KONCEPTUÁLNÍ A TEORETICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI (Kybernetická bezpečnost 101) BSS469: Kybernetická bezpečnost PhDr. Roman Pačka 2 DISCLAIMER: Názory prezentované v této přednášce jsou výhradně názory autora a nemusí nutně reprezentovat stanoviska a názory NÚKIB, potažmo NCKB. 3 CYBER SECURITY PROFESSIONALS SO HOT RIGHT NOW 4 5 6 7 8 9 KYBERPROSTOR / INTERNET / WWW ? 10 11 INTERNET ??? 12 INTERNET ??? 13 INTERNET KYBERPROSTOR 14 o Založeno na technických principech o Lidský element: nejdůležitější a zároveň nejslabší faktor v kyberprostoru Sociální vrstva •Uživatelé, identity •Zařízení, IP adresy, email účty, soc. sítě Logická vrstva •Data, databáze, webové stránky •Logická spojení mezi síťovými uzly Fyzická vrstva •Síťová infrastruktura •Geografická poloha 15 http://www.monitis.com/traceroute/ KYBERNETICKÁ BEZPEČNOST o …ať už se řeší ICS/SCADA, Linux, Windows, cloudová úložiště, atd., vždy lze uvést tři kategorie, které definují kybernetickou bezpečnost: I. Prevent, detect, respond II. People, process, technology III. Confidentiality, integrity, availability 16 Confidentiality AvailabilityIntegrity Cyber security 17 Kybernetická kriminalita •Trestná činnost, pro kterou je určující vztah k software, k datům, respektive uloženým informacím, respektive veškeré aktivity, které vedou k neautorizovanému čtení, nakládání, vymazání, zneužití, změně nebo jiné interpretaci dat Kybernetický terorismus • Kyberterorismus zahrnuje agresivní a excesivní jednání, které je prováděno se záměrem vyvolat strach ve společnosti, a jehož prostřednictvím je dosahováno politických, náboženských nebo ideologických cílů. Za využití kyberprostoru a informačních a komunikačních technologií ohrožuje chod státu, jeho ústavní zřízení nebo obranyschopnost mimo jiné cílením na kritickou informační infrastrukturu a významné informační systémy. Kybernetická špionáž •Užití/zneužití ICT s cílem získat citlivé informace bez souhlasu jeho držitele/majitele. Provádí ji státní i nestátní aktéři za účelem získání strategické, ekonomické, politické, nebo vojenské převahy. Kybernetická válka •Národní stát (či skupiny podporované státem) cílí na sítě a systémy jiného státu za účelem jejich zničení či narušení, způsobení škody, extrakce/zničení citlivých informací, narušení bojeschopnosti, apod. Útoky provádí především specializované vojenské/zpravodajské jednotky. 18 • kodifikuje Kybernetick á bezpečnost ní politika • podporuje Bezpečnostní cíle • modifikuje Relevantní aktéři • produkuje Chování Kybernetic ká bezpečnost KYBERNETICKÁ BEZPEČNOSTNÍ POLITIKA o Mnoho významů o Prostředek k dosažení kybernetické bezpečnosti ve státě o Podmnožina bezpečnostní politiky státu o Tenze mezi požadavkem na funkcionalitu a požadavky na bezpečnost je reflektována skrze kybernetickou bezpečnostní politiku 19 ROLE STÁTU V ZAJIŠŤOVÁNÍ KYBERNETICKÉ BEZPEČNOSTI 20 KYBERNETICKÁ BEZPEČNOST STÁTU 21 KYBERNETICKÁ BEZPEČNOST 101 KYBERNETICKÁ HROZBA o jakékoliv potenciální intencionální nebo neintencionální nebezpečí, které je svázáno s využitím zranitelnosti, což může mít za následek poškození systému a jeho aktiv, např. zničení, nežádoucí zpřístupnění (kompromitaci), modifikaci dat nebo nedostupnost služeb. 23 KYBERNETICKÉ RIZIKO o je pravděpodobnost, že hrozba využije zranitelnosti aktiva nebo skupiny aktiv, způsobí organizaci škodu a má určitý dopad. Riziko je odvozená závislá proměnná a dá se určit nebo odhadnout tzv. analýzou rizik. Riziko je reakcí na hrozbu, též na stav naší připravenosti (zranitelnosti) a je spojeno s rozhodováním. 24 ZRANITELNOST o „Cyber criminals only have to find one vulnerability, but we have to patch them all.“ o Slabé místo aktiva nebo nedostatek použitých bezpečnostních opatření, které mohou být využity jednou nebo více hrozbami. Využita může být software, hardware, procedurální zranitelnost nebo i zranitelnost spjatá s pochybením jedince o 0-day / forever-day 25 KYBERNETICKÉ NARUŠENÍ / INCIDENT / ÚTOK Kybernetické narušení / cyber disruption o Je jakákoliv neplánovaná událost, která způsobí, že se systém, aplikace nebo služba stanou nefunkční po určitou, nepřijatelnou dobu. Kybernetický bezpečnostní incident / cyber security incident o Je jakákoliv neplánovaná událost, která skutečné či potenciálně ohrozila nebo narušila důvěrnost, integritu, nebo dostupnost informačního systému nebo informací v systémových procesech, úložištích nebo přenosech, a které mohou vyžadovat reaktivní opatření na zmírnění následků či rizika výskytu Kybernetický útok / cyber attack o Je jakýkoliv záměrný pokus o získání neoprávněného přístupu k síti, službě či informacím a datům, nebo jakýkoliv pokus o kompromitaci důvěrnosti, integrity nebo dostupnosti systému, při kterém se porušuje bezpečnostní politika. 26 BACKDOOR / EXPLOIT BACKDOOR o SW/HW - Umožňuje obejít běžnou autentizaci o Může sloužit pro legitimní účely (servis), ale je také zneužitelný jako exploit o Vznikají chybou v systému, nebo nakažením systému (malware) EXPLOIT o SW, příkaz či postup skrze něhož se napadá bezpečnostní zranitelnost (např. využívá backdoor). o Může sloužit pro legitimní účely (poukázání na zranitelnost), ale je také běžnou součástí malware o Instalace malware/krádež dat/zapojení do botnetu… EXPLOIT KITS o Angler, Neutrino, Magnitude, Rig, Nuclear, Sundown, Hunter, Fiesta, …) o Cybercrime-as-a-service 27 28 29 KYBERNETICKÉ ÚTOKY NECÍLENÉ: o PHISHING o WATER HOLING o RANSOMWARE o SCANNING o EXTERNAL/INSIDER THREAT CÍLENÉ: o SPEAR-PHISHING o BOTNET DEPLOYING (DDoS attacks) o SUBVERTING THE SUPPLY CHAIN o APT 30 31 PHISHING 32 33 1999 - Melissa 34 35 1999 - Melissa 36 David L. Smith 37 38 I LOVE YOU 39 I LOVE YOU 40 ONEL de GUZMAN 41 YOU CAN'T BREAK THE LAW IF THERE ARE NO LAWS 42 DoS/DDoS útoky 43 o 2013 (CZE) – Gbps (XY Botnets / computers) o 2016 – 1.x Tbps (Mirai botnet / IoT) DoS/DDoS útoky 44 MALWARE / WORM / VIRUS /TROJAN… 45 MALicious softWARE Program závislý na hostitelském souboru a spuštění uživatelem Sebepropagace – ideální pro distribuci dalších druhů infiltrací „Legitimní“ program Např. spustitelný soubor .exe Šíření skrze síť, např. přes zranitelnosti v síťových aplikacích. Např. využívání sociálního inženýrství Pomalé šíření: PC to PC Velmi rychlé šíření Pomalé šíření Modifikace, poškození, odcizení, nebo ztráta dat… Zátěž na servery, zpomalení činnosti počítače, deaktivace některých programů… Backdoor do systému, krádeže dat, špehování… 46*mnoho variant a typů SQL Slammer o 25. leden 2003, 05:30 UTC - Během 10 minut 75 000 obětí o W32.SQLExp.Worm, DDOS.SQLP1434.A, Sapphire Worm, SQL_HEL, W32/SQLSlammer a Helkern o Využívá SW zranitelnost v SQL Serveru o Vyústil v DoS některých internetových služeb / zpomalil celkový internetový provoz o Škodlivost? 47 48 49 50 EVOLUCE MALWARE – od lulz k $$$ 51 52 53 Good old days of cyberattacks are gone… 54 55 56 57 Finanční malware: Carbanak, Dyre, Dridex, Rovnix, Shifu, … Ransomware: Cryptolocker, Teslacrypt, Popcorn, Cryptowall, … Průmyslová špionáž Různé formy vydírání: DDoS útoky, internetová historie, … $ $ $ 58 59 Finanční malware: Carbanak, Dyre, Dridex, Rovnix, Shifu, … Ransomware: Cryptolocker, Teslacrypt, Popcorn, Cryptowall, … Průmyslová špionáž Různé formy vydírání: DDoS útoky, internetová historie, … $ $ $ RANSOMWARE: Was ist das? o Ransom + malware = výděračský malware o 2016 – nejvýdělečnější malware o Jednoduchý a účinný „business model“ = přímá generace příjmů o Vzrůstající popularita a neustálá inovace o Průměrné výkupné: cca 300 USD Např. Cryptowall: 18 mil USD v 2015 o 2 hlavní druhy: o Locker (computer locker) o Crypto (data locker) 60 Klíčové charakteristiky o Okamžitá ztráta dat či kontroly o Přístup ke všem druhům dat o Zobrazení zprávy / časový limit o Platba většinou v bitcoinech o Evazivní techniky o Rozšíření do dalších stanic v síti o Geografické cílení / jazyk o Někdy exfiltrační schopnost / zapojení do botnetu 61 62 Locker ransomware 63 Crypto ransomware 64 HISTORIE o 1989 – AIDS Trojan (neúspěšný) 65 66 Zdroj: CERT-RO Ransomware jako seriózní business o Franchising / Ransomware-as-a-service (RaaS) o Zlepšování „zákaznického servisu“ (např. Cerber) o Zákaznická podpora o Slevy (průměrně 30%) o Po dohodě – posunutí deadline / forma placení o Free trials o OphionLocker – „seriózní“ ransomware 67 68 69 70 71 72 73 74 75 76 77 78 79 Cryptojacking 80 Nízké cílení Nízká sofistikovano st Script Kiddies Nízké cílení Vysoká sofistikovano st Cybercri me Vysoké cílení Vysoká sofistikovano st APT APT o Advanced persistent threat o Vysoce cílené / sofistikované o Cílem útočníka je zajistit si trvalý přístup do systému o Finančně nákladné – většinou státní/státem podporované skupiny o Využívají doposud neznámých zranitelností – nízká detekovatelnost o Mohou působit nepozorovaně až několik let 81 82 o Změna taktiky APTs: infiltrate_steal_leak o Hlasovací systémy / zařízení kandidátů / emailové systémy, … o Cílem: diskreditace voleb/oponentů Hack the vote / democracy 83 1. Problém: Uživatelé 84 85 86 87 2. Problém: Každý může být „hacker“ 88 SQL INJECTION SQL injection je technika napadení databázové vrstvy programu vsunutím kódu přes neošetřený vstup a vykonání vlastního pozměňujícího poškozujícího SQL příkazu (dotazu DELETE, UPDATE, ALTER atp.). Toto nezamýšlené neošetřené chování vzniká při propojení aplikační vrstvy s databázovou vrstvou a zabraňuje se mu pomocí jednoduchého escapování potenciálně nebezpečných znaků (nejčastěji apostrofu). V klasickém případě se jedná o útok na internetové stránky prováděný přes neošetřený formulář, manipulací s URL nebo třeba i podstrčením zákeřně upravené cookie. 89 90 91 92 93 94 95 96 97 98 99 100 101 3. Problém: Vše je připojeno k internetu 102 103 104 105 CYBER DOES NOT SIMPLY KILL PEOPLE 106 CYBER DOES NOT SIMPLY KILL PEOPLE 107 ICS/SCADA 108 Roman Pačka mail: r.packa@nukib.cz / 333252@mail.muni.cz web: www.govcert.cz twitter: @GOVCERT_CZ 109 26 – 27. září, 2018