Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst

BYOD/Mobilní útoky Embedded zařízení Windows malware Exploit Sociální inženýrství Cílené útoky Ztráta dat Agenda

Antivirus je mrtvá technologie Nejlepší AV je žádný AV *nix/Mac je bezpečný Brouzdání po bezpečném internetu Elvis žije! Lidová tvořivost

Mobilní boom pokračuje – Android zařízení v roce 2013 – iOS, Windows Mobile Nízké povědomí uživatelů – Výkon a technická složitost zařízení – Rizika připojení do internetu – Rizika využívání marketů play.google.com není výjimkou – Soukromí Mobilní svět

Android Malware

Zdrojem nejčastěji alternativní markety Podvodné aplikace a prémiové SMS – Zneužívající populární aplikace Nabídka (i)legálních Spyware aplikací Očekávaný rozvoj exploit balíčků Android Malware #2

Na PC známý model FakeAV – Aplikace vydávající se za antivirus, vyžadující platbu pro odstranění neexistující infekce Android Security Suite Premium – Ve skutečnosti Spyware – Odesílající SMS na Zeus servery – Namířeno proti španělským uživatelům Android Zitmo

Narušena integrita sítě a její bezpečnost – Zaměstnanci dostávají nebo si nosí vlastní – Téměř nemožná kontrola vlastních zařízení Náhodné ztráty dat Cílené útoky – Odposlechy v místnosti – Krádeže dat – Odcizení přístupových údajů Avast Mobile Security Bring Your Own Device

Zařízení připojená do sítě, k internetu – Plnohodnotné počítače zneužitelné pro distribuci malware Útoky proti tiskárnám Modemy, směrovače, … Zařízení využívající libupnp od Intelu – Odhalení často velmi složité Ochrana koncových uživatelů Embedded zařízení

Nejčastěji cílená platforma Převládá finanční motivace Výpočetní síla a její zneužití – Krádeže a prodej citlivých dat – Bankovní malware Nárůst informačně motivovaných útoků – Cílené útoky proti organizacím – Státní špionáž Windows malware

1.9 Miliardy virových hlášení

Web – hlavní kanál šíření malware

Nárůst popularity exploit balíčků – Infikování jako služba Útoky využívající vysoce prevalenční aplikace – Adobe Flash (91%) – Adobe Reader (75%) – Java (60%) – Prohlížeče (IE, Firefox, …) Neexistuje prototyp bezpečného chování Exploit packs

Právě využívané exploity (web)

Exploit pro aktuální verzi produktu – Bez možnosti zabezpečit systém aktualizací – Řešení často jen přídavnými produkty 2012 – raketový nástup 2013 – pokračující trend Autoři malware aktivně nakupují – Cool Exploit Kit & CVE – 5.000$ – Milióny nechráněných zařízení 0-day útoky

Rychlá aktualizační politika – V případě 0-day téměř nemožné – Jednorázové záplaty Poskytnuté výrobcem software před jeho aktualizací Ochrana koncových stanic – AVAST Antivirus – NSS Labs Comparatives: Analýza logů – Příliš pozdě, k infiltraci již došlo Ochrana před exploity

Jak vypadá skutečnost?

Alespoň jedna z cest? Korporátní sféra bohužel není vyjímkou

Ani plně záplatovaný počítač není odolný obsluhuje-li jej člověk Scareware – Vyvolání pocitu strachu, zahnání do kouta – Uvěří-li, postupuje podle pokynů útočníků Falešné antivirové programy – Webová stránka zobrazující infekci, nabízí léčení – Uživatel sám instaluje malware v domnění, že dělá správnou věc Sociální inženýrství

Ransomware – Pokročilejší a stále oblíbenější forma zisku Výkupné nebo ztráta cenných dat? – Data na napadeném stroji znehodnocena – Blokován internet (Policejní) Uživatel často zaplatí – Doufá v navrácení dat – Strach z trestního stíhání Sociální inženýrství #2

Na nevládní organizace, korporace, … – Wateringhole útok: Národní/politické zájmy – Red October reportovaný začátkem ledna Spojení sociálního inženýrství a exploitů – Podvržené dokumenty – PDF – DOC, XLS, RTF (CVE , CVE ) Rostoucí trend i v roce 2013 Cílené útoky

V první řadě jsou nutná školení zaměstnanců – Prototypy vhodného chování – Řešení krizových situací BYOD, nastavená pravidla – Vše souvisí se vším Ochrana koncových stanic Analýza logů – Post mortem Efektivní obrana?

Data v ohrožení – Finančního charakteru – Špionáž – Odcizení, znehodnocení Přístupové údaje v rukou útočníků Zneužití infrastruktury – Distribuce malware – Výpočetní síla Následky infiltrace

Zneužití značky, jména firmy Cílené útoky na obchodní partnery – Zneužití ukradených dokumentů/kontaktů Útoky na zaměstnance – Využívající firemní infrastrukturu k soukromým účelům – Infikování jejich zařízení Útoky na zákazníky – Platební informace Následky infiltrace #2

Nárůst mobilních zařízení – Nezvyšující se povědomí o nebezpečí – Nástup vzdálených útoků Útoky proti embedded zařízení Mnoho nových 0-day exploitů – Kupované autory malware Nárůst cílených útoků Nárůst útoků zaměřených na krádeže dat či na jejich znehodnocení Očekávání v roce 2013

Q&A Questions & (maybe) Answers