4/24/2014. За мене. Интернет Глобализација. Огромна технолошка експанзија

Transcription

1 За мене САЈБЕР ПРОСТОРОТ КАКО ЗАКАНА ВРЗ ФИНАНСКИСКАТА ИНФРАСТРУКТУРА д-р Митко Богданоски, доцент, потполковник Доктор на науки на Факултетот за електротехника и информациски технологии (ФЕИТ) Сигурност во комуникациите (Cyber security) Работно искуство ЦЕИ/АРМ/МОРМ ВА Воена академија Генерал Михаило Апостолски 1 2 Интернет Глобализација Огромна технолошка експанзија 2.4 милијарди интернет корисници ширум светот Просечниот број на пораки е 144 милијарди на ден 5.1 милијарди Google пребарувања 26.5 милиони нарачани предмети во еден ден на Амазон (Cyber Monday) 20 PB глобален мобилен податочен трансфер на ден 634 милиони веб страници 246 милиони домени регистрирани на топ ниво 3 4 1

2 Вредност на компаниите Апликација на технологиите 5 6 Апликација на технологиите Последици Повредливост Деструктивна наспроти Вознемирувачки напади 7 8 2

3 Последици Зошто компјутерските напади се случуваат? Кои се напаѓачите? Тинејџери од здодевност, криминалци, организирани криминални организации, непријателски (или други) држави, индустриска шпионажа, незадоволни вработени, Зошто го прават тоа? забава, слава, профит, Компјутерските системи се наоѓаат таму каде што се парите политички/воени цели 9 10 Економски аспекти на модерното оружје Објекти со сајбер оружје? Колку чини еден stealth бомбардер? $1.5 to $2 billion Објекти со нуклеарно оружје Објекти со сајбер оружје Колку чини еден stealth fighter? $80 to $120 million Колку чини крстосувачки проектил? $1 to $2 million Колку чини сајбер оружје? $300 to $50,000 Каде е објектот со сајбер оружје?

4 Low Threat High 4/24/2014 Еволуција на сајбер оружјето Трендови на нападот Основно Применет истражување Истражување Рано Усвојување Рапиден напредок Значителна закана Напредно оружје Основно оружје Мотивација позади сајбер нападите Најчести техники за напад

5 Најчести цели Повредливост Повредливост Повредливост

6 Повредливост Повредливост Повредливост Повредливост

7 Мобилно банкарство За најголем дел од корисниците на паметни телефони кои не користат мобилно банкарство главна причина да донесат ваква одлука се Повредливост ЗАГРИЖЕНОСТА ЗА БЕЗБЕДНОСТА!!! Повредливост Хакирани компании

8 Статистика за повреди на мрежната безбедност во 2013 Финансиски консеквенци No Once 2-3 times 4-5 times More than 5 times Can not determine Финансиски консеквенци Најнови концепти на сајбер нападите Најчести сајбер напади: Сајбер шпионажа Закани од внатре (Insider threats) Bradley Manning Snowden Web вандализам Пропаганда Собирање информации (Социјален Инженеринг) Одбивање услуга Нарушување на функционирањето на опремата Напаѓање на критична инфраструктура Компромитиран фалсификуван хардвер

9 Местото на сајбер нападите во глобалните безбедносни закани Третирање на сајбер заканите од различни институции NSA, CIA, FBI, Светски економски форум, NATO, UN, EU Today, Director of National Intelligence James Clapper, in testimony before the US Senate, listed the cyber threat first among all the national security threats the country faces ahead of terrorism, transnational organized crime, and proliferation of Weapons of Mass Destruction. Најпознати напади врз националната/глобалната безбедност и критичната инфраструктура Year Attacker Target Consequences 1982 USA-CIA Logic bomb targeting USSR Siberian gas pipeline Destruction 1999 and 2000 Russia Pentagon, NASA, National Labs Stealing information, espionage 2004 China Sandia National Laboratory, Lockheed Martin and NASA Espionage 2007 China U.S. Computer Network (750,000 computers) Denial of service 2007 Русија Estonia's government websites and other important institutions/banks Denial of service 2008 Unknown U.S. Military Network Malicious code and zombie machines 2008 China and/or Russia U.S. Presidential Election Intrusion into systems 2008 Russia Georgia's government websites and other important institutions/banks Denial of service 2010, 2011 Israel/USA Iranian uranium enrichment centrifuges Sabotage Anonymous Operation Multiple western targets (public and private) 2013 Avenge Assange Denial of service April 2 anonymous groups/ RSA Secure ID 2011 supported by unknown state Phishing, Espionage Augus t 2012 Unknown (unofficial Iran) Cutting Sword of Justice Saudi Aramco oil company United Nation's video conferencing system 2013 USA - NSA Surveillance European Union building on New York International Atomic Energy Agency March Russia Ukraine Denial of Service 34 Destruction, Espionage Критична инфраструктура Што е критичната инфраструктура? Критичната инфраструктура е рбет на националната економија, безбедност и здравство DHS (Department of Homeland Security), USA

10 Закани Црните денови се пред нас сајбер напаѓачите се сè подрски Хактивизмот зема полн замав пред 5-6 години Анонимуси и Ботнетите како одмазда LulzSec и нови антибезбедносни движења APT (Advanced persistent threats) прераснаа во катастрофални закани секоја организација ги има Финансиските институции се крајните цели денес, но и во иднина Online трансакции Повеќе од 50% од интеракцијата помеѓу клиентите во Европа и САД се реализира преку online банкарството Враќање на традиционалното банкарство (филијали)? Телефонско банкарство; 100 Интернет банкарство; 1 Годишно трошоци по корисник (во ) Нема враќање назад! Филијали;

11 Операција Ababil насочена кон банките во САД Државните актери на непријателски расположена држава би направиле се за да ја оневозможат финансиската критична инфраструктура DDoS нападите станаа пософистицирани DDoS напади на ниво 7 (HТTP TCP повредливости) 15 таргетирани банки во САД offline за период од 249 часа Според Neuster анкетата DDoS предизвика просечни загуби од $240K по приход за ден Операција Ababil насочена кон банките во САД Многу клучни делови од нашата инфраструктури за телекомуникациски и финансиски услуги беа под високо ниво на ризик Мајк Роџерс, Шеф на Комитетот за разузнавање во САД Напредно нумерирање на корисниците Преземањето целосни ингеренции е секогаш краен резултат (бонус ако се користат на повеќе web страни) SQLi им обезбеди најголем дел од податоците на LulzSec тажно, поради нападот од 13 годишници Да ја погледнеме важноста само на корисничкото име (ID)

12 Колку често го гледате ова? Можности Секоја чест за некои банки кои го применуваат ова Маскирањето на корисничкото име е важно спречува и автоматско пополнување Во финансиските институции поседување на корисничките имиња без лозинки е доста вредно Сурфање преку рамо и автоматското пополнување за да се: Погоди лозинката (не толку веројатно) Заклучи сметката и да се прекине активноста Што ако можеш да ги добиеш сите кориснички имиња? Се почесто гледаме парови за одговор Пет клучни елементи на сајбер операциите искористени против финансиските институции Деградирај DDoS Уништи Прекини DDoS Нема причина мануелно да се бараат сите корисници ако може тоа да се автоматизира Во собирањето може да се искористи армија од машини Истата армија може да се искористи за да се нанесат одредени штети Одбиј DDoS Офанзивни способности Измами

13 Традиционални DDoS Испраќање огромно количество сообраќај на одреден сервер, оневозможување услуги за одреден временски период Функционира на сите нивоа Речиси да нема банка која не била жртва на ваков напад Најчесто користена тактика од анонимуси и други организации Може да влијае на изгубени трансакции нарушување на угледот Како волонтерите мислат дека работи DDoS Анонимусите им кажуваат на трупите во 4Chan B групата да искористат LOIC против целта LOIC испраќа голем сообраќај за да таргетира (вообичаено следи апсење) Нападот на Paypal со LOIC не успеа На анонимуси им беше потребно тајно оружје Во приватните IRC (Internet Relay Chat) канали Анонимусите поседуваат огромна сила изразена во бројки Секој од членовите со ботнети може да прикажат 50,000 хакирани машини Често овие машини се рентаат за одредено време (саат, ден,...) Како работи DDoS DoS напад на Ниво 7 Многу суптилен Рутиран преку Proxy-то (Стелт способности) Мал пропусен опсег Се однесува како нормален сообраќај Одбраната е многу тешка поради можните комбинации Xerxes платформа од th3j353tr (еден напаѓач НЕМА Botnet) варијации на DDoS напади на ниво 7 МНОГУ ОПАСЕН АКО Е ДОБРО КООРДИНИРАН

14 Одбрана од DoS напад на Ниво 7 Автентикација наtcp ниво Автентикација на HTTP ниво CAPTCHA Детектирање на апликација базирајќи се на потпис Ограничување на брзината Мануелно уредени скрипти Консултантски организиации за одбрана од DoS напади на ниво 7 Замислете... Ботнет кој ги собира сите корисници, а потоа извршува симултан напад Еден пристап е масивно заклучување Оптеретување на helpdesk-овите Загуба на продуктивност/трансакции Префрлање кај конкуренцијата Користи заклучување за да се скрие друг напад Друг е симултан brute force напад Неколку од 50,000 корисници можеби имаат едноставни лозинки Доволно корисници дури и го олеснуваат кракирањето на токен функциите NASDAQ ARCA проблем NASDAQ ARCA проблем NASDAQ Arca (берза во Њујорк) се обиделе да се конектираат повеќе од неверојатни 20 пати кон Nasdaq системот со цени Испраќа стандардни понуди од нула долари SIP (Security Information Processor) не можеше да се справи со овој проблем - мораше да се сврти кон бекап со цел да се справи со преплавувањето бекап системот има непознат проток Предизвикан е тип на DDoS за период од 3 часа

15 NASDAQ ARCA проблем Не се хакери...но еден ден можеби ќе бидат!!! Во тргувањето, дури и милисекундата значи многу Во високофреквентните тргувања, губењето на милисекунда може да предизвика губитоци од милиони Денес се таргетираат овие системи CME Group во јули 2013 откри повреда на нивната ClearPort платформа Трговски платформи Трговските платформи се сè повеќе webбазирани Се соочуваат со слаби лозинки, долги прекини на работата и општи грешки (багови) Сè повеќе се шпекулира за ефектите на DDoS на апликациско ниво на последните, погодни платформи Неодамна, проблем се случи и со клиент на Incapsula 180,000 бота 150 часа 700 милиони посети/ден Обезглавен пребарувач Phantom JS алатка 861 конфигурации на пребарувачот (различни варијанти на сообраќај) Трговски системи имаат потреба од понатамошно тестирање за иднината Хакерите на финансискиот систем се надеваат дека ќе го забележат непредвидливото UK Bank Cyber War Games New York Quantum Dawn 2 Овие hackfests се дизајнирани да симулираат DDoS и други напади

16 Застрашувачки е што е пронајдено... Клучни точки Мала толеранција за грешки што предизвикува трговските и финасиските системи да бидат атрактивни цели Голема брзина на тргување каде милисекундите значат загуби од милиони Програмерите не ја познаваат доволно безбедноста Серверите се поставуваат многу блиску со цел да се зголеми брзината, иако размената на податоци е со брзина на светлината Многумина користат минимални подесувања со цел максимални перформанси Предподесен интерфејс наместо firewall-и и ACL-и?! Многу осетливи на типови на напади предизвикани од незадоволни вработени Трговска платформа Трговија Машина за тргување Извори на податоци на маркетот Компоненти од трговскиот систем за кои е потребна DDoS заштита Тешко е да се справиш со DDoS со масивен мрежен сообраќај Бара одлично балансирање на оптеретувањето Едно од решенијата е и формирање на Black Hole (Honeypots) DDoS поради недостатоци на апликациите (како што се спорните HTTP барања кои ги успоруваат серверите) се полесни за реализирање Потребна е одбрана на повеќе нивоа Сите сме слушнале за нив, Фази на напад: Инфекција на систем APT-а Сите ги имаат? Симнување на злонамерен код Повратни повици Извлекување на податоци Странично движење

17 Внатрешните напаѓачи и APT-а Напаѓачите пред да започнат со експлоатација создаваат внатрешна основа (упориште) Идните APT-а ќе овозможат масивни, симултани напади на сметките на крајните корисници Наместо бучно извлекување на масивна количина на податоци, идните APT-а ќе таргетираат специфични привилегирани корисници (корисници кои имаат специфични можности за пристап) Интелигентен дух во машината Напади од внатрешни корисници - разузнавање Веќе постојат APT ексфилтрации Кодирани информации во JPG или во постовите на социјалните медиуми Моментално 80 дена или повеќе до откривање, и до 200 за чистење Напади од надворешни корисници и MitE Кодирање против MitE Нов злонамерен код како би се овозможила лажна акција и кражба на машината на жртвата Заборавете на душкање на лозинки, keylogger-и новиот злонамерен код се фокусиран на трансферот кој се јавува од доверливи сесии и IP адреси Man-in-the-Endpoint (MitE) (Познат и како Man-in-the- Browser) нападот може да заобиколи дури и повеќестепена автентикација MitE се одговорни за мултимилионски сајбер кражби (преку 10 милиони пред 3-4 години) се очекува олеснето пронаоѓање на жртвите 67 Осетливите трансакции имаат потреба од заштита од CSRF (Cross-Site Request Forgery) базирана напади Никогаш не треба да се дозволи важни трансакции да се случуваат со едноставни GET потребни се повеќе чекори За главните трансакции ре-автентикација Технологии како CAPTCHA Кратки прекини: <20 минути Константна промена, непредвидливи сесиски ID-а или токени приложени кон секоја трансакција 68 17

18 Заштита од APT Замислете Дали можат старите honeypot-и да бидат одговор на нашиот APT проблем? Тие секако даваат одличен поглед на тоа што се случува во мрежата Подесување на фиктивни сметки и сервери за кои знаеме дека нема да имаат активности можат да фатат APT во акција Лошиот сообраќај треба да биде означен Одредени компании имаат значителен напредок во ваквиот вид заштита APT-ата се толку напредни што можат да коегзистираат со други за да се постигне паралелно уништување Злонамерен код кој може да земе цела корпорација како заложник (особено ако во нападот се инволвирани инсајдерски инфромации) Крајните корисници губат значителна сума на пари без да знаат (дел по дел) Heartbleed повредливост Сериозни футуристички, идни закани... Повредливост на OpenSSL библиотеката за криптографски софтвер Крадење на информации кои се заштитени со SSL/TLS криптирање (web, , Instant messaging (IM) и некои VPN) Напад на заштитениот сообраќај, имиња и лозинки

19 Кој прв ќе стигне до квантниот компјутер? Честичките можат да се чуваат во суперпозиција овозможено за кубити (нули, единици, или и двете во исто време) Кубитите во квантниот компјутер ќе бидат во можност да ги испробаат сите солуции за проблем наеднаш Во секунда би можеле да најдат голем фактор на броеви на тој начин можат лесно да пробијат било каков клуч Брзо пребарување на база на податоци со Гроверов алгоритам (збогум DES може да се пронајде само со 185 пребарувања) Развојот во ова поле е речиси секојдневен Квантните копјутери во оваа декада? Криптирање Тошиба работи на квантно криптирање Поларизирани фотони носат криптиран клуч преку оптички кабел Мешањето со фотонот го менува пакетот Детекторот може да изброи 1 милијарда фотони/сек Може да поддржи 64 корисници, за разлика од денешната солуција со скапите поврзувања на 2 корисници Каде се светските велесили? Одбрана Clarke and Knake - Cyber War: The Next Threat to National Security and What to Do About It Способност Држава Сајбер напад Сајбер зависност Сајбер одбрана Вкупно САД Русија Кина Иран С. Кореја

20 Рангирање на сајбер безбедноста на САД според NSA и Сајбер командата ASPEN SECURITY FORUM On a scale of 1-10, how do you rank the U.S. readiness to manage serious cyber attacks on critical parts of our infrastructure? 3 Зошто Северна Кореја? Области со неопходна техничка анализа од IT експерти Брзо одредување на инволвираните страни во нападот Директните и индиректните ефекти на сајбер нападот Одредување на намерите (напад или операција) Симулирање сајбер игри Искористување на ефектите на виртуелизација во зголемување на способностите за извршување, детектирање и спротиставување на нападот Пронаоѓање на ефективни мерки за сместување или откривање на Тројанци и други форми на malware-и. Области со неопходна техничка анализа од IT експерти Разбирање и објаснување на импликациите на новите технологии Поставување на повеќестепена заштита од независни технологии и од различни производители Постојано следење на трендовите

21 Предлог мерки кои треба да се преземат од IT експерти Соработка во истражувањето на различните споменати области и публикување на заеднички резултати Развивање и учество во вежби поврзани со сајбер напад и безбедност; осигурување дека сајбер вежбите ги опфаќаат најновите технолошки достигнувања и ограничувања Учествување во групи кои ги адресираат прашањата поврзани со сајбер нападите, на пример, Асоцијацијата за студирање на сајбер конфликтите, која ги спонзорира состаноците и работните групи на различни теми поврзани со сајбер напад и одбрана Учество во online групни дискусии, како што е CSFI-CWD (Cyber Security Forum Initiative s Cyber Warfare Division) на LinkedIn Предлог мерки кои треба да се преземат од IT експерти Учество на конференции како што се InfoWarCon (cyberloop.org), Defcon, Blackhat, Infosec, DeepSec или Конференцијата за сајбер конфликти спонзорирана од NATOакредитираниот Кооперативен center of excellence за сајбер одбрана во Естонија CyCon ( Учество во работни групи спонзорирани од владата кои ги разгледуваат прашањата поврзани со сајбер нападите Издвојување на вистината од фикцијата во врска со сториите кои се појавуваат во медиумите, кои многу често, заради публицитет, се обидуваат да ја изобличат вистината Останати предлог мерки Каде треба да бидеме? Национална стратегија за сајбер безбедност Едукација Зголемување на финансиите за потребите на сајбер безбедноста Институција/тим за одговор на сајбер закани Тимска работа Размена на информации и соработка помеѓу приватниот и државниот сектор Воведување на стандардни оперативни процедури Точно дефинирање на законските регулативи поврзани со сајбер заканите Нов профил на експерти обучени за офанзивни и дефанзивни сајбер операции Активна (Динамичка) наместо Статичка одбрана Проактивни наместо Реактивни одбрана

22 Каде треба да бидеме? We don t want to be forensics experts. We want to catch it at the perimeter == Maj. Gen. Steven Smith, chief of the US Army Cyber Directorate, 05 Мay Благодарам за вниманието Прашања? 87 22