Hungarian Cyber Security Package - Óbudai...
36
Informatikai rendszerek sérülékenység-vizsgálata 2013. május 8. Dolánszky György KÜRT Zrt. Az informatikai biztonság speciális témakörei Hungarian Cyber Security Package
Transcript of Hungarian Cyber Security Package - Óbudai...
Informatikai rendszerek
sérülékenység-vizsgálata
2013. május 8.
Dolánszky György KÜRT Zrt.
Az informatikai biztonság speciális témakörei
Hungarian Cyber Security Package
2
MIRŐL LESZ SZÓ
o Fogalmak
o Mi motiválja a hackereket?
o Kockázatok - következmények, esettanulmányok
o Sérülékenység-vizsgálat célja, módszerei, eszközei
o Vizsgálat lépései
o Eredmények: kockázatok értékelése, prezentálása
o Gyakori hibák, javaslatok
o Hackerek eszközei
o Összefoglaló
3
FOGALMAK
Sérülékenység (vulnerability) – Biztonsági rés, mely
kihasználásával a támadó magasabb jogosultsági szintet
érhet el. Ezáltal a kompromittált rendszer bizalmassága,
sértetlensége, rendelkezésre állása sérül. • Gyenge jelszó
• Sérülékeny OS, DB, alkalmazás
• Jogosultság beállításának hibája
• Titkosítás hiánya vagy hibája
• Alkalmazás szintű hibák bevitel ellenőrzésének hiánya
logikai hibák
hitelesítési hibák
• Átverhető / hanyag felhasználók
4
FOGALMAK
Exploit – program mely egy alkalmazás / rendszer
gyengeségét, sérülékenységét aknázza ki
0-day sérülékenység – még nem publikált
sérülékenység Zero-day exploit
Sebezhetőségi ablak – a biztonsági rés megtalálása és
annak javítása közötti idő
Patch – Biztonsági javítócsomag
Spear phishing – személyre szabott adathalászat
5
FOGALMAK
Hacker – verA: Határokat kereső informatikus (+)
verB: Illegálisan tevékenykedő személy (-)
Ethical hacker – munkája az IT rendszerek
biztonságának növelése, célcégtől megbízása van (+)
Cracker – Illegálisan próbál hozzáférést szerezni
informatikai rendszerekhez (-)
White Hat – Ez a munkája… (+)
Gray Hat – Offenzív módszerekkel szerez információkat
Black Hat – Illegális tevékenységet folytat
Script kiddie – Használja az eszközöket, de nem ismeri
Hacktivist – Törvényes keretek között gyűjt információt
6
HACKEREK MOTÍVÁCIÓJA
Pénzszerzés
Gazdasági / verseny előny szerzése
Hírszerzés, ipari kémkedés
Politikai
Vallási
Bosszú
Jogosulatlan adat megváltoztatás, törlés
Rémhírterjesztés
Lázadás, tiltakozás
Kihívás, ego
7
KOCKÁZATOK - KÖVETKEZMÉNYEK
Akik nem figyeltek a kockázatokra - kompromittált cégek:
Nemzetközi Valutaalap (IMF), Sony, Citigroup
EMC – RSA, Lockheed Martin, Mitsubishi
NASA, Reuters, Saudi Aramco, Facebook
Görög állampolgárok adatai (8M), LinkedIn (6M)
Iráni urándúsító rendszerek
Statisztikai adatok:
Naponta 3 millióan kattintanak kártékony hirdetésre
Minden 290. e-mail fertőzött (0,35%)
Magyarországon naponta 10 laptopot lopnak el
8
STUXNET
Professzionális célzott támadás iráni urándúsító
létesítmények ellen (2009-2010)
9
STUXNET, DUQU, FLAME és ?
DUQU (2010. dec? - 2011. szeptember, BME CrySyS labor)
Preparált Word dokumentummal terjed és egy
Windows-os 0-day sebezhetőséget használ ki
Adatokat gyűjt és küld
Késleltetve aktiválódik, 36 nap után törlődik
FLAME / sKyWIper (2007. dec? - 2012. május, 20MB!)
Univerzális, konfigurálható terjedési módok
Moduláris, saját adatbázissal, tömörítéssel, titkosítással
Adatokat gyűjt és küld (karakterek, képernyő, hang…)
10
STUXNET, DUQU, FLAME és ?
Teamspy (2004 ? - 2013, BME CrySyS labor)
Magyar, EU, NATO és Orosz kormányzati, ipari és
kutatóintézetek számítógépeiről gyűjt adatot
Távfelügyelethez az ingyenes TeamViewert használja
Miniduke (2013 ? - 2013, BME CrySyS labor)
Adobe Acrobat Reader-ben levő hibát kihasználva PDF
dokumentummal terjed
Magyar, EU kormányzati célpontokat támadott
Professzionális eszközök szofisztikált támadásokhoz
11
SÉRÜLÉKENYSÉG-VIZSGÁLAT
Az IT biztonságára
fordított összeg
Biztonsági szint
Biztonsági rés Sérülékenység-vizsgálat a
teljes informatikai biztonsági
vizsgálat része
Célja az informatikai rendszer biztonságának,
sérthetetlenségének vizsgálata
Mint minden kockázat-feltáró projekt, a feltárt biztonsági
rések javításával éri el a kívánt eredményt, a magasabb
biztonsági szintet, biztonságosabb működést.
12
MÓDSZEREI
B l a c k - box – jogosultság nélkül
G r e y - box – user jogosultsággal
W h i t e - box – admin jogosultsággal
I n f r a s t r u k t ú r a
A l k a l m a z á s (OS, DB, App)
Internet
GSM/3G
Wi-Fi Belső
DMZ
Social
Engineering
e-mail / Web
telefon
személyes
13
MOBIL-KOCKÁZAT
3 billió aktív SIM kártya
Okostelefonok terjedése
Fizikai védelmi vonalak elmosódtak
Mire képesek a mobilvírusok?
• Telefont használhatatlanná teheti
• Emeltdíjas hívásokat / SMS küldést generál (pl. GameSat,
BadNews/AlphaSMS – Android)
• Adatokat küld (címlistát, híváslistát, képeket, jelszavakat, pl.:
GingerMaster – Android 2.3, Kína, BadNews)
• Távirányítást tesz lehetővé (botnet)
• Banki tranzakciók adatait irányíthatja át (pl. SpyEye Spitmo – Android, Symbian, BlackBerry, PC; Shylock)
14
VIZSGÁLAT SZAKASZAI
Sérülékenység-vizsgálat szakaszai:
1. Előkészítés ajánlat, szerződés, scope, mit, hogyan
2. Végrehajtás egyeztetés, mit ne, mit külön,
infógyűjtés, scan, kézi vizsgálat, stb., bizonyítékok
kockázat értékelése, hamis pozitív?
3. Következtetés riportok, egyeztetetés, átadás
(Preparation, Conduct, Conclusion)
15
HACKER LÉPÉSEI
1. Információgyűjtés (passzív / aktív)
2. Felhasználónevek, megosztások keresése, ping,
DNS Zone Transfer
3. Szkennelés (szolgáltatások, OS, DB, SW verziók, alap
jelszavak, sérülékenységek)
4. Hozzáférés szerzése
5. Szerzett jogosultság fenntartása
6. Motiváció szerinti tevékenység
7. Nyomok eltüntetése
(Reconnaissance, Footprinting, Enumeration, Scanning,
Gaining Access, Maintaining Access, Covering tracks phase)
16
VIZSGÁLAT EREDMÉNYE
Kiemelt kockázatok azonnali jelzése
Eredmények összefoglalása - jelentés
Részletes hibalista és megoldási javaslatok
Mellékletek - Vizsgálat során készült riport állományok,
hozzáférések igazolására készült képernyőmentések,
DVD lemezen – Titkosítva!
Prezentáció(k):
Vezetőknek
Informatikusoknak
17
VIZSGÁLAT EREDMÉNYE
Jelentés tartalma
Vezetői összefoglaló: cél, eredmények összefoglalása,
üzleti és informatikai kockázatok (tömören, de konkrétan)
Talált kockázatok ismertetése Kategória
Kockázat mértéke (magas / közepes / alacsony)
Felmérési állapot (konkrétan!!!)
Kockázat (informatikai -> üzleti)
Javaslat
Módszertan
Résztvevők adatai
Mellékletek
18
VIZSGÁLAT EREDMÉNYE
Rövidtávon
megoldandó
Középtávon
megoldandó
Hosszútávon
megoldandó
Magas prioritású
hibák
Jelszavak
cseréje,
vírusvédelem
javítása
Alkalmazások
verzió frissítése
Közepes
prioritású hibák
Jogosultságok
szigorítása,
megosztások
ellenőrzése
Nem titkosított
protokollok,
programok
cseréje
Hálózati forgalom
titkosítása
Alacsony
prioritású hibák
Egyéb hibák, a
részletes
hibalista alapján
Felhasználók
biztonsági
tudatosságának
növelése
Hibajavítások
ellenőrzése,
felülvizsgálat
Security Hotfix-ek
telepítése
Javaslatok átadásának módszerei
19
VIZSGÁLAT EREDMÉNYE
Javaslatok átadásának módszerei – ellenőrzőlista (xls)
Feladat, Hivatkozás, Prioritás, Felelős, Költség,
Időigény, Kezdés, Határidő, Készültség
I. Rövidtávú intézkedések
Gyenge jelszavak, SNMP community string-
ek használatának megszüntetése.
Jelszavak minőségének feljavítása
szabályzás és technikai kényszer által
3.1.5,
3.2.2.1,I XY alacsony
II. Középtávú intézkedések
Titkosítás nélküli protokollok kiváltása,
megszüntetése (SQL, telnet, FTP, HTTP,
POP3, SNMP).
3.2.1.6 II közepes
III. Hosszútávú intézkedések
Hálózati topológia átalakítása 3.2.1.5 II magas
Dolgozók informatikai biztonsági
tudatosságának fejlesztése.összes II alacsony
20
MEGOLDÁSI LEHETŐSÉGEK
Mit tehetnek a gyártók, szolgáltatók?
Biztonságos eszközöket kell gyártani
(Van akinek ez túl jól sikerült? Pl. RIM BlackBerry)
Szolgáltatók rendszerei?
Mit tehetnek a felhasználók, cégek?
Biztonságos kommunikációt, adattárolást kell kialakítani (VPN, jó jelszavak/egyszer használható jelszavak (OTP), titkosítás,
szabályozás és a biztonsági tudatosság fejlesztése)
Jelszókezelés (rendszerek kényszerítsék ki)
Patch management (gyorsan, de tesztelés után)
Sérülékenység vizsgálat, kockázatelemzés
21
MEGOLDÁSI LEHETŐSÉGEK
Mit tehetünk mi?
Jelszavak (hosszú, de könnyen megjegyezhető, OTP)
Rendszeres operációs rendszer és alkalmazás frissítés
Anti-vírus szoftver
Személyes tűzfal
Csak megbízható, titkosított Wi-Fi
Böngészés: https
Alkalmazás telepítése - biztosan kell?
Bluetooth, Wi-Fi kapcsolat megosztása
Backup
Milyen böngészőt használjunk?
22
MEGOLDÁSI LEHETŐSÉGEK – WI-FI
Biztonságos vezeték-nélküli hálózat
Wi-Fi beállítások / Biztonság
Nyílt – Ne
WEP – Ne (Wired Equivalent Privacy, 1997 / 2001)
WPA-PSK – Ne (Wi-Fi Protected Access, 2003 / 2008)
WPA2 – Igen (AES, 2004 / 2012)
WPS – Igen (Wi-Fi Protected Setup)
Bonyolult jelszavak! – Igen
Teljesítmény:
Csatornaütközés, interferencia? – Ne (pl. mikrohullámú sütő…)
23
HACKER ESZKÖZEI
Footprinting:
Sam Spade – ping, traceroute, whois, finger...
Visual Route – show the path that data takes through
the internet
nslookup – e.g. Set type=mx will only return mail server
info for the domains
Edgar (www.sec.gov) – maintains a database on all
publicly traded companies
Interneten, www.google.com
24
HACKER ESZKÖZEI
Scanning:
nmap – free network port scanner
Nessus – free and commercial network security scanner
Retina – commercial network security scanner
LanGuard – vulnerability scanner
Netcraft & Whois are passive scanning tools
NetCat – “nc –v –z –w2 192.168.1.1 1-80”
THC-Scan (The Hacker Choise) – full featured
phone/fax scanner, used on phone lines
TBA – war dialer for PalmPilot
25
HACKER ESZKÖZEI
Enumeration:
NBTstat – Protocol statistics, NETBIOS info
NBTScan – NETBIOS Network Name Scanner
Enum – exploit a NETBIOS share
SNScan by Foundstone – SNMP network scanner
Solarwinds IP Browser – SNMP enumeration tool
SNMPUtil – SNMP enumeration tool (Win2000 reskit)
26
HACKER ESZKÖZEI
Session Hijacking:
Juggernaut – network sniffer (could use keywords)
TTY-Watcher – Sun Solaris - hijack sessions on LAN
only
IP Watcher / T-Sight – hijack sessions on LAN/WAN
Hunt - listen, intercept, hijack TCP sessions, ARP
poisoning
Ettercap – ARP poisoning
BackTrack – Penetration Testing Distribution (LiveCD)
27
HACKER ESZKÖZEI
Hacking Web Servers:
IISxploit.exe – tools for directory traversal
Brutus – crack with dictionary or brute force attacks
Burp intruder – automated web site attacker
Burp proxy – MITM between web client and server
Wget – download (entire) contents of a website
Munga Bunga – brute force attack on any HTML form
MS IIS Basic Authentication – Base64 encoded pw ~
clear text
MS Digest Authentication – pw never send over the net
28
HACKER ESZKÖZEI
SQL hacking tools:
SQLDict – SQL dictionary and brute force attack
SQLExec – enables to run remote commands
SQLbf – SQL server password auditor
SQLSmack – perl script for remote command
OSQL – tool to perform ODBC commands
SQL2.exe – SQL buffer overflow tool
SQLPing – GUI ping for SQL servers
AppDetective – vulnerability scanner for SQL
NGS SQLCrack – pw auditing, vulnerabilities scanner
29
HACKER ESZKÖZEI
Evading firewall:
Firewalk – is a way disguise a portscan
Fragrouter – take IP traffic and fragments
Mendax – Tool to evade an IDS
SideStep – IDS evasion tool
NIDSBench – IDS tester
Spector – honeypot
SmokeDetector – honeypot
BigEye – honeypot
HoneyPot Hunter – tool to find honeypots
30
HACKER ESZKÖZEI
Wi-Fi hacking:
NetStumbler – WLAN scanner, WLAN AP locator (régi)
InSSIDer – WLAN scanner, WLAN AP locator
PrismStumbler – WLAN scanner, WarDriving
WallenReiter – WLAN network discovery tool
AiroPeek – Wireless sniffer and protocol analyzer
AirSnort – WLAN sniffering, WEP key cracker
AirSnarf – rogue access point to steal username and pw
AirSniff – sniffs out encryption keys
KisMet – wireless network detector, packet decoder
DriftNet – shows images going across the network
31
HACKER ESZKÖZEI
Physical security:
Piggybacking is the method of following employees into
a secure area while the door open
Shoulder surfing is looking over someone’s shoulder
while typing
Man trap is a cage or a segregated area that people
must walk through
Warded lock – can be easily picked
Combination lock – do not utilize a key
Tumbler lock – with tumblers
32
HACKER ESZKÖZEI
Social Engineering:
Reciprocation – főnök kérésére adja meg a jelszót…
Liking – complimenting her (People like people who like
them…)
Social Validation – már mindenki más megadta a
felhasználónevét és jelszavát
Road apple – CD / USB drive are left at the office
Reverse social engineering – sabotage, advertising,
assisting
Spear phishing – személyre szabott adathalászat
33
INFORMÁCIÓ FORRÁSOK
Top 10 sérülékenység:
www.sans.org/top-cyber-security-risks/
www.qualys.com/research/top10/
Ön-ellenőrzés: Secunia Online Software Inspector (free)
http://secunia.com/vulnerability_scanning/online/
Titkosító eszköz: TrueCrypt (free)
www.truecrypt.org
34
INFORMÁCIÓ FORRÁSOK
Átfogó cikk a jelenlegi IT (mobil) kockázatokról: www.securelist.com/en/analysis/204792283/Mobile_Malware_Evolution_Part_6
www.securelist.com/en/analysis/204792278/Kaspersky_Lab_report_Evaluating_the_threat_level_of_software_vulnerabilities
Mobilbiztonság, trendek, részletes információk:
www.f-secure.com/en/web/labs_global/whitepapers/reports
Ajánlások, kockázatelemzések, adatok:
www.enisa.europa.eu/publications
Open Web Application Security Project (OWASP)
www.owasp.org
Az első mobil-vírusoktól:
www.securelist.com/en/analysis?pubid=200119916
35
ÖSSZEFOGLALÁS
Sérülékenység-vizsgálat célja
Hacker / Etikus hacker
Kockázatok értékelése
Kockázattal arányos védekezés!
Eredmények kezelése
36
Köszönöm a figyelmet!
Dolánszky György - KÜRT Zrt.
Informatikai biztonsági szakértő, CISA
