Informatikai rendszerek sérülékenység-vizsgálata

Átírás

1 Az informatikai biztonság speciális témakörei Hungarian Cyber Security Package Informatikai rendszerek sérülékenység-vizsgálata május 8. Dolánszky György KÜRT Zrt.

2 MIRŐL LESZ SZÓ o Fogalmak o Mi motiválja a hackereket? o Kockázatok - következmények, esettanulmányok o Sérülékenység-vizsgálat célja, módszerei, eszközei o Vizsgálat lépései o Eredmények: kockázatok értékelése, prezentálása o Gyakori hibák, javaslatok o Hackerek eszközei o Összefoglaló 2

3 FOGALMAK Sérülékenység (vulnerability) Biztonsági rés, mely kihasználásával a támadó magasabb jogosultsági szintet érhet el. Ezáltal a kompromittált rendszer bizalmassága, sértetlensége, rendelkezésre állása sérül. Gyenge jelszó Sérülékeny OS, DB, alkalmazás Jogosultság beállításának hibája Titkosítás hiánya vagy hibája Alkalmazás szintű hibák bevitel ellenőrzésének hiánya logikai hibák hitelesítési hibák Átverhető / hanyag felhasználók 3

4 FOGALMAK Exploit program mely egy alkalmazás / rendszer gyengeségét, sérülékenységét aknázza ki 0-day sérülékenység még nem publikált sérülékenység Zero-day exploit Sebezhetőségi ablak a biztonsági rés megtalálása és annak javítása közötti idő Patch Biztonsági javítócsomag Spear phishing személyre szabott adathalászat 4

5 FOGALMAK Hacker vera: Határokat kereső informatikus (+) verb: Illegálisan tevékenykedő személy (-) Ethical hacker munkája az IT rendszerek biztonságának növelése, célcégtől megbízása van (+) Cracker Illegálisan próbál hozzáférést szerezni informatikai rendszerekhez (-) White Hat Ez a munkája (+) Gray Hat Offenzív módszerekkel szerez információkat Black Hat Illegális tevékenységet folytat Script kiddie Használja az eszközöket, de nem ismeri Hacktivist Törvényes keretek között gyűjt információt 5

6 HACKEREK MOTÍVÁCIÓJA Pénzszerzés Gazdasági / verseny előny szerzése Hírszerzés, ipari kémkedés Politikai Vallási Bosszú Jogosulatlan adat megváltoztatás, törlés Rémhírterjesztés Lázadás, tiltakozás Kihívás, ego 6

7 KOCKÁZATOK - KÖVETKEZMÉNYEK Akik nem figyeltek a kockázatokra - kompromittált cégek: Nemzetközi Valutaalap (IMF), Sony, Citigroup EMC RSA, Lockheed Martin, Mitsubishi NASA, Reuters, Saudi Aramco, Facebook Görög állampolgárok adatai (8M), LinkedIn (6M) Iráni urándúsító rendszerek Statisztikai adatok: Naponta 3 millióan kattintanak kártékony hirdetésre Minden fertőzött (0,35%) Magyarországon naponta 10 laptopot lopnak el 7

8 STUXNET Professzionális célzott támadás iráni urándúsító létesítmények ellen ( ) 8

9 STUXNET, DUQU, FLAME és? DUQU (2010. dec? szeptember, BME CrySyS labor) Preparált Word dokumentummal terjed és egy Windows-os 0-day sebezhetőséget használ ki Adatokat gyűjt és küld Késleltetve aktiválódik, 36 nap után törlődik FLAME / skywiper (2007. dec? május, 20MB!) Univerzális, konfigurálható terjedési módok Moduláris, saját adatbázissal, tömörítéssel, titkosítással Adatokat gyűjt és küld (karakterek, képernyő, hang ) 9

10 STUXNET, DUQU, FLAME és? Teamspy (2004? , BME CrySyS labor) Magyar, EU, NATO és Orosz kormányzati, ipari és kutatóintézetek számítógépeiről gyűjt adatot Távfelügyelethez az ingyenes TeamViewert használja Miniduke (2013? , BME CrySyS labor) Adobe Acrobat Reader-ben levő hibát kihasználva PDF dokumentummal terjed Magyar, EU kormányzati célpontokat támadott Professzionális eszközök szofisztikált támadásokhoz 10

11 SÉRÜLÉKENYSÉG-VIZSGÁLAT Biztonsági szint Sérülékenység-vizsgálat a teljes informatikai biztonsági vizsgálat része Biztonsági rés Célja az informatikai rendszer biztonságának, sérthetetlenségének vizsgálata Az IT biztonságára fordított összeg Mint minden kockázat-feltáró projekt, a feltárt biztonsági rések javításával éri el a kívánt eredményt, a magasabb biztonsági szintet, biztonságosabb működést. 11

12 MÓDSZEREI Internet GSM/3G Wi-Fi Belső DMZ Social Engineering I n f r a s t r u k t ú r a A l k a l m a z á s (OS, DB, App) / Web telefon személyes B l a c k - box jogosultság nélkül G r e y - box user jogosultsággal W h i t e - box admin jogosultsággal 12

13 MOBIL-KOCKÁZAT 3 billió aktív SIM kártya Okostelefonok terjedése Fizikai védelmi vonalak elmosódtak Mire képesek a mobilvírusok? Telefont használhatatlanná teheti Emeltdíjas hívásokat / SMS küldést generál (pl. GameSat, BadNews/AlphaSMS Android) Adatokat küld (címlistát, híváslistát, képeket, jelszavakat, pl.: GingerMaster Android 2.3, Kína, BadNews) Távirányítást tesz lehetővé (botnet) Banki tranzakciók adatait irányíthatja át (pl. SpyEye Spitmo Android, Symbian, BlackBerry, PC; Shylock) 13

14 VIZSGÁLAT SZAKASZAI Sérülékenység-vizsgálat szakaszai: 1. Előkészítés ajánlat, szerződés, scope, mit, hogyan 2. Végrehajtás egyeztetés, mit ne, mit külön, infógyűjtés, scan, kézi vizsgálat, stb., bizonyítékok kockázat értékelése, hamis pozitív? 3. Következtetés riportok, egyeztetetés, átadás (Preparation, Conduct, Conclusion) 14

15 HACKER LÉPÉSEI 1. Információgyűjtés (passzív / aktív) 2. Felhasználónevek, megosztások keresése, ping, DNS Zone Transfer 3. Szkennelés (szolgáltatások, OS, DB, SW verziók, alap jelszavak, sérülékenységek) 4. Hozzáférés szerzése 5. Szerzett jogosultság fenntartása 6. Motiváció szerinti tevékenység 7. Nyomok eltüntetése (Reconnaissance, Footprinting, Enumeration, Scanning, Gaining Access, Maintaining Access, Covering tracks phase) 15

16 VIZSGÁLAT EREDMÉNYE Kiemelt kockázatok azonnali jelzése Eredmények összefoglalása - jelentés Részletes hibalista és megoldási javaslatok Mellékletek - Vizsgálat során készült riport állományok, hozzáférések igazolására készült képernyőmentések, DVD lemezen Titkosítva! Prezentáció(k): Vezetőknek Informatikusoknak 16

17 VIZSGÁLAT EREDMÉNYE Jelentés tartalma Vezetői összefoglaló: cél, eredmények összefoglalása, üzleti és informatikai kockázatok (tömören, de konkrétan) Talált kockázatok ismertetése Kategória Kockázat mértéke (magas / közepes / alacsony) Felmérési állapot (konkrétan!!!) Kockázat (informatikai -> üzleti) Javaslat Módszertan Résztvevők adatai Mellékletek 17

18 VIZSGÁLAT EREDMÉNYE Javaslatok átadásának módszerei Rövidtávon megoldandó Középtávon megoldandó Hosszútávon megoldandó Magas prioritású hibák Jelszavak cseréje, vírusvédelem javítása Security Hotfix-ek telepítése Alkalmazások verzió frissítése Közepes prioritású hibák Jogosultságok szigorítása, megosztások ellenőrzése Nem titkosított protokollok, programok cseréje Hálózati forgalom titkosítása Alacsony prioritású hibák Egyéb hibák, a részletes hibalista alapján Felhasználók biztonsági tudatosságának növelése Hibajavítások ellenőrzése, felülvizsgálat 18

19 VIZSGÁLAT EREDMÉNYE Javaslatok átadásának módszerei ellenőrzőlista (xls) I. Rövidtávú intézkedések Gyenge jelszavak, SNMP community stringek használatának megszüntetése. Jelszavak minőségének feljavítása szabályzás és technikai kényszer által II. Középtávú intézkedések Titkosítás nélküli protokollok kiváltása, megszüntetése (SQL, telnet, FTP, HTTP, 3.1.5, , Feladat, Hivatkozás, Prioritás, Felelős, Költség, Időigény, Kezdés, Határidő, Készültség I XY alacsony II közepes POP3, SNMP). III. Hosszútávú intézkedések Hálózati topológia átalakítása II magas Dolgozók informatikai biztonsági tudatosságának fejlesztése. összes II alacsony 19

20 MEGOLDÁSI LEHETŐSÉGEK Mit tehetnek a gyártók, szolgáltatók? Biztonságos eszközöket kell gyártani (Van akinek ez túl jól sikerült? Pl. RIM BlackBerry) Szolgáltatók rendszerei? Mit tehetnek a felhasználók, cégek? Biztonságos kommunikációt, adattárolást kell kialakítani (VPN, jó jelszavak/egyszer használható jelszavak (OTP), titkosítás, szabályozás és a biztonsági tudatosság fejlesztése) Jelszókezelés (rendszerek kényszerítsék ki) Patch management (gyorsan, de tesztelés után) Sérülékenység vizsgálat, kockázatelemzés 20

21 MEGOLDÁSI LEHETŐSÉGEK Mit tehetünk mi? Jelszavak (hosszú, de könnyen megjegyezhető, OTP) Rendszeres operációs rendszer és alkalmazás frissítés Anti-vírus szoftver Személyes tűzfal Csak megbízható, titkosított Wi-Fi Böngészés: https Alkalmazás telepítése - biztosan kell? Bluetooth, Wi-Fi kapcsolat megosztása Backup Milyen böngészőt használjunk? 21

22 MEGOLDÁSI LEHETŐSÉGEK WI-FI Biztonságos vezeték-nélküli hálózat Wi-Fi beállítások / Biztonság Nyílt Ne WEP Ne (Wired Equivalent Privacy, 1997 / 2001) WPA-PSK Ne (Wi-Fi Protected Access, 2003 / 2008) WPA2 Igen (AES, 2004 / 2012) WPS Igen (Wi-Fi Protected Setup) Bonyolult jelszavak! Igen Teljesítmény: Csatornaütközés, interferencia? Ne (pl. mikrohullámú sütő ) 22

23 HACKER ESZKÖZEI Footprinting: Sam Spade ping, traceroute, whois, finger... Visual Route show the path that data takes through the internet nslookup e.g. Set type=mx will only return mail server info for the domains Edgar ( maintains a database on all publicly traded companies Interneten, 23

24 HACKER ESZKÖZEI Scanning: nmap free network port scanner Nessus free and commercial network security scanner Retina commercial network security scanner LanGuard vulnerability scanner Netcraft & Whois are passive scanning tools NetCat nc v z w THC-Scan (The Hacker Choise) full featured phone/fax scanner, used on phone lines TBA war dialer for PalmPilot 24

25 HACKER ESZKÖZEI Enumeration: NBTstat Protocol statistics, NETBIOS info NBTScan NETBIOS Network Name Scanner Enum exploit a NETBIOS share SNScan by Foundstone SNMP network scanner Solarwinds IP Browser SNMP enumeration tool SNMPUtil SNMP enumeration tool (Win2000 reskit) 25

26 HACKER ESZKÖZEI Session Hijacking: Juggernaut network sniffer (could use keywords) TTY-Watcher Sun Solaris - hijack sessions on LAN only IP Watcher / T-Sight hijack sessions on LAN/WAN Hunt - listen, intercept, hijack TCP sessions, ARP poisoning Ettercap ARP poisoning BackTrack Penetration Testing Distribution (LiveCD) 26

27 HACKER ESZKÖZEI Hacking Web Servers: IISxploit.exe tools for directory traversal Brutus crack with dictionary or brute force attacks Burp intruder automated web site attacker Burp proxy MITM between web client and server Wget download (entire) contents of a website Munga Bunga brute force attack on any HTML form MS IIS Basic Authentication Base64 encoded pw ~ clear text MS Digest Authentication pw never send over the net 27

28 HACKER ESZKÖZEI SQL hacking tools: SQLDict SQL dictionary and brute force attack SQLExec enables to run remote commands SQLbf SQL server password auditor SQLSmack perl script for remote command OSQL tool to perform ODBC commands SQL2.exe SQL buffer overflow tool SQLPing GUI ping for SQL servers AppDetective vulnerability scanner for SQL NGS SQLCrack pw auditing, vulnerabilities scanner 28

29 HACKER ESZKÖZEI Evading firewall: Firewalk is a way disguise a portscan Fragrouter take IP traffic and fragments Mendax Tool to evade an IDS SideStep IDS evasion tool NIDSBench IDS tester Spector honeypot SmokeDetector honeypot BigEye honeypot HoneyPot Hunter tool to find honeypots 29

30 HACKER ESZKÖZEI Wi-Fi hacking: NetStumbler WLAN scanner, WLAN AP locator (régi) InSSIDer WLAN scanner, WLAN AP locator PrismStumbler WLAN scanner, WarDriving WallenReiter WLAN network discovery tool AiroPeek Wireless sniffer and protocol analyzer AirSnort WLAN sniffering, WEP key cracker AirSnarf rogue access point to steal username and pw AirSniff sniffs out encryption keys KisMet wireless network detector, packet decoder DriftNet shows images going across the network 30

31 HACKER ESZKÖZEI Physical security: Piggybacking is the method of following employees into a secure area while the door open Shoulder surfing is looking over someone s shoulder while typing Man trap is a cage or a segregated area that people must walk through Warded lock can be easily picked Combination lock do not utilize a key Tumbler lock with tumblers 31

32 HACKER ESZKÖZEI Social Engineering: Reciprocation főnök kérésére adja meg a jelszót Liking complimenting her (People like people who like them ) Social Validation már mindenki más megadta a felhasználónevét és jelszavát Road apple CD / USB drive are left at the office Reverse social engineering sabotage, advertising, assisting Spear phishing személyre szabott adathalászat 32

33 INFORMÁCIÓ FORRÁSOK Top 10 sérülékenység: Ön-ellenőrzés: Secunia Online Software Inspector (free) Titkosító eszköz: TrueCrypt (free) 33

34 INFORMÁCIÓ FORRÁSOK Átfogó cikk a jelenlegi IT (mobil) kockázatokról: Mobilbiztonság, trendek, részletes információk: Ajánlások, kockázatelemzések, adatok: Open Web Application Security Project (OWASP) Az első mobil-vírusoktól: 34

35 ÖSSZEFOGLALÁS Sérülékenység-vizsgálat célja Hacker / Etikus hacker Kockázatok értékelése Kockázattal arányos védekezés! Eredmények kezelése 35

36 Köszönöm a figyelmet! Dolánszky György - KÜRT Zrt. Informatikai biztonsági szakértő, CISA gyorgy.dolanszky@kurt.hu 36