75% odnotowanych incydentów bezpieczeństwa baz danych związanych jest z połączeniami wewnątrz centrów obliczeniowych. Składają się na to następujące problemy:
brak kontroli nad osobami posiadającymi obszerne uprawnienia administracyjne (sysdba, system etc.)
brak efektywnych mechanizmów rejestrowania działań użytkowników oraz monitoringu dostawców
błędy dotyczące konfiguracji bazy oraz zarządzania uprawnieniami użytkowników
według analiz tylko kilka procent wydatków ukierunkowanych jest na ochronę informacji, reszta to inwestycje skupiające się na ochronie i efektywnej pracy sieci (systemy klasy firewall, utm, ips, antywirus etc).
Wyciek informacji z bazy danych powodują najczęściej zainfekowane uprzednio stacje administratorów, które następnie wykorzystywane są w strefach baz danych (mamy tu do czynienia z tzw. atakiem Island Hopping). Jeszcze większym problemem są osoby uprzywilejowane (jak administratorzy, deweloperzy, dostawcy), zmieniający miejsce pracy. Podczas przeprowadzonej ankiety 70 % pracowników instytucji zadeklarowało, iż odchodząc z firmy skopiuje informacje wrażliwe.
W czasie wykładu zaprezentowane zostaną przykłady rzeczywistych włamań do baz danych przy użyciu ataków bezpośrednich (ataki typu server-side wykorzystujące braki poprawek lub błędy konfiguracji bazy danych), poprzez infekcję stacji klienckich (ataki client-site) oraz przy wykorzystaniu podatności aplikacji Web. Uczestnicy zapoznają się również z różnymi metodami zabezpieczania baz danych przez duże instytucje w Polsce.
Jest to próba odpowiedzi na poniższe pytania - Jak cyberprzestępcy wykradają
nasze prywatne dane? Jakie metody i programy stosują? Na jakie ryzyko
nas narażają" jak się przed tym bronić?
Prezentacja przedstawiona przeze mnie w 2014 roku na XVII Międzynarodowej Konferencji Naukowej Techniczne Aspekty Przestępczości Teleinformatycznej (TAPT) organizowanej przez Wyższą Szkołę Policji w Szczytnie.
Światowe badanie bezpieczeństwa informacji 2014EYPoland
Światowe badanie bezpieczeństwa informacji przeprowadzono między czerwcem a sierpniem 2014 roku. 1825 respondentów z 60 krajów, pracujących w 25 sektorach, to przede wszystkim członkowie zarządów, CIO oraz dyrektorzy działów IT. Jest to 17. edycja badania.
75% odnotowanych incydentów bezpieczeństwa baz danych związanych jest z połączeniami wewnątrz centrów obliczeniowych. Składają się na to następujące problemy:
brak kontroli nad osobami posiadającymi obszerne uprawnienia administracyjne (sysdba, system etc.)
brak efektywnych mechanizmów rejestrowania działań użytkowników oraz monitoringu dostawców
błędy dotyczące konfiguracji bazy oraz zarządzania uprawnieniami użytkowników
według analiz tylko kilka procent wydatków ukierunkowanych jest na ochronę informacji, reszta to inwestycje skupiające się na ochronie i efektywnej pracy sieci (systemy klasy firewall, utm, ips, antywirus etc).
Wyciek informacji z bazy danych powodują najczęściej zainfekowane uprzednio stacje administratorów, które następnie wykorzystywane są w strefach baz danych (mamy tu do czynienia z tzw. atakiem Island Hopping). Jeszcze większym problemem są osoby uprzywilejowane (jak administratorzy, deweloperzy, dostawcy), zmieniający miejsce pracy. Podczas przeprowadzonej ankiety 70 % pracowników instytucji zadeklarowało, iż odchodząc z firmy skopiuje informacje wrażliwe.
W czasie wykładu zaprezentowane zostaną przykłady rzeczywistych włamań do baz danych przy użyciu ataków bezpośrednich (ataki typu server-side wykorzystujące braki poprawek lub błędy konfiguracji bazy danych), poprzez infekcję stacji klienckich (ataki client-site) oraz przy wykorzystaniu podatności aplikacji Web. Uczestnicy zapoznają się również z różnymi metodami zabezpieczania baz danych przez duże instytucje w Polsce.
Jest to próba odpowiedzi na poniższe pytania - Jak cyberprzestępcy wykradają
nasze prywatne dane? Jakie metody i programy stosują? Na jakie ryzyko
nas narażają" jak się przed tym bronić?
Prezentacja przedstawiona przeze mnie w 2014 roku na XVII Międzynarodowej Konferencji Naukowej Techniczne Aspekty Przestępczości Teleinformatycznej (TAPT) organizowanej przez Wyższą Szkołę Policji w Szczytnie.
Światowe badanie bezpieczeństwa informacji 2014EYPoland
Światowe badanie bezpieczeństwa informacji przeprowadzono między czerwcem a sierpniem 2014 roku. 1825 respondentów z 60 krajów, pracujących w 25 sektorach, to przede wszystkim członkowie zarządów, CIO oraz dyrektorzy działów IT. Jest to 17. edycja badania.
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego PROIDEA
Wyciek danych w praktyce, czyli jak wycieki danych mogą doprowadzić do przejęcia kontroli nad systemem. Prezentacja kilku przykładów i metod dzięki którym wyciek danych umożliwia przejęcie kontroli lub pozyskanie dalszych istotnych informacji. Omówienie jakich narzędzi użył atakujący, jaką metodę działania przyjął oraz oraz do czego mogły doprowadzić dalsze konsekwencje. Refleksja nad tym, co zawiodło w mechanizmach bezpieczeństwa, oraz co jest istotne w trakcje tworzenia, wdrażania oraz utrzymania oprogramowania, a także gdzie atakujący upatrują potencjalnych luk.
Praktyczne przedstawienie powiązania pomiędzy wyciekiem danych a popularnymi atakami i ich konsekwencjami w odniesieniu do bezpieczeństwa i reputacji.
Socjotechnika w Internecie - metody ataku i obronyLogicaltrust pl
Wystąpienie poświęcone było najciekawszym ukierunkowanym atakom socjotechnicznym... a także tym mniej spektakularnym, ale równie skutecznym atakom phishingowym, wycelowanym w szeregowych internautów. Oprócz przybliżenia problemu, celem prezentacji jest także próba znalezienia odpowiedzi na pytanie jak w poszczególnych przypadkach można było pokrzyżować plany cyberprzestępców i ustalenia podstawowych zasad, których przedstrzeganie pozwoli internautom na zmniejszenie powodzenia kolejnych tego typu działań.
Większość banków stosuje w swoich systemach bankowości internetowej i mobilnej metody autoryzacji transakcji (np. hasła SMS, "podpis elektroniczny", tokeny OTP, tokeny challenge-response). Stosowanie tego typu metod nie jest ograniczone tylko do systemów finansowych, są np. szeroko stosowane do autoryzowania operacji odzyskiwania hasła w różnego rodzaju aplikacjach.
Autoryzacja transakcji ma ograniczać skutki wynikające z działania wrogiego oprogramowania na stacji użytkownika, przechwytywania sesji oraz zgadywania czy kradzieży haseł.
W ostatnich latach widzimy jednak, że strategie działania grup przestępczych dostosowują się do tych zabezpieczeń i niejednokrotnie skutecznie je omijają. Prezentacja ma na celu skonfrontowanie obecnych metod autoryzacji operacji ze współczesnymi scenariuszami ataku przy użyciu malware oraz wskazanie typowych błędów w implementacji, które mogą przyczynić się do możliwości obejścia tych zabezpieczeń.
Agenda (draft):
- Krótka prezentacja metod autoryzacji transakcji.
- Kilka "case study" - jak malware obchodzi autoryzacje transakcji (w tym własne doświadczenia zdobyte podczas analizy przypadków ataków w bankach).
- Jak wybrać skuteczną metodę autoryzacji transakcji?
- Na co uważać? Typowe błędy implementacji, które mogą przyczynić się do osłabienia mechanizmu autoryzacji transakcji.
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
Wnioski z technicznego badania kilkudziesięciu polskich aplikacji bankowych przeznaczonych na platformy Android oraz iOS pod kątem występowania w nich podatności z OWASP Mobile TOP 10. Prezentacja rzeczywistych błędów w oprogramowaniu mobilnym, praktycznych porad jak zabezpieczyć aplikacje oraz odniesienie uzyskanych rezultatów do badań przeprowadzonych w innych krajach.
Semafor 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
Na podstawie ponad stu testów aplikacji mobilnych przedstawienie tego co robimy źle, a co jeszcze gorzej. Skupiając się głównie na platformach iOS oraz Android, przeanalizujemy garść typowych i nietypowych błędów. Przestudiujemy problemy, które można napotkać podczas testów bezpieczeństwa oraz pokażemy jak zaradny pentester może sobie z nimi poradzić, dobry programista unikać, a świadomy użytkownik zdawać sobie sprawę, że nosi dziurawy software w kieszeniach.
Prezentacja z konferencji Mobilization 2014.
Abstrakt:
Na rzeczywistych przykładach pokażę jak wygląda proces oceny bezpieczeństwa aplikacji mobilnych. Zobaczymy m.in. jak wykrywać słabości związane z przechowywaniem danych na urządzeniu, nieprawidłowości w transmisji, oraz najgroźniejsze - błędy w API po stronie serwera (np. błędy logiczne, kontroli dostępu, REST). Jednocześnie okaże się jakie techniki utrudniają ataki, jaki jest faktyczny wpływ na ryzyko poszczególnych podatności, oraz jakie zabezpieczenia warto zastosować w różnych aplikacjach.
Sophos S4E_phishing a ochrona poczty elektornicznej_2021Marceli Matczak
Czym jest phishing, na co zwracać uwagę w korespondencji email, jak chronić się przed wyłudzaniem informacji oraz jakie narzędzia mogą w tym pomóc. Stań się świadomym pracownikiem i nie bądź przekorny :) Twój wybór może mieć ogromne znaczenie dla bezpieczeństwa całej organizacji. Jeśli jesteś administratorem, dowiedz się jak nad tym wszystkim zapanować, by nie zwariować :)
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...PROIDEA
Speaker: Borys Lacki
Language: Polish
Historia trzech ataków typu APT wykonanych podczas kontrolowanych testów penetracyjnych. W których od zerowej wiedzy na temat atakowanej firmy przejęto infrastrukturę i uzyskano dostęp do poufnych informacji wykorzystując 0-day w Quake, pendrive w toalecie damskiej oraz plik faktura.exe. Oprócz mrożących krew w żyłach historii zostaną pokazane praktyczne porady jak nie stać się bohaterem kolejnej edycji wykładu.
CONFidence: http://confidence.org.pl/pl/
prezentacja na jubileuszowej konferencji POLCAAT2019 (IIA) na temat błędów poznawczych, różnicy pomiędzy postrezganiem triady i praktyk bezpieczeństwa informacji przez "bezpiecznikow" i regularnych użytkownikow sieci.
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24Logicaltrust pl
Dowiesz się:
jakie ataki w 2020 roku są najgroźniejsze,
jak cyberprzestępcy wykorzystują słabości ludzkie i techniczne,
jak ochronić swoją firmę przed skutecznym atakiem.
Security Awareness po polsku - webinar 2019.11.29Logicaltrust pl
Borys Łącki opowiada na webinarze dlaczego warto dopasować język kampanii Security Awareness do odbiorcy i przedstawia listę materiałów dostępnych publicznie po polsku
More Related Content
Similar to Advanced persistent threat - jak działają zorganizowane grupy cyberprzestępcze
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego PROIDEA
Wyciek danych w praktyce, czyli jak wycieki danych mogą doprowadzić do przejęcia kontroli nad systemem. Prezentacja kilku przykładów i metod dzięki którym wyciek danych umożliwia przejęcie kontroli lub pozyskanie dalszych istotnych informacji. Omówienie jakich narzędzi użył atakujący, jaką metodę działania przyjął oraz oraz do czego mogły doprowadzić dalsze konsekwencje. Refleksja nad tym, co zawiodło w mechanizmach bezpieczeństwa, oraz co jest istotne w trakcje tworzenia, wdrażania oraz utrzymania oprogramowania, a także gdzie atakujący upatrują potencjalnych luk.
Praktyczne przedstawienie powiązania pomiędzy wyciekiem danych a popularnymi atakami i ich konsekwencjami w odniesieniu do bezpieczeństwa i reputacji.
Socjotechnika w Internecie - metody ataku i obronyLogicaltrust pl
Wystąpienie poświęcone było najciekawszym ukierunkowanym atakom socjotechnicznym... a także tym mniej spektakularnym, ale równie skutecznym atakom phishingowym, wycelowanym w szeregowych internautów. Oprócz przybliżenia problemu, celem prezentacji jest także próba znalezienia odpowiedzi na pytanie jak w poszczególnych przypadkach można było pokrzyżować plany cyberprzestępców i ustalenia podstawowych zasad, których przedstrzeganie pozwoli internautom na zmniejszenie powodzenia kolejnych tego typu działań.
Większość banków stosuje w swoich systemach bankowości internetowej i mobilnej metody autoryzacji transakcji (np. hasła SMS, "podpis elektroniczny", tokeny OTP, tokeny challenge-response). Stosowanie tego typu metod nie jest ograniczone tylko do systemów finansowych, są np. szeroko stosowane do autoryzowania operacji odzyskiwania hasła w różnego rodzaju aplikacjach.
Autoryzacja transakcji ma ograniczać skutki wynikające z działania wrogiego oprogramowania na stacji użytkownika, przechwytywania sesji oraz zgadywania czy kradzieży haseł.
W ostatnich latach widzimy jednak, że strategie działania grup przestępczych dostosowują się do tych zabezpieczeń i niejednokrotnie skutecznie je omijają. Prezentacja ma na celu skonfrontowanie obecnych metod autoryzacji operacji ze współczesnymi scenariuszami ataku przy użyciu malware oraz wskazanie typowych błędów w implementacji, które mogą przyczynić się do możliwości obejścia tych zabezpieczeń.
Agenda (draft):
- Krótka prezentacja metod autoryzacji transakcji.
- Kilka "case study" - jak malware obchodzi autoryzacje transakcji (w tym własne doświadczenia zdobyte podczas analizy przypadków ataków w bankach).
- Jak wybrać skuteczną metodę autoryzacji transakcji?
- Na co uważać? Typowe błędy implementacji, które mogą przyczynić się do osłabienia mechanizmu autoryzacji transakcji.
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
Wnioski z technicznego badania kilkudziesięciu polskich aplikacji bankowych przeznaczonych na platformy Android oraz iOS pod kątem występowania w nich podatności z OWASP Mobile TOP 10. Prezentacja rzeczywistych błędów w oprogramowaniu mobilnym, praktycznych porad jak zabezpieczyć aplikacje oraz odniesienie uzyskanych rezultatów do badań przeprowadzonych w innych krajach.
Semafor 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
Na podstawie ponad stu testów aplikacji mobilnych przedstawienie tego co robimy źle, a co jeszcze gorzej. Skupiając się głównie na platformach iOS oraz Android, przeanalizujemy garść typowych i nietypowych błędów. Przestudiujemy problemy, które można napotkać podczas testów bezpieczeństwa oraz pokażemy jak zaradny pentester może sobie z nimi poradzić, dobry programista unikać, a świadomy użytkownik zdawać sobie sprawę, że nosi dziurawy software w kieszeniach.
Prezentacja z konferencji Mobilization 2014.
Abstrakt:
Na rzeczywistych przykładach pokażę jak wygląda proces oceny bezpieczeństwa aplikacji mobilnych. Zobaczymy m.in. jak wykrywać słabości związane z przechowywaniem danych na urządzeniu, nieprawidłowości w transmisji, oraz najgroźniejsze - błędy w API po stronie serwera (np. błędy logiczne, kontroli dostępu, REST). Jednocześnie okaże się jakie techniki utrudniają ataki, jaki jest faktyczny wpływ na ryzyko poszczególnych podatności, oraz jakie zabezpieczenia warto zastosować w różnych aplikacjach.
Sophos S4E_phishing a ochrona poczty elektornicznej_2021Marceli Matczak
Czym jest phishing, na co zwracać uwagę w korespondencji email, jak chronić się przed wyłudzaniem informacji oraz jakie narzędzia mogą w tym pomóc. Stań się świadomym pracownikiem i nie bądź przekorny :) Twój wybór może mieć ogromne znaczenie dla bezpieczeństwa całej organizacji. Jeśli jesteś administratorem, dowiedz się jak nad tym wszystkim zapanować, by nie zwariować :)
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...PROIDEA
Speaker: Borys Lacki
Language: Polish
Historia trzech ataków typu APT wykonanych podczas kontrolowanych testów penetracyjnych. W których od zerowej wiedzy na temat atakowanej firmy przejęto infrastrukturę i uzyskano dostęp do poufnych informacji wykorzystując 0-day w Quake, pendrive w toalecie damskiej oraz plik faktura.exe. Oprócz mrożących krew w żyłach historii zostaną pokazane praktyczne porady jak nie stać się bohaterem kolejnej edycji wykładu.
CONFidence: http://confidence.org.pl/pl/
prezentacja na jubileuszowej konferencji POLCAAT2019 (IIA) na temat błędów poznawczych, różnicy pomiędzy postrezganiem triady i praktyk bezpieczeństwa informacji przez "bezpiecznikow" i regularnych użytkownikow sieci.
Similar to Advanced persistent threat - jak działają zorganizowane grupy cyberprzestępcze (20)
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24Logicaltrust pl
Dowiesz się:
jakie ataki w 2020 roku są najgroźniejsze,
jak cyberprzestępcy wykorzystują słabości ludzkie i techniczne,
jak ochronić swoją firmę przed skutecznym atakiem.
Security Awareness po polsku - webinar 2019.11.29Logicaltrust pl
Borys Łącki opowiada na webinarze dlaczego warto dopasować język kampanii Security Awareness do odbiorcy i przedstawia listę materiałów dostępnych publicznie po polsku
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019Logicaltrust pl
Zostaną przedstawione przykłady ataków socjotechnicznych wykonanych podczas testów bezpieczeństwa. Prelegent opowie o tym jak się bronić i jak reagować podczas incydentów bezpieczeństwa.
Ataki socjotechniczne w praktyce - Confidence 2019Logicaltrust pl
Zostaną przedstawione przykłady ataków socjotechnicznych wykonanych podczas testów bezpieczeństwa. Prelegent opowie o tym jak się bronić i jak reagować podczas incydentów bezpieczeństwa.
PFL is a fuzzer designed mainly for torturing stuff (mainly libraries or APIs, sometimes co-workers). It uses minerva algorithm. Minerva_lib is able to fuzz any piece of code, as long as it can be linked against its core.
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018Logicaltrust pl
Prezenter omówi najczęstsze problemy związane z dedykowanymi atakami typu phishing na podstawie przeprowadzonych testów bezpieczeństwa. Słuchacze zrozumieją dlaczego skuteczny atakujący zawsze wygrywa i otrzymają praktyczne wskazówki dotyczące procesów, technologii i edukacji, by maksymalnie utrudnić zadanie cyberprzestępcom.
Spear phishing - jak się bronić? Case studies - Confidence 2018Logicaltrust pl
Prezenter omówi najczęstsze problemy związane z dedykowanymi atakami typu phishing na podstawie przeprowadzonych testów bezpieczeństwa. Słuchacze zrozumieją dlaczego skuteczny atakujący zawsze wygrywa i otrzymają praktyczne wskazówki dotyczące procesów, technologii i edukacji, by maksymalnie utrudnić zadanie cyberprzestępcom.
The presentation will be about real examples of redteam attacks targeted at Polish customers. We will show the advantages and disadvantages of certain type of attacks and our failures and successes. We will summarize the most important best practices to protect against a redteam and good advices on how to attack effectively and be more stealthly.
W prezentacji zostaną ukazane prawdziwe przykłady z testów penetracyjnych typu RedTeam, w których każdy sposób na kradzież informacji jest dobry. Phishing, złośliwe oprogramowanie, fałszywe domeny, przełamywanie zabezpieczeń fizycznych - to tylko niektóre aspekty poruszane podczas prelekcji. Pokażemy nasze sukcesy oraz porażki, metody ataków oraz dobre praktyki ograniczające możliwość skutecznego ataku wymierzonego w zasoby firmowe.
Report on the trip from fuzzing the PHP interpreter, through getting code execution, to hijacking all incoming requests sent to a web server. Thoughts on torturing interpreters, tips and tricks for exploiting vulnerabilities in the PHP core and walk-through interesting bugs found (1e-65 days included)
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersLogicaltrust pl
Prezentacja zagadnienia wycieku danych oraz możliwości pozyskania i późniejszego wykorzystania podczas ataków. Omówienie typowych błędów popełnianych podczas projektowania, kodowania oraz wdrażania aplikacji, które mają negatywne konsekwencje dla bezpieczeństwa aplikacji. Prezentacja prostych metod identyfikacji wycieków danych i pozyskiwania istotnych informacji z wykorzystaniem publicznie dostępnych i darmowych narzędzi, które każdy może przetestować w praktyce. Prezentowane metody i techniki nie wymagają dogłębnej wiedzy i nie są skomplikowane, co ułatwia ich zapamiętanie, jak również późniejsze wykorzystanie podczas testów bezpieczeństwa własnych aplikacji, zwłaszcza w momencie wdrażania ich w środowisku produkcyjnym. Opisy wycieków danych bazują na rzeczywistych sytuacjach, jakie spotykane są podczas przeprowadzania testów penetracyjnych, a więc obejmują błędy i niedociągnięcia, które są powszechnie spotykane, a które stanowią potencjalną furtkę dla atakującego.
W skład poruszanych zagadnień wchodzą m.in.:
1. Błędne założenia projektowe podstawą przyszłych kłopotów
2. Typowe błędy, które niosą poważne konsekwencje
2. Na co zwraca uwagę atakujący 3. Darmowe narzędzia ułatwiające pozyskanie pożądanych informacji
4. Analiza działania aplikacji
5. Pozostałości developerskie, środowiska testowe oraz niewłaściwa konfiguracja środowisk produkcyjnych 6. "Bez
komentarza" :)
7. Pozyskiwanie wrażliwych danych z pamięci operacyjnej
8. Czy stosowanie restrykcyjnych zabezpieczeń ułatwia ataki? 9. Aplikacje mobilne a bezpieczeństwo
Wykład ukierunkowany pod kątem przekazania praktycznej wiedzy, projektantom, developerom i administratorom oraz wskazania konsekwencji braku właściwego podejścia do polityki bezpieczeństwa.
Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...Logicaltrust pl
Prezentacja ma na celu przedstawić skuteczne metody edukacji pracowników w zakresie ochrony zasobów firmowych przed nowymi zagrożeniami.
Efektywne zwiększanie świadomości personelu to proces skomplikowany i trudny, wychodzący daleko poza ramy standardowych kursów, do których przyzwyczajeni są pracownicy. Autor przedstawi nowe podejście do edukacji 'najsłabszego ogniwa' każdego systemu bezpieczeństwa, poparte testami i własnym doświadczeniem.
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
Konferencja TestFest - 20.02.2016 - Wrocław
Prezentacja ma za zadanie przedstawić zestaw narzędzi ułatwiających zautomatyzowane testy bezpieczeństwa aplikacji webowych. Dodatkowo zostaną omówione wady i zalety każdego z rozwiązań.
2. Borys Łącki
Testy penetracyjne, audyty, szkolenia, konsultacje
www.bothunters.pl - blog o cyberprzestępstwach
www.logicaltrust.net - testy penetracyjne i audyty bezpieczeństwa
Prelekcje: Securecon, SEConference, SekIT, Open SourceSecurity,
Software Freedom Day, Pingwinaria, Grill IT, XIX Górska Szkoła Informatyki,
(...)
Członek PTI oraz aktywny uczestnik stowarzyszenia ISSA
Działalność pro publico bono: nk.pl, allegro.pl, wykop.pl itp.
3. Advanced Persistent Threat
„Stres związany z ochroną informacji w
firmie, jest większy niż podczas rozwodu
lub wypadku samochodowego...”
14. RSA
Złośliwe oprogramowanie przygotowane kilka godzin przed
atakiem
Dwie różne wiadomości e-mail w 2 dni, do dwóch małych
grup (mało ważni pracownicy)
Temat: 2011 Recruitment Plan
Pracownik otwiera załącznik (2011 Recruitment plan.xls) z
wiadomości z folderu Junk
Zero-day exploit - Adobe Flash vulnerability (CVE-2011-
0609)
15. RSA
Trojan: Poison Ivy
Poszukiwania nowych użytkowników, uprawnień,
zasobów
Nowe konta + eskalacja uprawnień → uprawnienia
administratorów
FTP - Zaszyfrowane archiwa RAR
Atak został wykryty - Computer Incident Response
Team
16. RSA – fail
Junk folder
Segmentacja sieci
Oprogramowanie - białe listy
Network firewall
DNS Blacklisting
Połączenia wychodzące
Monitoring - konta administratorów
Dwustopniowe uwierzytelnianie
Wymiana tokenów
19. DigiNotar SSL - fail
Brak centralnego logowania
Wszystkie serwery CA w jednej domenie Windows
Hasła słabej jakości
Segmentacja sieci
Brak aktualizacji oprogramowania na serwerach
publicznych
Brak oprogramowania AV
Dwustopniowe uwierzytelnianie (VASCO)
Aktywny IPS
22. Sony
2011-04-04 Atak DDoS - Anonymous (pozew GeoHot PS3)
2011-04-20 Sony PSN Offline
2011-04-26 (17-19.04) - (PSN) Hacked - 77 milionów nazwisk, adresów
e-mail, dat urodzin, loginów, haseł itp.
2011-04-27 Czytelnicy Ars Technica zgłaszają problemy z kartami
kredytowymi
2011-04-28 Pierwsze pozwy Sony PSN związane z utratą danych
2011-05-02 Sony Online Entertainment (SOE) hacked, SOE Network
Offline - 24.6 miliony dat urodzenia, adresów e-mail,
numerów telefonów (w tym 12 700 kart płatniczych i dat
ważności)
2011-05-05 Sony zatrudnia ekspertów od informatyki śledczej
23. Sony
2011-05-07 Utrata 2 500 „nieaktualnych” danych (głębokie ukrycie)
2011-05-14 Przywrócenie działania PlayStation Network (24 dni
awarii)
2011-05-17 Konta PSN – problem ze zmianą hasła
2011-05-18 Zatrudnia firmę Prolexic (DDoS)
2011-05-20 Strona phishingowa odkryta na jednym z serwerów
Sony
2011-05-21 Kradzież 1 220 wirtualnych $ - 128 kont
2011-05-21 Podmiana strony Sony Music Indonezja
2011-05-22 SQL injection - 8 500 kont, adresów e-mail, haseł - Sony
BMG Grecja
24. Sony
2011-05-23 SQL Injection - Japonia (www.sonymusic.co.jp) - LulzSec
2011-05-24 Sony Erricson – 2 000 rekordów, adresy e-mail, hasła, konta
2011-05-25 Sony uruchamia program ochrony tożsamości
2011-06-02 LulzSec publikuje ponad 1 milion haseł, adresów e- mail,
domowych adresów, dat urodzenia oraz haseł
administratorów
2011-06-02 Sony BMG Belgia – adresy e-mail, konta, hasła
(brak szyfrowania)
2011-06-02 Sony BMG Holandia – konta, hasła (brak szyfrowania)
2011-06-03 SQL Injection - Sony Europe (apps.pro.sony.eu)
25. Sony
2011-06-05 SQL Injection - Sony Pictures - Rosja
(www.sonypictures.ru)
2011-06-06 Publikacja 54 MB szczegółowych danych Sony Computer
Entertainment Developer Network (w tym kody źródłowe) -
LulzSec
2011-06-06 Sony BMG – ujawnienie map wewnętrznych sieci - LulzSec
2011-06-08 SQL injection - Sony Portugalia (sonymusic.pt)
2011-06-20 SQL injection – Sony Francja SQLI (sonypictures.fr)
2011-07-06 Publikacja fałszywych informacji o celebrytach – Sony
Irlandia (sonymusic.ie)
2011-10-12 Kradzież 93 000 kont PSN – brute force
33. Google
Operacja Aurora – 12.01.2010
Adobe, Juniper, Intel, Yahoo, Symantec, Dow
Chemical, Morgan Stanley... - 34 firmy (ponad 200)
Okres świąteczny
Kradzież własności intelektualnej, dostęp do kont
pocztowych aktywistów praw człowieka
Kilkanaście sposobów zaawansowanego
szyfrowania, dziesiątki rodzajów złośliwego
oprogramowania
34. Google
IM, e-mail, social network
Internet Explorer 0-day (MS10-002) - metasploit
Trojan.Hydraq - Złośliwe oprogramowanie
podszywające się pod komunikację SSL, brak
sygnatur AV
Inne firmy – także atak z użyciem PDF (??)
Serwery zarządzające w Illinois, Texas, Taiwan
35. Google - fail
HBGary Responder Professional 2.0 ;]
DNS blackholing
DEP
JavaScript
IE 6
The construction of the botnet would be classed
as “old-school”, and is rarely used by
professional botnet criminal operators today
37. Brooks-Jeffrey Marketing
78 różnych organów ścigania w całej Ameryce
Prywatne e-maile z 300 kont, 7 000 haseł (ftp, ssh,
cpanel), adresów, telefonów, kody źródłowe, kopie
zapasowe
„the most the hackers got from their organization were
email addresses and there were no critical details like
names, social security numbers or other personal
information details on their server” - Anonymous użyli
skradzionych danych z kart płatniczych i zasilili konta
organizacji ACLU oraz Bradley Mining Support
Network
38. Brooks-Jeffrey Marketing - fail
SQL injection
Shell injection
Dostęp do prywatnych kluczy
Separacja sieci, serwerów
41. The Sun
Anonymous, LulzSec – publikują fałszywe
wiadomości w serwisie WWW
2009 – podatność XSS w podatnym serwerze
WWW
Podatność w CMS
Przejęcie kolejnych serwerów
42. The Sun
Brak aktualizacji systemu
Podatności webowe w publicznym serwerze
Brak separacji sieci
Brak logowania
Brak monitorowania
44. Barracuda
Producent Web Application Firewall
Okno czasowe – kilka godzin
Skradziono tysiące poufnych danych klientów i
pracowników
SQL injection:
www.barracudanetworks.com/ns/customers/cus
tomer_verticals.php?v=11
49. Oak Ridge National Laboratory
Badania związane z cyberbezpieczeństwem, analiza złośliwego
oprogramowania, phishingu, podatności w oprogramowaniu
07.04.2011 - Spear-phishing wysłany do pracowników
OD: Dział HR Temat: Zyski pracownika i odnośnik do strony WWW
Internet Explorer zero-day – aktualizacja 12.04.2011 (ms11-018)
530 pracowników (z 5 000) otrzymało wiadomość, 57 osób uwierzyło,
2 zainfekowane systemy
Zaszyfrowane dane (kilkadziesiąt MB) zostały wysłane w świat
2007 – podobny atak, 7 różnych wiadomości e-mail z
niebezpiecznymi załącznikami – wyciek gigabajtów danych
55. Obrona - incydent
Poważny incydent bezpieczeństwa jest jak ruchome piaski – im
bardziej panikujemy, tym jest gorzej...
Przestań panikować i zatamuj krwawienie - skup się na
rozwiązaniu problemu – przestępców będziesz ścigał później
Nie ufaj nikomu i niczemu
Nie wydawaj pieniędzy na siłę, to nie rozwiąże Twoich
problemów
Działaj szybciej niż kiedykolwiek
Dbaj o Public Relations ale z głową
Przeproś, wykaż się kompetencjami, przedstaw plan napraw
56. Obrona
Polityka haseł
Aktualizacje systemów i aplikacji
Edukacja użytkowników
Segmentacja sieci
Testy penetracyjne :] www.logicaltrust.net
Ograniczenia kont (Administratorów)
Aplikacje bezpieczeństwa na hostach: AV,
FV, (DEP,ASLR, SEHOP, EATAF, HSA, NPA)
58. Obrona
WiFi – WPA2, zarządzanie wyłącznie z sieci
wewnętrznej
Porządek – OS, Sieć, Urządzenia
Dezaktywacja funkcjonalności
Urządzenia przenośne
Full Disk Encryption
Backup/Disaster Recovery Plan
59. Obrona
Data Loss Prevention
Migracja do nowych OS - Windows Vista, 7
Dokumentacja
Security team
IDS/IPS
Komunikacja z zewnętrznymi podmiotami