A modern biztonsági fenyegetések anatómiája, régi módszerek, új megvilágításban. Rendelkezésre álló biztonsági megoldások és ezek problémái. A hagyományos védelmi szemlélet megkérdőjelezése.
(Buherátor, méltán híres blogger, BuheraBlog)
5. Helyzetjelentés
A támadók módszerei folyamatosan fejlődnek
A védekezés általában >=5 éves módszerekkel történik
Használj AV-t
Használj tűzfalat
???
Nem a valódi fenyegetések ellen védekezünk!
9. Múlt és jelen
• Kiterjedt fenyegetések
• Ismert támadási minták
• Kívülről érkező támadók
• Áldozat -> általános célú rabszolga
• Helyreállítható rendszer
10. Jelen és jövő
• Célzott támadások
• Ismeretlen támadási minták
• Belülről érkező támadások
• Áldozat -> Jól meghatározott üzleti adatok
• Kritikus veszteségek
11. Kliens oldali támadások
• Humán faktor
• Számos beviteli csatorna
• E-mail
• CD/pendrive
• WWW / Drive-by-download
• Számos formátum
• PDF
• Office (Word, PPT, XLS…)
• Flash
• Java
12. Kliens exploit vs. AntiVirus
• Példa: Operation Aurora, 2009 közepe - 2009 vége
• Célzott támadás technológiai óriáscégekkel szemben
• Google vs. Kína (a WikiLeaks megerősíti a gyanút)
• Google, Adobe, Juniper, Yahoo!, Symantec, Morgan Stanley,
stb.
• 0day IE exploit
• A támadás idején nem állt rendelkezésre javítás
• Hogy állunk ma?
• DEMO
14. Exploitálás a memóriában
• Nem kerül rosszindulatú kód a diszkre
• Fájlkezelő API hookok nem segítenek
• A memória folyamatos monitorozása erőforrás igényes
• Rejtőzködési technikák
• Obfuszkáció / Titkosítás
• Vándorlás
• "Nem hivatalos" modul regisztrációk
• "Az AV elsődleges célja a megelőzés"
15. Fájlba ágyazott exploit /
Perzisztencia
• Elméletileg jobbak az esélyek a detektálásra!
• PDF + JS = NOGO
• Szokatlan fájlstruktúra
• RWX memóriafoglalások figyelhetők
• Kódemuláció / Sandboxing
16.
17. Fájlba ágyazott exploit /
Perzisztencia
• Gyakorlatilag…
• Excelbe ágyazott Flashbe ágyazott exploit nem
gyanús… (RSA)
• Az egység sugarú júzer simán kattint EXE-re is
• Erőforrásigényes kódot nincs idő emulálni
• Tervezési hibákkal szemben nehéz heurisztikát
adni
18. Ha bent vagyunk: rootkitek
Cél: A rendszerszintű jogosultság megtartása +
észrevétlenség
1. Az alkalmazások közvetlenül csak az OS-el
kommunikálhatnak
2. A biztonsági szoftverek alkalmazások
1. && 2. => Ha rendszer szintű kódot tudok futtatni, azt
hazudok a biztonsági szoftvernek, amit akarok!
GAME OVER
19. Host hardening
lehetőségek
• Windows Vista/7, alternatív OS (nem XP!)
• Adobe Reader X, IE7+
• Microsoft EMET
• Immunity El Jefe
• Teszteléshez: Metasploit
20. Host hardening
lehetőségek
• Windows Vista/7, alternatív OS (nem XP!)
• Adobe Reader X, IE7+
• Microsoft EMET
• Immunity El Jefe
• Ki vállalja a bevezetést?
24. Titkosítás
• A titkosítás önmagában nem elég!
• Man-in-the-Middle támadások
• Hitelesítés (és integritás-ellenőrzés) szükséges!
• Alkalmazás-hibáktól nem véd!
• Tapasztalat: Általános az önaláírt tanúsítványok használata
25. Titkosítás
• Megbízható fél által hitelesített tanúsítvány!
• A tanúsított nem megbízható…
• Cégen belül vagy elismert CA-val
• Szerver hitelesítés kikényszerítése
• Tanúsítvány alapú kliens hitelesítés
• Szinte sehol nem találkozni ilyennel :(
• Rendes kulcs…
27. Védelem?
• A hálózat alapvetően azért van, hogy használjuk!
• A fertőzött hoszt legitim felhasználója a hálózatnak!
• Fizikai kapcsolat, jelszavak, tokenek, stb.
• Hálózaton kívüli terjesztési csatornák
• Lásd Stuxnet: pendrive
33. Adat kijuttatás
• A támadónak szüksége van az információnkra
• A támadó rootkitje parancsokra vár
• Hogyan valósul meg a kétirányú kapcsolat?
34. Adat kijuttatás
• Gyakran használt protokollon keresztül
• Elég, ha egy hálózatra kötött gép ki van engedve!
• Titkosítás
• Adatrejtés
• Kép, hang, stb.
• Protokoll szinten
• Közösségi média
35. Adat kijuttatás - Védelem
• Data Leak Prevention
• "Senki nem visz ki adatot a hálózatból!"
• Security gateway-ek, proxy-k
• TLS végződtetés
• Fehérlistás / reputációs szűrés
• Separation of Duties
• Kritikus feladatokhoz nem elég egy ember hozzáférése
36. Technológiai jövőkép
• "Mi az ami ártalmas?" -> "Mi az ami engedélyezett?"
• Reputáció alapú osztályozás
• Aggregált tudás
• Konvergencia
37. Emlékeztető
• A hálózatunkat nem tekinthetjük többé jól őrzött
erődítménynek
• A támadók már a spájzban vannak
• Többszintű védelemre van szükség
• Figyeljünk az új technológiákra!
• A régi védelmeket sem dobhatjuk ki az ablakon
• …már ha eddig alkalmaztuk őket
• Fájni fog, de lépni kell!
38. "Nem az számít, hogy mennyire biztonságos a
rendszered a társaidéhoz képest. Csak az számít, hogy
elég biztonságos-e ahhoz, hogy távol tartsa a támadót."
(Bruce Schneier, 2011.)