túlélés a három betűs rövidítések világában
DESCRIPTION
A modern biztonsági fenyegetések anatómiája, régi módszerek, új megvilágításban. Rendelkezésre álló biztonsági megoldások és ezek problémái. A hagyományos védelmi szemlélet megkérdőjelezése.(Buherátor, méltán híres blogger, BuheraBlog)TRANSCRIPT
![Page 1: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/1.jpg)
Túlélés a Három Betűs Rövidítések világában
Buherátor, Buhera Blog
![Page 2: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/2.jpg)
![Page 3: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/3.jpg)
![Page 4: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/4.jpg)
ADVANCED PERSISTENT THREATS
(Bocsássatok meg ezért a diáért!)
![Page 5: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/5.jpg)
Helyzetjelentés
A támadók módszerei folyamatosan fejlődnek
A védekezés általában >=5 éves módszerekkel történik
Használj AV-t
Használj tűzfalat
???
Nem a valódi fenyegetések ellen védekezünk!
![Page 6: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/6.jpg)
Eredmény
• Google #fail
• Symantec #fail
• EMC/RSA #fail
• Lockheed-Martin #fail
• Illinois EPA BoW #fail
• .no #fail
• Stuxnet #epic #win
• Marriott? :)
![Page 7: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/7.jpg)
Miért érdekeljen ez engem?
![Page 8: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/8.jpg)
…avagy:
Operation Human Shield
![Page 9: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/9.jpg)
Múlt és jelen
• Kiterjedt fenyegetések
• Ismert támadási minták
• Kívülről érkező támadók
• Áldozat -> általános célú rabszolga
• Helyreállítható rendszer
![Page 10: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/10.jpg)
Jelen és jövő
• Célzott támadások
• Ismeretlen támadási minták
• Belülről érkező támadások
• Áldozat -> Jól meghatározott üzleti adatok
• Kritikus veszteségek
![Page 11: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/11.jpg)
Kliens oldali támadások
• Humán faktor
• Számos beviteli csatorna
• CD/pendrive
• WWW / Drive-by-download
• Számos formátum
• Office (Word, PPT, XLS…)
• Flash
• Java
![Page 12: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/12.jpg)
Kliens exploit vs. AntiVirus
• Példa: Operation Aurora, 2009 közepe - 2009 vége
• Célzott támadás technológiai óriáscégekkel szemben
• Google vs. Kína (a WikiLeaks megerősíti a gyanút)
• Google, Adobe, Juniper, Yahoo!, Symantec, Morgan Stanley, stb.
• 0day IE exploit
• A támadás idején nem állt rendelkezésre javítás
• Hogy állunk ma?
• DEMO
![Page 13: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/13.jpg)
Exploit anatómia
• Trigger
• "Stabilizátor" (pl. NOP sled)
• Hasznos teher
• Shellcode
• Decoder
• Stager
![Page 14: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/14.jpg)
Exploitálás a memóriában
• Nem kerül rosszindulatú kód a diszkre
• Fájlkezelő API hookok nem segítenek
• A memória folyamatos monitorozása erőforrás igényes
• Rejtőzködési technikák
• Obfuszkáció / Titkosítás
• Vándorlás
• "Nem hivatalos" modul regisztrációk
• "Az AV elsődleges célja a megelőzés"
![Page 15: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/15.jpg)
Fájlba ágyazott exploit /
Perzisztencia
• Elméletileg jobbak az esélyek a detektálásra!
• PDF + JS = NOGO
• Szokatlan fájlstruktúra
• RWX memóriafoglalások figyelhetők
• Kódemuláció / Sandboxing
![Page 16: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/16.jpg)
![Page 17: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/17.jpg)
Fájlba ágyazott exploit /
Perzisztencia
• Gyakorlatilag…
• Excelbe ágyazott Flashbe ágyazott exploit nem
gyanús… (RSA)
• Az egység sugarú júzer simán kattint EXE-re is
• Erőforrásigényes kódot nincs idő emulálni
• Tervezési hibákkal szemben nehéz heurisztikát
adni
![Page 18: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/18.jpg)
Ha bent vagyunk: rootkitek
Cél: A rendszerszintű jogosultság megtartása +
észrevétlenség
1. Az alkalmazások közvetlenül csak az OS-el
kommunikálhatnak
2. A biztonsági szoftverek alkalmazások
1. && 2. => Ha rendszer szintű kódot tudok futtatni, azt
hazudok a biztonsági szoftvernek, amit akarok!
GAME OVER
![Page 19: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/19.jpg)
Host hardening
lehetőségek
• Windows Vista/7, alternatív OS (nem XP!)
• Adobe Reader X, IE7+
• Microsoft EMET
• Immunity El Jefe
• Teszteléshez: Metasploit
![Page 20: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/20.jpg)
Host hardening
lehetőségek
• Windows Vista/7, alternatív OS (nem XP!)
• Adobe Reader X, IE7+
• Microsoft EMET
• Immunity El Jefe
• Ki vállalja a bevezetést?
![Page 21: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/21.jpg)
Mi lesz most?
![Page 22: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/22.jpg)
A régi iskola hálózati
támadásai • ARP
• "Én vagyok az átjáró!"
• Switching
• "Én vagyok az STP gyökér!"
• CAM flood
• Routing
• "Én mindenhová olcsón szállítok!"
• "Én mindenkit elérek!"
• DHCP
• "Használj engem átjárónak!"
![Page 23: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/23.jpg)
Alapprobléma
![Page 24: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/24.jpg)
Titkosítás
• A titkosítás önmagában nem elég!
• Man-in-the-Middle támadások
• Hitelesítés (és integritás-ellenőrzés) szükséges!
• Alkalmazás-hibáktól nem véd!
• Tapasztalat: Általános az önaláírt tanúsítványok használata
![Page 25: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/25.jpg)
Titkosítás
• Megbízható fél által hitelesített tanúsítvány!
• A tanúsított nem megbízható…
• Cégen belül vagy elismert CA-val
• Szerver hitelesítés kikényszerítése
• Tanúsítvány alapú kliens hitelesítés
• Szinte sehol nem találkozni ilyennel :(
• Rendes kulcs…
![Page 26: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/26.jpg)
Szép álmokat…
![Page 27: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/27.jpg)
Védelem?
• A hálózat alapvetően azért van, hogy használjuk!
• A fertőzött hoszt legitim felhasználója a hálózatnak!
• Fizikai kapcsolat, jelszavak, tokenek, stb.
• Hálózaton kívüli terjesztési csatornák
• Lásd Stuxnet: pendrive
![Page 28: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/28.jpg)
Alapprobléma
![Page 29: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/29.jpg)
Monitorozás
• Betörésfigyelő és –megelőző eszközök (IDS/IPS)
• Snort, Bro IDS, …
• + Logelemzés!
• Előzetes ismeret a rendszerről (protokollok, OS API-k, …)
• Általában mintaalapú működés (+állapotmodell)
• Exploitok
• Tipikus támadási minták (BoF, SQLi, …)
• Amit nem szeretnénk a hálózaton látni
• Jelszó adatbázisok, shell utasítások, stb.
![Page 30: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/30.jpg)
Monitorozás - Korlátok
• Titkosítás
• Üzleti logika
• 0day fenyegetések
• Néhány termék korlátozott 0day védelmet is nyújt
• Teljesítmény
• TCO
![Page 31: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/31.jpg)
MI MARADT KI?
![Page 32: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/32.jpg)
Támadási fázisok eltolódása
![Page 33: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/33.jpg)
Adat kijuttatás
• A támadónak szüksége van az információnkra
• A támadó rootkitje parancsokra vár
• Hogyan valósul meg a kétirányú kapcsolat?
![Page 34: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/34.jpg)
Adat kijuttatás
• Gyakran használt protokollon keresztül
• Elég, ha egy hálózatra kötött gép ki van engedve!
• Titkosítás
• Adatrejtés
• Kép, hang, stb.
• Protokoll szinten
• Közösségi média
![Page 35: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/35.jpg)
Adat kijuttatás - Védelem
• Data Leak Prevention
• "Senki nem visz ki adatot a hálózatból!"
• Security gateway-ek, proxy-k
• TLS végződtetés
• Fehérlistás / reputációs szűrés
• Separation of Duties
• Kritikus feladatokhoz nem elég egy ember hozzáférése
![Page 36: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/36.jpg)
Technológiai jövőkép
• "Mi az ami ártalmas?" -> "Mi az ami engedélyezett?"
• Reputáció alapú osztályozás
• Aggregált tudás
• Konvergencia
![Page 37: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/37.jpg)
Emlékeztető
• A hálózatunkat nem tekinthetjük többé jól őrzött erődítménynek
• A támadók már a spájzban vannak
• Többszintű védelemre van szükség
• Figyeljünk az új technológiákra!
• A régi védelmeket sem dobhatjuk ki az ablakon
• …már ha eddig alkalmaztuk őket
• Fájni fog, de lépni kell!
![Page 38: Túlélés a Három Betűs Rövidítések világában](https://reader030.vdocuments.mx/reader030/viewer/2022013115/5575a52bd8b42aff598b4f6d/html5/thumbnails/38.jpg)
"Nem az számít, hogy mennyire biztonságos a
rendszered a társaidéhoz képest. Csak az számít, hogy
elég biztonságos-e ahhoz, hogy távol tartsa a támadót."
(Bruce Schneier, 2011.)