ºÝºÝߣ

ºÝºÝߣShare a Scribd company logo

T¨²l¨¦l¨¦s a H¨¢rom Bet?s R?vid¨ªt¨¦sek vil¨¢g¨¢ban

?
?
Open Academy
Open Academy

A modern biztons¨¢gi fenyeget¨¦sek anat¨®mi¨¢ja, r¨¦gi m¨®dszerek, ¨²j megvil¨¢g¨ªt¨¢sban. Rendelkez¨¦sre ¨¢ll¨® biztons¨¢gi megold¨¢sok ¨¦s ezek probl¨¦m¨¢i. A hagyom¨¢nyos v¨¦delmi szeml¨¦let megk¨¦rd?jelez¨¦se. (Buher¨¢tor, m¨¦lt¨¢n h¨ªres blogger, BuheraBlog)

1 of 39
Download to read offline
T¨²l¨¦l¨¦s a H¨¢rom Bet?s R?vid¨ªt¨¦sek vil¨¢g¨¢ban Buher¨¢tor, Buhera Blog
T¨²l¨¦l¨¦s a H¨¢rom Bet?s R?vid¨ªt¨¦sek vil¨¢g¨¢ban
T¨²l¨¦l¨¦s a H¨¢rom Bet?s R?vid¨ªt¨¦sek vil¨¢g¨¢ban
(Bocs¨¢ssatok meg ez¨¦rt a di¨¢¨¦rt!) ADVANCED PERSISTENT THREATS
Helyzetjelent¨¦s A t¨¢mad¨®k m¨®dszerei folyamatosan fejl?dnek A v¨¦dekez¨¦s ¨¢ltal¨¢ban >=5 ¨¦ves m¨®dszerekkel t?rt¨¦nik Haszn¨¢lj AV-t Haszn¨¢lj t?zfalat ??? Nem a val¨®di fenyeget¨¦sek ellen v¨¦dekez¨¹nk!
·¡°ù±ð»å³¾¨¦²Ô²â ? Google #fail ? Symantec #fail ? EMC/RSA #fail ? Lockheed-Martin #fail ? Illinois EPA BoW #fail ? .no #fail ? Stuxnet #epic #win ? Marriott? :)
Mi¨¦rt ¨¦rdekeljen ez engem?
¡­avagy: Operation Human Shield
M¨²lt ¨¦s jelen ? Kiterjedt fenyeget¨¦sek ? Ismert t¨¢mad¨¢si mint¨¢k ? K¨ªv¨¹lr?l ¨¦rkez? t¨¢mad¨®k ? ?ldozat -> ¨¢ltal¨¢nos c¨¦l¨² rabszolga ? Helyre¨¢ll¨ªthat¨® rendszer
Jelen ¨¦s j?v? ? C¨¦lzott t¨¢mad¨¢sok ? Ismeretlen t¨¢mad¨¢si mint¨¢k ? Bel¨¹lr?l ¨¦rkez? t¨¢mad¨¢sok ? ?ldozat -> J¨®l meghat¨¢rozott ¨¹zleti adatok ? Kritikus vesztes¨¦gek
Kliens oldali t¨¢mad¨¢sok ? Hum¨¢n faktor ? Sz¨¢mos beviteli csatorna ? E-mail ? CD/pendrive ? WWW / Drive-by-download ? Sz¨¢mos form¨¢tum ? PDF ? Office (Word, PPT, XLS¡­) ? Flash ? Java
Kliens exploit vs. AntiVirus ? P¨¦lda: Operation Aurora, 2009 k?zepe - 2009 v¨¦ge ? C¨¦lzott t¨¢mad¨¢s technol¨®giai ¨®ri¨¢sc¨¦gekkel szemben ? Google vs. K¨ªna (a WikiLeaks meger?s¨ªti a gyan¨²t) ? Google, Adobe, Juniper, Yahoo!, Symantec, Morgan Stanley, stb. ? 0day IE exploit ? A t¨¢mad¨¢s idej¨¦n nem ¨¢llt rendelkez¨¦sre jav¨ªt¨¢s ? Hogy ¨¢llunk ma? ? DEMO
Exploit anat¨®mia ? Trigger ? "Stabiliz¨¢tor" (pl. NOP sled) ? Hasznos teher ? Shellcode ? Decoder ? Stager
Exploit¨¢l¨¢s a mem¨®ri¨¢ban ? Nem ker¨¹l rosszindulat¨² k¨®d a diszkre ? F¨¢jlkezel? API hookok nem seg¨ªtenek ? A mem¨®ria folyamatos monitoroz¨¢sa er?forr¨¢s ig¨¦nyes ? Rejt?zk?d¨¦si technik¨¢k ? Obfuszk¨¢ci¨® / Titkos¨ªt¨¢s ? V¨¢ndorl¨¢s ? "Nem hivatalos" modul regisztr¨¢ci¨®k ? "Az AV els?dleges c¨¦lja a megel?z¨¦s"
F¨¢jlba ¨¢gyazott exploit / Perzisztencia ? Elm¨¦letileg jobbak az es¨¦lyek a detekt¨¢l¨¢sra! ? PDF + JS = NOGO ? Szokatlan f¨¢jlstrukt¨²ra ? RWX mem¨®riafoglal¨¢sok figyelhet?k ? K¨®demul¨¢ci¨® / Sandboxing
T¨²l¨¦l¨¦s a H¨¢rom Bet?s R?vid¨ªt¨¦sek vil¨¢g¨¢ban
F¨¢jlba ¨¢gyazott exploit / Perzisztencia ? Gyakorlatilag¡­ ? Excelbe ¨¢gyazott Flashbe ¨¢gyazott exploit nem gyan¨²s¡­ (RSA) ? Az egys¨¦g sugar¨² j¨²zer sim¨¢n kattint EXE-re is ? Er?forr¨¢sig¨¦nyes k¨®dot nincs id? emul¨¢lni ? Tervez¨¦si hib¨¢kkal szemben neh¨¦z heurisztik¨¢t adni
Ha bent vagyunk: rootkitek C¨¦l: A rendszerszint? jogosults¨¢g megtart¨¢sa + ¨¦szrev¨¦tlens¨¦g 1. Az alkalmaz¨¢sok k?zvetlen¨¹l csak az OS-el kommunik¨¢lhatnak 2. A biztons¨¢gi szoftverek alkalmaz¨¢sok 1. && 2. => Ha rendszer szint? k¨®dot tudok futtatni, azt hazudok a biztons¨¢gi szoftvernek, amit akarok! GAME OVER
Host hardening lehet?s¨¦gek ? Windows Vista/7, alternat¨ªv OS (nem XP!) ? Adobe Reader X, IE7+ ? Microsoft EMET ? Immunity El Jefe ? Tesztel¨¦shez: Metasploit
Host hardening lehet?s¨¦gek ? Windows Vista/7, alternat¨ªv OS (nem XP!) ? Adobe Reader X, IE7+ ? Microsoft EMET ? Immunity El Jefe ? Ki v¨¢llalja a bevezet¨¦st?
Mi lesz most?
A r¨¦gi iskola h¨¢l¨®zati t¨¢mad¨¢sai ? ARP ? "?n vagyok az ¨¢tj¨¢r¨®!" ? Switching ? "?n vagyok az STP gy?k¨¦r!" ? CAM flood ? Routing ? "?n mindenhov¨¢ olcs¨®n sz¨¢ll¨ªtok!" ? "?n mindenkit el¨¦rek!" ? DHCP ? "Haszn¨¢lj engem ¨¢tj¨¢r¨®nak!"
´¡±ô²¹±è±è°ù´Ç²ú±ô¨¦³¾²¹
Titkos¨ªt¨¢s ? A titkos¨ªt¨¢s ?nmag¨¢ban nem el¨¦g! ? Man-in-the-Middle t¨¢mad¨¢sok ? Hiteles¨ªt¨¦s (¨¦s integrit¨¢s-ellen?rz¨¦s) sz¨¹ks¨¦ges! ? Alkalmaz¨¢s-hib¨¢kt¨®l nem v¨¦d! ? Tapasztalat: ?ltal¨¢nos az ?nal¨¢¨ªrt tan¨²s¨ªtv¨¢nyok haszn¨¢lata
Titkos¨ªt¨¢s ? Megb¨ªzhat¨® f¨¦l ¨¢ltal hiteles¨ªtett tan¨²s¨ªtv¨¢ny! ? A tan¨²s¨ªtott nem megb¨ªzhat¨®¡­ ? C¨¦gen bel¨¹l vagy elismert CA-val ? Szerver hiteles¨ªt¨¦s kik¨¦nyszer¨ªt¨¦se ? Tan¨²s¨ªtv¨¢ny alap¨² kliens hiteles¨ªt¨¦s ? Szinte sehol nem tal¨¢lkozni ilyennel :( ? Rendes kulcs¡­
Sz¨¦p ¨¢lmokat¡­
V¨¦delem? ? A h¨¢l¨®zat alapvet?en az¨¦rt van, hogy haszn¨¢ljuk! ? A fert?z?tt hoszt legitim felhaszn¨¢l¨®ja a h¨¢l¨®zatnak! ? Fizikai kapcsolat, jelszavak, tokenek, stb. ? H¨¢l¨®zaton k¨ªv¨¹li terjeszt¨¦si csatorn¨¢k ? L¨¢sd Stuxnet: pendrive
´¡±ô²¹±è±è°ù´Ç²ú±ô¨¦³¾²¹
Monitoroz¨¢s ? Bet?r¨¦sfigyel? ¨¦s ¨Cmegel?z? eszk?z?k (IDS/IPS) ? Snort, Bro IDS, ¡­ ? + Logelemz¨¦s! ? El?zetes ismeret a rendszerr?l (protokollok, OS API-k, ¡­) ? ?ltal¨¢ban mintaalap¨² m?k?d¨¦s (+¨¢llapotmodell) ? Exploitok ? Tipikus t¨¢mad¨¢si mint¨¢k (BoF, SQLi, ¡­) ? Amit nem szeretn¨¦nk a h¨¢l¨®zaton l¨¢tni ? Jelsz¨® adatb¨¢zisok, shell utas¨ªt¨¢sok, stb.
Monitoroz¨¢s - Korl¨¢tok ? Titkos¨ªt¨¢s ? ?zleti logika ? 0day fenyeget¨¦sek ? N¨¦h¨¢ny term¨¦k korl¨¢tozott 0day v¨¦delmet is ny¨²jt ? Teljes¨ªtm¨¦ny ? TCO
MI MARADT KI?
T¨¢mad¨¢si f¨¢zisok eltol¨®d¨¢sa
Adat kijuttat¨¢s ? A t¨¢mad¨®nak sz¨¹ks¨¦ge van az inform¨¢ci¨®nkra ? A t¨¢mad¨® rootkitje parancsokra v¨¢r ? Hogyan val¨®sul meg a k¨¦tir¨¢ny¨² kapcsolat?
Adat kijuttat¨¢s ? Gyakran haszn¨¢lt protokollon kereszt¨¹l ? El¨¦g, ha egy h¨¢l¨®zatra k?t?tt g¨¦p ki van engedve! ? Titkos¨ªt¨¢s ? Adatrejt¨¦s ? K¨¦p, hang, stb. ? Protokoll szinten ? K?z?ss¨¦gi m¨¦dia
Adat kijuttat¨¢s - V¨¦delem ? Data Leak Prevention ? "Senki nem visz ki adatot a h¨¢l¨®zatb¨®l!" ? Security gateway-ek, proxy-k ? TLS v¨¦gz?dtet¨¦s ? Feh¨¦rlist¨¢s / reput¨¢ci¨®s sz?r¨¦s ? Separation of Duties ? Kritikus feladatokhoz nem el¨¦g egy ember hozz¨¢f¨¦r¨¦se
Technol¨®giai j?v?k¨¦p ? "Mi az ami ¨¢rtalmas?" -> "Mi az ami enged¨¦lyezett?" ? Reput¨¢ci¨® alap¨² oszt¨¢lyoz¨¢s ? Aggreg¨¢lt tud¨¢s ? Konvergencia
Eml¨¦keztet? ? A h¨¢l¨®zatunkat nem tekinthetj¨¹k t?bb¨¦ j¨®l ?rz?tt er?d¨ªtm¨¦nynek ? A t¨¢mad¨®k m¨¢r a sp¨¢jzban vannak ? T?bbszint? v¨¦delemre van sz¨¹ks¨¦g ? Figyelj¨¹nk az ¨²j technol¨®gi¨¢kra! ? A r¨¦gi v¨¦delmeket sem dobhatjuk ki az ablakon ? ¡­m¨¢r ha eddig alkalmaztuk ?ket ? F¨¢jni fog, de l¨¦pni kell!
"Nem az sz¨¢m¨ªt, hogy mennyire biztons¨¢gos a rendszered a t¨¢rsaid¨¦hoz k¨¦pest. Csak az sz¨¢m¨ªt, hogy el¨¦g biztons¨¢gos-e ahhoz, hogy t¨¢vol tartsa a t¨¢mad¨®t." (Bruce Schneier, 2011.)
K?sz?n?m a figyelmet! buherator@gmail.com http://buhera.blog.hu

More Related Content

T¨²l¨¦l¨¦s a H¨¢rom Bet?s R?vid¨ªt¨¦sek vil¨¢g¨¢ban

  • 1. T¨²l¨¦l¨¦s a H¨¢rom Bet?s R?vid¨ªt¨¦sek vil¨¢g¨¢ban Buher¨¢tor, Buhera Blog
  • 4. (Bocs¨¢ssatok meg ez¨¦rt a di¨¢¨¦rt!) ADVANCED PERSISTENT THREATS
  • 5. Helyzetjelent¨¦s A t¨¢mad¨®k m¨®dszerei folyamatosan fejl?dnek A v¨¦dekez¨¦s ¨¢ltal¨¢ban >=5 ¨¦ves m¨®dszerekkel t?rt¨¦nik Haszn¨¢lj AV-t Haszn¨¢lj t?zfalat ??? Nem a val¨®di fenyeget¨¦sek ellen v¨¦dekez¨¹nk!
  • 6. ·¡°ù±ð»å³¾¨¦²Ô²â ? Google #fail ? Symantec #fail ? EMC/RSA #fail ? Lockheed-Martin #fail ? Illinois EPA BoW #fail ? .no #fail ? Stuxnet #epic #win ? Marriott? :)
  • 9. M¨²lt ¨¦s jelen ? Kiterjedt fenyeget¨¦sek ? Ismert t¨¢mad¨¢si mint¨¢k ? K¨ªv¨¹lr?l ¨¦rkez? t¨¢mad¨®k ? ?ldozat -> ¨¢ltal¨¢nos c¨¦l¨² rabszolga ? Helyre¨¢ll¨ªthat¨® rendszer
  • 10. Jelen ¨¦s j?v? ? C¨¦lzott t¨¢mad¨¢sok ? Ismeretlen t¨¢mad¨¢si mint¨¢k ? Bel¨¹lr?l ¨¦rkez? t¨¢mad¨¢sok ? ?ldozat -> J¨®l meghat¨¢rozott ¨¹zleti adatok ? Kritikus vesztes¨¦gek
  • 11. Kliens oldali t¨¢mad¨¢sok ? Hum¨¢n faktor ? Sz¨¢mos beviteli csatorna ? E-mail ? CD/pendrive ? WWW / Drive-by-download ? Sz¨¢mos form¨¢tum ? PDF ? Office (Word, PPT, XLS¡­) ? Flash ? Java
  • 12. Kliens exploit vs. AntiVirus ? P¨¦lda: Operation Aurora, 2009 k?zepe - 2009 v¨¦ge ? C¨¦lzott t¨¢mad¨¢s technol¨®giai ¨®ri¨¢sc¨¦gekkel szemben ? Google vs. K¨ªna (a WikiLeaks meger?s¨ªti a gyan¨²t) ? Google, Adobe, Juniper, Yahoo!, Symantec, Morgan Stanley, stb. ? 0day IE exploit ? A t¨¢mad¨¢s idej¨¦n nem ¨¢llt rendelkez¨¦sre jav¨ªt¨¢s ? Hogy ¨¢llunk ma? ? DEMO
  • 13. Exploit anat¨®mia ? Trigger ? "Stabiliz¨¢tor" (pl. NOP sled) ? Hasznos teher ? Shellcode ? Decoder ? Stager
  • 14. Exploit¨¢l¨¢s a mem¨®ri¨¢ban ? Nem ker¨¹l rosszindulat¨² k¨®d a diszkre ? F¨¢jlkezel? API hookok nem seg¨ªtenek ? A mem¨®ria folyamatos monitoroz¨¢sa er?forr¨¢s ig¨¦nyes ? Rejt?zk?d¨¦si technik¨¢k ? Obfuszk¨¢ci¨® / Titkos¨ªt¨¢s ? V¨¢ndorl¨¢s ? "Nem hivatalos" modul regisztr¨¢ci¨®k ? "Az AV els?dleges c¨¦lja a megel?z¨¦s"
  • 15. F¨¢jlba ¨¢gyazott exploit / Perzisztencia ? Elm¨¦letileg jobbak az es¨¦lyek a detekt¨¢l¨¢sra! ? PDF + JS = NOGO ? Szokatlan f¨¢jlstrukt¨²ra ? RWX mem¨®riafoglal¨¢sok figyelhet?k ? K¨®demul¨¢ci¨® / Sandboxing
  • 17. F¨¢jlba ¨¢gyazott exploit / Perzisztencia ? Gyakorlatilag¡­ ? Excelbe ¨¢gyazott Flashbe ¨¢gyazott exploit nem gyan¨²s¡­ (RSA) ? Az egys¨¦g sugar¨² j¨²zer sim¨¢n kattint EXE-re is ? Er?forr¨¢sig¨¦nyes k¨®dot nincs id? emul¨¢lni ? Tervez¨¦si hib¨¢kkal szemben neh¨¦z heurisztik¨¢t adni
  • 18. Ha bent vagyunk: rootkitek C¨¦l: A rendszerszint? jogosults¨¢g megtart¨¢sa + ¨¦szrev¨¦tlens¨¦g 1. Az alkalmaz¨¢sok k?zvetlen¨¹l csak az OS-el kommunik¨¢lhatnak 2. A biztons¨¢gi szoftverek alkalmaz¨¢sok 1. && 2. => Ha rendszer szint? k¨®dot tudok futtatni, azt hazudok a biztons¨¢gi szoftvernek, amit akarok! GAME OVER
  • 19. Host hardening lehet?s¨¦gek ? Windows Vista/7, alternat¨ªv OS (nem XP!) ? Adobe Reader X, IE7+ ? Microsoft EMET ? Immunity El Jefe ? Tesztel¨¦shez: Metasploit
  • 20. Host hardening lehet?s¨¦gek ? Windows Vista/7, alternat¨ªv OS (nem XP!) ? Adobe Reader X, IE7+ ? Microsoft EMET ? Immunity El Jefe ? Ki v¨¢llalja a bevezet¨¦st?
  • 22. A r¨¦gi iskola h¨¢l¨®zati t¨¢mad¨¢sai ? ARP ? "?n vagyok az ¨¢tj¨¢r¨®!" ? Switching ? "?n vagyok az STP gy?k¨¦r!" ? CAM flood ? Routing ? "?n mindenhov¨¢ olcs¨®n sz¨¢ll¨ªtok!" ? "?n mindenkit el¨¦rek!" ? DHCP ? "Haszn¨¢lj engem ¨¢tj¨¢r¨®nak!"
  • 24. Titkos¨ªt¨¢s ? A titkos¨ªt¨¢s ?nmag¨¢ban nem el¨¦g! ? Man-in-the-Middle t¨¢mad¨¢sok ? Hiteles¨ªt¨¦s (¨¦s integrit¨¢s-ellen?rz¨¦s) sz¨¹ks¨¦ges! ? Alkalmaz¨¢s-hib¨¢kt¨®l nem v¨¦d! ? Tapasztalat: ?ltal¨¢nos az ?nal¨¢¨ªrt tan¨²s¨ªtv¨¢nyok haszn¨¢lata
  • 25. Titkos¨ªt¨¢s ? Megb¨ªzhat¨® f¨¦l ¨¢ltal hiteles¨ªtett tan¨²s¨ªtv¨¢ny! ? A tan¨²s¨ªtott nem megb¨ªzhat¨®¡­ ? C¨¦gen bel¨¹l vagy elismert CA-val ? Szerver hiteles¨ªt¨¦s kik¨¦nyszer¨ªt¨¦se ? Tan¨²s¨ªtv¨¢ny alap¨² kliens hiteles¨ªt¨¦s ? Szinte sehol nem tal¨¢lkozni ilyennel :( ? Rendes kulcs¡­
  • 27. V¨¦delem? ? A h¨¢l¨®zat alapvet?en az¨¦rt van, hogy haszn¨¢ljuk! ? A fert?z?tt hoszt legitim felhaszn¨¢l¨®ja a h¨¢l¨®zatnak! ? Fizikai kapcsolat, jelszavak, tokenek, stb. ? H¨¢l¨®zaton k¨ªv¨¹li terjeszt¨¦si csatorn¨¢k ? L¨¢sd Stuxnet: pendrive
  • 29. Monitoroz¨¢s ? Bet?r¨¦sfigyel? ¨¦s ¨Cmegel?z? eszk?z?k (IDS/IPS) ? Snort, Bro IDS, ¡­ ? + Logelemz¨¦s! ? El?zetes ismeret a rendszerr?l (protokollok, OS API-k, ¡­) ? ?ltal¨¢ban mintaalap¨² m?k?d¨¦s (+¨¢llapotmodell) ? Exploitok ? Tipikus t¨¢mad¨¢si mint¨¢k (BoF, SQLi, ¡­) ? Amit nem szeretn¨¦nk a h¨¢l¨®zaton l¨¢tni ? Jelsz¨® adatb¨¢zisok, shell utas¨ªt¨¢sok, stb.
  • 30. Monitoroz¨¢s - Korl¨¢tok ? Titkos¨ªt¨¢s ? ?zleti logika ? 0day fenyeget¨¦sek ? N¨¦h¨¢ny term¨¦k korl¨¢tozott 0day v¨¦delmet is ny¨²jt ? Teljes¨ªtm¨¦ny ? TCO
  • 33. Adat kijuttat¨¢s ? A t¨¢mad¨®nak sz¨¹ks¨¦ge van az inform¨¢ci¨®nkra ? A t¨¢mad¨® rootkitje parancsokra v¨¢r ? Hogyan val¨®sul meg a k¨¦tir¨¢ny¨² kapcsolat?
  • 34. Adat kijuttat¨¢s ? Gyakran haszn¨¢lt protokollon kereszt¨¹l ? El¨¦g, ha egy h¨¢l¨®zatra k?t?tt g¨¦p ki van engedve! ? Titkos¨ªt¨¢s ? Adatrejt¨¦s ? K¨¦p, hang, stb. ? Protokoll szinten ? K?z?ss¨¦gi m¨¦dia
  • 35. Adat kijuttat¨¢s - V¨¦delem ? Data Leak Prevention ? "Senki nem visz ki adatot a h¨¢l¨®zatb¨®l!" ? Security gateway-ek, proxy-k ? TLS v¨¦gz?dtet¨¦s ? Feh¨¦rlist¨¢s / reput¨¢ci¨®s sz?r¨¦s ? Separation of Duties ? Kritikus feladatokhoz nem el¨¦g egy ember hozz¨¢f¨¦r¨¦se
  • 36. Technol¨®giai j?v?k¨¦p ? "Mi az ami ¨¢rtalmas?" -> "Mi az ami enged¨¦lyezett?" ? Reput¨¢ci¨® alap¨² oszt¨¢lyoz¨¢s ? Aggreg¨¢lt tud¨¢s ? Konvergencia
  • 37. Eml¨¦keztet? ? A h¨¢l¨®zatunkat nem tekinthetj¨¹k t?bb¨¦ j¨®l ?rz?tt er?d¨ªtm¨¦nynek ? A t¨¢mad¨®k m¨¢r a sp¨¢jzban vannak ? T?bbszint? v¨¦delemre van sz¨¹ks¨¦g ? Figyelj¨¹nk az ¨²j technol¨®gi¨¢kra! ? A r¨¦gi v¨¦delmeket sem dobhatjuk ki az ablakon ? ¡­m¨¢r ha eddig alkalmaztuk ?ket ? F¨¢jni fog, de l¨¦pni kell!
  • 38. "Nem az sz¨¢m¨ªt, hogy mennyire biztons¨¢gos a rendszered a t¨¢rsaid¨¦hoz k¨¦pest. Csak az sz¨¢m¨ªt, hogy el¨¦g biztons¨¢gos-e ahhoz, hogy t¨¢vol tartsa a t¨¢mad¨®t." (Bruce Schneier, 2011.)
  • 39. K?sz?n?m a figyelmet! buherator@gmail.com http://buhera.blog.hu