túlélés a három betűs rövidítések világában
DESCRIPTION
A modern biztonsági fenyegetések anatómiája, régi módszerek, új megvilágításban. Rendelkezésre álló biztonsági megoldások és ezek problémái. A hagyományos védelmi szemlélet megkérdőjelezése.(Buherátor, méltán híres blogger, BuheraBlog)TRANSCRIPT
Túlélés a Három Betűs Rövidítések világában
Buherátor, Buhera Blog
ADVANCED PERSISTENT THREATS
(Bocsássatok meg ezért a diáért!)
Helyzetjelentés
A támadók módszerei folyamatosan fejlődnek
A védekezés általában >=5 éves módszerekkel történik
Használj AV-t
Használj tűzfalat
???
Nem a valódi fenyegetések ellen védekezünk!
Eredmény
• Google #fail
• Symantec #fail
• EMC/RSA #fail
• Lockheed-Martin #fail
• Illinois EPA BoW #fail
• .no #fail
• Stuxnet #epic #win
• Marriott? :)
Miért érdekeljen ez engem?
…avagy:
Operation Human Shield
Múlt és jelen
• Kiterjedt fenyegetések
• Ismert támadási minták
• Kívülről érkező támadók
• Áldozat -> általános célú rabszolga
• Helyreállítható rendszer
Jelen és jövő
• Célzott támadások
• Ismeretlen támadási minták
• Belülről érkező támadások
• Áldozat -> Jól meghatározott üzleti adatok
• Kritikus veszteségek
Kliens oldali támadások
• Humán faktor
• Számos beviteli csatorna
• CD/pendrive
• WWW / Drive-by-download
• Számos formátum
• Office (Word, PPT, XLS…)
• Flash
• Java
Kliens exploit vs. AntiVirus
• Példa: Operation Aurora, 2009 közepe - 2009 vége
• Célzott támadás technológiai óriáscégekkel szemben
• Google vs. Kína (a WikiLeaks megerősíti a gyanút)
• Google, Adobe, Juniper, Yahoo!, Symantec, Morgan Stanley, stb.
• 0day IE exploit
• A támadás idején nem állt rendelkezésre javítás
• Hogy állunk ma?
• DEMO
Exploit anatómia
• Trigger
• "Stabilizátor" (pl. NOP sled)
• Hasznos teher
• Shellcode
• Decoder
• Stager
Exploitálás a memóriában
• Nem kerül rosszindulatú kód a diszkre
• Fájlkezelő API hookok nem segítenek
• A memória folyamatos monitorozása erőforrás igényes
• Rejtőzködési technikák
• Obfuszkáció / Titkosítás
• Vándorlás
• "Nem hivatalos" modul regisztrációk
• "Az AV elsődleges célja a megelőzés"
Fájlba ágyazott exploit /
Perzisztencia
• Elméletileg jobbak az esélyek a detektálásra!
• PDF + JS = NOGO
• Szokatlan fájlstruktúra
• RWX memóriafoglalások figyelhetők
• Kódemuláció / Sandboxing
Fájlba ágyazott exploit /
Perzisztencia
• Gyakorlatilag…
• Excelbe ágyazott Flashbe ágyazott exploit nem
gyanús… (RSA)
• Az egység sugarú júzer simán kattint EXE-re is
• Erőforrásigényes kódot nincs idő emulálni
• Tervezési hibákkal szemben nehéz heurisztikát
adni
Ha bent vagyunk: rootkitek
Cél: A rendszerszintű jogosultság megtartása +
észrevétlenség
1. Az alkalmazások közvetlenül csak az OS-el
kommunikálhatnak
2. A biztonsági szoftverek alkalmazások
1. && 2. => Ha rendszer szintű kódot tudok futtatni, azt
hazudok a biztonsági szoftvernek, amit akarok!
GAME OVER
Host hardening
lehetőségek
• Windows Vista/7, alternatív OS (nem XP!)
• Adobe Reader X, IE7+
• Microsoft EMET
• Immunity El Jefe
• Teszteléshez: Metasploit
Host hardening
lehetőségek
• Windows Vista/7, alternatív OS (nem XP!)
• Adobe Reader X, IE7+
• Microsoft EMET
• Immunity El Jefe
• Ki vállalja a bevezetést?
Mi lesz most?
A régi iskola hálózati
támadásai • ARP
• "Én vagyok az átjáró!"
• Switching
• "Én vagyok az STP gyökér!"
• CAM flood
• Routing
• "Én mindenhová olcsón szállítok!"
• "Én mindenkit elérek!"
• DHCP
• "Használj engem átjárónak!"
Alapprobléma
Titkosítás
• A titkosítás önmagában nem elég!
• Man-in-the-Middle támadások
• Hitelesítés (és integritás-ellenőrzés) szükséges!
• Alkalmazás-hibáktól nem véd!
• Tapasztalat: Általános az önaláírt tanúsítványok használata
Titkosítás
• Megbízható fél által hitelesített tanúsítvány!
• A tanúsított nem megbízható…
• Cégen belül vagy elismert CA-val
• Szerver hitelesítés kikényszerítése
• Tanúsítvány alapú kliens hitelesítés
• Szinte sehol nem találkozni ilyennel :(
• Rendes kulcs…
Szép álmokat…
Védelem?
• A hálózat alapvetően azért van, hogy használjuk!
• A fertőzött hoszt legitim felhasználója a hálózatnak!
• Fizikai kapcsolat, jelszavak, tokenek, stb.
• Hálózaton kívüli terjesztési csatornák
• Lásd Stuxnet: pendrive
Alapprobléma
Monitorozás
• Betörésfigyelő és –megelőző eszközök (IDS/IPS)
• Snort, Bro IDS, …
• + Logelemzés!
• Előzetes ismeret a rendszerről (protokollok, OS API-k, …)
• Általában mintaalapú működés (+állapotmodell)
• Exploitok
• Tipikus támadási minták (BoF, SQLi, …)
• Amit nem szeretnénk a hálózaton látni
• Jelszó adatbázisok, shell utasítások, stb.
Monitorozás - Korlátok
• Titkosítás
• Üzleti logika
• 0day fenyegetések
• Néhány termék korlátozott 0day védelmet is nyújt
• Teljesítmény
• TCO
MI MARADT KI?
Támadási fázisok eltolódása
Adat kijuttatás
• A támadónak szüksége van az információnkra
• A támadó rootkitje parancsokra vár
• Hogyan valósul meg a kétirányú kapcsolat?
Adat kijuttatás
• Gyakran használt protokollon keresztül
• Elég, ha egy hálózatra kötött gép ki van engedve!
• Titkosítás
• Adatrejtés
• Kép, hang, stb.
• Protokoll szinten
• Közösségi média
Adat kijuttatás - Védelem
• Data Leak Prevention
• "Senki nem visz ki adatot a hálózatból!"
• Security gateway-ek, proxy-k
• TLS végződtetés
• Fehérlistás / reputációs szűrés
• Separation of Duties
• Kritikus feladatokhoz nem elég egy ember hozzáférése
Technológiai jövőkép
• "Mi az ami ártalmas?" -> "Mi az ami engedélyezett?"
• Reputáció alapú osztályozás
• Aggregált tudás
• Konvergencia
Emlékeztető
• A hálózatunkat nem tekinthetjük többé jól őrzött erődítménynek
• A támadók már a spájzban vannak
• Többszintű védelemre van szükség
• Figyeljünk az új technológiákra!
• A régi védelmeket sem dobhatjuk ki az ablakon
• …már ha eddig alkalmaztuk őket
• Fájni fog, de lépni kell!
"Nem az számít, hogy mennyire biztonságos a
rendszered a társaidéhoz képest. Csak az számít, hogy
elég biztonságos-e ahhoz, hogy távol tartsa a támadót."
(Bruce Schneier, 2011.)