przepisał: Aleksander Śmierciak

Bezpieczeństwo systemów informatycznych

Wykład

5 marca 2012

Cyberwojna rozpoczęta

[o walce między hakerami, organizacjami i rządami; Iran i elektrownie atomowe, Stuxnet]

Ataki APT

APT to najpowszechniej znany skrót: Advanced Persistent Threats
Ataki APT wykorzystują bardzo wyrafinowane i nietypowe techniki propagacji zagrożeń
Ataki APT są atakami długotrwałymi i jako takie przez długi czas pozostają w ukryciu
Przeprowadzane są przeciwko dokładnie określonym celom. Nie istnieje przypadkowość w wyborze 

ofiary.

Ataki te są bardzo niebezpieczne, ze względu na bezwzględną skuteczność. Nie liczy się czas, a 

osiągnięty cel.

Ataki na VoIP

Ataki na VoIP są coraz bardziej popularne.
Wynika to z faktu, że technologia ta jest relatywnie nowa.
Technologia ta jest również skomplikowana, co powoduje, że łatwiej jest dokonywać manipulacji.
Powstają   narzędzia   pozwalające   na   automatyczne   przeprowadzanie   ataków,   co   powoduje   ich 

znaczny wzrost.

Protokoły VoIP powstały z zamysłem, że mają działać – a nie że mają działać bezpiecznie. To w  

połączeniu z nieudolną konfiguracją może przyczynić się do wysokiej podatności na ataki.

Wnętrze sieci się kurczy

Coraz większa część sprzętu organizacji jest mobilna.
Powoduje to wyprowadzenie sprzętu, który powinien być chroniony poza centrum sieci.
Centrum   sieci   kurczy   się,   powodując   jednocześnie   konieczność   zapewnienia   w   rozmaitych 

środowiskach.

Konieczność coraz mocniejszego zabezpieczania centrów obliczeniowych i centrów danych, jako że 

dostęp do nich musi być zapewniony z wielu lokalizacji.

1

przepisał: Aleksander Śmierciak

Hakowanie samochodów

Hakerzy zawsze znajdą sposób na zainfekowanie sprzętu (komputery, drukarki, sprzęt sieciowy, 

konsole do gier, samochody – nie są wyjątkiem).

Obecne samochody wykorzystują wiele technologii połączeniowych: Bluetooth, GPS, komunikacja 

3G, komputery pokładowe.

Wykryto już przypadki zarażania komputerów pracujących w samochodach.
Spodziewana jest coraz większa aktywność w tej dziedzinie.

Niebezpieczeństwa Facebook'a

Do tej pory jednym z większych niebezpieczeństw były załączniki mailowe w postaci zarażonych 

plików exe.

Teraz większość ataków pochodzi z sieci www.
Weźmy pod uwagę portal społecznościowy Facebook. Ponad 500 milionów użytkowników, którzy w 

większości ufają sobie nawzajem.

Facebook   staje   się   jednym   z   największych   zagrożeń   sieciowych   ze   względu   na   potencjalne 

zagrożenia wynikające z Web 2.0.

Niebezpieczeństwa Facebook'a

Konieczność zabezpieczania takich portali czy sieci.
Spodziewana jest duża aktywność w najbliższym czasie w tej dziedzinie.
Facebook podjął już współpracę z WebSense w kwestii filtrowania adresów URL.

Malware w fabryce, czy to atak?

Do tej pory fabrycznie nowe urządzenia pozbawione były malware – obecnie brak takiej pewności.
W 2010 byliśmy świadkami wielu przypadków, gdzie fabrycznie nowy sprzęt „wyposażony” był w 

malware.

Spodziewamy się więcej tego typu przypadków.
Nikt   nigdy   nie   dowiódł,   czy   tego   typu   przypadki   faktycznie   były   wypadkiem,   a   nie   celowym 

działaniem producenta sprzętu.

Konieczne skanowanie nowego sprzętu w celu wykrycia malware.

Fabrycznie   nowy   sprzęt   jest   z   góry   uznawany   za   niebezpieczny;   po   jego   otrzymaniu   następuje  

wnikliwa analiza mająca na celu wykluczenie możliwości istnienia złośliwego kodu na nim.

2

przepisał: Aleksander Śmierciak

Ochrona DLP

Obecnie ochrona nie dla spełnienia wymogów, ale przede wszystkim dla ochrony zasobów.
Firmy coraz częściej produkują dobra niematerialne.
Z racji swojej natury dobra niematerialne są trudne do ochrony.
Obecnie w dobie kryzysu wykorzystanie cyfrowych zasobów jako sposobu na zdobycie pieniędzy 

jest bardzo prawdopodobne.

Rozwiązania DLP stają się coraz bardziej popularne.

Wykrywanie coraz bardziej istotne

Ze względu na coraz większą ilość zagrożeń, nawet najlepsze rozwiązania bezpieczeństwa nie są w 

stanie przechwycić i zablokować wszystkich.

Część zagrożeń przedostanie się do wnętrza sieci.
Istotne staje się wykrywanie tego typu sytuacji i dlatego następujące zagadnienia stają się popularne:

•

network visibility

•

identyfikacja zagrożeń znajdujących się w sieci

•

korelacja danych z różnych źródeł

•

pomoc w dochodzeniu

Malware jako usługa

Potrzebujesz nowej aplikacji dla swojego telefonu – po prostu pobierz ją z sieci.
Chcesz obejrzeć najnowszy odcinek ulubionego serialu – po prostu pobierz go z sieci
Chcesz przeprowadzić unikalny atak na witrynę www – po prostu pobierz go z sieci
Chcesz nowego botnet'a – po prostu pobierz go z sieci
Powstają w hackerskim podziemiu witryny na których można kupować szkodliwe oprogramowanie 

jak i informacje o nowych zagrożeniach (zero day).

Problemy z chmurą

Jeden duży provider usług cloudowych
Cenny cel dla przeprowadzanego ataku
Usługodawcy   rozszerzają   swoją   ofertę   także   o   rozwiązania   gwarantujące   bezpieczeństwo 

korzystania z chmury

Usługi cloudowe bazują często na własnych rozwiązaniach web i wirtualizacji
Technologie te są z jednej strony wspaniałe, a z drugiej mogą być potencjalnie niebezpieczne.

3

przepisał: Aleksander Śmierciak

Malware + geolokalizacja

Złośliwe oprogramowanie zacznie wykorzystywać informacje o lokalizacji w celu przeprowadzania 

udanych ataków

Szczególnie kierowane do urządzeń mobilnych
Poznawanie zwyczajów osoby
Kierowanie na złośliwe strony, które przynoszą najlepsze efekty w danym regionie
Big Brother?
Big Business?

Prognozy

[lista   sposobów   zainfekowania   komputerów,   które   cieszą   się   wciąż   zwiększającą   popularnością, 
pokrywająca się z tym, co omawiamy na wykładzie]

Ataki APT

W ogólności ataki Advanced Persistent Threats (APT) s ą bardzo zaawansowanymi tajnymi sposobami 
zdobywania długotrwałej i ukrytej kontroli nad istotnymi politycznie lub biznesowo obiektami.

Zaawansowane:   atakujący   wykorzystują   wyrafinowane   metody   zbierania   informacji   i   ataków   oraz 
technik typu malware.
Długotrwałe: atakujący chcą osiągnąć konkretny cel i gotowi są na to poświęcić wiele czasu. Ukrywają 
swoje ataku jak najdłużej.
Zagrożenie ataki APT przeprowadzane są w dużej mierze przeciwko rządom czy dużym firmom. Z 
reguły doprowadzają do znacznej straty.

Ataki APT w 2010 roku (Operation Aurora)

Incydent „Chinese” Google hacking
Atak celowany (SpearPhishing)
Podatność Zero Day IE pozwala na Drive-by Download
Podobno zaatakowano także 20-30 innych dużych firm
Uzyskany dostęp do serwerów Google Perforce (kod Google'a?)
Prawdopodobnie udało się uzyskać możliwość czytania maili na GMail

4

przepisał: Aleksander Śmierciak

Ataki APT w 2010 roku (Stuxnet)

Stworzone jako USB Malware (LNK/PIF)
Kod malware zawierał:

•

Cztery ataki typu Zero Day!

•

Zaszyfrowany kanał C&C

•

Aktualizacje P2P w sieci LAN

•

Kod ukrywania przed AV/FW

•

Windows rootkit

•

Używał poprawnych (skradzionych) cyfrowych podpisów

•

PLC rootkit

Mocno celowany (szuka konkretnego oprogramowania Siemens SCADA)
Przeprogramowywał Industrial Control Systems (ICS) – kontrole pompy, wirówki, turbiny
Skierowany przeciw Iranowi

Ataki APT w 2011 roku (Duqu)

Wykorzystuje mechanizmy podobne do Stuxneta.
Wykryty rzez programy antywirusowe jako Stuxnet
Instaluje się jako podpisany cyfrowo driver korzystający z wykradzionego klucza prywatnego
Służy do wykradania kluczy prywatnych, które mogą być wykorzystane do kolejnych ataków
Działa na komputerze ofiary 36 dni.
Wykorzystuje   błąd   w   bibliotece   T2EMBED.DLL   w   silniku   obsługi   fontów   TTF   w   systemie 

Windows

Podejrzewa się, że mógłby być stworzony przez twórców Stuxneta.

Duqu miał być narzędziem przygotowującym zainfekowane urządzenie do przyjęcia innych wirusów.  

Po 36 dniach sam się odinstalowywał.

Czy ataki APT dotyczą nas?

Konsekwencje ataków spływają w dół
[zabawny obrazek]

„Super” Malware

5

przepisał: Aleksander Śmierciak

Ochrona przed atakami APT

Defense-in-Depth pomaga blokować ataki APT
„Visibility tools” pomagają w wykrywaniu i reakcji
Dodatkowe usługi bezpieczeństwa oferują nowe możliwości ochrony

Ataki VoIP

Dlaczego atakować VoIP

Brak standardu
Niebezpieczne protokoły
Skomplikowana technologia
Ciągle relatywnie nowa technologia
Cenne ofiary

Problemy z bezpieczeństwem VoIP

Słabości protokołów VoIP (tradycyjne standardy pozbawione szyfrowania i autentykacji).
Generalnie ataki VoIP podobne są do ataków na pocztę, lecz grożą większymi konsekwencjami.
Błędy w konfiguracji (słabe hasła, domyślne ustawienia, brak kontroli dostępu).
Typowe problemy (VoIP DoS, directory harvesting, session hijacking, toll fraud).

Wzrost skanowania VoIP

[wykres przedstawiający liczbę ataków na VoIP przez port 5060 w roku xyz, w którym liczba urządzeń, 
z których skanowano port wzrosła dziesięciokrotnie w ciągu miesiąca. Źródło: Internet Storm]

Prawdopodobnie z powodu nowego publicznego narzędzia, pozwalającego na atakowanie protokołu  
SIP (SIP Vicious).

6

przepisał: Aleksander Śmierciak

Ochrona przed atakami VoIP

Kontrola dostępu
Proxy VoIP

•

pomaga, gdy stosowany jest NAT

•

ogranicza liczbę kodeków

•

ogranicza zakres adresów IP

•

chroni przed directory harvesting

•

ogranicza ilość sesji (ochrona przed DoS)

•

ukrywa aplikacje użytkowników

•

ukrywa topologię

Niebezpieczne linki Facebooka

[na następnym wykładzie zostanie dokończone]

7