Mobil eszközök behatolás elleni védelme | IPS/IDS
Áttekintés A napjaink digitális társadalmi evolúciójának a magja határozottan a mobilitás, ahol a biztonság és a bizalmasság kombinációja, valamint a személyes adatok és a kritikus mobil adatok védelme érdekében lépéseket kell tenni. Sok vállalat már befektetett és bevezetett az olyan „első generációs” mobil kiberbiztonsági megoldásokat, mint az MDM (Mobile Device Management), MAM (Mobile Application Management) és antivírus alkalmazás. Akárhogy is a mobil eszközök számára a megfelelő kiberbiztonság ellátása komplexitást és folyamatosságot igényel. A modern mobil fenyegetettségek óráról-órára változnak, folyamatos innovációt igényelve, egy lépésben haladva a technológiával. Alapjaiban a hatékony védelem gyors felmérést, és személyre szabható automatizálható preventív eszközöket jelent. Ez a dokumentum kiemeli azokat a támadási vektorokat, amik specifikusan a mobil eszközöket érintik. A fő fókusz a hálózati támadások, ami körvonalazza a támadók által használt alapvető technikákat. Sok a piacon fellelhető megoldás nem képes, vagy csak részben képes felvenni a harcot ezekkel a támadásokkal szemben. A leírás demonstrálja publikusan elérhető eszközök behatását a mobil operációs rendszereken. A technikák számos hálózati és hoszt alapú támadásokat írnak le. A piac az alkalmazásokat emeli ki, mint a legveszélyesebb rizikó faktor, aminek meg is van az alapja, mivel már 2013-ban több, mint 1 millió ilyen eset volt. Habár ez egy szignifikáns tétel, javarészt Kínában érezhető. Ellenben más típusú támadásoknak is megvan a lehetősége, hogy súlyos behatást gyakoroljanak a vállalatra. A dokumentum a következőket taglalja:
Leírja azokat a támadásokat, amiknek a segítségével a vállalat kulcsfontosságú adatihoz lehet hozzáférni Demonstrálja a meglévő megoldások gyengeségeit, a támadók által leggyakrabban használt technikák ellen Leírja az a piacon fellelhető népszerű alkalmazások alapvető irányzatait
A leírás Mobile Device Management (MDM), Mobile Application Management (MAM), mobil antivírus és olyan nem mobil megoldásokat is benchmark-ol, mint például a Palo-Alto NextGeneration tűzfala. A benchmark eredményeképpen kiemelhető a Zimperium egyedi megközelítése és fölénye a hálózati és hoszt alapú behatolás megelőző rendszerekben. A Zimperium fejlett technológiát biztosít, ami felhasználó jogkörrel operál, lehetőséget engedve ezzel az azonnali BYOD bevetésére. Az innovatív technológia „nem inturzív csomag figyelés”, ami olyan módon lett optimalizálva a mobil eszközökre, hogy minimális energia-, memória- és CPU szükséglettel járjon, megőrizve ezzel az eredeti felhasználói élményt.
Mobil fenyegetések
Az itt leírt mobil fenyegetések számos használható támadási vektort ír le három szegmensben kategorizálva:
Hálózati támadások Hoszt támadások Növekvő bázisállomás fenyegetettségek
Az utolsót csak a jó alapokkal rendelkező és igen magas technikai tudással rendelkező támadók választják ezt a metódust. Mióta az okostelefonok és tabletek hardverei gyártótól függően változnak és akár egyazon modell is rendelkezhet különböző chip szettel, vagy firmware-el - a bázisállomást használó támadások függenek a pontos hardver specifikációtól, így az áldozatok furcsa újraindításokat vagy a telefon összeomlását szenvedhetik meg. Ebből kifolyólag a bázisállomás támadások nem használhatóak széles körben, így a támadók olyan utakat keresnek, amik egyszerűbbek, mint a hálózati és hoszt alapú támadások az OS-ben. Azok a támadók, akik hackedfemtocell-t hasznának tipikusan emelik az OS layer-t olyan támadásokkal, mint a hálózati és hoszt támadások.
Femtocell
Hálózati támadások
A hálózati támadások kezdeti lépései, támadói, offenzív személettel:
Hálózati felderítés: Ez a fázis segít a támadónak azonosítani a célpontokat. A hálózati felderítés általában a célpont, célpontok szkennelésével kezdődik. Ha egy nyitott port vagy potenciális sérülékenység azonosítva lett, a támadó átvált a második fázisra ami lehet szerver oldali, vagy kliens oldali támadás.
Szerver oldai: IPv4: Ha a támdás során sikerül egy nyitott szolgáltatást azonosítani, a támadó felhasználhatja, hogy távolról meghackelje az eszközt. A jelenlegi alapértelmett telepítés során a telefonoknak nincs nyitott portjuk. Az egytlen nyitott szolgáltatásra vontkozó forgatókönyv, ha az álfodat megnyitja a hotspot-ot, amire a támadó megpróbálhat csatlakozni. Ezen a ponton az áldozatnak nyitva van az 53-as UDP portja. Jelenleg nincs publikus támadás erre a szenárióra, ennek megfelelően nem túl bevett eljárás. IPv6: IPv6-os szkennerek már léteznek, és meglehet a kommunikáció nem teljesen IPv6 egynlőre, ez csak a router-en múlik amihez csatlakozik. Nagy valószínűséggel a jövőben növekvő fenyegetettségi tendenciával kell számolni az IPv6 terén. Különösen igaz ez a mobil eszközök területén ha számításba vesszük azt, hogy teljes operátori infrastruktúrák fognak frissíteni IPv6-ra. Az napjainkban használatos IPv6 szkennerek a célpontok operációs rendszereit, verzióját és az adott támadáshoz szükséges egyéb információkat derítenek fel.
Kliens oldal: Ahogy egy régebbi Pwn2Own versenyen is demonstarálták, mind az iOS, mind az Android eszközök meghackelhetőek távolról böngésző exploit támadással. A támadó használhat MITM támadást kombinálva egy kliens oldali exploit-al, hogy teljes kontrollt szerezzen az áldozat eszköze felett. Ezek a technikák tetszetősek a hackerek számámára, mivel nem igényelnek direkt interakciót az áldozat részéről.
Mobil hosztok fenygetettségei és támadási vektorok A hoszt támadások nagyon hasnolóak, az elmúlt néhány év megfigyelései alapján. Az okostelefonok vonatkozásában nehéz megkülönbözetetni a tényleges fenyegetettségeket, hála a tömeges marketingnek és a számos tévhitnek. Ennek a résznek a lényege, hogy kiemelje azokat a fenyegetéseket, amiket a hackerek kívülről céloznak meg, komromittálva a BYOD-t. Ahogy fentebb le lett írva, előnyt élveznek a hálózat alapú támadások, mivel nem szükséges a felhasználói interakció. Azonban, hogy egy egész szervezet felett át lehessen venni az irányítást, kombinálni és „láncolni” kell a hálózati és hoszt alapú támadásokat. Támadási vektorok az okostelefon hosztok ellen Először is fontos megérteni, hogy nem az alkalmazások jelentik legfontosabb támadási vektort. Az elmúlt 2-3 évben, úgy tűnhetett, hogy az káros App-ok legádázabbak. Az ipar által generált igény a konténrizálás és a sandboxing azt hirdette, hogy az alkalmazások az elsődleges fenyegetetések. Ez így nem teljesen van jól. A valós támadásokat alapul véve, azok a vezetők és egyéb beosztottak, számítanak jövedelmező célpontoknak, akik olyan fontos üzleti szolgáltatásokhoz csatlakoznak, mint például a CRM. Meg kell fontolni annak a lehetőségét, hogy mennyi ez esélye annak, hogy a célpont letölti a támadó által készített alkalmazást. Ez az alkalmazásfejlesztés, nem domain szakértelem. Ez visszatér ahhoz a hagyományosnak mondtható állításhoz, hogy az iOS biztonságosab, mert „a kert fallal van kürölvéve”. Újra nem valószínűsíthető, hogy a támadók alklamzásokat fognak használni, hogy beszivárogjanak az adott szervezetbe. Mióta az Android és iOS eszközöket is meg lehet hackelni más módszerekkel, a fenti állítás nem releváns, és mind az iOS, mind az Android egyenlően, legitim célpontja napjaink fenyegetéseinek. Hogyan szivárognak be a hackerek az okostelefonokba és tabletekbe:
Böngésző exploit-ok – A böngészőben végrehajtott kliens oldali támadások, még mindig a legnépszerűbb támadások amit a hackerek előszerettel használnak. A WebKit –ben lévő böngésző alapú sérülékenységek nem új keletűek. A támadás során a támadó egy linket küld az áldozat részére (Call-to-action), majd ha az áldozat rákattint a linkre és a támadó a böngészővel megegyező jogosultásot szerez az áldozat gépéhez. A legtöbb támadó mára hozzáláncolja ehhez a művelethez az EoP (Elevation of Privileges) támadást, hogy prezisztens elérést kapjon az eszközhöz. Sérülékeny kliens oldali alklamzások, pl.: PDF Olvasó - 2012-ben az Intel biztonsági konferenciáján demonstrálták, hogyan lehet ártalams PDF-et generálni kevesebb, mint 40 mp alatt. Úgy tűnik ez a típusú támadás elképesztő méreteket kezd ölteni. Ugyanúgy, ahogy a böngésző exploit-nél a támadók előszeretettel láncolnak itt is EoP-ot. Egyéb kliens oldali szoftverek – Naptár meghívók, alapértelmezett kezelők, stb.
Elgondolkodtató Egy vállalat kulcsfontosságú vezetői nem feltételen személyesen nyitják meg a email-eket azok linkeit és a csatolt PDF-eket. A vezetői titkárság célpontja lehet social engineering támadásoknak, mint például: „Utolsó lehetőség az XYZ konferenciára való regisztálásnak”. Ezen a ponton az asszisztens eszköze komprommittálódhat, amit kihasználva a támadó innen indíthat további támadásokat a vezetőség felé péladául egy MiTM (Man-in-the-Middle-Attack) chain-eléssel. Amint a vezető egyazon Wi-Fi hálózaton használja a böngészőjét, a forgalom elterelhető a komprommittált eszközön keresztül, aminek a segítségével egyazon böngésző exploit injektálható, amivel a titkárság eszköze esett el. Ez a támadás ismételhető a továbi eszközök meghackelésével az egész vállalaton keresztül. Az OEM-ek jogosultságainak hiányában a biztonsági gyártók gyakran használják ki a meglévi API-kat, hogy korlátozázott biztonsági szolgáltatásokat kínáljanak. Az alábbi táblázat betekintést enged a biztonsági megoldások megközelítséihez és hátrányaii megértéséhez. Biztonsági megközelítés Konténer (MAM)
Alapvető korlátozások és tervezési folyamat A konténer egy kiegészítő sandbox, ami számos sendbox-ot tartalmaz. Egyetlen kernel exploit is lehetőséget adhat a támadónak, hogy az egész eszközt felügyelje, beleértve a különböző sandboxokat és konténereket az eszközön belül.
Zárolás/törlés (MDM)
1. További biztonsági szint szükséges a kompromittált eszköz azonosítása érdekében 2. Néhány eszköz nem támogatja a teljes törlést, így biztosítani kell a kritikus és személyes felhasználói adatok törlését első parancsra.
Szignatúra alapú azonosítás ( Mobil antivírus)
1.Nem azonosítják a fent leírt böngésző / PDF támadások futását, amik más sandboxban futnak. 2. Alapvetően nem tudják azonosítani a Download-and-Execute payload-okat (benchmark lentebb) 3. A detektáló szoftver külön sandboxban fut ahonnan nem érhetők el az OS támadások (pl.: mappa jogkör ellenőrzés nélkül) 4. Ha egyszer a fenyegetést felderítette az AV nem tudja „eltávolítani/uninstallálni”, mivel a támadónak akkor már magasabb jogosultsági szintje van, mint az AV-nak 5. A szignatúrák könnyen manipulálhatóak 1.Nem azonosítja a támadásokat 2.Az eszköz komprommitálható a Wi-Fi „ termsof service” elfogadása közben. Muszáj felépíteni a kapcsolatot, hogy csatorna kiépítéséhez. 3.Látencia 4.Általában a belső vállalati hálózatban ki van kapcsolva, 3g és 4g
VPN
Mobil Antivírus vs. Download-And-Execute payload
A Zimperium kutatását alapul véve, egy exploit alkalmazásba történő elhelyezése során az AV riaszathat – ha az exploit kódon nem hajtottak végre módosítást. A mobil antivírus működése miatt ez egyértelmű, mivel el tudják érni a alkalmazás fájljait és ellenőrizni is tudják azokat és a csomagolást. Egy átlagos támadó nem fog elhelyezni exploit kódot az alkalmazásban, hogy elkerülje azonosítást. Ez a technika sajnos félrevezeti a legnépszerűbb mobil antivírusokat. A teszt folyamán a legnépszerűbb mobil antivírusok mindegyike elbukott a támadások során fentebb leírt alapvető anrtivírus sandox korlátozás miatt. A mobil antivírusok nem látnak ki a saját sandboxukból, így a hackerek Download-And-Execute payload-okat használják, hogy kikerüljék az azonosítást ilyen típusú megoldásoknál. Jelen teszt során 4 exploit-ot teszteltek a legnépszerűbb mobil antivírus megoldásokon, ami a következő eredményt hozta:
Exploit
ZIMPERIU M
McAfee
Symantec
Kaspersky
AVG
Avast
Sophos
Lookout
ZergRush Gingerbreak RageAgainstThe Cage Exploid
Igen Igen Igen
NEM NEM NEM
NEM NEM NEM
NEM NEM NEM
NEM NEM NEM
NEM NEM NEM
NEM NEM NEM
NEM NEM NEM
Igen
NEM
NEM
NEM
NEM
NEM
NEM
NEM
Mobil eszközök hálózati fenyegetései és támadási vektorai Jelenleg a hackerek a követlkező technikákat és támadási vektorokat használják céljaik elérése érdekében, ami lehet egy vállalatba történő beszivárgás, vagy olyan értékes információk megszerzése, ami a vezető rétegtől származik. Az okostelefonokra vonatkozó hálózati támadások egyre jobban veszélyezetetik a vállalatokat, mivel számos Wi-Fi hálózat van felügyelet nélkül például a reptereken, kávézókban.
Hálóztai támadási vektorok
Támadások láncolása
Súlyosság
Fenyegetés
Hálóztai megfigyelés (IPv4)
Szerver oldali exploit-ok
Fontos
Információk kitettsége
Hálóztai megfigyelés(IPv6)
Szerver oldali exploit-ok
Fontos
Információk kitettsége
Hálózati MiTM
Kliens oldali exploit-tok
Kritikus
Távoli kód végrehajtás (RCE)
Rouge AP
Kliens oldali exploit-tok | SSL Striping | Passzív
Kriitikus
RCE, Információk kitettsége, jelszó lopás
Károsodás
Információk kitettségétől a potenciálisan kompromittált eszközökig. A korai felderítése segíthet kiszűrni a komprommitált/zombi eszközöket a vállalaton belül. Információk kitettségétől a potenciálisan kompromittált eszközökig. A korai felderítése segíthet kiszűrni a komprommitált/zombi eszközöket a vállalaton belül. Az eszköz komprommitálható kliens oldali exploit láncolásával, mint a PDF, vagy a Webkit sérülékenység Az eszköz komprommitálható kliens oldlai exploit láncolásával, például a Webkit sérülékenység. A támadó strip-elheti az SSL session-t, hogy bizalmas infomrációkhoz jusson az eszköz hackelése nélkül
Teszt környzet Teszt eszközök Eszköz Samsung Galaxy Tab Samsung Galaxy Y Young Samsung Galaxy S Duos iPhone 5
OS típusa Android 4.1.2 Jelly Bean Android 2.3.6 Gingerbread Android 4.0.4 Ice Cream Sandwich iOS 7.0.4
A zIPS egy forradalmian új termék, ami túlmutat a jelenlegi mobil biztonsági megoldásokon. Zökkenőmentes működése, nem zavarja a felhasználói élményt azonosítja a káros fenyegetéseket és azonnali preventív lépéseket tud biztosítani. A megoldás viselkedés elemző motorja a z9 névre lett keresztelve, ami a Zimperium biztonsági szakértőinek „harci tapasztalatát” foglalja magában. A zIPS lehetőséget ad az eszközök részére, hogy biztonságosan használhassák a vezeték nélküli (vállalati/otthoni) hálózatokat A zANTi egy átfogó hálózatdiagnosztikai eszközkészlet (Fing-hez hasonló alapokkal), ami lehetőséget enged a IT szakembereknek, és pentesztereknek, hogy complex biztonsági auditokat, felméréseket és vizsgálatokat hajtsanak végre gombnyomásra. A zANTI egy felhő alapú platformot biztosít a jelentések megtekintésére és olyan irányok és elvek mentén vezet, amik segítségével biztosítható a IT, -ICT biztonság ezen része.
.
Pentester plarformok és eszközök Operating System
Attack Test Tools
Windows 7
● Nmap CLI/GUI v6.25 ● Cain and Abel ● ARP Spoof ● Simsang 1.8.0 ● SwitchSniffer Scan ● Blue Port Scanner ● NScan
Android phone
● zANTI2 ● dSploit ● Port Scanner UTOPICSOFT ● Port Detective ● Net Audit TCP Port Scanner ● TCP Port Scanner ● Network Scanner -IP Discovery
● Network Discovery ● Fing Network Tools
Ubuntu / Backtrack
● Nmap CLI/GUI v6.25 ● Ettercap ● ARPSpoof ● Scapy ● Intercepter-ng ● Hping3 Scan Mode ● Hping3 Spoof Mode ● Fing ● Net Discover ● Intercepter-ng ● TCP Fast Scan ● Unicorn Scan ● PBNJ 2.04 ● Netifera ● Knocker ● Genlist ● Protos ● Netcat ● Alive6 ● Detect Sniffer ● Exploit Test ● Firewall Test ● Fragmentation Test ● Fuzz IPv6 ● Implementation6
Hálózati IPS Hálózat behatoás megelőző rendszerek benchmark eredményei: Támadási típusok
zIPS
Palo Alto Networks VM-300
Scanning - IPv4 Basic Scan TCP Connect Scan TCP Syn Scan TCP Ack Scan TCP Fin Scan TCP XMAS Scan TCP Software Fingerprinting TCP Null Scan RPC Scan TCP Evading IDS Scan
Igen Igen Igen Igen Igen Igen Igen Igen Igen Igen
Igen Igen Igen Nem Nem Nem Igen Nem Igen Nem
Amennyiben tesztelni kívánja saját eszközét a támadások ellen írjon nekünk.
Banchmark: zIPS vs. Mobil Antivírus Scan
Commands
Mobile AV
MDM
(McAfee/AVG) (Avast/Lookout) (Symantec/Kaspersk y)
MobileIron ZenPrise Fixmo / etc
ZIMPERIUM
Basic Scan
nmap $target
Nincs azonosítás
Nincs azonosítás
TCP Connect Scan TCP SYN Scan
nmap -sT $target
Nincs azonosítás
Nincs azonosítás
nmap -sS $target
Nincs azonosítás
Nincs azonosítás
TCP ACK Scan
nmap -sA $target
Nincs azonosítás
Nincs azonosítás
TCP FIN Scan
nmap -sF $target
Nincs azonosítás
Nincs azonosítás
TCP XMAS Scan
nmap -sX $target
Nincs azonosítás
Nincs azonosítás
TCP NULL Scan
Nincs azonosítás
Nincs azonosítás
UDP Scan
nmap -sN $target -Pn nmap -sU $target
Nincs azonosítás
Nincs azonosítás
Protocol Scan
nmap -sO $target
Nincs azonosítás
Nincs azonosítás
RPC Scan
nmap -sR $target
Nincs azonosítás
Nincs azonosítás
Window Scan
nmap -sW $target
Nincs azonosítás
Nincs azonosítás
Evading IDS
nmap -f $target
Nincs azonosítás
Nincs azonosítás
Version Detect
nmap -sV $target
Nincs azonosítás
Nincs azonosítás
Hping3 Scan Mode Hping3 Spoof Mode
hping3 --scan known $target
Nincs azonosítás
Nincs azonosítás
hping3 -a 192.168.1.23 -scan known $target fping -g 192.168.1.0/24 netdiscover -i eth0 Start Simsang > Scan Network > Scan Select the Interface > Scan
Nincs azonosítás
Nincs azonosítás
Sikeres azonosítás
Nincs azonosítás
Nincs azonosítás
Nincs azonosítás
Nincs azonosítás
Nincs azonosítás
Nincs azonosítás
Sikeres azonosítás Sikeres azonosítás Sikeres azonosítás
Nincs azonosítás
Nincs azonosítás
Sikeres azonosítás
Input the Scan IP and Scan Single Host> Initial Host : 192.168.1.52 > Start ./tcp-fast-scan 192.168.1.52 Unicorn 192.168.1.52 ./scanpbnj
Nincs azonosítás
Nincs azonosítás
Nincs azonosítás
Nincs azonosítás
Sikeres azonosítás Sikeres azonosítás
Nincs azonosítás
Nincs azonosítás
Nincs azonosítás
Nincs azonosítás
Nincs azonosítás
Nincs azonosítás
Fing Net Discover Simsang 1.8.0 SwitchSniffer Scan Blue Port Scanner NScan
TCP Fast Scan Unicorn Scan PBNJ 2.04
Sikeres azonosítás Sikeres azonosítás Sikeres azonosítás Sikeres azonosítás Sikeres azonosítás Sikeres azonosítás Sikeres azonosítás Sikeres azonosítás Sikeres azonosítás Sikeres azonosítás Sikeres azonosítás Sikeres azonosítás Sikeres azonosítás Sikeres azonosítás
Sikeres azonosítás Sikeres azonosítás Sikeres
Netifera
Knocker
Genlist
192.168.1.52 ./netifera New Space > Input 192.168.1.0/24 > Right Click Discover TCP Services ./knocker -H 192.168.1.52 -SP 1 -EP 1024 genlist --scan
azonosítás Sikeres azonosítás
Nincs azonosítás
Nincs azonosítás
Nincs azonosítás
Nincs azonosítás
Sikeres azonosítás
Nincs azonosítás
Nincs azonosítás
Sikeres azonosítás
IPv6 támadások 192.168.1.0/24 Alive6 Detect Sniffer
Exploit Test
Firewall Test
Fragmentation Test
Fuzz IPv6
Implementation6
./alive6 wlan0
Nincs azonosítás
Nincs azonosítás
./detect_sniffer6 wlan0 fe80::b2ec:71ff:fe 89:e30c ./exploit6 wlan0 fe80::b2ec:71ff:fe 89:e30c 80 ./firewall6 wlan0 fe80::b2ec:71ff:fe 89:e30c 22 ./fragmentation6 p -n 1 wlan0 fe80::b2ec:71ff:fe 89:e30c ./fuzz_ip6 -s 22 -n 1 wlan0 fe80::b2ec:71ff:fe 89:e30c
Nincs azonosítás
Nincs azonosítás
Nincs azonosítás
Nincs azonosítás
Sikeres azonosítás
Nincs azonosítás
Nincs azonosítás
Sikeres azonosítás
Nincs azonosítás
Nincs azonosítás
Sikeres azonosítás
Nincs azonosítás
Nincs azonosítás
Sikeres azonosítás
Nincs azonosítás
Nincs azonosítás
Sikeres azonosítás
Sikeres azonosítás Sikeres azonosítás
MITM Támadások ICMP Redirect SSL Strip ARP spoof
Nincs azonosítás Nincs azonosítás Nincs azonosítás
Nincs azonosítás Nincs azonosítás Nincs azonosítás
Sikeres azonosítás Sikeres azonosítás Sikeres azonosítás
Konklúzió A robosztus biztonsági megoldás, a hálózati megfigyelő és megelőző rendszerek fejlesztésével kezdődik. Ez különösen fontos, mivel egyre több vállalat engedélyezi a dolgozói részére, hogy a saját eszközüket használhassák, „adoptálják a BYOD-t”. A kutatás rámutat, hogy a Mobil Intrusion Prevention System (Mobil IPS) gyerekcipőben jár még, ellenben számos megoldás van a piacon, ami biztosítja a védelmi funkciókat. A fenti benchmark megmutatja, hogy gyakorlatban nem tudják megfelelően megvédeni az Android és iOS eszközöket, a fejlett támadások ellen. Meg kell nevezni a prioritásokat és a környezetnek megfelelő megoldást kell választani.
A teszteket a Zimperium végezte, amennyiben kérdése lenne, írjon nekünk: info kukac blackcell.hu
