Bezpieczeństwo przetwarzania w chmurze. Tomasz Matuła Warszawa, 24 czerwca 2013

Transkrypt

1 Bezpieczeństwo przetwarzania w chmurze Tomasz Matuła Warszawa, 24 czerwca 2013

2 świat wokół nas się zmienia

3 rośnie ruch w internecie, rosną zagrożenia Ruch w internecie wzrasta o ok. 50% rocznie (głównie sieci społecznościowe i dostęp mobilny), rośnie więc liczba danych, które można przechwycić i/lub zmanipulować Działania hakerów i liczba złośliwego oprogramowania rosną wprost proporcjonalnie do poziomu ruchu, obserwujemy 150 ataków na sekundę na 1 GB transferu Liczba użytkowników Facebooka i Skype'a na przestrzeni lat (mln) Kategorie zagrożeń w czasie wg odsetka wystąpień Źródło: Verizon Data Breach Investigation Report 2013 Facebook Skype

4 wzrasta ilość incydentów bezpieczeństwa ciekawsze przykłady Afera PRISM (czerwiec 2013) okazało się, że NSA i FBI prowadzą zakrojoną na szeroką skalę poufną współpracę z firmami takimi jak Microsoft, Yahoo, Google, Apple, Facebook, Skype, YouTube, AOL, czy PayPal. Dzięki temu agencje rządowe mają dostęp do tych z danych ich klientów, które są przetwarzane w USA i podlegają tamtejszemu prawu. Bitcoin celem hakerów (10/11 kwietnia 2013) Hakerzy dokonali dwóch ataków w celu zdobycia Bitcoinów. Wśród zaatakowanych byli Polacy. Zainteresowanie wirtualną walutą wynika z jej rekordowych notowań 10 kwietnia kurs sięgnął 266 dol., 11 kwietnia spadł do 153 dol. Miesiąc wcześniej wynosił 41 dol. Ataków dokonano przez Skype a. Użytkownicy otrzymywali odnośnik, po kliknięciu któregona komputerach ofiar instalowało się oprogramowanie do emisji bitcoinów dla przestępców Ataki DDoS na serwis aukcyjny Allegro (marzec/kwiecień 2013) Na przełomie marca i kwietnia największy polski serwis aukcyjny Allegro kilkakrotnie zanotował kilkugodzinne nawet przerwy w działaniu. Były one spowodowane atakami Distributed Denial of Service, z dużymi prawdopodobieństwem... kupionymi na cyber-przestępczym czarnym rynku (wynajęcie botnetu kosztuje ok USD za godzinę). Atak udało się powstrzymać dopiero przy wsparciu operatorów telekomunikacyjnych (m.in. Orange Polska). Czerwony Październik atakuje dyplomatów ( ) W styczniu 2013 firma antywirusowa Kaspersky odkryła ślady działania botnetu, rozpowszechnianego za pośrednictwem dedykowanych ataków skierowanych w osoby ze środowisk dyplomatycznych, naukowych, militarnych i finansowych. Złośliwe oprogramowanie funkcjonowało skutecznie przez ponad pięć lat, skupiało się bowiem na wykradaniu dokumentów i wysyłaniu swoim mocodawcom w sposób niewidoczny dla użytkownika. W opinii ekspertów ds. bezpieczeństwa za botnetem może stać broker informacji, odsiewający najciekawsze dane i sprzedający je agencjom wywiadowczym. Protesty przeciw ACTA haktywizm, czy internetowa anarchia? (luty 2012) W drugiej połowie lutego przez Polskę przelała się fala protestów przeciwko ratyfikacji układu ACTA. Ich kluczowym elementem były liczne ataki DDoS (rozproszona odmowa dostępu) na publiczną część internetowej infrastruktury rządowej. TP CERT brał aktywny udział w zapobieganiu atakom, nie wpuszczając do sieci TPNET potwierdzonego ruchu, stanowiącego element ataków.

5 wzrasta ilość incydentów bezpieczeństwa ciekawsze przykłady cd. Chińczycy udają dowódcę NATO (marzec 2012) Koordynowany najprawdopodobniej z Chin atak, oparty na inżynierii społecznej, miał na celu dotarcie do publikowanych na Facebooku danych najważniejszych dowódców NATO. W tym celu atakujący stworzyli kilka fałszywych profili znanego ze społecznościowej aktywności głównodowodzącego Sojuszu w Europie, admirała Jamesa Stavridisa. Następnie wysyłali do osób, będących faktycznymi celami ataków, prośby o dołączenie do znajomych. Jeśli ktoś odruchowo się zgodził, udostępniał szpiegom swoje często prywatne informacje. Wyciek półtora miliona kart kredytowych przez zbyt proste zabezpieczenia (marzec 2012) Firma Global Payments, operator płatności kartami kredytowi, stracił (według różnych źródeł) pełne dane od 1,5 do 10 mln kart kredytowych wydanych przez Visę i Mastercard. Słabym punktem systemu okazała się metoda logowania w przypadku zapomnienia hasła atakujący po prostu odgadli pytanie pomocnicze jednego z administratorów systemu. Po upublicznieniu informacji akcje firmy spadły o 9 procent. Typosquatting na rządowe domeny prowokacja dziennikarska (październik 2011) Dziennikarze Gazety Wyborczej, zarejestrowali kilka domen www o adresach łudząco podobnych do domen polskich instytucji rządowych (przykładowo cbagov.pl zamiast cba.gov.pl). W efekcie kilkadziesiąt , nie zawsze zawierających informacje przeznaczone dla osób postronnych, zamiast do adresatów, trafiło do dziennikarzy. Wyłudzenie haseł od operatora telekomunikacyjnego. (listopad 2012) Przestępca wypatruje w internecie osobę, która coś sprzedaje, i publikuje swój numer telefonu. Dzwoni do niej i informuje, że chętnie dokona zakupu, ale najpierw, by sprawdzić wiarygodność kontrahenta, prosi go o podanie kodu z SMS, który za chwilę otrzyma. Następnie wchodzi na portal samoobsługowy operatora i wybiera opcję "zapomniałem hasła", wpisując numer telefonu atakowanego.

6 bezpieczeństwo w chmurze, bezpieczeństwo w cyberświecie

7 cyberwojna, prawdziwi żołnierze W odpowiedzi na wzrastającą liczbę ataków, co do których istnieje podejrzenie wsparcia ze strony rządów (chińska cyberarmia, robak Stuxnet, itd.) coraz więcej krajów decyduje się na stworzenie oddziałów, zajmujących się cyberwojną w ramach jednostek stricte militarnych. 1 października 2010 roku powołano cyberdowództwo w strukturach 2. Armii Stanów Zjednoczonych. Cyberwojna staje się elementem wojny offline projekt nowej doktryny wojennej USA dopuszcza możliwość konwencjonalnej odpowiedzi na atak sieciowy, który w znaczący sposób zaburzy funkcjonowanie kluczowej infrastruktury lub systemów wojskowych. Departament Obrony USA dopuszcza również wykonanie cyberuderzenia wyprzedzającego, w przypadku uzyskania niezbitych dowodów nadchodzącego ataku.

8 cyber-zagrożenia - przykłady Phishing - Internauta otrzymuje wiadomość, udającą , wysłany przez bank. Z jej treści wynika, iż bank omyłkowo wykonał na jego konto przelew, który musi natychmiast zwrócić, pod rygorem konsekwencji prawnych. Po kliknięciu linku otwiera się strona banku, z osadzonym złośliwym kodem, szukającym podatności w przeglądarce ofiary. Jeśli atakowany wykona przelew, do przestępców trafi także jego login i hasło oraz oczywiście kwota przelewu. Sieci botnet - W efekcie kliknięcia na link z a phishingowego, bądź odwiedzenia strony zawierającej złośliwy kod, na komputerze ofiary zostaje zainstalowane oprogramowanie sieci botnet. Od tego momentu operator botnetu ma pełny dostęp do zasobów i przestrzeni dyskowej zarażonego komputera-zombie. Może m.in. podsłuchiwać transmisję, przechwytywać loginy i hasła, czy używać komputera ofiary do działań przestępczych (np. ataku DDoS) Rozproszona Odmowa Dostępu (DDoS)- w kwietniu br. serwis aukcyjny Allegro oraz czołowy polski e-bank odnotowały wielokrotne przerwy w dostępności serwisów. Przyczyną był atak DDoS, polegający na zasypaniu serwerów obu firm olbrzymią ilością zapytań, powodujących wysycenie ich zasobów i w efekcie niedostępność serwisów. Sprawca ataku, który warunkował jego zakończenie okupem w wirtualnej walucie Bitcoin, równoważnym ok. 50 tys. PLN, kupił atak na czarnym cyber-przestępczym rynku (cena tygodniowego DDoS) to ok. 150 USD. Office of the Comptroller of the Currency (OCC), regulator bankowy działający w ramach amerykańskiego Departamentu Skarbu, ostrzega przed intensyfikacją w 2013 roku ataków Distributed Denial of Service (DDoS) na amerykańskie banki. W opinii OCC celem ataków DDoS, otwarcie zapowiadanych w sieci przez grupy arabskich ekstremistów, ma przede wszystkim być odciągnięcie uwagi jednostek zajmujących się bezpieczeństwem teleinformatycznym, by ułatwić sobie dostanie się do kont klientów atakowanych banków i najzwyklejszą kradzież pieniędzy.

9 cyber-zagrożenia jak przeciwdziałamy Phishing - Ograniczenie dostępu do zidentyfikowanych stron phishingowych w trybie 24/7/365 w czasie maksymalnie 15 minut od otrzymania zgłoszenia. Jeśli strona phishingowa znajduje się w adresacji, zarządzanej przez Orange Polska, następuje stuprocentowa redukcja zagrożenia. W przypadku witryny w adresacji innego operatora, następuje ograniczenie dostępu dla klientów Orange Polska (ok. 40 proc. polskiego internetu). Sieci botnet - Sieć kliencka Orange Polska zabezpieczona jest przed sterowanymi centralnie botnetami za pomocą BGP Blackholingu. Dostęp do znanych adresów centrów kontroli (Command and Control, C&C) botnetów z sieci Orange Polska jest zablokowany. Informacje, dotyczące adresów C&C wymieniane są automatycznie między szeregiem jednostek za pomocą protokołu BGP. PHISHING Chroniona Marka TP+Orange INTERNET Klient- Chroniona Marka

10 cyber-zagrożenia jak przeciwdziałamy Rozproszona Odmowa Dostępu (DDoS)- Rozwiązanie, używane przez Orange Polska do ochrony zasobów własnych oraz klientów zewnętrznych skanuje ruch w trybie ciągłym, pod kątem zdarzeń, noszących znamiona anomalii. W przypadku stwierdzenia ruchu o charakterze ataku DDoS i uruchomienia mitygacji, analizowany ruch trafia do urządzenia TMS, które odfiltrowuje zanieczyszczone pakiety. W efekcie do zaatakowanego systemu trafia wyłącznie czysty ruch i ciągłość działania nie zostaje utracona.

11 Było o wiele przyjemniej, zanim ludzie zaczęli składować wszystkie swoje dane w chmurach Cartoon by New Yorker

12 zagrożenia dla organizacji i instytucji publicznych Ujawnienie informacji Utrata dostępności Nadużycia uprawnień Błędy administracyjne Nieautoryzowane użycie urządzeń Kradzież danych Złośliwe oprogramowanie (wirusy, trojany, ), Inne Wewnętrzne Motywacja Korzyść finansowa, sprzedaż informacji Kompromitacja wizerunku, marki lub reputacji Nieuczciwa konkurencja Rozgłos medialny Szpiegostwo gospodarcze Zniszczenie informacji Niezamierzone błędy i pomyłki Ataki hackerskie Malware, wirusy, trojany Podsłuch Szpiegostwo Niedostępność krytycznych usług Ujawnienie poufnych informacji Phishing Spam Inne Zewnętrzne (Internet)

13 bezpieczeństwo przetwarzania w chmurze

14 zagrożenia na przykładzie sieci usługowej Orange Polska 97% 2% ataki zewnętrzne ataki wewnętrzne Source: Verizon (2012) Source: Verizon (2012)

15 SOC Orange Polska nowa jakość w walce z zagrożeniami rok 2010 uruchomienie działającego w trybie 24/7/365 Centrum Operacji Bezpieczeństwa (Security Operations Center, SOC). wprowadzenie rozwiązania SIEM (Security Incidents Event Management), pozwalającego na sprawniejsze i efektywniejsze wykrywanie naruszeń bezpieczeństwa teleinformatycznego, dzięki korelacji w czasie rzeczywistym zdarzeń, pochodzących z różnorodnych źródeł. efekt z jednej strony wiązał się ze wzrostem liczby wykrytych zdarzeń, jednocześnie wpłynął na redukcję faktycznych incydentów bezpieczeństwa, eliminując w znacznym stopniu fałszywe alarmy (false positives).

16 SOC Orange Polska obsłużone zdarzenia na przestrzeni lat Liczba incydentów, obsłużonych przez CERT Orange Polska / Security Operations Center Maj 2013 Łączna liczba zdarzeń Liczba przeanalizowanych alarmów Liczba incydentów 368

17 Dziękuję 17 17