35C3 ChaosWest - Johdatus tietoverkkoturvallisuuteen
-
0:00 - 0:03[Translated by Sampsa Suvivuo
(KYBS2001EN23K2 course assignment at JYU.FI)] -
0:03 - 0:0735c3 alkumusiikki
-
0:08 - 0:16Johdatus tietoverkkoturvallisuuteen
-
0:19 - 0:25Seuraavan esityksen "Johdatus
tietoverkkoturvallisuuteen" pitää nomaster. -
0:26 - 0:38Nomaster on osa Chaosdorfia, aktiivinen jäsen
ja lähestyy ongelmia käytännönläheisesti. -
0:38 - 0:45Uskon että saamme käytännönläheisen
johdatuksen tietoverkkoturvallisuuteen. -
0:46 - 0:47Tervetuloa, nomaster.
-
0:52 - 0:57Kiitos. Tämä on ensimmäinen puheeni
kongressissa ja olen niin innoissani, että -
0:57 - 1:06toivon pysyväni kasassa. Olen iloinen,
että olette täällä. Minua pyydettiin -
1:06 - 1:10pitämään esitys, joka on mahdollisesti
enemmän aloittelijoille suunnattu. -
1:10 - 1:18Toivon, että voitte nauttia esityksestä
ja pysytte kyydissä, mutta ettette myöskään -
1:18 - 1:23ole kuullut kaikkea jo aiemmin.
Katsotaan miten sujuu. -
1:26 - 1:36Ajatus on antaa käytännöllisiä esimerkkejä
tietoverkkoturvallisuuden ongelmista. -
1:37 - 1:45Saamme paljon kyselyjä, onko tähän verkkoon
turvallista yhdistää? Yleensä vastaus on, -
1:45 - 1:51ettei verkko itsessään ole turvallinen.
Sinun järjestelmäsi ja kannettavasi tulisi -
1:51 - 1:53olla turvallisia.
-
1:53 - 2:00Mikä on realistinen esimerkki, mitä voisi
tapahtua? Sen haluan näyttää teille ja -
2:01 - 2:06minulla on kolme esimerkkiä sitä varten.
Toivottavasti saatte oivalluksia. -
2:06 - 2:07Verkkopino
-
2:07 - 2:13Tarvitsemme hieman pohjustusta
ennen kuin aloitamme. Tässä on -
2:14 - 2:21yliyksinkertaistettu verkkopino. Kuten olette
voineet kuulla, verkkopino perustuu kerroksiin. -
2:22 - 2:28Jokaisella tietokoneella on MAC-osoite, joka ei
liity millään tavalla Applen tuotteisiin. -
2:29 - 2:33Lisäksi on IP-osoite.
-
2:35 - 2:40Näiden päällä meillä on sovellus, joka
käyttää TCP tai UDP sockettia ja sille -
2:40 - 2:44määriteltyä protokollaa kuten HTTPS.
-
2:45 - 2:49Millä on merkitystä meille ovat nämä kaksi
kerrosta tässä (TCP/IP), koska tämä on -
2:49 - 2:54käyttämäsi verkko ja sen toimintaan
osallistuvat protokollat. -
2:54 - 3:00Muu on osa järjestelmää, käyttäjän laitetta
tai palvelinta ja mihin data virtaa. Mitä -
3:02 - 3:12haluamme saavuttaa on, ettei kukaan muu
pääse käsiksi sovellukseen kuin käyttäjä -
3:12 - 3:13ja palvelin.
-
3:13 - 3:18Yksityisyytesi on vaarassa, kun kolmansilla
osapuolilla on pääsy sovellukseen. -
3:21 - 3:23Voimme puhua HTTPS:stä myöhemmin.
-
3:26 - 3:33Jotta olisimme samalla sivulla, helppo
esimerkki. IP-osoite IPv4-muodossa, -
3:33 - 3:42esimerkiksi kotireitittimen, ja IPv6-muodossa,
joka on vain pidempi ja usein kirjoitettu -
3:43 - 3:52heksadesimaalina. Sitten on MAC-osoite eli
jokaiselle tietokoneelle uniikki osoite verkossa. -
3:53 - 3:56Tavanomaisesti tämä on "poltettu" laitteeseesi.
Käynnistyessään tietokoneesi käyttää -
3:57 - 4:04MAC-osoitettaan verkon kanssa viestimiseen
ja esimerkiksi IP-osoitteen saamiseksi. -
4:05 - 4:08Pahoja asioita voi tapahtua tässä kohtaa.
-
4:09 - 4:12ARP-väärennös
-
4:12 - 4:14Ensimmäinen esimerkki on ARP-väärennös.
Kuka on kuullut siitä? -
4:17 - 4:23Eli ei mitään mieltä selittää sitä.
Luulen, ettei takarivi nostanut käsiään. -
4:25 - 4:34Yleensä pidän valkotauluista. Minulla ei
ole sellaista täällä, joten tein koneellani -
4:34 - 4:37viime yönä muutaman. Toivottavasti
pystytte lukemaan ne. Käsialani on huono. -
4:37 - 4:44Käytämme ARP-protokollaa selvittämään
IP-osoitetta vastaavan MAC-osoitteen. -
4:48 - 4:52Kuten tiedätte, kerroin sen juuri,
MAC-osoite on "poltettu" laitteeseen ja -
4:52 - 5:00IP-osoite, jota tietokone käyttää verkon
kanssa viestimiseen, määritetään laitteelle erikseen. -
5:01 - 5:06Tarvitsemme tämän osoitteen pakettien
lähettämiseksi koneellesi. Paketin täytyy -
5:07 - 5:12todennäköisesti matkustaa maailman ympäri
saavuttaakseen määränpäänsä. Tämän takia -
5:12 - 5:15meillä on kaksi täysin erilaista osoiteavaruutta.
-
5:16 - 5:22Yksi, joka antaa tietokoneellesi aina
käytetyn uniikin osoitteen eli MAC-osoitteen. -
5:23 - 5:29Ja toinen, IP-osoite, joka on aina yksilöllinen sijainnillesi.
-
5:31 - 5:35Nopeimmat tajusivat, ettei IPv4-osoite,
jonka näytin aiemmin, ole todellisuudessa -
5:35 - 5:38uniikki, mutta yksinkertaistamme asioita.
-
5:41 - 5:50Paikallisverkossa reitittimesi on välitettävä
paketit tietokoneellesi. Voidakseen tehdä -
5:51 - 6:01sen, tietokoneen MAC-osoitteeseen kytketyn
IP-osoitteen, johon paketti lähetettiin, on -
6:01 - 6:02oltava reitittimen tiedossa.
-
6:02 - 6:08Tässä tapauksessa asiakasohjelma kysyy
reitittimen IP-osoitetta. Se lähettää -
6:08 - 6:15broadcast-viestin verkolle ARP-taulukon
kautta kysyen "Kenellä on IP-osoite?" -
6:16 - 6:20Reititin vastaa IP-osoitteen olevan sen
MAC-osoitteessa. -
6:21 - 6:30Jos katsotte tarkkaan, reititin lähettää
paketin sanoen IP-osoitteen olevan tässä -
6:31 - 6:33MAC-osoitteessa. Pysyttekö mukana?
-
6:36 - 6:45Jos joku yrittää varastaa liikennettänne,
nämä voivat lähettää vastauksen sanoen -
6:45 - 6:52"Joku kysyi reitittimen MAC-osoitetta", ja
MAC-osoite on heidän osoitteensa. He -
6:53 - 7:02lähettävät oman väärennetyn MAC-osoitteensa
verkolle, jolloin asiakasohjelma oppii -
7:02 - 7:13osoitteen ja lähettää paketit hyökkääjälle.
Katsomme tätä hyökkääjän näkökulmasta. -
7:15 - 7:25Asiakasohjelman ongelma on, että se näkee
vain tavanomaisen datavirran. Asiakasohjelma -
7:25 - 7:32lähettää datan hyökkääjälle, joka välittää
liikenteen reitittimelle ja takaisin. Näin -
7:33 - 7:42ollen, hyökkääjä voi tarkkailla verkossa tapahtuvaa liikennettä.
-
7:48 - 7:54Luonnollisesti, jos saat kaapattua paketin,
pystyt muokkaamaan sitä. Tämä on hyvin -
7:55 - 8:04perinteinen verkkohyökkäys. Kun tiedätte,
miten se toimii, pystytte toivottavasti -
8:04 - 8:15myös estämään sen. Tämän päivän
verkkokytkimissä on turvaominaisuuksia, -
8:15 - 8:20mutta teidän on oltava tietoisia, että
kaikissa verkoissa näin ei aina ole. Jokainen -
8:21 - 8:26kohtaamanne verkko on luultavasti
haavoittuvainen tämän kaltaiselle hyökkäykselle. -
8:28 - 8:31DNS-kaappaus
-
8:31 - 8:34Seuraavaksi DNS-kaappaus.
-
8:35 - 8:42Tämä hyökkäys tapahtuu toisella verkon
kerroksella perustuen DNSään. -
8:42 - 8:50DNS yhdistää isäntänimen (hostname)
IP-osoitteeseen, joten meillä on tässä -
8:50 - 8:55uusi kerros. Ei IP:stä MAC-osoitteeseen
vaan isäntänimestä IP-osoitteeseen. -
8:55 - 9:00Tämä mahdollistaa samankaltaisen
hyökkäyksen, muttei vain paikallisverkossa -
9:00 - 9:04vaan myös jokaiselle isäntänimelle
internetissä. -
9:06 - 9:14Yritämme päästä käsiksi DNS-serverin
IP-osoitteeseen. Tavallisesti asiakasohjelma -
9:14 - 9:21kysyy osoitetta DNS-serveriltä, johon se
yrittää yhdistää. Tässä tapauksessa -
9:21 - 9:27IPv4-osoitteeseen, jonka DNS-palvelin
palauttaa. -
9:28 - 9:33Asiakasohjelma yhdistää serveriin ja saa
vastauksen takaisin. Päivänselvästi, -
9:33 - 9:41jos saamme haltuumme DNS-serverin
osoitteen, voimme tehdä kuten viimeksi. -
9:41 - 9:45Emme voi lähettää MAC-osoitettamme, koska
emme ole samassa lähiverkossa, mutta -
9:46 - 9:49voimme lähettää oman IP-osoitteemme, johon
asiakasohjelma ottaa yhteyttä. -
9:49 - 9:51Mikä tahansa isäntänimi internetissä.
-
9:52 - 9:58Sitten asiakasohjelma lähettää, vastaamme
omalla IP-osoitteellamme, liikennettä -
9:59 - 10:07meidän kauttamme. Välitämme liikenteen
serverille ja näemme, jokaisen kyselyn. -
10:08 - 10:16Emme näe serveriltä asiakasohjelmalle
menevää liikennettä. Se vaatisi palvelimen -
10:16 - 10:19haltuun ottamista.
-
10:19 - 10:25Muistakaa, ettei liikenteen sisältö ole
välttämättä hyökkääjää kiinnostavaa. -
10:26 - 10:33He haluavat tietää, mitä osoitteita pyydät.
Monet yksityisyysongelmat juontuvat -
10:33 - 10:41pakettien metadatasta. Tosin tässä
tapauksessa muu data on kiinnostavampaa. -
10:41 - 10:44Eli mitä isäntänimeä pyydät.
-
10:44 - 10:48Voitte kuvitella joidenkin isäntänimien
olevan pahempia paljastaa kuin toiset. -
10:53 - 10:55Valvomaton/villi yhteyspiste
-
10:56 - 10:58Siinä oli esimerkit tavanomaisista
verkoista. -
10:58 - 11:03Saamme myös paljon kyselyitä
yhteyspisteistä. -
11:03 - 11:06Ne ovat monimutkaisempi kuvio.
-
11:08 - 11:17Kun yhdistämme tietokoneen kytkimeen,
otamme kaapelin ja yhdistämme sen kytkimeen. -
11:18 - 11:23Tietokone on kytketty siihen kytkimeen.
Langaton järjestelmä toimii hyvin samalla -
11:24 - 11:31tavalla. Insinöörit kehittivät wifin
toimimaan langattomana ethernettinä. -
11:32 - 11:39Eli se toimii aivan kuten yhdistäisin
tietokoneeni kytkimeen, mutta kytkimen -
11:39 - 11:42sijaan se on yhdistetty yhteyspisteeseen.
-
11:44 - 11:50Tietokoneeni valitsee automaattisesti
yhteyspisteen, johon muodostaa yhteys. -
11:52 - 11:59Ikään kuin minulla olisi avustaja, joka
yhdistäisi johdon kytkimestä toiseen -
11:59 - 12:08liikkuessani, jottei minun tarvitse välittää
asiasta, kunhan yhteys pysyy päällä. -
12:10 - 12:15Kun ajattelemme asiaa näin, voimme
nähdä ongelmia. -
12:17 - 12:23Mitä meidän on tiedettävä ensin on,
että verkko tunnistetaan SSID:llä. -
12:24 - 12:33Eli tiedän, mihin kytkinten ryhmään haluan
yhdistää. Konferenssin verkko on -
12:34 - 12:37nimeltään 35C3 Network" ja olette
todennäköisesti valinneet jonkin siistin -
12:37 - 12:39nimen kotiverkollenne.
-
12:41 - 12:50Kotiverkossanne on yksi yhteyspiste ja
täällä meillä on satoja. Tietokoneenne -
12:50 - 13:00vaihtaa yhteyspistettä jatkuvasti.
Estääksemme naapureitasi liittymästä -
13:00 - 13:03verkkoosi, käytämme salausprotokollia.
-
13:04 - 13:10Aiemmin oli WEP, joka on suoraan
sanottuna rikki ja vanhentunut. Tänä -
13:11 - 13:17päivänä meillä on WPA-protokolla, joka
hyödyntää ennakkoon jaettua avainta, -
13:18 - 13:23wifi-salasanaa. Tavanomaisesti menet
naapurisi tai kaverisi luokse tai kahvilaan -
13:24 - 13:28ja pyydät heiltä wifin salasanaa.
-
13:31 - 13:39Yksi ongelma on, että se vain estää muita
tahoja käyttämästä verkkoasi. Jokainen, -
13:39 - 13:45jolla on hallussa ennakkoon jaettu avain,
pystyy yhdistämään verkkoosi ja mahdollisesti -
13:46 - 13:50purkamaan liikenteen salauksen.
-
13:53 - 14:02Toinen ongelma on, että voin asettaa
toisen yhteyspisteen, jolla on sama SSID, -
14:03 - 14:07kuin olemassa olevalla verkolla. Se ei ole
kuitenkaan virallinen yhteyspiste. -
14:10 - 14:15Mitä tapahtuu seuraavaksi on, että käyttäjä
yhdistää yhteyspisteeseeni, esimerkiksi -
14:16 - 14:26koska yhteys on vahvempi. Hyökkääjä
voi siirtää pistettä lähemmäksi kohdetta ja -
14:27 - 14:37lähettää saman SSID:n kuin oikea yhteyspiste.
Käyttäjä ottaa yhteyden väärään yhteyspisteeseen -
14:37 - 14:42ja lähettää liikennettä sen kautta.
Ja totta kai myös vastaanottaa. -
14:44 - 14:48Voisit tehdä sen tässä verkossa.
Pyydämme painokkaasti, ettet tee niin. -
14:50 - 14:56Yksi syy, miksi emme halua liian monia
yhteyspisteitä ja kanavia tänne. -
14:56 - 15:01Toinen on, ettei sinun pitäisi hyökätä
toisten ihmisten tietokoneisiin. -
15:01 - 15:08Selitän miten tämä toimii, jotta voitte
estää sen. Onko selvä? -
15:14 - 15:19Tässä kongressissa meillä on käytössä
yrityskäyttöön tarkoitettu järjestelmä, -
15:20 - 15:23joka käyttää ylimääräistä salauskerrosta
estämässä teitä tekemästä niin. -
15:26 - 15:31Yhteyspiste tarvitsee sertifikaatin
todistaakseen, että se on virallinen yhteyspiste. -
15:33 - 15:37Mitä tapahtuu seuraavaksi on, että
tietokoneesi tarkastaa salaustekniikan -
15:38 - 15:47avulla, että yhteyspiste on oikea. Kun
kytket Android-sovelluksesi langattomaan -
15:47 - 15:56verkkoon täällä, vain virallisella
yhteyspisteellä on sovelluksessa -
16:05 - 16:08oleva sertifikaatti. Tietokoneesi eli tässä
tapauksessa älypuhelimesi, -
16:08 - 16:11varmistaa automaattisesti yhteyspisteen
aitouden. -
16:12 - 16:14Kannettavallasi sinun on tehtävä tämä käsin.
-
16:15 - 16:22Kokeilkaa sitä. Menkää Wikiin. Sieltä löytyy
tiedot yhteyden konfiguroimiseksi. -
16:22 - 16:26Hieman kättelyprotokollaa,
hieman salaustunnelointia. -
16:26 - 16:32Domain nimi, sertifikaatin tunniste.
Ja voit sanoa, -
16:32 - 16:36"varmista sertifikaatin olevan virallinen."
-
16:37 - 16:43Vasta sitten tämä hyökkäys ei toimi enää.
Kotonasi sinulla ei todennäköisesti ole -
16:44 - 16:49yritystason autentikaatiojärjestelmiä,
joka tarvitsee serverin ja joka -
16:49 - 16:54pitää konfiguroida.
Tavallisesti kotiverkoilla ei ole näitä. -
16:55 - 17:05Tulevaisuudessa WPA3 tuo vastaavanlaisen
suojan. -
17:06 - 17:07Yhteenveto
-
17:07 - 17:08Mitä on tehtävissä?
-
17:10 - 17:12Suositukseni sinulle.
-
17:12 - 17:19Varmista, että sinulla on perustiedot
protokollista ja standardeista. -
17:20 - 17:29Tutki netissä RFC:eitä, Request For Comments,
protokolladokumentteja, jotka kertovat, -
17:29 - 17:36miten ne oikeasti toimivat. Kun luet ne
huolella, opit samalla, -
17:37 - 17:41mikä kaikki voi mennä vikaan.
-
17:44 - 17:58Internetistä löytyy runsaasti esitelmääni
selkeämpiä selostuksia näistä ja monista -
17:58 - 18:03muista asioista. Nämä antavat laajemman
käsityksen siitä, miten asiat toimivat. -
18:04 - 18:07Tämä antaa myös näkemystä itsesi
suojelemiseen. -
18:09 - 18:17Jos haluat tehdä vain sen, käytä HTTPS:ää,
joka on turvallinen protokolla sovellukselle. -
18:18 - 18:23Eli asiakasohjelma varmistaa, että se on yhteydessä
oikeaan palvelimeen ja salaa liikenteen. -
18:25 - 18:31Suurin osa liikenteestäsi ei ole havaittavissa,
vaikka nämä hyökkäykset olisivatkin käynnissä, -
18:32 - 18:35mikä on tärkeää.
-
18:37 - 18:40Salattu HTTPS-liikenne on onneksi
lisääntynyt kiitos Let's Encrypt -
18:40 - 18:44organisaation ja olemme kiitollisia siitä
-
18:47 - 18:55Halutessasi voit kokeilla oman yritystason
WPA-autentikointijärjestelmän luomista. -
19:01 - 19:08Käytännönläheisempi asia kannettavallasi
kongressin verkossa on tarkastella -
19:09 - 19:15liikennettä sudo tcpdump -komennolla ja
näet pakettien virtavaan sisään ja ulos -
19:16 - 19:17kannettavastasi.
-
19:19 - 19:24Voit tarkistaa pakettien käyttämän reitin
traceroute ohjelmistolla tai -
19:25 - 19:28kehittyneemmällä mtr:llä.
-
19:30 - 19:34Voit oppia paljon käyttämällä Scapyn
kaltaista ohjelmaa. -
19:35 - 19:40Suosittelen. Se on yksinkertainen python
komentotulkki, jonka avulla voit väärentää -
19:40 - 19:45paketteja. Voit luoda paketin, jolla on
tietty lähtöosoite ja määränpää ja näyttää -
19:46 - 19:48tietynlaiselta.
-
19:49 - 19:53Kunnioittakaa muita.
Olkaa mainioita toisillenne. -
19:53 - 19:59Käyttäkää näitä työkaluja oppiaksenne
kuinka liikenne järjestelmienne välillä -
20:00 - 20:03tai mahdollisesti ystävänne järjestelmään
toimii. -
20:04 - 20:07Kokeile yhdessä muiden paikallaolijoiden
kanssa. -
20:09 - 20:11Toivottavasti sain herätettyä
mielenkiintonne. -
20:12 - 20:19Aikani on lopussa eikä meillä
valitettavasti ole aikaa kyselyosiolle. -
20:19 - 20:21Kiitos.
-
20:52 - 20:5735c3 loppumusiikki
-
20:59 - 21:03[Translated by Sampsa Suvivuo
(KYBS2001EN23K2 course assignment at JYU.FI)]
- Title:
- 35C3 ChaosWest - Johdatus tietoverkkoturvallisuuteen
- Description:
-
https://media.ccc.de/v/35c3chaoswest-11-introduction-to-network-security
Yleisimmät verkkoasi vastaan tehtävät hyökkäykset ja kuinka suojautua niiltä. Lähestymällä aihetta hyökkääjän näkökulmasta opimme teknisiä yksityiskohtia, jotka tarjoavat meille tärkeää tietoa verkkoprotokollista.
Kuulet kolmesta yleisimmästä verkkoja vastaan tehtävistä hyökkäyksistä. Jokaisessa skenaariossa uhrin liikennettä voidaan tarkkailla ja muokata yksityisyyden kustannuksella. Tuntemalla, miten hyökkäykset suoritetaan, voit suojautua niiltä paremmin.
ARP-väärennöstä käytetään lähiverkossa IP:n valaamiseen. Joko tietokoneen tai reitittimen osoitteen perusteella. Käymme läpi molemmat hyökkäyssuunnat.
DNS-kaappaus on uhrin DNS:lle tekemien pyyntöjen tarkkailu- ja muokkaustekniikka. Yksityisyys on vaarassa, vaikka käyttäisi suojattua HTTPS-yhteyttä. Skenaariossa käsitellään useita erilaisia hyökkäyksiä.
Valvomaton tai villi yhteyspiste langattomassa verkossa on vahingollinen eri verkon kerroksessa, kuin aiemmat kaksi. Useimmissa verkoissa hyökkääjä pystyy todennäköisesti helposti lisäämään vahingollisen yhteyspisteen liikenteen sieppaamiseksi. Skenaario sisältää lyhyen johdannon wi-fiin ja sen protokollaan.
Toivottavasti pystyt käyttämään esityksen antia suojaamaan itseäsi ja muita. Esimerkeistä saat vähintäänkin arvokasta näkemystä yleisimpiin hyökkäyksiin.
Vain verkkoprotokollien perustietoja odotetaan.
nomaster
https://fahrplan.chaos-west.de/35c3chaoswest/talk/ATBYBZ
- Video Language:
- English
- Duration:
- 21:15
svsuvivuo edited Finnish subtitles for 35C3 ChaosWest - Introduction to Network Security | ||
svsuvivuo edited Finnish subtitles for 35C3 ChaosWest - Introduction to Network Security |