Jest ciągle za 3 dwunasta – Zbigniew Jakubowski

Transkrypt

Patronat honorowy
Partnerzy konferencji
Patronaty medialne
dr Zbigniew Jakubowski
Jest ciągle za 3 dwunasta…
MOTTO:
HEUTE KEINE BESONDERE VORKOMMNISSE
DZIŚ NIE STAŁO SIĘ NIC SZCZEGÓLNEGO
TODAY NOTHING SPECIAL HAS HAPPENED
Zamiast wprowadzenia…
• W tym roku nasze motto jest w zasadzie jak wyrzut sumienia, że nic
nowego w sferze bezpieczeństwa się nie stało, aby obniżyć poziom
zagrożenia
• Motto jest wzorcem wiadomości wysyłanych przez Niemców w czasie II
wojny światowej – aby zdobyć kod dzienny Enigmy prowokowano nadanie
takiej wiadomości nie prowadząc działań na danym odcinku frontu
• Analizując obecną sytuację eksperci zdecydowali się na pozostawienie
zegara „Dooms Day” na tytułowym czasie za 3 dwunasta
• Zobaczmy więc jak zmieniła się sytuacja w zakresie szeroko pojętego
bezpieczeństwa
Doomsday Clock
Ostatnio przestawiony w 2015 roku
Agenda
Agenda
•
•
•
•
•
•
•
•
•
Quo vadis
Dobrze zorganizowana cyberprzestępczość
Ochrona medycznych danych osobowych
Ochrona infrastruktury krytycznej
Inwazja „Ransomware” i nowa generacja złośliwego oprogramowania
Ludzie i socjotechnika
Złośliwe oprogramowanie na platformach mobilnych
„Malvertising” czyli złośliwe reklamy
“Porywanie” firmware – ataki na IoT
Agenda
• Dalszy wzrost haktywizmu
• Cyberwojna i instytucje rządowe
• "Ease-of-Use" czyli fałszywa pomoc
• Podsumowanie
Quo vadis
Quo vadis
• Wieszczony w zeszłym roku koniec kryptografii opartych o liczby pierwsze i tradycyjne
funkcje śladu kryptograficznego jest faktem – strona web, która nie ma certyfikatu
podpisanego SHA-2 nie jest wiarygodna
• W ubiegłym roku sformułowano podstawy do ataku na protokół Diffie-Hellman oparte o
precomputing
https://weakdh.org/
• Druga fala urządzeń radiowych jest już na rynku – MU MIMO, „beam forming”, duża
przepustowość danych…
• Eskalacja ataków na sieci SOHO/SMB
• Stosowanie kryptografii i systemów bezpieczeństwa wymaga dużej wiedzy i rozsądku –
nie ma miejsca na głupotę in ignorancję
• Spory problem stanowi kadra menadżerska wykazująca kompletną ignorancję i
lekceważenie problemów
Quo vadis
• Ignorancja lub może właśnie wysoki poziom wiedzy producentów
sprzętu powodują pojawianie się na rynku urządzeń, które
teoretycznie powinny oferować wysoki stopień ochrony, a są po prostu
niebezpieczne ze względu na niechlujstwa implementacyjne - patrz
historia WiFi Protected Setup
• Powtórzmy pytanie niechlujstwo implementacyjne czy celowe działanie
prowadzące do możliwości przełamania zabezpieczeń
• Wszechobecna kultura „Plug and Play”
• Brak uaktualnień oprogramowania dla większości popularnych
urządzeń
Cyberprzestępczość dobrze
zorganizowana
Cyberprzestępczość dobrze zorganizowana
•
•
•
•
•
•
•
•
Słowo jeszcze kilka lat temu nieznane
Cyberprzestępczość jest dobrze zorganizowana
Źródło sporych dochodów – botnet to przecież chmura, za którą nie musimy płacić…
Szacowane obroty i zyski tego rynku są wyższe niż dotychczas znane obroty karteli
narkotykowych
Często sami cyberprzestępcy są wysoko wykwalifikowani
Dziś cyberprzestępca to nie pojedynczy osobnik, ale znakomicie zorganizowana siatka
ludzi: mocodawcy, żołnierze, developerzy, słupy…
Stosowane metody ataku często wykorzystują wysoko zaawansowane technologie – na
przykład ataki na dyspenser w bankomatach
Znakomicie zorganizowane logistycznie – patrz np.:
http://www.telegraph.co.uk/news/2016/05/23/thieves-steal-88m-in-atm-bank-heist-in-japan/
• Ochrona danych osobowych to duży i ważny problem
• Ochrona danych osobowych pacjentów to również problem poważniejszy
niż mogłoby się zdawać na pierwszy rzut oka
• Dane pacjentów są atrakcyjnym materiałem na dla przykład dla
pracodawców – czy zatrudnicie Państwo kogoś kto ma dziedziczne
uwarunkowania do chorób nowotworowych
• Dane osobowe to nie tylko zawartość kart pacjenta, ale również dane
biometryczne – token RSA można wymienić, ale odciski palców już nie
bardzo…
• Trzy z pięciu wycieków dotyczą danych pacjentów
• http://www.govtech.com/security/5-Largest-Data-Breaches-of-2015.html
Naruszenie ochrony danych – „data breaches”
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks
Ochrona infrastruktury krytycznej
Ochrona infrastruktury technicznej
• Ustalenie zasobów krytycznych kraju/firmy
• Zaniedbane w ostatnich latach
• Ukraina pokazała jak szybko można sparaliżować działanie kraju bez
klasycznych działań wojennych
• Ataki na sieć energetyczną w Izraelu – celem system sterowania siecią
• Jesteśmy skazani na informatykę – komputery są szybsze i bardziej
precyzyjne, a dobrze serwisowane nie wykazują objawów zmęczenia przy
powtarzających się jednostajnych czynnościach
• W systemach SCADA coraz częściej wykorzystujemy Ethernet i IP zamiast
połączeń serialowych – pojawia się pokusa aby przyłączyć sieć sterowania
do Internetu
Ochrona infrastruktury technicznej
• Normy, takie jak PN ISO/IEC 27001, są dobrym przewodnikiem w
budowie systemów bezpieczeństwa
• Budowanie świadomości pracowników ma również olbrzymie
znaczenie
• Należy prowadzić okresowe przeglądy i testy infrastruktury technicznej
• Oprogramowanie i zabezpieczenia techniczne, systemy, klimatyzacja,
usługi stanowią swoisty powiązany ze sobą ekosystem – ingerencja w
dowolny element tego ekosystemu zaburza działanie pozostałych
Inwazja „Ransomware” i nowa generacja
złośliwego oprogramowania
• Zasada działania
– Oprogramowanie szyfruje dysk zarażonego komputera
– Odzyskanie dostępu do danych wymaga zapłaty okupu
– Przy długich kluczach >= 128 bitów złamanie szyfru jest poza zasięgiem
możliwości przeciętnego użytkownika
• Rożne metody działania – od phishing do spamu
• Często niszczy po jakimś czasie dane jeśli nie zapłacimy okupu
• Ofiarą padły nawet instytucje rządowe czy organa ścigania
• Przeszkodą w urządzeniach mobilnych były słabe procesory – dziś
ograniczenie to nie jest problemem patrz na przykład Lumia 950
• Wysyp rozwiązań typu sandbox spowodował dynamiczny rozwój
malware’u „two faced” malware
• Jeśli program rozpoznaje wykonanie w środowisku „sand box” nie
włącza mechanizmów destrukcyjnych
• Postępy analizy powłamaniowej prowadzą często do szybkiego ujęcia
sprawcy – „ghostware” znika i niszczy ślady swojego działania po
wykonaniu postawionego zadania
Ludzie i socjtechnika
• Ludzie to jedna z największych wartości każdej firmy, ale to również
najlepszy obiekt ataku
• Socjotechnika jest najgroźniejszą metodą ataku
• Budowanie świadomości bezpieczeństwa personelu to jak zakup
dodatkowej polisa bezpieczeństwa
• Norma PN ISO/IEC 27001 bardzo silnie stawia na szkolenia personelu
– najpierw szkolę, potem wymagam
• Ataki socjotechniczne, także te nie zawsze oczywiste są niezwykle
skuteczne - HashCat
• Skuteczna obrona to:
– Wieloskładnikowe uwierzytelnianie
– Budowa świadomości personelu – szkolenia „Security Awarness”
– Dobre procedury uniemożliwiające/utrudniające kradzież tożsamości
Złośliwe oprogramowanie na platformach
mobilnych
• Ceny exploitów na platformy mobilne są bardzo wysokie – za „zero day”
na platformę MAC można dostać ponad 100 000 USD
• Coraz więcej ruchu internetowego jest generowanych przez urządzenia
mobilne inne niż PC
• Atak na urządzenie mobilne to nie tylko atak na dane osobowe, ale
również na przykład atak na aplikację bankową
• Apple i Android bronią się zamykając możliwość instalacji
oprogramowania spoza Itunes czy Google Play
• Tylko czy blokada wystarczy i będzie zawsze skuteczna?
• Ponieważ urządzenia mobilne stanowią wspaniały cel ataków należy
spodziewać się ich gwałtownego rozwoju
http://www.smartinsights.com/mobile-marketing/mobile-marketing-analytics/mobile-marketing-statistics/
• Ze względu na XSS coraz więcej firm przechodzi na https nawet w
przypadku przeglądania kontentu
• Google promuje https dodatkowymi punktami w pozycjonowaniu
strony
• Ale https uniemożliwia skutecznie kontrolę przesyłanych treści co
powoduje, że można się pokusić o uzbrojenie na przykład reklamy –
treść na pewno dotrze do nieprzygotowanego użytkownika bo
inspekcja ruchu nie działa na połączeniu szyfrowanym
• Ze względu na możliwości tej technologii możemy spodziewać się jej
szybkiego rozwoju
"Ease-of-Use" czyli fałszywa pomoc
"Ease-of-Use" czyli fałszywa pomoc
• Mam taki ulubiony rysunek A. Mleczki „Help the disabled”, którego nie
zamieszczę ze względów cenzuralnych i praw autorskich
• Fałszywa pomoc i ułatwienia to coś, co niszczy stabilne i bezpieczne
urządzenia wyrywając dramatyczne luki w ich zabezpieczeniach
• Przykładem takiego ułatwienia jest WiFi Protected Setup czyli WPS,
który od czasów WEP jest największą dziurą w systemach radiowych
• Historia WPS pokazuje również jak duża jest ignorancja producentów
w zakresie implementacji produktów
• Więcej o tym, w czasie mojego drugiego wystąpienia
Internet Rzeczy (Internet of Things) IoT
• Coraz więcej urządzeń ma wbudowaną komunikację z Internetem
• Czynnikiem limitującym rozwój IoT była zbyt mała przestrzeń
adresowa IPv4 wynosząca „tylko” 3.4 x 109 adresów
• Liczba inteligentnych urządzeń wg Gartnera może sięgnąć 50 mld w
2020 roku
• Znaczący potencjał rynkowy, ale również rosnące zagrożenie
• Już dziś można włamywać się na przykład do systemów sterowania
budynkiem na przykład przez sieć bezprzewodową ZigBee
• Klasyczne metody ataku na urządzenia IoT nie działają bo mamy tylko
firmware
• Najbardziej oczywistą metodą byłby atak polegający na wymianie
firmware’u lub przy długich czasach pracy urządzeń rootkit rezydujący
w pamięci urządzenia
• Na razie to jeszcze mrzonki, ale kto wie jak szybko pójdzie technika do
przodu
Dalszy wzrost haktywizmu
Dalszy wzrost haktywizmu
• Nie musimy chyba tej tezy udowadniać
• Obecna sytuacja polityczna i społeczna prowadzi do powstania wielu
wrogo nastawionych grup zwalczających się wzajemnie – to przecież
obecnie jeden z ważniejszych powodów do hakowania
• Za hackingiem stoi też czynnik ekonomiczny – zdobycie lub odcięcie
środków
• Za włamaniem do serwisu „Ashley Madison” stoi być może intencja
moralizatorsko-religijna
• Hacking zarówno „biały”, jak i „czarny” ma się dobrze i będzie się nadal
rozwijał
Cyberwojna i instytucje rządowe
Cyberwojna i instytucje rządowe
• Rolę cyberwojny dostrzegają największe potęgi militarne takie jak ISIS,
Korea Północna, Iran, Chiny, Rosja, Ukraina czy USA
• USA zwerbowały armię hakerów
• Cyberwojna oznacza nie tylko zagrożenie dla celów militarnych, ale
generalnie dla funkcjonowania całego systemu państwa
• Konieczne jest budowanie świadomości, współpraca instytucji rządowych i
sektora prywatnego aby zapobiec potencjalnym zagrożeniom
• Niewątpliwie polski oddział CERT jest instytucją odpowiedzialną za
koordynację tego typu działań
Podsumowanie
Podsumowanie
• Czy więc naprawdę nic się nie stało? A może za mało się stało aby
zmienić coś i cofnąć wskazówki zegara „Doomsday” na bardziej
bezpieczną wartość
• Być może poprzez wielość problemów nasza wrażliwość zostaje oszukana
• Musimy pamiętać, aby zawsze wyprzedzać przeciwnika
• Nowa kryptografia oparta o funkcje eliptyczne wydaje się być
nieunikniona
• Budowanie świadomości personelu poprzez odpowiednio dobrane
szkolenia to nasza polisa ubezpieczeniowa – wykorzystajmy ją dobrze
• A zegar „Doomsday” ciągle ostrzegająco tyka…
dr Zbigniew Jakubowski
[email protected]
Questions?

Jest ciągle za 3 dwunasta – Zbigniew Jakubowski

Transkrypt

Podobne dokumenty

MATERIAŁY POMOCNICZE DO ZAKŁADKI 3

NOWOTWORY NARZĄDÓW MIĘKKICH