNS: x / kolcxxx.vsb.cz MAC: 00:23:8b:ab:cd:ef Login: abc001 (alexander abecedny) Tikety v idesku: #109xx (zavirovani (kolcxxx.vsb.cz) - [abc001] resolved bezpecnostni sitove incidenty) Zacatek: :04: Konec: :59: Netflow: 263 (spojeni) x SMTP_activity mtain-me.r1000.mx.aol.com mtain-mg.r1000.mx.aol.com mtain-mh.r1000.mx.aol.com mtain-ma.r1000.mx.aol.com mtain-mc.r1000.mx.aol.com mtain-md.r1000.mx.aol.com mc.mx.aol.com mtain-mp.r1000.mx.aol.com mtain-mi.r1000.mx.aol.com bay0-mc1-f.bay0.hotmail.com bay0-mc2-f.bay0.hotmail.com bay0-mc3-f.bay0.hotmail.com bay0-mc4-f.bay0.hotmail.com col0-mc1-f.col0.hotmail.com col0-mc2-f.col0.hotmail.com col0-mc3-f.col0.hotmail.com col0-mc4-f.col0.hotmail.com mx3.hotmail.com mx4.hotmail.com mx1.hotmail.com mta-v2.mail.vip.mud.yahoo.com mtav3.mail.vip.mud.yahoo.com mta-v5.mail.vip.mud.yahoo.com mta-v1.mail.vip.ac4.yahoo.com mta-v2.mail.vip.ac4.yahoo.com pv-in-f27.1e100.net mta-v1.mail.vip.sk1.yahoo.com mta-v3.mail.vip.sk1.yahoo.com 36 x IP nevypsana..

14 Oznámení / denní sestavy xxx.xxx pcx333x.vsb.cz MAC: ab:cd:ab:cd:ab:cd Login: abc001 (alexander abecedny) Kalkulace: 129 Pocet: 169 Cil.IP: 1 Cil.nonDNS: 0 Ohodn: 1/1 Kalkul: Incident: Downadup/Conficker A or B Worm reporting xxx.xxx pcx333x.vsb.cz MAC: ab:cd:ab:cd:ab:cd Login: abc001 (alexander abecedny) Upload: 100 MB torrent: The Frames [9 Albums] + The Swell Season + Once OST torrent: X-Men.Origins.Wolverine-RELOADED dcpp: Pinnacle Studio Ultimate v with Plug-Ins

15

16

17 Nahlášení phishingu Ahoj, nekdo u vas rhybari.. Vazeny pane kolego, Mam na nize reagovat? S pozdravem. Zdravím Vás. Právě mi přišel s pokusem o záskání mého přístupu do pošty, zdrojový kód viz níže. Obávám se, že je dost nebezpečný. Odpovídat mi není třeba - jen na něj upozorňuji. Mně nenachytají.. Dobry den, prisel mi nize pripojeny podezrely (odesilatel - VŠB-TU Ostrava <customerservice@vsb.cz>). Tak na nej upozornuji. S pranim hezkeho dne,. Omylem jsem na to kliknul a pokousel se prihlasit s pozdravem Ing.. Dobrý den, upozorňujete na nevyžádané y. Já jsem obdržela ten níže zkopírovaný bohužel jsem vyplnila ten "formulář pro upgrade sveho účtu". Jak mám ted postupovat? Děkuji,.

18 Nahlášení phishingu Už jste nám nahlásili podvodnou zprávu? phishing I rektor VŠB nám podvodné zprávy hlásí;-)

19 podvodná stránka

20 podvodná stránka

21 podvodná stránka

22 podvodná stránka

23 podvodná stránka

24 originální stránka

25 podvodná stránka

26 podvodná stránka

27 podvodná stránka

28 Varování Zdravim Radku, dostal jsem informace o moznem utoku na web stranky vsb. Melo by to byt zitra Informace jsme dostali od nasich kolegu v projektu INDECT. Pavel Dear..., I just got information that there will be a serious hacking attack against at least all members of the INDECT project. CERT.at suggested to guard against this event. More details you can find below. Best...

29

30 Incidenty Reakce na zablokování: Dobrý večer, porušil jsem autorský zákon, kdy jsem stahoval přes torenty.nevěděl jsem, že tím i data sdílím.hrozí mi nějaký trest nebo pokuta? Děkuji Výpadek elektřiny na kolejích: Si z nás do prdele děláte už srandu né, koukejte to OKAMŽITĚ zapnout, za co vám tady platíme takový ceny, nejste schopní dát do provozu ani internet k*rva. Podvržený - Komu: <rektor@vsb.cz> Beru tě za slovo ty k***rvo :-D <rektor@vsb.cz> napsal(a): Vubec nechodite do skoly vy z*rde, aby ste skapal do rana!! Uz sem nechodte!!

31 Dotazy? Děkuji za pozornost.

32 Autorská práva Ing. Radomír Orkáč Prezentaci lze šířit pod licencí Creative Commons Attribution 2.5