6.03.2012
QQS, Turbox
BSI wykład 2
Trendy i prognozy w bezpieczeństwie
- kwestia ciągłej przepychanki między nowymi zagrożeniami a walką; firmy tworzą software i hardware żeby zabezpieczyć, hakerzy starają się to ominąć.
Cyberwojna rozpoczęta
od dawna wiadomo, że hakerzy przeprowadzają ataki na rządy, czy instytucje rządowe.
Nie trudno domyśleć się, że w najbliższej przyszłości sytuacja również odwróci się i rządy zaczną w ten sposób walczyć z przestępcami.
Przykładem tego typu walki może być robak Stuxnet.
Robak ten nakierowany jest na walkę z Irańskim przemysłem wzbogacania uranu w celu tworzenia broni nuklearnej.
„Systemy bezpieczne - reakcja na powstałe zagrożenia (rzadko inaczej)
- hakerzy atakują tych „dobrych”, np. strony rządowe; koło 2000 roku ataki się zaczęły – bankructwo wielu firm o adresach kończących się na .com; obecnie obserwuje się odwrotne zjawisko – „dobrzy” atakują „złych”, ale zdarza się, że „dobrzy” walczą między sobą, np. robak Stuxnet, by walczyć z Irańskim przemysłem unieszkodliwiania Uranu.”
Ataki APT
APT to najpowszechniej znany skrót: Advanced Persistent Threats.
Ataki APT wykorzystują bardzo wyrafinowane i nietypowe techniki propagacji zagrożeń.
Ataki APT są atakami długotrwałymi i jako takie przez długi czas pozostają w ukryciu.
Przeprowadzane są przeciwko dokładnie określonym celom. Nie istnieje przypadkowość w wyborze ofiary.
Ataki te są bardzo niebezpieczne, ze względu na bezwzględną skuteczność. Nie liczy się czas, a osiągnięty cel.
zasada – nieważne koszty, ale osiągnięcie celu; cel musi zostać osiągnięty
brak przypadkowości w wyborze ofiary – wybierane konkretne organizacje, atak konsekwentny
wykonanie nietypowych technik propagacji zakończenia
cechy: długotrwałe, delikatne; z firmy wyciekały dane w postaci drobnych pakietów
początkowo robi się rekonesans – kto, co i jak, znalezienie słabych punktów itd.
Hakerzy chcą jak najdłużej korzystać z ofiary
Ataki na VoIP
Ataki na VoIP są coraz bardziej popularne.
Wynika to z faktu, że technologia ta jest relatywnie nowa.
Technologia ta jest również skomplikowana, co powoduje, że łatwiej jest dokonywać manipulacji.
Powstają narzędzie pozwalające na automatyczne przeprowadzanie ataków, co powoduje ich znaczny wzrost.
Coraz bardziej popularne
Technologia nowa, wiele firm w tym działa, niekoniecznie bezpieczne rozwiązanie
Skomplikowany (mnogość protokołów), narażone na niebezpieczeństwo
Powstają narzędzia do ataków – wynika z konfrontacji
Wnętrze sieci się kurczy
Coraz większa część sprzętu organizacji jest mobilna.
Powoduje to wyprowadzanie sprzętu, który powinien być chroniony poza centrum sieci.
Centrum sieci kurczy się, powodując jednocześnie konieczność zapewniania w środowisku.
Konieczność coraz mocniejszego zabezpieczania centrów obliczeniowych i centrów danych, jako że dostęp do nich musi być zapewniony z wielu lokalizacji.
Przeznaczenie sieci informatycznej zmienia charakter, do niedawna pracownicy firm pracowali na komputerach firmowych kontrolowanych w wewnętrznej sieci; dziś liczy się głównie mobilność – dostęp do chronionych zasobów – praktycznie do chronionych zasobów można się połączyć z dowolnego miejsca; identyfikacja na tożsamości, a nie numerze ip
Hakowanie samochodów
Hakerzy zawsze znajdą sposób na zainfekowanie sprzętu (komputery, drukarki, sprzęt sieciowy, konsole do gier, samochody – nie są wyjątkiem).
Obecne samochody wykorzystują wiele technologii połączeniowych: Bluetooth, GPS, komunikacja 3g, komputerowe pokładowe.
Wykryto już przypadki zarażania komputerów pracujących w samochodach.
Spodziewana jest coraz większa aktywność w tej dziedzinie.
Hakuje się też drukarki, nowe samochody; firmy pracują nad nowym protokołem – do samochodu przynosimy różne urządzenia mobilne łączące się z komputerem samochodu; niebezpieczeństwo – tzw „punkty wspólne” (np. kontrolka), może wyświetlać błędne komunikaty – zagrożenie
Obecnie pedał gazu nie jest połączony bezpośrednio z silnikiem. Po naciśnięciu pedału gazu przesyłane są ramki; obecnie trwają pracę nad likwidacją mechanicznego układu elektronicznego (tańsze rozwiązanie, lżejszy pojazd ); dążenie do likwidacji elementów mechanicznych;
Niebezpieczeństwa Facebook'a
Do tej pory jednym z większych niebezpieczeństw były załączniki mailowe w postaci zarażonych plików exe.
Teraz większość ataków pochodzi z sieci www.
Weźmy pod uwagę portal społecznościowy Facebook. Ponad 500 milionów użytkowników, którzy w większości ufając sobie nawzajem.
Facebook staje się jednym z największych zagrożeń sieciowych ze względu na potencjalne zagrożenia wynikające z Web 2.0.
Konieczność zabezpieczania takich portali czy sieci.
Spodziewana jest duża aktywność w najbliższym czasie w tej dziedzinie.
Facebook podjął już współpracę z WebSense w kwestii filtrowania adresów URL.
Wiele milionów userów skupiają różne portale społeczności owy; niech 1% zrobi coś głupiego, tam hakerzy wysyłają zagrożenia, rozpowszechniają się wirusy i inne; przykładowo u8mieszczenie krótkiego linku wcale nie daje gwarancji bezpieczeństwa, że treść tam zawarta jest bezpieczna; 20% linków – złośliwe oprogramowanie
Do niedawna poczta elektroniczna była zagrożeniem, ale użytkownicy są już nauczeni, że należy uważać; prościej przez protokół WWW; system ochrony poczty się rozwinął
Websense – sprawdza, czy adres jest bezpieczny, mają stosowne narzędzia
Malware w fabryce, czy to atak?
Do tej pory fabrycznie nowe urządzenia pozbawione były malware – obecnie brak takiej pewności.
W 2010 byliśmy świadkami wielu przypadków, gdzie fabrycznie nowy sprzęt „wyposażony” był w malware.
Spodziewamy się więcej tego typu przypadków.
Nikt nigdy nie dowiódł, czy tego typu przypadki faktycznie były przypadkiem, a nie celowym działaniem producenta sprzętu.
Konieczne skanowanie nowego sprzętu w celu wykrycia malware.
Niebezpieczeństwo, bo user myśli, że nowy sprzęt jest bezpieczny, a tak naprawdę nie do końca; może być zarażony przez przypadek lub producent z premedytacją to zrobił, np. żeby klient jeszcze coś kupił; obecnie nowy sprzęt – testy bezpieczeństwa
Ochrona DLP
Obecnie ochrona nie dla spełnienia wymogów, ale przede wszystkim dla ochrony zasobów.
Firmy coraz częściej produkują dobra niematerialne.
Z racji swojej natury dobra niematerialne są trudne do ochrony.
Obecnie w dobie kryzysu wykorzystanie cyfrowych zasobów jako sposobu na zdobycie pieniędzy jest bardzo prawdopodobnie.
Rozwiązania DLP stają się staną się coraz bardziej popularne.
Chodzi o ochronę systemu, przed przeciekiem informacji; zabezpieczenie cennych informacji
Dwa rozwiązania:
Na każdej stacji roboczej
Analiza ruchu sieci (wszystko przesyłane; skąd, dokąd, czytanie treści dokumentów, czyt. Zwrot. Do wyrażania reguł
Lista płac – trzeba zaszyfrować np. dział płac
Chroni przed błędami pracownika (zły adres mail czy błędny plik)
Urządzenie sprawdzające dane
Wykrywanie coraz bardziej istotne
Ze względu na coraz większą ilość zagrożeń, nawet najlepsze rozwiązania bezpieczeństwa nie są w stanie przechwycić i zablokować wszystkich.
Część zagrożeń przedostanie się do wnętrza sieci.
Istotne staje się wykrywanie tego typu sytuacji i dlatego następujące zagadnienia stają się popularne:
Network visibility
Identyfikacja zagrożeń znajdujących się w sieci,
Korelacja danych z różnych źródeł,
Pomoc w dochodzeniu
Zabezpieczenia nie są idealne, czasami przez przypadek wykrywane są nowe zagrożenia; chroniąc się przed userami chronimy się przed innymi;
Dlaczego pirackie oprogramowanie jako program + crack
Wolno pisać cracki, nie wolno ich uruchamiać, bo według prawa my za to odpowiadamy
Najczęściej ktoś kto robi cracki ma złe zamiary i chodzi mu o rozpowszechnienie złego oprogramowania
O ile za pobieranie nie grożą sankcje, o tyle przesyłanie plików jest karalne (gdy pracownik ściągnie coś nielegalnego, konsekwencję ponosi firma)
Malware jako usługa
Potrzebuje nowej aplikacji dla swojego telefonu – po prostu pobierz ją z sieci.
Chcesz obejrzeć najnowszy odcinek ulubionego serialu – po prostu pobierz go sieci.
Chcesz przeprowadzić unikalny atak na witrynę www – po prostu pobierz go z sieci.
Chcesz nowego botnet'a – po prostu pobierz go z sieci.
Powstają w hacker'skim podziemiu witryny na których --- nie kompletne ----
Serial z sieci sobie pobieramy, chcesz nowy atak – musisz za to zapłacić (analogia jak w sklepie); duża skuteczność, nigdzie nie użyte wcześniej
Problemy z chmurą
Jeden duży provider usług cloud'owych
Cenny cel potencjalnego ataku.
Usługodawcy rozszerzają swoją ofertę także o rozwiązania gwarantujące bezpieczeństwo korzystania z chmury.
Usługi cloud'owe bazują często na własnych rozwiązaniach web i wirtualizacji.
Technologie te są z jednej strony wspaniałe a z długiej mogą być potencjalnie niebezpieczne.
Problem wirtualizacji, biznesowe firmy przechodzą na system cloudowy; jest on ułomny i mało-skuteczny, trzeba go chronić. Najbardziej znany – Amazon
Masowa wirtualizacja – na początku trzeba dużo wydać funduszy, ale potem się to zwraca
Bezpieczeństwo dla wirtualizacji
Przez lata stosowania technologie wirtualizacyjne stały się technologiami dojrzałymi.
Ze względu na ich zaawansowanie (i wynikającą z tego prostotę stosowania) oraz aspekt ekonomiczny, technologie wirtualizacyjne będą stosowane przez wszystkie organizacje.
Organizacje niewielkie będą jednak miały problemy z ich poprawnych zabezpieczeniem
Potrzebne są wirtualne systemy bezpieczeństwa.
Watchguard -> system, możesz zainstalować na komputerze, a on zastąpi wiele urządzeń (czyli program zastępuje urządzenia)
Rozwiązanie klasy BLP
System wirtualny – taki sam poziom bezpieczeństwa jak dla fizycznych systemów (urządzeń)
Malware + geolokacja
Złośliwe oprogramowanie zacznie wykorzystywać informacje o lokalizacji w celu przeprowadzania udanych ataków.
Szczególnie kierowane dla urządzeń mobilnych.
Poznawanie zwyczajów osoby.
Kierowanie na „złośliwe” strony, które przynoszą najlepsze efekty w danym regionie.
Big Brother?
Big Business?
Coraz częściej złośliwe oprogramowanie – atak GPS
Przykład: jesteś na Podchorążych i dostajesz sms-a od „operatora”, że w okolicy są problemy z siecią; uwiarygodnienie (korzysta się ze zwyczajów danej osoby)
Ataki APT
W ogólności ataki Advanced Presistent Threats(APT) są bardzo zaawansowanymi tajnym sposobami zdobywania długotrwałej i ukrytej kontroli nad istotnymi politycznie lub biznesowo obiektami.
Zaawansowane: Atakujący wykorzystują wyrafinowanych metod zabierania informacji i ataków oraz technik typu malware.
Długotrwałe: Atakujący chcą osiągnąć konkretny cel i gotowi są na to poświęcić wiele czasu. Ukrywają swoje ataki jak najdłużej.
Zagrożenie: atakują głównie za większe cele rządy, duże organizacje.
Bezwzględne działanie
Ataki zaawansowane, długotrwałe, najczęściej przeciw organizacjom i rządom czy też przeciw jednostce, na której można wiele zyskać
Cele: zysk $$, polityczny, religijny, mania
Przykład: operacja Aurora – przeciw chińskiemu Gogolowi, spektakularny atak
Incydent „chinese” Google Hawking Podatność zero day |
Atak celowany (spear phishing) |
|---|---|
| IE pozwala na Driveby Down | 30 innych dużych firm |
| Wystarczy dostęp do serwisu Google perforce (kod google’a) | Prawdopodobnie udało się uzyskać możliwość czytania maili na gmail’u |
Ataki APT w 2010 roku (Stuxnet)
Stworzone jak USB Malware(LNK/PIF)
Kod malware zawierał:
Cztery ataki typu 0day!!!. (wykorzystał łącznie 4 dziury w oprogramowaniu)
Zaszyfrowany kanał C&C.
Aktualizacje P2P w sieci LAN.
Kod ukrywania przed AntyVirusami / Firewall.
Windows rootkit.
Używał poprawnych (skradzionych) cyfrowych podpisów.
PLC rootkit. (instalował się na konkretnym urządzeniu Siemens-a, czysto przemysłowy robak; przeciw poszczególnym elementom, zaburzał np. prędkość kręcenia się wirówki o 2%)
Mocno celowany (szuka konkretnego oprogramowania Siemens SCADA).
Przeprogramowywał Industrial Control Systems (ICS) – kontroluje pompy, wirówki, turbiny!
Skierowany przeciw Iranowi - zadaniem było zaburzyć proces wzbogacenia uranu.
Ataki APT w 2011 roku (Duqu)
Wykorzystuje mechanizmy podobne do Stuxnet'a.
Wykryty przez programy antywirusowe jako Stuxnet.
Instaluje się jako podpisany cyfrowo driver korzystający z wykradzionego klucza prywatnego.
Służy do wykradania kluczy prywatnych, które mogą być wykorzystane do kolejnych ataków.
Działa na komputerze ofiary 36dni.
Wykorzystuje błąd w bibliotece T2EMBED.dll w silniku obsługi fontów TTF w systemie Windows.
Podejrzewa się, że mógł być stworzony przez twórców Stuxnet'a.
Kiedy wykryto zagrożenie myślano, że to Stuxnet, ale okazało się, że program miał nieco inny kod; wirus wykradał klucze do podpisów cyfrowych i przesyłał je do jakiejś lokalizacji; instalował się na 36 dni i potem się usuwał; wykorzystywał błąd w bibliotece T2EMBED.dll; o ile Duqu powstał w listopadzie, o tyle Microsoft w grudniu postanowił wyłączyć bibliotekę.
Ochrona przed atakami APT
Defense-in-Depth pomaga blokować ataki APT.
„Visibility tools” pomagają w wykrywaniu i reakcji.
Dodatkowe usługi bezpieczeństwa oferują nowe możliwości ochrony.
Nie da się w całości ochronić
Czy ataki ATP dotyczą także i nas?
Konsekwencje ataków na różne organizacje spływają w dół. ATP nie atakuje bezpośrednio nas, ale pośrednio już tak – przykład: bank
Bot PDL4 – „super malware” , modyfikuje się wciąż, długo był nie wykryty
Dlaczego atakować VoIP?
Brak standardu
Niebezpieczne protokoły
Skomplikowana technologiami
Ciągle relatywnie nowa
Cenne ofiary
Problemy z bezpieczeństwem Voip
Słabość protokołu (tradycyjne standardy pozbawione szyfrowania i autentykacji).
Błędy w konfiguracji (słabe hasła, domyślne ustawienia, brak kontroli dostępu).
Typowe problemy (VoIP DoS, directory harvesting, session hijacking)
Generalnie ataki VoIP podobne są do ataków na poczty lecz grożą większymi konsekwencjami.
W sieci pojawił się program umożliwiający włamanie się do innego komputera (ataków – SIP VICIOUS), początkowo był wzrost zainteresowania, ale potem zmalał; Prawdopodobnie z powodu nowego publicznego narzędzia pozwalającego na atakowanie protokołu SIP (SIPVicious).
Ochrona przed atakami VoIP
Kontrola dostępu
Proxy VoIP
Pomaga gdy stosowany jest NAT.
Ograniczna liczbę codec'ów.
Ogranicza zakres adresów IP.
Ochrania przed directory harvesting.
Ograniczona ilość sesji (ochrona przed DoS).
Ukrywanie aplikacji użytkowników.
Ukrywa topologię.
Jak zobaczyć, czy na Linuxie są rootkity?
Loga systemowe – najczęściej znikają, otwierają linki zewnętrzne
Usługi na naszej maszynie, np. serwer ssh, to nie pojawia się tam proces w liście procesów, by pliki nie były widoczne; podmieniane polecenia systemowe -> MDE, analiza spójności dla SO, dla plików binarnych, sumy porównania tego co było po zainstalowaniu systemu