Ačkoli je e-mail často používán i pro důležitou komunikaci, stále je náchylný na odposlech nebo modifikaci nešifrovaných zpráv na cestě. Přitom existuje způsob, jakým lze nakonfigurovat
e-mailový server k vynucení šifrovaného předávání pošty při zachování plné kompatibility se stávajícími poštovními systémy. Využívá se přitom speciálních vlastností protokolů DNSSEC a DANE.
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
Na workshopu si ukážeme základní zabezpečení nově nainstalovaného serveru pomocí iptables. Instalaci a nastavení Fail2Ban tak, aby sledoval logování SSH přístupů a při neoprávněném pokusu o příhlášení zablokoval IP adresu útočníka. Vyzkoušíme si i honeypotu, který nám pomůže útočníka zdržet. Nastíníme sledování logů jiných služeb, získávání blacklistovaných IP z abuse trackerů a povíme si i další tipy jak znepříjemnit atakování serveru.
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Security Session
This two hours workshop will show how to analyze network traffic in order to decide if a computer was infected with malware. This is a very hard task since current malware tries to hide by mimicking normal traffic. We will present several cases where you will have to discover the true infected machine from a group. The goal of the workshop is to transmit the analysis skills necessary to differentiate the suspicious connections from the normal ones and to finally discover the malware behaviors.
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Security Session
Přijďte se naučit základy, o které se můžete opřít. Pustíme se do crackmes od RubberDucka a probereme nějakou teorii okolo. Workshop volně vychází ze seriálu Nebojte se reverzního inženýrství. Je potřeba alespoň Windows 7, nejlíp 64bitový. Stačí, když poběží ve virtuálce. Stáhněte si zdrojáky a binárky. Budeme používat OllyDbg 2.01 a x64dbg.
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]Security Session
Naše disky sú zašifrované, role presne vymedzené a prístupy do našich systémov pravidelne revidujeme. Čo viac urobiť pre ochranu našich dát? Ochrániť užívateľa pred sebou samotným? V rámci přednášky si prejdeme možnosti, ako ovplyvniť užívateľské správanie a predikovať možné problémy. Zameriame sa na prepojenie technológií s fungovaním firmy a ukážeme metódy, ktoré sa osvedčili firmám u nás i v zahraničí.
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
Nelze chránit to, co není vidět. Díky technologii datových toků (NetFlow/IPFIX) lze dosáhnout hluboké viditelnosti do síťového provozu. Analýza chování sítě na základě statistik o datových tocích odhalí anomálie v provozu včetně dosud neznámých kybernetických hrozeb, které tradiční zabezpečení nezastaví. IT profesionálové po celém světě řeší způsoby, jak získat kontrolu nad síťovým provozem, aby mohli chránit své systémy před pokročilými kybernetickými hrozbami. Tato prezentace přiblíží různé přístupy monitorování počítačových sítí, vysvětlí principy a technologie datových toků a na praktických příkladech ukáže jejích sílu pro získání viditelnosti do provozu a detekci anomálií.
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Security Session
The smallest element in a botnet is a bot. The behavior of a bot can change dynamically based on the decision of the botmaster. Botnets are driven by profit, consequently, bots are expected to be profitable. If goals are not as expected, the bots can be instructed to switch their behavior to serve a better purpose. The aim of this talk is to present a detailed analysis of a network traffic capture of a machine originally infected by a Gamarue variant. The analysis will uncover the behavior of the bot since the initial infection, inactivity period, delivery of new payloads and the following switch of behavior of the bot. Additionally, we will present details on a barely known new botnet capable of performing horizontal brute-forcing of WordPress-based websites.
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
Security by obscurity nemůže fungovat. Nebo ano? Softwarové protektory prošly během 16 let prudkým vývojem. Zhodnotíme, jaká je situace v roce 2016. Podíváme se, jak fungují dnešní protektory pro Windows a Android, ukážeme, co se snaží řešit a současně jaké problémy jejich nasazení přináší. Přednáška bude zajímavá i pro ty, které zajímá problematika malware.
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
Na workshopu si ukážeme základní zabezpečení nově nainstalovaného serveru pomocí iptables. Instalaci a nastavení Fail2Ban tak, aby sledoval logování SSH přístupů a při neoprávněném pokusu o příhlášení zablokoval IP adresu útočníka. Vyzkoušíme si i honeypotu, který nám pomůže útočníka zdržet. Nastíníme sledování logů jiných služeb, získávání blacklistovaných IP z abuse trackerů a povíme si i další tipy jak znepříjemnit atakování serveru.
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Security Session
This two hours workshop will show how to analyze network traffic in order to decide if a computer was infected with malware. This is a very hard task since current malware tries to hide by mimicking normal traffic. We will present several cases where you will have to discover the true infected machine from a group. The goal of the workshop is to transmit the analysis skills necessary to differentiate the suspicious connections from the normal ones and to finally discover the malware behaviors.
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Security Session
Přijďte se naučit základy, o které se můžete opřít. Pustíme se do crackmes od RubberDucka a probereme nějakou teorii okolo. Workshop volně vychází ze seriálu Nebojte se reverzního inženýrství. Je potřeba alespoň Windows 7, nejlíp 64bitový. Stačí, když poběží ve virtuálce. Stáhněte si zdrojáky a binárky. Budeme používat OllyDbg 2.01 a x64dbg.
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]Security Session
Naše disky sú zašifrované, role presne vymedzené a prístupy do našich systémov pravidelne revidujeme. Čo viac urobiť pre ochranu našich dát? Ochrániť užívateľa pred sebou samotným? V rámci přednášky si prejdeme možnosti, ako ovplyvniť užívateľské správanie a predikovať možné problémy. Zameriame sa na prepojenie technológií s fungovaním firmy a ukážeme metódy, ktoré sa osvedčili firmám u nás i v zahraničí.
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
Nelze chránit to, co není vidět. Díky technologii datových toků (NetFlow/IPFIX) lze dosáhnout hluboké viditelnosti do síťového provozu. Analýza chování sítě na základě statistik o datových tocích odhalí anomálie v provozu včetně dosud neznámých kybernetických hrozeb, které tradiční zabezpečení nezastaví. IT profesionálové po celém světě řeší způsoby, jak získat kontrolu nad síťovým provozem, aby mohli chránit své systémy před pokročilými kybernetickými hrozbami. Tato prezentace přiblíží různé přístupy monitorování počítačových sítí, vysvětlí principy a technologie datových toků a na praktických příkladech ukáže jejích sílu pro získání viditelnosti do provozu a detekci anomálií.
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Security Session
The smallest element in a botnet is a bot. The behavior of a bot can change dynamically based on the decision of the botmaster. Botnets are driven by profit, consequently, bots are expected to be profitable. If goals are not as expected, the bots can be instructed to switch their behavior to serve a better purpose. The aim of this talk is to present a detailed analysis of a network traffic capture of a machine originally infected by a Gamarue variant. The analysis will uncover the behavior of the bot since the initial infection, inactivity period, delivery of new payloads and the following switch of behavior of the bot. Additionally, we will present details on a barely known new botnet capable of performing horizontal brute-forcing of WordPress-based websites.
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
Security by obscurity nemůže fungovat. Nebo ano? Softwarové protektory prošly během 16 let prudkým vývojem. Zhodnotíme, jaká je situace v roce 2016. Podíváme se, jak fungují dnešní protektory pro Windows a Android, ukážeme, co se snaží řešit a současně jaké problémy jejich nasazení přináší. Přednáška bude zajímavá i pro ty, které zajímá problematika malware.
Přednáška zaměřená na rychlý přehled nových technologií v operačním systému Windows 10 a nových mikroarchitekturách procesorů Intel (Haswell, Sky Lake a Kaby Lake). Detailněji se pak bude věnovat některým klíčovým novinkám jako je virtual based security ve Windows 10, nebo některým bezpečnostním rozšířením procesorů. Závěrem poskytne přehled zdrojů k detailním informacím a příkladům využití. Přednáška bude koncipována jako "svodka technologických novinek". Autor bude přítomný po celou dobu konání konference a rád odpoví na Vaše otázky.
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Security Session
If small botnets are difficult to detect, small Linux botnets staying under the radar are more difficult. This talk describes how we detected a novel Linux botnet in a large organization by analyzing the network connections patterns with our behavioral detection system. The botnet exploits web servers and uses obfuscated python scripts to receive commands. Our behavioral IPS, called Stratosphere, was able to detect the botnet by creating machine learning models of real malware behaviors and then using those models to detect similar behaviors in other networks. From the first indicators of compromise to the final remediation, we will share our analysis, the attack methodologies observed and tools used.
Praktické postupy ochrany před DDoS útoky - Přednáška se bude zabývat postupy jak se chránit před DoS/DDoS útoky a to od nejnižší po nejvyšší vrstvu, od malých webů po korporátní sítě.
www.security-session.cz
Přednáška zaměřená na rychlý přehled nových technologií v operačním systému Windows 10 a nových mikroarchitekturách procesorů Intel (Haswell, Sky Lake a Kaby Lake). Detailněji se pak bude věnovat některým klíčovým novinkám jako je virtual based security ve Windows 10, nebo některým bezpečnostním rozšířením procesorů. Závěrem poskytne přehled zdrojů k detailním informacím a příkladům využití. Přednáška bude koncipována jako "svodka technologických novinek". Autor bude přítomný po celou dobu konání konference a rád odpoví na Vaše otázky.
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Security Session
If small botnets are difficult to detect, small Linux botnets staying under the radar are more difficult. This talk describes how we detected a novel Linux botnet in a large organization by analyzing the network connections patterns with our behavioral detection system. The botnet exploits web servers and uses obfuscated python scripts to receive commands. Our behavioral IPS, called Stratosphere, was able to detect the botnet by creating machine learning models of real malware behaviors and then using those models to detect similar behaviors in other networks. From the first indicators of compromise to the final remediation, we will share our analysis, the attack methodologies observed and tools used.
Praktické postupy ochrany před DDoS útoky - Přednáška se bude zabývat postupy jak se chránit před DoS/DDoS útoky a to od nejnižší po nejvyšší vrstvu, od malých webů po korporátní sítě.
www.security-session.cz
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
1. Bezpečnější pošta díky DANE
Ondřej Caletka
2. dubna 2016
Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 1 / 23
3. Elektronická pošta
starší než Internet
přepojování zpráv ulož a předej
na internetu používá protokol SMTP
E-mailová etiketa
E-mail není důvěrný: Do e-mailu nepište nic, co byste
nenapsali na zadní stranu pohlednice. Vaše e-mailová
korespondence se kdykoli může dostat do nepovolaných
rukou… zdroj
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 3 / 23
4. Princip SMTP
smtp.a.org
To: bob@b.org
From alice@a.org
Dear Bob. ...
SMTP
Alice's MUA
The Internet
DNS
DNS
SMTP
POP3
mx.b.org
MX for b.org?
To: bob@b.org
From: alice@a.org
Dear Bob. ...
Bob's MUA
mx.b.org
pop3.b.org
ns.b.org
To: bob@b.org
From alice@a.org
Dear Bob. ...
1
3
2
4
5
Yzmo at the English language Wikipedia CC-BY-SA 3.0
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 4 / 23
5. Kdo poslouchá?
server(-y) odesílatele
server(-y) příjemce
kdokoli s odbočkou na kabelu
Best Current Practice #188
Internet Engineering Task Force (IETF) S. Farrell
Request for Comments: 7258 Trinity College Dublin
BCP: 188 H. Tschofenig
Category: Best Current Practice ARM Ltd.
ISSN: 2070-1721 May 2014
Pervasive Monitoring Is an Attack
Abstract
Pervasive monitoring is a technical attack that should be mitigated
in the design of IETF protocols, where possible.
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 5 / 23
6. Bezpečnější e-mail
End-to-end
S/MIME – CMS
PGP
✓ vysoká úroveň
bezpečnosti
✗ obtížné použití
Hop-by-hop
DKIM
SMTP over TLS
✓ bez přímé účasti
uživatele
✗ jen proti třetím
stranám
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 6 / 23
7. Oportunistické šifrování
server signalizuje podporu STARTTLS
klient naváže anonymní TLS spojení
ověření identity se neprovádí
vyhoví i slabé a nebezpečné šifry
při selhání TLS spojení je doručeno bez šifrování
odolné pouze proti pasivnímu odposlechu
lze definovat cíle s vynuceným šifrováním
např. Gmail, Seznam,…
jak takový seznam získat a udržovat?
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 7 / 23
8. V ideálním světě…
všechny SMTP servery příjimají poštu šifrovaně
každý SMTP server používá validní TLS certifikát od
důvěryhodné autority
předávání e-mailů je pak naprosto bezpečné
…nebo snad ne?
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 8 / 23
9. Princip SMTP
smtp.a.org
To: bob@b.org
From alice@a.org
Dear Bob. ...
SMTP
Alice's MUA
The Internet
DNS
DNS
SMTP
POP3
mx.b.org
MX for b.org?
To: bob@b.org
From: alice@a.org
Dear Bob. ...
Bob's MUA
mx.b.org
pop3.b.org
ns.b.org
To: bob@b.org
From alice@a.org
Dear Bob. ...
1
3
2
4
5
Yzmo at the English language Wikipedia CC-BY-SA 3.0
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 9 / 23
10. Ten DNSSEC bude asi fakt potřeba…
bez bezpečného DNS není možné věřit
směrování MX záznamů
certifikáty serverů by musely být vystaveny na
jméno domény, pro kterou přijímají poštu
což je stejně špatné, jako u dnešního webu
pro e-maily velmi nepraktické
protože to nemají všichni, nelze to vynutit
bezpečné DNS může nést informaci o vynucení
šifrování předávané pošty
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 10 / 23
11. TLSA záznam pro vynucení šifrování
umístění otisku serverového certifikátu v DNS
použití pro SMTPS standardizováno v RFC 7672
několik různých způsobů použití:
0 připíchnutí CA
1 připíchnutí koncového certifikátu
2 vložení nové CA
3 vložení koncového certifikátu bez ohledu na PKI
Příklad
_25._tcp.mx.example.com. IN TLSA 3 1 1 AA793DA…
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 11 / 23
12. Chování SMTP klienta
najdi
MX záznam
je podepsaný?
doruč s oportu-
nistickým TLS
bez kontroly
najdi
TLSA záznam
existuje?
doruč s vynuceným
TLS a kontrolou
otisku certifikátu
odlož do fronty
ano ano
ne ne
chyba chyba
chyba
start
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 12 / 23
13. Opt-in for security
umístěním TLSA záznamu deklarujeme, že poštu
přijímáme pouze šifrovaně
validující klienti případný downgrade útok odhalí
a zprávu nedoručí
Postfix od 2.11
Exim – ve vývoji
OpenSMTPd – ve vývoji
na rozdíl od webu na SMTP serverech není problém
s funkčností DNSSEC validace
bezpečené spojení s validujícím DNS serverem je
nutné (ideálně Unbound na localhost)
doručování na adresy bez DNSSECu nebo bez TLSA
záznamu funguje jako doposud
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 13 / 23
14. Testujeme nástrojem posttls-finger
Bez TLSA záznamu – Untrusted
$ /usr/sbin/posttls-finger -c seznam.cz
posttls-finger: mx1.seznam.cz:25: Matched subjectAltName: mx1.seznam.cz
posttls-finger: certificate verification failed for mx1.seznam.cz:25:
untrusted issuer /C=US/O=thawte, Inc./OU=Certification
Services Division/OU=(c) 2006 thawte, Inc. - For
authorized use only/CN=thawte Primary Root CA
posttls-finger: Untrusted TLS connection established to mx1.seznam.cz:25:
TLSv1.2 with cipher AES128-SHA (128/128 bits)
S TLSA záznamem – Verified
$ /usr/sbin/posttls-finger -c cesnet.cz
posttls-finger: using DANE RR: _25._tcp.… IN TLSA 2 0 1 5C:42:8B:01:3B:2E:3F:0D:30…
posttls-finger: postino.cesnet.cz:25: depth=1 matched trust anchor certificate
sha256 digest 5C:42:8B:01:3B:2E:3F:0D:30…
posttls-finger: Verified TLS connection established to postino.cesnet.cz:25:
TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 14 / 23
15. Měření SMTP-over-TLS
na 4618 doménových jménech z reálného provozu
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 15 / 23
16. Stav DNSSEC pro MX záznamy
1000
3618
No
DNSSEC
78,3%
DNSSEC
21,7%
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 16 / 23
17. Servery podporující STARTTLS
1168
3400
No TLS
support
25,3%
TLS
supported
73,6%
TLSA
verified
1,1%
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 17 / 23
18. Typy certifikátů na SMTP serverech
456493
600
277 1662
Verified by
domain
name
13,1%
Verified by
server
name
47,6%
Trusted
without
matching
name
7,9%
Untrusted
issuer
17,2%
Self-
Signed
14,1%
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 18 / 23
19. TLSA Hall of Fame
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 19 / 23
20. Upozornění Gmailu na zprávu přijatou
bez šifrování
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 20 / 23
21. Statistky STARTTLS u Gmailu
Zdroj: Google Transparency Report
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 21 / 23
22. Závěrem
povolte šifrování na svých SMTP serverech
nic to nestojí
na typu certifikátu vůbec nezáleží
bez DNSSECu nelze dosáhnout bezpečnosti e-mailu
když už máte DNSSEC, TLSA nic nestojí
provozovat validaci je bezpečné
ale vyplatí se sledovat logy na výskyt chyby
Server certificate not trusted
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 22 / 23
23. Závěr
Děkuji za pozornost
Ondřej Caletka
Ondrej.Caletka@cesnet.cz
https://Ondřej.Caletka.cz
Ondřej Caletka (CESNET, z. s. p. o.) Bezpečnější e-mail 2. dubna 2016 23 / 23