Už jste si někdy zkoušeli nasadit černý klobouk?

23. 11. 2015

Nyní si to můžete pod vedením zkušeného bezpečnostního analytika z CZ.NIC a CSIRT.CZ bez obav vyzkoušet.

Každý administrátor informačních systémů by měl mít alespoň základní přehled o útocích, které mohou ohrozit jím spravované servery, stanice či sítě. Nejlepším způsobem, jak pochopit podstatu těchto útoků, je zkusit si, jak uvažují ti, kteří se jich dopouštějí. Co je jejich motivací? Jak postupují při hledání slabých míst a jak ohrožují uživatele a infrastrukturu běžných firem?

Jednou z hlavních motivací útočníků, se kterou se v roli provozovatelů Národního bezpečnostního týmu CSIRT.CZ setkáváme, je pochopitelně zisk. Nemusí jít nutně pouze o krádeže informací o bankovních účtech. Možnosti monetizace úspěšných útoků jsou opravdu široké. Může jít o přeprodávání provozu z napadených webových serverů dalším útočníkům (například pro šíření malware na počítače návštěvníků těchto serverů), podstrčení vlastních reklam, zneužití webového serveru pro BlackHat SEO nebo o posílání DMS zpráv z napadených chytrých telefonů.

Nicméně motivy útočníků se neomezují pouze na zisk a mohou být stejně pestré, jako techniky používané při průzkumu terénu. Při něm mohou útočníci vytěžovat veřejně dostupné zdroje, jako jsou různé internetové registry nebo metadata z veřejně dostupných dokumentů. A s pomocí Google hackingu se dokáží dostat i k informacím, o kterých ani netušíte, že jsou veřejně dohledatelné. Při aktivním skenování pak získají chybějící části skládačky, jako jsou informace o systémech spuštěných ve vaší síti nebo o provozovaných serverových aplikacích. Tyto informace zužitkují v průběhu samotného útoku. Ten může probíhat přes různé vektory v závislosti na nalezených zranitelnostech. Může se jednat o zneužití zranitelnosti typu buffer overflow, chyby v logice webové aplikace či třeba špatně zkonfigurované Wi-Fi sítě.

Ještě nebezpečnější je situace, kdy útočí někdo zevnitř sítě, tedy člověk s přístupem k síti a v horším případě i s fyzickým přístupem k serverům a dalším zařízením. Jednoznačně nejnebezpečnější jsou ale útoky zneužívající slabiny uživatelů, tedy ty, které se ukrývají pod pojmem sociální inženýrství. Ostatně mnoho útoků stojí právě na kombinaci sociálního inženýrství a technického umu.

Pokud si tedy na chvíli chcete nasadit pomyslný klobouk „zlých hochů“ a vyzkoušet si, jak během svých útoků postupují, je pro vás v Akademii CZ.NIC připraven kurz Počítačová bezpečnost prakticky. V tomto kurzu si vyzkoušíte například exploitování zranitelností pomocí nástroje Metasploit a seznámíte se i s nebezpečnými nástroji „hromadného ničení“ používanými profesionálními kyber zločinci.

Na tréninkové webové aplikaci e-shopu si zkusíte zneužití XSS zranitelnosti k napadení jejího administrátora a pomocí SQL Injection se do aplikace bez znalosti hesla přihlásíte jako její správce. Pochopení zranitelnosti Cross-site request forgery vám ukáže další dobrý důvod, proč se odhlašovat z webových aplikací, které aktuálně nepoužíváte. S kolegy si také navzájem odposlechnete data posílaná po lokální síti, prolomíte Wi-Fi sítě se zabezpečením WEP a WPA-PSK nebo si vyzkoušíte naprogramovat zdánlivě nevinný jednočipový počítač tak, aby vám otevřel cestu k napadení kolegova počítače.

Všechna cvičení probíhají v prostředí specializované linuxové distribuce Kali Linux určené pro penetrační testování. I když je kurz zaměřen na praktické seznámení s průběhem nejčastějších útoků, nechybí v něm ani teoretická část popisující principy jednotlivých útoků a informace o tom, jak jednotlivým útokům předcházet. Celé školení je protkáno praktickými poznatky z provozování Národního bezpečnostního týmu CSIRT.CZ i se zkušenostmi z dalších bezpečnostních projektů sdružení CZ.NIC, jako jsou výstupy z projektu routerů Turris či z provozování aplikace Malicious Domain Manager.

120na80.cz: Lepší poporodní sexuální život? Žádný problém

Lepší poporodní sexuální život? Žádný problém

Podnikatel.cz: OSA zdraží, ale taky přidá nový poplatek

OSA zdraží, ale taky přidá nový poplatek

DigiZone.cz: Vláda schválila digitální vysílání ČRo

Vláda schválila digitální vysílání ČRo

DigiZone.cz: Čechy baví komedie, Slováky animace

Čechy baví komedie, Slováky animace

Lupa.cz: Elektronika tajemství zbavená. Jak s ní začít?

Elektronika tajemství zbavená. Jak s ní začít?

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Měšec.cz: Investiční pasti. Děláte to, co ostatní, ale proděláváte

Investiční pasti. Děláte to, co ostatní, ale proděláváte

DigiZone.cz: Hodlá Markíza skončit v DVB-T?

Hodlá Markíza skončit v DVB-T?

Lupa.cz: Měřičům síly hesla se nedá věřit. Víte proč?

Měřičům síly hesla se nedá věřit. Víte proč?

Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

Podnikatel.cz: Novela zákoníku práce. Řeší homeworking

Novela zákoníku práce. Řeší homeworking

Lupa.cz: Kolín dá čipy na náměstí, do kontejnerů i dětem

Kolín dá čipy na náměstí, do kontejnerů i dětem

Podnikatel.cz: Kdy s příjmy není třeba platit zdravotko?

Kdy s příjmy není třeba platit zdravotko?

Lupa.cz: Co najdete uvnitř kosmické sondy?

Co najdete uvnitř kosmické sondy?

Root.cz: Čína má nejvýkonnější počítač světa

Čína má nejvýkonnější počítač světa

Vitalia.cz: 9 potravin, které nesmí chybět v jídelníčku těhotné

9 potravin, které nesmí chybět v jídelníčku těhotné

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

Vitalia.cz: Syfilis: To není „nemoc z lásky“

Syfilis: To není „nemoc z lásky“