Informatikai rendszerek sérülékenység-vizsgálata

Az informatikai biztonság speciális témakörei

Hungarian Cyber Security Package

Informatikai rendszerek sérülékenység-vizsgálata 2013. május 8. Dolánszky György KÜRT Zrt.

MIRŐL LESZ SZÓ o Fogalmak

o Mi motiválja a hackereket? o Kockázatok - következmények, esettanulmányok o Sérülékenység-vizsgálat célja, módszerei, eszközei o Vizsgálat lépései o Eredmények: kockázatok értékelése, prezentálása o Gyakori hibák, javaslatok o Hackerek eszközei o Összefoglaló 2

FOGALMAK  Sérülékenység (vulnerability) – Biztonsági rés, mely kihasználásával a támadó magasabb jogosultsági szintet érhet el. Ezáltal a kompromittált rendszer bizalmassága, sértetlensége, rendelkezésre állása sérül. • • • • •

Gyenge jelszó Sérülékeny OS, DB, alkalmazás Jogosultság beállításának hibája Titkosítás hiánya vagy hibája Alkalmazás szintű hibák  bevitel ellenőrzésének hiánya  logikai hibák  hitelesítési hibák

• Átverhető / hanyag felhasználók 3

FOGALMAK  Exploit – program mely egy alkalmazás / rendszer gyengeségét, sérülékenységét aknázza ki  0-day sérülékenység – még nem publikált sérülékenység  Zero-day exploit  Sebezhetőségi ablak – a biztonsági rés megtalálása és annak javítása közötti idő  Patch – Biztonsági javítócsomag  Spear phishing – személyre szabott adathalászat

4

FOGALMAK  Hacker – verA: Határokat kereső informatikus (+) verB: Illegálisan tevékenykedő személy (-)  Ethical hacker – munkája az IT rendszerek biztonságának növelése, célcégtől megbízása van (+)  Cracker – Illegálisan próbál hozzáférést szerezni informatikai rendszerekhez (-)  White Hat – Ez a munkája… (+)  Gray Hat – Offenzív módszerekkel szerez információkat  Black Hat – Illegális tevékenységet folytat  Script kiddie – Használja az eszközöket, de nem ismeri  Hacktivist – Törvényes keretek között gyűjt információt 5

HACKEREK MOTÍVÁCIÓJA          

Pénzszerzés Gazdasági / verseny előny szerzése Hírszerzés, ipari kémkedés Politikai Vallási Bosszú Jogosulatlan adat megváltoztatás, törlés Rémhírterjesztés Lázadás, tiltakozás Kihívás, ego 6

KOCKÁZATOK - KÖVETKEZMÉNYEK Akik nem figyeltek a kockázatokra - kompromittált cégek:  Nemzetközi Valutaalap (IMF), Sony, Citigroup  EMC – RSA, Lockheed Martin, Mitsubishi  NASA, Reuters, Saudi Aramco, Facebook  Görög állampolgárok adatai (8M), LinkedIn (6M)  Iráni urándúsító rendszerek Statisztikai adatok:  Naponta 3 millióan kattintanak kártékony hirdetésre  Minden 290. e-mail fertőzött (0,35%)  Magyarországon naponta 10 laptopot lopnak el 7

STUXNET  Professzionális célzott támadás iráni urándúsító létesítmények ellen (2009-2010)

8

STUXNET, DUQU, FLAME és ? DUQU (2010. dec? - 2011. szeptember, BME CrySyS labor)  Preparált Word dokumentummal terjed és egy Windows-os 0-day sebezhetőséget használ ki  Adatokat gyűjt és küld  Késleltetve aktiválódik, 36 nap után törlődik FLAME / sKyWIper (2007. dec? - 2012. május, 20MB!)  Univerzális, konfigurálható terjedési módok  Moduláris, saját adatbázissal, tömörítéssel, titkosítással  Adatokat gyűjt és küld (karakterek, képernyő, hang…)

9

STUXNET, DUQU, FLAME és ? Teamspy (2004 ? - 2013, BME CrySyS labor)  Magyar, EU, NATO és Orosz kormányzati, ipari és kutatóintézetek számítógépeiről gyűjt adatot  Távfelügyelethez az ingyenes TeamViewert használja Miniduke (2013 ? - 2013, BME CrySyS labor)  Adobe Acrobat Reader-ben levő hibát kihasználva PDF dokumentummal terjed  Magyar, EU kormányzati célpontokat támadott Professzionális eszközök szofisztikált támadásokhoz 10

SÉRÜLÉKENYSÉG-VIZSGÁLAT Biztonsági szint

 Sérülékenység-vizsgálat a teljes informatikai biztonsági vizsgálat része

Biztonsági rés

Az IT biztonságára fordított összeg

 Célja az informatikai rendszer biztonságának, sérthetetlenségének vizsgálata  Mint minden kockázat-feltáró projekt, a feltárt biztonsági rések javításával éri el a kívánt eredményt, a magasabb biztonsági szintet, biztonságosabb működést. 11

MÓDSZEREI

Internet GSM/3G

Wi-Fi

Belső DMZ

I n f r a s t r u k t ú r a A l k a l m a z á s

(OS, DB, App)

Social Engineering

e-mail / Web telefon személyes

B l a c k - box – jogosultság nélkül G r e y - box – user jogosultsággal W h i t e - box – admin jogosultsággal 12

MOBIL-KOCKÁZAT  3 billió aktív SIM kártya  Okostelefonok terjedése  Fizikai védelmi vonalak elmosódtak Mire képesek a mobilvírusok? • Telefont használhatatlanná teheti • Emeltdíjas hívásokat / SMS küldést generál (pl. GameSat, BadNews/AlphaSMS – Android) • Adatokat küld (címlistát, híváslistát, képeket, jelszavakat, pl.: GingerMaster – Android 2.3, Kína, BadNews) • Távirányítást tesz lehetővé (botnet)

• Banki tranzakciók adatait irányíthatja át (pl. SpyEye Spitmo – Android, Symbian, BlackBerry, PC; Shylock) 13

VIZSGÁLAT SZAKASZAI Sérülékenység-vizsgálat szakaszai:

1. Előkészítés ajánlat, szerződés, scope, mit, hogyan

2. Végrehajtás egyeztetés, mit ne, mit külön, infógyűjtés, scan, kézi vizsgálat, stb., bizonyítékok kockázat értékelése, hamis pozitív?

3. Következtetés riportok, egyeztetetés, átadás

(Preparation, Conduct, Conclusion) 14

HACKER LÉPÉSEI 1. Információgyűjtés (passzív / aktív) 2. Felhasználónevek, megosztások keresése, ping, DNS Zone Transfer 3. Szkennelés (szolgáltatások, OS, DB, SW verziók, alap jelszavak, sérülékenységek) 4. Hozzáférés szerzése 5. Szerzett jogosultság fenntartása 6. Motiváció szerinti tevékenység 7. Nyomok eltüntetése (Reconnaissance, Footprinting, Enumeration, Scanning, Gaining Access, Maintaining Access, Covering tracks phase) 15

VIZSGÁLAT EREDMÉNYE    

Kiemelt kockázatok azonnali jelzése Eredmények összefoglalása - jelentés Részletes hibalista és megoldási javaslatok Mellékletek - Vizsgálat során készült riport állományok, hozzáférések igazolására készült képernyőmentések, DVD lemezen – Titkosítva!

Prezentáció(k):  Vezetőknek  Informatikusoknak 16

VIZSGÁLAT EREDMÉNYE Jelentés tartalma  Vezetői összefoglaló: cél, eredmények összefoglalása, üzleti és informatikai kockázatok (tömören, de konkrétan)  Talált kockázatok ismertetése     

Kategória Kockázat mértéke (magas / közepes / alacsony) Felmérési állapot (konkrétan!!!) Kockázat (informatikai -> üzleti) Javaslat

 Módszertan  Résztvevők adatai  Mellékletek 17

VIZSGÁLAT EREDMÉNYE  Javaslatok átadásának módszerei

Magas prioritású hibák

Közepes prioritású hibák

Alacsony prioritású hibák

Rövidtávon megoldandó Jelszavak cseréje, vírusvédelem javítása Jogosultságok szigorítása, megosztások ellenőrzése Egyéb hibák, a részletes hibalista alapján

Középtávon megoldandó

Hosszútávon megoldandó

Security Hotfix-ek Alkalmazások telepítése verzió frissítése Nem titkosított protokollok, programok cseréje

Hálózati forgalom titkosítása

Felhasználók biztonsági tudatosságának növelése

Hibajavítások ellenőrzése, felülvizsgálat

18

VIZSGÁLAT EREDMÉNYE  Javaslatok átadásának módszerei – ellenőrzőlista (xls) I. Rövidtávú intézkedések Gyenge jelszavak, SNMP community stringek használatának megszüntetése. Jelszavak minőségének feljavítása szabályzás és technikai kényszer által II. Középtávú intézkedések Titkosítás nélküli protokollok kiváltása, megszüntetése (SQL, telnet, FTP, HTTP, POP3, SNMP). III. Hosszútávú intézkedések Hálózati topológia átalakítása Dolgozók informatikai biztonsági tudatosságának fejlesztése.

3.1.5, 3.2.2.1,

I

3.2.1.6

II

közepes

3.2.1.5

II

magas

összes

II

alacsony

XY

alacsony

Feladat, Hivatkozás, Prioritás, Felelős, Költség, Időigény, Kezdés, Határidő, Készültség 19

MEGOLDÁSI LEHETŐSÉGEK Mit tehetnek a gyártók, szolgáltatók?  Biztonságos eszközöket kell gyártani (Van akinek ez túl jól sikerült? Pl. RIM BlackBerry)

 Szolgáltatók rendszerei? Mit tehetnek a felhasználók, cégek?  Biztonságos kommunikációt, adattárolást kell kialakítani (VPN, jó jelszavak/egyszer használható jelszavak (OTP), titkosítás, szabályozás és a biztonsági tudatosság fejlesztése)

 Jelszókezelés (rendszerek kényszerítsék ki)  Patch management (gyorsan, de tesztelés után)  Sérülékenység vizsgálat, kockázatelemzés 20

MEGOLDÁSI LEHETŐSÉGEK Mit tehetünk mi?  Jelszavak (hosszú, de könnyen megjegyezhető, OTP)  Rendszeres operációs rendszer és alkalmazás frissítés  Anti-vírus szoftver  Személyes tűzfal  Csak megbízható, titkosított Wi-Fi  Böngészés: https  Alkalmazás telepítése - biztosan kell?  Bluetooth, Wi-Fi kapcsolat megosztása  Backup  Milyen böngészőt használjunk? 21

MEGOLDÁSI LEHETŐSÉGEK – WI-FI Biztonságos vezeték-nélküli hálózat  Wi-Fi beállítások / Biztonság  Nyílt – Ne  WEP – Ne (Wired Equivalent Privacy, 1997 / 2001)  WPA-PSK – Ne (Wi-Fi Protected Access, 2003 / 2008)  WPA2 – Igen (AES, 2004 / 2012)  WPS – Igen (Wi-Fi Protected Setup)  Bonyolult jelszavak! – Igen Teljesítmény:  Csatornaütközés, interferencia? – Ne (pl. mikrohullámú sütő…) 22

HACKER ESZKÖZEI Footprinting:  Sam Spade – ping, traceroute, whois, finger...  Visual Route – show the path that data takes through the internet  nslookup – e.g. Set type=mx will only return mail server info for the domains  Edgar (www.sec.gov) – maintains a database on all publicly traded companies  Interneten, www.google.com

23

HACKER ESZKÖZEI Scanning:  nmap – free network port scanner  Nessus – free and commercial network security scanner  Retina – commercial network security scanner  LanGuard – vulnerability scanner  Netcraft & Whois are passive scanning tools  NetCat – “nc –v –z –w2 192.168.1.1 1-80”  THC-Scan (The Hacker Choise) – full featured phone/fax scanner, used on phone lines  TBA – war dialer for PalmPilot 24

HACKER ESZKÖZEI Enumeration:  NBTstat – Protocol statistics, NETBIOS info  NBTScan – NETBIOS Network Name Scanner  Enum – exploit a NETBIOS share  SNScan by Foundstone – SNMP network scanner  Solarwinds IP Browser – SNMP enumeration tool  SNMPUtil – SNMP enumeration tool (Win2000 reskit)

25

HACKER ESZKÖZEI Session Hijacking:  Juggernaut – network sniffer (could use keywords)  TTY-Watcher – Sun Solaris - hijack sessions on LAN only  IP Watcher / T-Sight – hijack sessions on LAN/WAN  Hunt - listen, intercept, hijack TCP sessions, ARP poisoning  Ettercap – ARP poisoning  BackTrack – Penetration Testing Distribution (LiveCD)

26

HACKER ESZKÖZEI Hacking Web Servers:  IISxploit.exe – tools for directory traversal  Brutus – crack with dictionary or brute force attacks  Burp intruder – automated web site attacker  Burp proxy – MITM between web client and server  Wget – download (entire) contents of a website  Munga Bunga – brute force attack on any HTML form MS IIS Basic Authentication – Base64 encoded pw ~ clear text MS Digest Authentication – pw never send over the net 27

HACKER ESZKÖZEI SQL hacking tools:  SQLDict – SQL dictionary and brute force attack  SQLExec – enables to run remote commands  SQLbf – SQL server password auditor  SQLSmack – perl script for remote command  OSQL – tool to perform ODBC commands  SQL2.exe – SQL buffer overflow tool  SQLPing – GUI ping for SQL servers  AppDetective – vulnerability scanner for SQL  NGS SQLCrack – pw auditing, vulnerabilities scanner 28

HACKER ESZKÖZEI Evading firewall:  Firewalk – is a way disguise a portscan  Fragrouter – take IP traffic and fragments  Mendax – Tool to evade an IDS  SideStep – IDS evasion tool  NIDSBench – IDS tester  Spector – honeypot  SmokeDetector – honeypot  BigEye – honeypot  HoneyPot Hunter – tool to find honeypots 29

HACKER ESZKÖZEI Wi-Fi hacking:  NetStumbler – WLAN scanner, WLAN AP locator (régi)  InSSIDer – WLAN scanner, WLAN AP locator  PrismStumbler – WLAN scanner, WarDriving  WallenReiter – WLAN network discovery tool  AiroPeek – Wireless sniffer and protocol analyzer  AirSnort – WLAN sniffering, WEP key cracker  AirSnarf – rogue access point to steal username and pw  AirSniff – sniffs out encryption keys  KisMet – wireless network detector, packet decoder  DriftNet – shows images going across the network 30

HACKER ESZKÖZEI Physical security:  Piggybacking is the method of following employees into a secure area while the door open  Shoulder surfing is looking over someone’s shoulder while typing  Man trap is a cage or a segregated area that people must walk through  Warded lock – can be easily picked  Combination lock – do not utilize a key  Tumbler lock – with tumblers 31

HACKER ESZKÖZEI Social Engineering:  Reciprocation – főnök kérésére adja meg a jelszót…  Liking – complimenting her (People like people who like them…)  Social Validation – már mindenki más megadta a felhasználónevét és jelszavát  Road apple – CD / USB drive are left at the office  Reverse social engineering – sabotage, advertising, assisting  Spear phishing – személyre szabott adathalászat 32

INFORMÁCIÓ FORRÁSOK  Top 10 sérülékenység: www.sans.org/top-cyber-security-risks/ www.qualys.com/research/top10/

 Ön-ellenőrzés: Secunia Online Software Inspector (free) http://secunia.com/vulnerability_scanning/online/

 Titkosító eszköz: TrueCrypt (free) www.truecrypt.org

33

INFORMÁCIÓ FORRÁSOK  Átfogó cikk a jelenlegi IT (mobil) kockázatokról: www.securelist.com/en/analysis/204792283/Mobile_Malware_Evolution_Part_6 www.securelist.com/en/analysis/204792278/Kaspersky_Lab_report_Evaluating_the_threat_level_of_software_vulnerabilities

 Mobilbiztonság, trendek, részletes információk: www.f-secure.com/en/web/labs_global/whitepapers/reports

 Ajánlások, kockázatelemzések, adatok: www.enisa.europa.eu/publications

 Open Web Application Security Project (OWASP) www.owasp.org

 Az első mobil-vírusoktól: www.securelist.com/en/analysis?pubid=200119916

34

ÖSSZEFOGLALÁS  Sérülékenység-vizsgálat célja  Hacker / Etikus hacker

 Kockázatok értékelése  Kockázattal arányos védekezés!

 Eredmények kezelése

35

Köszönöm a figyelmet! Dolánszky György - KÜRT Zrt. Informatikai biztonsági szakértő, CISA [email protected]

36