Možnosti simulace kybernetických útoků POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU Možnosti simulace kybernetických útoků Metody kybernetické bezpečnosti se neustále vyvíjí. Testování těchto metod provádějí různé organizace pomocí virtuálních a fyzických sítí, přičemž se jedná o poměrně nákladné a časově náročné postupy a procesy. Jako alternativu se uvádí přístup modelování scénářů kybernetických útoků na počítačové a systémy detekce průniku (IDS) pro účinnou simulaci scénářů Doc. RNDr. Josef POŽÁR, CSc. - děkan 11.10. 2012
Tato prezentace byla zpracována v rámci Projektu vědeckovýzkumného úkolu č. 4/4 „Informační bezpečnost a kybernetická kriminalita v organizaci“, který je součástí Integrovaného výzkumného úkolu na léta 2010-2015, realizovaný Fakultou bezpečnostního managementu Policejní akademie České republiky v Praze.
Pasivní útoky Odposlech analýza provozu wiretaping - příprava útoku trojský kůň - kopírování a analýza sítě wiretaping - příprava útoku Skenování portů - útok opakováním (replay attack) Idle scan Útočník se nesnaží modifikovat či zasahovat do komunikace Trojský kůň Podvodné e-maily Fyzický odposlech napíchnutí wiretapping
Aktivní útoky fyzické maškaráda DOS Škodlivý kód Destrukce -integita - fyzická vrstva - phishing EPM -neautoriz. příst - MAC vrstva - útoky proti manag. manipulace - důvěrnost - síťová vrstva - spoofing - soukromí - transportní vrstva - útok ze středu - aplikač. vrstva - password attack Integrity attack Electric Protection Measures opatření elektrické ochrany Útoky na dostupnost služeb – zničení komunikace DOS – denial of service – zahlcení serveru (rozložení zátěže mezi více serverů) DDOS – nejdříve kontrola nad více PC formou automatizovaného útoku či červa, a rozkaz k útoku na jediný PC server Útoky na převzetí moci Fyzický přístup k PC, Vzdálený přístup, útok na spuštěné programy Útoky na protokoly – útok opakováním – replay attack, útok ze středu - man in the middle attack , útok na hesla – password attack , útok na integritu zpráv
Idle skenování otevřeného portu
Escalation service, útok na službu 3 Vniknutí root 4 Dosažení cíle 5 6 Stadium Typická akce Průzkum PC (Serveru) 1 Narušení uživatele 2 Escalation service, útok na službu 3 Vniknutí root 4 Dosažení cíle 5 6 7 8 9 Typické hackerské akce při kybernetickém útoku
Schéma kybernetického útoku na počítačovou síť z Internetu VNĚJŠÍ SÍŤ VNITŘNÍ SÍŤ Určení zranitelosti Dosažení cíle (Stadium 4) Internetnet Průzkum serveru (stadium 0) Běh exploits (stadia 1,2,3) (stadium 5) (stadia 6,7,8) (Stadium 9) Exploit – využití, zneužití Schéma kybernetického útoku na počítačovou síť z Internetu
Orientovaný graf reprezentující strukturu útoku
Stanovení formy postupu Stanovení dalšího cíle Specifikace Cíle, účelu Volba útočníka Stanovení formy postupu Stanovení dalšího cíle Nový cíl útočníka? Nový cíl vněj sítě? Ne Ano Vzorek pro vněj. útočníka Kompletní vzorek Volba nového cíle, účelu Konec útoku Je výsl.efekt? Generování automatického útoku
Kategorie otázek vyšetřování kyb. kriminality What (the data attributes) Why (the motivation) How (the procedures) Who (the people) Where (the location) When (the time) Wherewith (the means) V tomto případě musí vyšetřovatel odpovědět na tzv. 7 kriminalistických otázek, vyčerpávajícím způsobem. Pod pojem „vyšetřovatel“ budeme nazývat každého, kdo vyšetřuje případy, ve kterých je potřebné pracovat s digitálními důkazy, nezávisle na tom, zda vyšetřování probíhá v rámci trestního řízení nebo na základě jiných např. vnitrofiremních podnětů. Dávno již neplatí, že digitální důkazy se vyskytují pouze v případech tzv. počítačové nebo informační kriminality. ICT se prosadily v každodenním životě a prakticky v případě jakékoliv trestné činnosti nebo v případě libovolného bezpečnostního incidentu, pracovně právních nebo jiných sporů se v technických prostředcích, které se běžně používají, nachází velké množství informací, které mohou být potenciálně důležité pro řešení případu. 10 10 10
Obecný model vyšetřování kyb. kriminality Přípravná fáze Lokalizační fáze Pátrací fáze Dynamická fáze Materiální důkaz: Materiální objekty, které mohou odrážet fakta, že byl spáchaný zločin, pak se může existovat spojení mezi zločinem a jeho obětí nebo spojení mezi zločinem a jeho pachatelem. Příkladem materiálního důkazu může být aktuální počítač, harddisk, PDA, a CD-ROM. Digitální důkaz: Číslicová data, která mohou také odrážet, že byl spáchaný zločin a tudíž může existovat spojení mezi zločinem a jeho obětí nebo spojení mezi zločinem a jeho pachatelem. Data v paměti, na harddisku nebo v mobilním telefonu jsou příklady z digitálního důkazu. Materiální místo činu: Materiální prostředí, ve kterém je existuje materiální důkaz o zločinu nebo incidentu. Prostředí, kde se první trestný čin vyskytl je primární materiální místo činu a následné procesy jsou pak sekundární materiální místa činu. Digitální místo činu: Virtuální prostředí vytvořený softwarem a hardwarem, kde existuje digitální důkaz o zločinu nebo incidentu. Prostředí, ve kterém byl spáchán trestný čin nazýváme primární digitální místo činu a následující procesy jsou pak sekundární digitální místa činu. Sun Microsystems: Solaris Fingerprint Database. Available at: http://sunsolve.sun.com/pubcgi/fileFingerprints.pl. Eoghan Casey. Digital Evidence and Computer Crime. Academic Press, 2000. Henry Lee, Timothy Palmbach, and Marilyn Miller. Henry Lee's Crime Scene Handbook. Academic Press, 2001. Závěr posudek 11 11 11
Komparace modelů REAKCE NA INCIDENT DOJ ABSTRAkTNÍ Příprava na incident Identifikace Detekce (zjištění) incidentu Příprava Počátační reakce Strategie postupu Příprava Formulace strategie reakce Ochrana důkazů Sběr dat Duplikace Vyšetřování Zkoušení Sběr Zavedení bezpečnostních opatření Zkouška Jde o srovnání jednotlivých modelů postupů vyšetřování KK Model reakce na incident – nejsložitější a nejpodrobnější Granualita fází se zaměřuje na ověření útoku na systém a jeho obnovu do původního stavu. Nejzdlouhavější fází vyšetřování ze všech výše uvedených jedenácti fází je analýza systému. Pro tým okamžité reakce je to vhodný směr, ale potřeby analýzy to není zcela postačující. PROSISE Chris, MANDIA Kevin. Incident Response: Investigating Computer Crime. McGrawHill Osborne Media, 2001. 2. DOJ Min. spravedlnosti USA Je určený k těm vyšetřovatelům, kteří pracují na materiálním místě činu. Malá pozornost je však věnována vlastní analýze systému. Electronic Crime Scene Investigation: A Guide for First Responders. Dostupné na webu: <http://www.ncjrs.org>, July 2001. 3. Abstraktní model Výzkumníci v amerických leteckých silách identifikovali společné rysy, které vykazovaly různé procesní modely a vytvořili tzv. abstraktní model vyšetřovacího procesu. REITH Mark, CARR Clint, GUNSCH Gregg. An Examination of Digital Forensics Models. International Journal of Digital Evidence, Fall, 2002. Monitorování sítí Analýza Obnova Analýza Prezentace Zpráva Zpráva Další sledování 12 Návrat materiálu 12
Doporučení Zintenzivnit mezinárodní spolupráci policejních sborů. Harmonizovat právní normy – jednotná legislativa v zemích EU. Potřeba vzdělávání manažerů podniku v oblasti informačních technologií. Výchova X útoky zevnitř organizace.
Bezpečnostní a spolehlivostní analýza rozsáhlých sítí. Standardizace programového vybavení pro forenzní analýzu. Zkoumání sociálně-psychologických faktorů kybernetické bezpečnosti.
pozar@polac.cz