Τεχνικές Ηλεκτρονικής Απάτης και Δικτυοπειρατείας

Slides:



Advertisements
Παρόμοιες παρουσιάσεις
Entity-Relationship Παραδείγματα Πληροφοριακά Συστήματα και Βάσεις Δεδομένων Φροντιστήριο 1 Δαμιανός Χατζηαντωνίου.
Advertisements

9 Η Γλώσσα SQL Ορισμός Δεδομένων (data definition)
Βάσεις Δεδομένων Εργαστήριο ΙΙ Τμήμα Πληροφορικής ΑΠΘ
ΕΡΩΤΗΜΑΤΑ ΕΠΙΛΟΓΗΣ 2 ΜΑΘΗΜΑ 8. ΑΠΑΛΟΙΦΗ ΔΙΠΛΟΕΓΓΡΑΦΩΝ DISTINCT Μπορούμε να απαλείψουμε τις διπλοεγγραφές που μας επιστρέφονται και που οφείλονται στην.
1 Βάσεις Δεδομένων ΙI Επιμέλεια: ΘΟΔΩΡΗΣ ΜΑΝΑΒΗΣ SQL (3 από 3) T Manavis.
9 Η Γλώσσα SQL  Εισαγωγή – Βασικές Έννοιες  Τύποι Δεδομένων  Ορισμός Δεδομένων (data definition)  Χειρισμός Δεδομένων (data manipulation)
Κουλίνας Μιχαήλ Α.Μ.:774 Μπουρνάζης Χρήστος Α.Μ.:792 Ρογκάκος Γεώργιος Α.Μ.:817.
Πανεπιστήμιο Κύπρου – Τμήμα Πληροφορικής ΕΠΛ446-Προχωρημένες Βάσεις Δεδομένων Ζωγραφάκης Ιωάννης.
Τεχνολογία ΛογισμικούSlide 1 Σχεδιασμός Λογισμικού ATM loop Print_input_message (” Welcome - Please enter your card”) ; exit when Card_input ; end loop.
ΕΠΛ 342 – Βάσεις Δεδομένων Εργαστήριο 4 ο SQL - Queries Ιωάννα Συρίμη
ΗΥ Παπαευσταθίου Γιάννης1 Clock generation.
1 26/6/2015 Προγραμματισμός Διαδικτύου – Lecture 8 LECTURE 8 Using Databases with PHP Scripts: Using MySQL Database with PHP Προγραμματισμός Διαδικτύου.
ΟΡΓΑΝΙΣΜΟΣ ΒΙΟΜΗΧΑΝΙΚΗΣ ΙΔΙΟΚΤΗΣΙΑΣ “Preparing Europe for Global Competition” THE NETWORK : The Patent and Trademark Offices.
Week 11 Quiz Sentence #2. The sentence. λαλο ῦ μεν ε ἰ δότες ὅ τι ὁ ἐ γείρας τ ὸ ν κύριον Ἰ ησο ῦ ν κα ὶ ἡ μ ᾶ ς σ ὺ ν Ἰ ησο ῦ ἐ γερε ῖ κα ὶ παραστήσει.
ΤΕΧΝΙΚΟ ΣΕΜΙΝΑΡΙΟ «Επισιτιστικής και Βασικής Υλικής Συνδρομής» Επιχειρησιακό Πρόγραμμα «Επισιτιστικής και Βασικής Υλικής Συνδρομής» ΜΟΝΑΔΑ Β’ - ΟΔΗΓΟΣ.
Δρ. Ξανθή Κωνσταντινίδου Σχολική Σύμβουλος Φυσικής Aγωγής ΠΕ11 Θράκης Φυσικής Aγωγής ΠΕ11 Θράκης.
Διαχείριση Διαδικτυακής Φήμης! Do the Online Reputation Check! «Ημέρα Ασφαλούς Διαδικτύου 2015» Ε. Κοντοπίδη, ΠΕ19.
ΕΓΚΛΗΜΑΤΙΚΗ ΚΑΙ ΠΑΡΑΒΑΤΙΚΗ ΣΥΜΠΕΡΙΦΟΡΑ ΣΤΟ ΔΙΑΔΙΚΤΥΟ Εγκληματολογική προσέγγιση και νομική αντιμετώπιση Δρ. Φώτης Σπυρόπουλος Δικηγόρος (ΔΣΑ) – οικονομολόγος.
Προχωρημένα Θέματα Δικτύων
Μαθαίνω με “υπότιτλους”
Βάσεις Δεδομένων και Ευφυή Πληροφοριακά Συστήματα Επιχειρηματικότητας
Βάσεις Δεδομένων Ι 4η διάλεξη
Βασικά Web εργαλεία και τεχνολογίες
Περιγραφή Ενότητας Σκοπός του μαθήματος αυτού και κεντρικός σκοπός του μαθήματος των Βάσεων Δεδομένων Ι είναι η παρουσίαση των απαραίτητων εννοιών ώστε.
Περιεχόμενα ΕΙΔΗ ΥΠΗΡΕΣΙΩΝ ΠΛΗΡΟΦΟΡΗΣΗΣ (ΓΕΝΙΚΑ)
Βάσεις Δεδομένων Ι Επανάληψη
Λ. Μήτρου, Επικ. Καθηγήτρια – Πανεπιστήμιο Αιγαίου Κανονιστικές και Κοινωνικές Διαστάσεις της Κοινωνίας της Πληροφορίας /3 Χειμερινό εξάμηνο
JSIS E 111: Elementary Modern Greek
Μετατροπή Σχήματος Ο/Σ σε Σχεσιακό Σχήμα
Web Science George Metakides FHW May
Ασφάλεια & Επικινδυνότητα Πληροφοριακού Συστήματος
Υλοποίηση Δικτυακών Υποδομών και Υπηρεσιών: Ρύθμιση Postfix SMTP Server, Courier IMAP, POP3 σε Ubuntu Linux Πανεπιστήμιο Πελοποννήσου Τμήμα Επιστήμης.
Μάθημα 7 Φόρμες IΙ.
9 Η Γλώσσα SQL Εισαγωγή – Βασικές Έννοιες Τύποι Δεδομένων
Βάσεις Δεδομένων και Ευφυή Πληροφοριακά Συστήματα Επιχειρηματικότητας
Περιγραφή Ενότητας Σκοπός του μαθήματος είναι να κατανοήσουμε την έννοια της όψης της γλώσσας SQL. Χ. Σκουρλάς.
Usenet.
and he will flee from you.
Keystroke-Level Model
Βάσεις Δεδομένων Εισαγωγή για το Εργαστήριο Δρ. Τιάκας Ελευθέριος
Περιγραφή Ενότητας Σκοπός του μαθήματος είναι η παρουσίαση δηλώσεων SQL που περιλαμβάνουν EXIST, ANY, ALL. Χ. Σκουρλάς.
Βάσεις Δεδομένων Ι 8η διάλεξη
Βάσεις Δεδομένων ΙΙ Triggers
Βάσεις Δεδομένων και web-based Εφαρμογές
Adjectives Introduction to Greek By Stephen Curto For Intro to Greek
ΓΛΩΣΣΕΣ & ΕΡΓΑΛΕΙΑ ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΥ
Εντολές Δικτύων Command Line.
στον Ιησού που μας έδωσε την πίστη την οποία και τελειοποιεί.
Ό,τι βρίσκεται στη Γραφή
Ευρωπαϊκη Ολοκληρωση: Θεσμοι και Νεεσ Πολιτικεσ
Ειδική Γραμματεία Διαχείρισης Ιδιωτικού Χρέους
ζωντανός και δραστικός.
AEITT ΠΕΙΡΑΙΑ Τμήμα Μηχανικών Αυτοματισμού Μάθημα: Δίκαιο στην κοινωνία της πληροφορίας ΕΓΚΛΗΜΑΤΙΚΗ ΚΑΙ ΠΑΡΑΒΑΤΙΚΗ ΣΥΜΠΕΡΙΦΟΡΑ ΣΤΟ ΔΙΑΔΙΚΤΥΟ Εγκληματολογική.
Μία πρακτική εισαγωγή στην χρήση του R
Βάσεις Δεδομένων ΙΙ Ενότητα 5: Μελέτη περιπτώσεως:
Εκπαιδευτική ρομποτική
Εργαστήρια Windows/Linux /etc
Ερωτήματα Επιλογής Δεδομένων
Ερωτήματα Επιλογής σε ACCESS
Promo is valid until stock last
ΕΝΣΤΑΣΕΙΣ ΠΟΙΟΣ? Όμως ναι.... Ένα σκάφος
Διαχείριση και Εξόρυξη Γνώσης Knowledge Management and Data Mining
اـيلعلا تاـساردلا ةدامع
ΠΑΡΑΔΕΙΓΜΑΤΑ SQL Ή ΠΑΡΑΔΕΙΓΜΑΤΑ SQL Ή
SQL Βάσεις Δεδομένων Ευαγγελία Πιτουρά.
Κεφάλαιο 11: Διοίκηση Ανθρώπινων Πόρων
Κεφάλαιο 4: Ηθική Συμπεριφορά και Κοινωνική Ευθύνη
TV’s Price List JUNE 2019.
Copy and paste function can then be applied
All In One Inkjet Printers Eco Tank
Μεταγράφημα παρουσίασης:

Τεχνικές Ηλεκτρονικής Απάτης και Δικτυοπειρατείας Τεχνολογικό Εκπαιδευτικό Ίδρυμα Δυτικής Μακεδονίας Παράρτημα Γρεβενών Τμήμα Διοίκησης Επιχειρήσεων Τεχνικές Ηλεκτρονικής Απάτης και Δικτυοπειρατείας Αγγελική-Μαρία Κεφαλά Γρεβενά 2015

Περιεχόμενα Ηλεκτρονικό έγκλημα Τεχνικές ηλεκτρονικής απάτης Δικτυοπειρατεία Τεχνικές SQL επιθέσεων Αγγελική-Μαρία Κεφαλά 2

Ηλεκτρονικό Έγκλημα Αγγελική-Μαρία Κεφαλά 3

Ηλεκτρονικό έγκλημα «Ως ηλεκτρονικό έγκλημα ορίζεται μια εγκληματική πράξη στην οποία ο ηλεκτρονικός υπολογιστής χρησιμοποιείται ως κύριο μέσο τέλεσης». Τιμωρείται από τον νόμο (Συνθήκη Βουδαπέστης 2001). Χαρακτηριστικά: Διαδίκτυο, μέσο ανάπτυξης παραβατικής δραστηριότητας. Εκτέλεση σε πραγματικό χρόνο. Ανωνυμία. «Έγκλημα χωρίς πατρίδα». Απαίτηση εξειδικευμένων γνώσεων. Μεγάλες οικονομικές απώλειες. Αγγελική-Μαρία Κεφαλά 4

Διακρίσεις Τα ηλεκτρονικά εγκλήματα μπορούν να διακριθούν σε: Εγκλήματα που διαπράττονται μόνο σε περιβάλλον ηλεκτρονικών υπολογιστών (computer crimes). Γνήσια εγκλήματα του Κυβερνοχώρου με την έννοια της ποινικοποίησης συμπεριφοράς που έχει σχέση αποκλειστικά με τον Κυβερνοχώρο (cybercrimes). Αγγελική-Μαρία Κεφαλά 5

Κατηγορίες ηλεκτρονικού εγκλήματος Απάτες μέσω διαδικτύου Παιδική πορνογραφία Πειρατεία λογισμικού Κακόβουλο λογισμικό Spamming Πειρατεία ονομάτων χώρου Διαδικτυακή τρομοκρατία Διακίνηση ναρκωτικών - αυτοκτονία Αγγελική-Μαρία Κεφαλά 6

Στατιστικά στοιχεία ηλεκτρονικού εγκλήματος στην Ελλάδα για το 2014 [Πηγή: http://www.safeline.gr/node/501] Αγγελική-Μαρία Κεφαλά 7

Τεχνικές Ηλεκτρονικής Απάτης Αγγελική-Μαρία Κεφαλά 8

Διαδίκτυο ως πλατφόρμα απάτης Χρήση διαδικτύου ως πλατφόρμα για την παράσταση ψευδών γεγονότων ως αληθών ή αθέμιτης αποσιώπησης αληθών γεγονότων. Χρήση μέσων εξαπάτησης όπως: Μηνύματα email. Τοποθεσίες στο διαδίκτυο. Χώροι συζήτησης. 9

Ηλεκτρονικό ψάρεμα (phishing) Χρήση ηλεκτρονικής αλληλογραφίας που μοιάζει να έχει σταλεί από έμπιστη πηγή. Χρήση αντιγράφων ηλεκτρονικής αλληλογραφίας όπου έχουν γίνει αλλαγές σε περιεχόμενα URLs και hyperlinks. π.χ. ένα πλαστό email χρησιμοποιεί λογότυπο μιας τράπεζας και ζητάει την επιβεβαίωση των προσωπικών στοιχείων ενός χρήστη για να τα διασταυρώσει λόγω πρόσφατης αναβάθμισης των συστημάτων ασφαλείας της. 10

Ηλεκτρονικό ψάρεμα (pharming) Τροποποίηση διευθύνσεων διακομιστή με στόχο την ανακατεύθυνση χρηστών σε πλαστές ιστοσελίδες. 11 [Πηγή: http://features.en.softonic.com/6-tips-for-shopping-online-without-getting-scammed]

Ηλεκτρονικό ψάρεμα (smishing) Αποστολή πλαστών μηνυμάτων SMS σε αριθμούς κινητών τηλεφώνων. Ανακατεύθυνση των παραληπτών σε ιστοσελίδες με κακόβουλο περιεχόμενο. 12 [Πηγή: http://www.oneclickroot.com/how-to/how-to-protect-your-android-against-smishing]

Ισπανικό λόττο Μαζική αποστολή emails σε τυχαίους χρήστες του διαδικτύου. Το μήνυμα ενημερώνει τον χρήστη ότι έχει κερδίσει ένα μεγάλο ποσό στο Ισπανικό λόττο. Το θύμα καταβάλει κάποιο χρηματικό ποσό για τα διαδικαστικά έξοδα της μεταβίβασης του ποσού που έχουν κερδίσει.  Αγγελική-Μαρία Κεφαλά 13

Νιγηριανές απάτες Μαζική αποστολή emails σε τυχαίους χρήστες του διαδικτύου. Το μήνυμα ενημερώνει τον χρήστη ότι: Έχει επιλεγεί ως ο κληρονόμος μιας μεγάλης περιουσίας ή Για να αποδεσμευθεί η περιουσία απαιτείται η μεταφορά του ποσού σε κάποια τράπεζα του εξωτερικού με την εγγύηση ότι ο παραλήπτης θα πάρει κάποια προμήθεια. Το θύμα γνωστοποιεί στον θύτη τα προσωπικά του στοιχεία, αριθμούς τραπεζικών λογαριασμών κλπ. Αγγελική-Μαρία Κεφαλά 14

Δικτυοπειρατεία Αγγελική-Μαρία Κεφαλά 15

Δικτυοπειρατεία Μη εξουσιοδοτημένη πρόσβαση σε συστήματα υπολογιστών. Αθέμιτη αντιγραφή, αποτύπωση, χρήση, αποκάλυψη ή εν γένει παραβίαση στοιχείων ή προγραμμάτων υπολογιστών (hacking). Κίνητρα: Οικονομικά Πολιτικά Διασκέδαση Ακτιβισμός Βιομηχανική κατασκοπία [Πηγή: http://www.talktohacker.com/2014/08/top-5-best-hacking-tool-mainly-used-by.html] Αγγελική-Μαρία Κεφαλά 16

Ταξινόμηση επιθέσεων Αγγελική-Μαρία Κεφαλά 17 Επιθέσεις Παθητικές Ανίχνευση δικτυακών υπηρεσιών συστημάτων Ανιχνευτές δικτυακών πακέτων Ενεργητικές Επιθέσεις άρνησης εξυπηρέτησης Πλαστοπροσωπία IP spoofing Αγγελική-Μαρία Κεφαλά 17

Ανίχνευση δικτυακών υπηρεσιών συστημάτων Συγκέντρωση πληροφοριών για το σύστημα-στόχο μέσω της τεχνικής σάρωσης θυρών. Αποστολή ερωτημάτων σχετικά με τις παρεχόμενες υπηρεσίες και το επίπεδο ασφάλειας. Αγγελική-Μαρία Κεφαλά 18 [Πηγή: http://www.seomastering.com/port-scanner.php]

Ανιχνευτές δικτυακών πακέτων Ανίχνευση IP πακέτων που κυκλοφορούν στο τοπικό δίκτυο με χρήση λογισμικού packet sniffer. Απόσπαση πληροφοριών (πχ. κωδικών) από τα IP πακέτα. Αγγελική-Μαρία Κεφαλά 19 [Πηγή: http://www.jscape.com/blog/bid/91906/Countering-Packet-Sniffers-Using-Encrypted-FTP]

Επιθέσεις άρνησης εξυπηρέτησης Καταιγισμός ενός συστήματος από πακέτα με στόχο την άρνηση εξυπηρέτησης άλλων υπολογιστών. Εκτέλεση επίθεσης σε τρία βήματα: Εγκατάσταση προγράμματος απομακρυσμένης διαχείρισης σε υπολογιστή ενός δικτύου. Αποστολή αιτημάτων-ping πακέτων. Απάντηση του υπολογιστή-θύματος μόνο στα αίτηματα που στέλνονται από τον θύτη. Αγγελική-Μαρία Κεφαλά 20 [Πηγή: https://tigr.net/2502/2014/07/09/denial-of-service-attack/]

Πλαστοπροσωπία IP spoofing Αγγελική-Μαρία Κεφαλά 21 [Πηγή: http://en.wikipedia.org/wiki/IP_address_spoofing]

Μέτρα αντιμετώπισης επιθέσεων Αυθεντικοποίηση Κρυπτογραφία Λογισμικό προστασίας από ιούς Τοίχος προστασίας Αγγελική-Μαρία Κεφαλά 22

Τεχνικές SQL Επιθέσεων Αγγελική-Μαρία Κεφαλά 23

SQL επιθέσεις Οι εφαρμογές ιστού στηρίζονται στην αρχιτεκτονική πελάτη - διακομιστή. Πρόσβαση στη βάση δεδομένων του διακομιστή με χρήση της γλώσσας SQL. Εισαγωγή κακόβουλου κώδικα σε ακολουθίες χαρακτήρων με χρήση εντολών UNION ή χαρακτήρων ; , |. Εισαγωγή των ακολουθιών σε ένα στιγμιότυπο του SQL server για ανάλυση και εκτέλεση. Αγγελική-Μαρία Κεφαλά 24

Έγχυση SQL κώδικα Εισαγωγή κακόβουλου κώδικα σε μεταβλητές εισόδου του χρήστη. var ShipCity; ShipCity = Request.form (“ShipCity”); var sql = “select * from OrdersTable where ShipCity = ‘ ” + ShipCity + “ ’ ”; SELECT * FROM OrdersTable WHERE ShipCity = 'Redmond' Redmond'; drop table OrdersTable-- SELECT * FROM OrdersTable WHERE ShipCity = 'Redmond';drop table OrdersTable--' Αγγελική-Μαρία Κεφαλά 25

SQL χειραγώγιση Τροποποίηση ερώτησης που γίνεται στη βάση δεδομένων. SQLQuery = “SELECT * FROM Users WHERE UserName=$username AND Password=$password”; ‘ OR ‘ 1=1 SQLQuery = “SELECT * FROM Users WHERE UserName=$username AND Password=$password ‘ OR ‘ 1=1’; Αγγελική-Μαρία Κεφαλά 26

Μηνύματα λάθους Χρήση μηνυμάτων λάθους για την απόκτηση πληροφοριών σχετικά με τη δομή και το περιεχόμενο της βάσης δεδομένων. SELECT member_id, member_level FROM members WHERE member_login = ‘’ HAVING 1=1 – AND member_password = ‘’ “Column ‘members.member_id’ is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.” Αγγελική-Μαρία Κεφαλά 27

“Login or Password is incorrect.” Μηνύματα λάθους SELECT member_id, member_level FROM members WHERE member_login = '' GROUP BY members.member_id HAVING 1=1 -- AND member_password = '' “Column 'members.member_level' is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause.” SELECT member_id, member_level FROM members WHERE member_login = '' GROUP BY members.member_id, members.member_level HAVING 1=1 -- AND member_password = '' “Login or Password is incorrect.” Αγγελική-Μαρία Κεφαλά 28

Ερωτήματα ένωσης Εκμετάλευση μιας τρωτής παραμέτρου για την αλλαγή του συνόλου των δεδομένων που επιστρέφονται από ένα συγκεκριμένο SQL ερώτημα. $id = $_GET['id']; $news = mysql_query( "SELECT * FROM `news` WHERE `id` = $id ORDER BY `id` DESC LIMIT 0,3" ); SELECT * FROM `news` WHERE `id` = NULL UNION ALL SELECT password FROM users WHERE username = 'admin'/* Αγγελική-Μαρία Κεφαλά 29

Κλήση συνάρτησης Εκτέλεση εξωτερικών εντολών σαν μέρος μιας SQL δήλωσης. Ισχύει μόνο για βάσεις δεδομένων της Oracle. SELECT TRANSLATE ('user input', '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ', '0123456789') FROM dual; SELECT TRANSLATE('' || myappadmin.adduser('admin', 'newpass') || '', '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ', '0123456789') FROM dual; Αγγελική-Μαρία Κεφαλά 30

Τυφλή έγχυση Επίθεση με ερωτήσεις τύπου αληθές ή ψευδές προς την εφαρμογή. http://newspaper.com/items.php?id=2 SELECT title, description, body FROM items WHERE ID = 2 http://newspaper.com/items.php?id=2 and 1=2 SELECT title, description, body FROM items WHERE ID = 2 and 1=2 http://newspaper.com/items.php?id=2 and 1=1 Αγγελική-Μαρία Κεφαλά 31

SELECT * FROM products WHERE id=1; WAIT FOR DELAY '00:00:15' Επιθέσεις χρονισμού Άντληση πληροφοριών για την βάση δεδομένων παρατηρώντας χρονικές καθυστερήσεις στην απόκριση της βάσης δεδομένων. Χρήση SQL ερώτησης που απαιτεί ένα γνωστό χρονικό διάστημα για να εκτελεστεί. SELECT * FROM products WHERE id=1; WAIT FOR DELAY '00:00:15' Αγγελική-Μαρία Κεφαλά 32

Τρόποι αντιμετώπισης SQL επιθέσεων Έλεγχος τύπου εισόδου. Έλεγχος αλφαριθμητικών ή αριθμητικών παραμέτρων. Κωδικοποίηση εισόδων. Απαγόρευση χρήσης μετα-χαρακτήρων. Επικύρωση εισόδου. Έλεγχος χαρακτήρων εισόδου σε επίπεδο πελάτη και διακομιστή. Χρήση μεταβλητών δέσμευσης. Εκχώρηση τιμών στις μεταβλητές μέσω κλήσης μιας ξεχωριστής διεπαφής. Στατική και δυναμική ανάλυση. Χρήση λογισμικού AMNESIA. Αγγελική-Μαρία Κεφαλά 33

Βιβλιογραφία Γκρίτζαλης, Δ., Κάτσικας, Σ., και Γκρίτζαλης, Κ. (2004). Ασφάλεια Δικτύων Υπολογιστών. Εκδόσεις Παπασωτηρίου. Αθήνα. σελ.69-141. Λάζος, Γ. (2001). Πληροφορική και Έγκλημα. Νομική Βιβλιοθήκη. Αθήνα. σελ. 96. Forester, T. and Morrison, P. (1994). Computer Ethics: Cautionary Tales and Ethical Dilemmas in Computing. 2nd ed. Cambridge, MA: MIT Press. Kost, S. (2004). An Introduction to SQL Injection Attacks for Oracle Developers. Integrity Corporation. USA. Lee, C. B., Roedel, C., and Silenok, E. (2003). Detection and Characterization of Port Scan Attacks. Journal of Univeristy of California, Department of Computer Science and Engineering. Αγγελική-Μαρία Κεφαλά 34

Ευχαριστώ πολύ!