przepisał: Aleksander Śmierciak

Bezpieczeńtwo systemów informatycznych

Prezentacja z wykładu

19 marca 2012

Popularność Facebooka

Facebook – król portali

[wykres: Facebook prowadzi wśród serwisów społecznościowych]

Facebook pomnaża zagrożenia

Niebezpieczne linki pochodzą ze:

•

sfałszowanych zaproszeń przyjaciół

•

life-jacking

•

wiadomości Facebooka

•

niebezpiecznych aplikacji

•

skrótów adresów URL

[Facebook rozpoczął współpracę z WebSensem]

Network visibility oznacza ochronę

Technologia i użytkownicy mają wady

Wycieki się zdarzają!
AT&T

(adresy pocztowe)

Wellpoint

(dane pacjentów)

Apache XSS

(hasło dewelopera/administratora)

Google Aurora

(poczta i być może kod źródłowy)

Gawker

(dane użytkowników)

SourceForge

(hasła, być może dostęp do projektów)

HBGary

(hasła do poczty i serwerów)

RSA

(SecureID seeds)

Epsilon

(adresy pocztowe)

Sony PSN Network

(praktycznie wszystkie dane identyfikacyjne)

1

przepisał: Aleksander Śmierciak

Ataki LulzSec otwierają oczy

Anonymous

•

Project Avenge Assange (DDoS)

•

HBGary Attack (Data breach)

•

Operations Sony (DDoS)

LulzSec

•

Sony hacks and data breaches

•

Fox News Data Breach

•

PBS breach (with fake news story)

•

Lnocked CIA web site offline

•

Various Game site breaches

•

InfraGuard/FBI Breach

•

Senate.gov breach

•

Arizona DoPS Data Breach

•

Many others

AntiSec

•

Taking over where LulzSec left off

•

Booz Allen Hamilton (90k mail)

To są script-kiddes, używający SQLi, XSS, LFI/RFI.
Naruszają wiele środków ochrony

Czy jesteśmy w stanie wykryć wyciek?

1. Potrafisz wykryć atak?
2. Potrafisz dalej prowadzić działalność w trakcie ataku:?
3. Jak odzyskać dane po ataku?

•

Odzyskać czysty system z kopii

•

Ocena istotności utraty danych, wpływu na działalność

•

Zgłoszenie do zarządu?

Discovery & Response powinno być podstawą polityki bezpieczeństwa

SLA – Service level agreement
Umowy gwarantujące pewien poziom dostępności.
W przypadku sprzętowych rozwiązań można wykupić sobie (u różnych większych producentów)
wymianę sprzętu w ciągu czterech godzin roboczych.

2

przepisał: Aleksander Śmierciak

„Network visibility” chroni

Większość administratorów nie wie co się dzieje w ich sieci.
Musisz wiedzieć:

•

Co użytkownicy i urządzenia robią w sieci?

•

Kto z zewnątrz próbuje uzyskać dostęp?

•

Przeprowadzane i skuteczne ataki?

•

Jakie urządzenia zostały zainfekowane?
◦

Jak do tego doszło?

◦

Co wykonywały po zarażeniu?

„Network visibility” chroni

„Visibility tools” takie jak Application Control pomagają.
Konieczna silniejsza ochrona wnętrza sieci

Mobilne bezpieczeństwo

Obecnie znaczna część urządzeń pracuje poza standardową siecią chronioną.
Z tego powodu konieczne jest chronienie tych urządzeń.
Jednak potrzeba silnej ochrony urządzeń mobilnych nie zaspokaja potrzeby silnej ochrony sieci.

Włamywacze chcą centrów danych

Włamywacze są zmotywowani finansowo, gdyż istotne dane potrafią być drogie.

Potrzebna ochrona centrum sieci

[zdjęcie: centrum danych za ogrodzeniem z drutem kolczastym]

Ochrona centrum sieci i danych

Ochrona centrum sieci musi radzić sobie z nowymi zagrożeniami
Ochrona powinna skupiać się na centrum danych
Oddzielanie sieci użytkowników od miejsc składowania cennych danych (segmentacja sieci)
Wykorzystanie systemów DLP do monitorowania przesyłanych danych

3

przepisał: Aleksander Śmierciak

Zagrożenia istotne przez lata

Sieć Web ciągle polem bitwy
Zagrożenia mobilne ciągle rosną
Botnety

Statystyki zagrożeń Web

Ilość niebezpiecznych stron wzrosła o 111.4% w latach 2009/2010
Przeciętna strona WWW ma 13 poważnych błędów
79.9% stron ze szkodliwym kodem to przejęte poprawne strony
52% - 60% wykradania danych ma miejsce w sieci Web
86% zagrożeń kierowanych jest do aplikacji Web

Czemu ataki na Web?

Zablokowane inne drogi ataku

Serwery i firewalle są zabezpieczone
Poczta elektroniczna chroniona w miarę skutecznie
Użytkownicy coraz bardziej świadomi ataków z wykorzystaniem poczty

Przeglądarka stała się uniwersalnym narzędziem

Duża część pracy wykonywana w sieci: SaaS
Dodatki i wtyczki poszerzają możliwości ataku

Web 2.0 kuszącym celem ataków

Protokół HTTP pozbawiony jest mechanizmów bezpieczeństwa
Oparty na technologii. Złożoność rodzi niebezpieczeństwo
Celem jest pozwolenie jak największemu gronu użytkowników na dostęp i dostarczanie treści...
niebezpieczne

4

przepisał: Aleksander Śmierciak

Ataki na Web – codzienność

•

Ataki Web Application

•

SQL Injection (#1)

•

Cross Site Scripting (#2)

•

Ataki Web Client

•

Drive-by Downloads

Pamiętacie ataki LulzSec?
Większość ataków nie była DDoS, a SQL Injection

Ochrona przed atakami Web

Rozwiązania XTM

•

Proxy HTTP (Application Layer Content Filtering)

•

Skanowanie zawartości stron w poszukiwaniu malware (GAV)

•

Sygnatury IPS (ogólne sygnatury XSS and SQL Injection)

•

Web Blocker (Kategoryzacja URL)

•

Reputation Enabled Defense (RED)

•

Application Control pomaga w kontroli dopuszczonych aplikacji

XCS

•

Skanowanie zawartości stron w poszukiwaniu Malware (GAV)

•

Kategoryzacja adresów URL

•

Reputation Enabled Defense (RED)

•

Objectionable Content Filtering

•

Możliwości Web DLP

Ochrona działa!

[wyświetlone ostrzeżenia i komunikaty programów]

5

przepisał: Aleksander Śmierciak

Sieci botnetowe propagują Malware

Około 6/1000 PC zarażonych w US
Mniej niż 1/1000 w Japonii
Bot clients (trojany) najczęściej przesyłane dane
Cross-platform botnets (MAC & PC)

Sieci botnet rozrosły się siedmiokrotnie

Niezniszczalny TDL-4 revealed

•

Własne szyfrowanie

•

Zarażony Master Boot Record (MBR)

•

Używa kernel rootkit w celu ukrycia przed AV

•

Wykorzystuj współdzielenie plików P2P Kadmilla

•

Wsparcie dla 64-bitów (działa na 64-bit Windows 7)

•

Moduł Blackhat SEO

•

Wykorzystuje exploity Stuxneta

•

Ciągle ewoluuje!

Zarażonych 4,5 miliona komputerów
Ochrona przed botnetami

Rozwiązania XTM

•

Wielowarstwowa ochrona chroni przed atakami botnet

•

Ochrania przed spamem rozsyłanym przez sieci botnet

•

IPS chroni przed wieloma atakami botnet

•

GAV potrafi wykryć i zablokować klienta sieci botnet

•

…

Zagrożenia mobilne

Coraz więcej zagrożeń mobilnych
Coraz większa sprzedaż smartphone'ów
Ilość malware wzrosła o 46% w 2010 – McAfee

6

przepisał: Aleksander Śmierciak

Najnowsze zagrożenia mobilne

Wysyp Malware na Android Marketplace
Milion smartfonów przejętych w Chinach
Zeus atakuje autentykację SMS
Botnet dla systemu Symbian
Hakowanie RIM Blackberry
PDF Zero day w iOS

Bezpieczna komunikacja mobilna

Zestawienie bezpiecznych kanałów komunikacji z wykorzystaniem SSL, IPSec, L2TP, …

7