przepisał: Aleksander Śmierciak

Bezpieczeństwo systemów informatycznych

Wykład

5 marca 2012

Cyberwojna rozpoczęta

[o walce między hakerami, organizacjami i rządami; Iran i elektrownie atomowe, Stuxnet]

Ataki APT

APT to najpowszechniej znany skrót: Advanced Persistent Threats
Ataki APT wykorzystują bardzo wyrafinowane i nietypowe techniki propagacji zagrożeń
Ataki APT są atakami długotrwałymi i jako takie przez długi czas pozostają w ukryciu
Przeprowadzane są przeciwko dokładnie określonym celom. Nie istnieje przypadkowość w wyborze

ofiary.

Ataki te są bardzo niebezpieczne, ze względu na bezwzględną skuteczność. Nie liczy się czas, a

osiągnięty cel.

Ataki na VoIP

Ataki na VoIP są coraz bardziej popularne.
Wynika to z faktu, że technologia ta jest relatywnie nowa.
Technologia ta jest również skomplikowana, co powoduje, że łatwiej jest dokonywać manipulacji.
Powstają narzędzia pozwalające na automatyczne przeprowadzanie ataków, co powoduje ich

znaczny wzrost.

Protokoły VoIP powstały z zamysłem, że mają działać – a nie że mają działać bezpiecznie. To w

połączeniu z nieudolną konfiguracją może przyczynić się do wysokiej podatności na ataki.

Wnętrze sieci się kurczy

Coraz większa część sprzętu organizacji jest mobilna.
Powoduje to wyprowadzenie sprzętu, który powinien być chroniony poza centrum sieci.
Centrum sieci kurczy się, powodując jednocześnie konieczność zapewnienia w rozmaitych

środowiskach.

Konieczność coraz mocniejszego zabezpieczania centrów obliczeniowych i centrów danych, jako że

dostęp do nich musi być zapewniony z wielu lokalizacji.

1

przepisał: Aleksander Śmierciak

Hakowanie samochodów

Hakerzy zawsze znajdą sposób na zainfekowanie sprzętu (komputery, drukarki, sprzęt sieciowy,

konsole do gier, samochody – nie są wyjątkiem).

Obecne samochody wykorzystują wiele technologii połączeniowych: Bluetooth, GPS, komunikacja

3G, komputery pokładowe.

Wykryto już przypadki zarażania komputerów pracujących w samochodach.
Spodziewana jest coraz większa aktywność w tej dziedzinie.

Niebezpieczeństwa Facebook'a

Do tej pory jednym z większych niebezpieczeństw były załączniki mailowe w postaci zarażonych

plików exe.

Teraz większość ataków pochodzi z sieci www.
Weźmy pod uwagę portal społecznościowy Facebook. Ponad 500 milionów użytkowników, którzy w

większości ufają sobie nawzajem.

Facebook staje się jednym z największych zagrożeń sieciowych ze względu na potencjalne

zagrożenia wynikające z Web 2.0.

Niebezpieczeństwa Facebook'a

Konieczność zabezpieczania takich portali czy sieci.
Spodziewana jest duża aktywność w najbliższym czasie w tej dziedzinie.
Facebook podjął już współpracę z WebSense w kwestii filtrowania adresów URL.

Malware w fabryce, czy to atak?

Do tej pory fabrycznie nowe urządzenia pozbawione były malware – obecnie brak takiej pewności.
W 2010 byliśmy świadkami wielu przypadków, gdzie fabrycznie nowy sprzęt „wyposażony” był w

malware.

Spodziewamy się więcej tego typu przypadków.
Nikt nigdy nie dowiódł, czy tego typu przypadki faktycznie były wypadkiem, a nie celowym

działaniem producenta sprzętu.

Konieczne skanowanie nowego sprzętu w celu wykrycia malware.

Fabrycznie nowy sprzęt jest z góry uznawany za niebezpieczny; po jego otrzymaniu następuje

wnikliwa analiza mająca na celu wykluczenie możliwości istnienia złośliwego kodu na nim.

2

przepisał: Aleksander Śmierciak

Ochrona DLP

Obecnie ochrona nie dla spełnienia wymogów, ale przede wszystkim dla ochrony zasobów.
Firmy coraz częściej produkują dobra niematerialne.
Z racji swojej natury dobra niematerialne są trudne do ochrony.
Obecnie w dobie kryzysu wykorzystanie cyfrowych zasobów jako sposobu na zdobycie pieniędzy

jest bardzo prawdopodobne.

Rozwiązania DLP stają się coraz bardziej popularne.

Wykrywanie coraz bardziej istotne

Ze względu na coraz większą ilość zagrożeń, nawet najlepsze rozwiązania bezpieczeństwa nie są w

stanie przechwycić i zablokować wszystkich.

Część zagrożeń przedostanie się do wnętrza sieci.
Istotne staje się wykrywanie tego typu sytuacji i dlatego następujące zagadnienia stają się popularne:

•

network visibility

•

identyfikacja zagrożeń znajdujących się w sieci

•

korelacja danych z różnych źródeł

•

pomoc w dochodzeniu

Malware jako usługa

Potrzebujesz nowej aplikacji dla swojego telefonu – po prostu pobierz ją z sieci.
Chcesz obejrzeć najnowszy odcinek ulubionego serialu – po prostu pobierz go z sieci
Chcesz przeprowadzić unikalny atak na witrynę www – po prostu pobierz go z sieci
Chcesz nowego botnet'a – po prostu pobierz go z sieci
Powstają w hackerskim podziemiu witryny na których można kupować szkodliwe oprogramowanie

jak i informacje o nowych zagrożeniach (zero day).

Problemy z chmurą

Jeden duży provider usług cloudowych
Cenny cel dla przeprowadzanego ataku
Usługodawcy rozszerzają swoją ofertę także o rozwiązania gwarantujące bezpieczeństwo

korzystania z chmury

Usługi cloudowe bazują często na własnych rozwiązaniach web i wirtualizacji
Technologie te są z jednej strony wspaniałe, a z drugiej mogą być potencjalnie niebezpieczne.

3

przepisał: Aleksander Śmierciak

Malware + geolokalizacja

Złośliwe oprogramowanie zacznie wykorzystywać informacje o lokalizacji w celu przeprowadzania

udanych ataków

Szczególnie kierowane do urządzeń mobilnych
Poznawanie zwyczajów osoby
Kierowanie na złośliwe strony, które przynoszą najlepsze efekty w danym regionie
Big Brother?
Big Business?

Prognozy

[lista sposobów zainfekowania komputerów, które cieszą się wciąż zwiększającą popularnością,
pokrywająca się z tym, co omawiamy na wykładzie]

Ataki APT

W ogólności ataki Advanced Persistent Threats (APT) s ą bardzo zaawansowanymi tajnymi sposobami
zdobywania długotrwałej i ukrytej kontroli nad istotnymi politycznie lub biznesowo obiektami.

Zaawansowane: atakujący wykorzystują wyrafinowane metody zbierania informacji i ataków oraz
technik typu malware.
Długotrwałe: atakujący chcą osiągnąć konkretny cel i gotowi są na to poświęcić wiele czasu. Ukrywają
swoje ataku jak najdłużej.
Zagrożenie ataki APT przeprowadzane są w dużej mierze przeciwko rządom czy dużym firmom. Z
reguły doprowadzają do znacznej straty.

Ataki APT w 2010 roku (Operation Aurora)

Incydent „Chinese” Google hacking
Atak celowany (SpearPhishing)
Podatność Zero Day IE pozwala na Drive-by Download
Podobno zaatakowano także 20-30 innych dużych firm
Uzyskany dostęp do serwerów Google Perforce (kod Google'a?)
Prawdopodobnie udało się uzyskać możliwość czytania maili na GMail

4

przepisał: Aleksander Śmierciak

Ataki APT w 2010 roku (Stuxnet)

Stworzone jako USB Malware (LNK/PIF)
Kod malware zawierał:

•

Cztery ataki typu Zero Day!

•

Zaszyfrowany kanał C&C

•

Aktualizacje P2P w sieci LAN

•

Kod ukrywania przed AV/FW

•

Windows rootkit

•

Używał poprawnych (skradzionych) cyfrowych podpisów

•

PLC rootkit

Mocno celowany (szuka konkretnego oprogramowania Siemens SCADA)
Przeprogramowywał Industrial Control Systems (ICS) – kontrole pompy, wirówki, turbiny
Skierowany przeciw Iranowi

Ataki APT w 2011 roku (Duqu)

Wykorzystuje mechanizmy podobne do Stuxneta.
Wykryty rzez programy antywirusowe jako Stuxnet
Instaluje się jako podpisany cyfrowo driver korzystający z wykradzionego klucza prywatnego
Służy do wykradania kluczy prywatnych, które mogą być wykorzystane do kolejnych ataków
Działa na komputerze ofiary 36 dni.
Wykorzystuje błąd w bibliotece T2EMBED.DLL w silniku obsługi fontów TTF w systemie

Windows

Podejrzewa się, że mógłby być stworzony przez twórców Stuxneta.

Duqu miał być narzędziem przygotowującym zainfekowane urządzenie do przyjęcia innych wirusów.

Po 36 dniach sam się odinstalowywał.

Czy ataki APT dotyczą nas?

Konsekwencje ataków spływają w dół
[zabawny obrazek]

„Super” Malware

5

przepisał: Aleksander Śmierciak

Ochrona przed atakami APT

Defense-in-Depth pomaga blokować ataki APT
„Visibility tools” pomagają w wykrywaniu i reakcji
Dodatkowe usługi bezpieczeństwa oferują nowe możliwości ochrony

Ataki VoIP

Dlaczego atakować VoIP

Brak standardu
Niebezpieczne protokoły
Skomplikowana technologia
Ciągle relatywnie nowa technologia
Cenne ofiary

Problemy z bezpieczeństwem VoIP

Słabości protokołów VoIP (tradycyjne standardy pozbawione szyfrowania i autentykacji).
Generalnie ataki VoIP podobne są do ataków na pocztę, lecz grożą większymi konsekwencjami.
Błędy w konfiguracji (słabe hasła, domyślne ustawienia, brak kontroli dostępu).
Typowe problemy (VoIP DoS, directory harvesting, session hijacking, toll fraud).

Wzrost skanowania VoIP

[wykres przedstawiający liczbę ataków na VoIP przez port 5060 w roku xyz, w którym liczba urządzeń,
z których skanowano port wzrosła dziesięciokrotnie w ciągu miesiąca. Źródło: Internet Storm]

Prawdopodobnie z powodu nowego publicznego narzędzia, pozwalającego na atakowanie protokołu
SIP (SIP Vicious).

6

przepisał: Aleksander Śmierciak

Ochrona przed atakami VoIP

Kontrola dostępu
Proxy VoIP

•

pomaga, gdy stosowany jest NAT

•

ogranicza liczbę kodeków

•

ogranicza zakres adresów IP

•

chroni przed directory harvesting

•

ogranicza ilość sesji (ochrona przed DoS)

•

ukrywa aplikacje użytkowników

•

ukrywa topologię

Niebezpieczne linki Facebooka

[na następnym wykładzie zostanie dokończone]

7