Jest ciągle za 3 dwunasta – Zbigniew Jakubowski
Transkrypt
Jest ciągle za 3 dwunasta – Zbigniew Jakubowski
Patronat honorowy Partnerzy konferencji Partnerzy konferencji Partnerzy konferencji Partnerzy konferencji Patronaty medialne dr Zbigniew Jakubowski Jest ciągle za 3 dwunasta… MOTTO: HEUTE KEINE BESONDERE VORKOMMNISSE DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO TODAY NOTHING SPECIAL HAS HAPPENED Zamiast wprowadzenia… • W tym roku nasze motto jest w zasadzie jak wyrzut sumienia, że nic nowego w sferze bezpieczeństwa się nie stało, aby obniżyć poziom zagrożenia • Motto jest wzorcem wiadomości wysyłanych przez Niemców w czasie II wojny światowej – aby zdobyć kod dzienny Enigmy prowokowano nadanie takiej wiadomości nie prowadząc działań na danym odcinku frontu • Analizując obecną sytuację eksperci zdecydowali się na pozostawienie zegara „Dooms Day” na tytułowym czasie za 3 dwunasta • Zobaczmy więc jak zmieniła się sytuacja w zakresie szeroko pojętego bezpieczeństwa Doomsday Clock Ostatnio przestawiony w 2015 roku DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO Agenda Agenda • • • • • • • • • Quo vadis Dobrze zorganizowana cyberprzestępczość Ochrona medycznych danych osobowych Ochrona infrastruktury krytycznej Inwazja „Ransomware” i nowa generacja złośliwego oprogramowania Ludzie i socjotechnika Złośliwe oprogramowanie na platformach mobilnych „Malvertising” czyli złośliwe reklamy “Porywanie” firmware – ataki na IoT DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO Agenda • Dalszy wzrost haktywizmu • Cyberwojna i instytucje rządowe • "Ease-of-Use" czyli fałszywa pomoc • Podsumowanie DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO Quo vadis Quo vadis • Wieszczony w zeszłym roku koniec kryptografii opartych o liczby pierwsze i tradycyjne funkcje śladu kryptograficznego jest faktem – strona web, która nie ma certyfikatu podpisanego SHA-2 nie jest wiarygodna • W ubiegłym roku sformułowano podstawy do ataku na protokół Diffie-Hellman oparte o precomputing https://weakdh.org/ • Druga fala urządzeń radiowych jest już na rynku – MU MIMO, „beam forming”, duża przepustowość danych… • Eskalacja ataków na sieci SOHO/SMB • Stosowanie kryptografii i systemów bezpieczeństwa wymaga dużej wiedzy i rozsądku – nie ma miejsca na głupotę in ignorancję • Spory problem stanowi kadra menadżerska wykazująca kompletną ignorancję i lekceważenie problemów DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO Quo vadis • Ignorancja lub może właśnie wysoki poziom wiedzy producentów sprzętu powodują pojawianie się na rynku urządzeń, które teoretycznie powinny oferować wysoki stopień ochrony, a są po prostu niebezpieczne ze względu na niechlujstwa implementacyjne - patrz historia WiFi Protected Setup • Powtórzmy pytanie niechlujstwo implementacyjne czy celowe działanie prowadzące do możliwości przełamania zabezpieczeń • Wszechobecna kultura „Plug and Play” • Brak uaktualnień oprogramowania dla większości popularnych urządzeń DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO Cyberprzestępczość dobrze zorganizowana DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO Cyberprzestępczość dobrze zorganizowana • • • • • • • • Słowo jeszcze kilka lat temu nieznane Cyberprzestępczość jest dobrze zorganizowana Źródło sporych dochodów – botnet to przecież chmura, za którą nie musimy płacić… Szacowane obroty i zyski tego rynku są wyższe niż dotychczas znane obroty karteli narkotykowych Często sami cyberprzestępcy są wysoko wykwalifikowani Dziś cyberprzestępca to nie pojedynczy osobnik, ale znakomicie zorganizowana siatka ludzi: mocodawcy, żołnierze, developerzy, słupy… Stosowane metody ataku często wykorzystują wysoko zaawansowane technologie – na przykład ataki na dyspenser w bankomatach Znakomicie zorganizowane logistycznie – patrz np.: http://www.telegraph.co.uk/news/2016/05/23/thieves-steal-88m-in-atm-bank-heist-in-japan/ DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO Ochrona medycznych danych osobowych Ochrona medycznych danych osobowych • Ochrona danych osobowych to duży i ważny problem • Ochrona danych osobowych pacjentów to również problem poważniejszy niż mogłoby się zdawać na pierwszy rzut oka • Dane pacjentów są atrakcyjnym materiałem na dla przykład dla pracodawców – czy zatrudnicie Państwo kogoś kto ma dziedziczne uwarunkowania do chorób nowotworowych • Dane osobowe to nie tylko zawartość kart pacjenta, ale również dane biometryczne – token RSA można wymienić, ale odciski palców już nie bardzo… • Trzy z pięciu wycieków dotyczą danych pacjentów • http://www.govtech.com/security/5-Largest-Data-Breaches-of-2015.html DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO Naruszenie ochrony danych – „data breaches” http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO Ochrona infrastruktury krytycznej Ochrona infrastruktury technicznej • Ustalenie zasobów krytycznych kraju/firmy • Zaniedbane w ostatnich latach • Ukraina pokazała jak szybko można sparaliżować działanie kraju bez klasycznych działań wojennych • Ataki na sieć energetyczną w Izraelu – celem system sterowania siecią • Jesteśmy skazani na informatykę – komputery są szybsze i bardziej precyzyjne, a dobrze serwisowane nie wykazują objawów zmęczenia przy powtarzających się jednostajnych czynnościach • W systemach SCADA coraz częściej wykorzystujemy Ethernet i IP zamiast połączeń serialowych – pojawia się pokusa aby przyłączyć sieć sterowania do Internetu Ochrona infrastruktury technicznej • Normy, takie jak PN ISO/IEC 27001, są dobrym przewodnikiem w budowie systemów bezpieczeństwa • Budowanie świadomości pracowników ma również olbrzymie znaczenie • Należy prowadzić okresowe przeglądy i testy infrastruktury technicznej • Oprogramowanie i zabezpieczenia techniczne, systemy, klimatyzacja, usługi stanowią swoisty powiązany ze sobą ekosystem – ingerencja w dowolny element tego ekosystemu zaburza działanie pozostałych DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO Inwazja „Ransomware” i nowa generacja złośliwego oprogramowania Inwazja „Ransomware” i nowa generacja złośliwego oprogramowania • Zasada działania – Oprogramowanie szyfruje dysk zarażonego komputera – Odzyskanie dostępu do danych wymaga zapłaty okupu – Przy długich kluczach >= 128 bitów złamanie szyfru jest poza zasięgiem możliwości przeciętnego użytkownika • Rożne metody działania – od phishing do spamu • Często niszczy po jakimś czasie dane jeśli nie zapłacimy okupu • Ofiarą padły nawet instytucje rządowe czy organa ścigania • Przeszkodą w urządzeniach mobilnych były słabe procesory – dziś ograniczenie to nie jest problemem patrz na przykład Lumia 950 DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO Inwazja „Ransomware” i nowa generacja złośliwego oprogramowania • Wysyp rozwiązań typu sandbox spowodował dynamiczny rozwój malware’u „two faced” malware • Jeśli program rozpoznaje wykonanie w środowisku „sand box” nie włącza mechanizmów destrukcyjnych • Postępy analizy powłamaniowej prowadzą często do szybkiego ujęcia sprawcy – „ghostware” znika i niszczy ślady swojego działania po wykonaniu postawionego zadania Ludzie i socjtechnika Ludzie i socjotechnika • Ludzie to jedna z największych wartości każdej firmy, ale to również najlepszy obiekt ataku • Socjotechnika jest najgroźniejszą metodą ataku • Budowanie świadomości bezpieczeństwa personelu to jak zakup dodatkowej polisa bezpieczeństwa • Norma PN ISO/IEC 27001 bardzo silnie stawia na szkolenia personelu – najpierw szkolę, potem wymagam • Ataki socjotechniczne, także te nie zawsze oczywiste są niezwykle skuteczne - HashCat DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO Ludzie i socjotechnika • Skuteczna obrona to: – Wieloskładnikowe uwierzytelnianie – Budowa świadomości personelu – szkolenia „Security Awarness” – Dobre procedury uniemożliwiające/utrudniające kradzież tożsamości DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO Złośliwe oprogramowanie na platformach mobilnych Złośliwe oprogramowanie na platformach mobilnych • Ceny exploitów na platformy mobilne są bardzo wysokie – za „zero day” na platformę MAC można dostać ponad 100 000 USD • Coraz więcej ruchu internetowego jest generowanych przez urządzenia mobilne inne niż PC • Atak na urządzenie mobilne to nie tylko atak na dane osobowe, ale również na przykład atak na aplikację bankową • Apple i Android bronią się zamykając możliwość instalacji oprogramowania spoza Itunes czy Google Play • Tylko czy blokada wystarczy i będzie zawsze skuteczna? • Ponieważ urządzenia mobilne stanowią wspaniały cel ataków należy spodziewać się ich gwałtownego rozwoju Złośliwe oprogramowanie na platformach mobilnych http://www.smartinsights.com/mobile-marketing/mobile-marketing-analytics/mobile-marketing-statistics/ DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO „Malvertising” czyli złośliwe reklamy „Malvertising” czyli złośliwe reklamy • Ze względu na XSS coraz więcej firm przechodzi na https nawet w przypadku przeglądania kontentu • Google promuje https dodatkowymi punktami w pozycjonowaniu strony • Ale https uniemożliwia skutecznie kontrolę przesyłanych treści co powoduje, że można się pokusić o uzbrojenie na przykład reklamy – treść na pewno dotrze do nieprzygotowanego użytkownika bo inspekcja ruchu nie działa na połączeniu szyfrowanym • Ze względu na możliwości tej technologii możemy spodziewać się jej szybkiego rozwoju DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO "Ease-of-Use" czyli fałszywa pomoc "Ease-of-Use" czyli fałszywa pomoc • Mam taki ulubiony rysunek A. Mleczki „Help the disabled”, którego nie zamieszczę ze względów cenzuralnych i praw autorskich • Fałszywa pomoc i ułatwienia to coś, co niszczy stabilne i bezpieczne urządzenia wyrywając dramatyczne luki w ich zabezpieczeniach • Przykładem takiego ułatwienia jest WiFi Protected Setup czyli WPS, który od czasów WEP jest największą dziurą w systemach radiowych • Historia WPS pokazuje również jak duża jest ignorancja producentów w zakresie implementacji produktów • Więcej o tym, w czasie mojego drugiego wystąpienia DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO “Porywanie” firmware – ataki na IoT Internet Rzeczy (Internet of Things) IoT • Coraz więcej urządzeń ma wbudowaną komunikację z Internetem • Czynnikiem limitującym rozwój IoT była zbyt mała przestrzeń adresowa IPv4 wynosząca „tylko” 3.4 x 109 adresów • Liczba inteligentnych urządzeń wg Gartnera może sięgnąć 50 mld w 2020 roku • Znaczący potencjał rynkowy, ale również rosnące zagrożenie • Już dziś można włamywać się na przykład do systemów sterowania budynkiem na przykład przez sieć bezprzewodową ZigBee DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO “Porywanie” firmware – ataki na IoT • Klasyczne metody ataku na urządzenia IoT nie działają bo mamy tylko firmware • Najbardziej oczywistą metodą byłby atak polegający na wymianie firmware’u lub przy długich czasach pracy urządzeń rootkit rezydujący w pamięci urządzenia • Na razie to jeszcze mrzonki, ale kto wie jak szybko pójdzie technika do przodu DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO Dalszy wzrost haktywizmu Dalszy wzrost haktywizmu • Nie musimy chyba tej tezy udowadniać • Obecna sytuacja polityczna i społeczna prowadzi do powstania wielu wrogo nastawionych grup zwalczających się wzajemnie – to przecież obecnie jeden z ważniejszych powodów do hakowania • Za hackingiem stoi też czynnik ekonomiczny – zdobycie lub odcięcie środków • Za włamaniem do serwisu „Ashley Madison” stoi być może intencja moralizatorsko-religijna • Hacking zarówno „biały”, jak i „czarny” ma się dobrze i będzie się nadal rozwijał DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO Cyberwojna i instytucje rządowe Cyberwojna i instytucje rządowe • Rolę cyberwojny dostrzegają największe potęgi militarne takie jak ISIS, Korea Północna, Iran, Chiny, Rosja, Ukraina czy USA • USA zwerbowały armię hakerów • Cyberwojna oznacza nie tylko zagrożenie dla celów militarnych, ale generalnie dla funkcjonowania całego systemu państwa • Konieczne jest budowanie świadomości, współpraca instytucji rządowych i sektora prywatnego aby zapobiec potencjalnym zagrożeniom • Niewątpliwie polski oddział CERT jest instytucją odpowiedzialną za koordynację tego typu działań DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO Podsumowanie Podsumowanie • Czy więc naprawdę nic się nie stało? A może za mało się stało aby zmienić coś i cofnąć wskazówki zegara „Doomsday” na bardziej bezpieczną wartość • Być może poprzez wielość problemów nasza wrażliwość zostaje oszukana • Musimy pamiętać, aby zawsze wyprzedzać przeciwnika • Nowa kryptografia oparta o funkcje eliptyczne wydaje się być nieunikniona • Budowanie świadomości personelu poprzez odpowiednio dobrane szkolenia to nasza polisa ubezpieczeniowa – wykorzystajmy ją dobrze • A zegar „Doomsday” ciągle ostrzegająco tyka… DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO dr Zbigniew Jakubowski [email protected] Questions?