Dva incidenty GOPAS: | | Ing. Ondřej Ševeček | GOPAS a.s. | MCSM:Directory2012 | MCM:Directory2008.

Slides:



Advertisements
Podobné prezentace
Možnosti spolupráce a sdílení dat v cloudu
Advertisements

Praha ročník největší odborné IT konference v ČR! Ondřej Ševeček MCM:Directory | MVP:Security | CEH | sevecek.com Certifikační.
Enterprise řešení pro elektronický podpis VerisignIT
Brána firewall a její využití
Autor Ing. Martin Allmer Škola Euroškola Strakonice Datum
Seznámení s počítačem.
Bezpečnost na internetu. V širším smyslu do této oblasti náleží také ochrana před úniky nevhodných osobních informací, například, manipulace s lidmi na.
Přednáška č. 5 Proces návrhu databáze
Základní informace o bezpečnosti na internetu +práce se soubory PREVIEW VYUČOVACÍHO PROJEKTU.
EXposer Prezentace projektu k předmětu X36PMT. eXposer2 Obsah prezentace  Úvod  Forenzní analýza počítačů  Cíl projektu  Zvolená implementace  Role.
Digitální výukový materiál zpracovaný v rámci projektu „EU peníze školám“ Projekt:CZ.1.07/1.5.00/ „SŠHL Frýdlant.moderní školy“ Škola:Střední škola.
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Petr Šetka, MVP Exchange, MCSE:Messaging, MCT Windows Small Business Server 2003 R2.
Aukro.cz – projektový management v e-commerce Tereza Kabrdová.
Zálohování a Disaster Recovery pro školy Aleš Hok
Bezpečnostní pravidla při používání počítače a internetu
Počítačové Viry a antivir
Elektronický podpis a jeho dlouhodobé slabiny Jiří Nápravník
Informační a komunikační technologie
Konference KYBERPSYCHO , Praha Ing. Aleš Špidla
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, Kladno,
2 Ing. Jan Keprt Centrální správa uživatelů 3 Jak to bylo dosud Bylo třeba nastavení uživatelů provést zvlášť, v každém modulu samostatně. Uživatel si.
Operation Masters - správa Operation Masters - role Operation Masters - role Operation Masters - umístění Operation Masters - umístění Přesouvání versus.
JAK UČIT OCHRANU POČÍTAČE Vypracoval: Martin Rais P03466 Předmět:KVD/DIDI2 Studijní program: MT - VT - ZŠ Akademický rok: 2006/2007 Datum:
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Databázové systémy II Přednáška č. 9. Transakce je logická jednotka práce sestávající z jednoho nebo více SQL příkazů, které jsou atomické z hlediska.
Internet– přenos dat Bohumil Bareš. Přenos dat – pomocí E-meilu 2 Jak vidíte k e-meilu můžete přiložit různé soubory, jako je obrázek, pdf soubor, prezentaci.
Popis a ovládání Plocha I
Martina Braunerová.  nejdůležitější program v počítači  umožňuje všem ostatním programům fungovat  prostředník mezi počítačem a uživatelem.
ROZDĚLENÍ POČÍTAČŮ Podle výkonu. Název a adresa školy: Střední odborné učiliště stavební, Opava, příspěvková organizace, Boženy Němcové 22/2309,
Číslo šablony: III/2 VY_32_INOVACE_P4_2.2 Tematická oblast: Aplikační software pro práci s informacemi I. Legálnost užívání SW Typ: DUM - kombinovaný Předmět:
Orbis pictus 21. století Tato prezentace byla vytvořena v rámci projektu.
IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation Rizika napadení webových aplikací Konference ISSS 2005 Title.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-15.
OCHRANA DAT – JEDNODUŠE A ZCELA BEZPEČNĚ! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.,
Ovládací panely Programy.
Digitální výukový materiál zpracovaný v rámci projektu „EU peníze školám“ Projekt:CZ.1.07/1.5.00/ „SŠHL Frýdlant.moderní školy“ Škola:Střední škola.
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Studentská PARDUBICE Implementace MIIS na Univerzitě Pardubice Petr Švec, Univerzita Pardubice.
Ovládací panely Uživatelské účty II. Název a adresa školy: Střední odborné učiliště stavební, Opava, příspěvková organizace, Boženy Němcové 22/2309, 746.
Pohled uživatele.
Doména Windows Serveru Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Pavel Olšan & Ondřej Mrzena.  Co je server  Funkce  Verze Windows a instalace  Active Directory  Účty  DNS  DHCP  .
Počítačové viry Michael Čambor 7.A říjen 2010.
Zabezpečení. GPO Security Settings Comp Conf – Win Settings – Security Settings Account Policies – Password Policy – požadavky na hesla uživatelů Doménová.
Uživatelské účty, Skupiny
Ondřej Ševeček | GOPAS a.s. MCSM:Directory Services | MVP:Enteprise Security | CISA | CEH | CHFI | facebook: ondrej.sevecek.official.
17. KVĚTNA 2016, BRNO. Kdo jsme?  Sociální firma  Vznik prosinec 2013  Počátek – dotace z projektu financovaném z OP Lidské zdroje a zaměstnanost.
Trendy v řešení bezpečnosti informací (aspekty personalistiky) F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ a.s. Tomáš Kubínek
NÁZEV ŠKOLY: S0Š Net Office Orlová, spol. s r.o AUTOR: Bc. Petr Poledník NÁZEV PROJEKTU: Podpora výuky v technických oborech NÁZEV ŠABLONY: III/2 – Inovace.
Název školy Střední škola hotelová aslužeb Kroměříž Číslo projektuCZ.1.07/1.5.00/ Autor Ing. Zdenek Laski Název šablonyVY_32_INOVACE INF Název DUMuINF S.
VoIP – internetová telefonie Technická řešení © Mgr. Petr Loskot
Bezpečnost a ochrana dat. SODATSW spol. s r.o. SODATSW od roku 1997 pomáhá svými unikátními řešeními zvyšovat ochranu informací je výrobcem softwarových.
Pavel Duchan Hrdinové a padouši v boji o kybernetickou (ne)bezpecnost.
Základní informace o projektu „Aplikace programů pro časové plánování staveb“. Projekt byl řešen v rámci projektu FRVŠ 2839/2010 F1 d. Postup a způsob.
Inovativní služby v oblasti informační bezpečnosti Ing. Jan Drtil.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Číslo projektuCZ.1.07/ / Název školySOU a ZŠ Planá, Kostelní 129, Planá Vzdělávací oblastVzdělávání v informačních a komunikačních technologiích.
Bezpečnostní technologie I
Ing. Martin Kořínek eGoncentrum ORP Nový Bydžov
Financováno z ESF a státního rozpočtu ČR.
9. Bezpečnostní pravidla při používání počítače a internetu
Škodlivý software, počítačové viry
Financováno z ESF a státního rozpočtu ČR.
Nástroje podpory uživatelů
BEZPEČNOST NA KONTAKTNÍCH MÍSTECH Czech POINT
Software počítače 2 - opakování
Bezpečnost Windows pro pokročilé: účty počítačů
Souborové systémy 1 Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Ing. Libor Otáhalík. Dostupné z Metodického portálu ISSN: 
Transkript prezentace:

Dva incidenty GOPAS: | | Ing. Ondřej Ševeček | GOPAS a.s. | MCSM:Directory2012 | MCM:Directory2008 | MVP:Enterprise Security | CEH: Certified Ethical Hacker | CHFI: Computer Hacking Forensic Investigator | CISA | CISM | | |

Dozvíte se  Jak i malá chyba obsluhy může způsobit dalekosáhlé problémy  Jak je lidská chyba silnější důkaz než kdovíjaké technologické znalosti

Případ první  střední business  vědom si hodnoty svých informací  velký důraz na bezpečnost  separace admin rolí!  znenadání kompromitace domain admin účtu

Zadání pro vyšetřovatele  jak se to mohlo stát?  co se vlastně stalo?  co všechno bylo kompromitováno?  můžeme se ještě soudit?

Krok 1  vypnout podezřelá DC  imidž  virtualizace  vyšetřování

První zjištění  byl to vůl  CPU 100%  backdoor.exe  žádný rootkit  skrytý AD účet  přibližný čas útoku z časových razítek AD objektů a souborů -46 dnů

Krok 2  máme logy?  světe div se, máme!

Druhé zjištění  účet domain admina, který to provedl  doménová stanice útočníka  pravděpodobná identita útočníka výpověď -45 dnů  počítač dávno reimidžován

Krok 3  přesto zabavit stroj, vypnout, imidž  průzkum imidže  dotazování na běžnou admin praxi  zpětně potvrzení v DC logu

Pravděpodobný průběh  -48 dnů kancelářský zaměstnanec si volá support stanice support je osoba, která používá i domain admin účet ověřeno, že admin se přihlásil pouze omezeným účtem  -46 dnů na stanici poprvé "jen tak" použit domain admin účet a napadena síť  -45 dnů výpověď na vlastní žádost, eskort z fyzického perimetru  -3 dnů backdoor zešílel, 100% CPU na DC si prostředí už všimlo

Ponaučení  na různých účtech různá hesla!

Závěr  nezjištěny žádné krádeže dat ani trvalá poškození  nezjištěny žádné další stopy aktivity kromě samostatného běhu backdooru  reimidžovaná stanice nepoužitelná jako stopa  nesouditelné  po vzájemné domluvě odebrány dva měsíce odstupného z čehož se jen malinko ukouslo za dva dny práce vyšetřovatele :-)

Případ druhý  probíhající proces daňových úniků  obžalovaný se hájí ztrátou dokumentů  dokumenty z doby před šesti lety jakoby náhodou nalezeny

Zadání pro vyšetřovatele  potvrdit nebo vyvrátit, že obsah USB flash disku vznikl/měnil se v předmětné době

Krok 1  imidž  zkoumání časových razítek NTFS, modifikace souborů, vnitřní razítka Word, PDF

Nálezy  NTFS disk hlaďoučký jako dětská prdelka  32GB (USB 3.0)  2x Word.DOCX  1x PDF  všechna časová razítka štimují  verze Wordu sedí

Řešení  USB GB před šesti roky?

Ponaučení  zločinci se vždycky sami prozradí

Děkuji za pozornost! CHFI - Computer Hacking Forensic Investigator GOC171 - Windows Security Internals