Gdzie czyha niebezpieczeństwo i czego się boimy? Tomasz Zawicki, Passus

Transkrypt

1 Gdzie czyha niebezpieczeństwo i czego się boimy? Tomasz Zawicki, Passus

2 Podatności

3 Słownik Vulnerability - podatność, wrażliwość, słaby punkt Security hole - luka bezpieczeństwa, dziura systemowa Patch aktualizacja, aktualizacja bezpieczeństwa, łata Vulnerability scanner skaner podatności Vulnerability management zarządzanie podatnościami

4 Klasyfikacja podatności Organizacje bezpieczeństwa tworzą opis podatności i klasyfikują ryzyko jej wykorzystania: MITRE - cve.mitre.org, oval.mitre.org NIST - nvd.nist.gov FIRST - first.org (Common Vulnerability Scoring System, max 10) Producenci systemów zarządzania podatnościami definiują podatne systemy i tworzą metody wykrywania ich poprzez sieć lub agentów programowych Producent podatnego systemu klasyfikuje podatność jako niegroźną lub rozpoczyna przygotowywanie aktualizacji

5 Około 5 tyś. nowych podatności r/r (SourceFire: 25-Years-of-Vulnerabilities) Producent podatnego systemu klasyfikuje podatność jako niegroźną lub rozpoczyna przygotowywanie aktualizacji (nd. Windowsa XP)

6 Ponad 12 tyś. nowych podatności r/r (Secunia Vulnerability Review 2014) Szacowana ilość podatności w produktach wszystkich badanych dostawców oprogramowania

7 Podział podatności (Secunia Vulnerability Review 2014) Krytyczność Wektor ataku

8 Podatności 0 day Źródła informacji o zagrożeniach: Komercyjne: TippingPoint - ZDI (0 Day Initiative) Verisign idefense CERT y, agencje rządowe: Gen. Keith Alexander oświadczył przed kongresem USA: Rząd USA przeznacza co roku miliardy dolarów na ochronę cyberprzestrzeni i utrzymuje dziesiątki zespołów opracowujących sposoby ataku na sieci komputerowe

9 Podatności webaplikacji Wektor ataku: Serwery WWW i webaplikacje Klasyfikacja OWASP Top 10: A1 - SQL Injection A2 - Błędy mechanizmów uwierzytelnienia i zarządzania sesjami A3 - Cross-Site Scripting (XSS)... A9 - Używanie komponentów i bibliotek zawierających błędy bezpieczeństwa (nowa kategoria)

10 Podatność biblioteki OpenSSL Heartbleed podatność obecna w określonych wersjach biblioteki OpenSSL. 20 maja 2014r funkcjonowało 1,5% z najpopularniejszych stron, korzystających z TLS posiadających podatność Heartbleed.

11 Podatność OpenSSL

12 2. Hakerzy i przestępcy

13 Nowość (30 czerwca 2014, cert.pl) Trwa wyszukiwanie podatnych modułów BMC (cert.pl) Od momentu opublikowania artykułu o zagrożeniach związanych z protokołem IPMI służącym do zarządzania serwerami, system ARAKIS obserwuje wzmożony ruch UDP skierowany na port 623. Połączenia poszukujące podatnych BMC pochodziły z Chin, USA, Islandii, Rumunii i Holandii regularne skanowania rozpoczęły się 23 czerwca, po opublikowaniu artykułu o podatnościach. W Polsce podatnych jest 189 serwerów. PRZYNAJMNIEJ 189!

14 Haker, aktywista, przestępca? Zastosowane techniki: Bazujące na słabościach czynnika ludzkiego Malware + C&C Próby użycia znanych exploitów Wektor ataku: Stacja robocza pracownika źródło: niebezpiecznik.pl

15 Jak Alladyn2 przeprowadzał ataki? 1/2 Zawsze pierwszy etap to infekcja chociaż jednej stacji roboczej, tak aby uzyskać informacje o kontach użytkowników, zastosowanym AV, wygląd sieci LAN. Potem już w LANie ataki słownikowe, wyszukiwanie domyślnych lub prostych haseł, ataki socjotechniczne na adminów. W żadnym ataku nie był spoofowany oraz nie został użyty ani jeden exploit.

16 Jak Alladyn2 przeprowadzał ataki? 2/2 Malware to był to mój własny kod. Metasploit służył też jako serwer C&C. Na początku próbowałem z najnowszymi exploitami na Javę, ale okazało się, że albo mają aktualną albo w ogóle nie ma Javy na stacjach. Dlatego zgodnie z zasadą KISS użyłem najprostszych metod, typu grzecznie proszę ściągnąć ten plik i go uruchomić :)

17 Motywy 1) Sprawdzenie własnych umiejętności i budowanie reputacji 2) Działania ideologiczne, protesty: ośmieszenie, deface 3) Przestępstwa: a) unieruchomienie usługi DOS b) kradzież lub szantaż c) walka z konkurencją

18 Sposoby działań Najczęściej wykorzystywane techniki: Bazowane na słabości czynnika ludzkiego Próby wykorzystywania istniejących podatności Malware Wektory ataku: Stacja robocza pracownika Serwery, konta użytkowników Ataki na webaplikacje

19 3. Po naszej stronie lustra

20 Błędy administratorów i programistów Cyberprzestępcy chętnie wykorzystują znane podatności: Serwerów Webaplikacji np. systemów CMS, sklepów internetowych Użytkowników Firmy analitycznej Gartner przewiduje: W 2018 roku ponad 95% włamań, przed którymi mógł by ochronić firewall, będzie możliwych z powodu złej konfiguracji firewalla, a nie jego wady.

21 APT Zaawansowane i celowane ataki

22 Podatności i ataki na systemy przemysłowe SCADA Najnowsze zagrożenie wykryte przez F-Secure ( ) Havex/Energetic Bear/DragonFly 1. Jak doszło do propagacji: 2. Cel: złamano zabezpieczenia stron internetowych co najmniej trzech firm produkujących oprogramowanie dla przemysłu (pochodzące z Belgii, Niemiec i Szwajcarii). malware ukryto w oprogramowaniu publikowanym na stronach producentów systemów przemysłowych Większość ofiar znajdowało się w Stanach Zjednoczonych, Hiszpanii, Francji, Włoszech, Niemczech, Turcji i Polsce

23 DragonFly/Havex/Energetic Bear 3. Funkcje: część kodu Havexa sugeruje, że jego twórcy nie tylko chcieli wykradać dane o procesach przemysłowych, ale również mieć wpływ na ich przebieg. 4. Możliwości wykrycia: laboratorium F-Secure odnotowało, że na serwery C&C Havexa trafiły informacje z około 1500 adresów IP początek kampanii wrzesień/październik 2013r (wg Symantec) ostatnia część kampanii trwała przez 10 dni kwietnia 2014r

24 DragonFly/Havex/Energetic Bear 5. Twórcy: analiza próbek oprogramowania wykazała, że wytworzono je w godz. 9am - 6pm pracując od poniedziałku do piątku w strefie czasowej UTC +4.

25 Hakerzy szpiegowali komputery MSZ Finlandii ( ) Fiński resort spraw zagranicznych od wielu lat był inwigilowany przez grupę hakerów, którzy uzyskali dostęp do wielu tajemnic państwowych. Fińskie władze poinformowały, że hakerzy działali na zlecenie obcego rządu lub rządów. Na ich ślad kontrwywiad trafił dopiero w 2013 roku dzięki informacji uzyskanej od innego państwa.

26 Wszechobecne aplikacje mobilne

27 Co potrafi latarka?

28 Świeci - widzi, słyszy i co jeszcze?

29 Niezliczona ilość ataków (Verizon DATA BREACH INVESTIGATIONS REPORT) Raport współtworzony przez 50 organizacji, w tym Cert.pl

30 ? Dyskusja czego najbardziej się boimy?