Secure 2015 - XIX Konferencja na temat bezpieczeństwa teleinformatycznego

1. APT x 3 - trzy firmy, trzy wektory ataków,
trzy do zera.
Wybrane studium przypadków
Borys Łącki
2015.10.14

2. Naszą misją jest ochrona naszych Klientów przed realnymi stratami
finansowymi. Wykorzystując ponad 10 lat doświadczenia, świadczymy
usługi z zakresu bezpieczeństwa IT:
● Testy penetracyjne
● Audyty bezpieczeństwa
● Szkolenia
● Konsultacje
● Informatyka śledcza
● Aplikacje mobilne
Borys Łącki
> 10 lat - testy bezpieczeństwa
Edukacja: www.bothunters.pl ~ 7 lat blogowania o cyberprzestępcach
Confidence, SEMAFOR, SECURE, Atak i Obrona, Security Case Study,
Internet Banking Security, ISSA, SecureCON, SEConference, SekIT,
PTI, Open Source Security, PLNOG (…)

3. APT x 3
●Advanced
●Persistent (< 5 dni)
●Threat

4. White vs. Black

5. Carbanak
Wielki napad na bank: cybergang Carbanak kradnie
1 mld dolarów ze 100 instytucji finansowych na
całym świecie

6. Zmiana paradygmatu bezpieczeństwa
"Fundamentally, if somebody wants
to get in, they're getting in. (…)
Accept that,"
Michael Hayden
Former director of the CIA & NSA

7. Zmiana paradygmatu bezpieczeństwa
Nie CZY, a KIEDY...
Praktyka != Teoria

8. IT

9. Problemy

10. Asymetrie i motywacje

11. 2015 - Motywacje

12. Studium przypadków
Klienci:
Branża IT
Branża finansowa
Branża IT
~ 40 pracowników
~ 100 pracowników
> 1 000 pracowników

13. Threat
Dostęp do poufnych informacji
IT nie wie o testach penetracyjnych
1.USB
2.Phishing – e-mail + WWW + złośliwe
oprogramowanie
3.Infrastruktura serwerowa

14. USB - Pendrive
Zasady
- wykorzystujemy urządzenia USB Pendrive
- wymagana interakcja pracownika z plikami
Cel
Weryfikacja przestrzegania przez pracowników
zasad polityki bezpieczeństwa

15. USB - Pendrive
20 x Pendrive

16. Pendrive
● Złośliwe oprogramowanie
Klient-Serwer (HTTP/S/ + DNS x 2)
Wyświetlanie obrazu/dokumentu
Sleep

17. Pendrive
● Pliki na Pendrive USB
Zmiana ikony -> PDF
Lista płac – Zarząd.pdf.exe
(...)
Inne dokumenty ze strony WWW
Różne pliki per Pendrive

18. Pendrive
Wejście na teren firmy
● Rozmowa o pracę
● Sprzedaż produktu
● Kurier
● Klient
● (...) http://thegrid.soup.io/post/380338752/Secretary-Wanted-
Must-be-Flexible

19. Pendrive
Ciekawostki
Dywersyfikować pomieszczenia
Nie spamować
Primary DNS #fail

20. Podsumowanie działań
● Skuteczność ataku ~40%
● 1 osoba uruchomiła złośliwe
oprogramowanie w domu :)
● Kilka osób zaniosło Pendrive do działu IT
● Trening == Dyskusja pracowników
Raport per departament, a nie osoba

21. Pomysły na poprawę
● Edukacja
● USB WhiteListing
● Application Whitelisting (AppLocker)
● GPO

22. Phishing
Zasady
- znamy tylko nazwę firmy
- każdą wykrytą osobę potwierdzamy z osobami
decyzyjnymi
Cel
Weryfikacja poziomu świadomości pracowników
celem zwiększenia świadomości i ograniczenia
możliwych strat finansowych

23. Phishing
Rekonesans – lista pracowników
● Wyszukiwarki internetowe
● Grupy dyskusyjne
● LinkedIn/Goldenline
● Metadane z .pdf, .doc, (...)

24. Phishing
Rekonesans – AntiVirus
● DNS
● Maile kontrolne (sygnatury + nagłówki)

25. Phishing
Rekonesans – bieżące akcje
● Konkurs
● Rekrutacja pracowników
● Promocja
● Informacje biznesowe
● (...)

26. Phishing
● Zakup domen
● Kopia witryny firmowej
● Złośliwe oprogramowanie
Klient-Serwer (HTTP/S/ + DNS x 2)

27. Phishing
Maile z załącznikiem
● Faktura.pdf.exe
● CV Andrzej Kowalski.pdf.exe
● Wniosek.pdf.exe

28. Phishing
Maile z odnośnikiem do strony WWW

29. Podsumowanie działań
● Skuteczność ataku – ~40% (załącznik), ~60% (login)
● Pracownik przesyła załącznik do administratora IT :)
● WebProxy – Token (DNS failover)
● 2 x AV

30. Pomysły na poprawę
● WWW, FTP, E-mail, SMTP - Proxy
● Application Whitelisting (AppLocker)
● GPO
● .zip+hasło, .exe, .pif, .cab, .bat, .com, .scr, .vbs
http://sanesecurity.com/foxhole-databases/
● DNS Blackholing
● IP Reputation Services

31. Infrastruktura serwerowa
Zasady
- znamy tylko nazwę firmy
- każdy wykryty adres IP potwierdzamy z osobami
decyzyjnymi
Cel
Wykrycie błędów bezpieczeństwa celem naprawy i
ograniczenia możliwych strat finansowych

32. Infrastruktura serwerowa
● Plan (VPS)
● Rekonesans
● Atak

33. Infrastruktura serwerowa

34. Infrastruktura serwerowa

35. Infrastruktura serwerowa

36. Infrastruktura serwerowa

37. Infrastruktura serwerowa
Rekonesans – uzyskujemy:
Adresy IP/DNS (Aplikacje WWW)/E-mail
Technologie:
- ogłoszenia o pracę
- github – kody źródłowe
- wykorzystywany sprzęt w biurze (wifi, laptop)

38. Infrastruktura serwerowa
Dane osobowe – CEDIG, StackOverflow,
LinkedIn, GoldenLine, Fora internetowe,
Twitter, Facebook, Instagram, (…)
Adresy domowe, numery rejestracyjne aut,
zdjęcia aut, zdjęcia pracowników, telefony
prywatne, prywatne adresy e-mail

39. Infrastruktura serwerowa
● Aktualne wersje oprogramowania
● Brute force haseł - #fail

40. Infrastruktura serwerowa

41. Infrastruktura serwerowa
Po dwóch dniach czytania kodu i myślenia...
Remote Code Execution

42. Infrastruktura serwerowa
1 – RCON Administrator
/rcon map e2m3
2 – Shell injection
0-day

43. Infrastruktura serwerowa
Konto administratora (root)
Pierwszy serwer
VM wyłącznie na potrzeby Quake
Komunikacja pomiędzy serwerami – ACL (!)
Usługi sieciowe (!)

44. Infrastruktura serwerowa
Błąd konfiguracyjny usługi sieciowej == Hasła
Crypt
MD5
SHA
2 konta (SSH)

45. Infrastruktura serwerowa
Błąd konfiguracyjny usługi systemowej

46. Infrastruktura serwerowa
Eskalacja uprawnień
Uzyskanie dostępów do kolejnych serwerów i
usług
● Błędne uprawnienia plików
● Takie same hasła dla różnych usług
● Brak segmentacji wewnętrznej sieci serwerowej
● Zbędne zasoby: databackup.tgz2, sqldump.tar.bz2,
database.pgsql.gz, (...)

47. Infrastruktura serwerowa

48. Infrastruktura serwerowa
Password reuse – dostęp do usług zewnętrznych

49. Podsumowanie działań
● Uprawnienia administratora (root) na wszystkich
maszynach wirtualnych (VM)
● Dostęp do usług zewnętrznych
● Dostęp VPN
● Dostęp do własności intelektualnej

50. Pomysły na poprawę
● uwierzytelnianie – 2FA, password reuse (!)
● hardening serwerów (zbędne zasoby, uprawnienia)
● okresowe testy penetracyjne
● szyfrowanie poufnych danych (mail/serwer)
● pokazaliśmy jedną z (potencjalnie wielu) ścieżek

51. Bezpieczeństwo
Wczoraj
● Audyt IT - zgodność czy bezpieczeństwo?
● Analiza ryzyka IT – outsourcing, insiders
● Testy bezpieczeństwa - aplikacji, systemów, sieci
Dziś i jutro
● Edukacja – zwiększanie świadomości
● Red Team – kontrolowane testy penetracyjne
● Blue Team – zarządzanie incydentami
● (...)

52. Blue Team vs. Red Team

53. Red Team
Eksperci nastawieni na kontrolowany Atak
● Infekcja złośliwym oprogramowaniem
● Zdalne uruchomienie kodu
● Kradzież danych Klienta
● Atak sieciowy DDoS
● Insider
● Przejęcie usługi
● (...)

54. Red Team
● Rekonesans
– Plan, Social media, zbędne usługi, drobne informacje
● Ataki socjotechniczne
– Phishing, malware, telefon, smartphone
● Advanced Persistent Threat
– Ataki typu 0-day, działanie w ukryciu
● Kradzież informacji
– Internet, Insiders
● Publicznie dostępne narzędzia
– Szybka weryfikacja, ciągła aktualizacja
● Dowody i skutki ataku
– Miary, Time-To-Compromise, Time-To-Detect

55. Blue Team - Obrona
● IT
● SOC
(Security Operations Center)
● CERT
(Computer Emergency Response Team)
● CIRT
(Critical Incident Response Team)

56. Blue Team
● Wykrywanie problemów
– SIEM, IDS, IPS, Korelacja danych, BOK
● Utwardzanie środowisk, spowalnianie
atakujących
– Rekonfiguracja, reakcja w trakcie incydentu
● Zarządzanie incydentami (komunikacja)
– Technologia, ludzie, analiza ryzyka

57. Blue Team
● Informatyka śledcza
– Materiał dowodowy, analiza złośliwego oprogramowania
● Wdrażanie zmian
– Krytyczne aktualizacje, czas życia podatności
● Testowanie procesów odtworzenia
– Skracanie czasu odtworzenia
● Miary
– Estimated Time To Detection/Recovery
● Analiza kosztów
– Czas reakcji, zasoby
● Realne ataki
– Realna ochrona
● Trening i ćwiczenia pracowników
– Edukacja poprzez praktykę i case study
● Selekcja zainfekowanych klientów
– Indication of Compromise

58. Blue Team vs. Red Team
● Wspólne wnioski (baza wiedzy, zalecenia)
● Testy zerowej wiedzy
● Miary skuteczności
● Specjalizacja danej grupy
● Procesy (nie tylko technologia)
● Dostęp fizyczny
Microsoft Enterprise Cloud Red Teaming.pdf

59. Edukacja
● Użytkownik, Klient
● Pracownicy (szczególnie spoza
działu IT)

60. Edukacja - Polska
● 49% - zakupy online
● 57% - bankowość online
● 29% PL - obawia się nadużyć związanych z bankowością
(63% EU)
● 57% - brak zainstalowanego oprogramowania
antywirusowego
● 71% - otwiera maile od nieznajomych
● 17% - używa różnych haseł do różnych stron WWW
Special Eurobarometer 423 – Cyber Security – February 2015

61. Edukacja

62. 70% sukcesu to zasługa ludzi

63. Oprogramowanie antywirusowe?

64. 70% sukcesu to zasługa ludzi
71% of compromised assets involved users and their
endpoints
Verizon Data Breach Investigations
91% of targeted attacks involve spear-phishing emails
Trend Micro
According to the “IBM Security Services 2014 Cyber
Security Intelligence Index,” 95 percent of information
security incidents involve human error.

65. Testy penetracyjne - skuteczność
USB – 30%
PHISHING – 60%

66. Tradycyjne szkolenia
Wiedzieć != Zrozumieć

67. Tradycyjne szkolenia
PAMIĘTAJ!
Hasło dostępowe musi zawierać
minimum 8 znaków, w tym małe i
wielkie litery, cyfry oraz znaki
specjalne.

68. Tradycyjne szkolenia
● Koszty
● Zasoby
● Mierzalność
● Częstotliwość
● Forma

69. ● Koszty Online
● Zasoby 5 minut
● Mierzalność Raporty
● Częstotliwość Systematycznie
● Forma Film
Efektywne zwiększanie świadomości
https://securityinside.pl

70. Efektywne zwiększanie świadomości
www.securityinside.pl

71. Efektywne zwiększanie świadomości
Kod Rabatowy: SECURE2015
Rabat - 20%
Ważny do 30.11.2015
https://securityinside.pl

72. Podsumowanie
● Edukacja – zwiększanie świadomości
● Red Team – kontrolowane testy penetracyjne
● Blue Team – zarządzanie incydentami
APT x 3 - trzy firmy, trzy wektory ataków
3 : 0

73. Dziękuję za uwagę
Pytania?
Borys Łącki
b.lacki@logicaltrust.net