Gdzie czyha niebezpieczeństwo i czego się boimy? Tomasz Zawicki, Passus
Podatności
Słownik Vulnerability - podatność, wrażliwość, słaby punkt Security hole - luka bezpieczeństwa, dziura systemowa Patch aktualizacja, aktualizacja bezpieczeństwa, łata Vulnerability scanner skaner podatności Vulnerability management zarządzanie podatnościami
Klasyfikacja podatności Organizacje bezpieczeństwa tworzą opis podatności i klasyfikują ryzyko jej wykorzystania: MITRE - cve.mitre.org, oval.mitre.org NIST - nvd.nist.gov FIRST - first.org (Common Vulnerability Scoring System, max 10) Producenci systemów zarządzania podatnościami definiują podatne systemy i tworzą metody wykrywania ich poprzez sieć lub agentów programowych Producent podatnego systemu klasyfikuje podatność jako niegroźną lub rozpoczyna przygotowywanie aktualizacji
Około 5 tyś. nowych podatności r/r (SourceFire: 25-Years-of-Vulnerabilities) Producent podatnego systemu klasyfikuje podatność jako niegroźną lub rozpoczyna przygotowywanie aktualizacji (nd. Windowsa XP)
Ponad 12 tyś. nowych podatności r/r (Secunia Vulnerability Review 2014) Szacowana ilość podatności w produktach wszystkich badanych dostawców oprogramowania
Podział podatności (Secunia Vulnerability Review 2014) Krytyczność Wektor ataku
Podatności 0 day Źródła informacji o zagrożeniach: Komercyjne: TippingPoint - ZDI (0 Day Initiative) Verisign idefense CERT y, agencje rządowe: Gen. Keith Alexander oświadczył przed kongresem USA: Rząd USA przeznacza co roku miliardy dolarów na ochronę cyberprzestrzeni i utrzymuje dziesiątki zespołów opracowujących sposoby ataku na sieci komputerowe http://securityaffairs.co/wordpress/14561/malware/zero-day-market-governments-mainbuyers.html
Podatności webaplikacji Wektor ataku: Serwery WWW i webaplikacje Klasyfikacja OWASP Top 10: A1 - SQL Injection A2 - Błędy mechanizmów uwierzytelnienia i zarządzania sesjami A3 - Cross-Site Scripting (XSS)... A9 - Używanie komponentów i bibliotek zawierających błędy bezpieczeństwa (nowa kategoria)
Podatność biblioteki OpenSSL Heartbleed podatność obecna w określonych wersjach biblioteki OpenSSL. 20 maja 2014r funkcjonowało 1,5% z 800 000 najpopularniejszych stron, korzystających z TLS posiadających podatność Heartbleed.
Podatność OpenSSL
2. Hakerzy i przestępcy
Nowość (30 czerwca 2014, cert.pl) Trwa wyszukiwanie podatnych modułów BMC (cert.pl) Od momentu opublikowania artykułu o zagrożeniach związanych z protokołem IPMI służącym do zarządzania serwerami, system ARAKIS obserwuje wzmożony ruch UDP skierowany na port 623. Połączenia poszukujące podatnych BMC pochodziły z Chin, USA, Islandii, Rumunii i Holandii regularne skanowania rozpoczęły się 23 czerwca, po opublikowaniu artykułu o podatnościach. W Polsce podatnych jest 189 serwerów. PRZYNAJMNIEJ 189!
Haker, aktywista, przestępca? Zastosowane techniki: Bazujące na słabościach czynnika ludzkiego Malware + C&C Próby użycia znanych exploitów Wektor ataku: Stacja robocza pracownika źródło: niebezpiecznik.pl
Jak Alladyn2 przeprowadzał ataki? 1/2 Zawsze pierwszy etap to infekcja chociaż jednej stacji roboczej, tak aby uzyskać informacje o kontach użytkowników, zastosowanym AV, wygląd sieci LAN. Potem już w LANie ataki słownikowe, wyszukiwanie domyślnych lub prostych haseł, ataki socjotechniczne na adminów. W żadnym ataku nie był spoofowany email oraz nie został użyty ani jeden exploit.
Jak Alladyn2 przeprowadzał ataki? 2/2 Malware to był to mój własny kod. Metasploit służył też jako serwer C&C. Na początku próbowałem z najnowszymi exploitami na Javę, ale okazało się, że albo mają aktualną albo w ogóle nie ma Javy na stacjach. Dlatego zgodnie z zasadą KISS użyłem najprostszych metod, typu grzecznie proszę ściągnąć ten plik i go uruchomić :)
Motywy 1) Sprawdzenie własnych umiejętności i budowanie reputacji 2) Działania ideologiczne, protesty: ośmieszenie, deface 3) Przestępstwa: a) unieruchomienie usługi DOS b) kradzież lub szantaż c) walka z konkurencją
Sposoby działań Najczęściej wykorzystywane techniki: Bazowane na słabości czynnika ludzkiego Próby wykorzystywania istniejących podatności Malware Wektory ataku: Stacja robocza pracownika Serwery, konta użytkowników Ataki na webaplikacje
3. Po naszej stronie lustra
Błędy administratorów i programistów Cyberprzestępcy chętnie wykorzystują znane podatności: Serwerów Webaplikacji np. systemów CMS, sklepów internetowych Użytkowników Firmy analitycznej Gartner przewiduje: W 2018 roku ponad 95% włamań, przed którymi mógł by ochronić firewall, będzie możliwych z powodu złej konfiguracji firewalla, a nie jego wady.
APT Zaawansowane i celowane ataki
Podatności i ataki na systemy przemysłowe SCADA Najnowsze zagrożenie wykryte przez F-Secure (23.06.2014) Havex/Energetic Bear/DragonFly 1. Jak doszło do propagacji: 2. Cel: złamano zabezpieczenia stron internetowych co najmniej trzech firm produkujących oprogramowanie dla przemysłu (pochodzące z Belgii, Niemiec i Szwajcarii). malware ukryto w oprogramowaniu publikowanym na stronach producentów systemów przemysłowych Większość ofiar znajdowało się w Stanach Zjednoczonych, Hiszpanii, Francji, Włoszech, Niemczech, Turcji i Polsce
DragonFly/Havex/Energetic Bear 3. Funkcje: część kodu Havexa sugeruje, że jego twórcy nie tylko chcieli wykradać dane o procesach przemysłowych, ale również mieć wpływ na ich przebieg. 4. Możliwości wykrycia: laboratorium F-Secure odnotowało, że na serwery C&C Havexa trafiły informacje z około 1500 adresów IP początek kampanii wrzesień/październik 2013r (wg Symantec) ostatnia część kampanii trwała przez 10 dni kwietnia 2014r
DragonFly/Havex/Energetic Bear 5. Twórcy: analiza próbek oprogramowania wykazała, że wytworzono je w godz. 9am - 6pm pracując od poniedziałku do piątku w strefie czasowej UTC +4.
Hakerzy szpiegowali komputery MSZ Finlandii (03.07.2014) Fiński resort spraw zagranicznych od wielu lat był inwigilowany przez grupę hakerów, którzy uzyskali dostęp do wielu tajemnic państwowych. Fińskie władze poinformowały, że hakerzy działali na zlecenie obcego rządu lub rządów. Na ich ślad kontrwywiad trafił dopiero w 2013 roku dzięki informacji uzyskanej od innego państwa. http://wolnemedia.net/swiat-komputerow/hakerzy-szpiegowali-komputery-msz/
Wszechobecne aplikacje mobilne
Co potrafi latarka?
Świeci - widzi, słyszy i co jeszcze?
Niezliczona ilość ataków (Verizon - 2014 DATA BREACH INVESTIGATIONS REPORT) Raport współtworzony przez 50 organizacji, w tym Cert.pl
? Dyskusja czego najbardziej się boimy?