ezpečnostné incidenty · Publikum • Kto spravuje Vašu infraštruktúru, aplikácie, servery, ...? • Koho zavoláte, keď nastane problém a treba ho riešiť? • Kto u Vás

Bezpečnostné incidenty

Mgr. Martin Jurčík

2014

Čo sa (ne)dozviete ...

Publikum

Vybrané

bezpečnostné

hrozby

Ukážky bezpečnostných

incidentov

Bezpečnosť

Obsah

Predchádzanie

bezpečnostným

incidentom

Partneri pri riešení

bezpečnostných

incidentoch

Záver

Čo robiť keď ...

Obsah

Publikum

Publikum

• Čo si predstavujete pod ...

Bezpečnostná udalosť

Bezpečnostný incident

Správa bezpečnostných incidentov

Publikum

• Kto spravuje Vašu infraštruktúru, aplikácie, servery, ...?

• Koho zavoláte, keď nastane problém a treba ho riešiť?

• Kto u Vás sleduje vývoj a stav incidentu?

• Prijímate opatrenia voči vzniku incidentu?

I. Časť – Bezpečnosť

BezpečnosťSecurity Threats

Human

Malicious Non-Malicious

Natural Disasters

Outsider likeCrackers or

Hackers

Insider likeDisgruntledEmployees

Floods, FiresEarthquakes,Hurricanes

Ignorant Employees

BezpečnosťSecurity Threats

Human

Malicious Non-Malicious

Natural Disasters

Outsider likeCrackers or

Hackers

Insider likeDisgruntledEmployees

Floods, FiresEarthquakes,Hurricanes

Ignorant Employees

Bezpečnosť• Udalosť vs. Incident

• Bezpečnostná udalosť Záznam z bezpečnostného zariadenia

Log z FW, IDS, IPS, ....

• Bezpečnostný incident Vyhodnotenie bezpečnostnej udalosti na základe bezpečnostnej

politiky prijatej v organizácií

Udalosť, ktorá bezprostredne ohrozila aktívum alebo činnosť organizácie

Bezpečnosť• Čo rieši správca systémov

Bezpečnosť

• Čo rieši bezpečnostný manažér:

• Bezpečnosť organizácie a dodržiavanie bestpractices z oblasti (informačnej) bezpečnosti

Bezpečnosť• Čo rieši All in One:

• Všetko a nič zároveň

• Protichodné požiadavky

Bezpečnosť• Bezpečnostná politika

Hlásenie

Udalosť

Incident

Hrozba

Zraniteľnosť Varovanie

Bezpečnostná politika

Opatrenia

II. Časť – Vybrané bezpečnostné hrozby

Vybrané bezpečnostné hrozby

• Bot

• Bruteforce

• Data Crawling

• DDoS

• Defacement

• Pharming

• Phishing

• Ransomware

• Reconnaissance

• SPAM

• ?????


• Bot

• Bruteforce

• Data Crawling

• DDoS

• Defacement

• Pharming

• Phishing

• Ransomware

• Reconnaissance

• SPAM

• Users


• Bot

Definícia• Internetový robot (bot) je počítačový program, ktorý pre svojho

majiteľa opakovane vykonáva nejakú rutinnú činnosť - obvykle odosiela a spracováva požiadavky na služby vzdialených serverov

• Botnet

• Bot herder

• C&C servery

• Zombie


• Botnet - Použitie


• Botnet

Životný cyklus1. Bot herder – konfigurácia bota

C&C server

+ ciele, spôsob útoku na ostatné počítače, ...

2. Registrácia dynamického DNS záznamu

3. Registrácia statickej IP adresy

4. Rozšírenie prvej dávky botov

5. Boti vykonávajú svoju činnosť a šíri sa

6. Komunikácia s C&C+

7. Prenechanie botov v prospech iného botnetu


• Botnet

Druhy útokov (príklady)1. Denial of Service

2. Adware – reklama podhadzovaná obeti útočníkom (bannery)

3. Spyware

4. Spam

5. „Platené klikanie“


• Bruteforce

Definícia• Útok hrubou silou je systematické testovanie všetkých možných

kombinácií alebo obmedzenej podmnožiny všetkých kombinácií

• Zložitosť = počet všetkých kombinácií

• Meno a heslo

• Hash hesla

Hardware• CPU

• GPU


• Bruteforce

Software• Slovníkový útok

• Rainbow Tables

abcdefgh ad5rtH R1 crypto vt#85H R2 linux

password ju4rklH R1 desktop abnjnH R2 notepad

xerox mut3lH R1 table h7u3jH R2 root


• Bruteforce Obeť – Web Server


• Bruteforce Útočník


• Data Crawling

Definícia• Web crawler je internetový bot, ktorý systematicky prehľadáva

World Wide Web, zväčša za účelom indexácie

• Prezerajú HTML kód kvôli hyperlinkom –> Web Scraping

Použitie• Web search engines – indexácia a následná aktualizácia

webového obsahu

Príklady• Bingbot, Googlebot, Yahoo! Slurp

• Swiftbot, WebFountain, WebCrawler, WWW Worm

• HTTrack, Scrapy, …


• (Distributed) Denial of Service útok

Definícia• Je to technika útoku na internetové služby alebo stránky, pri

ktorej dochádza k zahlteniu požiadavkami a k pádu aleboaspoň k nefunkčnosti a nedostupnosti pre používateľov

Príklady• Smurf útok (ICMP Echo útok)

• Ping-flood

• SYN flood

• Tiny Fragment útok

• Teardrop útok

• Overlapping Fragment útok

• Unnamed útok

• Peer-to-peer útok

• Reflected/Spoofed útok

• DNS Amplification útok

• NTP Amplification útok


• Distributed Denial of Service útok


• Defacement

Definícia• Je to útok na webovú stránku s cieľom zmeniť jej vzhľad

Metódy• SQL injection – administrátorské oprávnenia

• FTP prístup

Dôvody• Náboženské

• Politické

• Poškodenie dobrého mena

• Vlastná prezentácia

• Šírenie poplašnej správy


• Defacement Príklady














• Pharming

Definícia• Podvodná technika na získanie citlivých údajov

Technika• Napadnutie DNS a prepísanie IP adresy

Dôsledok• Presmerovanie na falošné stránky po napísaní URL adresy

v prehliadači

• Súbor hosts


• Pharming


• Phishing

Definícia• Podvodná technika na získanie citlivých údajov pomocou

napr. sociálneho inžinierstva.

Techniky• Manipulácia s URL linkom

Spoofovaná web stránka

Využívanie poddomén

Preklepy a skresľovanie odkazov

• Skracovanie domén

Twitter, FB, Google+

• Filter evasion

Namiesto url linku iba obrázok

• Phishing

Techniky• Website forgery (podvrhnutie stránok)

JavaScript prekryje address bar

• Obrázok legit. adresy

Cross-site scripting

• PayPal 2006

MitM Phishing Kit – 2007

Phlashing

• Flash-based web stránky

• Text v multimediálnych objektoch

• Voice phishing (Vishing) alebo Phone phishing



• Phishing

Techniky • A iné:

Popup okno s prihlasovaním sa

Tabnabbing

• Útok na záložky v prehliadači

• Tiché presmerovanie na falošnú web stránku

Evil twin (Wireless siete)

• Falošná Wireless sieť

• Snaha o odchytenie dôverných údajov


• Phishing

Definícia• Podvodná technika na získanie citlivých údajov pomocou

napr. sociálneho inžinierstva

Druhy phishingu• Phishing

• Spear phishing

• Clone phishing

• Whaling – High progile targets

• Rouge WiFi (MitM)

• Vishing

• Phlashing


• Ransomware

Definícia• Druh škodlivého kódu (malware), ktorý bráni v používaní

infikovaného počítača. Vyžaduje zaplatenie výkupného (ransom) za odblokovanie počítača

Činnosť• Šíri sa ako trojan, resp. červ, cez stiahnutý a spustený súbor alebo

cez chybu v zabezpečení systému (browser, OS, ...)

Verzie správania sa• Zamknutie PC

Windows Shell

Master boot record

Zmena diskového oddielu

• Šifrovanie lokálneho disku

• Šifrovanie všetkých aj sieťových diskov


• Ransomware


• Ransomware


• Ransomware

• Reconnaissance – Information Gathering

Definícia• Neautorizované vyhľadávanie a mapovanie systémov, služieb

alebo zraniteľností

Činnosť• Získavanie informácií o systémoch, službách a ich verziách.

Následne nastáva pokus o prístup alebo DoS útok

Postup útočníka• Čo a kde žije

• Získanie maximálneho množstva informácií

Analógia• Lupič skúma okolie, aby si lepšie vytipoval dom/byt, ktorý

vykradne


• SPAM

Definícia• Nevyžiadaná a hromadne rozposielaná správa

• Nadmnožina phishingu

Činnosť• Zneužívanie elektronickej komunikácie za účelom šírenia reklamy

alebo šírenie škodlivého obsahu

Typy• E-mailový spam

• Diskusný spam

Pôvod• SPAM lančmít na jedálnom lístku - Monty Python 1970



• SPAM


User as Ignorant Employee


User with admin privileges

III. Časť– Ukážky bezpečnostných incidentov

Všeobecný útokTypical phases of common attacks

Reconnaissance

Weaponization

Delivery

Exploitation

Installation

Harvesting e-mail address, conference information, ...

Coupling exploit with backdoorinto deliverable payload

Delivering weaponized bundle to the victim via e-mail, web, USB, ...

Exploiting a vulnerability to execute code on victim system

Installing malware on the asset

Command & Control

Action on Objectives

Command channel for remotemanipulation of victim

Intruders accomplish theiroriginal goal

Cielený útok

Typical phases of targeted attacks

Reconnaissance

Incursion

Discovery

Capture

Exfiltration

Find information about the target

Access/infect the first computer

Map the network, infect more

Copy the desired information

Send the data back to the attacker

Útočník

Motivácia

• Profit • Ukradnuté informácia

• Blackmailing

• Nespokojní zamestnanci• Nepodceňovať

• Poznajú prostredie

• Škoda

Praktické ukážky

Botnet

Mac.BackDoor.iWorm - 2014• Mac OS X

• 17k infikovaných PC

• Šifrovanie

• Žiadna činnosť

Nemanja - 2014• MS Windows

• 1478 infikovaných predajných POS terminálov

• Údaje o platobných kartách + keylogger

• Odosielali sa časti operačnej pamäte

• Nedostatočné zabezpečenie pre vzdialený prístup, surfovanie zamestnancov, podplácanie zamestnancov obchodov

Praktické ukážky

Botnet - Bank Trojans - 2013

Zeus - Public

IceIX - Public

Citadel – Public/Private

Gameover Zeus - Private

Shylock - Private

Bugat - Private

Gozi - Private

Torpig - Private

Praktické ukážky

Botnet - Bank Trojans 2013

Feature MITB RedirectBack

connectScreenshots

Videocapture

ProxyCertificate

stealer

Zeus Y Y Y Y Y Y Y

IceIX Y Y Y Y Y Y Y

Citadel Y Y Y Y Y Y Y

Gameover Y Y Y Y Y Y

Shylock Y Y Y Y Y

Bugat Y Y Y Y Y Y

Gozi Y Y Y Y

Torpig Y Y Y Y Y Y

Zeus

Objavený v 2007• Credential-theft attack targeting the United States Department

of Transportation

Máj 2011• Zeus 2.0.8.9 source code

Zeus toolkit:• Builder

• Aktuálna verzia Trojan horse malware

• C2 web panel

Komunikácia:• Port 80

Config súbor -> C2 server – individuálna skupina

Webinject module

Praktické ukážky

Praktické ukážkyIceIX

Credential-theft attack

Derivát • Zeus 2.x source code

Zeus toolkit

Features:• Crypto modul používa custom RC4 algorithm

• Network modul používa HTTP POST requests na stiahnutie konfiguračných súborov

• Verzionovanie je rozdielne

Praktické ukážkyIceIX

Praktické ukážkyCitadel

Derivát • Zeus 2.x source code

Zeus toolkit

Schopnosti:• AES enkrypcia pre komunikáciu a konfiguračný súbor

• Vyhnutie sa sledovaniu

• Blokovanie prístupu na bezpečnostné stránky

• Nahrávanie videa

Config súbor -> C2 server – individuálna skupina

Dynamic webinjection• webinjects_update dual "webinjects/new.js„

• Webinject vs. Config súbor vs Vypnuté


Pasívne funkcie • HTTP session redirection

• Web injections (MITB attack)

• FTP credential theft

• POP3 credential theft

• Flash files control

• Keystroke logging

• Screen capture

• Video recording of activities


Aktívne funkcie • OS — shutdown, reboot

• FS — search, download, upload

• Bot — install, uninstall, add, remove, httpinject enable/disable

• User — logoff, url_block, certs_get, homepage_set, execute, destroy

• DDoS — start, stop

• Module — execute enable/disable, download enable/disable

• Info — system info


Vylepšenia

• Support for hooking and monitoring Chrome activity

• Standard RC4 -> 128-bit AES

• Sandbox detection

• Video capture

• Denial of service

• Automated command execution — a series of pre-defined commands

• Aggressive DNS filtering


Varianta 3.1

• Máj 2013

• Šírenie cez externé zariadeniaUSB – autorun.inf

• Port scan

• Nová enkryptovacia vrstva

Praktické ukážkyGameover Zeus (Zeus P2P) Júl 2011 - Derivát

• Zeus 2.x source code

Šírenie cez masívnu SPAM kampaň

TCP a UDP peer-to-peer komunikácia

TCP:• Prenos malware dát – config a exe aktualizácie

UDP:• Správa P2P infraštruktúry

Generuje BotID

Ukradnuté dáta cez HTTP proxy + RC4

DGA – Domain generation algorithm• Dynam. generuje pool 1 000 doménových mien každý deň

• Zoznam je použitý pokiaľ nefunguje P2P sieť na získanie peerlistu

Praktické ukážkyShylock (Caphaw) 2011 - Derivát

• Zeus 2.x source code

2013• Plugin na šírenie cez Skype

• Bootkit plugin

Šírenie cez masívnu SPAM kampaň, cez externé zariadenia a lokálnu sieť

HTTPS na komunikáciu

Schopnosti• Vloženie – HTML a JavaScript

• Ukradnutie a zmazanie – HTML a Flash cookie

• Screenshot

• Record video

• Inštalovaný software

Praktické ukážkyShylock (Caphaw)

User-mode rootkit

Plugins:

• Archiver — Compress and upload recorded video files to remote servers

• Backsocks — Fully functional reverse (backconnect) SOCKS proxy server allows external attackers to tunnel traffic through the compromised system into the internal (target) network

• Vnc — Provides attackers with a remote connection to compromised devices

• Diskspread — Allows Shylock to spread via removable drives

• Ftpgrabber — Supports password theft from various applications

• MsgSpread — Allows Shylock to proliferate through Skype instant messages

• SpBot — Allows Shylock operators to use victims' systems as a spam bot

Praktické ukážkyShylock (Caphaw)

Webinject modul:

• WinInet for Internet Explorer and other web browsers that use WinInet

• NSPR and NSS functions for the Netscape and Firefox web browsers

• The send() Windows Sockets API function to monitor network activity for websites that use HTTP basic authorization

Praktické ukážkyBugat (Cridex, Feodo)

2010 – alternatíva ku Zeus botnetu

Centralizovaný botnet

Používa HTTP, RSA a RC4

Webinject modul – XML formát konfiguračného súboru

Schopnosti• Capture all form data from SSL pages by default

• Use a downloaded configuration file to obtain targeted and exempted URLs for further manipulation, including HTML injection

• Archive, search, and execute local files

• Steal FTP and POP3 credentials from victims' systems

Praktické ukážkyGozi (Usnif, Papras, Snifula)

2007

SPAM kampaň

Následne vznikol Neverquest trojan• Šírení cez social media, spam emails a file transfer protocols

Postihuje IE a Mozilla Firefox

Inštaluje sa ako DLL do systému a kontaktuje server

VNC pre útočníka

Zbiera:• FTP, SMTP, POP údaje

• Finančné dáta + dáta od Google, Yahoo, Amazon AWS, Facebook, Twitter a Skype

Praktické ukážkyTorpig (Sinowal, Anserin)

2006

Post-authentication Man-in-the-Browser (MITB) content manipulation attacks

Emuluje správanie používateľa v prehliadači, vytvára oneskorenia, pohybuje kurzorom medzi rôznymi vstupnými poliami

Komplexná sieťová infraštruktúra

Exploity pre AxtiveX, Adobe a Java pluginy

Všetko je ako DLL v System32

Hook na explorer.exe

Praktické ukážkyTorpig (Sinowal, Anserin)

Schopnosti:• IE, Mozilla Firefox, Chrome

• Krádež hesiel a certifikátov

• Remote desktop

DGA – Domain generation algorithm• Deterministický – každý bot má rovnaký zoznam

Na komunikáciu používa certifikáty – public a private keys

Inject HTML a JavaScript

Praktické ukážky

CosmicDuke – 2014

Praktické ukážky

CosmicDuke – 2014

• Šírenie *.pdf - exploit je obsiahnutý v dokumente – Flash objekt v súbore

*.docx - Bolo zaznamenané šírenie sa pomocou *.docx dokumentu pre Microsoft Word informujúcom ohľadne sankcií EU voči Ruskej federácii. Po jeho otvorení je používateľ vyzvaný, aby povolil makráa externý obsah (ak už nie sú povolené)

Praktické ukážky

CosmicDuke – 2014

• *.exe; *.ndb; *.mp3; *.avi; *.rar; *.docx; *.url; *.xlsx; *.pptx; *.ppsx; *.pst; *.ost; *psw*; *pass*; *login*; *admin*; *sifr*; *sifer*; *vpn; *.jpg; *.txt; *.lnk; *.dll; *.tmp; *.obj; *.ocx; *.js

Praktické ukážkyCosmicDuke – 2014

• Schopnosti Keylogger

Skype password stealer

General network information harvester

Screen grabber (grabs images every 5 minutes)

Clipboard grabber (grabs clipboard contents every 30 seconds)

Microsoft Outlook, Windows Address Book stealer

Google Chrome password stealer

Google Talk password stealer

Opera password stealer


• Schopnosti TheBat! password stealer

Firefox, Thunderbird password stealer

Drives/location/locale/installed software harvester

WiFi network/adapter information harvester

LSA secrets harvester

Protected Storage secrets harvester

Certificate/private keys exporter

URL History harvester

InteliForms secrets harvester

IE Autocomplete, Outlook Express secrets harvester


• Pokúša sa ukončiť procesy: cmd.exe

savadminservice.exe

scfservice.exe

savservice.exe

ekrn.exe

msseces.exe

MsMpEng.exe

dwengine.exe

ekern.exe

nod32.exe

nod32krn.exe

AvastUi.exe

AvastSvc.exe

kav.exe

navapsvc.exe

mcods.exe

mcvsescn.exe

outpost.exe

acs.exe

avp.exe


• Sieťová aktivita: http://algherolido.it/img/common/thumb/thumb.php

http://rtproductionsusa.com/wp-includes/images/smilies/icon_gif.php

http://tangentialreality.com/cache/template/yoo_cache.php

http://store.extremesportsevents.net/index.php?i=62B

• IP adresy FTP serverov: 178.21.172.157

188.116.32.164

176.74.216.14

178.63.149.142

188.241.115.41

195.43.94.104

95.154.228.106 199.231.188.109 46.246.120.178 94.242.199.88 178.170.164.84 212.76.128.149 91.224.141.235

Praktické ukážky

Word Press – Information Gathering

Meta dáta v <HEAD> tagu• <meta name="generator" content="WordPress 3.5.2" />

Info v súbore• examplesite.com/readme.html

Prechádzanie adresárovej štruktúry• /wp-content/

• /wp-content/plugins/

• /wp-content/themes/

• /uploads/

• /images/

Praktické ukážky

Word Press – Information Gathering

Identifikácia pluginov• Nástroje

Využitie zraniteľnosti• HTTP headers, X-Powered-By header

Enumerácia používateľov• wordpressexample.com/?author=1

• BruteForce wp-login

Praktické ukážky

Ovládnutie CMS - WordPress

Praktické ukážky


Praktické ukážky


Praktické ukážky


Praktické ukážky


Phishing

• Phishing Test - pravidlá

10Q a 10A

Demokratické rozhodnutie

Časový limit max. 30s/otázka

Phishing Testy

http://www.sonicwall.com/furl/phishing/

http://www.opendns.com/phishing-quiz/

http://survey.mailfrontier.com/survey/quiztest.cgi?themailfrontierphishingiqtest

http://survey.mailfrontier.com/survey/phishing_uk.html

https://phishingquiz.mcafee.com/

Phishing Test –Q1

Phishing Test –Q2

Phishing Test –Q3

Phishing Test –Q4

Phishing Test –Q5

Phishing Test –Q6

Phishing Test –Q7

Phishing Test –Q8

Phishing Test –Q9

Phishing Test –Q10

Phishing Test –A1

Phishing Test –A2

Phishing Test –A3

Phishing Test –A4

Phishing Test –A5

Phishing Test –A6

Phishing Test –A7

Phishing Test –A8

Phishing Test –A9

Phishing Test –A10

Phishing alebo SPAM (SR)







Praktické ukážky

Information Gathering www.google.com

www.shodanhq.com

Únik (citlivých) informácií E-mailové účty aj s heslami

Podozrenie na únik administrátorských účtov aj s heslami

Únik osobných údajov

Praktické ukážky

• Únik (citlivých) informácií

Adobe

• Október 2013 – prienik do siete

3 mil. používateľov

• 38 mil. aktívnych používateľov

• 150 mil. dvojíc username/password

• Triple DSE (3DES) v ECB móde

• Viacnásobný výskyt hesla nebol ošetrený

Bytovo rovnaký

• DB obsahovala aj password hints v plaintexte

Praktické ukážky• Únik (citlivých) informácií – Adobe 2013

# Count Ciphertext Plaintext

1. 1 911 938 EQ7fIpT7i/Q= 123456

2. 446 162 j9p+HwtWWT86aMjgZFLzYg== 123456789

3. 34 5834 L8qbAD3jl3jioxG6CatHBw== password

4. 211 659 BB4e6X+b2xLioxG6CatHBw== adobe123

5. 201 580 j9p+HwtWWT/ioxG6CatHBw== 12345678

6. 130 832 5djv7ZCI2ws= qwerty

7. 124 253 dQi0asWPYvQ= 1234567

8. 113 884 7LqYzKVeq8I= 111111

9. 83 411 PMDTbP0LZxu03SwrFUvYGA== photoshop

10. 82 694 e6MPXQ5G6a8= 123123

11. 76 910 j9p+HwtWWT8/HeZN+3oiCQ== 1234567890

12. 76 186 diQ+ie23vAA= 000000

13. 70 791 kCcUSCmonEA= abc123

14. 61 453 ukxzEcXU6Pw= 1234

15. 56 744 5wEAInH22i4= adobe1

16. 54 651 WqflwJFYW3+PszVFZo1Ggg== macromedia

17. 48 850 hjAYsdUA4+k= azerty

18. 47 142 rpkvF+oZzQvioxG6CatHBw== iloveyou

19. 44 281 xz6PIeGzr6g= aaaaaa

20. 43 670 Ypsmk6AXQTk= 654321

21. 43 497 4V+mGczxDEA= 12345

22. 37 407 yp2KLbBiQXs= 666666

23. 35 325 2dJY5hIJ4FHioxG6CatHBw== sunshine

24. 34 963 1McuJ/7v9nE= 123321

25. 33 452 yxzNxPIsFno= letmein

Praktické ukážky• Únik (citlivých) informácií – Adobe 2013

# Count Ciphertext Plaintext

26. 32549 dCgB24yq9Bw= monkey

27. 31554 dA8D8OYD55E= asdfgh

28. 28349 L8qbAD3jl3jSPm/keox4fA== password1

29. 28303 zk8NJgAOqc4= shadow

30. 28132 Ttgs5+ZAZM7ioxG6CatHBw== princess

31. 27853 pTkQrKZ/JYM= dragon

32. 27840 2aZl4Ouarwm52NYYI936YQ== adobeadobe

33. 27720 NpVKrCM6pKw= daniel

34. 27699 Dts8klglTQDioxG6CatHBw== computer

35. 27415 4aiR1wv9z2Q= michael

36. 27387 XpDlpOQzTSE= 121212

37. 26502 ldvmctKdeN8= charlie

38. 25341 5nRuxOG9/Ho= master

39. 24499 y7F6CyUyVM/ioxG6CatHBw== superman

40. 24372 R3jcdque71gE+R+mSnMKEA== qwertyuiop

41. 23417 TduxwnCuA1U= 112233

42. 23157 2hD1nmJUmh3ioxG6CatHBw== asdfasdf

43. 22719 MyFBO2YW+Bw= jessica

44. 22672 cSZM/nlchzzioxG6CatHBw== 1q2w3e4r

45. 22204 Vqit1GVLLek= welcome

46. 22180 e+4n2zDarnvioxG6CatHBw== 1qaz2wsx

47. 22143 ZHgi8hFCTvrSPm/keox4fA== 987654321

48. 22103 OrzNCxMfwrw= fdsa

49. 21795 4chDWZgI7v0= 753951

50. 21449 vp6d18mfGL+5n2auThm2+Q== chocolate

IV. Časť– Predchádzanie bezpečnostným incidentom

Predchádzanie bezpečnostnýmincidentom

• Bezpečnostná politika v rámci organizácie

Papierová bezpečnosť

Pracovné postupy

Business continuity plán

Risks management


• Bezpečnosť v rámci organizácie

Správa účtov

Bezpečnosť webových administrátorských rozhraní

Generické administrátorské účty

Antivírusové riešenie

Logovacie politiky

Prenosné média

Bring Your Own Device (BYOD)


• Bezpečnosť v rámci organizácie Aktualizácie

Heslá

Zálohovanie

Vypnúť ActiveX, makrá a blokovať externý obsah.

Poučenie zamestnancov• URL odkazy

Neotvárať URL odkaz priamo z e-mailu alebo webovej stránky, nakoľko skutočná URL adresa môže byť maskovaná

Najskôr skopírovať priamo cieľovú URL adresu do nového okna prehliadača ručne

Porovnanie textu URL odkazu v tele e-mailu a skutočnej adresy v prehliadači môže odhaliť snahu a presmerovanie na inú adresu


• Bezpečnosť v rámci organizácie Poučenie zamestnancov

• Legitimita e-mailu

• Prílohy e-mailov

• Forma emailu

Počet prijímateľov

Podpis odosieľatela

Čistý text a absencia loga

Telo e-mailu vo forme obrázku

Korektnosť gramatiky a pravopisu

Textácia e-mailu

URL odkazy

Požiadavka na osobné údaje


• Infraštruktúra

Segmentácia siete

FW -White vs. Black Lists

IDP alebo IPS

NET Flow

VPN

V. Časť– Čo robiť keď ...

Čo robiť keď máme ...• Bot/Botnet

Scenár• Na Vašej IP 85.216.253.214 máte bota

• Komunikuje s IP 76.54.48.13 port 80

• Request GET /index.php?id=za 49we09trhww498q0c

Identifikácia• Logy – Sieťová aktivita – FW, IDS/IPS, NetFlow

Riešenie• Nájdenie koncovej stanice

• Analyzovanie koncovej stanice (napr. forenzna )

• Reinštalácia koncovej stanice

• Zmena hesiel!!!

Čo robiť keď máme ...• Defacement

Scenár• Kompromitácia webového servera

Identifikácia• Kde vôbec je ten server?

• Logy – Sieťová aktivita – FW, IDS/IPS, NetFlow

Riešenie• Forenzne analyzovanie servera

• Obnova zálohy

• Prijatie protiopatrení na základe analýzy

• Zmena hesiel!!!

Čo robiť keď máme ...• Zraniteľnosť

Scenár• Zistili ste (bolo Vám oznámené – autorita, vendor), že Vaša

infraštruktúra je zraniteľná

Java

MS Office

DB

Podkladový systém

Vyhodnotenie

Prijatie protiopatrení

Čo robiť keď incident nastal ...• Riadiť sa internými postupmi

• Zabezpečiť materiál pre analýzu

• Prijať protiopatrenia

• Na zamyslenie:

Šíri sa to?

Uniklo to mimo?

Aký to má dopad?

• Kontaktovať:

Národné kompetentné autority

VI. Časť - Partneri pri riešení bezpečnostných incidentoch

Partneri pri riešení bezpečnostných incidentoch

• CSIRT/CERT Komunita

CSIRT.SK v SR

• Vendor bezpečnostných zariadení a aplikácií Nezamieňať s dodávateľom!!!

• Computer Security Incident Response Team Slovakia

Národná informačná a komunikačná Infraštruktúra

Kritická Informačná Infraštruktúra

• Aktívne a Proaktívne Služby Varovania a Upozornenia

Metodiky

Analýzy

Zvyšovanie bezpečnostnéhopovedomia

• Spolupráca so zahraničím

CSIRT/CERT Komunita

Partneri pri riešení bezpečnostných incidentoch

VII. Časť – Záver

Záver• Kompromitácia CELÉHO zariadenia

• Poučenie koncových používateľov

• Nahlasovanie incidentov

• Spolupráca

Bezpečnostný incident sa netýka iba Vás

Ďakujem

Vám

za pozornosť!

Documents

ezpečnostné incidenty · Publikum • Kto spravuje Vašu infraštruktúru, aplikácie, servery, ...? • Koho zavoláte, keď nastane problém a treba ho riešiť? • Kto u Vás