Cryptography is bypassed, not penetrated! The primary purpose of applying COBIT 5 to the transformation of cybersecurity is to enable a uniform governance, risk management and security management framework for enterprises and other organizations. The secondary purpose is to provide guidance on detailed concepts and steps in transforming cybersecurity, and to align them with the existing information security strategy and processes. Focus on the fundamentals with a new strategy: - Educate new hires about security; - Train existing employees to be vigilant about phishing attacks; - Increase the awareness of data security for everyone at the bank.

1. (По-добре) Сменете Фокуса

2. Закон на Шамир

3. “Криптографията обикновено се заобикаля.
Не ми е известен случай, в който хакери
проникват в световно известна система за
сигурност използваща криптография чрез
разбиване на самата криптографията […]
обикновено има много по-прости начини за
проникване в системата за сигурност.”
-- Ади Шамир

4. Криптиране = защита?
Всички големи производители на игрови
конзоли използват множество похвати и
сложна криптография за защита
• PS3
• Wii
• Xbox
• Xbox 360

5. Криптиране = защита?
Мерките включват
• Цифрово подписани изпълними файлове
• Криптирано място за съхранение
• Подписани и криптирани носители на данни
• Криптиране на паметта плюс интегритет
• Използване на хардуер за криптиране
Всички те са били заобиколени
• В никой от случаите не е било необходимо да
се разбие криптографията

6. Криптиране = защита?
Amazon Kindle 2
• Всички файлове подписани с 1024-битов RSA ключ
• Хакерите подменят ключа с техен
• Следващите версии са разбити аналогично
HTC Thunderbolt
• Цифрово подписани изпълними файлове
• Подписано ядро
• Подписан код за възстановяване / рестартиране
• Премахнат е кода за проверка на подписа

7. По-силно криптиране?
Samsung Galaxy
• Firmware подписан с 2048-битов RSA ключ – двойно
повече от обичайното!
• Промяна на зареждането на firmware, за да
попадне точно върху кода за проверка на подписа и
да го неутрализира
Nikon фотоапарати
• Снимките подписани с 1024-битов RSA ключ
• Подписа е вграден в EXIF данните на снимката
• Ключа за подписване е вграден в самия firmware…

8. По-силно криптиране?
Canon фотоапарати
• Проверка на снимките с HMAC (хеш функция)
• HMAC е симетрична: Проверяващият също трябва
да знае ключа
• Споделеният ключ за HMAC е вграден в самия
firmware…
Google Chromecast
• Задълбочена проверка на цифрово подписан
изпълним дял преди зареждане
• Игнориране на резултата от функцията за проверка
на подписа

9. По-силно криптиране?
Google TV
• Множество устройства от различни производители
• Възползват се от разрешен по невнимание режим
за проследяване на грешки (debug)
• Некоректно зададен път заобикаля проверка за
изпълнение на неразрешени файлове
• Пренасочване регистри на NAND контролера, за да
разреши презапис на памет в ядрото
• Презапояване на криптиран SSD с некриптиран
• Използване на множеството съществуващи грешки
в Linux ядрото и грешки на приложно ниво

10. По-силно криптиране?
iPhone/iPad/iOS
• Множество от мерки за защита, твърде много, за да
се изброят тук
Заобикалянето им включва
• Вмъкване на изпълним код като фрагмент от данни
– те не се проверяват
• Използване на функционалности за развой (debug)
в подписани компоненти на ОС
• Синтезиране на пробойни чрез използване на
фрагменти от подписан изпълним код
• [...]

11. По-силно криптиране?
Windows RT UEFI
• Уязвимост за ескалиране на привилегии в RT
ядрото позволява заобикаляне на цифровото
подписване
Windows 8 UEFI
• Корекция на SPI паметта съдържаща UEFI
firmware, за да се заобиколи проверката на
цифровия подпис
• Изчистване на флагове в системния NVRAM с
цел да се заобиколят проверките на цифровия
подпис

12. Още криптиране?!
Оригинално некриптирано изображение

13. Още криптиране?!
Изображението криптирано с AES-256-ECB

14. Специализирани у-ва
Цялото криптиране и съответните ключове се
намират вътре в HSM (Hardware Security Module)
Използват се от банките в големи количества
при ATM-те за обработка на PIN
Снимките са илюстративни

15. Специализирани у-ва
Потребителски PIN
• Използват се като се добави отместване към PIN-а
• Слаба, но не критична проверка на PIN-а
• Блок от данни в ATM е криптиран с PIN-а
• Подава се към HSM заедно с транслираща таблица:
• HSM проверява PIN-а и връща “грешка” или “успех”
Ключове и данни не напускат HSM. Сигурно нали?
Hex 0 1 2 3 4 5 6 7 8 9 A B C D E F
Dec 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5

16. Специализирани у-ва
Транслиращи таблици
• Използване на модифицирана таблица, която не
съдържа нули
• Инициираме проверка на блок от данни
криптирани с PIN-а
• Ако HSM върне “успех”, то PIN-а не съдържа 0
• Повтаряме процедурата за всички цифри 1,2...
Вече знаем цифрите на PIN-а, но не и подредбата им
Hex 0 1 2 3 4 5 6 7 8 9 A B C D E F
Dec 1 1 2 3 4 5 6 7 8 9 1 1 2 3 4 5

17. Специализирани у-ва
Чрез промяна на отместването на PIN-а намираме
подредбата на цифрите. Неутрализираме
промяната в транслиращата таблица (прави 0 в 1)
• Например за PIN 2036
• Повтаряме за всяка цифра
Възстановяваме PIN-а без да знаем криптиращите
ключове и без достъп до процесите в HSM
Изместване Резултат от HSM PIN
0001 Грешка ????
0010 Грешка ????
0100 Успех ?0??

18. Обобщение до тук
Брой атаки разбили криптографията: 0
Брой атаки които са я заобиколили: Всички
– Без значение колко силно е криптирането и
колко големи са ключовете, атакуващите
успяват да ги заобиколят

19. Фокусирайте защитата към най-
силния и най-слабия елемент

20. Статистика1
• 97% от пробивите са предотвратими чрез
прости междинни контроли
• 70% в ЕС се притесняват от неправилно
използване на лични данни
• 39% проникване в организацията поради
невнимание на служители
• 67% от пробивите с цел шпионаж са в резултат
на фишинг измами
• 75% по-ниски разходи на служител при
съответствие с регулации
1) ISACA Security

21. Кибер сигурност
Рискове свързани с човешния фактор:
• Комплексност на вътрешните ИТ услуги
• Липса на умения и опит, човешка грешка
• Удобството като предпочитание
• Поведение на база противоречиви модели:
– Лично отричане
– Тясна рационалност
– Противоречиви цели

22. Кибер сигурност
Кобит 5 за трансформиране на кибер
сигурността:
• Унифициране на управлението, рамките за
риск и сигурност на информацията
• Предоставя концепции и стъпки за
трансформиране на кибер сигурността
– Съответствие със съществуващите процеси и
стратегия за сигурност
• КС стъпка по стъпка...

23. Човешния фактор
Съсредоточете се върху основите с (нова)
стратегия:
a. Обучавайте повече новите служители
b. Тренирайте съществуващите служители да
бъдат бдителни за фишинг атаки
c. Повишете информираността на всички за
сигурността на информацията
d. Ясно дефинирани интерфейси между
различните отдели в организацията

24. a) Новодошлите
Повече обучение по ИС за новопостъпилите:
• Въвлечете ги като им помогнете да
разберът как могат да защитят собственото
си име, личен и професионален живот
• Нека развият добри навици за сигурност у
дома, така че тези навици да се приложат и
на работното място
• Служителите ще станат по-бдителни по
въпросите по сигурността като цяло

25. b) Фишинг измами
Фишингът е вектор #3 на атака във всички
видове пробиви1:
• Изпращане на фалшиви фишинг писма до
малък брой служители
• Служителите ще станат по-добри в
откриване на злонамерени писма
• Все повече служители ще докладват за
такива писма
1) Verizon breach report 2014

26. c) Сигурност на данните
Имате политика за класификация, но дали се
спазва и кой ползва информацията:
• Нека потребителите разберът стойността на
данните, които използват ежедневно
• Задължителна класификация преди
изпращане извън организацията
• Правилата трябва да важът за всички, от
ръководството до отделните потребители

27. Очаквани подобрения
• Коректна класификация на информацията
на нужното или по-високо ниво
• Комфорт по отношение на правилата
• По-добрата осведоменост за сигурността се
проявява и в други области
• По-малко изключения за проверка на
дневна база
• […]

28. Благодаря за вниманието!
За контакти:
ISACA – София
ул. “Граф Игнатиев” 7A
София 1000
България
Мейл: mail@isaca-sofia.org
Сайт: www.isaca-sofia.org