Katsaus analyysityökaluihin



Samankaltaiset tiedostot
Palvelunestohyökkäykset. Abuse-seminaari Sisältö

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Abuse-seminaari Ilmoitusvelvollisuus

Abuse-seminaari

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Kansallinen CIP-seminaari. Jani Arnell Vanhempi tietoturva-asiantuntija CERT-FI

Tietoturvapalvelut huoltovarmuuskriittisille toimijoille

Directory Information Tree

Mobiililaitteiden tietoturva

TCP/IP-protokollat ja DNS

Tekninen kuvaus Aineistosiirrot Interaktiiviset yhteydet iftp-yhteydet

DNSSec. Turvallisen internetin puolesta

Aloitusopas. Järjestelmänvalvojan perusopas

Abuse-seminaari Viestintävirasto Erka Koivunen Yksikön päällikkö CERT-FI

TW-EAV510AC-LTE OpenVPN ohjeistus

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Verkkohyökkäysten tilannekuva ja tulevaisuuden verkkosuojauksen haasteet Timo Lehtimäki Johtaja Viestintävirasto

NETTI. BRÄNDI NETTIBRÄNDI. VT Ari-Pekka Launne Kolster OY AB Helsinki

Tietoliikenne II (2 ov)

Ohje 1 (12) Maarit Hynninen-Ojala MOODLE PIKAOHJE. Kirjautuminen Moodleen ja työtilan valitseminen

Viestintäviraston EPP-rajapinta

D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0

Introduction to exterior routing

Tomi Stolpe Versio ALI- JA YLIVERKOTTAMINEN. Esim. C-luokan verkko on aliverkotettu, 3 bittiä käytetty Aliverkottamiseen.

DNS- ja DHCPpalvelut. Linuxissa. Onni Kytönummi & Mikko Raussi

VERKON ASETUKSET SEKÄ WINDOWSIN PÄIVITTÄMINEN

Sivuston tiedotdidactum.com.w3 snoop.com

Hosting-palveluiden tietoturvahaasteet. Antti Kiuru CERT-FI

Introduction to exterior routing

Fi-verkkotunnus yksilöllinen ja suomalainen

Introduction to exterior routing. Autonomous Systems

Mikä on internet, miten se toimii? Mauri Heinonen

Pienyrityksen verkkotyökalut

Viestintäviraston tilannekuvajärjestelmät. Timo Lehtimäki Tulosalueen johtaja Internet ja tietoturva/viestintävirasto

ATK yrittäjän työvälineenä

ProNetti -sähköpostijärjestelmä

Google Cloud Print -opas

Introduction to exterior routing

Action Request System

Push- ja pull-protokollat

2.2. Sähköposti. SMTP (Simple Mail Transfer Protocol) Postipalvelimet käyttävät SMTPprotokollaa. TCP-yhteys on pysyvä

NBG-4115 pikaopas Oletusasetukset

SantaCare Managed WebSecurity Palvelu turvallista Web-liikennettä varten. Mikko Tammiruusu Security Consultant

Sähköpostisanoman muoto. Push- ja pull-protokollat. työntöprotokolla (PUSH) Yleisiä sanoman otsakekenttiä kentät erotettu rivinvaihdolla

Antti Vähälummukka 2010

C:. S: 250 Message accepted for delivery C: QUIT S: 221 princeton.edu closing connection

Lähettävä postipalvelin Vastaanottava postipalvelin

Käyttäjäliitäntä (user agent) sanomien kirjoittaminen, lukeminen ja lähettäminen

Unix-perusteet. Tulostaminen

Palvelun rekisteröinti Virtu - luottamusverkostoon / testipalveluun

Internet ja tietoverkot 2015 Harjoitus 7: Kertaus

Sisällönhallinta, esteettämyys, henkilötiedot,

Sivuston tiedotemreemir.com

TIEDONHAKU INTERNETISTÄ

SG550. Riistakameran MMS- ja GPRS- asetukset

2) Sisäverkon RJ45-portit kamerakäytössä (alk. S. 7) - kamera ei näy jossain modeemin takaseinän portissa tai se saa oudon näköisen IP-numeron

Tekstiviestipalvelun rajapintakuvaus

TIETOTURVAKATSAUS

JONOSSA OLEVIEN HAKEMUSTEN KÄSITTELY

.eu-verkkotunnusta koskevat WHOIS-toimintalinjat

NT4.0 palvelin- ja Windows 2000 työasemaasennus

Työpalvelupaikat. Xwiki Admin 2016/07/06 16:35

Näin rakennat mielenkiintoiset nettisivut

Kytkimet, reitittimet, palomuurit

Sähköpostitilin luonti

DigiReWork - digitaalisuus työelämän uudistajana

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Hakukoneoptimointi. Frida-Maria Pessi 2014

EU-rikollisia koskevien tietojen laadun parantaminen

HAMINETTI WLAN LIITTYMÄN KÄYTTÖÖNOTTO-OHJE

Tietoliikenne II (2 ov)

WWW-sivu. Miten Internet toimii? World Wide Web. HTML-koodi. HTTP-istunto URL <#>

Julkaiseminen verkossa

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

IHTE 1900 Seittiviestintä (syksy 2007) VERKKOTEKNIIKKAA. Mikä on protokolla, IP osoite, nimipalvelu jne ja mihin näitä tarvitaan?

MOBISITE-TYÖKALUN SISÄLTÄMÄT TOIMINNOT

Objective Marking. Taitaja 2014 Lahti. Skill Number 205 Skill Tietokoneet ja verkot Competition Day 1. Competitor Name

Yleinen ohjeistus Windows tehtävään

INTERNET-SIVUT. Intercity Uusikaupunki H. Cavén

AirPrint-opas. Versio 0 FIN

BUSINESSWEB PALVELUN TILAUS JA SOPIMUS

Tietokannan luominen:

Microsoft Office 365 / SharePoint -pilvipalvelu

WWW-PALVELUN KÄYTTÖÖNOTTO LOUNEA OY

Näkyvyys nousuun hakukoneoptimoinnilla

10 helppoa SEO-ohjetta

YHDISTYKSEN DIGITAALINEN VIESTINTÄ

DIIGO TIEDONHALLINNASSA

Ohjeita tietokoneverkon käyttöön Latokartano-säätiön ja Metsäylioppilaiden asuntosäätiön asuntoloissa

Fi-verkkotunnukset. Sanna Sahlman, Viestintävirasto

Dixell S.p.a. pidättää oikeuden asiasta ilmoittamatta muuttaa tätä ohjetta. Viimeisin saatavissa oleva versio on ladattavissa verkkosivuilta.

Yleinen ohjeistus Windows tehtävään.

ANNAsport Oy:n Asiakasrekisterin tietosuojaseloste

Fi-verkkotunnus luotettava ja suomalainen

Ilmoitusjärjestelmä. Huolehdimme mediasi ilmoituksista kaikkiin kanaviin

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

Verkkoaineistojen lisensioinnin

Sähköposti (vrt. kirjeopisto) Skype. Useita julkisia ja. ratkaisujen hahmottelu, avoin kommentointi. Yksi tai useita. suljettuja keskustelualueita

Tavallista fiksumpaa markkinointia

Transkriptio:

Katsaus analyysityökaluihin Abuse-seminaari 2009 Kauto Huopio Vanhempi tietoturva-asiantuntija CERT-FI Sisältö Taustaselvitys WHOIS Cymru WHOIS (Passive DNS) Case haitalliset www-sivut sivun sisällön analyysi javascript/pdf/flash/exe sandboxing Tietolähteitä

WHOIS Yleinen kyselyprotokolla (RFC 3912) Internet-verkon perustietokannoille: verkkotunnukset (TLD ja CCTLD-verkkotunnusrekisterit) verkko-osoitteet, verkko-osoitelohkot ja AS-numerot (RIPE, ARIN, APNIC, AFRINIC jne) Toistaiseksi kaikki rekisteröintitiedot saatavilla ICANN ja RIR:t selvittävät parasta aikaa tulisiko tietojen saatavuutta rajoittaa Erityisesti RIPE-kyselyissä kannattaa muistaa B flag, antaa muutosten tekijöiden tiedot Cymru WHOIS Team Cymrun tarjoama WHOIS-rajapinta IP->AS-numerokyselyille whois.cymru.com antaa reaaliaikaisen tiedon IP-osoitteen origin-as:sta mahdollisuus bulk-kyselyihin peer-whois.cymru.com antaa reaaliaikaisen tiedon IP-osoitteen upstream-as:sta lisäohjeita kyselyllä help Saatavissa myös DNS ja HTTP/HTTPS kyselyillä Lisätietoja: http://www.team-cymru.org/services/ip-to-asn.html

Cymru WHOIS: esimerkkejä dig www.cert.ee www.cert.ee. 86400 IN A 195.80.103.60 whois h whois.cymru.com 195.80.103.60 AS IP AS Name 8240 195.80.103.60 ASO Autonomous System whois h peer-whois.cymru.com 195.80.103.60 PEER_AS IP AS Name 3249 195.80.103.60 ESTPAK Elion Enterprises Ltd. Cymru WHOIS: bulk-moodi Tarvitaan GNU Netcat muilla netcat-versioilla voi tulla I/Oongelmia Kyselytiedosto: Käyttö: begin 1.2.3.4 5.6.7.8 end netcat whois.cymru.com 43 < kyselytiedosto Toimii hyvin vielä satojen-tuhansien osoitteiden kyselyillä

Passiivinimipalvelu Sensoriverkko joka tallettaa nimipavelimille tehdyt kysymykset (tyypillisesti ilman lähdeosoitetta) ja vastaukset haettavaan tietokantaan Mahdollistaa monipuoliset kysymykset Mihin IP-osoitteisiin verkkotunnus x.y.z on osoittanut? Mitä verkkotunnuksia osoittaa ja on osoittanut IPosoitteeseen 1.2.3.4? Mitä verkkotunnuksia palvelee nimipalvelin osoitteessa 1.2.3.4? Erillinen esitelmä myöhemmin vinkki CERT-EE:n WHOISpohjaiseen palveluun: whois h sim.cert.ee Haitalliseksi epäiltyjen sivustojen analyysi ÄLÄ tutustu sivustoon standardiselaimella Unix wget ehkä turvallisin menetelmä huomaa jotkut sivustot vaativat oikean User-Agent: -kentän WWW-filtteri sivun sisältöön tutustumiseen joka osaa User- Agent: -syötteen käytön: http://www.web-sniffer.net

web-sniffer.net web-sniffer.net

Haittaohjelmaepäily? Löydettäessä epäilyttävää Javascript-koodia, analyysiä voi yrittää seuraavalla työkalulla: http://wepawet.iseclab.org/ Vapaasti käytettävä sandbox-ympäristö: http://anubis.iseclab.org Anubiksen ja Wepawetin tulokset esitetään summattuna ASkohtaisesti täällä (FIRE Finding RoguE Networks): http://maliciousnetworks.org (IP-osoitelistaukset eivät sisällä aikaleimoja) Haittaohjelmaepäily? http://www.virustotal.com

Haittaohjelmaepäily Cymru Malware Hash Registry whois h hash.cymru.com <md5-sig> Myös DNS/HTTP(S)-kyselyt ja bulk-kyselymahdollisuus http://www.team-cymru.org/services/mhr/ Seurattavia julkisia listoja: Malware Domain List (http://www.malwaredomainlist.com)

Eri tietolähteitä SURLBL Spammed URL Block List http://george.surbl.org/lookup.html Composite Block List IP-pohjainen spam-lähde -suodatuslista http://cbl.abuseat.org/ Suomen tilanne eilen: 414 IP-osoitetta, 0.01% kokonaisosoitemäärästä Maasijoitus 134 Oman verkon tilanneseuranta Google Webmaster Tools http://www.google.com/safebrowsing/diagnostic?site=http:ww w.evilsite.fi http://www.google.com/safebrowsing/diagnostic?site=as:asn

Puhelin: +358 9 6966 510 Sähköposti: www: cert@ficora.fi www.cert.fi CERT-FI:n julkiset varoitukset voi lukea: Sähköpostitse hälytyspalveluna SMS-hälytyspalveluna (maksullinen) CERT-FI:n www-sivuilta RSS-uutispalveluna YLE:n teksti-tv:n sivulta 848

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute