Τεχνικές Ηλεκτρονικής Απάτης και Δικτυοπειρατείας Τεχνολογικό Εκπαιδευτικό Ίδρυμα Δυτικής Μακεδονίας Παράρτημα Γρεβενών Τμήμα Διοίκησης Επιχειρήσεων Τεχνικές Ηλεκτρονικής Απάτης και Δικτυοπειρατείας Αγγελική-Μαρία Κεφαλά Γρεβενά 2015

Περιεχόμενα Ηλεκτρονικό έγκλημα Τεχνικές ηλεκτρονικής απάτης Δικτυοπειρατεία Τεχνικές SQL επιθέσεων Αγγελική-Μαρία Κεφαλά 2

Ηλεκτρονικό Έγκλημα Αγγελική-Μαρία Κεφαλά 3

Ηλεκτρονικό έγκλημα «Ως ηλεκτρονικό έγκλημα ορίζεται μια εγκληματική πράξη στην οποία ο ηλεκτρονικός υπολογιστής χρησιμοποιείται ως κύριο μέσο τέλεσης». Τιμωρείται από τον νόμο (Συνθήκη Βουδαπέστης 2001). Χαρακτηριστικά: Διαδίκτυο, μέσο ανάπτυξης παραβατικής δραστηριότητας. Εκτέλεση σε πραγματικό χρόνο. Ανωνυμία. «Έγκλημα χωρίς πατρίδα». Απαίτηση εξειδικευμένων γνώσεων. Μεγάλες οικονομικές απώλειες. Αγγελική-Μαρία Κεφαλά 4

Διακρίσεις Τα ηλεκτρονικά εγκλήματα μπορούν να διακριθούν σε: Εγκλήματα που διαπράττονται μόνο σε περιβάλλον ηλεκτρονικών υπολογιστών (computer crimes). Γνήσια εγκλήματα του Κυβερνοχώρου με την έννοια της ποινικοποίησης συμπεριφοράς που έχει σχέση αποκλειστικά με τον Κυβερνοχώρο (cybercrimes). Αγγελική-Μαρία Κεφαλά 5

Κατηγορίες ηλεκτρονικού εγκλήματος Απάτες μέσω διαδικτύου Παιδική πορνογραφία Πειρατεία λογισμικού Κακόβουλο λογισμικό Spamming Πειρατεία ονομάτων χώρου Διαδικτυακή τρομοκρατία Διακίνηση ναρκωτικών - αυτοκτονία Αγγελική-Μαρία Κεφαλά 6

Στατιστικά στοιχεία ηλεκτρονικού εγκλήματος στην Ελλάδα για το 2014 [Πηγή: http://www.safeline.gr/node/501] Αγγελική-Μαρία Κεφαλά 7

Τεχνικές Ηλεκτρονικής Απάτης Αγγελική-Μαρία Κεφαλά 8

Διαδίκτυο ως πλατφόρμα απάτης Χρήση διαδικτύου ως πλατφόρμα για την παράσταση ψευδών γεγονότων ως αληθών ή αθέμιτης αποσιώπησης αληθών γεγονότων. Χρήση μέσων εξαπάτησης όπως: Μηνύματα email. Τοποθεσίες στο διαδίκτυο. Χώροι συζήτησης. 9

Ηλεκτρονικό ψάρεμα (phishing) Χρήση ηλεκτρονικής αλληλογραφίας που μοιάζει να έχει σταλεί από έμπιστη πηγή. Χρήση αντιγράφων ηλεκτρονικής αλληλογραφίας όπου έχουν γίνει αλλαγές σε περιεχόμενα URLs και hyperlinks. π.χ. ένα πλαστό email χρησιμοποιεί λογότυπο μιας τράπεζας και ζητάει την επιβεβαίωση των προσωπικών στοιχείων ενός χρήστη για να τα διασταυρώσει λόγω πρόσφατης αναβάθμισης των συστημάτων ασφαλείας της. 10

Ηλεκτρονικό ψάρεμα (pharming) Τροποποίηση διευθύνσεων διακομιστή με στόχο την ανακατεύθυνση χρηστών σε πλαστές ιστοσελίδες. 11 [Πηγή: http://features.en.softonic.com/6-tips-for-shopping-online-without-getting-scammed]

Ηλεκτρονικό ψάρεμα (smishing) Αποστολή πλαστών μηνυμάτων SMS σε αριθμούς κινητών τηλεφώνων. Ανακατεύθυνση των παραληπτών σε ιστοσελίδες με κακόβουλο περιεχόμενο. 12 [Πηγή: http://www.oneclickroot.com/how-to/how-to-protect-your-android-against-smishing]

Ισπανικό λόττο Μαζική αποστολή emails σε τυχαίους χρήστες του διαδικτύου. Το μήνυμα ενημερώνει τον χρήστη ότι έχει κερδίσει ένα μεγάλο ποσό στο Ισπανικό λόττο. Το θύμα καταβάλει κάποιο χρηματικό ποσό για τα διαδικαστικά έξοδα της μεταβίβασης του ποσού που έχουν κερδίσει.  Αγγελική-Μαρία Κεφαλά 13

Νιγηριανές απάτες Μαζική αποστολή emails σε τυχαίους χρήστες του διαδικτύου. Το μήνυμα ενημερώνει τον χρήστη ότι: Έχει επιλεγεί ως ο κληρονόμος μιας μεγάλης περιουσίας ή Για να αποδεσμευθεί η περιουσία απαιτείται η μεταφορά του ποσού σε κάποια τράπεζα του εξωτερικού με την εγγύηση ότι ο παραλήπτης θα πάρει κάποια προμήθεια. Το θύμα γνωστοποιεί στον θύτη τα προσωπικά του στοιχεία, αριθμούς τραπεζικών λογαριασμών κλπ. Αγγελική-Μαρία Κεφαλά 14

Δικτυοπειρατεία Αγγελική-Μαρία Κεφαλά 15

Δικτυοπειρατεία Μη εξουσιοδοτημένη πρόσβαση σε συστήματα υπολογιστών. Αθέμιτη αντιγραφή, αποτύπωση, χρήση, αποκάλυψη ή εν γένει παραβίαση στοιχείων ή προγραμμάτων υπολογιστών (hacking). Κίνητρα: Οικονομικά Πολιτικά Διασκέδαση Ακτιβισμός Βιομηχανική κατασκοπία [Πηγή: http://www.talktohacker.com/2014/08/top-5-best-hacking-tool-mainly-used-by.html] Αγγελική-Μαρία Κεφαλά 16

Ταξινόμηση επιθέσεων Αγγελική-Μαρία Κεφαλά 17 Επιθέσεις Παθητικές Ανίχνευση δικτυακών υπηρεσιών συστημάτων Ανιχνευτές δικτυακών πακέτων Ενεργητικές Επιθέσεις άρνησης εξυπηρέτησης Πλαστοπροσωπία IP spoofing Αγγελική-Μαρία Κεφαλά 17

Ανίχνευση δικτυακών υπηρεσιών συστημάτων Συγκέντρωση πληροφοριών για το σύστημα-στόχο μέσω της τεχνικής σάρωσης θυρών. Αποστολή ερωτημάτων σχετικά με τις παρεχόμενες υπηρεσίες και το επίπεδο ασφάλειας. Αγγελική-Μαρία Κεφαλά 18 [Πηγή: http://www.seomastering.com/port-scanner.php]

Ανιχνευτές δικτυακών πακέτων Ανίχνευση IP πακέτων που κυκλοφορούν στο τοπικό δίκτυο με χρήση λογισμικού packet sniffer. Απόσπαση πληροφοριών (πχ. κωδικών) από τα IP πακέτα. Αγγελική-Μαρία Κεφαλά 19 [Πηγή: http://www.jscape.com/blog/bid/91906/Countering-Packet-Sniffers-Using-Encrypted-FTP]

Επιθέσεις άρνησης εξυπηρέτησης Καταιγισμός ενός συστήματος από πακέτα με στόχο την άρνηση εξυπηρέτησης άλλων υπολογιστών. Εκτέλεση επίθεσης σε τρία βήματα: Εγκατάσταση προγράμματος απομακρυσμένης διαχείρισης σε υπολογιστή ενός δικτύου. Αποστολή αιτημάτων-ping πακέτων. Απάντηση του υπολογιστή-θύματος μόνο στα αίτηματα που στέλνονται από τον θύτη. Αγγελική-Μαρία Κεφαλά 20 [Πηγή: https://tigr.net/2502/2014/07/09/denial-of-service-attack/]

Πλαστοπροσωπία IP spoofing Αγγελική-Μαρία Κεφαλά 21 [Πηγή: http://en.wikipedia.org/wiki/IP_address_spoofing]

Μέτρα αντιμετώπισης επιθέσεων Αυθεντικοποίηση Κρυπτογραφία Λογισμικό προστασίας από ιούς Τοίχος προστασίας Αγγελική-Μαρία Κεφαλά 22

Τεχνικές SQL Επιθέσεων Αγγελική-Μαρία Κεφαλά 23

SQL επιθέσεις Οι εφαρμογές ιστού στηρίζονται στην αρχιτεκτονική πελάτη - διακομιστή. Πρόσβαση στη βάση δεδομένων του διακομιστή με χρήση της γλώσσας SQL. Εισαγωγή κακόβουλου κώδικα σε ακολουθίες χαρακτήρων με χρήση εντολών UNION ή χαρακτήρων ; , |. Εισαγωγή των ακολουθιών σε ένα στιγμιότυπο του SQL server για ανάλυση και εκτέλεση. Αγγελική-Μαρία Κεφαλά 24

Έγχυση SQL κώδικα Εισαγωγή κακόβουλου κώδικα σε μεταβλητές εισόδου του χρήστη. var ShipCity; ShipCity = Request.form (“ShipCity”); var sql = “select * from OrdersTable where ShipCity = ‘ ” + ShipCity + “ ’ ”; SELECT * FROM OrdersTable WHERE ShipCity = 'Redmond' Redmond'; drop table OrdersTable-- SELECT * FROM OrdersTable WHERE ShipCity = 'Redmond';drop table OrdersTable--' Αγγελική-Μαρία Κεφαλά 25

SQL χειραγώγιση Τροποποίηση ερώτησης που γίνεται στη βάση δεδομένων. SQLQuery = “SELECT * FROM Users WHERE UserName=$username AND Password=$password”; ‘ OR ‘ 1=1 SQLQuery = “SELECT * FROM Users WHERE UserName=$username AND Password=$password ‘ OR ‘ 1=1’; Αγγελική-Μαρία Κεφαλά 26

Μηνύματα λάθους Χρήση μηνυμάτων λάθους για την απόκτηση πληροφοριών σχετικά με τη δομή και το περιεχόμενο της βάσης δεδομένων. SELECT member_id, member_level FROM members WHERE member_login = ‘’ HAVING 1=1 – AND member_password = ‘’ “Column ‘members.member_id’ is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.” Αγγελική-Μαρία Κεφαλά 27

“Login or Password is incorrect.” Μηνύματα λάθους SELECT member_id, member_level FROM members WHERE member_login = '' GROUP BY members.member_id HAVING 1=1 -- AND member_password = '' “Column 'members.member_level' is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause.” SELECT member_id, member_level FROM members WHERE member_login = '' GROUP BY members.member_id, members.member_level HAVING 1=1 -- AND member_password = '' “Login or Password is incorrect.” Αγγελική-Μαρία Κεφαλά 28

Ερωτήματα ένωσης Εκμετάλευση μιας τρωτής παραμέτρου για την αλλαγή του συνόλου των δεδομένων που επιστρέφονται από ένα συγκεκριμένο SQL ερώτημα. $id = $_GET['id']; $news = mysql_query( "SELECT * FROM `news` WHERE `id` = $id ORDER BY `id` DESC LIMIT 0,3" ); SELECT * FROM `news` WHERE `id` = NULL UNION ALL SELECT password FROM users WHERE username = 'admin'/* Αγγελική-Μαρία Κεφαλά 29

Κλήση συνάρτησης Εκτέλεση εξωτερικών εντολών σαν μέρος μιας SQL δήλωσης. Ισχύει μόνο για βάσεις δεδομένων της Oracle. SELECT TRANSLATE ('user input', '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ', '0123456789') FROM dual; SELECT TRANSLATE('' || myappadmin.adduser('admin', 'newpass') || '', '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ', '0123456789') FROM dual; Αγγελική-Μαρία Κεφαλά 30

Τυφλή έγχυση Επίθεση με ερωτήσεις τύπου αληθές ή ψευδές προς την εφαρμογή. http://newspaper.com/items.php?id=2 SELECT title, description, body FROM items WHERE ID = 2 http://newspaper.com/items.php?id=2 and 1=2 SELECT title, description, body FROM items WHERE ID = 2 and 1=2 http://newspaper.com/items.php?id=2 and 1=1 Αγγελική-Μαρία Κεφαλά 31

SELECT * FROM products WHERE id=1; WAIT FOR DELAY '00:00:15' Επιθέσεις χρονισμού Άντληση πληροφοριών για την βάση δεδομένων παρατηρώντας χρονικές καθυστερήσεις στην απόκριση της βάσης δεδομένων. Χρήση SQL ερώτησης που απαιτεί ένα γνωστό χρονικό διάστημα για να εκτελεστεί. SELECT * FROM products WHERE id=1; WAIT FOR DELAY '00:00:15' Αγγελική-Μαρία Κεφαλά 32

Τρόποι αντιμετώπισης SQL επιθέσεων Έλεγχος τύπου εισόδου. Έλεγχος αλφαριθμητικών ή αριθμητικών παραμέτρων. Κωδικοποίηση εισόδων. Απαγόρευση χρήσης μετα-χαρακτήρων. Επικύρωση εισόδου. Έλεγχος χαρακτήρων εισόδου σε επίπεδο πελάτη και διακομιστή. Χρήση μεταβλητών δέσμευσης. Εκχώρηση τιμών στις μεταβλητές μέσω κλήσης μιας ξεχωριστής διεπαφής. Στατική και δυναμική ανάλυση. Χρήση λογισμικού AMNESIA. Αγγελική-Μαρία Κεφαλά 33

Βιβλιογραφία Γκρίτζαλης, Δ., Κάτσικας, Σ., και Γκρίτζαλης, Κ. (2004). Ασφάλεια Δικτύων Υπολογιστών. Εκδόσεις Παπασωτηρίου. Αθήνα. σελ.69-141. Λάζος, Γ. (2001). Πληροφορική και Έγκλημα. Νομική Βιβλιοθήκη. Αθήνα. σελ. 96. Forester, T. and Morrison, P. (1994). Computer Ethics: Cautionary Tales and Ethical Dilemmas in Computing. 2nd ed. Cambridge, MA: MIT Press. Kost, S. (2004). An Introduction to SQL Injection Attacks for Oracle Developers. Integrity Corporation. USA. Lee, C. B., Roedel, C., and Silenok, E. (2003). Detection and Characterization of Port Scan Attacks. Journal of Univeristy of California, Department of Computer Science and Engineering. Αγγελική-Μαρία Κεφαλά 34

Ευχαριστώ πολύ!