w w w . v i a v i s . c z
1 / 22
Kyber bezpečnost
Útoky na aplikace
Vladimír Lazecký
www.viavis.cz
2 / 27
Obsah přednášky
Útoky na aplikace – trendy
Jak se stát hackerem snadno a rychle
Darknet
www.viavis.cz
3 / 27
Trendy
Útoky jsou čím dál dostupnější laikům
Snadné provedení
Oběti samy útok přivolají
OSINT – velmi efektivní pro plánování útoků
www.viavis.cz
4 / 27
Jak se stát hackerem snadno a rychle
Vyhledávání zranitelností
Databáze exploitů
Identifikace cílů
Otevřený internet
Darknet
www.viavis.cz
5 / 27
Hledání zranitelností
Otevřený internet
Oficiální databáze:
Národní autority
Open source databáze
Placené databáze
Zprávy v otevřených zdrojích
Výrobci (rizika Zero Day Vulnerability)
Darknet
www.viavis.cz
6 / 27
Jak najít zranitelnosti – mnoho možností
https://nvd.nist.gov/vuln
www.viavis.cz
7 / 27
Jak najít zranitelnosti – národní autority
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
www.viavis.cz
8 / 27
Zranitelnosti – otevřený internet – blogy, články
https://portswigger.net/daily-swig/vulnerabilities
www.viavis.cz
9 / 27
Zranitelnosti – otevřený internet – placené databáze
https://www.whitesourcesoftware.com/vulnerability-database/
www.viavis.cz
10 / 27
Hledání exploitů
Exploit = programový kód využívající zranitelnost
Otevřený internet
Databáze exploitů
Open source databáze
Hackerská fóra
Darknet
www.viavis.cz
11 / 27
Jak najít exploit – otevřený internet
https://www.exploit-db.com/
www.viavis.cz
12 / 27
Hackerem snadno a rychle - ukázka…
OSINT – vyhledání zranitelností – kamery HIKVISION
Zranitelnost z roku 2016
Vyhledání zranitelných systémů
Získání exploitu
Plošný útok
www.viavis.cz
13 / 27
Kamery HIKVISION – OSINT zranitelností
https://watchfulip.github.io/2021/09/18/Hikvision-IP-Camera-
Unauthenticated-RCE.html
www.viavis.cz
14 / 27
Hurá na zranitelné systémy – kamery HIKVISION, kde jsou
https://www.shodan.io/search?query=App-webs+2016+country%3Acz
www.viavis.cz
15 / 27
Exploit – bez práce, jen hledat
https://www.exploit-db.com/exploits/44328
www.viavis.cz
16 / 27
Výsledek…
www.viavis.cz
17 / 27
Darknet… - začneme internetem
Collection
WEBINT harvests and extracts information from all layers of the Web, from the surface web that is
easily accessible to all and also from the Deep and Dark web layers that are protected by various
security and access mechanisms.
+ Surface (Open Web) Collection. The web surface applies to any site that can be indexed by a
www.viavis.cz
18 / 27
Deepweb x Darknet
Deepweb:
Stránky neindexované vyhledávači
Používají HTTP/HTTPS protokoly
Lze se na ně dostat běžným prohlížečem
Je nutné znát adresu
Části firemních extranetů, blogy, eshopy…
www.viavis.cz
19 / 27
Deepweb x Darknet
Darknet:
Stránky přístupné pomocí speciálních prohlížečů TOR…
Snaha o anonymitu - onion
Je nutno znát adresu
Nefunkční vyhledávače
HiddenWiki
POZOR – využití pro nelegální činnost
Plnou anonymitu nikdo nezaručí
NIC NESTAHOVAT
www.viavis.cz
20 / 27
Darknet
Legální obsah
Alternativní články, zpravodajství
Diskusní fóra
Informační obsah nelegální v některých zemích
Vazby – společnosti, osoby, transakce
Nelegální obsah
Tržiště – nelegální zboží
Kriminální činy
Hackerská fóra
Obsah, který nechcete vidět
www.viavis.cz
21 / 27
Způsoby připojení
www.viavis.cz
22 / 27
TOR – dále už bez odkazů…
www.viavis.cz
23 / 27
„Bezpečný“ OS
www.viavis.cz
24 / 27
The Hidden Wiki
www.viavis.cz
25 / 27
The Hidden Wiki
www.viavis.cz
26 / 27
The Hidden Wiki
www.viavis.cz
27 / 27
Dark Market – možné fungování
www.viavis.cz
28 / 27
Dark Market – trestná činnost
www.viavis.cz
29 / 27
OSINT – vazby, souvislosti
www.viavis.cz
30 / 27
Hidden services
www.viavis.cz
31 / 27
Darknet nabízí další možnosti…
www.viavis.cz
32 / 27
Spyware – analýza SW
www.viavis.cz
33 / 27
Uživatelské účty
www.viavis.cz
34 / 27
Proč si hlídat digitální identitu
www.viavis.cz
35 / 27
Jde i o osobní bezpečnost
www.viavis.cz
36 / 27
Pro představu…
www.viavis.cz
37 / 27
Zranitelnosti, exploity…
www.viavis.cz
38 / 27
Zranitelnosti, exploity…
www.viavis.cz
39 / 27
Lze se bránit? Ano, lze
Brát bezpečnost vážně
Důslednost, systematičnost, vytrvalost
Nepřitahovat pozornost
Sledovat zranitelnosti
Odstraňovat je
Nekomunikovat je
Mít svou digitální stopu pod kontrolou
OSINT
Proaktivní kroky
www.viavis.cz
40 / 27
Proč OSINT
Trend v plánování útoků (nejen kyber)
Útoky na organizace
Útoky na osoby
OSINT lze jen velmi obtížně zachytit
Český jazyk – pomalu ztrácí svou výhodu
Kdo z nás má svou digitální stopu pod kontrolou?
www.viavis.cz
41 / 27
OSINT – Open Source Intelligence
https://www.csnp.org/post/a-beginners-guide-to-osint
www.viavis.cz
42 / 27
OSINT – něco odkazů pro inspiraci
https://i-intelligence.eu/
www.viavis.cz
43 / 27
Doporučení
Nepodceňovat digitální stopy
Mít přehled o zranitelnostech
Pravidelný OSINT – organizace, osoba
Brát bezpečnost vážně
www.viavis.cz
44 / 27
Profesionální OSINT
Otevřený WEB, deepweb, darknet
Organizace, osoba
Vazby mezi subjekty, uniklé dokumenty a data, hesla, osobní data
Nejde o levnou službu (placené přístupy do tržišť)
OSINT vyplatí, jde o nezbytnou součást bezpečnosti
www.viavis.cz
45
Prostor pro vaše dotazy…
Děkujeme za pozornost
Za tým VIAVIS a.s.
§ Vladimír Lazecký