Kyberbezpečnost, HP a vy.
|
|
- Aleš Bílek
- před 8 lety
- Počet zobrazení:
Transkript
1 Kyberbezpečnost, HP a vy. Se vzrůstající závislostí společnosti na informačních technologiích vzrůstá i riziko zneužívání těchto technologií nebo útoků na tyto technologie, které mají rozsáhlé dopady na činnost subjektů, které s nimi pracují, a které mohou potencionálně mohou vést ke značným škodám. Důvodová zpráva k zákonu o kybernetické bezpečnosti, NBÚ, 2011 It's now clear cyber threat is one of the most serious economic and national security challenges we face as a nation. It's also clear that we're not as prepared as we should be, as a government or as a country. Barack Obama, May 29, 2009 REMARKS BY THE PRESIDENT ON SECURING NATION'S CYBER INFRASTRUCTURE HP Solutions #2 V minulém čísle nás Honza Kameníček provedl pohledem HP na bezpečnost IT, nastínil navrhovaný zákon o kybernetické bezpečnosti a představil portfolio produktů, které HP nabízí zákazníkům pro řešení problémů s počítačovou bezpečností. Dnes bychom vám rádi představili český tým, který se bezpečností zabývá denně do posledního detailu. 1/13
2 Aby čtenář lépe nahlédnul, dovolíme si citaci: Pokud bychom to řekli laicky, tak forenzní analýza IT prvků analyzuje jakákoliv digitální data s cílem určit, co se stalo, kdy se to stalo, jak se to stalo a koho se to týká. Metodologicky je to podobné, jako když se vyšetřuje jiný incident ve fyzickém světě například vražda nebo loupež. Odkaz: Rozhovor Co vlastně forenzní laboratoř dělá, kde se nachází a kdo je členem? Projekt forenzní laboratoře (dále již jen FLAB) spadá pod CESNET-CERTS*. Naše činnost v oblasti bezpečnosti není prakticky nijak omezena, v praxi se jedná o průzkum elektronických stop z napadených počítačů, síťové komunikace atp., jejich analýzu a interpretaci. Dlouhodobým cílem je poskytnout našim zákazníkům komplexní služby v oblasti správy a řešení bezpečnostních incidentů. Naše schopnosti a zkušenosti mimo jiné prezentujeme na bezpečnostních konferencích typu Europen.CZ, IDET, Sans.org a dalších. Přesná poloha pracoviště je přísně utajována, pracujeme zde s citlivými daty našich zákazníků a nemáme rádi nečekané návštěvy.členy FLAB jsou v současné době Aleš Padrta, Karel Nykles a Radoslav Bodó. Jaký je váš IT background? Radoslav: Můj první počítač byl Didaktik Gamma, správou internetových služeb se zabývám od roku 2000, jsem absolventem Fakulty aplikovaných věd ZČU obor Distribuované systémy. Základní zkušenosti s bezpečností IT jsem získal díky svému působení v Centru informatizace a výpočetní techniky při ZČU v Plzni (CIV), zbytek přišel v průběhu let rozličnou povečerní praxí... Aleš: Původním povoláním jsem kybernetik a jak říkají prarodiče umělý inteligent. Což má k IT velmi blízko a k bezpečnostním aspektům je pak jen krůček. Na ZČU jsme v roce 2006 s kolegou R. Bodó založili tým pro řešení bezpečnostních incidentů (dnes by se už označoval jako CSIRT*), pak přišla spolupráce s CESNET-CERTS* a aktuálně projekt FLAB. Cestou jsem posbíral nějaké certifikáty z IT školení, ale není nad zkušenosti získané na bitevním poli. Jste stále na straně WhiteHat? Aleš Padrta Aleš má za sebou osmiletou praxi v IT, přičemž zkušenosti získal při svém působení na Západočeské univerzitě v Plzni a ve sdružení CESNET, z.s.p.o. Pracovní náplní Aleš Padrty je řešení bezpečnostních incidentů a jejich předcházení. Kromě technických opatření se také věnuje vzdělávání (nejen) uživatelů a ve volném čase se zabývá sociálním inženýrstvím. apadrta@civ.zcu.cz LinkedIn: bodik@civ.zcu.cz LinkedIn: Publikace: cv.php Radoslav Bodó Operations security officer ZCU Radoslav Bodó má za sebou více než desetiletou praxi v oblasti správy internetových služeb a serverů. Své zkušenosti získal převážně na akademické půdě působením v různých institucích v ČR, zejména pak v Centru informatizace a výpočetní techniky při Západočeské univerzitě v Plzni, Cesnetu z.s.p.o. a Metacentrum.cz. Ve své pozici je odpovědný za provoz a bezpečnost svěřených a projektovaných systémů a jako bezpečnostní konzultant i za incident handling a incident response v přidělených případech. Radoslav je absolventem ŽCU a v současné době žije se svou rodinou v západních Čechách. HP Solutions #2 2/13
3 Radoslav: No to rozhodopádně! Aleš: Copak to je za otázku? Forenzní analytik přeci musí být nestranný, zajímají ho pouze fakta. Jaké prostředky SW/HW používáte Radoslav: Největší část pracovního času trávím na platformě x86 s OS Linux. Základem jsou samozřejmě coreutils, BackTrack, FTK, IDA Pro*, různé virtualizační a cloudové platformy... Většinou se jedná o nástroje pro simulaci chování operačních systémů, nástroje pro získávání elektronických stop ze zkoumaných dat, internetové zdroje informací apod. Aleš: Zpravidla zpracováváme obrazy disků napadených počítačů, takže ohledně HW si vystačíme s běžnými prostředky. V oblasti forenzního zkoumání specializovaného HW nebo mobilních zařízení jsme od našich zákazníků zatím žádné požadavky neobdrželi. Ale vzhledem k vývoji IT se na tyto oblasti potichu připravujeme. Jaká je vaše nejběžnější práce? Radoslav: Přesvědčovat lidi, že zavirovaný počítač musí opravdu přeinstalovat ;) Ne vážně... Nejčastější práce je průzkum dodaných obrazů napadených počítačů a zodpovězení na otázky typu Jak se tam ten uličník dostal? Aleš:...a v ostatních případech za námi chodí uživatelé a kladou nám rozličné a zvídavé otázky, nad kterými sami nechtějí trávit čas nebo by nalezení odpovědi sami nezvládli. Nejběžnější prací je tedy samostudium a hledání odpovědí. Někdy je potřeba provádět i experimentální ověření hypotéz. Jak probíhá spolupráce s FLAB? Při prvním kontaktu je třeba se alespoň lehce seznámit, protože není možné konzultovat otázky bezpečnosti s úplně cizí entitou. Nejlépe prostřednictvím existujících kontaktů nebo Trusted Introducer* ( Následuje dodání vstupních dat, typicky obraz disku, záznamy o síťovém provozu, průvodní list, popis prostředí a hlavně otázky k zodpovězení. Pak už se pustíme do vlastní analýzy, rozboru a zpracování případu. Někdy jde o iterativní proces, kdy si občas vyžádáme i doplňující materiály. Na závěr je vždy sepsána tzv. závěrečná zpráva, která je přehledná a čitelná pro běžného smrtelníka a jejíž součástí jsou i přílohy s technickými detaily a zdůvodněním pro příslušné pracovníky na straně zadavatele. Co zajímavého jste řešili v poslední době Zajímavá byla určitě reverzní analýza ransomware Policie ČR (detaily viz Příloha 1). Spolupracovali jsme také na analýze DDoS* útoků na společnosti v ČR (detaily viz Příloha 2). Náš poslední projekt se týkal zkoumání SSD* s ohledem na uchování smazaných dat. Co dělat, aby se k vám můj počítač nedostal? Radoslav: Je potřeba chovat se a vyvíjet či provozovat služby bezpečně. Existuje řada pouček, analogických a k tomu, že se rozhlížíte dříve, než vstoupíte do vozovky Používat legální OS a SW, firewall a antivir. Zběsile neklika na všechno co vidíte na obrazovce a to ani na tlačítka typu Zavřít. Aleš: Nikdy neposílat svůj mozek na dovolenou. Drtivou většinu problému si totiž uživatelé způsobují sami svým řekněme neuváženým chováním. Co dělat z pohledu IT infrastruktury, abyste se jí nemuseli ve FLAB zabývat? Bezpečnost je jednak proces, jednak aspekt, tj. nelze si ji koupit a číhá všude. V praxi to pak znamená mít v IT oddělení pracovníky vyhrazené pro vykonávání bezpečnostních úkolů, konzultovat s tímto týmem veškeré úkony v infrastruktuře spojené, a to i v případech, kdy se jedná o maličkost. Mít firewally (paketové filtry vytvářející síťové perimetry) je nutná, nikoli postačující podmínka. IDS/IPS/ WAF/Honeypoty* jsou velmi dobré nástroje, ale někdo musí zpracovávat jejich výstup. Osobně se nám velmi osvědčila automatizace některých úkonů spojených s řešením bezpečnosti IT, HP Solutions #2 3/13
4 mám na mysli hlavně automatickou izolaci (odpojení nebo odposlech) podezřelých uzlů v síti - v rozlehlé infrastruktuře to šetří čas a vylepšuje reakční dobu na nastalé incidenty - nejdřív střílím a potom se ptám. Čtenáři HP Solutions jsou i nejvyšší manageři organizací, dovedete jim popsat, na co zaměřit investice, aby se s vámi nemuseli setkávat? Radoslav: Nejlépe do vlastních lidí, školení a úpravě procesů. Mít nejnovější černou skříňku, která to či ono řeší, je hezké, proměnit zaměstnance na bezpečnostní senzory je lepší. Není to z mé hlavy, ale zato je to pravda. Aleš: Tak to už je třetí otázka za sebou na téma, jak se nám vyhnout :) Jistě, setkání s námi znamená, že potřebujete analyzovat nějaký závažný problém. Na druhou stranu, pokud už problém (bezpečnostní incident) nastal, pouze podrobná analýza poskytne dostatek informací o tom, co se stalo, jak k tomu došlo, a z toho pak vyplývá, jak zařídit, aby se to nemohlo opakovat. My jsme na stejné straně barikády, a není tedy třeba se nám vyhýbat. Závěrem Radoslav: Pokud máte podezření, anebo dokonce jistotu, že nastal bezpečnostní incident, první, co byste měli udělat, je odejít na deset minut od klávesnice a uklidnit se, v zápalu prvních reakcí je často zničeno nebo opomenuto mnoho důležitých věcí - Leif Nixon Slovníček pojmů CESNET-CERTS CESNET: Sdružení CESNET založily vysoké školy a Akademie věd České republiky. Jeho cílem je výzkum a vývoj informačních a komunikačních technologií, budování a rozvoj e-infrastruktury určené pro výzkum a vzdělávání. (Zkratka CESNET znamená Czech Education and Scientific NETwork.) CESNET-CERTS (CERT Computer Emergency Response Team organizace, která se stará o řízení bezpečnostních incidentů) Část organizace CESNET, která se stará o řešení IT bezpečnostních incidentů. CSIRT Podobně jako CERT se Computer Security Incident Response Team stará o řešení incidentů v IT. CERT je registrovaná značka Carnegie Mellon University WhiteHat Označení hodných bezpečnostních odborníků, hodných hackerů. coreutils, BackTrack, FTK, IDA Pro Utility, které se používají při běžné forenzní analýze. Trusted Introducer ( org/) Adresář akreditovaných organizací, které se starají o provoz a řízení bezpečnostních incidentů v jednotlivých zemích. Ransomware Typ škodlivého kódu, který se po infekci počítače snaží z uživatele získat finanční prostředky například pomocí anonymních plateb DoS, DDoS (Distributed ) Denial of Service (Distribuované) útoky k zahlcení služby, kdy jsou na službu (Web server nebo jiné části IT infrastruktury) jsou vedeny masivní počty požadavků s cílem zahltit, odstavit službu. IDS/IPS Intrusion Detection/Prevention System systém pro detekci/zadržení útoků WAF Specializovaný firewall pro zastavení útoků na webové služby Honeypot Doslova hrnec medu, na který se mohou lepit útočníci, a bezpečnostní odborníci tak mohou studovat chování útočníků nebo škodlivého kódu. HP Solutions #2 4/13
5 Follow UP (outro): HP disponuje v současnosti jedním z největších a nejkvalifikovanějších týmů pro řešení v oblasti informační bezpečnosti poskytujícím zlepšování řízení bezpečnosti, omezování informačních rizik, udržování souladu s předpisy, ochranu dat, dostupnost služeb a zvyšování provozní efektivity IT. Bezpečnostní řešení HP jsou vždy postavena na těch technologiích, které přinášejí zákazníkovi ten největší přínos. Mohou tak být postavena jak na vlastních produktech HP ArcSight, HP Tipping Point, HP Fortify a podobně, tak na komerčních produktech jiných výrobců představujících špičku trhu, ale také na kvalitním volně šiřitelném softwaru. Bezpečnostní řešení HP jsou vždy postavena na těch technologiích, která přinášejí zákazníkovi ten největší přínos. HP vnímá posun v kybernetické legislativě EU i České republiky konzultanti firmy HP aktivně připomínkovali návrh zákona o kybernetické bezpečnosti. Mnoha organizací se dotkne účinnost připravovaného zákona o kybernetické bezpečnosti a mnoho z nich netuší, jestli budou v souladu s tímto zákonem, popřípadě co je třeba změnit a naplánovat. Pro usnadnění orientace v požadavcích a dopadech nového zákona o kybernetické bezpečnosti HP Česká republika připravila jednoduchou a rychle proveditelnou službu, nazvanou HP Cyber Security Assessment (Příloha 3). Provedením assessmentu získá organizace kompletní přehled o připravenosti technické infrastruktury a organizačních procesů na působnost nového zákona o kybernetické bezpečnosti. Vizitka autora Jakub Urbanec Information Systems Architect CZ, Technology Services Jakub má za sebou více než patnáctiletou praxi v IT, převážně v pozicích souvisejících s bezpečností IT. Zkušenosti sbíral na Západočeské univerzitě v Plzni a v německé firmě GK Software AG. Nyní působí jako konzultant IT bezpečnosti v části Technology Services, HP. Ve své práci je Jakub zodpovědný za bezpečný vývoj, ochranu IT prostředků a také dokumentační a standardizační projekty IT bezpečnosti u velkých i malých zákazníků. Jakub je absolventem Západočeské univerzity oboru Distribuované systémy a počítačová sítě, žije za Plzní s rodinou, psem a kočkou. Svůj volný čas dělí mezi rodinu, fotografování a sporadické sportovní výkony. jakub.urbanec@hp.com Web: LinkedIn: urbanec
6 Příloha 1. Ransomware policejní virus na pitevním stole Tvůrci malwaru kvůli zisku neúnavně vymýšlejí stále nové finty. Jednou z nich je opustit komplikované obchodní modely s prodejem ukradených informací a získat od uživatelů peníze přímo. A pěkně automaticky, ať s tím není mnoho práce. Podívejme se do útrob jednoho konkrétního vyděračského malware. Setkání s ransomware O tomto malware, který se zaštiťoval Policií ČR, lze najít pěkný popis například v edukativním varování od CSIRT-MU a pozornost si mimo jiné zasloužil i na webech Bezpecne-online.cz, Windroid. cz nebo Technet.cz. Ve zkratce, napadený počítač po zapnutí zobrazí přes celou obrazovku výzvu Policie ČR, která uživatele informuje, že se dopustil trestného činu, a proto byl jeho počítač zablokován. Samozřejmě mu hrozí vysoký trest, ale pokud do 48 hodin zaplatí dva tisíce korun pomocí kuponu Ukash nebo PaySafeCard, bude to považováno za vyřízené. Uživatel nevidí svou plochu, nemůže vyvolat správce úloh a začne přemýšlet, co teď bude dělat. Zaplatit? Zajít na policejní služebnu? Zkusit to obejít? Nechme uživatele řešit své dilema a podívejme se raději na technické pozadí, jak mohl dospět do této nezáviděníhodné pozice. Způsob analýzy Analýza malware proběhla na základě zajištěných stop obrazu disku napadeného počítače, obrazu operační paměti napadeného počítače s aktivním malwarem a odchyceného síťového provozu zachycujícího průběh zadání platebního kódu. Všechna tato data byla dodána zákazníkem forenzní laboratoře. Zásadní informace byly získány reverzní analýzou malware, který bylo nejprve třeba dekódovat, protože byl použit packer Morphine. Vlastní analýza probíhala s pomocí specializovaných nástrojů pro reverzní inženýrství OllyDbg a IDA Pro. Druhý zmiňovaný nástroj je schopen instrukce a jejich návaznosti zobrazovat v grafické podobě, což zásadně ulehčuje práci. Navíc díky modulu FLIRT (Fast Library Identification and Recognition Technology) umí rozpoznat standardní knihovní funkce běžných kompilerů a urychlit analýzu. Bylo zjištěno, že malware se skládá ze dvou nezávislých částí. První částí je klient botnetu, který napadený počítač zapojí do příslušné sítě a očekává pokyny z C&C serveru. Druhou částí je pak vlastní aplikace, kterou uživatel vidí a která po něm vyžaduje platbu. HP Solutions #2 6/13
7 Příloha 1. Zapojení do botnetu V první fázi dojde k nakažení systému malwarem, který počítač přemění v zombie a připojí jej do botnetu. Takto napadený počítač pak lze využít ke spuštění ransomwarové aplikace, ale teoreticky i k čemukoliv jinému. Nakažení systému Mechanismus infekce může být obecně různý, od viru v závadné příloze u nebo na výměnném médiu, přes síťové červy a napadené webové stránky zneužívající zranitelností systému či aplikací, až po sociální inženýrství. Často jde o kombinaci uvedeného. Analyzovaný ransomware má poměrně dobře fungující infekční mechanismus. Nejprve jsou ovládnuty vytipované stránky typicky s obsahem pro dospělé s nestandardním zaměřením, které pak slouží jako vstupní bod. Při prvním přístupu z daného počítače (identifikace na základě cookies) dojde k přesměrování na jinou stránku obsahující exploit(y), umožňující následné získání přístupu do systému. Přičemž aktuálnost byla pravděpodobně zajištěna používáním komerční sady exploitů. Při analýze byly identifikovány tři různé druhy: zavirovaný PDF soubor, zneužití zranitelnosti prohlížeče Internet Explorer při používání externích fontů a zranitelnost JVM. Výsledkem je pak zahnízdění malware v systému, jeho připojení k botnetu a vyčkávání na další pokyny. Už výběrem stránek sloužících jako vstupní body prokazuje útočník pokročilé znalosti sociálního inženýrství, protože jde o další aspekt, jak uživatele přimět raději k zaplacení než přivolání odborné pomoci. Jistě by při tom totiž vyšlo najevo, co na internetu dělal a jaké stránky navštěvoval. Což u některých typů stránek není uživateli úplně příjemné. Ačkoli infekce ransomwarem převažovala na stránkách s obsahem pro náročné, možnost infekce hrozila i v případě stránek s běžným obsahem. V takovém případě postačí kompromitovat poskytovatele reklamy a k banneru připojit exploit. Mechanismy persistence Slabým místem každého malware je nutnost zajistit své spuštění po restartu systému. V poslední době lze pozorovat trend převážně user-space virů, jež se primárně nesnaží ovládnout celý systém, ale kterým postačí přístup v kontextu práv daného uživatele. Dále uvedeme příklady nejčastějších mechanismů, jimiž si malware zajišťuje přežití restartu. Při každém startu systému jsou spouštěny aplikace uvedené v příslušných registrových klíčích, které se mohou nacházet jak v uživatelské, tak v systémové části registru. Méně známé, avšak používané jsou také hodnoty Shell a Userinit v registrovém klíči HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon. Kromě registrů existuje také složka Po spuštění, přičemž systém a každý uživatel má svůj vlastní adresář obsahující odkazy na spouštěné aplikace a jejich parametry. Spuštění lze zajistit i s pomocí plánovače úloh, který obsahuje množství aktivačních událostí, nejen přihlášení uživatele do systému. Každá úloha má svůj vlastní XML soubor v příslušném adresáři. Kromě výše uvedených standardních možností může malware disponující administrátorskými právy také vytvořit novou službu, driver nebo hook do kernelu. Tyto varianty lze analyzovat obtížněji. HP Solutions #2 7/13
8 Příloha 1. Konkrétní analyzovaný vzorek využíval registrové klíče, jmenovitě byl spouštěn zástupce, který pomocí komponenty rundll32.exe aktivoval vstupní bod v knihovně malware wlsidten.dll. Novější verze malware kromě registrů využívají také složku Po spuštění. Mechanismy ochrany proti odstranění Dalším zájmem malware je zůstat v systému co nejdéle a současně zkomplikovat své odstranění. Prvním soupeřem jsou automatické prostředky, typicky antivirový software (AV). Nepoznány mohou zůstat jen viry, pro který AV ještě nemá definice, tj. viry zcela nové nebo v čase se měnící. Další možností ochrany je AV vypnout nebo dokonce odinstalovat přeci jde jen o software, byť specifický. Poměrně jednoduchou leč účinnou ochranou je také úprava práv souborového systému NTFS, kdy pak AV nemá práva virus smazat. Druhým soupeřem je pak samotný člověk, tedy ten s patřičnými znalostmi. Zde se může virus snažit uživateli blokovat spouštění diagnostických nástrojů, blokovat spouštění nových procesů, případně skrýt plochu apod. Analyzovaný vzorek malware měl v arzenálu schopnost blokovat správce úloh každých 500 ms bylo zkontrolováno, zda je příslušné okno zobrazeno, a pokud ano, správce ukončil. Dále byl každých 500 ms obnoven zápis v registrových klíčích jako ochrana proti smazání. Ochrana proti běžnému antivirovému skenu je realizována zakódováním knihovny malware uložené na disku. Komunikace Botnet klient potřebuje komunikovat s řídicími centry a zároveň by tato komunikace neměla aktivovat ochranné prostředky nebo být nápadná. Analyzovaný botnet klient to řeší vložením vlastního kódu (DLL injection) do samostatně spuštěné instance webového prohlížeče. Výsledkem je běžící proces internetového prohlížeče (podle kódu malware umí použít Internet Explorer, Mozillu Firefox, Google Chrome a Operu), který provádí komunikaci na portu 80, takže při kontrole činnosti procesů nejde o nic podezřelého. Za zmínku stojí využití pokročilé funkce virtuálních ploch, které uživateli Windows nejsou zatím dostupné (Linux je v tomto pohledu dále), kdy byl internetový prohlížeč spuštěn v nezobrazované ploše. Komunikační proces je zcela samostatný a synchronizace s ostatními součástmi (malware) je prováděna pomocí odkládacího souboru, u konkrétního analyzovaného vzorku šlo o soubor %allusersprofile%/data aplikaci/netdislw.pad. Ostatní součásti sem umisťují informace určené k odeslání C&C a současně odsud přebírají zaslaná data a pokyny. Malware má v sobě napevno zakódovánu jednu IP adresu C&C serveru a jedno doménové jméno zaručující flexibilitu díky možné změně v DNS. Dále pak byly v odkládacím souboru nalezeny další tři IP adresy. Při komunikaci je dávána přednost aktuálním IP adresám z odkládacího souboru, v případě neúspěchu následuje pokus s pevně zakódovanou IP adresou a nakonec zkouší použít doménové jméno. Aplikace ransomware Vlastní vyděračská obrazovka, kterou uživatel vidí, je samostatná aplikace, vytvořená v Borland Delphi. Na počítač je stažena klientem botnetu a následně uložena do odkládacího souboru. Případná aktualizace zmíněné aplikace je tak velmi snadná. Malware je spouštěn klientem botnetu, tj. při každém spuštění HP Solutions #2 8/13
9 Příloha 1. operačního systému, kdy je ransomware již stažen do počítače. Aplikace je spuštěna v celoobrazovkovém režimu a má nastavenu vlastnost vždy navrchu (always-on-top). Vezmeme-li v potaz také ukrývání správce úloh, které má na svědomí ochranná vrstva klienta botnetu, běžný uživatel nemá žádnou možnost tuto aplikaci ukončit. Následující obrázek ukazuje hlavní komponenty identifikované při podrobné analýze dialogu. Časovače zajišťují vytvoření okna pro webkameru, snímání obrázků z webové kamery a generování šumu pro případ, že webová kamera není přítomna. V popiscích je uvedena IP adresa napadeného počítače, odpovídající hostname a také geolokační údaje načítané z odkládacího souboru. Zadávací pole slouží k zadání platebního kódu služby Ukash nebo PaySafeCard a odpovídající tlačítka, resp. obrázky s funkcí tlačítka, spouštějí validaci a odesílání zadaného kódu. Malware lokálně testuje validitu formátu zadaných kódů. Pro Ukash je validní kód dlouhý 19 znaků, obsahuje pouze číslice a vždy začíná Kód PaySafeCard má délku 10 číslic a počáteční znak 0. Získaná čísla jsou následně odeslána pomocí botnet klienta, přičemž jejich platnost je později ještě znovu ověřena, tentokrát přímo dotazem na poskytovatele služby. Celkové schéma spojení obou částí klienta botnetu a vyděračské aplikace Obchodní model Nutno uznat, že z psychologické stránky je na uživatele působeno vpravdě profesionálně. Vidí své geolokační údaje (odvozené z IP adresy), vidí svůj obrázek (má-li webkameru), vidí logo Policie ČR, vidí, jak o něm policie všechno ví a vidí se za mřížemi. V takovou chvíli se pokuta ve výši dva tisíce korun jeví jako velmi malé zlo. Rozhodnutí zaplatit je na spadnutí. Vlastní platba je realizována pomocí platebních kuponů služeb Ukash nebo PaySafeCard, které uživatel může zakoupit například na čerpacích stanicích. Zadáním unikátního čísla (platebního kódu) uvedeného na kuponu je transakce realizována, protože na základě znalosti tohoto kódu pak centrála dané služby vyplatí odpovídající finanční částku. Platné kupony pak lze využít například v kasinech, přes která dochází ke špatně kontrolovatelnému přesunu prostředků a následně k jejich výběru. HP Solutions #2 9/13
10 Příloha 1. Odstranění malware Likvidace malware sestává obecně ze tří kroků. Nejprve je nutné eliminovat obranné funkce malware, poté lokalizovat jeho perzistenci spolu s používanými binárními soubory a následně provést jejich odstranění. Na standardní instalaci Windows 7 je malware z pohledu běžného uživatele nezastavitelný. Malware infikuje primárně profil aktuálního uživatele, proto lze na víceuživatelském systému využít magického trojhmatu CTRL+ALT+DEL, přihlásit se jako jiný uživatel, ukončit relaci předchozího uživatele a pokračovat dále. Pokud není další uživatelský účet v PC aktivován, nebo je předchozí krok příliš komplikovaný, je doporučen tvrdý restart a vstup do nouzového režimu. Pokud malware nastartuje i v nouzovém režimu, lze použít LiveCD nebo disk připojit k jinému počítači. Následně lze projít registry, složky po spuštění, plánovač úloh, seznam služeb a hledat odkazy na podezřelé binární soubory. Pod pojmem podezřelé se rozumí typicky explorer.exe v uživatelském profilu (a podobné umístění), odkaz na DLL knihovnu, neznámá služba (i služba má ve vlastnostech cestu), odkaz vede do dočasného adresáře (temp), binární soubor má podivný název (např. s87d654hs67dghs87d.exe). Po nalezení prvních podezřelých souborů a persistence (může být vícenásobná!) lze dle času jejich modifikace dohledat další soubory, vytvořené činností malware. Dále je třeba v registrech a na disku vyhledat veškeré reference na nalezené podezřelé soubory. Poté už lze odstranit všechny odkazy v registru na tyto soubory i samotné binární soubory. Na závěr zbývá vymazat všechny dočasné složky a internetovou cache. V případě úspěchu bude po restartu a přihlášení normálně dostupná pracovní plocha a počítač se bude opět chovat normálně. V případě, že se malware nacházel výhradně v uživatelském profilu a uživateli přístupných složkách, lze postupovat následovně: vytvořit nového uživatele, přesunout uživatelská data a smazat původního uživatele. Následně by měla proběhnout hloubková kontrola PC antivirovým programem, nejlépe na jiném počítači, ke kterému je disk z napadeného počítače dočasně připojen. Pokud by však malware infikoval systémovou část, je bezpečnější zálohovat data pomocí LiveCD na jiný disk a systém reinstalovat. Reinstalace je samozřejmě doporučovaná best practice, protože nikdy není na první pohled zcela zřejmé, co všechno mohl malware v počítači změnit. Samozřejmostí jsou i další návazné kroky, jako je například změna všech hesel, které používali uživatelé daného počítače, ale to není předmětem tohoto článku. HP Solutions #2 10/13
11 Závěr Z analýzy malware, který je médii označován jako policejní virus, vyplývá, že se jedná o kvalitně zpracovaný projekt. Počínaje nosnou myšlenkou, přes její precizní zpracování v psychologické rovině, až po technickou realizaci. Rozdělení technického řešení na klienta botnetu s mechanismem nákazy na jedné straně a vlastní aplikace na straně druhé umožňuje pružnější fungování. Zranitelnosti nutné k nákaze, případně rovnou hotové zombie lze normálně nakoupit, takže se pak lze zabývat pouze vlastním ransomwarem a využitím získaných platebních kódů. Využití klienta botnetu také zajišťuje bezpečnou komunikaci a doručení požadovaných dat a současně také snadnou aktualizaci malware. Po technické stránce je zajímavé předávání dat přes odkládací soubor a relativní jednoduchost použitých metod vedoucích ke stavu, kdy uživatel nedokáže udělat nic jiného než zadat platební kód. Přestože již policie dopadla původní tvůrce, obchodní model dále přežívá a byl zřejmě předán nebo prodán dále, protože stále vznikají nové varianty. Liší se zejména vizuální podobou a neomezují se pouze na vydávání se za lokální policejní útvary, ale byly zachyceny varianty také s Interpolem a Europolem. V praxi se tak s policejním virem budeme zřejmě setkávat i nadále. Autorem dokumentu je Aleš Padrta. HP Solutions #2 11/13
12 Příloha 2. Rekapitulace série (D)DOS útoků ze dnů Tento dokument obsahuje náhled na situaci z období až , kdy byla provedena série (D)DOS útoků na www služby provozované v České republice, z pohledu sdružení CZ.NIC a CSIRT.CZ (Národní CSIRT České republiky). Popis událostí V pondělí 4. března 2013 začala série (D)DOS útoků na webové servery provozované v České republice. Útoky probíhaly obvykle ve dvou vlnách dopoledne mezi 9-11 h a odpoledne mezi h. Každý den byl útok veden vůči jiné skupině cílových serverů. Pondělí útoky jsou vedeny proti webovým serverům Novinky.cz, idnes.cz, IHNED.cz, Lidovky. cz, Denik.cz, Csfd.cz, okolo poledne byly nedostupné weby E15.cz, Živě.cz, Mobilmania.cz. Úterý okolo 10 h jsou nedostupné služby společnosti Seznam.cz. Seznam.cz o situaci informuje na svém facebookovém profilu. Okolo 11:30 je Seznam.cz opět funkční. Kolem 13:30 se útok opakuje, jsou pozorovány chvilkové nedostupnosti serverů. Středa od cca 9:30 do 11:00 jsou nedostupné webové servery bank České spořitelny, Komerční banky, FIO banky, ČSOB, Raiffeisenbank a České národní banky ( V důsledku útoků došlo u České spořitelny i k výpadku e-commerce a k ochromení některých platebních terminálů. Ve 14 h došlo ke druhé vlně útoků na weby České spořitelny. Čtvrtek od cca 9:30 probíhá útok na servery dvou mobilních operátorů Telefónica O2 a T- -Mobile. Telefónica útok eliminuje okolo 10:00, T-Mobile okolo 11:00. Během útoku byly chvílemi nedostupné další služby, jako např. registr vozidel či web dpp.cz. Bylo hlášeno, že v době probíhajících útoků nebylo nějaký čas možné nakupovat SMS jízdenky MHD. Okolo 20 h je zjištěna nedostupnost webů České televize, podle posledních informací však jejich problémy s útokem nesouvisely. V pátek již nebyl pozorován ani hlášen žádný (D)DOS útok takového typu, že by znepřístupnil některý z často navštěvovaných a viditelných webů. Situace se pomalu uklidňovala jak na straně provozovatelů sítí, tak ve světě médií. Charakteristiky útoků V průběhu útoků se obecně hovořilo o útocích typu DDOS (Distributed Denial of Service). V současné chvíli, kdy máme soustředěno velké množství informací a souvisejících dat, není zcela jasné, jestli útok byl opravdu typu DDOS nebo DOS. Většina útoků byla soustředěna na www služby. Většina toku při útocích přišla přes síť RETN ( Ačkoliv napadené strany, ISP i CSIRT.CZ zkoušeli kontaktovat provozovatele této sítě, nepodařilo se nikomu získat relevantní pomoc HP Solutions #2 12/13
13 Příloha 2. (data, zablokování útočníků). Je přitom pravděpodobné, že RETN disponuje daty, která by mohla pomoci blíže specifikovat útočníka (MRTG grafy provozu, poměr odeslaných paketů vs. tok atd.) Při útocích byly použity mechanismy tzv. SYN Flood v kombinaci s podvrženou adresou (IP spoofing). Cílem takového útoku je zahltit stroj, na který je útok veden, nebo jeho síťovou infrastrukturu (např. firewall na předřazeném zařízení) a vyčerpat jejich systémové zdroje. Další použitá verze útoku spočívala v přidání techniky odražení (bounce traffic). Celý (D)DOS útok pak vypadal tak, že útočící stroje emitovaly velké množství paketů s podvrženou zdrojovou adresou. Jako zdrojová adresa byla použita IP adresa stroje, na který byl veden útok. Pakety byly poslány na jiné stroje, které ale komunikaci vracely na podvrženou zdrojovou adresu. Tato technika založená na emitaci velkého množství paketů s podvrženými zdrojovými adresami a za využití techniky odražení útok ještě více zesílí. Průběh řešení situace Od pondělí odpoledne se na tým CSIRT.CZ začali obracet provozovatelé sítí a služeb, na které bylo útočeno, se žádostmi o pomoc, spolupráci a výměnu informací. Myslíme si, že správci v napadených sítích svou roli zvládali dobře, takže nedostupnosti jednotlivých webů byly v řádech jednotek hodin. Jako profesionální se nám jeví přístup ISP, přes které byly napadené weby připojeny. Poskytovali podporu napadeným sítím a byli schopni nasadit efektivní metody obrany. Zdá se pravděpodobné, že nedostupnost webů byla způsobena chybami v konfiguraci a nedostatečně dimenzovanými síťovými prvky a servery samotnými. Oceňujeme především schopnost a ochotu všech zainteresovaných subjektů komunikovat, sdílet zkušenosti, informace a doporučení. V průběhu nejsilnějších útoků proti České spořitelně ve středu byla zformována pracovní skupina složená z odborníků z organizací CZ.NIC (CSIRT.CZ), CESNET, GTS a České spořitelny a bylo zrealizováno ad-hoc videokonferenční setkání. Na tomto setkání skupina diskutovala aktuálně probíhající útoky, analyzovala provoz a hledala a testovala nejefektivnější způsob obrany. Tato pracovní skupina zůstala v pohotovosti i v průběhu čtvrtka a pátku. Další pracovní skupina byla zřízena přímo na půdě CZ.NIC a sestávala ze členů týmu CSIRT.CZ, správců sítě CZ.NIC a PR pracovníků. Ta obstarávala komunikaci (v rámci procesu incident handling) s provozovateli sítí a služeb, sběr a sdílení informací, dat a zkušeností, komunikaci s pracovní skupinou síťařů, NBÚ (Národním centrem kybernetické bezpečnosti), bezpečnostními složkami, zahraničím a komunikaci s médii. Ve čtvrtek se na CSIRT.CZ začali obracet pracovníci společností a organizací, které měly obavu, jestli nebudou dalším cílem útoku (např. PRE, ČEPS) a žádali o informace a spolupráci. Jim jsme předali základní informace o útocích a také jsme dohledávali jejich poskytovatele připojení a tranzitní operátory, aby jak oni, tak my byli připravení a věděli, na kterého ISP se případně obrátit. Technická doporučení Metod a technologií pro obranu před (D)DOS útoky je celá řada, ale obvykle je potřeba jich zkombinovat několik, nelze se spolehnout pouze na jednu. Na úrovni síťové infrastruktury hovoříme o obraně pomocí RTBH (remotely triggered black hole filtering), použití tzv. Load Balancer zařízení, zařízení typu Scrubber HP Solutions #2 13/13
14 Příloha 2. (čističky, kde se oddělí většina špatného provozu od dobrého), prefix-listy (omezení propagace AS), ratelimity, access listy na síťové vrstvě, firewall, IDS, IPS apod. Zajištění dostupnosti konkrétní služby může být dále zvýšeno posílením robustnosti celé architektury za použití technologie anycast, DNS round-robin, které zajistí rozklad zátěže mezi více strojů se shodným obsahem apod. Dalším krokem pak může být umístění serverů poskytujících jednu službu do více sítí. Jakékoliv rozhodování o architektuře služby a související síťové infrastruktury by ale vždy mělo jít ruku v ruce s rozvahou, do jaké míry se obrana vyplatí. Při tomto rozhodování hraje roli charakter služby a její kritičnost pro uživatele. V rámci bezpečnostního týmu CZ.NIC bylo v průběhu týdne útoků postaveno řešení, které je schopno vygenerovat tok o síle cca deseti miliónů packetů za vteřinu, tedy několikrát více, než kolik bylo emitováno v proběhlých útocích. V současné době je toto řešení používáno pro testování vlastní infrastruktury CZ.NIC. Zároveň bylo nabídnuto jako nástroj pro bezplatné otestování infrastruktury dalším zájemcům. Pozorování a poučení (D)DOS útoky vedené v období až vůči cílům v ČR měly poměrně slabý charakter, minimálně z pohledu ISP, kteří s útokem měli problém pouze ve vztahu ke koncovým sítím. Útok svou silou nijak neohrožoval chod páteřních sítí providerů a jejich infrastrukturu. Podle dostupných informací hovoříme o datových tocích do 1 Gbps (maximální zaznamenaný tok 1,5 mil. paketů za sekundu). Útoky způsobily problémy až v koncových sítích. Podle informací, které máme k dispozici, se ve většině případů útok ani k cílovému serveru nedostal, ale přetížil systém před obvykle firewall, load balancer nebo podobné zařízení. Zcela nepopiratelně útoky odhalily řadu slabých míst v síťové architektuře koncových sítí. Série útoků byla dobře připravena zajímavě zvolené a dobře viditelné cíle, jejichž nedostupnosti si všimnou jak uživatelé, tak média, byly použity různé techniky útoků a jejich kombinace. Znalost prostředí potvrzuje i distribuce útoků mezi jednotlivé cíle zatímco pondělní útok se zaměřil na více cílů, úterní směřoval proti jedinému cíli, u něhož se dalo očekávat, že robustnost jeho řešení bude větší než u zpravodajských webů. Podobně byl potom ve čtvrtečním útoku vynechán třetí z mobilních operátorů opět se lze domnívat, že útočník se rozhodl koncentrovat síly na menší počet cílů. Je tedy pravděpodobné, že za útoky stojí někdo s dobrou znalostí českého internetu. Závěr Události prvního březnového týdne potvrdily jednu základní věc správci sítí a služeb jak na úrovni ISP, tak na úrovni koncových sítí jsou schopni a ochotni efektivně spolupracovat a vyměnit si zkušenosti a některé informace. Převzato ze zprávy CZ.NIC, z.s.p.o. HP Solutions #2 14/13
Nedávné útoky hackerů a ochrana Internetu v České republice. Andrea Kropáčová / andrea@csirt.cz 14. 5. 2013
Nedávné útoky hackerů a ochrana Internetu v České republice Andrea Kropáčová / andrea@csirt.cz 14. 5. 2013 CZ.NIC CZ.NIC, z. s. p. o. Založeno 1998 významnými ISP Aktuálně 107 členů (otevřené členství)
VíceFLAB. Ransomware PČR. zaplaťte a bude vám odpuštěno. Aleš Padrta. Karel Nykles. 6.3. 2013, Seminář CIV, Plzeň
Ransomware PČR zaplaťte a bude vám odpuštěno Aleš Padrta Karel Nykles 1 Obsah Ransomware Definice pojmu Ransomware PČR Jak vypadá Psychologické aspekty Analýza vnitřního fungování Výskyt na ZČU Odstranění
VíceBezpečnostní týmy typu CSIRT/CERT obecně a v CZ.NIC
Bezpečnostní týmy typu CSIRT/CERT obecně a v CZ.NIC CZ.NIC z.s.p.o. Martin Peterka / martin.peterka@nic.cz Konference Bezpečnost kyberprostoru 25. 10. 2011 1 Obsah CERT/CSIRT týmy obecně Co to je CSIRT/CERT
VíceRole forenzní analýzy
Role forenzní analýzy v činnosti CSIRT týmů Aleš Padrta 1 CESNET-CERTS CESNET, z. s. p. o. CESNET-CERTS Provoz národní e-infrastruktury pro vědu, výzkum a vzdělávání CSIRT pro síť CESNET2 FLAB Forenzní
VíceNejčastější podvody a útoky na Internetu. Pavel Bašta
Nejčastější podvody a útoky na Internetu Pavel Bašta pavel.basta@nic.cz 25.05.2017 CZ.NIC, z.s.p.o. Hlavní činnost správa doménových jmen.cz CSIRT.CZ Národní CSIRT tým pro ČR Založen v rámci plnění grantu
VícePavel Titěra GovCERT.CZ NCKB NBÚ
Pavel Titěra GovCERT.CZ NCKB NBÚ o Sdílení informací o Kybernetické incidenty o Aktuální zranitelnosti, hrozby, IoC, apod. o Analýzy o Externí spolupráce při řešení incidentů o Sdílení nástrojů, technických
VíceSeminář o bezpečnosti sítí a služeb. 11. února 2015. CESNET, z. s. p. o.
Seminář o bezpečnosti sítí a služeb 11. února 2015 CESNET, z. s. p. o. 11. 2. 2015 Založen v roce 1996 CESNET, z. s. p. o. Členové 25 českých univerzit Akademie věd České republiky Policejní akademie ČR
VíceACTIVE 24 CSIRT na Cyber Europe 2012. Ing. Tomáš Hála ACTIVE 24, s.r.o. www.active24.cz
ACTIVE 24 CSIRT na Cyber Europe 2012 Ing. Tomáš Hála ACTIVE 24, s.r.o. www.active24.cz 4.10.2012 - pracovní den jako každý jiný 8:00 - přicházím do práce - uvařím si kávu - otevřu poštu a koukám do kalendáře,
VíceTechnická analýza kyberútoků z března 2013
Technická analýza kyberútoků z března 2013..útoky na některé zdroje českého Internetu od 4. do 7. března 2013.. Tomáš Košňar CESNET z.s.p.o. kosnar@cesnet.cz Obsah Cíle časování, schémata, síla, důsledky,
VíceIT bezpečnost Phishing. Školení pro uživatele sítě WEBnet
IT bezpečnost Phishing Školení pro uživatele sítě WEBnet Jiří Čepák / pondělí 6. 11. 2017 ÚVOD Teroristický útok vs. Kybernetický útok Několik společných rysů Útočník (terorista vs. hacker) Cíl (skupina
VícePhishingové útoky v roce 2014
Phishingové útoky v roce 2014 Aleš Padrta 1 FLAB a CESNET-CERTS CESNET-CERTS Bezpečnostní tým pro reakci na incidenty Přehled o proběhlých incidentech FLAB Forenzní LABoratoř Podpůrné pracoviště CESNET-CERTS
VíceACTIVE24-CSIRT - řešení bezpečnostních incidentů v praxi. Ing. Tomáš Hála ACTIVE 24, s.r.o. www.active24.cz
ACTIVE24-CSIRT - řešení bezpečnostních incidentů v praxi Ing. Tomáš Hála ACTIVE 24, s.r.o. www.active24.cz CSIRT/CERT Computer Security Incident Response Team resp. Computer Emergency Response Team hierarchický
VíceUŽIVATELSKÉ SKUPINY. Sdílení souborů, katalogů, oprávnění
UŽIVATELSKÉ SKUPINY Sdílení souborů, katalogů, oprávnění OBSAH 1. Úvod... 3 2. Uživatelské skupiny... 3 2.1. Přehled... 3 2.2. Veřejné skupiny... 5 2.3. Vytvořit skupinu... 6 2.4. Informace o mě... 7 2.5.
VíceNasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce
Nasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce Ing. Petr Žák 1 Obsah I. Úvod aneb epolicy Orchestrator II. Nové moduly: McAfee Endpoint Security III. Politiky pro nové moduly IV.
VíceBezpečnostní rizika chytrých spotřebičů a Internetu věcí
Bezpečnostní rizika chytrých spotřebičů a Internetu věcí Poznatky z digitální hranice routerů Turris Patrick Zandl patrick.zandl@nic.cz 20.4.2017 Aktivity zaměřené na bezpečnost Vytvoření sítě zabezpečených
VíceUživatelská příručka aplikace E-podatelna
Uživatelská příručka aplikace E-podatelna Českomoravská záruční a rozvojová banka, a.s. Jeruzalémská 964/4, 110 00 Praha 1 Tel.: +420 225 721 111 E-mail: info@cmzrb.cz www: http://www.cmzrb.cz 1 z 22 ČMZRB,
VíceStrategie sdružení CESNET v oblasti bezpečnosti
Strategie sdružení CESNET v oblasti bezpečnosti CESNET, z. s. p. o. Služby e-infrastruktury CESNET CESNET, http://www.cesnet.cz/ Provozuje síť národního výzkumu a vzdělávání CESNET2 Založen v roce 1996
VíceKybernetické hrozby - existuje komplexní řešení?
Kybernetické hrozby - existuje komplexní řešení? Cyber Security 2015, Praha 19.2.2015 Petr Špringl springl@invea.com Bezpečnost na perimetru Firewall, IDS/IPS, UTM, aplikační firewall, web filtr, email
VíceBezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o. www.active24.cz
Bezpečná VLAN v NIX.CZ Ing. Tomáš Hála ACTIVE 24, s.r.o. www.active24.cz O čem byla přednáška loni? Březnový DoS na portál ihned.cz - samostatné přednášky na toto téma: - Internet a Technologie 2013 (CZ.NIC)
VíceAktivity NBÚ při zajišťování kybernetické bezpečnosti
Aktivity NBÚ při zajišťování kybernetické bezpečnosti Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: J.Smid@nbu.cz 10.4.2013 1 Zákon o kybernetické bezpečnosti Kritická informační infrastruktura 10.4.2013
VíceMonitorování datových sítí: Dnes
Monitorování datových sítí: Dnes FlowMon Friday, 29.5.2015 Petr Špringl springl@invea.com Obsah Monitorování datových toků = Flow monitoring Flow monitoring a bezpečnost sítě = Network Behavior Analysis
VíceFirewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH
Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie Jiří Tobola INVEA-TECH INVEA-TECH Český výrobce řešení FlowMon pro monitorování a bezpečnost síťového provozu Desítky referencí na českém
VíceVývoj Internetových Aplikací
10 Vývoj Internetových Aplikací Bezpečnost Ing. Michal Radecký, Ph.D. www.cs.vsb.cz/radecky https://www.ted.com/talks/mikko_hypponen_fighting_ viruses_defending_the_net Co je to Cyber kriminalita http://www.internetprovsechny.cz/pocitacova-kriminalita-a-bezpecnost/
VíceSpolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu
Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: J.Smid@nbu.cz 30.5.2013 1 30.5.2013 1 Internet hybná síla globální ekonomiky
VíceVzdálená správa v cloudu až pro 250 počítačů
Vzdálená správa v cloudu až pro 250 počítačů S pomocí ESET Cloud Administratoru můžete řídit zabezpečení vaší podnikové sítě bez nutnosti nákupu, instalace nebo údržby dalšího hardwaru. Řešení je poskytováno
VíceDNSSEC Validátor - doplněk prohlížečů proti podvržení domény
DNSSEC Validátor - doplněk prohlížečů proti podvržení domény CZ.NIC z.s.p.o. Martin Straka / martin.straka@nic.cz Konference Internet a Technologie 12 24.11.2012 1 Obsah prezentace Stručný úvod do DNS
VíceESET CYBER SECURITY pro Mac Rychlá příručka. Pro stáhnutí nejnovější verze dokumentu klikněte zde
ESET CYBER SECURITY pro Mac Rychlá příručka Pro stáhnutí nejnovější verze dokumentu klikněte zde ESET Cyber Security poskytuje novou úroveň ochrany před škodlivým kódem. Produkt využívá skenovací jádro
VíceIT bezpečnost Phishing. Školení pro uživatele sítě WEBnet
IT bezpečnost Phishing Školení pro uživatele sítě WEBnet Jiří Čepák / úterý 10. 10. 2017 ÚVOD Teroristický útok vs. Kybernetický útok Několik společných rysů Útočník (terorista vs. hacker) Cíl (skupina
VíceAnalýza malware pro CSIRT
Popis situace Analýza malware pro CSIRT Případová studie FLAB Uživatelé organizace Cypherfix, a. s. jsou cílem podvodných zpráv elektronické pošty obsahujících v příloze spustitelný kód pro MS Windows.
VíceNastavení provozního prostředí webového prohlížeče pro aplikaci
Nastavení provozního prostředí webového prohlížeče pro aplikaci IS o ISVS - Informační systém o informačních systémech veřejné správy verze 2.03.00 pro uživatele vypracovala společnost ASD Software, s.r.o.
VíceAktuální hrozby internetu. 1.Trojské koně (malware) 2.Phishing 3.Sociální sítě
Aktuální hrozby internetu 1.Trojské koně (malware) 2.Phishing 3.Sociální sítě Trojské koně Viz předchozí hodina. Škodlivý program, který v počítači vytváří podmínky pro přijímání dalších škodlivých programů.
VíceRozvoj IDS s podporou IPv6
Rozvoj IDS s podporou IPv6 Radoslav Bodó, Michal Kostěnec Západočeská univerzita v Plzni Centrum informatizace a výpočetní techniky email: {bodik, kostenec}@civ.zcu.cz 2. dubna 2012 Abstrakt Bezprostředním
VíceTrnitá cesta Crypt0l0ckeru
Trnitá cesta Crypt0l0ckeru Aleš Padrta 2017-06-28, Seminář CIV, Plzeň 1 Ukázka spolupráce Úvodní slovo Univerzitní CSIRT & forenzní laboratoř Západočeská univerzita v Plzni (WEBnet Incident Response Team)
VíceJak ochráníte svoji síť v roce 2015? Michal Motyčka
Jak ochráníte svoji síť v roce 2015? Michal Motyčka motycka@invea.com Gartner doporučuje Gartner doporučuje monitorovat vnitřní síť pomocí Flow Monitoringu a NBA INVEA-TECH 2015 Přehled síťové bezpečnosti
VíceNová áplikáce etesty Př í přává PC ž ádátele
Nová áplikáce etesty Př í přává PC ž ádátele Verze 0.6 Datum aktualizace 20. 12. 2014 Obsah 1 Příprava PC žadatele... 2 1.1 Splnění technických požadavků... 2 1.2 Prostředí PC pro žadatele... 2 1.3 Příprava
VíceNejzajímavější bezpečnostní incidenty CSIRT.CZ. Pavel Bašta pavel.basta@nic.cz 29.01.2015
Nejzajímavější bezpečnostní incidenty CSIRT.CZ Pavel Bašta pavel.basta@nic.cz 29.01.2015 CSIRT.CZ Národní CSIRT tým pro ČR Založen v rámci plnění grantu MV ČR Kybernetické hrozby z hlediska bezpečnostních
VíceSOC e-infrastruktury CESNET. Andrea Kropáčová CESNET, z. s. p. o.
SOC e-infrastruktury CESNET Andrea Kropáčová CESNET, z. s. p. o. Provozuje síť národního výzkumu a vzdělávání CESNET2 https://www.cesnet.cz/ Připojeno 27 členů (české VŠ, Akademie věd ČR) a cca 280 dalších
VíceBotnet. Stručná charakteristika
Chtěli bychom Vás informovat jako osobu odpovědnou za informační bezpečnost o pravděpodobně infikovaných strojích ve Vaší kompetenci. Důvodem proč Vás kontaktujeme je komunikace IP adres(y) se sinkhole
VícePB169 Operační systémy a sítě
PB169 Operační systémy a sítě Zabezpečení počítačových sítí Marek Kumpošt, Zdeněk Říha Zabezpečení sítě úvod Důvody pro zabezpečení (interní) sítě? Nebezpečí ze strany veřejného Internetu Spyware Malware
VíceZávěrečná zpráva projektu 475/2013 Fondu rozvoje CESNET
Zvýšení bezpečnosti webhostingu Závěrečná zpráva projektu 475/2013 Fondu rozvoje CESNET Petr Benedikt Západočeská univerzita v Plzni Centrum informatizace a výpočetní techniky e-mail: ben@civ.zcu.cz 19.
VíceBezpečnost aktivně. štěstí přeje připraveným
Bezpečnost aktivně štěstí přeje připraveným Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o. Služby e-infrastruktury CESNET Aktuální trendy Krátké, ale intenzivní DoS útoky Útoky na bázi amplifikace,
VíceTypy bezpečnostních incidentů
Typy bezpečnostních incidentů Aleš Padrta CESNET, z. s. p. o. Praha 12.12. 2008 Obsah Úvodní slovo Co je to bezpečnostní incident Klasifikace bezpečnostních incidentů Pojmy související s bezpečnostními
VíceUživatelská příručka aplikace E-podatelna
Uživatelská příručka aplikace E-podatelna Českomoravská záruční a rozvojová banka, a.s. Jeruzalémská 964/4, 110 00 Praha 1 Tel.: +420 225 721 111 E-mail: info@cmzrb.cz www: http://www.cmzrb.cz Přehled
VíceGymnázium a Střední odborná škola, Rokycany, Mládežníků 1115
Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115 Číslo projektu: Číslo šablony: 27 Název materiálu: Ročník: Identifikace materiálu: Jméno autora: Předmět: Tématický celek: Anotace: CZ.1.07/1.5.00/34.0410
VíceBezpečnostní rizika chytrých spotřebičů a Internetu věcí
Bezpečnostní rizika chytrých spotřebičů a Internetu věcí Infotherma 2017 Patrick Zandl patrick.zandl@nic.cz 24.1.2017 Internet věcí a bezpečnost Internet věcí (IoT) začíná být všude IoT je připojené programovatelné
VíceFilter online threats off your network
Filter online threats off your network Cloud DNS resolver Pět minut - změna konfigurace DNS resolverů Bez nutnosti jakékoliv instalace ve vlastní infrastruktuře On-premise DNS resolver Maximálně jednotky
VíceBezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz
Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris Petr Špringl springl@invea.cz INVEA-TECH Česká společnost, univerzitní spin-off, spolupráce CESNET a univerzity, projekty
VíceOCHRANA SOUKROMÍ CRON SYSTEMS, S.R.O. PRO WEBOVOU STRÁNKU 1. Obecné informace.
OCHRANA SOUKROMÍ CRON SYSTEMS, S.R.O. PRO WEBOVOU STRÁNKU www.orphica.cz 1. Obecné informace. 1. Provozovatelem webové stránky je společnost Cron Systems, s.r.o., Alexandra Rudnaya 21, 010 01 Žilina, Slovensko,
VíceInformace, lidské zdroje a technologie: Klíčové faktory pro zajištění kybernetické bezpečnosti
Informace, lidské zdroje a technologie: Klíčové faktory pro zajištění kybernetické bezpečnosti Petr Pavlů (ppavlu@cisco.com) Systems Engineering Director, Eastern Europe Mikulov, září 2018 Hlavní témata
VíceAthena Uživatelská dokumentace v
Athena Uživatelská dokumentace v. 2.0.0 OBSAH Obsah... 2 Historie dokumentu... 3 Popis systému... 4 Založení uživatele... 5 Přihlášení uživatele... 7 První přihlášení... 8 Založení profilu zadavatele/dodavatele...
VíceConnection Manager - Uživatelská příručka
Connection Manager - Uživatelská příručka 1.0. vydání 2 Obsah Aplikace Správce připojení 3 Začínáme 3 Spuštění Správce připojení 3 Zobrazení stavu aktuálního připojení 3 Připojení k internetu 3 Připojení
Vícewebmarketin Základní moduly aplikace
webmarketin Aplikace webmarketing je komplexní online nástroj určený pro podporu a řízení marketingu a CRM ve společnosti. Její součástí jsou webové ankety, SMS kampaně nebo newslettery, které lze spravovat
VíceIT bezpečnost Phishing. Školení pro uživatele sítě WEBnet
IT bezpečnost Phishing Školení pro uživatele sítě WEBnet Jiří Čepák / středa 14. 6. 2017 Teroristický útok vs. Kybernetický útok Několik společných rysů Útočník (radikální islamista vs. hacker) Cíl (skupina
VíceNárodní bezpečnostní úřad
1 Role NBÚ v oblasti kybernetické bezpečnosti Jaroslav Šmíd náměstek ředitele NBÚ j.smid@nbu.cz 2 Obsah Něco z historie Vliv Internetu na národní hospodářství Legislativní rámec Hlavní činnosti NCKB NCKB
VícePráce s e-mailovými schránkami v síti Selfnet
Práce s e-mailovými schránkami v síti Selfnet Obsah návodu Základní informace k nastavení schránky selfnet.cz...2 Doporučené parametry nastavení e-mailového klienta...2 Základní informace k nastavení e-mailové
VíceDocházka 3000 evidence pro zaměstnance z více firem
Docházka 3000 evidence pro zaměstnance z více firem Docházkový systém Docházka 3000 v klasické instalaci počítá s evidencí docházky zaměstnanců z jedné jediné firmy. Pokud potřebujete evidovat docházku
VícePenetrační test & bezpečnostní audit: Co mají společného? V čem se liší?
Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší? Karel Miko, CISA (miko@dcit.cz) DCIT, s.r.o (www.dcit.cz) Nadpis Penetrační test i bezpečnostní audit hodnotí bezpečnost předmětu
VíceSpecifikace požadavků. POHODA Web Interface. Verze 1.0. Datum: Autor: Ondřej Šrámek
Specifikace požadavků POHODA Web Interface Verze 1.0 Datum: 29.12. 2008 Autor: Ondřej Šrámek Copyright 1999 by Karl E. Wiegers. Permission is granted to use, modify, and distribute this document. Strana
VíceMalware. počítačové viry, počítačové červy, trojské koně, spyware, adware
Malware počítačové viry, počítačové červy, trojské koně, spyware, adware Malware Pod souhrnné označení malware se zahrnují počítačové viry, počítačové červy, trojské koně, spyware a adware Škodlivéprogramy
VícePOKYNY K REGISTRACI PROFILU ZADAVATELE
POKYNY K REGISTRACI PROFILU ZADAVATELE Stav ke dni 4. 12. 2012 Obsah: 1 Úvod... 3 1.1 Podmínky provozu... 3 1.2 Pokyny k užívání dokumentu... 3 2 Registrace profilu zadavatele... 4 2.1 Přihlášení uživatele...
VíceTéma 8: Konfigurace počítačů se systémem Windows 7 IV
Téma 8: Konfigurace počítačů se systémem Windows 7 IV 1 Teoretické znalosti V tomto cvičení budete pracovat se správou vlastností systému, postupně projdete všechny karty tohoto nastavení a vyzkoušíte
VícePopis Vládního CERT České republiky
1. O tomto dokumentu Tento dokument obsahuje popis Vládního CERT České republiky podle standardu RFC 2350. Poskytuje základní informace o Vládním CERT, možnostech jeho kontaktování, jeho odpovědnosti a
Více1.1 DATUM POSLEDNÍ AKTUALIZACE Toto je verze číslo 1 ze dne
Popis ELAT CSIRT Obsah 1. O TOMTO DOKUMENTU... 3 1.1 DATUM POSLEDNÍ AKTUALIZACE... 3 1.2 DISTRIBUČNÍ SEZNAM PRO OZNÁMENÍ... 3 1.3 MÍSTA, KDE MŮŽE BÝT TENTO DOKUMENT NALEZEN... 3 2. KONTAKTNÍ INFORMACE...
VíceAktuální informace o elektronické bezpečnosti
Aktuální informace o elektronické bezpečnosti a digitální vydírání, fenomén současnosti? Jiří Palyza, Národní centrum bezpečnějšího internetu Konference Řešení kybernetické kriminality, KÚ Kraje Vysočina,
VíceKERNUN CLEAR WEB. Má smysl český webový filtr? Radek Nebeský, TNS / Kernun Security Notes / Praha 11. října 2012. www.kernun.cz
KERNUN CLEAR WEB Má smysl český webový filtr? Radek Nebeský, TNS / Kernun Security Notes / Praha 11. října 2012 Trusted Network Solutions, a.s. Producent Kernun Společnost TNS patří mezi přední české IT
VíceInformační a komunikační technologie. 1.5 Malware
Informační a komunikační technologie 1.5 Malware Učební obor: Kadeřník, Kuchař-číšník Ročník: 1 Malware ( malicius - zákeřný) Mezi tuto skupinu patří: Viry Červi Trojské koně Spyware Adware... a další
VíceBezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše
Bezpečnost sítí, Firewally, Wifi Ing. Pavel Píše Útoky na síť Z Internetu Ze strany interní sítě Základní typy síťových útoků Útoky na bezpečnost sítě Útoky na propustnost sítě (šířka pásma, záplavové
Více1. Pro přihlášení k odběru novinek klikněte na tlačítko Registrace nového uživatele.
1. Vstup do aplikace Na adrese: http://prace.statnisprava.cz 2. První stránka aplikace 1. Pro přihlášení k odběru novinek klikněte na tlačítko Registrace nového uživatele. 2. Poté budete přesměrováni na
VíceWEBFILTR KernunClearWeb
WEBFILTR KernunClearWeb Radek Nebeský, TNS / WEBFILTR Kernun - 2013 Profil společnosti TNS Lokální bezpečnost je budoucnost! Rizika ve světě IT se stále více orientují na konkrétní cíle. Útočníci stále
VíceIT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák
IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák Úvodní slovo, aneb o čem to dnes bude? Shrnutí IT bezpečnostních incidentů na ZČU za poslední cca rok Informace o současných hrozbách
VíceProblematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer
Problematika internetové bezpečnosti a obrany proti DDoS útokům Ing. Tomáš Havlíček Produktový manažer 11 11 2015 Účast v projektu FENIX ČD-T a internetová bezpečnost ČDT-MONITOR detekce bezpečnostních
Víceplussystem Příručka k instalaci systému
plussystem Příručka k instalaci systému Tato příručka je určena zejména prodejcům systému a případně koncovým uživatelům. Poskytuje návod, jak provést potřebná nastavení komponent. ITFutuRe s.r.o. 26.2.2015
Více1. Pro přihlášení k odběru novinek klikněte na tlačítko Registrace nového uživatele.
1. Vstup do aplikace Na adrese: http://i.statnisprava.cz 2. První stránka aplikace 1. Pro přihlášení k odběru novinek klikněte na tlačítko Registrace nového uživatele. 2. Poté budete přesměrováni na stránku
VíceUživatelská dokumentace
Uživatelská dokumentace k projektu Czech POINT Provozní řád Žádost o výpis nebo opis z Rejstříku trestů podle zákona č. 124/2008 Sb. Vytvořeno dne: 11.4.2007 Aktualizováno: 25.5.2010 Verze: 4.3 2009 MVČR
VícePRO PRÁCI S APLIKACÍ SKV - VÝBĚR KVALITNÍCH VÝSLEDKŮ
MANUÁL PRO PRÁCI S APLIKACÍ SKV - VÝBĚR KVALITNÍCH VÝSLEDKŮ Verze 1.0 (170714) 1 Obsah 1. Základní informace o používání SKV - aplikace pro výběr kvalitních výsledků...3 1.1 Příhlášení do SKV...3 2.1 Změna
VíceSÍŤOVÁ INFRASTRUKTURA MONITORING
SÍŤOVÁ INFRASTRUKTURA MONITORING Tomáš Košňar CESNET 29. 1. 2019 Konference e-infrastruktury CESNET OBSAH Síťová infrastruktura architektura, aktuální stav, vlastnosti, parametry, výhled do budoucnosti
VíceBRICSCAD V15. Licencování
BRICSCAD V15 Licencování Protea spol. s r.o. Makovského 1339/16 236 00 Praha 6 - Řepy tel.: 235 316 232, 235 316 237 fax: 235 316 038 e-mail: obchod@protea.cz web: www.protea.cz Copyright Protea spol.
VíceŘešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert
Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert Agenda Úvod do problematiky Seznam problémů Definice požadavků,
VíceNejlepší přítel správce sítě! Řešení bezpečnosti Vaší sítě v Cloudu. Pavel Minařík CTO, AdvaICT,a.s.
Nejlepší přítel správce sítě! Řešení bezpečnosti Vaší sítě v Cloudu Pavel Minařík CTO, AdvaICT,a.s. Úvod IT infrastruktura dnes IT infrastruktura hraje roli nervové soustavy organizace Ve vysoce dynamickém
VíceTechnická dokumentace
Příloha č. 1 výzvy k podání nabídky na veřejnou zakázku malého rozsahu s názvem On-line vyjádření k existenci sítí" Technická dokumentace 1/5 Úvod Tento dokument je nedílnou součástí zadávacích podmínek
VíceNárodní bezpečnostní úřad
1 Národní centrum kybernetické bezpečnosti Ing. Jaroslav ŠMÍD 2 Jak to začalo Usnesení vlády č. 781 ze dne 19. října 2011 NBÚ ustaven gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou
Více9. Software: programové vybavení počítače, aplikace
9. Software: programové vybavení počítače, aplikace Software (SW) je programové vybavení počítače, které nám umožňuje faktickou práci na počítači tvorbu dokumentů, tabulek, úpravy obrázků, elektronickou
VíceDalibor Kačmář 21. 9. 2015
Dalibor Kačmář 21. 9. 2015 200+ 75%+ $500B $3.5M Průměrný počet dní, které útočník stráví v síti oběti, než je detekován všech průniků do sítí se stalo díky úniku přihlašovacích údajů celková odhadovaná
VíceCloud pro utajované informace. OIB BO MV 2012, Karel Šiman
Cloud pro utajované informace OIB BO MV 2012, Karel Šiman Utajované informace (UI) Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Vyhláška č. 523/2005 Sb., o bezpečnosti
VíceCYBER SECURITY. Ochrana zdrojů, dat a služeb.
CYBER SECURITY Ochrana zdrojů, dat a služeb. Služby kybernetické bezpečnosti Kybernetickou bezpečnost považujeme za jednu z klíčových hodnot každé organizace. Skutečně funkční a komplexní řešení je dle
VíceObrana sítě - základní principy
Obrana sítě - základní principy 6.6.2016 Martin Pustka Martin.Pustka@vsb.cz VŠB-TU Ostrava Agenda Základní úvod, přehled designu sítí, technických prostředků a možností zabezpečení. Zaměřeno na nejčastější
Více2015 GEOVAP, spol. s r. o. Všechna práva vyhrazena.
2015 GEOVAP, spol. s r. o. Všechna práva vyhrazena. GEOVAP, spol. s r. o. Čechovo nábřeží 1790 530 03 Pardubice Česká republika +420 466 024 618 http://www.geovap.cz V dokumentu použité názvy programových
VíceABRA Software a.s. ABRA on- line
ABRA Software a.s. ABRA online ÚVOD 2 2.1 ABRA on-line - úvod 1 ČÁST 1 2 1.1 ABRA on-line - připojení do vzdálené aplikace z prostředí OS MS Windows 1 ČÁST 2 11 2.1 ABRA on-line - připojení do vzdálené
VíceNávod pro použití Plug-in SMS Operátor
Verze: 1.06 Strana: 1 / 17 Návod pro použití Plug-in SMS Operátor 1. Co to je Plug-in modul SMS Operátor? Plug-in modul (zásuvkový modul) do aplikace MS Outlook slouží k rozšíření možností aplikace MS
VíceZápočtová úloha z předmětu KIV/ZSWI DOKUMENT SPECIFIKACE POŽADAVKŮ
Zápočtová úloha z předmětu KIV/ZSWI DOKUMENT SPECIFIKACE POŽADAVKŮ 10. 5. 2011 Tým: Simplesoft Členové: Zdeněk Malík Jan Rada Ladislav Račák Václav Král Marta Pechová malikz@students.zcu.cz jrada1@students.zcu.cz
VíceEvMO postup při instalaci
EvMO2017 - postup při instalaci 1 Program EvMO2017 je distribuován v přenosné verzi. Obsahuje datové a systémové soubory. Pro jeho komfortní zprovoznění byl vytvořen jednoduchý instalační program. Ten
VíceTurris Omnia: jak lovit hackery
Turris Omnia: jak lovit hackery ISSS 2017 Patrick Zandl patrick.zandl@nic.cz 4.4.4444 Situace na internetu je horší, než kdy dříve Co jsme se o bezpečnosti naučili před deseti lety, je dnes pasé. Neustálé
VíceBezpečnost ve světě ICT - 10
Informační systémy 2 Bezpečnost ve světě ICT - 10 Přednáší: doc. Ing. Jan Skrbek, Dr. - KIN Přednášky: pondělí 8 50 10 25 Spojení: e-mail: jan.skrbek@tul.cz tel.: 48 535 2442 Obsah: Bezpečnostní hrozby
VícePenetrační testy OSSTMM. Jaromír Vaněk e-mail: vanekj5@fel.cvut.cz ICQ: 342-453-214 Jabber: kredits@jabber.cz
Penetrační testy OSSTMM Jaromír Vaněk e-mail: vanekj5@fel.cvut.cz ICQ: 342-453-214 Jabber: kredits@jabber.cz Bezpečnostní audit vs. penetrační testy Bezpečnostní audit zhodnocení současného stavu vůči
VíceMobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.
Mobilní aplikace ve světě ERP Michal Hanko Petr Kolda Asseco Solutions, a.s. a Simac Technik ČR, a.s. Skupina Asseco Solutions Asseco Solutions je průkopníkem a vizionářem na poli informačních systémů
VíceFlow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz
Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz Čím se zabýváme? Monitoring sítě správa, optimalizace, troubleshooting Máte přehled o síťových komunikacích nejen do Internetu
VíceKybernetické hrozby jak detekovat?
Kybernetické hrozby jak detekovat? Ľuboš Lunter lunter@invea.com Cyber Security 2015 14.10.2015, Praha Flowmon Networks Česká společnost, univerzitní spin-off, spolupráce CESNET a univerzity, projekty
VíceDispatcher PDA Dokumentace
Dispatcher PDA Dokumentace květen 2005 1 Obsah: 1. Základní popis programu 2. Blokové schéma zapojení 3.1. Úvodní obrazovka 3.2. Zahájení jízdy 3.3. Ukončení jízdy 3.4. Záznam o tankování 3.5. Události
VíceCo se skrývá v datovém provozu?
Co se skrývá v datovém provozu? Cyber Security 2014, Praha 22.10.2014 Petr Špringl springl@invea.com Moderní hrozby Společné vlastnosti? Nedetekováno AV nebo IDS 2010 Stuxnet 2011 Duqu 2012 Flame 2013?
Více