Cryptography is bypassed, not penetrated!
The primary purpose of applying COBIT 5 to the transformation of cybersecurity is to enable a uniform governance, risk management and security management framework for enterprises and other organizations. The secondary purpose is to provide guidance on detailed concepts and steps in transforming cybersecurity, and to align them with the existing information security strategy and processes.
Focus on the fundamentals with a new strategy:
- Educate new hires about security;
- Train existing employees to be vigilant about phishing attacks;
- Increase the awareness of data security for everyone at the bank.
3. “Криптографията обикновено се заобикаля.
Не ми е известен случай, в който хакери
проникват в световно известна система за
сигурност използваща криптография чрез
разбиване на самата криптографията […]
обикновено има много по-прости начини за
проникване в системата за сигурност.”
-- Ади Шамир
4. Криптиране = защита?
Всички големи производители на игрови
конзоли използват множество похвати и
сложна криптография за защита
• PS3
• Wii
• Xbox
• Xbox 360
5. Криптиране = защита?
Мерките включват
• Цифрово подписани изпълними файлове
• Криптирано място за съхранение
• Подписани и криптирани носители на данни
• Криптиране на паметта плюс интегритет
• Използване на хардуер за криптиране
Всички те са били заобиколени
• В никой от случаите не е било необходимо да
се разбие криптографията
6. Криптиране = защита?
Amazon Kindle 2
• Всички файлове подписани с 1024-битов RSA ключ
• Хакерите подменят ключа с техен
• Следващите версии са разбити аналогично
HTC Thunderbolt
• Цифрово подписани изпълними файлове
• Подписано ядро
• Подписан код за възстановяване / рестартиране
• Премахнат е кода за проверка на подписа
7. По-силно криптиране?
Samsung Galaxy
• Firmware подписан с 2048-битов RSA ключ – двойно
повече от обичайното!
• Промяна на зареждането на firmware, за да
попадне точно върху кода за проверка на подписа и
да го неутрализира
Nikon фотоапарати
• Снимките подписани с 1024-битов RSA ключ
• Подписа е вграден в EXIF данните на снимката
• Ключа за подписване е вграден в самия firmware…
8. По-силно криптиране?
Canon фотоапарати
• Проверка на снимките с HMAC (хеш функция)
• HMAC е симетрична: Проверяващият също трябва
да знае ключа
• Споделеният ключ за HMAC е вграден в самия
firmware…
Google Chromecast
• Задълбочена проверка на цифрово подписан
изпълним дял преди зареждане
• Игнориране на резултата от функцията за проверка
на подписа
9. По-силно криптиране?
Google TV
• Множество устройства от различни производители
• Възползват се от разрешен по невнимание режим
за проследяване на грешки (debug)
• Некоректно зададен път заобикаля проверка за
изпълнение на неразрешени файлове
• Пренасочване регистри на NAND контролера, за да
разреши презапис на памет в ядрото
• Презапояване на криптиран SSD с некриптиран
• Използване на множеството съществуващи грешки
в Linux ядрото и грешки на приложно ниво
10. По-силно криптиране?
iPhone/iPad/iOS
• Множество от мерки за защита, твърде много, за да
се изброят тук
Заобикалянето им включва
• Вмъкване на изпълним код като фрагмент от данни
– те не се проверяват
• Използване на функционалности за развой (debug)
в подписани компоненти на ОС
• Синтезиране на пробойни чрез използване на
фрагменти от подписан изпълним код
• [...]
11. По-силно криптиране?
Windows RT UEFI
• Уязвимост за ескалиране на привилегии в RT
ядрото позволява заобикаляне на цифровото
подписване
Windows 8 UEFI
• Корекция на SPI паметта съдържаща UEFI
firmware, за да се заобиколи проверката на
цифровия подпис
• Изчистване на флагове в системния NVRAM с
цел да се заобиколят проверките на цифровия
подпис
14. Специализирани у-ва
Цялото криптиране и съответните ключове се
намират вътре в HSM (Hardware Security Module)
Използват се от банките в големи количества
при ATM-те за обработка на PIN
Снимките са илюстративни
15. Специализирани у-ва
Потребителски PIN
• Използват се като се добави отместване към PIN-а
• Слаба, но не критична проверка на PIN-а
• Блок от данни в ATM е криптиран с PIN-а
• Подава се към HSM заедно с транслираща таблица:
• HSM проверява PIN-а и връща “грешка” или “успех”
Ключове и данни не напускат HSM. Сигурно нали?
Hex 0 1 2 3 4 5 6 7 8 9 A B C D E F
Dec 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5
16. Специализирани у-ва
Транслиращи таблици
• Използване на модифицирана таблица, която не
съдържа нули
• Инициираме проверка на блок от данни
криптирани с PIN-а
• Ако HSM върне “успех”, то PIN-а не съдържа 0
• Повтаряме процедурата за всички цифри 1,2...
Вече знаем цифрите на PIN-а, но не и подредбата им
Hex 0 1 2 3 4 5 6 7 8 9 A B C D E F
Dec 1 1 2 3 4 5 6 7 8 9 1 1 2 3 4 5
17. Специализирани у-ва
Чрез промяна на отместването на PIN-а намираме
подредбата на цифрите. Неутрализираме
промяната в транслиращата таблица (прави 0 в 1)
• Например за PIN 2036
• Повтаряме за всяка цифра
Възстановяваме PIN-а без да знаем криптиращите
ключове и без достъп до процесите в HSM
Изместване Резултат от HSM PIN
0001 Грешка ????
0010 Грешка ????
0100 Успех ?0??
18. Обобщение до тук
Брой атаки разбили криптографията: 0
Брой атаки които са я заобиколили: Всички
– Без значение колко силно е криптирането и
колко големи са ключовете, атакуващите
успяват да ги заобиколят
20. Статистика1
• 97% от пробивите са предотвратими чрез
прости междинни контроли
• 70% в ЕС се притесняват от неправилно
използване на лични данни
• 39% проникване в организацията поради
невнимание на служители
• 67% от пробивите с цел шпионаж са в резултат
на фишинг измами
• 75% по-ниски разходи на служител при
съответствие с регулации
1) ISACA Security
21. Кибер сигурност
Рискове свързани с човешния фактор:
• Комплексност на вътрешните ИТ услуги
• Липса на умения и опит, човешка грешка
• Удобството като предпочитание
• Поведение на база противоречиви модели:
– Лично отричане
– Тясна рационалност
– Противоречиви цели
22. Кибер сигурност
Кобит 5 за трансформиране на кибер
сигурността:
• Унифициране на управлението, рамките за
риск и сигурност на информацията
• Предоставя концепции и стъпки за
трансформиране на кибер сигурността
– Съответствие със съществуващите процеси и
стратегия за сигурност
• КС стъпка по стъпка...
23. Човешния фактор
Съсредоточете се върху основите с (нова)
стратегия:
a. Обучавайте повече новите служители
b. Тренирайте съществуващите служители да
бъдат бдителни за фишинг атаки
c. Повишете информираността на всички за
сигурността на информацията
d. Ясно дефинирани интерфейси между
различните отдели в организацията
24. a) Новодошлите
Повече обучение по ИС за новопостъпилите:
• Въвлечете ги като им помогнете да
разберът как могат да защитят собственото
си име, личен и професионален живот
• Нека развият добри навици за сигурност у
дома, така че тези навици да се приложат и
на работното място
• Служителите ще станат по-бдителни по
въпросите по сигурността като цяло
25. b) Фишинг измами
Фишингът е вектор #3 на атака във всички
видове пробиви1:
• Изпращане на фалшиви фишинг писма до
малък брой служители
• Служителите ще станат по-добри в
откриване на злонамерени писма
• Все повече служители ще докладват за
такива писма
1) Verizon breach report 2014
26. c) Сигурност на данните
Имате политика за класификация, но дали се
спазва и кой ползва информацията:
• Нека потребителите разберът стойността на
данните, които използват ежедневно
• Задължителна класификация преди
изпращане извън организацията
• Правилата трябва да важът за всички, от
ръководството до отделните потребители
27. Очаквани подобрения
• Коректна класификация на информацията
на нужното или по-високо ниво
• Комфорт по отношение на правилата
• По-добрата осведоменост за сигурността се
проявява и в други области
• По-малко изключения за проверка на
дневна база
• […]
28. Благодаря за вниманието!
За контакти:
ISACA – София
ул. “Граф Игнатиев” 7A
София 1000
България
Мейл: mail@isaca-sofia.org
Сайт: www.isaca-sofia.org
Editor's Notes
The eponymous inventors of RSA, Drs Rivest, (Adi) Shamir, and Adleman, were awarded the Turing Award for 2002 [1]. For those who don't know, the Turing Award, named after Alan Turing (the inventor of the modern computer architecture, and also the inventor of the Turing Test), is the premier prize in the computing world. It's a bit like a Nobel for software, but software was invented after dynamite.
AES has been adopted by the U.S. government and is now used worldwide. It supersedes the Data Encryption Standard (DES),[8] which was published in 1977. The algorithm described by AES is asymmetric-key algorithm, meaning the same key is used for both encrypting and decrypting the data.
Control Objectives for Information and Related Technology (COBIT) is a framework created by ISACA for information technology (IT) management and IT governance. It is a supporting toolset that allows[citation needed] managers to bridge the gap between control requirements, technical issues and business risks.
Human behavior is often shaped by a number of inconsistent patterns that may be termed “discontinuities.” Instead of continuous thinking and actions in cybersecurity, individuals adopt contradictory or counterproductive attitudes and behavior patterns. Discontinuities often exist at all levels of the enterprise, and they tend to be internalized rather quickly if propagated by senior levels of management. Examples include:
• Personal denial - The risk of cybercrime and cyberwarfare is consciously denied due to a misperception of the real risk, or as a result of political goals and objectives.
• Bounded rationality - Facts and complex risk patterns are simplified to allow treatment. (“We cannot plan against everything, let us start with the obvious risk.”)
• Conflicting objectives - Risk perception and risk appetite are adjusted to other (seemingly stronger) objectives. (“We have an overall cost reduction target, and that also applies to security.”)
It is obvious from these examples that discontinuities as a human factor are the root cause of many attacks and breaches. Discontinuous decisions and subsequent consequences in all aspects of cybersecurity often create new vulnerabilities and threats.
The primary purpose of applying COBIT 5 to the transformation of cybersecurity is to enable a uniform governance, risk management and security management framework for enterprises and other organizations. The secondary purpose is to provide guidance on detailed concepts and steps in transforming cybersecurity, and to align them with the existing information security strategy and processes.
You have data classification policy in place; but how many employees are handling the data, and how many are paying attention to how they are securing it.