Túlélés a Három Betűs Rövidítések világában

886 views

Published on

A modern biztonsági fenyegetések anatómiája, régi módszerek, új megvilágításban. Rendelkezésre álló biztonsági megoldások és ezek problémái. A hagyományos védelmi szemlélet megkérdőjelezése.
(Buherátor, méltán híres blogger, BuheraBlog)

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
886
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Túlélés a Három Betűs Rövidítések világában

  1. 1. Túlélés a Három BetűsRövidítések világában Buherátor, Buhera Blog
  2. 2. (Bocsássatok meg ezért a diáért!)ADVANCED PERSISTENT THREATS
  3. 3. Helyzetjelentés A támadók módszerei folyamatosan fejlődnek A védekezés általában >=5 éves módszerekkel történik Használj AV-t Használj tűzfalat ??? Nem a valódi fenyegetések ellen védekezünk!
  4. 4. Eredmény • Google #fail • Symantec #fail • EMC/RSA #fail • Lockheed-Martin #fail • Illinois EPA BoW #fail • .no #fail • Stuxnet #epic #win • Marriott? :)
  5. 5. Miért érdekeljen ez engem?
  6. 6. …avagy:Operation Human Shield
  7. 7. Múlt és jelen• Kiterjedt fenyegetések• Ismert támadási minták• Kívülről érkező támadók• Áldozat -> általános célú rabszolga• Helyreállítható rendszer
  8. 8. Jelen és jövő• Célzott támadások• Ismeretlen támadási minták• Belülről érkező támadások• Áldozat -> Jól meghatározott üzleti adatok• Kritikus veszteségek
  9. 9. Kliens oldali támadások• Humán faktor• Számos beviteli csatorna • E-mail • CD/pendrive • WWW / Drive-by-download• Számos formátum • PDF • Office (Word, PPT, XLS…) • Flash • Java
  10. 10. Kliens exploit vs. AntiVirus• Példa: Operation Aurora, 2009 közepe - 2009 vége • Célzott támadás technológiai óriáscégekkel szemben • Google vs. Kína (a WikiLeaks megerősíti a gyanút)• Google, Adobe, Juniper, Yahoo!, Symantec, Morgan Stanley, stb.• 0day IE exploit • A támadás idején nem állt rendelkezésre javítás• Hogy állunk ma? • DEMO
  11. 11. Exploit anatómia• Trigger• "Stabilizátor" (pl. NOP sled)• Hasznos teher • Shellcode • Decoder • Stager
  12. 12. Exploitálás a memóriában• Nem kerül rosszindulatú kód a diszkre • Fájlkezelő API hookok nem segítenek• A memória folyamatos monitorozása erőforrás igényes• Rejtőzködési technikák • Obfuszkáció / Titkosítás • Vándorlás • "Nem hivatalos" modul regisztrációk• "Az AV elsődleges célja a megelőzés"
  13. 13. Fájlba ágyazott exploit /Perzisztencia• Elméletileg jobbak az esélyek a detektálásra! • PDF + JS = NOGO • Szokatlan fájlstruktúra • RWX memóriafoglalások figyelhetők • Kódemuláció / Sandboxing
  14. 14. Fájlba ágyazott exploit /Perzisztencia• Gyakorlatilag… • Excelbe ágyazott Flashbe ágyazott exploit nem gyanús… (RSA) • Az egység sugarú júzer simán kattint EXE-re is • Erőforrásigényes kódot nincs idő emulálni • Tervezési hibákkal szemben nehéz heurisztikát adni
  15. 15. Ha bent vagyunk: rootkitekCél: A rendszerszintű jogosultság megtartása +észrevétlenség1. Az alkalmazások közvetlenül csak az OS-el kommunikálhatnak2. A biztonsági szoftverek alkalmazások1. && 2. => Ha rendszer szintű kódot tudok futtatni, azthazudok a biztonsági szoftvernek, amit akarok! GAME OVER
  16. 16. Host hardeninglehetőségek• Windows Vista/7, alternatív OS (nem XP!) • Adobe Reader X, IE7+• Microsoft EMET• Immunity El Jefe• Teszteléshez: Metasploit
  17. 17. Host hardeninglehetőségek• Windows Vista/7, alternatív OS (nem XP!) • Adobe Reader X, IE7+• Microsoft EMET• Immunity El Jefe• Ki vállalja a bevezetést?
  18. 18. Mi lesz most?
  19. 19. A régi iskola hálózatitámadásai• ARP • "Én vagyok az átjáró!"• Switching • "Én vagyok az STP gyökér!" • CAM flood• Routing • "Én mindenhová olcsón szállítok!" • "Én mindenkit elérek!"• DHCP • "Használj engem átjárónak!"
  20. 20. Alapprobléma
  21. 21. Titkosítás• A titkosítás önmagában nem elég! • Man-in-the-Middle támadások • Hitelesítés (és integritás-ellenőrzés) szükséges! • Alkalmazás-hibáktól nem véd!• Tapasztalat: Általános az önaláírt tanúsítványok használata
  22. 22. Titkosítás• Megbízható fél által hitelesített tanúsítvány! • A tanúsított nem megbízható… • Cégen belül vagy elismert CA-val• Szerver hitelesítés kikényszerítése• Tanúsítvány alapú kliens hitelesítés • Szinte sehol nem találkozni ilyennel :(• Rendes kulcs…
  23. 23. Szép álmokat…
  24. 24. Védelem?• A hálózat alapvetően azért van, hogy használjuk!• A fertőzött hoszt legitim felhasználója a hálózatnak! • Fizikai kapcsolat, jelszavak, tokenek, stb.• Hálózaton kívüli terjesztési csatornák • Lásd Stuxnet: pendrive
  25. 25. Alapprobléma
  26. 26. Monitorozás• Betörésfigyelő és –megelőző eszközök (IDS/IPS) • Snort, Bro IDS, …• + Logelemzés!• Előzetes ismeret a rendszerről (protokollok, OS API-k, …)• Általában mintaalapú működés (+állapotmodell) • Exploitok • Tipikus támadási minták (BoF, SQLi, …) • Amit nem szeretnénk a hálózaton látni • Jelszó adatbázisok, shell utasítások, stb.
  27. 27. Monitorozás - Korlátok• Titkosítás• Üzleti logika• 0day fenyegetések • Néhány termék korlátozott 0day védelmet is nyújt• Teljesítmény• TCO
  28. 28. MI MARADT KI?
  29. 29. Támadási fázisok eltolódása
  30. 30. Adat kijuttatás• A támadónak szüksége van az információnkra• A támadó rootkitje parancsokra vár• Hogyan valósul meg a kétirányú kapcsolat?
  31. 31. Adat kijuttatás• Gyakran használt protokollon keresztül • Elég, ha egy hálózatra kötött gép ki van engedve!• Titkosítás• Adatrejtés • Kép, hang, stb. • Protokoll szinten • Közösségi média
  32. 32. Adat kijuttatás - Védelem• Data Leak Prevention • "Senki nem visz ki adatot a hálózatból!"• Security gateway-ek, proxy-k • TLS végződtetés • Fehérlistás / reputációs szűrés• Separation of Duties • Kritikus feladatokhoz nem elég egy ember hozzáférése
  33. 33. Technológiai jövőkép• "Mi az ami ártalmas?" -> "Mi az ami engedélyezett?"• Reputáció alapú osztályozás• Aggregált tudás• Konvergencia
  34. 34. Emlékeztető• A hálózatunkat nem tekinthetjük többé jól őrzött erődítménynek• A támadók már a spájzban vannak• Többszintű védelemre van szükség• Figyeljünk az új technológiákra!• A régi védelmeket sem dobhatjuk ki az ablakon • …már ha eddig alkalmaztuk őket• Fájni fog, de lépni kell!
  35. 35. "Nem az számít, hogy mennyire biztonságos arendszered a társaidéhoz képest. Csak az számít, hogyelég biztonságos-e ahhoz, hogy távol tartsa a támadót." (Bruce Schneier, 2011.)
  36. 36. Köszönöm a figyelmet! buherator@gmail.com http://buhera.blog.hu

×