Skanowanie i weryfikacja podatności Tomasz Zawicki CISSP Passus SA
1. Podatności
Podział podatności Techniczne Systemów operacyjnych i oprogramowania Aplikacji WEB Konfiguracji Czynnika ludzkiego Użytkowników Deweloperów Administratorów
Jak przeprowadzane są ataki? Najczęściej wykorzystywane techniki: Próby wykorzystywania istniejących podatności Bazowane na słabości czynnika ludzkiego Malware Wektory ataku: Serwery, konta użytkowników Stacja robocza pracownika Ataki na webaplikacje
2. Hakerzy i przestępcy
Motywy Sprawdzenie własnych umiejętności i budowanie reputacji Działania ideologiczne, protesty: ośmieszenie, deface Przestępstwa: unieruchomienie usługi DOS kradzież lub szantaż walka z konkurencją szpiegostwo
3. Zagadnienia wspólne
Słownik Vulnerability - podatność, wrażliwość, słaby punkt Security hole - luka bezpieczeństwa, dziura systemowa Patch aktualizacja, aktualizacja bezpieczeństwa, łata Vulnerability scanner skaner podatności Vulnerability management zarządzanie podatnościami
Czas życia podatności Podatność istnieje od czasu wydania oprogramowania lub utworzenia niebezpiecznej konfiguracji Opublikowanie aktualizacji często nie powoduje zniknięcia podatności Czynnik ludzki jest zdolny do wygenerowania luki w dowolnym czasie
Klasyfikacja podatności Organizacje bezpieczeństwa tworzą opis podatności i klasyfikują ryzyko jej wykorzystania: MITRE - cve.mitre.org, oval.mitre.org NIST - nvd.nist.gov FIRST - first.org (Common Vulnerability Scoring System, max 10) Producenci systemów zarządzania podatnościami definiują podatne systemy i tworzą metody wykrywania ich poprzez sieć lub agentów programowych Producent podatnego systemu klasyfikuje podatność jako niegroźną lub rozpoczyna przygotowywanie aktualizacji
Wykorzystywanie podatności (podejście technicznie) Publiczne informacje są wykorzystywane przez cyberprzestępców do opracowania exploitów Skanowanie portów identyfikuje cele i dostarcza informacji o udostępnionych usługach Okno czasowe od informacji o podatności do powstania poprawki zapewnia przewagę atakującemu 0-day zapewnia ogromną przewagę
Wykorzystywanie podatności (podejście socjotechnicznie) Publiczne informacje są wykorzystywane do identyfikacji stanowisk pracowniczych Dane z BIP, serwisów społecznościowych: FB, Linkedin Podatność występuje w godzinach pracy Budowanie zaufania po pracy E-mail, Facebook, Linkedin
4. Liczby
Około 5 tyś. nowych podatności r/r (SourceFire: 25-Years-of-Vulnerabilities) Producent podatnego systemu klasyfikuje podatność jako niegroźną lub rozpoczyna przygotowywanie aktualizacji (nd. Windowsa XP)
CVSS Common Vulnerability Scoring System Zakres oceny: 0 10 Poziom zagrożenia: od 7.0 do 10 wysoki od 4.0 do 6.9 średni od 0 do 3.9 niski
Minimum 33% podatności stanowi poważne luki bezpieczeństwa Źródło: Raport: 25 Years of Vulnerabilities: 1988-2012 CVSS>7 Sourcefire Vulnerability Research Team (VRTTM)
Liczby Źródło: Raport: 25 Years of Vulnerabilities: 1988-2012 CVSS>7 Sourcefire Vulnerability Research Team (VRTTM)
Ponad 12 tyś. nowych podatności r/r (Secunia Vulnerability Review 2014) Szacowana ilość podatności w produktach wszystkich badanych dostawców oprogramowania
Podział podatności 2014r. Krytyczność Wektor ataku Źródło: Secunia Vulnerability Review 2014
Podatności 0 day Źródła informacji o zagrożeniach: Komercyjne TippingPoint - ZDI (0 Day Initiative) Verisign idefense CERT y, agencje rządowe Gen. Keith Alexander oświadczył przed kongresem USA: Rząd USA przeznacza co roku miliardy dolarów na ochronę cyberprzestrzeni i utrzymuje dziesiątki zespołów opracowujących sposoby ataku na sieci komputerowe http://securityaffairs.co/wordpress/14561/malware/zero-day-market-governments-mainbuyers.html
5. Ataki
Przykład ataku celowanego zawierającego 0 day Temat: Nowelizacja ustawy Prawo zamówień publicznych Od: "Ministerstwo XXXXXXXXXXXXXXXX" minister@bbbb.gov.pl Do: <marta.aaaaa@bbbb.gov.pl> Treść:
Atak SandWorm Rozwiązanie Csecurity + Network
Systemy sygnaturowe nie rozpoznają exploitów 0 day 0 day plik 1.exe
Webaplikacje i bezpieczne usługi Publiczne usługi dostępne 7 dni w tygodniu WWW FTP
Podatności webaplikacji Wektor ataku: Serwery WWW i webaplikacje Klasyfikacja OWASP Top 10: A1 - SQL Injection A2 - Błędy mechanizmów uwierzytelnienia i zarządzania sesjami A3 - Cross-Site Scripting (XSS)... A9 - Używanie komponentów i bibliotek zawierających błędy bezpieczeństwa (nowa kategoria)
Wyciek danych, infiltracja sieci Atak na JP Morgan Chase (czerwiec-sierpień 2014) Wykradziono dane 83 milionów użytkowników Informacje: I. Atak na jedną z głównych stron świadczących usługi bankowe (inf. Bloomberg) II. Wprowadzenie do sieci JP Morgan złośliwe oprogramowanie III. atakujący zapoznali się z listą oprogramowania wykorzystywanego przez JP Morgan (inf. NYT) Słaby punkt: luka na głównej stronie
Infiltracja sieci, rekonesans Atak na korporacyjne data center w Polsce Incydent jest analizowany od 16 maja 2015 Informacje: I. Wykryto malware ściągany przez serwer FTP z rosyjskiego adresu IP II. Po zalogowaniu do serwera wykryto zdeaktywowanie Symantec Endpoint Protection III. Atakujący przejęli kontrole nad serwerem Słaby punkt: konfiguracja firewall a i/lub podatność
Wykrycie ataku na serwer FTP Wykorzystano niezidentyfikowaną lukę
Identyfikacja ataku nastąpiła przez wykrycie kodu malware Joomla Drupal Wordpress
Bootnet y na serwerach linux 2014-07-17 Malware Mayhem zaczyna funkcjonować w systemach *nix obsługujących serwery WWW, posiada funkcjonalności tradycyjnego bot a Windowsowego https://www.virusbtn.com/virusbulletin/archive/2014/07/vb201407-mayhem 2014-10-13 Botnet Mayhem wykorzystuje ShellShock http://www.infosecurity-magazine.com/news/mayhem-botnet-takes-to-shellshock/
Hakerzy szpiegowali komputery MSZ Finlandii (03.07.2014) Fiński resort spraw zagranicznych od wielu lat był inwigilowany przez grupę hakerów, którzy uzyskali dostęp do wielu tajemnic państwowych. Fińskie władze poinformowały, że hakerzy działali na zlecenie obcego rządu lub rządów. Na ich ślad kontrwywiad trafił dopiero w 2013 roku dzięki informacji uzyskanej od innego państwa. http://wolnemedia.net/swiat-komputerow/hakerzy-szpiegowali-komputery-msz/
6. Błędy specjalistów
Błędy administratorów i programistów Cyberprzestępcy chętnie wykorzystują znane podatności: Serwerów Webaplikacji np. systemów CMS, sklepów internetowych Winny brak aktualizacji
Błędy administratorów i IT Firma analityczna Gartner prognozuje: W 2018 roku ponad 95% włamań, przed którymi mógłby ochronić firewall, będzie możliwych z powodu złej konfiguracji firewalla, a nie jego wady.
Przykład systemu weryfikującego poprawność konfiguracji urządzeń sieciowych - FireMon Funkcjonalności: Tworzenie map zasobów Symulowanie ścieżek ataku z wykorzystaniem niepoprawnych reguł firewall i na podatne systemy, których podatności zaimportowano do systemu Nadzorowanie zmian w konfiguracji zapór sieciowych Weryfikacja zgodności z regulacjami np. PCI DSS Bogate możliwości raportowania
7. Zamawiane testy penetracyjne
Metody przeprowadzania testów BlackBox sprawdzenie odporności na atak hakera Zalety: realna próba odwzorowania ataku Wady: pełne informacje o systemie mogą dostarczyć więcej informacji o podatnościach i lukach WhiteBox test bezpieczeństwa bazujący na informacjach np. o architekturze systemu i kodzie źródłowym aplikacji Zalety: Efektywny sposób zapewnienia bezpieczeństwa, szczególnie w czasie tworzenia oprogramowania Wady: Duży zakres może skutkować wysoką ceną
Odcienie szarości GrayBox wersja pośrednia, po ustaleniu zakresu z zespołem pentesterów, opracowywany jest plan testu. Celem jest najkorzystniejsze wykorzystanie czasu i przeprowadzenie efektywnego testu. Wybór doświadczonego zespołu i ustalenie właściwego zakresu zapewnia najlepsze efekty. Ograniczenie zakresu testów wymusza tzw. poszukiwanie nisko wiszących owoców.
Dlaczego warto? Zasada ograniczonego zaufania kontrola własnej pracy jest subiektywna. Określenie poziomu zabezpieczeń wymaga obiektywnej oceny. Korzystanie z usług specjalistów dysponujących wiedzą przewyższającą przestępców. Umowa NDA zapewnia poufność i gwarantuje bezpieczeństwo
Z socjotechniką czy bez? Pentesterzy zalecają przeprowadzenie testów odtwarzających najczęstsze scenariusze ataku. Unikanie informowania o przeprowadzaniu testów Użytkownicy: 18% otworzy link w mailu phishingowym 8% kliknie w załącznik 8% wypełni formularz Kampania skierowana do 20 osób zwykle kończy się sukcesem Raport Verizon 2014r.
Narzędzie przeprowadzające zautomatyzowane testy Weryfikacja raportu skanera podatności i systemów zarządzających podatnościami Definiowanie zakresu testu wg potrzeb Brak ograniczeń w ilości przeprowadzanych testów
Weryfikacja podatności przy pomocy exploitów Narzędzie lub system przeprowadzający testy penetracyjne importuje wynik działania skanera podatności Wykluczone występowanie False Positive (FP) Możliwość wykonywania testu na szeroko zdefiniowanym zakresie w dowolnym czasie Możliwość testowania w dni wolne od pracy lub w godzinach nocnych
8. Zarządzanie podatnościami
Skanowanie nie wystarczy Skaner podatności: Narzędzie rozpoznające Wynik działania: raport dla administratorów, specjalistów IT Mogą występować False Positive (FP) Systemy do zarządzania podatnościami to: PLUS Skaner podatności Baza zasobów: serwery, stacje robocze, serwisy WEB owe Weryfikacja zgodności z regulacjami prawnymi System do koordynacji działań, stała analiza podatności
Skuteczność procesu zarządzania podatnościami warunkują m.in.: kompletność i jakość bazy aktywów objętych procesem czas wykrycia podatności w systemie efektywność testowania środków naprawczych przed ich produkcyjnym wdrożeniem Identyfikacja wszystkich aplikacji Skanowanie środowiska Badanie wykrytych podatności Źródło: janusznawrat.wordpress.com
Zarządzanie ryzykiem Ryzyko wobec bezpieczeństwa Poziom krytyczności Liczb potwierdzonych, raportowanych podatności Ryzyko biznesowe Pozwala nadać priorytet usunięcia podatności w procesie napraw
Rozliczność procesu naprawczego Automatyczne generowanie dyspozycji naprawy Bazujące na przypisanej polityce do grupy zasobów lub tagu Zlecenie oparte o Poziom zagrożenia, Wartość biznesową, Posiadacza zasobu Uruchamianie skanowań weryfikujących 50
Zgodność Policy Compliance Regulacje prawne Prawo RP Prawo międzynarodowe Pozostałe regulacje PCI-DSS Cyber SEC. ISO 27001 Regulaminy bezpieczeństwa Centralne Utrzymanie standardów Regulacje i regulaminu instytucji COBIT 4.0/4.1 CIS NIST-SP800-53 Kontrola zgodności z przyjętymi standardami bezpieczeństwa ISO 17799/27001 Nie technologiczne Bezpieczeństwo fizyczne Bezpieczeństwo osobowe Technologie-IT Kontrola konfiguracji systemów operacyjnych Kontrola dostępu do aplikacji Kontrola procesów Kontrola zmian HR Kontrola rekrutacji Powiązanie IT z aspektami organizacyjnymi 51
Qualys w szczegółach Funkcjonalności platformy: Continous Monitoring - nadzorowanie styku z Internetem Skanowanie zasobów (sprzęt, serwery i aplikacje) Identyfikowanie podatności Monitorowanie zmian w konfiguracji Certyfikaty - SSL Server Test
Podsumowanie
Proaktywość Aktywnie: uzyskanie wyniku pracy skanerów bezpieczeństwa nie zaczyna ani nie kończy zarządzania podatnościami. Proaktywnie: stosowanie systemu zarządzania podatnościami informacje o 0 day klasyfikacja systemów
Ochrona ofensywna Testy penetracyjne wspomagane oprogramowaniem: próba użycia exploitów wobec podatnych systemów wykonanie kampanii e-mail z zastosowaniem socjotechnik testowanie bezpieczeństwa webaplikacji Testy manualne: odpowiedniego typu właściwy zakres
Wszechobecne aplikacje mobilne
Co potrafi latarka?
Świeci - widzi, słyszy i co jeszcze?
Niezliczona ilość ataków (Verizon - 2014 DATA BREACH INVESTIGATIONS REPORT) Raport współtworzony przez 50 organizacji, w tym Cert.pl
? Dyskusja czego najbardziej się boimy?