IT ADVISORY Technikai rabló-pandúr on-line csalások gyakorlati példákkal Gaidosch Tamás 2009. szeptember 25.
Tartalom Trendek A probléma mértéke Példák Hogyan védekezzünk? 1
2
Résztvevők Szektorok 80% magánszektor 10% állami szektor 330 résztvevő Földrajzi eloszlás 78% Európa 8% Amerika Cégméret 47% 100 millió USD fölött Válaszok megoszlása Law Enf 4% Gov 6% Non profit 10% Business 80% 3
A felmérés előtt... Már ismert volt... 571% -os növekedése az új malware fenyegetéseknek 2006 és 2008 között (Symantec Corp Internet Security Threat Report 2008) 207% -os növekedése a számla elbirtoklási csalásoknak (facility takeover fraud) az Egyesült Királyságban Phishing támadások áldozatainak száma közel megháromszorozódott (287%) Get Safe Online felmérés (2008-ban, 2007-hez képest) Az összes támdás több mint feléhez nincs szükség elmélyült technikai tudásra A legtöbb támadás detektálható lett volna a létező rendszerek jobb felhasználásával A támadások egyre célzottabbak és kifinomultabbak 4
A legjelentősebb problémák A válaszadók közül... 79% nem gondolja, hogy a lenyomat alapú biztonsági szoftverek megfelelő védelmet nyújtanak 66% egyetért abban, hogy a munkanélküli IT-szakértők számának növekedése oda vezet, hogy egyre több technikailag felkészült ember csatlakozik a cyber-bűnözői gazdasági érdekszférákhoz 63% szerint a fertőzött honlapok képviselik azt támadási módot, amely a legvalószínűbben kompromittálják ügyfeleik online biztonságát 49% az ügyfeleiket ért támadások technikai kifinomultságának növekedéséről számolt be 45% az ügyfeleiket ért támadások számának növekedését tapasztalta 5
Célkeresztben az ügyfelek Mely támadási módok milyen valószínűséggel eredményezik ügyfelei online biztonságának kompromittálódását? Támadás Százalék Fertőzött honlapok Fertőzött email Phishing Közösségi site-ok Előugró figyelmeztetések és download ablakok 63% 48% 48% 43% 25% 6
Jellemző megjegyzések Fennáll a veszélye, hogy a támadások gyakorlatilag detektálhatatlanokká és rendkívül nehezen elháríthatóvá válnak. Megtámadtak már oly módon, hogy a fertőzés 10 hónapig passzív maradt és elkerülte a detektálást. Hány ilyen lehet most is a gépeinken? Nemrég olyan malware-t fedeztünk fel, amely specifikusan minket vett célba. Egyik legsúlyosabb incidensünk a CIO-t ért fókuszált támadás volt, amely a családtagjai közösségi honlapokra feltett post-jaira épült. Forrás: e-crime felmérés és KPMG ügyfelek 7
Változó fenyegetettségi térkép malware legitim alkalmazások A malware-ek száma már meghaladja a legitim alkalmazásokét. Jelenleg a Symantec több mint 2,4 millió különböző malware-t ismer. 8
A detektálás elkerülése és a megtévesztés a fő mozgatórugója a növekedésnek 1200000 Új malware-ek száma 1000000 800000 600000 400000 2000-ben naponta 5 2008-ban naponta 7500 200000 0 2002 2003 2004 2005 2006 2007 2008 Forrás: Symantec 9
Statisztikák itthonról IT audit észrevételek terület szerinti megoszlása 8% 3% 1% 15% 17% 9% 47% IT menedzsment Fizikai biztonság Információbiztonság Rendszerfolytonosság Változáskezelés Rendszerfejlesztés Belső ellenőrzés 10
Fenyegetések: a meghatározó trend Szükséges tudás BackOrifice Bérelhető botnet keretrendszerek Támadás kifinomultsága DDoS Phishing rendszerek Csomag hamisítás Automatikus hacking keretrendszerek Automatikus szkennerek 1990 2009 A Carnegie Mellon University tanulmánya alapján 11
12
...És ami mögötte van Corporate blabla: a bizonyíték hiánya nem bizonyíték valaminek a hiányára. Klasszikus hack: privilege escalation 13
14
...És ami mögötte van felhasználó autentikáció nem ugyanaz, mint tranzakció autentikáció 15
Két faktoros autentikáció mi ellen véd és mi ellen nem? Mr. Ügyfél ibank Autentikáció kérés: Mr. Ügyfél [token sorozatszám] 112233 Login: Mr. Ügyfél Jelszó: 112233 AAA szerver OK Számlavezető rendszer Normál bejelentkezés 16
Két faktoros autentikáció mi ellen véd és mi ellen nem? Mr. Ügyfél OK összeg: 1,000,000 kedvezm: ABC Kft. ibank Autentikáció kérés: Mr. Ügyfél [token sorozatszám] 123456 összeg: 1,000,000 kedvezm: ABC Kft. aláírás: 123456 AAA szerver OK Számlavezető rendszer Normál tranzakció 17
Két faktoros autentikáció mi ellen véd és mi ellen nem? Mr. Ügyfél ibank Autentikáció kérés: Mr. Ügyfél [token sorozatszám] 112233 trójai prog. Login: Mr. Ügyfél Jelszó: 112233 AAA szerver Számlavezető rendszer Sikertelen támadás: jelszólopás még működik... 18
Két faktoros autentikáció mi ellen véd és mi ellen nem? Mr. Ügyfél ibank Autentikáció kérés: Mr. Ügyfél [token sorozatszám] 112233 trójai prog. AAA szerver Nem OK Δt Login: Mr. Ügyfél Jelszó: 112233 Számlavezető rendszer Sikertelen támadás: jelszóvisszajátszás már nem működik! 19
Két faktoros autentikáció mi ellen véd és mi ellen nem? Mr. Ügyfél ibank Autentikáció kérés: Mr. Ügyfél [token sorozatszám] 112233 trójai prog. AAA szerver OK Login: Mr. Ügyfél Jelszó: 112233 Login: Mr. Ügyfél Jelszó: 112233 Számlavezető rendszer Sikeres támadás 1. fázis: MITM login relay 20
Két faktoros autentikáció mi ellen véd és mi ellen nem? Mr. Ügyfél OK ibank Autentikáció kérés: Mr. Ügyfél [token sorozatszám] 123456 trójai prog. összeg: 1,000,000 kedvezm: ABC Kft. OK összeg: 9,000,000 kedvezm: HACK Kft. OK AAA szerver összeg: 1,000,000 kedvezm: ABC Kft. aláírás: 123456 összeg: 9,000,000 kedvezm: HACK Kft. aláírás: 123456 Számlavezető rendszer Sikeres támadás 2. fázis: MITM tranzakció átírás 21
22
... És ami mögötte van Trend: malware terjesztés megbízhatónak tartott wesite-ok kompromittálásával 23
IFRAME, te csodás Támadás: SRC= http://hacker.com/ push_malware.html 24
25
...És ami mögötte van A Captcha mechanizmus feltörése tényleg nagy szám... 26
... Hacsak így nem... Mr. Ügyfél Regisztráció good-site.com trójai prog. captcha Controller 27
A háború útja A háború útja: elkerülni az erőset és lecsapni a gyengére (Szun-cu, i.e. V. század) 28
A háború első útja: kifinomult phishing támadások Spear phishing: egy adott szervezetre szabott phishing aktuális témákról szóló levelek, hihető tartalom felső vezetéstől (például HR vezető, IT igazgató) intranetes alkalmazásra mutató hiperlink Speciálisan phishingre fejlesztett trójai programok Például internet bankolást, e-kereskedelmi tranzakciókat felismerő és loggoló eszközök Phishing redirektorok 29
Phishing redirektor HTTP(S) 10.1.1.2 www.zold-ebank.com? 10.1.1.2 DNS (név szerver) Normál működés 30
Phishing redirektor 10.1.1.2 www.zold-ebank.com? 192.168.33.51 Trójai program 192.168.33.51 DNS (név szerver) Redirektor aktiválva 31
Spear fishing A felhasználó 2 karórát vásárolt az ebay-en egy megbízható eladótól (Powerseller), PayPal fizetési móddal... 32
Hamis levél az ebay-től / 1 33
Hamis levél az ebay-től / 2 Hibátlan adatok!!! 34
Hamis levél az PayPal-tól / 1 A PayPal ezt kéri? 35
Hamis levél az PayPal-tól / 2 Helytelen információ - volt szállítási és biztosítási díj 36
Hamis levél az PayPal-tól / 3 37
Megdöbbentő részletek A csalók tisztában voltak a vásárlás minden részletével Vásárló és eladó felhasználónevei Vásárolt termék pontos neve, ára, ebay azonosítója és a rá mutató link!!! Vásárlás pontos ideje Vásárló email címe Honnan tudhatták? Vásárló vagy eladó email account feltörése? Vásárló vagy eladó ebay account feltörése? Belső információ az ebay-től?. 38
Az ebay üzenet gyanús részletei Zavaros történet 39
Hogyan védekezzünk? Rendszerek (technológia) Kontrollok (folyamatok) Biztonsági tudatosság (emberek) 40
Basel II kockázati kategóriák Veszteség kategória Fogalom meghatározás IT aspektusok Belső csalás Csalásra, a vagyon hűtlen kezelésére, a jogszabályok vagy a vállalati szabályok (kivéve a hátrányos megkülönböztetésre vonatkozó szabályokat) kijátszására irányuló szándékos tevékenységből adódó veszteségek, legalább egy belső fél közreműködésével. szándékos programmódosítás programmódosítási funkció jogosulatlan használata rendszerbeállítások szándékos megváltoztatása a hardverek szándékos manipulációja a rendszer és az alkalmazások adatainak szándékos megváltoztatása hackeléssel a szoftver nem megengedett módon, licenc nélküli használata vagy másolása 41
Basel II kockázati kategóriák Veszteség kategória Fogalom meghatározás IT aspektusok Külső csalás Csalásra, a vagyon hűtlen kezelésére vagy a jogszabályok kijátszására irányuló, harmadik fél által elkövetett szándékos tevékenységből adódó veszteségek. A rendszer és az alkalmazások adatainak szándékos megváltoztatása hackeléssel Bizalmas iratok (papír vagy elektronikus) külső, illetéktelen személy általi sikeres megtekintése Kiemelt hozzáférések külső megkerülése Hallgatózás és adatelfogás a kommunikációs hálózaton jelszó kompromittálódás vírusok 42
Security blabla - termékek Saját fejlesztésű titkos algoritmus A biztonságot a 128 bites kódolás garantálja Teljesen biztonságos Teljeskörű védelem Feltörhetetlen Gazdag funkcionalitású biztonsági megoldás Komplex határvédelem Másolás ellen védett Katonai szintű (Military grade) Szoftverünk SOX / ISO17799 / CC megfelelő Kétfaktoros autentikáció (jelszó és számlaszám) 43
Security blabla - szolgáltatások Certified Hacker Teljesen megbízható Egyedülálló Tapasztalt biztonsági szakértő Megbízásaink annyira szenzitívek, hogy nem referenciázhatjuk Full scope penetration test Módszertanunk garantálja a biztonságos működést 44
Return on Security Investment (ROSI) 45
46
Összefoglaló Hangsúlyeltolódás a végpont biztonság felé Elengedhetetlen az információbiztonság strukturált megközelítése Vegyük észre a blablát 47
Az előadó elérhetősége Gaidosch Tamás KPMG Tanácsadó Kft. tamas.gaidosch@kpmg.hu 887-7139 www.kpmg.hu The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavour to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation.