Często zdarza się, że na testy bezpieczeństwa nie ma czasu lub budżetu. Testy te często są wykonywane na sam koniec, gdy nie ma możliwości na dłuższą analizę. Przez takie myślenie, padają firmy lub zwykli obywatele tracą dostęp do swoich danych czy po prostu te dane wyciekają. Przeanalizujemy kilka ostatnich ataków, zastanowimy się jak można było temu zapobiec.

1. Jak kraść miliony,
czyli o błędach
bezpieczeństwa,
które mogą spotkać
również Ciebie
Monika Krysiak

2. ● Parę słów o mnie
● Atak na platformę e-commerce
● Luka w GitHubie
● Ataki na IoT
● Podsumowanie
Agenda

3. Parę słów o mnie

4. Parę słów o mnie
Służbowo
● QA od ponad 8 lat
● Entuzjastka zagadnień
z cybersecurity
● Członkini społeczności
OWASP
● Top 2% na Try Hack Me
Prywatnie
● Mama uroczych bliźniaczek
● Żona najlepszego mistrza gry
● Aktywnie spędza czas
na świeżym powietrzu
i gra w planszówki
● Uczy się gry na wiolonczeli
● Uprawia kickboxing

5. Atak na platformę
e-commerce

6. E-commerce - najszybciej rozwijający się
segment handlu.
Rozwój aplikacji = znajdowanie
nowych podatności
i tworzenie nowych wektorów ataków
Platforma e-commerce

7. Platforma handlowa Hondy - luka w API - wykryta przez badacza Eatona Zveare
Atak na platformę e-commerce Hondy
Poprzez zresetowanie hasła do kont wyższego poziomu, uzyskał nieograniczony
dostęp do danych na poziomie administratora w sieci firmy.

8. Prawie 24 000 zamówień klientów we wszystkich salonach Hondy (sierpień 2016 r.
- marzec 2023 r.) - imię i nazwisko klienta, adres i numer telefonu.
1 091 aktywnych stron internetowych dealerów z możliwością ich modyfikacji.
3 588 użytkowników/kont dealerów - w tym dane osobowe.
11 034 wiadomości e-mail klientów - w tym imiona i nazwiska.
1 090 e-maili dealerów.
Wewnętrzne raporty finansowe Hondy.
Do czego miał dostęp:

9. Kampanię phishingową.
Ataki socjotechniczne.
Nielegalną sprzedaż informacji w darknecie.
E-skimming kart kredytowych.
Co mogliby zrobić cyberprzestępcy?

10. Subdomeny platformy e-commerce są przypisane do zarejestrowanych dealerów.
Możliwość zresetowania hasła bez konieczności podania poprzedniego.
Aby zresetować hasło, Eaton znalazł e-mail na kanale YouTube
(film z instrukcją i niezabezpieczonym kontem testowym).
Użył znanego błędu IDOR, zmieniając parametry id użytkowników. W ten sposób
dostał się do panelu administratora.
Jak znaleziono lukę w zabezpieczeniach?

11. 16 marca 2023r. Eaton Zveare zgłosił
nieprawidłowości w działaniu aplikacji.
3 kwietnia 2023r. Honda poinformowała,
że błędy zostały naprawione.
Eaton nie otrzymał wypłaty, gdyż firma
nie prowadzi programu bug bounty.
Czy Eaton dostał nagrodę?

12. Znaczenie testów bezpieczeństwa platformy e-commerce

13. Najczęstsze cyberzagrożenia dla e-commerce

14. Najczęstsze cyberzagrożenia dla e-commerce
Phishing

15. Najczęstsze cyberzagrożenia dla e-commerce
Phishing
Ransomware

16. Najczęstsze cyberzagrożenia dla e-commerce
Phishing
Ransomware
e-skimming

17. Najczęstsze cyberzagrożenia dla e-commerce
Phishing
Ransomware
e-skimming

18. Najczęstsze cyberzagrożenia dla e-commerce
Phishing
Ransomware
e-skimming
SQL Injection

19. Czy Twój zespół może
zapewnić bezpieczeństwo?

20. TAK!

21. ● Wdrażając SSDLC.
● Modyfikując obecny proces wytwórczy o elementy bezpieczeństwa
(metryki, testy, modelowanie zagrożeń).
● Poszerzając wiedzę poprzez onboardingi, webinary, szkolenia, prasówki itp.

22. Penetration testing as a Service -
- Testy penetracyjne jako usługa,
pozwalają na częstsze
i bardziej szczegółowe testy
w czasie rzeczywistym,
bez zatrudniania osobnego zespołu.
Czy warto wdrożyć
PTaaS?

23. 💠 Cyberataki zdarzają się niezależnie od wielkości i rozpoznawalności firmy.
💠 Platformy największych firm także mogą zawierać krytyczne luki.
💠 Testy bezpieczeństwa są wymagane do oceny powierzchni ataku.
💠 Testowanie bezpieczeństwa należy zacząć jak najwcześniej.
Wnioski

24. Luka w GitHubie

25. Repojacking (skrót od repository hijacking)- atakujący jest w stanie ominąć mechanizm
bezpieczeństwa i przejąć kontrolę nad repozytorium.
Luka w GitHubie - repojacking

26. Jak może dojść
do repojackingu?

27. Użytkownik GitHub zmienia nazwę
swojego konta.

28. Użytkownik GitHub przenosi swoje
repozytorium do innego
użytkownika i usuwa swoje konto.

29. Użytkownik GitHub usuwa swoje
konto.

30. Przykładowa akcja:

31. Ofiara jest właścicielem przestrzeni nazw "victim_user/repo".
Przykładowa akcja:

32. Ofiara jest właścicielem przestrzeni nazw "victim_user/repo".
Ofiara zmienia nazwę "victim_user" na "renamed_user".
Przykładowa akcja:

33. Ofiara jest właścicielem przestrzeni nazw "victim_user/repo".
Ofiara zmienia nazwę "victim_user" na "renamed_user".
Repozytorium "victim_user/repo" jest teraz wycofane.
Przykładowa akcja:

34. Ofiara jest właścicielem przestrzeni nazw "victim_user/repo".
Ofiara zmienia nazwę "victim_user" na "renamed_user".
Repozytorium "victim_user/repo" jest teraz wycofane.
Atakujący o nazwie użytkownika "attacker_user" jednocześnie tworzy
repozytorium o nazwie "repo" i zmienia nazwę użytkownika "attacker_user"
na "victim_user".
Przykładowa akcja:

35. Ofiara jest właścicielem przestrzeni nazw "victim_user/repo".
Ofiara zmienia nazwę "victim_user" na "renamed_user".
Repozytorium "victim_user/repo" jest teraz wycofane.
Atakujący o nazwie użytkownika "attacker_user" jednocześnie tworzy
repozytorium o nazwie "repo" i zmienia nazwę użytkownika "attacker_user"
na "victim_user".
Ostatni krok jest wykonywany przy użyciu żądania API do utworzenia
repozytorium i przechwycenia żądania zmiany nazwy użytkownika.
Przykładowa akcja:

36. Unikanie bezpośrednich linków do repozytoriów GitHub.
Ochrona swojego repozytorium.
Vendoring.
Przypinanie wersji.
Przyjęcie najnowocześniejszych narzędzi bezpieczeństwa aplikacji.
Jak się zabezpieczyć

37. 💠 Dotyczy każdego, nie tylko firm.
💠 Dbaj o użytkowników, którzy korzystają z Twojego kodu.
💠 Skala szkód zależy od liczby przejętych kont.
Wnioski

38. Ataki na IoT

40. DDoS.
Kradzież danych.
Oszustwa reklamowe.
Wydobywanie kryptowalut.
Spam, Phishing.
Szpiegowanie.
Zagrożenia dla IoT

41. DDoS dla IoT

42. DDoS dla IoT

43. Włączanie urządzeń IoT do botnetów

44. 300% - o tyle wzrosła częstotliwość ataków DDoS w I połowie 2023 roku,
co spowodowało 2,5 mld USD strat.
90% ataków opierało się na botnetach.
Wzrost z 200 tys. w 2022 roku na ponad 1 mln urządzeń w 2023 roku.
Moc ataku wzrosła z 300 Gb/s w 2022 roku na 800 Gb/s w 2023 roku.
Skala zagrożeń

45. ● Wzrost liczby ataków DDoS (FinTech).
● Wzrost liczby urządzeń IoT o 18%
do 14,4 mld w 2023 r.
i prognozowany do 27 mld do 2025 r.
● Urządzenia IoT będą miały coraz większy wpływ
na naszą prywatność.
Prognozy na lata 2023-2025

46. Edukacja w zakresie bezpiecznych praktyk IoT - nie tylko siebie,
ale także współlokatorów.
Współpraca i dzielenie się zagrożeniami m.in. z Inicjatywami tj. Cyber Threat
Alliance i Joint Cyber Defense Collaborative.
Regularne aktualizacje urządzeń.
Jak się bronić przed zainfekowaniem?

47. Wdrożenie wielowarstwowych protokołów bezpieczeństwa.
Inwestycja w specjalistyczne rozwiązania do ochrony przed atakami DDoS
np. od Gcore.
Jak się bronić przed atakami DDoS z użyciem botnetów?

48. 💠 Obrona przed atakami DDoS opartymi na IoT to nieustająca walka.
💠 Rozumiejąc obecne rozwiązania, inwestując w specjalistyczne technologie,
oraz wspierając kulturę czujności i współpracy, można znacznie zmniejszyć ryzyko
organizacyjne i pomóc utorować drogę do bezpieczniejszego cyfrowego otoczenia
w obliczu eskalacji zagrożeń.
Wnioski

49. Podsumowanie

50. 💠 Dbaj o bezpieczeństwo w sieci - na poziomie prywatnym oraz organizacji.
💠 Pamiętaj o zasadzie Zero Trust.
💠 Regularnie aktualizuj.
💠 Korzystaj z unikalnych haseł (najlepiej passphrase) i menedżerów haseł.
💠 Poszerzaj świadomość o zagrożeniach.
💠 Pobieraj aplikacje z zaufanych źródeł.
💠 Ograniczaj korzystanie z zewnętrznych sieci.
Podsumowanie

51. tsh.io
Dziękuję za uwagę
Życzę wszystkiego bezpiecznego! :)