Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Bezpečnostné incidenty
Mgr. Martin Jurčík
2014
Čo sa (ne)dozviete ...
Publikum
Vybrané
bezpečnostné
hrozby
Ukážky bezpečnostných
incidentov
Bezpečnosť
Obsah
Predchádzanie
bezpečnostným
incidentom
Partneri pri riešení
bezpečnostných
incidentoch
Záver
Čo robiť keď ...
Obsah
Publikum
Publikum
• Čo si predstavujete pod ...
Bezpečnostná udalosť
Bezpečnostný incident
Správa bezpečnostných incidentov
Publikum
• Kto spravuje Vašu infraštruktúru, aplikácie, servery, ...?
• Koho zavoláte, keď nastane problém a treba ho riešiť?
• Kto u Vás sleduje vývoj a stav incidentu?
• Prijímate opatrenia voči vzniku incidentu?
I. Časť – Bezpečnosť
BezpečnosťSecurity Threats
Human
Malicious Non-Malicious
Natural Disasters
Outsider likeCrackers or
Hackers
Insider likeDisgruntledEmployees
Floods, FiresEarthquakes,Hurricanes
Ignorant Employees
BezpečnosťSecurity Threats
Human
Malicious Non-Malicious
Natural Disasters
Outsider likeCrackers or
Hackers
Insider likeDisgruntledEmployees
Floods, FiresEarthquakes,Hurricanes
Ignorant Employees
Bezpečnosť• Udalosť vs. Incident
• Bezpečnostná udalosť Záznam z bezpečnostného zariadenia
Log z FW, IDS, IPS, ....
• Bezpečnostný incident Vyhodnotenie bezpečnostnej udalosti na základe bezpečnostnej
politiky prijatej v organizácií
Udalosť, ktorá bezprostredne ohrozila aktívum alebo činnosť organizácie
Bezpečnosť• Čo rieši správca systémov
Bezpečnosť
• Čo rieši bezpečnostný manažér:
• Bezpečnosť organizácie a dodržiavanie bestpractices z oblasti (informačnej) bezpečnosti
Bezpečnosť• Čo rieši All in One:
• Všetko a nič zároveň
• Protichodné požiadavky
Bezpečnosť• Bezpečnostná politika
Hlásenie
Udalosť
Incident
Hrozba
Zraniteľnosť Varovanie
Bezpečnostná politika
Opatrenia
II. Časť – Vybrané bezpečnostné hrozby
Vybrané bezpečnostné hrozby
• Bot
• Bruteforce
• Data Crawling
• DDoS
• Defacement
• Pharming
• Phishing
• Ransomware
• Reconnaissance
• SPAM
• ?????
Vybrané bezpečnostné hrozby
• Bot
• Bruteforce
• Data Crawling
• DDoS
• Defacement
• Pharming
• Phishing
• Ransomware
• Reconnaissance
• SPAM
• Users
Vybrané bezpečnostné hrozby
• Bot
Definícia• Internetový robot (bot) je počítačový program, ktorý pre svojho
majiteľa opakovane vykonáva nejakú rutinnú činnosť - obvykle odosiela a spracováva požiadavky na služby vzdialených serverov
• Botnet
• Bot herder
• C&C servery
• Zombie
Vybrané bezpečnostné hrozby
• Botnet - Použitie
Vybrané bezpečnostné hrozby
• Botnet
Životný cyklus1. Bot herder – konfigurácia bota
C&C server
+ ciele, spôsob útoku na ostatné počítače, ...
2. Registrácia dynamického DNS záznamu
3. Registrácia statickej IP adresy
4. Rozšírenie prvej dávky botov
5. Boti vykonávajú svoju činnosť a šíri sa
6. Komunikácia s C&C+
7. Prenechanie botov v prospech iného botnetu
Vybrané bezpečnostné hrozby
• Botnet
Druhy útokov (príklady)1. Denial of Service
2. Adware – reklama podhadzovaná obeti útočníkom (bannery)
3. Spyware
4. Spam
5. „Platené klikanie“
Vybrané bezpečnostné hrozby
• Bruteforce
Definícia• Útok hrubou silou je systematické testovanie všetkých možných
kombinácií alebo obmedzenej podmnožiny všetkých kombinácií
• Zložitosť = počet všetkých kombinácií
• Meno a heslo
• Hash hesla
Hardware• CPU
• GPU
Vybrané bezpečnostné hrozby
• Bruteforce
Software• Slovníkový útok
• Rainbow Tables
abcdefgh ad5rtH R1 crypto vt#85H R2 linux
password ju4rklH R1 desktop abnjnH R2 notepad
xerox mut3lH R1 table h7u3jH R2 root
Vybrané bezpečnostné hrozby
• Bruteforce Obeť – Web Server
Vybrané bezpečnostné hrozby
• Bruteforce Útočník
Vybrané bezpečnostné hrozby
• Data Crawling
Definícia• Web crawler je internetový bot, ktorý systematicky prehľadáva
World Wide Web, zväčša za účelom indexácie
• Prezerajú HTML kód kvôli hyperlinkom –> Web Scraping
Použitie• Web search engines – indexácia a následná aktualizácia
webového obsahu
Príklady• Bingbot, Googlebot, Yahoo! Slurp
• Swiftbot, WebFountain, WebCrawler, WWW Worm
• HTTrack, Scrapy, …
Vybrané bezpečnostné hrozby
• (Distributed) Denial of Service útok
Definícia• Je to technika útoku na internetové služby alebo stránky, pri
ktorej dochádza k zahlteniu požiadavkami a k pádu aleboaspoň k nefunkčnosti a nedostupnosti pre používateľov
Príklady• Smurf útok (ICMP Echo útok)
• Ping-flood
• SYN flood
• Tiny Fragment útok
• Teardrop útok
• Overlapping Fragment útok
• Unnamed útok
• Peer-to-peer útok
• Reflected/Spoofed útok
• DNS Amplification útok
• NTP Amplification útok
Vybrané bezpečnostné hrozby
• Distributed Denial of Service útok
Vybrané bezpečnostné hrozby
• Defacement
Definícia• Je to útok na webovú stránku s cieľom zmeniť jej vzhľad
Metódy• SQL injection – administrátorské oprávnenia
• FTP prístup
Dôvody• Náboženské
• Politické
• Poškodenie dobrého mena
• Vlastná prezentácia
• Šírenie poplašnej správy
Vybrané bezpečnostné hrozby
• Defacement Príklady
Vybrané bezpečnostné hrozby
• Defacement Príklady
Vybrané bezpečnostné hrozby
• Defacement Príklady
Vybrané bezpečnostné hrozby
• Defacement Príklady
Vybrané bezpečnostné hrozby
• Defacement Príklady
Vybrané bezpečnostné hrozby
• Defacement Príklady
Vybrané bezpečnostné hrozby
• Defacement Príklady
Vybrané bezpečnostné hrozby
• Pharming
Definícia• Podvodná technika na získanie citlivých údajov
Technika• Napadnutie DNS a prepísanie IP adresy
Dôsledok• Presmerovanie na falošné stránky po napísaní URL adresy
v prehliadači
• Súbor hosts
Vybrané bezpečnostné hrozby
• Pharming
Vybrané bezpečnostné hrozby
• Phishing
Definícia• Podvodná technika na získanie citlivých údajov pomocou
napr. sociálneho inžinierstva.
Techniky• Manipulácia s URL linkom
Spoofovaná web stránka
Využívanie poddomén
Preklepy a skresľovanie odkazov
• Skracovanie domén
Twitter, FB, Google+
• Filter evasion
Namiesto url linku iba obrázok
• Phishing
Techniky• Website forgery (podvrhnutie stránok)
JavaScript prekryje address bar
• Obrázok legit. adresy
Cross-site scripting
• PayPal 2006
MitM Phishing Kit – 2007
Phlashing
• Flash-based web stránky
• Text v multimediálnych objektoch
• Voice phishing (Vishing) alebo Phone phishing
Vybrané bezpečnostné hrozby
Vybrané bezpečnostné hrozby
• Phishing
Techniky • A iné:
Popup okno s prihlasovaním sa
Tabnabbing
• Útok na záložky v prehliadači
• Tiché presmerovanie na falošnú web stránku
Evil twin (Wireless siete)
• Falošná Wireless sieť
• Snaha o odchytenie dôverných údajov
Vybrané bezpečnostné hrozby
• Phishing
Definícia• Podvodná technika na získanie citlivých údajov pomocou
napr. sociálneho inžinierstva
Druhy phishingu• Phishing
• Spear phishing
• Clone phishing
• Whaling – High progile targets
• Rouge WiFi (MitM)
• Vishing
• Phlashing
Vybrané bezpečnostné hrozby
• Ransomware
Definícia• Druh škodlivého kódu (malware), ktorý bráni v používaní
infikovaného počítača. Vyžaduje zaplatenie výkupného (ransom) za odblokovanie počítača
Činnosť• Šíri sa ako trojan, resp. červ, cez stiahnutý a spustený súbor alebo
cez chybu v zabezpečení systému (browser, OS, ...)
Verzie správania sa• Zamknutie PC
Windows Shell
Master boot record
Zmena diskového oddielu
• Šifrovanie lokálneho disku
• Šifrovanie všetkých aj sieťových diskov
Vybrané bezpečnostné hrozby
• Ransomware
Vybrané bezpečnostné hrozby
• Ransomware
Vybrané bezpečnostné hrozby
• Ransomware
• Reconnaissance – Information Gathering
Definícia• Neautorizované vyhľadávanie a mapovanie systémov, služieb
alebo zraniteľností
Činnosť• Získavanie informácií o systémoch, službách a ich verziách.
Následne nastáva pokus o prístup alebo DoS útok
Postup útočníka• Čo a kde žije
• Získanie maximálneho množstva informácií
Analógia• Lupič skúma okolie, aby si lepšie vytipoval dom/byt, ktorý
vykradne
Vybrané bezpečnostné hrozby
• SPAM
Definícia• Nevyžiadaná a hromadne rozposielaná správa
• Nadmnožina phishingu
Činnosť• Zneužívanie elektronickej komunikácie za účelom šírenia reklamy
alebo šírenie škodlivého obsahu
Typy• E-mailový spam
• Diskusný spam
Pôvod• SPAM lančmít na jedálnom lístku - Monty Python 1970
Vybrané bezpečnostné hrozby
Vybrané bezpečnostné hrozby
• SPAM
Vybrané bezpečnostné hrozby
User as Ignorant Employee
Vybrané bezpečnostné hrozby
User with admin privileges
III. Časť– Ukážky bezpečnostných incidentov
Všeobecný útokTypical phases of common attacks
Reconnaissance
Weaponization
Delivery
Exploitation
Installation
Harvesting e-mail address, conference information, ...
Coupling exploit with backdoorinto deliverable payload
Delivering weaponized bundle to the victim via e-mail, web, USB, ...
Exploiting a vulnerability to execute code on victim system
Installing malware on the asset
Command & Control
Action on Objectives
Command channel for remotemanipulation of victim
Intruders accomplish theiroriginal goal
Cielený útok
Typical phases of targeted attacks
Reconnaissance
Incursion
Discovery
Capture
Exfiltration
Find information about the target
Access/infect the first computer
Map the network, infect more
Copy the desired information
Send the data back to the attacker
Útočník
Motivácia
• Profit • Ukradnuté informácia
• Blackmailing
• Nespokojní zamestnanci• Nepodceňovať
• Poznajú prostredie
• Škoda
Praktické ukážky
Botnet
Mac.BackDoor.iWorm - 2014• Mac OS X
• 17k infikovaných PC
• Šifrovanie
• Žiadna činnosť
Nemanja - 2014• MS Windows
• 1478 infikovaných predajných POS terminálov
• Údaje o platobných kartách + keylogger
• Odosielali sa časti operačnej pamäte
• Nedostatočné zabezpečenie pre vzdialený prístup, surfovanie zamestnancov, podplácanie zamestnancov obchodov
Praktické ukážky
Botnet - Bank Trojans - 2013
Zeus - Public
IceIX - Public
Citadel – Public/Private
Gameover Zeus - Private
Shylock - Private
Bugat - Private
Gozi - Private
Torpig - Private
Praktické ukážky
Botnet - Bank Trojans 2013
Feature MITB RedirectBack
connectScreenshots
Videocapture
ProxyCertificate
stealer
Zeus Y Y Y Y Y Y Y
IceIX Y Y Y Y Y Y Y
Citadel Y Y Y Y Y Y Y
Gameover Y Y Y Y Y Y
Shylock Y Y Y Y Y
Bugat Y Y Y Y Y Y
Gozi Y Y Y Y
Torpig Y Y Y Y Y Y
Zeus
Objavený v 2007• Credential-theft attack targeting the United States Department
of Transportation
Máj 2011• Zeus 2.0.8.9 source code
Zeus toolkit:• Builder
• Aktuálna verzia Trojan horse malware
• C2 web panel
Komunikácia:• Port 80
Config súbor -> C2 server – individuálna skupina
Webinject module
Praktické ukážky
Praktické ukážkyIceIX
Credential-theft attack
Derivát • Zeus 2.x source code
Zeus toolkit
Features:• Crypto modul používa custom RC4 algorithm
• Network modul používa HTTP POST requests na stiahnutie konfiguračných súborov
• Verzionovanie je rozdielne
Praktické ukážkyIceIX
Praktické ukážkyCitadel
Derivát • Zeus 2.x source code
Zeus toolkit
Schopnosti:• AES enkrypcia pre komunikáciu a konfiguračný súbor
• Vyhnutie sa sledovaniu
• Blokovanie prístupu na bezpečnostné stránky
• Nahrávanie videa
Config súbor -> C2 server – individuálna skupina
Dynamic webinjection• webinjects_update dual "webinjects/new.js„
• Webinject vs. Config súbor vs Vypnuté
Praktické ukážkyCitadel
Pasívne funkcie • HTTP session redirection
• Web injections (MITB attack)
• FTP credential theft
• POP3 credential theft
• Flash files control
• Keystroke logging
• Screen capture
• Video recording of activities
Praktické ukážkyCitadel
Aktívne funkcie • OS — shutdown, reboot
• FS — search, download, upload
• Bot — install, uninstall, add, remove, httpinject enable/disable
• User — logoff, url_block, certs_get, homepage_set, execute, destroy
• DDoS — start, stop
• Module — execute enable/disable, download enable/disable
• Info — system info
Praktické ukážkyCitadel
Vylepšenia
• Support for hooking and monitoring Chrome activity
• Standard RC4 -> 128-bit AES
• Sandbox detection
• Video capture
• Denial of service
• Automated command execution — a series of pre-defined commands
• Aggressive DNS filtering
Praktické ukážkyCitadel
Varianta 3.1
• Máj 2013
• Šírenie cez externé zariadeniaUSB – autorun.inf
• Port scan
• Nová enkryptovacia vrstva
Praktické ukážkyGameover Zeus (Zeus P2P) Júl 2011 - Derivát
• Zeus 2.x source code
Šírenie cez masívnu SPAM kampaň
TCP a UDP peer-to-peer komunikácia
TCP:• Prenos malware dát – config a exe aktualizácie
UDP:• Správa P2P infraštruktúry
Generuje BotID
Ukradnuté dáta cez HTTP proxy + RC4
DGA – Domain generation algorithm• Dynam. generuje pool 1 000 doménových mien každý deň
• Zoznam je použitý pokiaľ nefunguje P2P sieť na získanie peerlistu
Praktické ukážkyShylock (Caphaw) 2011 - Derivát
• Zeus 2.x source code
2013• Plugin na šírenie cez Skype
• Bootkit plugin
Šírenie cez masívnu SPAM kampaň, cez externé zariadenia a lokálnu sieť
HTTPS na komunikáciu
Schopnosti• Vloženie – HTML a JavaScript
• Ukradnutie a zmazanie – HTML a Flash cookie
• Screenshot
• Record video
• Inštalovaný software
Praktické ukážkyShylock (Caphaw)
User-mode rootkit
Plugins:
• Archiver — Compress and upload recorded video files to remote servers
• Backsocks — Fully functional reverse (backconnect) SOCKS proxy server allows external attackers to tunnel traffic through the compromised system into the internal (target) network
• Vnc — Provides attackers with a remote connection to compromised devices
• Diskspread — Allows Shylock to spread via removable drives
• Ftpgrabber — Supports password theft from various applications
• MsgSpread — Allows Shylock to proliferate through Skype instant messages
• SpBot — Allows Shylock operators to use victims' systems as a spam bot
Praktické ukážkyShylock (Caphaw)
Webinject modul:
• WinInet for Internet Explorer and other web browsers that use WinInet
• NSPR and NSS functions for the Netscape and Firefox web browsers
• The send() Windows Sockets API function to monitor network activity for websites that use HTTP basic authorization
Praktické ukážkyBugat (Cridex, Feodo)
2010 – alternatíva ku Zeus botnetu
Centralizovaný botnet
Používa HTTP, RSA a RC4
Webinject modul – XML formát konfiguračného súboru
Schopnosti• Capture all form data from SSL pages by default
• Use a downloaded configuration file to obtain targeted and exempted URLs for further manipulation, including HTML injection
• Archive, search, and execute local files
• Steal FTP and POP3 credentials from victims' systems
Praktické ukážkyGozi (Usnif, Papras, Snifula)
2007
SPAM kampaň
Následne vznikol Neverquest trojan• Šírení cez social media, spam emails a file transfer protocols
Postihuje IE a Mozilla Firefox
Inštaluje sa ako DLL do systému a kontaktuje server
VNC pre útočníka
Zbiera:• FTP, SMTP, POP údaje
• Finančné dáta + dáta od Google, Yahoo, Amazon AWS, Facebook, Twitter a Skype
Praktické ukážkyTorpig (Sinowal, Anserin)
2006
Post-authentication Man-in-the-Browser (MITB) content manipulation attacks
Emuluje správanie používateľa v prehliadači, vytvára oneskorenia, pohybuje kurzorom medzi rôznymi vstupnými poliami
Komplexná sieťová infraštruktúra
Exploity pre AxtiveX, Adobe a Java pluginy
Všetko je ako DLL v System32
Hook na explorer.exe
Praktické ukážkyTorpig (Sinowal, Anserin)
Schopnosti:• IE, Mozilla Firefox, Chrome
• Krádež hesiel a certifikátov
• Remote desktop
DGA – Domain generation algorithm• Deterministický – každý bot má rovnaký zoznam
Na komunikáciu používa certifikáty – public a private keys
Inject HTML a JavaScript
Praktické ukážky
CosmicDuke – 2014
Praktické ukážky
CosmicDuke – 2014
• Šírenie *.pdf - exploit je obsiahnutý v dokumente – Flash objekt v súbore
*.docx - Bolo zaznamenané šírenie sa pomocou *.docx dokumentu pre Microsoft Word informujúcom ohľadne sankcií EU voči Ruskej federácii. Po jeho otvorení je používateľ vyzvaný, aby povolil makráa externý obsah (ak už nie sú povolené)
Praktické ukážky
CosmicDuke – 2014
• *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *.ppsx; *.pst; *.ost; *psw*; *pass*; *login*; *admin*; *sifr*; *sifer*; *vpn; *.jpg; *.txt; *.lnk; *.dll; *.tmp; *.obj; *.ocx; *.js
Praktické ukážkyCosmicDuke – 2014
• Schopnosti Keylogger
Skype password stealer
General network information harvester
Screen grabber (grabs images every 5 minutes)
Clipboard grabber (grabs clipboard contents every 30 seconds)
Microsoft Outlook, Windows Address Book stealer
Google Chrome password stealer
Google Talk password stealer
Opera password stealer
Praktické ukážkyCosmicDuke – 2014
• Schopnosti TheBat! password stealer
Firefox, Thunderbird password stealer
Drives/location/locale/installed software harvester
WiFi network/adapter information harvester
LSA secrets harvester
Protected Storage secrets harvester
Certificate/private keys exporter
URL History harvester
InteliForms secrets harvester
IE Autocomplete, Outlook Express secrets harvester
Praktické ukážkyCosmicDuke – 2014
• Pokúša sa ukončiť procesy: cmd.exe
savadminservice.exe
scfservice.exe
savservice.exe
ekrn.exe
msseces.exe
MsMpEng.exe
dwengine.exe
ekern.exe
nod32.exe
nod32krn.exe
AvastUi.exe
AvastSvc.exe
kav.exe
navapsvc.exe
mcods.exe
mcvsescn.exe
outpost.exe
acs.exe
avp.exe
Praktické ukážkyCosmicDuke – 2014
• Sieťová aktivita: http://algherolido.it/img/common/thumb/thumb.php
http://rtproductionsusa.com/wp-includes/images/smilies/icon_gif.php
http://tangentialreality.com/cache/template/yoo_cache.php
http://store.extremesportsevents.net/index.php?i=62B
• IP adresy FTP serverov: 178.21.172.157
188.116.32.164
176.74.216.14
178.63.149.142
188.241.115.41
195.43.94.104
95.154.228.106 199.231.188.109 46.246.120.178 94.242.199.88 178.170.164.84 212.76.128.149 91.224.141.235
Praktické ukážky
Word Press – Information Gathering
Meta dáta v <HEAD> tagu• <meta name="generator" content="WordPress 3.5.2" />
Info v súbore• examplesite.com/readme.html
Prechádzanie adresárovej štruktúry• /wp-content/
• /wp-content/plugins/
• /wp-content/themes/
• /uploads/
• /images/
Praktické ukážky
Word Press – Information Gathering
Identifikácia pluginov• Nástroje
Využitie zraniteľnosti• HTTP headers, X-Powered-By header
Enumerácia používateľov• wordpressexample.com/?author=1
• BruteForce wp-login
Praktické ukážky
Ovládnutie CMS - WordPress
Praktické ukážky
Ovládnutie CMS - WordPress
Praktické ukážky
Ovládnutie CMS - WordPress
Praktické ukážky
Ovládnutie CMS - WordPress
Praktické ukážky
Ovládnutie CMS - WordPress
Phishing
• Phishing Test - pravidlá
10Q a 10A
Demokratické rozhodnutie
Časový limit max. 30s/otázka
Phishing Testy
http://www.sonicwall.com/furl/phishing/
http://www.opendns.com/phishing-quiz/
http://survey.mailfrontier.com/survey/quiztest.cgi?themailfrontierphishingiqtest
http://survey.mailfrontier.com/survey/phishing_uk.html
https://phishingquiz.mcafee.com/
Phishing Test –Q1
Phishing Test –Q2
Phishing Test –Q3
Phishing Test –Q4
Phishing Test –Q5
Phishing Test –Q6
Phishing Test –Q7
Phishing Test –Q8
Phishing Test –Q9
Phishing Test –Q10
Phishing Test –A1
Phishing Test –A2
Phishing Test –A3
Phishing Test –A4
Phishing Test –A5
Phishing Test –A6
Phishing Test –A7
Phishing Test –A8
Phishing Test –A9
Phishing Test –A10
Phishing alebo SPAM (SR)
Phishing alebo SPAM (SR)
Phishing alebo SPAM (SR)
Phishing alebo SPAM (SR)
Phishing alebo SPAM (SR)
Phishing alebo SPAM (SR)
Phishing alebo SPAM (SR)
Praktické ukážky
Information Gathering www.google.com
www.shodanhq.com
Únik (citlivých) informácií E-mailové účty aj s heslami
Podozrenie na únik administrátorských účtov aj s heslami
Únik osobných údajov
Praktické ukážky
• Únik (citlivých) informácií
Adobe
• Október 2013 – prienik do siete
3 mil. používateľov
• 38 mil. aktívnych používateľov
• 150 mil. dvojíc username/password
• Triple DSE (3DES) v ECB móde
• Viacnásobný výskyt hesla nebol ošetrený
Bytovo rovnaký
• DB obsahovala aj password hints v plaintexte
Praktické ukážky• Únik (citlivých) informácií – Adobe 2013
# Count Ciphertext Plaintext
1. 1 911 938 EQ7fIpT7i/Q= 123456
2. 446 162 j9p+HwtWWT86aMjgZFLzYg== 123456789
3. 34 5834 L8qbAD3jl3jioxG6CatHBw== password
4. 211 659 BB4e6X+b2xLioxG6CatHBw== adobe123
5. 201 580 j9p+HwtWWT/ioxG6CatHBw== 12345678
6. 130 832 5djv7ZCI2ws= qwerty
7. 124 253 dQi0asWPYvQ= 1234567
8. 113 884 7LqYzKVeq8I= 111111
9. 83 411 PMDTbP0LZxu03SwrFUvYGA== photoshop
10. 82 694 e6MPXQ5G6a8= 123123
11. 76 910 j9p+HwtWWT8/HeZN+3oiCQ== 1234567890
12. 76 186 diQ+ie23vAA= 000000
13. 70 791 kCcUSCmonEA= abc123
14. 61 453 ukxzEcXU6Pw= 1234
15. 56 744 5wEAInH22i4= adobe1
16. 54 651 WqflwJFYW3+PszVFZo1Ggg== macromedia
17. 48 850 hjAYsdUA4+k= azerty
18. 47 142 rpkvF+oZzQvioxG6CatHBw== iloveyou
19. 44 281 xz6PIeGzr6g= aaaaaa
20. 43 670 Ypsmk6AXQTk= 654321
21. 43 497 4V+mGczxDEA= 12345
22. 37 407 yp2KLbBiQXs= 666666
23. 35 325 2dJY5hIJ4FHioxG6CatHBw== sunshine
24. 34 963 1McuJ/7v9nE= 123321
25. 33 452 yxzNxPIsFno= letmein
Praktické ukážky• Únik (citlivých) informácií – Adobe 2013
# Count Ciphertext Plaintext
26. 32549 dCgB24yq9Bw= monkey
27. 31554 dA8D8OYD55E= asdfgh
28. 28349 L8qbAD3jl3jSPm/keox4fA== password1
29. 28303 zk8NJgAOqc4= shadow
30. 28132 Ttgs5+ZAZM7ioxG6CatHBw== princess
31. 27853 pTkQrKZ/JYM= dragon
32. 27840 2aZl4Ouarwm52NYYI936YQ== adobeadobe
33. 27720 NpVKrCM6pKw= daniel
34. 27699 Dts8klglTQDioxG6CatHBw== computer
35. 27415 4aiR1wv9z2Q= michael
36. 27387 XpDlpOQzTSE= 121212
37. 26502 ldvmctKdeN8= charlie
38. 25341 5nRuxOG9/Ho= master
39. 24499 y7F6CyUyVM/ioxG6CatHBw== superman
40. 24372 R3jcdque71gE+R+mSnMKEA== qwertyuiop
41. 23417 TduxwnCuA1U= 112233
42. 23157 2hD1nmJUmh3ioxG6CatHBw== asdfasdf
43. 22719 MyFBO2YW+Bw= jessica
44. 22672 cSZM/nlchzzioxG6CatHBw== 1q2w3e4r
45. 22204 Vqit1GVLLek= welcome
46. 22180 e+4n2zDarnvioxG6CatHBw== 1qaz2wsx
47. 22143 ZHgi8hFCTvrSPm/keox4fA== 987654321
48. 22103 OrzNCxMfwrw= fdsa
49. 21795 4chDWZgI7v0= 753951
50. 21449 vp6d18mfGL+5n2auThm2+Q== chocolate
IV. Časť– Predchádzanie bezpečnostným incidentom
Predchádzanie bezpečnostnýmincidentom
• Bezpečnostná politika v rámci organizácie
Papierová bezpečnosť
Pracovné postupy
Business continuity plán
Risks management
Predchádzanie bezpečnostnýmincidentom
• Bezpečnosť v rámci organizácie
Správa účtov
Bezpečnosť webových administrátorských rozhraní
Generické administrátorské účty
Antivírusové riešenie
Logovacie politiky
Prenosné média
Bring Your Own Device (BYOD)
Predchádzanie bezpečnostnýmincidentom
• Bezpečnosť v rámci organizácie Aktualizácie
Heslá
Zálohovanie
Vypnúť ActiveX, makrá a blokovať externý obsah.
Poučenie zamestnancov• URL odkazy
Neotvárať URL odkaz priamo z e-mailu alebo webovej stránky, nakoľko skutočná URL adresa môže byť maskovaná
Najskôr skopírovať priamo cieľovú URL adresu do nového okna prehliadača ručne
Porovnanie textu URL odkazu v tele e-mailu a skutočnej adresy v prehliadači môže odhaliť snahu a presmerovanie na inú adresu
Predchádzanie bezpečnostnýmincidentom
• Bezpečnosť v rámci organizácie Poučenie zamestnancov
• Legitimita e-mailu
• Prílohy e-mailov
• Forma emailu
Počet prijímateľov
Podpis odosieľatela
Čistý text a absencia loga
Telo e-mailu vo forme obrázku
Korektnosť gramatiky a pravopisu
Textácia e-mailu
URL odkazy
Požiadavka na osobné údaje
Predchádzanie bezpečnostnýmincidentom
• Infraštruktúra
Segmentácia siete
FW -White vs. Black Lists
IDP alebo IPS
NET Flow
VPN
V. Časť– Čo robiť keď ...
Čo robiť keď máme ...• Bot/Botnet
Scenár• Na Vašej IP 85.216.253.214 máte bota
• Komunikuje s IP 76.54.48.13 port 80
• Request GET /index.php?id=za 49we09trhww498q0c
Identifikácia• Logy – Sieťová aktivita – FW, IDS/IPS, NetFlow
Riešenie• Nájdenie koncovej stanice
• Analyzovanie koncovej stanice (napr. forenzna )
• Reinštalácia koncovej stanice
• Zmena hesiel!!!
Čo robiť keď máme ...• Defacement
Scenár• Kompromitácia webového servera
Identifikácia• Kde vôbec je ten server?
• Logy – Sieťová aktivita – FW, IDS/IPS, NetFlow
Riešenie• Forenzne analyzovanie servera
• Obnova zálohy
• Prijatie protiopatrení na základe analýzy
• Zmena hesiel!!!
Čo robiť keď máme ...• Zraniteľnosť
Scenár• Zistili ste (bolo Vám oznámené – autorita, vendor), že Vaša
infraštruktúra je zraniteľná
Java
MS Office
DB
Podkladový systém
Vyhodnotenie
Prijatie protiopatrení
Čo robiť keď incident nastal ...• Riadiť sa internými postupmi
• Zabezpečiť materiál pre analýzu
• Prijať protiopatrenia
• Na zamyslenie:
Šíri sa to?
Uniklo to mimo?
Aký to má dopad?
• Kontaktovať:
Národné kompetentné autority
VI. Časť - Partneri pri riešení bezpečnostných incidentoch
Partneri pri riešení bezpečnostných incidentoch
• CSIRT/CERT Komunita
CSIRT.SK v SR
• Vendor bezpečnostných zariadení a aplikácií Nezamieňať s dodávateľom!!!
• Computer Security Incident Response Team Slovakia
Národná informačná a komunikačná Infraštruktúra
Kritická Informačná Infraštruktúra
• Aktívne a Proaktívne Služby Varovania a Upozornenia
Metodiky
Analýzy
Zvyšovanie bezpečnostnéhopovedomia
• Spolupráca so zahraničím
CSIRT/CERT Komunita
Partneri pri riešení bezpečnostných incidentoch
VII. Časť – Záver
Záver• Kompromitácia CELÉHO zariadenia
• Poučenie koncových používateľov
• Nahlasovanie incidentov
• Spolupráca
Bezpečnostný incident sa netýka iba Vás
Ďakujem
Vám
za pozornosť!