Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

18. 5. 2009 Aleš Padrta Západočeská univerzita v Plzni CESNET, z. s. p. o. Vulnerabilities - Zranitelnosti Základní pojmy, životní cyklus, informační zdroje,

ZveřejnilNatálie Horáková

Podobné prezentace

Prezentace na téma: "18. 5. 2009 Aleš Padrta Západočeská univerzita v Plzni CESNET, z. s. p. o. Vulnerabilities - Zranitelnosti Základní pojmy, životní cyklus, informační zdroje,"— Transkript prezentace:

1 18. 5. 2009 Aleš Padrta Západočeská univerzita v Plzni CESNET, z. s. p. o. Vulnerabilities - Zranitelnosti Základní pojmy, životní cyklus, informační zdroje, příklady

2 18. 5. 2009 Obsah ➢ Definice zranitelnosti ➢ Druhy zranitelností ➢ Životní cyklus zranitelnosti ➢ Informace o zranitelnostech ➢ Informační zdroje ➢ Identifikace ➢ Vyhodnocení závažnosti ➢ Zranitelnosti a CSIRT ➢ Příklady zranitelností ➢ Shrnutí

3 18. 5. 2009 Definice zranitelnosti ➢ Slabé místo = zneužitelné pro narušení bezpečnosti ➢ Chyba systému ➢ Zneužití funkcionality ➢ Neznalost uživatele ➢ Role v bezpečnosti ➢ Nedílná součást útoku ➢ Nutná podmínka ➢ Ne postačující ➢ Omezené zneužití

4 18. 5. 2009 Definice zranitelnosti ➢ Vazby z hlediska analýzy rizik

5 18. 5. 2009 Druhy zranitelností ➢ Nevhodný návrh ➢ Chyba při návrhu, změna podmínek (technický pokrok) ➢ Nesnadné odstranění, širší spolupráce ➢ Nevhodná implementace ➢ Chyby v programování (SW) ➢ Chyby ve výrobě (HW, firmware) ➢ Odstraňuje dodavatel ➢ Nevhodné používání ➢ Administrátoři (konfigurace) ➢ Uživatelé (běžné používání) ➢ Nutnost kvalifikovaných pracovníků

6 18. 5. 2009 Životní cyklus ➢ Vznik ➢ Zpravidla nechtěně  skryté ➢ Některé nikdy neobjeveny ➢ Objevení (discovery) ➢ Úzká skupina  omezený přístup k informacím ➢ Informační výhoda ➢ Zveřejnění (disclosure) ➢ Objevitelem ➢ Při masivnějším zneužívání ➢ Všeobecná informovanost

7 18. 5. 2009 Zveřejňování zranitelností ➢ SW firmy ➢ Špatná strategie ➢ Umožňuje zneužití ➢ Nezaujatý pohled ➢ Bezpečnost založená na tajemství ➢ Velmi křehká ➢ Vyrovnání informační nevýhody ➢ Všichni mají stejné informace ➢ Možnost správně analyzovat rizika ➢ Nutí výrobce k nápravě

8 18. 5. 2009 Životní cyklus ➢ Vznik exploitu ➢ Způsob jak zranitelnost využít ➢ Vznik záplaty (patch) ➢ Způsob jak zranitelnost odstranit ➢ Maximální dostupnost informací ➢ Instalace záplaty ➢ Eliminace zranitelnosti – na daném systému (!)

9 18. 5. 2009 Počty zneužívání v čase 1) Objevení zranitelnosti 2) Zveřejnění zranitelnosti 3) Zveřejnění exploitu 4) Vytvoření záplaty 5) Zahájení záplatování

10 18. 5. 2009 Informační zdroje ➢ Konkrétní zranitelnosti ➢ Lokální CSIRT ➢ Dodavatel systému ➢ Specializovaný server ➢ Odborné články ➢ Zobecněný pohled ➢ Bezpečnostní doporučení ➢ Pravidelné sledování ➢ Zjištění zveřejněných zranitelnosti ➢ RSS kanály

11 18. 5. 2009 Informační zdroje ➢ http://www.securityfocus.com ➢ http://www.isc.sans.org ➢ http://www.securiteam.com ➢ http://www.schneier.com ➢ http://www.root.cz ➢ http://www.milw0rm.com

12 18. 5. 2009 Identifikace zranitelnosti ➢ Vysoké množství zranitelností ➢ Mnoho různých systémů ➢ Často rozsáhlé ➢ Sbírání informací o konkrétní zranitelnosti ➢ Různé zdroje ➢ Vyhledávání  jedinečný identifikátor ➢ CVE = Common Vulnerabilities and Exposures ➢ Všeobecně akceptovaný identifikátor ➢ Od roku 1999 ➢ The MITRE Corporation

13 18. 5. 2009 Identifikace zranitelnosti ➢ Identifikace podle CVE ➢ Identikátor CVE – např. CVE-2008-1447 ➢ Krátký popis (co a jak postihuje) ➢ Vybrané odkazy (upřesnění zranitelnosti) ➢ Status (kandidát / zapsaná položka) ➢ Datum přidělení identifikátoru ➢ Katalog zranitelností ➢ http://cve.mitre.org/cve/index.html ➢ http://www.securityfocus.com/vulnerabilities ➢ http://www.securiteam.com/cves/

14 18. 5. 2009 Identifikace zranitelnosti ➢ http://www.securityfocus.com/vulnerabilities

15 18. 5. 2009 Vyhodnocení závažnosti ➢ Možné dopady  přijatá opatření ➢ CVSS = Common Vulnerability Scoring System ➢ NIST (National Institute of Standards and Technology) ➢ Standard pro stanovení závažnosti ➢ Základní odhad závažnosti ➢ Vyhodnocení ➢ Standardní postup ➢ Závažnost 0 – 10 (vyšší = problémovější) ➢ Databáze (s identifikátorem CVE) ➢ http://nvd.nist.gov/nvd.cfm

16 18. 5. 2009 Metoda výpočtu CVSS ➢ Základní metrika ➢ Neměnná po celou dobu existence zranitelnosti ➢ Vektor přístupu ➢ Lokální uživatel ➢ Lokální síť ➢ Vnější síť ➢ Složitost ➢ Časová omezení ➢ Konfigurační omezení ➢ Jiná omezení ➢ Způsob autentizace ➢ Je-li potřeba (případně kolikrát) ➢ Dopad na dostupnost ➢ Dopad na důvěrnost ➢ Dopad na integritu

17 18. 5. 2009 Metoda výpočtu CVSS ➢ Časově proměnná metrika ➢ Zneužitelnost ➢ Neznámá ➢ Známý princip ➢ Známý postup ➢ Známý exploit ➢ Eliminovatelnost ➢ Nelze ➢ Neoficiální způsob ➢ Záplata ➢ Komplexní řešení ➢ Důvěryhodnost zpráv ➢ Neověřený zdroj (jeden IT povídal) ➢ Neoficiální důvěryhodné zdroje ➢ Dodavatel systému

18 18. 5. 2009 Metoda výpočtu CVSS ➢ Metrika prostředí ➢ Může se lišit pro konkrétní organizaci ➢ Jiné umístění systémů ➢ Odlišné dopady na chod organizace ➢ Možnosti souběžného poškození ➢ Vliv na další systémy ➢ Rozložení cílů ➢ Kolik zranitelných systémů existuje (%) ➢ Kde jsou umístěny ➢ Dopady ➢ Co všechno lze očekávat

19 18. 5. 2009 CVSS - ukázka ➢ http://nvd.nist.gov/nvd.cfm

20 18. 5. 2009 Zranitelnosti a CSIRT ➢ Šíření informací ➢ Zkušenější zákazník ➢ Nesleduje problematiku ➢ Upozornění  ví co je třeba udělat ➢ Webová stránka / Mailing list ➢ Zabezpečeno SSL / Digitální podpis ➢ Obsah zprávy ➢ Referenční číslo ➢ Cílová skupina ➢ Typ zprávy ➢ Popis zranitelnosti ➢ Důsledky ➢ Test přítomnosti ➢ Řešení ➢ Následky řešení

21 18. 5. 2009 Zranitelnosti a CSIRT ➢ Vysvětlování informací ➢ Nesprávné zpracování informace ➢ Zákazník nerozumí odbornému textu ➢ Zákazník špatně vyhodnotí důsledky ➢  Předzpracování informace ➢ Co to znamená ➢ Co přesně je třeba udělat ➢ Instalovat tuto záplatu, ➢ Změnit takto konfiguraci ➢ Spolupráce s dalšími útvary IT ➢ HelpDesk

22 18. 5. 2009 Zranitelnosti a CSIRT ➢ Vlastní výzkum ➢ Lepší porozumění problému ➢ Možnost vlastního (dočasného) řešení ➢ Méně častá služba ➢ Spolupráce s ostatními CSIRT ➢ Případně dodavatelem systému ➢ Urychlení řešení ➢ Návrh trvalého řešení ➢ Využití dalších standardů ➢ CAIF, AVDL, WAS, EISPP

23 18. 5. 2009 Příklady zranitelností ➢ Nevhodný návrh ➢ FTP (plaintext) ➢ Telnet (plaintext) ➢ Slabá šifra (výpočetní výkon) ➢ Neomezitelná práva uživatele ➢ Sdílená paměť pro data a kód ➢...

24 18. 5. 2009 Příklady zranitelností ➢ Nevhodná implementace ➢ Cross site scripting ➢ SQL Injection ➢ Buffer overflow ➢ Format string vulnerabiities ➢ Integer handling errors ➢...

25 18. 5. 2009 Příklady zranitelností ➢ Nevhodná konfigurace / používání ➢ Defaultní heslo ➢ Mám VPN, ale nepoužiji ➢ Neomezený přístup ➢ Ke službě ➢ Ke sdíleným prostředkům ➢ Spuštěna nepoužívaná služba ➢ Poskytování citlivých údajů ➢ Verze systému ➢...

26 18. 5. 2009 Shrnutí ➢ Zranitelnost ➢ Slabé místo ➢ Druhy zranitelností ➢ Návrh / Implementace / Používání ➢ Životní cyklus ➢ Objevení vs. zveřejnění ➢ Práce s informacemi o zranitelnostech ➢ CVE, CVSS ➢ CSIRT a zranitelnosti ➢ Příklady vybraných zranitelností

27 18. 5. 2009 Dotazy ??????

Stáhnout ppt "18. 5. 2009 Aleš Padrta Západočeská univerzita v Plzni CESNET, z. s. p. o. Vulnerabilities - Zranitelnosti Základní pojmy, životní cyklus, informační zdroje,"

Podobné prezentace

Stránka 1, © Vema, a. s.. Stránka 2, © Vema, a. s. Podnikové aplikace  Integrovaný podnikový systém (Integrated Business System):  komplex aplikací.

Stránka 1, © Vema, a. s.. Stránka 2, © Vema, a. s. Podnikové aplikace  Integrovaný podnikový systém (Integrated Business System):  komplex aplikací.
Webové rozhraní pro datové úložiště

Webové rozhraní pro datové úložiště
Nadpis Portál pro komunikaci s občany 1 Portál pro komunikaci s veřejností Portál pro komunikaci s veřejností DATRON, a.s. ing. Jaromír Látal projektový.

Nadpis Portál pro komunikaci s občany 1 Portál pro komunikaci s veřejností Portál pro komunikaci s veřejností DATRON, a.s. ing. Jaromír Látal projektový.
Základní registry - 2 měsíce provozu IS ORG Eva Vrbová ředitelka Odboru základních identifikátorů.

Základní registry - 2 měsíce provozu IS ORG Eva Vrbová ředitelka Odboru základních identifikátorů.
Základy databázových systémů

Základy databázových systémů
Přednáška č. 1 Úvod, Historie zpracování dat, Základní pojmy

Přednáška č. 1 Úvod, Historie zpracování dat, Základní pojmy
Jan Syrovátka Jiří Hradský.  Výrobní program orientovaný na výrobu knih pro české i zahraniční nakladatele  Nabízí kompletní výrobu knihy od grafického.

Jan Syrovátka Jiří Hradský.  Výrobní program orientovaný na výrobu knih pro české i zahraniční nakladatele  Nabízí kompletní výrobu knihy od grafického.
 Informací se data a vztahy mezi nimi stávají vhodnou interpretací pro uživatele, která odhaluje uspořádání, vztahy, tendence a trendy  Existuje celá.

 Informací se data a vztahy mezi nimi stávají vhodnou interpretací pro uživatele, která odhaluje uspořádání, vztahy, tendence a trendy  Existuje celá.
Přednáška č. 5 Proces návrhu databáze

Přednáška č. 5 Proces návrhu databáze
Metody zabezpečení IS „Úplná struktura informační koncepce (IK) “ § 5a novely zákona č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS), provedené.

Metody zabezpečení IS „Úplná struktura informační koncepce (IK) “ § 5a novely zákona č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS), provedené.
IS v surovinovém průmyslu Roman Danel Institut ekonomiky a systémů řízení HGF VŠB – TU Ostrava.

IS v surovinovém průmyslu Roman Danel Institut ekonomiky a systémů řízení HGF VŠB – TU Ostrava.
Aleš Chudý ředitel divize IW Microsoft Slovakia.

Aleš Chudý ředitel divize IW Microsoft Slovakia.
Techniky síťového útoku

Techniky síťového útoku
Computer Incident Response Capability

Computer Incident Response Capability
Přínosy a druhy počítačových sítí. Jednou z nejvýznamnějších technologií používaných v oblasti výpočetních systémů jsou již řadu let počítačové sítě.

Přínosy a druhy počítačových sítí. Jednou z nejvýznamnějších technologií používaných v oblasti výpočetních systémů jsou již řadu let počítačové sítě.
Audit IT procesů ve FNOL

Audit IT procesů ve FNOL
Efektivní informační bezpečnost

Efektivní informační bezpečnost
Systémy pro zpřístupňování VŠKP: zkušenosti, možnosti, nabídky, potřeby … Seminář Brno, 22. 11. 2006.

Systémy pro zpřístupňování VŠKP: zkušenosti, možnosti, nabídky, potřeby … Seminář Brno,
Geo-informační systémy

Geo-informační systémy
Auditorské postupy Činnosti před uzavřením smlouvy

Auditorské postupy Činnosti před uzavřením smlouvy

Podobné prezentace

Reklamy Google