IT bezpečnost v měnícím se světě Internetu Jan Müller, CSc. ICZ a.s. 40. Konference EurOpen Velké Bílovice 13.5.2012

Témata prezentace IT bezpečnost – problémové oblasti Nové typy hrozeb Denial-of-service Zločin a podvody na Internetu Průmyslová a vládní špionáž Nové typy hrozeb Advanced Persistent Threats Crime economy Změny uživatelského přístupu k Internetu a dopady na bezpečnost Změny postojů Problémy s vývojem SW – priority výrobců a spotřebitelů, kontext bezpečnosti Paradigma „free Internetu“ – rozpor mezi Internetem poháněným reklamami a mezi bezpečností

Denial-of-Service Oblíbené hackery i novináři - zviditelnění DoS: vyčerpání zdrojů systému Interní zdroje- SYN flood, LDoS (Low-Rate DoS, např. Slowloris), i vyšší vrstvy, např. http (Slowloris) nebo i vlastní aplikace Internetová konektivita- typicky DDoS, až 40Gb/sec Změna motivace, dříve předvádění, nyní Politické (hacktivismus) – útoky Anonymous na Bílý dům, VISA, RIAA/MPAA, v roce 2007 DDoS na Estonsko, útoky v Íránu aj. Ekonomické poškození konkurence (cestovní kanceláře, útok Chronopay na ASSIST) Přímý zisk - blokování komunikace (2011 útok na burzu v Hong Kongu)

Denial-of-Service Úspěšnost útoků DoS: Cennější aktiva a vyšší závislost na službách Komplexnost a provázanost – cascade effect Příklady – burzovní operace, vyhodnocování senzorových dat z Iráku v MCE v U.S., SIPRNet, Estonsko „the most wired society“ Nedostatečné povědomí jak u lidí, tak i v procesech (např. státní správy) – zanedbávání problematiky dostupnosti (vyhl. 523/2005) Snad se to zlepšuje v novém návrhu zákona o kybernetické bezpečnosti, ale …

Zločin a podvody na Internetu I think the next big Internet security trend is going to be crime. Not the viruses and Trojans and DDoS attacks for fun and bragging rights. Real crime. On the Internet. Criminals tend to lag behind technology by five to ten years, but eventually they figure it out. Just as Willie Sutton robbed banks because "that's where the money is," modern criminals will attack computer networks. Increasingly, value is online instead of in a vault. Bruce Schneier Cryptogram 15.12. 2002

Zločin a podvody na Internetu Obrovská rozmanitost Internet jen médium pro kontakt s obětí – zprostředkování (práce, viza), výhodné koupě, vyhrál-jste-loterii, scam 419 apod. Internet jako médium s obrovským záběrem Spam Burzovní podvody pump-and-dump, scalping Internet jako integrální část systému Copyright, cyberstalking/harrassement, dětské porno, šíření nenávisti, kšefty (drogy, zbraně) Specifické útoky na IT systémy – cyber-extortion, fake AV Online fraud – krádeže identity a podvody namířené na jedince Špionáž a krádež informací

Online fraud Krádež identity je asi jen 10% podvodů, ale představuje největší ztráty Technologie často společné s APT, kde je ale proniknutí do koncové stanice předstupeň k vlastnímu útoku Posun do vyšších vrstev – kontrola vstupů (XSS, BO), únosy (SSL, např. Tatanarg, který funguje jako MitB) nebo přes DNS (DNSChanger, Kaminskeho cache poisoning), SQL injection, nejoblíbenější jsou díry v prohlížečích + pluginy Stealth – ukrádání drobných z účtů Model infekce se mění z push na pull, buď sociální inženýrství (phishing) nebo drive-by-downloads, obvykle přes iframe Změny v obchodních modelech – crime economy

Internet crime – příklady novátorských metod Manipulace na burze: (August 19, 2011) Police in Hong Kong arrested a 29-year old man in relation to a series of Distributed Denial of Service attacks against the website of the Hong Kong stock exchange. The attacks resulted in the trading of shares in seven companies being halted. Companies that were impacted included the banking giant HSBC and Cathay Pacific Airlines.

Internet crime – příklady novátorských metod Cyber extortion (March 5 & 6, 2010) Ireland's Garda Bureau of Fraud Investigation is looking into reports of cyber extortion at small companies. The perpetrators gain access to company systems that lack adequate security and encrypt the company's data, demanding payment in return for unlocking the information. An interesting twist to this case is that the cyber criminals altered the companies' backup software a number of weeks before the attack so that it no longer backed up their data.

Internet crime – příklady novátorských metod Stealth crime (June 28, 2010) The US Federal Trade Commission (FTC) is cracking down on a group of patient cyber thieves who set up phony businesses and made millions of small fraudulent charges to over one million payment cards. In all, the group stole nearly US $10 million. The scammers created phony companies whose names were close to those of legitimate companies. The fraudulent charges ranged from US $0.20 to US $10, and the scammers usually charged each card only once. Ninety percent of the fraudulent charges were uncontested by card holders.

Online špionáž Obtížná identifikace útočníka (podobně jako DDoS) – státy, průmyslové skupiny, mafie Operace Titan Rain – od r. 2003 stáhla Čína desítky terabytů z NIPRNetu (CALS) – detailní schémata z NASA, sw pro řízení bojových helikoptér, v letech 2007-2008 další desítky terabytů z projektu Joint Strike Fighter Čínská skupina Shadow Network stáhla z Indie vojenské a bezpečnostní info o SV hranici McAfee's annual Virtual Criminology Report: the world faces a cyber cold war over the next decade; 120 countries around the world are conducting cyber espionage operations. The operations target the military, political, economic, and technical arenas.

Online špionáž - příklady Titan Rain „ …have been traced to just 20 workstations and three routers in Guangdong province in southern China“ The hackers stashed the stolen files in zombie servers in South Korea, before sending them back to Guangdong. In one, a researcher found a stockpile of aerospace documents with hundreds of detailed schematics about propulsion systems, solar paneling and fuel tanks for the Mars Reconnaissance Orbiter (NASA). On one night alone they copied a huge collection of files from the Redstone Arsenal, home to the US army's Aviation and Missile Command in Alabama. The attackers had grabbed specifications for the aviation mission-planning system for army helicopters, as well as Falconview 3.2, the flight-planning software used by the army and air force.

Průmyslová špionáž October 31, 2011: Symantec Says „Nitro“ Attacks Targeted Defense and Chemical Companies Nearly 50 companies have been targeted in the campaign since July 2011. Those behind the attack are interested in "proprietary designs, formulas, and manufacturing processes“ February 10, 2011: Cyber Attack Targeted Multinational Oil and Gas Companies (Shell, Exxcon Mobil, BP) A report from McAfee says that at least five large oil and gas companies were targeted by a series of cyber attacks it has dubbed "Night Dragon." „The cyber intruders appear to be operating from within China.. The attacks appeared to be attempting to gather information about gas and oil field production systems, financial documents related to field exploration, oil and gas lease bids and industrial control systems

Cyberwarfare Na špionáž navazuje přímo i cyberwarfare – na to se v současnosti připravují všechny země, Čína rozvíjí ofenzívní techniky, USA zřídily v r. 2009 USCYBERCOM jako součást strategického velení Tyto konflikty už reálně probíhají, např. --Cyber Conflict in the Middle-East Escalating (January 16, 2012) Cyber attackers have hit the websites of the Israeli stock exchange, El Al airlines, and several banks. The activity began last week with the posting of stolen Israeli credit card details. An Israeli hacker then retaliated by posting personal information hundreds of Saudis, Egyptians, and Syrians online.

Nové trendy Mimo jiné … Advanced Persistent Threats – systematické a profesionální útoky, které posunují cyber attacks do jiné ligy Crime economy – systematický a profesionální přístup, který posunuje ekonomické základy Internetového zločinu do jiné ligy

Advanced Persistent Threat Vysoce profesionální útok, typicky pro špionáž nebo jiné útoky (Stuxnet) na vysoké úrovni schopnost dlouhodobého pronásledování disponuje značnými zdroji Obtížné odlišení států, průmyslových skupin, zločineckých syndikátů Technická dokonalost (Stuxnet), použití cenných zero-day exploitů, Alan Paller: "It was like being against a master chess player“ schopnost systematického napadání postupných cílů pro prolomení cílového systému (supply-chain attack) - cf. Ken Thompson, Reflection on Trusting Trust (propagující backdoor v kompilátoru)

APT – postupné cíle a útoky na supply-chain: prototyp October 10, 2008: Crime syndicates with members in China and Pakistan have managed to place devices in chip-and-pin machines that steal payment card data. The devices were planted in the machines before they were sent from China to stores in England, Ireland, Denmark, Belgium and the Netherlands. losses are estimated to be between US $50 and $100 million

APT – postupné cíle a útoky na supply-chain: SW January 31, 2011:SourceForge is taking steps to enhance website security following an attack that may have compromised users' passwords. SourceForge hosts more than 260,000 open source projects ….the discovery that an SSH daemon had been modified to sniff passwords Aurora 2010: McAfee: the attackers who breached systems at Google and other companies went after source-code management systems … to steal and to modify source code 2011 útok na RSA Security, po ukradení materiálů k SecurID následné útoky na obranný průmysl (Lockheed Martin, Northrop Grumann) 2011 kompromitace CA Comodo a DigiNotar, vytvoření falešných certifikátů (Google)

Moderní internetový zločin: Crime economy Moderní internetový zločin je charakterizován: flexibilním přístupem a hledáním příležitostí využitím moderních technik posunem k profesionálnímu modelu podnikání

Moderní internetový zločin – flexibilní přístup Využití přiležitosti kdykoliv a kdekoliv March 5, 2012: Slowloris infected: Some supporters of the Anonymous hacking collective who believed they were downloading only a DDoS attack tool were actually tricked into downloading Zeus malware onto their computers as well. This variant harvests email passwords and online banking account access credentials. Samostatné podoblasti, např. Fake Antivirus Software (scareware) May 28, 2010 Three men have been indicted for allegedly running a scareware scheme that took in more than US $100 million. The trio allegedly established phony Internet advertising agencies to get their infected ads onto websites

Moderní internetový zločin – moderní technologie a postupy Výrobci, prodejci a integrátoři malware používají všechny techniky pro optimalizaci posunutí infikovaných výsledků hledání (pro drive-by-downloads) na přední místa, tzv. blackhat SEO - Search Engine Optimization Odstranění SPoF: February 27, 2012 New variants of ZeuS/SpyEye are receiving instructions not from command-and-control (C&C) servers, but through P2P networks. Copy protection – klasická licence s klíčem A některé další Vymazaní konkurenčního malwaru na napadeném počítači (i pro vlastní utajení: TDL-4)

Moderní internetový zločin – profesionální ekosystémy Posun od hackerů k profesionálním společnostem, členění na výrobce, integrátory a uživatele Drsný konkurenční boj: Prices for bank account details with PIN numbers have dropped from $100 each to $10 Obchodní společnosti: obchodní strategie, product management, payment processing, customer support, marketing, inzerce apod. Don Jackson (Gozi): full-fledged e-commerce operation. It was slick and accessible, with comprehensive product offerings and a strong customer focus

Moderní internetový zločin – profesionální ekosystémy Ucelené nabídky produktových řad, slevy - např. Zeus býval od $700 do $4000 pro nové verze, byla i public version HLAVNĚ – posun ke službám: SOM – Service Oriented Malware, např. „76service“: 76service sold subscriptions or "projects" to Gozi-infected machines. Usually, projects were sold in 30-day increments because that's a billing cycle, A project was like an investment portfolio. Individual Gozi-infected machines were like stocks and subscribers bought a group of them Panenské botnety dražší

Moderní internetový zločin – profesionální ekosystémy Další služby moderního typu (cloud – self-provisioning, customised user interface, VAS): Providing the self-service interface freed up the sellers to create ancillary services. 76service was extremely customer-focused. You want us to clean up the reports for you? Sure, for a small fee. The profit is not only in the kit, but in selling value added services like exploitation, compromised servers/accounts, database configuration, and customization of the interface Podpora netových loupežníků: Dmitry M. Naskovets: …identity theft website that provided specialized language services to help thieves conduct fraudulent bank transactions. The site offered the services of German and English speakers

Výsledek? Téměř nemožné ochránit svou finanční identitu (když ji neukradnou vám, ukradnou ji z databáze obchodníka) … "Do you have a credit card? They've got it!"

Jak jsme se k tomu dopracovali? Samozřejmě všudypřítomnost Internetu, automatické spoléhání na dostupnost, aktiva přístupná přes síť Také ale nové trendy, otevírající nové zranitelnosti a celková změna vnímání Internetu

Nová rizika M.C.Libicki: Cyberdeterrence and Cyberwar, RAND: …organizations are vulnerable to cyberattack only to the extent they want to be … Totéž se týká i jednotlivců - nový vývoj umožňuje přístup k různým dříve nepřístupným aktivům proto, že TO SAMI CHCEME.

Nové zranitelnosti a naše ochota umožnit jejich využití Zjednodušujeme nabídku služeb uživatelům Špatně zabezpečené citlivé služby přes nezabezpečené médium Zjednodušujeme život uživatelům a administrátorům systémů Nefunkční mechanismy autentizace/SSO: Microsoft LM/NTLM, MSCHAPv2, LEAP … Zjednodušujeme život uživatelům aplikací: automatické spouštění kódu, mobilní kód: Zeus Exploiting PDF Flaw to Infect PCs (April 15, 2010) … Technically, the flaw is not a vulnerability but "a by-design function of Adobe's specification." Zjednodušujeme život návrhářům Asynchronní konstrukce v Web 2.0, prototypové jazyky (Javascript) pro rychlé klonování, mashups aj.

Komplexní povaha IT bezpečnosti Rozkouskováním bezpečnosti na samostatné oblasti vzniká antisynergie, kdy odborníci z jedné oblasti: používají externí výsledky a subsystémy mimo jejich bezpečnostní kontext – typicky v šifrování, kdy slabiny nejsou v šifře, ale v jejím použití (IV vektory, WEP, standardní hlavičky, chybné použití 3DES v autentizaci MSCHAPv2, atd.) si nejsou vědomi, jaké dopady budou mít jejich konstrukce na bezpečnost v jiných oblastech – např. mobilní kód, nezabezpečené systémy DNS, předvídatelná sekvenční čísla v hlavičce TCP/IP, hibernování paměti s hesly a vybalenými klíči na disk, autentizace symetrickými klíči atd. atd.

Bezpečnost při návrhu SW … téměř zanedbatelná, zejména ve srovnání s aspekty jako time-to-market apod. Nezájem o dodržování alespoň základních doporučení (např. CWE/SANS Top 25), minimální používání frameworků pro sanaci vstupu Používání komponent mimo jejich bezpečnostní kontext

Adekvátní pro jaký účel?

Nové trendy a přístupy k Internetu (podle Schneiera) Deperimeterization: interní sítě se rozplizávají a stírá se rozdíl mezi vnitřkem a vnějškem Comsumerization: zaměstnanci chtějí své cool hračky jako různé iPady používat i v práci (BYOD) Decentralization: data se ztrácejí někde v cloudu, počítač je jen dočasný nástroj pro přístup Deconcentration: univerzální počítač vymírá, je nahrazován specializovaným HW a SW pod kontrolou poskytovatelů obsahu

Nové trendy a přístupy k Internetu Decustomerization: většina služeb na Internetu je tzv. free (platíme za ně tím, že do nás hrnou reklamy) –„ we are not Google’s customers; we are Google’s product that they sell to their customers“. Depersonization: uživatel je vzdalován od interakce s počítačem a sofwaroví agenti za něj rozhodují, co se mu líbí a co chce vidět nebo dělat.

Nové trendy a přístupy k Internetu Visibilita – snaha poskytovat interní činnosti a procesy jako externí rozhraní na technické úrovni – narušování dřívějších servisních (SOA) koncepcí rozhraní, které jednoznačně odděluje subsystémy (např. už dříve MPLS, drill-through na virtuálních systémech, integrované síťové prostředí apod.) – sice umožňuje optimalizaci, ale výrazně zvyšuje komplexnost systému (hrozba pro bezpečnost) na uživatelské úrovni – snaha vidět přesně, co vlastně uživatel dělá, kam se dívá, na co kliká atd.

Decustomerization – co to znamená free? To, že uživatel není zákazník, má klíčový dopad ve dvou oblastech: Musí si nechat líbit neuvěřitelné množství reklam a balastu (a souhlasit s tím i na technické úrovni) „free“ služby a software nejsou navrhovány pro jeho pohodlí a bezpečí, ale pro skutečné zákazníky Např. Adobe Flash (říjen 2011): … exploit involves clickjacking techniques using iFrames … SANS: … this attack exploits a control on the client side that was placed there for the benefit of the advertisers who buy Flash

Co to znamená free? - Adobe Licence Agreement: Connectivity and Privacy. You acknowledge and agree to the following …your Computer may connect to a website operated by Adobe, an advertiser, or other third party… The party hosting the site may use technology to send (or “serve”) advertising or other electronic content that appears in or near the opened PDF file. The website operator may also use JavaScript, web beacons (also known as action tags or single-pixel gifs), and other technologies … Adobe may not have access to or control over features that a third party may use, and the information practices of third party websites are not covered by the Adobe Online Privacy Policy.

Základní problém bezpečnosti nového Internetu Uživatel požaduje univerzální službu Na své hračce Kdykoliv a kdekoliv Zadarmo To znamená, že Internet je advertisement-driven, a tedy Poskytovatel služby potřebuje zpřístupnit uživatelskou hračku svým (platícím) zákazníkům v maximální možné míře A TEDY hračka musí být co nejotevřenější, což s povděkem vítá celá kultura internetového zločinu (+ malvertisement apod.)

Základní problém bezpečnosti nového Internetu Pro výrobce SW a poskytovatele služeb tedy bezpečnost není prvořadý úkol, a buď Nedbá - Microsoft v CE Windows „šifroval“ hesla tak, že je zXORoval se slovem PEGASUS psaným pozpátku Nerozumí – např. že streamové šifry jako RC4 musí mít náhodný unikátní IV (Microsoft) nebo že hashe hesel nelze používat pro autentizaci (NTLM)

A jak to vidí uživatel?

Uživatel kliká a stahuje … V kultuře současného „free“ Internetu není možnost věc reálně hodnotit, takže dělá to, co ostatní lumíci – kliká na videa, reklamy, oznámení a přílohy v mailu, provozuje e-banking apod… Uživatel zůstává nejslabším článkem systému – loňský brutální průnik do RSA byl přes phishing, který využil chybu v Adobe Flash Reader Stále je mnoho přístupů autorizováno (reusable) heslem

Uživatel jako součást bezpečnosti Na vánoce 2011 Anonymous hákli Stratfor a zveřejnili 860 000 hesel (hashí) bezpečnostních profesionálů Tech Herald je otestoval nástrojem Hashcat, za 7 minut měli 25000 hesel (jako qwerty, 123456 apod) …

Příklad – mail od blue-eyed girl Date: Wed, 30 Nov 2011 00:46:53 -0800 From: Albina <detert@dlh.de> Maybe its error.... Who are you??? Who have this e-mail address?? I will be glad, if I will be received answer from man, who wishes dialogue with young blue-eyed girl with name Albina))) you can write to me here: albina-sobolev@rambler.ru I hope, that my English understood))

Příklad- mail od Adobe Date: Sun, 18 Mar 2012 17:48:45 -0400 From: Adobe<newsletter@response.adobesystemsinc.com> Subject: 2012 Release - New PDF Reader/Creator Upgrade Get The New PDF Reader/Creator Release Adobe is pleased to announce new version upgrades for Adobe Acrobat Reader http://www.2012-adobe-online-update.com [www.2012-adobe-online-update.com] … To upgrade and enhance your work productivity today, go to:

Příklad- mail od Adobe response.adobesystemsinc.com neexistuje, zato existuje 2012-adobe-online-update.com, a surprise surprise, je to registrované v Rusku: Domain Name: 2012-ADOBE-ONLINE-UPDATE.COM Registrar: REGIONAL NETWORK INFORMATION CENTER, JSC DBA RU-CENTER Whois Server: whois.nic.ru Referral URL: http://www.nic.ru Name Server: NS3.NIC.RU Name Server: NS4.NIC.RU Name Server: NS8.NIC.RU Status: clientTransferProhibited Updated Date: 18-mar-2012 Creation Date: 18-mar-2012

Uživatel jako součást bezpečnosti Není nutné rozebrat mail, ale je nutné PŘEMÝŠLET!!! - proč mi to právě teď pan Adobe posílá? Citát ze zprávy o MitB Tatanarg: Users are advised to always keep their antivirus programs up to date to ensure they have the latest protection available. Also, if possible, online banking should be performed from a dedicated computer or a live CD. TAKŽE Výchova uživatelů k bezpečnostnímu povědomí Sanované systémy ochrana do hloubky

A na závěr povzbuzení pro ty, kteří jsou odpovědní za IT bezpečnost You have to run as fast as you can just to stay where you are. If you want to get anywhere, you'll have to run much faster. Lewis Carroll, Alice in Wonderland