Bezpieczne przetwarzanie informacji w kancelarii prawnej Tomasz

Transkrypt

Bezpieczne przetwarzanie informacji
w kancelarii prawnej
Tomasz Dyrda
Warszawa, 23 maja 2016
Agenda szkolenia
Ekosystem IT
Horyzont
bezpieczeństwa
Najpopularniejsze
techniki ataków
2
Dzisiejsze ataki w
cyfrowym świecie
Podstawowe pojęcia
dotyczące cyberataków
Phishing – jak nie
dać się „złowić”
Inne scenariusze ataku
Sposoby realizacji zysku
z cyberprzestępstw
Studia przypadków
Podsumowanie
3
Ekosystem IT
Ekosystem IT
4
E-mail
Router
Komputer
Chmura
Smartphone
Internet
Tablet
5
Dzisiejsze ataki w cyfrowym świecie
Światowe Badanie Bezpieczeństwa
Informacji 2015
18 badanie bezpieczeństwa informacji
1,755 respondentów z 67 krajów (w tym z Polski)
Przeprowadzone czerwiec-wrzesień 2015
Główne wnioski
Organizacje zrobiły duży postęp w zakresie
ochrony przed cyberzagrożeniami, aczkolwiek...
Nadal potrzeba znaczących usprawnień, z uwagi na
zmiany technologiczne i wzrost złożoności ataków
6
Priorytety w zakresie bezpieczeństwa
informacji
7
Które z obszarów bezpieczeństwa miały przypisany w ostatnim roku priorytet – Wysoki,
Średni lub Niski? (prośba o ocenę każdego z obszarów)
0%
Zapobieganie
wyciekom
danych
Data leakage/data
loss prevention
Zapewnienie ciągłości
Business continuity/disaster
recovery działania
resilience
Identity
and access management
Zarządzanie
tożsamością
i dostępem
Security awareness
and training
Podnoszenie świadomości w zakresie
bezpieczeństwa
Incident response
capabilities
Reagowanie na incydenty
bezpieczeństwa
Security
operations (e.g.,(np.
antivirus,
patching,
encryption)
Operacje
bezpieczeństwa
antywirus,
aktualizacja)
Security testing (e.g.,
penetration)
Testowanie bezpieczeństwa
(np.attack
testyand
penetracyjne)
Privileged Access
management
Zarządzanie uprzywilejowanymi
uprawnieniami
Securing emerging
Zabezpieczanie
nowych technologies
technologii
Security
incident
event
management &i SOC
SOC
Monitorowanie bezpieczeństwa
Threat
and
vulnerability
management
Zarządzanie podatnościami i zagrożeniami
Mobile technologies
Technologie
mobilne
Cloudwcomputing
Przetwarzanie
chmurze
IT security andIntegracja
Operationalbezpieczństwa
Technology integration
IT i OT
Privacy
measures
Ochrona danych
osobowych
Information security
transformation
(fundamental
redesign)
Transformacja
funkcji
bezpieczeństwa
Third Party Risk
management
Zarządzanie bezpieczeństwem
stron
trzecich
Insider
risk/threats
Zagrożenia ze strony
pracowników
Security Architecture
redesign
Przeprojektowanie architektury
bezpieczeństwa
Offshoring/outsourcing
security
activities
Outsourcing funkcji bezpieczeństwa
Fraudnadużyć
support
Wykrywanie
Intellectual Property
Ochrona własności intelektualnej
Forensics support
Informatyka
śledcza
Social media
Media społecznościowe
Other (please specify)
Inne
high
n Wysoki
10%
20%
30%
56%
55%
47%
44%
40%
50%
60%
70%
33%
33%
41%
45%
44%
44%
46%
44%
45%
42%
45%
47%
80%
90%
100%
11%
12%
12%
11%
12%
15%
15%
17%
18%
21%
18%
21%
44%
41%
38%
38%
38%
38%
37%
33%
34%
34%
32%
21%
50%
29%
27%
44% Trends:
29%
Badanie Security
35%
39%
25%
46%
24%
Zapewnienie ciągłości
działania30%
jest
28%
49%
23%
32%
46% 1 (45%)
22%priorytetem nr
42%
37%
21%
40%
40%
20% Ochrona przed
wyciekami danych
to
44%
37%
19%
priorytet (43%) 49%
13% kolejny38%
50%
39%
11%
50%
21% świadomości
30%
Podnoszenie
użytkowników
medium
zakresie
n Średni
low
bezpieczeństw
jest również
n
Niski
istotnym priorytetem (34%)
w
Najważniejsze podatności
i zagrożenia
Główne zagrożenia
Główne podatności
44%
Wyłudzanie danych
uwierzytelniających
(phishing)
42%
Niefrasobliwi lub
nieświadomi pracownicy
43%
Złośliwe oprogramowanie
(malware)
34%
Przestarzałe mechanizmy
bezpieczeństwa
35%
Ataki wykorzystujące
nieznane podatności (zero
day attacks)
35%
Wykorzystanie technologii
mobilnych
8
Ryzyka prawne i dyscyplinarne
Cywilna – klienci kancelarii
Administracyjna – GIODO
Dyscyplinarna – Kodeks Etyki Radcy Prawnego
Karna
9
Kodeks Etyki Radcy Prawnego
art. 3 ust. 1
Naruszenie postanowień Kodeksu stanowi podstawę
odpowiedzialności dyscyplinarnej.
art. 23
Radca prawny obowiązany jest zabezpieczyć przed niepowołanym
ujawnieniem wszelkie informacje objęte tajemnicą zawodową,
niezależnie od ich formy i sposobu utrwalenia. Dokumenty i nośniki
zawierające informacje poufne należy przechowywać w sposób
chroniący je przed zniszczeniem, zniekształceniem lub zaginięciem.
Dokumenty i nośniki przechowywane w formie elektronicznej
powinny być objęte odpowiednią kontrolą dostępu oraz
zabezpieczeniem systemu przed zakłóceniem działania, uzyskaniem
nieuprawnionego dostępu lub utratą danych. Radca prawny powinien
kontrolować dostęp osób współpracujących do takich dokumentów i
nośników.
10
11
Real Hackers
12
Horyzont bezpieczeństwa
Cele cyberataków
13
Podział na branże
Hi-Tech
Usługi profesjonalne
13%
11%
11%
Media i rozrywka
46%
Usługi finansowe i
ubezpieczenia
10%
10%
Sprzedaż detaliczna
Pozostałe:
w tym edukacja, przemysł
farmaceutyczny, obrona i
kosmonautyka, transport i
przemysł budowlany
Źródło: M-Trends 2016
Najważniejsze wydarzenia
w cyberbezpieczeństwie
Styczeń 2016
Zatrzymanie CharlieTheUnicorn przestępcy zajmującego się
dostarczaniem kont słupów na
ToRepublic
Luty 2016
Włamanie do Banku Centralnego
Bangladeszu (81mln USD)
Hollywoodzkie centrum medyczne
sparaliżowane przez ransomware
Apple vs. FBI: Apple
zobowiązane do dostarczenia
środków umożliwiających
odszyfrowanie iPhone Syeda
Farooka - terrorysty, który w
grudniu 2015 zastrzelił 14
osób.
14
15
Włamanie do hostingu 2be.pl
prowadzące do niedostępności
infrastruktury klientów, a w efekcie
upadku firmy
Marzec 2016
Szpital w Baltimore zaatakowany
przez ransomware
Szpital w Kentucky sparaliżowany
przez atak hakerski
Kwiecień 2016
Wyciek danych 50 mln obywateli
Turcji
Panama Papers - wyciek danych
z kancelarii prawnej Mossack Fonseca
Włamanie na zbiornik.com; wyciek
danych
Zhakowano stronę internetową
Komitetu Obrony Demokracji
(KOD); wyciek danych z konta
mailowego Mateusza Kijowskiego
Wirus zatrzymuje pracę niemieckiej
elektrowni atomowej
Gundremmingen
Wyciek danych 93 mln obywateli
Meksyku
Wyciek danych 4 mln użytkowników
serwisu Naughty America
Maj 2016
Seria ataków DDoS (blokady usług)
na polskie banki
16
Zablokowana próba
wyprowadzenia pieniędzy przez
system SWIFT z komercyjnego
banku
Atak phishingowy na klientów
BZWBK ułatwiony przez zmiany w
praktyce uwierzytelniania
przelewów ekspresowych
Czerwiec 2016
17
Ataki na Apple
Liczba ataków na urządzenia Apple
Atak iCloud
450
400
350
Luki w MacOSX
300
250
200
Podatności i
błędy iOS
Tendencja wzrostowa
ataków na mobilne
urządzenia Apple
150
100
50
0
18
19
Podstawowe pojęcia
dotyczące cyberataków
Podstawowe pojęcia
Hacker – osoba wyszukująca i wykorzystująca luki
bezpieczeństwa w oprogramowaniu
Black hat (zły hacker) – działania bezprawne
White hat (dobry hacker) – działa zgodne z prawem
Podatność, luka – słabość systemu IT, która pozwala hackerowi
dostanie się do systemu. Sama w sobie nie jest atakiem.
Exploit – program wykorzystujący luki innych systemów, dzięki
któremu hacker może przejąć kontrolę nad systemem i danymi
20
Złośliwe oprogramowanie (1)
21
Malware
Trojan
Koń trojański
Pozornie nieszkodliwe
narzędzie, które okazuje
się być szkodliwą
aplikacją
Umożliwia dostęp do
zainfekowanej stacji
Wiele typów i odmian
Ciągły rozwój
Backdoor
Keylogger
Zdalne zarządzanie
komputerem ofiary
Monitoruje akcje
klawiatury
Działa bez wiedzy i zgody
użytkownika
Ofiara nieświadoma
zagrożenia
Haker może zdalnie wysyłać
pliki, zbierać dane,
podmieniać komendy
Używany do kradzieży
danych wrażliwych,
np. PIN
Złośliwe oprogramowanie (2)
22
Malware
Ransom
ware
Wiele typów i odmian
Ciągły rozwój
Spyware
Adware
Oprogramowanie
szyfrujące
Programy
szpiegujące
Zbiera dane o
aktywności
internetowej
Szyfruje konkretne
typy plików na
komputerze ofiary
Zbiera informacje o
użytkowniku bez jego
wiedzy
Za odszyfrowanie
plików atakujący
może żądać okupu
Często przechwytywane są
informacje o hasłach czy
zwyczajach internetowych
Wersje, na które
można wyrazić
zgodę
Instalacja np. w
ramach programów
freeware
Modelowy schemat ataku
Atak
Rekonesans
Rozpoznanie
systemów
Znalezienie luk
Tygodnie
Uruchomienie
Instalacja
Zdobycie informacji
23
Komunikacja
Kliknięcie w
linka
Użycie kradzionych
kont
Otwarcie
załącznika
Atakowanie
nowych, podatnych
urządzeń
Wysłanie
wiadomości
Zdalne logowanie do
systemu
Skanowanie
podatności
Dodanie
nowych kont
Instalacja
skanerów
Urządzenia
przenośne
Zainstalowanie
oprogramowania
Godziny
Kopiowanie
Spakowanie danych do
kontenerów chronionych
hasłem
Tygodnie
Kopiowanie danych
Godziny
Jak długo trwa atak?
146 dni
24
Średnio tyle zajmuje
wykrycie cyberataku*
53%
Włamań jest
identyfikowanych dzięki
stronom trzecim*
*Żródło: Mandiant 2016 Threat Report
Wycieki danych - definicja
Dane dostają się w ręce osoby nieuprawnionej do ich posiadania
Do wycieków danych możemy zakwalifikować sytuacje, w których:
osoba nieuprawniona zobaczyła dane,
skradziony został fizyczny nośnik z danymi,
hakerzy wykradli dane,
osoba posiadająca dane przez przypadek opublikowała je w
ogólnie dostępnych źródłach,
dane są w posiadaniu osoby, która nie powinna mieć do nich
dostępu.
25
Największe wycieki danych
26
152 000
Adobe (2013)
145 000
eBay (2014)
130 000
Heartland (2009)
94 000
T.J.Maxx (2007)
92 000
AOL (2005)
Sony PSN (2011)
77 000
Wojsko USA (2009)
76 000
70 000
Target (2014)
50 000
Evernote (2013)
32 000
Ashley Madison (2015)
0
20 000
40 000
60 000
80 000 100 000 120 000 140 000 160 000
Źródło: Statista, Media Reports
Panama Papers (1)
Wyciek danych z kancelarii Mossack Fonseca upublicznienie dokumentów, w tym informacji o klientach,
ich aktywach i działalności
Kwiecień 2016
Opublikowano dane
200tys. przedsiębiorstw
Ujawniono powiązania
klientów Mossack Fonseca
z rajami podatkowymi
Wśród opublikowanych
danych, informacje o 12
obecnych i byłych
głowach państw i rządów
27
Panama Papers (2)
Wolumen wynosi ok. 2,6 TB (terabajta) danych. Struktura
dokumentów i danych jest następująca:
• Maile – ok. 4,8 mln
• Bazy danych – ok. 3 mln
• PDFy – ok. 2,1 mln
• Pliki graficzne – ok. 1,1 mln
• Dokumenty tekstowe – ok. 0,3 mln
W sumie powyższe dane stanowią ok. 11,5 mln dokumentów
i innych plików.
28
Wycieki danych w Polsce
Dane polskich
celebrytów z firmy
Fit & Eat
Dane z portalu
zbiornik.com
Prywatne dane
kapitana ABW
2 mln umów
pożyczkowych z
firmy viasms.pl
Dane z symulatora
giełdowego
GPW Trader
Dane klientów Plus
Bank
Dane z kancelarii
Drzewiecki, Tomaszek
i Wspólnicy
Dane klientów
T-Mobile
29
30
Najpopularniejsze techniki ataków
Ransomware
Oprogramowanie
szyfrujące pliki
Często rozsyłany
jako załączniki do
wiadomości
email
Zainfekowane
mogą być pliki
pobierane z
Internetu
31
Celem jest
otrzymanie okupu
w zamian za
odszyfrowanie
danych
Ransomware – obecne zagrożenie
32
73V3N
Torrentlocker
Ransomlock
Urausy
Cryptolocker
Lockdroid
Samsam
Teslacrypt
Cryptodefence
CTB Locker
Reventon
Locky
Dmalock
Lockscreen
Keranger
Powerware
Petya
Teslacrypt X
2014
2016
2013
2015
Virlock
Cryptowall
Znaczny wzrost
liczby ataków
Chimera
Cerber
Jigsaw
Hidden
Rokku
Tear
Radamant
Cryptvault Teslacrypt
2.0
Hydracrypt
Stale nowe wersje
oprogramowania
TOX
Celem otrzymanie okupu
za odzyskanie danych
33
Krótki film o złośliwym
oprogramowaniu
Malvertising
Infekowanie
komputerów poprzez
podpinanie
złośliwych stron do
sieci reklamowych
34
Ogromny zasięg z
ograniczoną
możliwością kontroli
Malvertising
Trudno odróżnić
złośliwą i nielegalną
od zwykłej, legalnej
reklamy
Jeden z ulubionych
sposobów na
kradzież tożsamości
35
Phishing – jak nie dać się „złowić”?
Phishing
40%
36
Maili phishingowych
jest otwieranych w
ciągu godziny* od
otrzymania
78%
Ataków jest związanych
z podszywaniem się
pod zespoły IT**
*Źródło: 2016 NTT Group Global Threat Intelligence Report
**Żródło: Mandiant 2015 Threat Report
Wszystko zaczyna się od phishingu
37
Malware
Ransomware
Złamanie
zabezpieczeń
danych
wrażliwych
Adware
Atak APT
Phishing
Złamanie
zabezpieczeń
systemów
bankowych
Inne ataki
Schematy ataków phishingowych (1)
1. Zainfekowana strona internetowa
Otrzymanie
wiadomości email
Treść skłania ofiarę
do kliknięcia na link
Odnośnik
przekierowuje na
zainfekowaną
stronę internetową
Odwiedzenie strony
skutkuje
ściągnięciem i
instalacją malware
38
Przykłady ataków phishingowych (1)
1. Zainfekowana strona internetowa
39
2. Wysłanie poufnych danych na podany adres email
Otrzymanie
wiadomości email
do odpowiedzi na
email
A dalej do podania
poufnych danych w
wysyłanym emailu
Dane poufne
dostają się w ręce
hakerów
40
2. Wysłanie poufnych danych na podany adres email
41
3. Zainfekowany załącznik
Otrzymanie
wiadomości email
do otwarcia
załącznika
Załącznik jest
zainfekowany
Otwarcie załącznika
powoduje instalację i
uruchomienie malware
42
3. Zainfekowany załącznik
43
4. Przekierowanie na spreparowaną stronę
Otrzymanie
wiadomości email
do kliknięcia na link
Odnośnik
Po podaniu
przekierowuje na
wymaganych danych
stronę internetową
trafiają one do
przypominającą stronę
hakerów
np. banku
44
4. Przekierowanie na spreparowaną stronę (1)
45
4. Przekierowanie na spreparowaną stronę (2)
46
Dobre praktyki – jak postępować
47
Nie otwierać
załączników
wiadomości od
nieznanych nadawców
Nie wysyłać poufnych
danych do
niezweryfikowanych i
podejrzanych odbiorców
Sprawdzać adresy, do
których przekierowują
linki w otrzymywanych
wiadomościach
W razie wątpliwości
nie klikać na linki, nie
otwierać załączników
Atak socjotechniczny
Atak socjotechniczny
Atakujący nakłania ofiarę do wykonania jakiejś czynności
„Łamanie ludzi a nie haseł”
Używając socjotechniki można np. uzyskać od ofiary dane
potrzebne do logowania w zaufanych serwisach
48
49
Atak w praktyce
50
Inne scenariusze ataku
Inne scenariusze ataku (1)
1. Złośliwe urządzenie
Ofiara otrzymuje
pendrive (np. jako
materiały
marketingowe)
Podpięcie pendrive
powoduje
uruchomienie
malware
Malware zaraża
kolejne podpinane
nośniki
Infekcja
rozprzestrzenia się
na innych
użytkowników
Atakujący
monitoruje i
modyfikuje ruch w
ramach sieci
Atakujący przechodzi
do klasycznych technik
(podmiana stron,
kradzież danych
logowania)
2. Złośliwy punkt dostępu WiFi
Atakujący rozgłasza Ofiara podpina się do
własną sieć WiFi na
sieci (np. chcąc
terenie firmy
ominąć firmowe
środki
bezpieczeństwa)
51
Inne scenariusze ataku (2)
3. Wyłudzenie dodatkowych środków uwierzytelnienia
Atakujący posiada Atakujący wywołuje
Atakujący może
dostęp do komputera
na komputerze
zasugerować
ofiary, nie ma dostępu ofiary fałszywe okno instalację złośliwej
do kodów SMS
proszące o wpisanie aplikacji mobilnej
kodu SMS
Atakujący uzyskuje
dostęp do zasobów
chronionych
dodatkowym
uwierzytelnieniem
4. Niepoprawne zarządzanie utylizacją dokumentów
Dane poufne nie są
Atakujący posiada Atakujący uzyskuje
objęte odpowiednią dostęp do odpadków dostęp do poufnych
procedurą utylizacji
danej firmy (np.
danych
firmy zbierającej
makulaturę)
Dane mogą zostać
wykorzystane do
dalszych ataków
(rekonesans) lub być
źródłem wycieku
52
53
Sposoby realizacji zysku z cyberataku
Motywacje atakujących
Zdobycie
pieniędzy
35%
Zdobycie
konkretnej wiedzy
Zdobycie poufnych
danych
54
Powody
osobiste
32%
30%
25%
20%
18%
15%
16%
14%
11%
10%
6%
5%
3%
0%
Zysk
finansowy
Zakłócenie
działalności
Kradzeż
Kradzież
danych
własności
osobowych intelektualnej
Kradzież
danych
poufnych
Nie wiem
Inne
Źródło: State of Cybersecurity, Implications for 2016, Cybersecurity Nexus
Sprzedaż zdobytych informacji
Numery kart kredytowych
Dane do logowania (credentials)
Własność intelektualna (technologie, patenty, rozwiązania)
Dane dotyczące infrastruktury IT zaatakowanej firmy
Dane osobowe użytkowników
Okup za niepublikowanie/odszyfrowanie danych
55
Korzyści pozafinansowe
Zakłócenie działalności biznesowej
Chęć zniszczenia biznesu
Działania przeciw bezpośredniej konkurencji
Sprawdzenie się jako hacker (script kiddies)
Satysfakcja osobista (zemsta, zazdrość, itp.)
56
Bitcoin – waluta hakerów
Cyfrowa waluta oparta o protokoły kryptograficzne
Całkowicie zdecentralizowana (web of trust), bez organu
zarządzającego
Przeliczalny na klasyczne waluty (kantory bitcoin)
Szansa na monetyzację czarnego rynku
Korelacja między liczbą ataków i ofiar a kursem Bitcoina
57
58
Studia przypadków
Wyciek danych z kancelarii prawnej
Wrzesień 2015
59
Atak na kancelarię w prasie
60
Atak na kancelarię (1)
Temat: Pytanie o współpracę i zakres działalności?
Witam,
Piszę do Państwa w sprawie uzyskania informacji na temat obsługi dopiero co powstającego oddziału
terenowego w Polsce naszej firmy. Powierzono mi zadanie zebrania informacji oraz nawiązania kontaktu z
potencjalnymi współpracownikami dla naszego przedsiębiorstwa. Kontakt znalazłem za pośrednictwem
sieci, interesuje mnie na tym etapie wstępna informacja co do zakresu oraz cen Państwa usług. Czy
istnieje pewnego rodzaju „Cennik Firmowy”, który mogą Państwo przedstawić?
Jeśli będzie potrzeba informacji z naszej strony z przyjemnością dostarczę dokument ze szczegółowym
opisem w języku polskim wymagań/zaleceń postawionych przez firmę. Tymczasem, mógłbym uzyskać od
Państwa pełen zakres świadczonych usług? Sprawa dotyczy przedsiębiorstwa gospodarczego na terenie
Rzeczpospolitej.
Czekam na Państwa odpowiedź oraz liczę na owocną współpracę.
Pozdrawiam,
Marek Błaszczyk
Koordynator Techniczny w Polsce
EuroLogistic
Courtensdreef 339, 4040 Herstal
[email protected]
+0471 55 84 19
+0471 55 84 22
61
Atak na kancelarię (2)
62
Temat: Eurologistic, szczegóły współpracy dla Kancelarii?
Witam ponownie,
Na wstępie chciałbym przeprosić za wydłużony czas odpowiedzi, jesteśmy jeszcze w fazie organizacyjnej
spółki. Kieruję do Państwa wiadomość już z osobistej skrzynki, aby utrzymywać korespondencję w jednym
miejscu.
[…] Rozumiem, że dalej są to ogólne informację, wystąpiłem jednak z prośbą do centralnego biura obsługi
z udostępnieniem szczegółowego rozpisu zadań (aktualnych oraz nadchodzących) dla Państwa kancelarii,
załączona jest tam również umowa wstępna, która oczywiście może podlegać negocjacji. Uwzględniłem
informację otrzymaną od Państwa i w odpowiedzi również dodano do dokumentu nasze oczekiwania co do
kosztów współpracy, niezależnie czy będzie ona przebiegać na zasadach okresowych lub też podpisania
stałego kontraktu.
Plik podpisany jest cyfrowo i tylko do wglądu dla Państwa.
http://docs.logisticservers.eu/?fname=polska_filia_eurologistic_uslugi_wymagania.doc
Proszę o zapoznanie się z dokumentem, niezależnie od czasu który potrzebują Państwo na przedstawienie
oferty pozostaję do dyspozycji. Odpowiedź jednak może się wydłużyć o okres kilku dni z racji urlopu
pracowniczego.
Z poważaniem,
Marek Błaszczyk
Schemat ataku na kancelarię prawną
1. Atak
2. Eskalacja
3. Rezultaty
Dostęp do skrzynek email
pracowników
Phishing
Nawiązanie relacji biznesowej z
ofiarą
Infrastruktura IT
kancelarii
Skłonienie ofiary do otwarcia
załącznika wiadomości
Przejęcie kontroli nad
infrastrukturą IT
Dostęp do danych
prywatnych pracowników
Dostęp do akt spraw
prowadzonych dla Klientów
Instalacja złośliwego
oprogramowania
63
Konsekwencje ataku
Atakujący zyskał dostęp do
danych wrażliwych kancelarii,
w tym danych klientów
Konieczność zmiany
zabezpieczeń w sieci
kancelarii aby zapobiec kolejnym
atakom
Żądanie okupu w zamian
za niepublikowanie i trwałe
usunięcie skradzionych
danych
Publikacja „próbki”
wykradzionych danych na
forum w DarkWeb, w celu
uwiarygodnienia ataku
64
Atak na routery domowe
Lata 2014-2015
65
Atak na routery domowe w prasie
66
Schemat ataku na routery domowe
1. Atak
2. Eskalacja
Dostęp do sieci na prawach
administratora
3. Rezultaty
Zdobycie danych wrażliwych
użytkownika
Przejęcie kontroli nad
routerem
Wykradzenie danych do
logowania na prawach
administratora
Wykorzystanie luk w
urządzeniach
Nasłuch komunikacji
Nakłonienie użytkownika do
podania danych do logowania
do systemu bankowego na
fałszywej stronie banku
Przekierowywanie DNS
Podmiana numerów kont
bankowych w schowku
Zamiana tekstu
Monitorowanie sieci
67
Podmiana numerów kont
bankowych w trakcie ich
wypełniania w systemie
Konsekwencje ataku
Atakujący uzyskuje dostęp do
haseł administratora sieci
Atakujący ma możliwość
monitorowania zdarzeń w sieci
Może zmieniać parametry
ruchu sieciowego
Zainicjować ataki typu
phishing i pharming
Atakujący może
przekierować połączenie z
bankiem na inny serwer DNS
(np. stronę założoną przez
siebie w celu zdobycia danych)
68
Przypadek Dyrektora HR
69
Schemat incydentu
1. Atak
2. Eskalacja
70
3. Rezultaty
Atakujący tworzy stronę
internetową, której
odwiedzenie skutkuje
zarażeniem (exploit kit)
Użytkownik zostaje przekierowany
na zainfekowaną stronę
Podłączenie złośliwej
strony do dużej sieci
reklamowej
Użytkownik odwiedza stronę
Internetową korzystającą z sieci
reklamowej
Pliki użytkownika zostają
zaszyfrowane
Automatycznie ściągnięte i
zainstalowane zostaje złośliwe
oprogramowanie
Użytkownik ignoruje alerty
antywirusa
Za odszyfrowanie plików
atakujący żąda okupu
Konsekwencje incydentu
Pliki na zainfekowanym
komputerze zostają
zaszyfrowane
Konieczność wynajęcia firmy,
która pomoże odszyfrować
dane dyrektora HR, zawierające
dane wrażliwe pracowników
Za przekazanie kodu
deszyfrującego atakujący
żąda zapłaty określonej
sumy
Po pewnym czasie hasło
deszyfrujące wygasa i nie
ma możliwości odzyskania
danych
71
72
Podsumowanie
Przetwarzane danych-rekomendacje
E-mail
WiFi
Komputer
Chmura
Smartphone
Internet
Tablet
73
Przetwarzane danych-rekomendacje
Rozdzielenie urządzeń służbowych i prywatnych
Komputer
Tablet
Smartphone
E-mail
Internet
Chmura
WiFi
Komputery i urządzenia mobilne
• Szyfrowanie danych
• Stosowanie antywirusa i „zapory ogniowej”
• Zakładanie użytkownika i hasła/PINu
• Kopie zapasowe
Poczta elektroniczna/Chmura
• Korzystanie z renomowanych dostawców
• Stosowanie „mocnych” haseł
• Wybieranie płatnych usług
Internet/WiFi
• Unikanie publicznych sieci
• Zabezpieczenie własnej sieci WiFi
74
75
Pytania?
Dziękuję za uwagę
Tomasz Dyrda
Dyrektor
Ernst & Young Business Advisory
Forensic Technology and Discovery
Services
Tel. +48 22 557 87 46
Email: [email protected]
76

Bezpieczne przetwarzanie informacji w kancelarii prawnej Tomasz

Transkrypt

Podobne dokumenty

Marian KOPCZEWSKI, Ewa CZAPIK-KOWALEWSKA