W tym roku odbędzie się już 5. edycja NGSec – jednej z największych konferencji o tematyce Bezpieczeństwa Informacji w Polsce. Z roku na rok konferencja przyciąga coraz większe grono gości (w roku 2015 wydarzenie odwiedziło ponad 200 specjalistów z branży Security IT). Uczestnicy poprzednich edycji oceniają bardzo wysoko poziom merytoryczny prelekcji i warsztatów oraz ich „aktualność” w stosunku do wyzwań jakie na co dzień stają przed inżynierami zajmującymi się Security IT, dlatego bardzo dużą rolę przykładamy do tematyki prezentowanych prelekcji.

O czym będziemy rozmawiać na NGSec 2016?

Podsumowując rok 2015 możemy z całą pewnością powiedzieć, że był bardzo pracowity. Cybeerprzestępcy dokonali wielu włamań , poczynając od wycieku danych z bazy  Ashley Madison, a kończąc na kontach polityków, np. konto AOL John Brennan dyrektora CIA. Kiedy jeden z największych producentów elektronicznych zabawek dla dzieci, firma VTech, padł ofiarą ataku, czego skutkiem był wyciek bazy danych zawierającej 10 milionów rekordów danych osobowych, z czego 6,4 mln dotyczyły dzieci (imiona, adresy, zdjęcia i historie konwersacji) możemy śmiało stwierdzić, że nie można liczyć na etykę przestępców nawet gdy ofiarami mogą być dzieci.

1Należy również wspomnieć o tym, jak realny wpływ na straty ze strony ofiar i zyski po stronie przestępców mają wykradane dane. Tu znakomitym przykładem może być wyciek danych z JP Morgan w 2014, który jak dotąd był największym wyciekiem danych klientów instytucji finansowej w historii (83 mln danych osobowych). Wstępnie w 2014 o ten czyn podejrzewano przestępców z Rosji posądzanych nawet o luźne powiązania z rządem Rosji. Jednak w 2015 okazało się, że głównym podejrzanym jest osoba zaangażowana w nielegalne manipulacje giełdowe. Posiadając, dzięki włamaniu, znakomitą bazę kontaktową m.in. osób grających na giełdzie, stosując już tylko najprostsze mechanizmy socjotechniczne i strategię giełdową „pump and dump” (pompuj i porzuć) nakłonił inwestorów do zakupu wskazanych aktywów w celu podniesienia ich wartości, podczas gdy sam podejrzany kupował je wcześniej po dużo niższych cenach, a gdy znacząco drożały sprzedawał je z zyskiem.

Wielu ekspertów z całego świata uważa, że rok 2016 nie będzie bardziej bezpieczny niż 2015, a wręcz przeciwnie. My, rok rocznie zastanawiając się nad tematyką, o której chcielibyśmy mówić podczas konferencji NGSec, chcemy uchwycić najważniejsze typy zagrożeń i problemy stojące przed nami w bieżącym roku.

W 2016 chcielibyśmy w szczególności zwrócić uwagę na:

Ochronę medycznych danych osobowych

Sektor opieki zdrowotnej staje się jednym głównych celów cyberprzestępców. W 2015 roku trzy z pięciu największychraport-security-it wycieków danych dotyczyły właśnie w opieki zdrowotnej. Jest to najnowsza i wyraźna zmiana w wyborze celów ataku, jaką możemy zauważyć w ostatnich latach. Branża usług medycznych musi być tego świadoma i gotowa na ewentualne zagrożenia.  Żaden inny rodzaj informacji umożliwiających identyfikację danej osoby (PII – Personally Identifiable Information), do której zaliczamy dane medyczne nie jest tak wrażliwy. Numer dowodu osobistego, paszportu, zdjęcia, adres zamieszkania, numery kart kredytowych itp. – te wszystkie dane w razie potrzeby możemy zmienić w sposób łatwy lub trudniejszy, ale zawsze. Osobiste informacje medyczne niestety są z nami przez całe życie i nie tracą swojej ważności z upływem czasu, a tym samym na czarnym ryku handlu informacjami stanowią one najcenniejszy towar. W polskiej rzeczywistości oznacza to około 70 lat okresu retencji danych, co dla większości zastosowań wymaga super silnego szyfrowania odpornego również na ataki nowej generacji.

Zdolność do wykrywania, blokowani i zarządzania incydentami staje się podstawowym procesem, na którym skupiają się działy bezpieczeństwa w sektorze medycznym, w szczególności w obszarach detekcji zagrożeń APT, właściwej komunikacji w przypadku incydentu, wdrażaniu środków zaradczych i własnej nauki na podstawie zarejestrowanych zdarzeń.

Ochronę infrastruktury krytycznej

infrastruktura-krytyczna-bezpieczenstwo-it

Ustalenie infrastruktury krytycznej kraju zawsze było rzeczą priorytetową w kwestiach bezpieczeństwa państwa. W ostatnich latach prace nad tymi ustaleniami zostały niestety zaniedbane, co może stanowić poważne zagrożenie. Paraliż działania państwa, jak pokazują doświadczenia ukraińskie, jest możliwy nawet z wykorzystaniem prostych strategii ataków komputerowych. Koszt takiego paraliżu jest olbrzymi, a odtworzenie infrastruktury jest procesem kosztownym i długotrwałym.

W ostatnich tygodniach wykryte zostały ataki na systemy informatyczne odpowiedzialne za zarządzanie siecią elektryczną w Izraelu, czy też udany  atak na system teleinformatyczny elektrowni atomowej na Ukrainie, na skutek którego ponad 700 000 gospodarstw domowych straciło dostęp do energii elektrycznej na kilka godzin. W przypadku ataków na infrastrukturę krytyczną również obserwujemy wyraźny wzrost aktywności cyberprzestępców i cyberterrorystów. Należy podkreślić, że ataki na tego typu cele nie tylko mają swoje skutki np. w formie wycieku informacji, ale również w destabilizacji ich działania, co finalnie może prowadzić do realnych fizycznych uszkodzeń infrastruktury, a w konsekwencji nawet do katastrofy. Nie ma ucieczki przed rozwojem informatyzacji i wszystkie systemy teleinformatyczne, wraz z systemami sterowania przemysłowego, w przypadku infrastruktury krytycznej nie są tutaj wyjątkami. Trzeba pamiętać, że wraz z rozwojem tych systemów nie można zapominać o zapewnianiu im właściwego poziomu bezpieczeństwa. Działania te powinny obejmować nie tylko inwestycje w stosowne rozwiązania sprzętowe i programowe, ale też w prawidłową i testowaną politykę bezpieczeństwa, okresowe testy systemów bezpieczeństwa i audyty, właściwe procedury reakcji na incydent oraz ludzi.

Ransomware i nowy malware

Złośliwe oprogramowanie pozostaje jednym z głównych narzędzi cyberprzestępców. Wykorzystują oni specjalnie7 zaprojektowane programy, aby uzyskać dostęp do urządzeń i sieci, skrycie wyprowadzić dane czy wykorzystać luki bezpieczeństwa w oprogramowaniu.

Złośliwe oprogramowanie typu Ransomware „dorosło” – wraz z nowymi metodami szyfrowania plików stało się tak skuteczne, że coraz więcej ofiar decyduje się na zapłatę okupu niż na inne sposoby odzyskania danych. Do tej pory ransomware głównie uderzał w użytkowników systemów Windows, jednak rok 2016 powinien przynieść zmianę – eksperci przewidują pojawienie się bardzo skutecznych wersji ransomware na inne platformy, w tym platformy mobilne, takie jaki iOS czy Android. Dotychczas czynnikiem opóźniających rozwój tego typu oprogramowania była prawdopodobnie wydajność obliczeniowa procesorów mobilnych. Z nową generacją mobilnych telefonów, takich jak na przykład Lumia 950, wydajność procesora nie stanowi już bariery.

Pojawiły się także nowe rodzaje szkodliwego oprogramowania, takie jak ghostware i two-faced maleware.

Ghostware jest jak Snapchat w świecie malware. Snapchat, popularna aplikacja społecznościowa, pozwalająca użytkownikom na wysyłanie zdjęć i filmów do znajomych, które po przeglądnięciu są automatycznie kasowane z pamięci i nie można obejrzeć ich ponownie. Koncepcja ghostware jest podobna: szkodnik wchodzi do systemu, kończy swoją misję (np. kradnie dane), a następnie znika bez śladu.

Ponieważ eksperci informatyki śledczej i organy ścigania stają się coraz bardziej biegłe w analizie i zabezpieczaniu pozostawianych śladów przestępstwa, cyberprzestępcy będą szukać sposobów, aby zatrzeć ślady, zanim systemy bezpieczeństwa wykryją naruszenie, a śledczy będą w stanie przeprowadzić dochodzenie.

Two-faced malware został opracowany w odpowiedzi na coraz częstsze stosowanie tzw. piaskownic (sandbox) do inspekcji ruchu i zapobieganiu przedostawania się zaawansowanych zagrożeń. Szkodnik ten jest specjalnie zaprojektowany, aby uniknąć wykrycia w sandboxie. Gdy zostaje on uruchomiony w piaskownicy zachowuje się w sposób nieszkodliwy, dopiero przechodząc przez tą „przeszkodę” przystępuje do zadań do jakich został zaprogramowany.

Socjotechnika

mailing-chrona-danych-osobowych Wszystkie najgłośniejsze w ostatnich czasie naruszenia bezpieczeństwa i wycieki danych mają jedną wspólną cechę – zaczęły się od rozpowszechnianego wśród użytkowników ukierunkowanego phishingu. Cyberprzestępcy celowali w ściśle określonych użytkowników stosując dostosowaną pod nich niestandardową taktykę tak, aby ich przekonać do przekazania swoich uprawnień.

Zdecydowanie zalecamy, aby każdego roku zapewnić sobie budżet na szkolenia typu Security Awareness dla swoich pracowników, które będą obejmowały najnowsze triki stosowane w socjotechnice.

Malware na platformach mobilnych

Strategia firmy Google o otwartości i szerokiej dostępności platformy Android przekłada się również na to, że z roku

mobile phone crime concept of thief stealing money when mobile phone is on insecure network

na rok przybywa coraz więcej ataków i zagrożeń skierowanych właśnie na użytkowników tej platformy niż np. na konkurencyjne systemy takie jak Apple iOS czy Microsoft Windows Phone. W ubiegłym roku przestępcom udało się jednak przemycić zainfekowane oprogramowanie wprost do oficjalnego sklepu z aplikacjami Apple, tym samym oprogramowanie to stało się w łatwy sposób dostępne dla użytkowników iPhone i iPad z całego świata. Jest wielce prawdopodobne, że ten właśnie wektor ataku, czyli próby umieszczenia zainfekowanego oprogramowania w oficjalnych sklepach Google Play czy App Store będzie mocno eksploatowany również w 2016. Zdecydowanie to platforma Apple iOS, z racji swojej popularności i faktu jej jak dotąd skromnej penetracji przez malware, będzie stanowiła główny cel i większe wyzwanie. Odbija się to na cenach „Zero Day Exploit”, która dla platformy iOS może osiągnąć 100 000 USD.

Malvertising, czyli złośliwe reklamy

3 Malvertising, czyli nazwa powstała z połączenia słów malware i advertising (reklama), określa atak, w którym przestępcy stosują swego rodzaju miny-pułapki przemycając na zaufaną stronę internetową złośliwy kod poprzez umieszczanie go w serwowanych reklamach. Wykrywanie malvertising przez systemy bezpieczeństwa jest coraz skuteczniejsze jednak przestępcy nie zamierzają na tym polu odpuścić i w 2016 ilość tego typu zagrożeń może zdecydowanie wzrosnąć – niektóre źródła podają, że nawet trzykrotnie. Szczególnie niebezpieczne może się okazać wykorzystanie protokołu HTTPS do przesyłania treści reklamowych. Stwarza to szczególne niebezpieczeństwo wszędzie tam, gdzie zaimplementowane systemy bezpieczeństwa nie potrafią monitorować ruchu HTTPS. Tym samym zalecamy stosowne aktualizacje lub instalacje odpowiednich rozwiązań.

“Porywanie” firmware – ataki na IoT

Jednym z możliwych działań, które podejmuje cyberprzestępca po przejęciu komputera jest pozostawienie na nim złośliwego oprogramowania, które pomoże mu w realizacji dalszego ataku.

internet-of-things Jednak w przypadku urządzeń IoT (Internet of Things) takie działanie jest prawie nie możliwe –  większość IoT nie posiada lokalnej przestrzeni dyskowej i jest mocno ograniczone pod kątem dostępnych zasobów, więc jedynym sposobem, aby przemycić wrogi kod jest modyfikacja firmware. W przeciągu 2016 należy się spodziewać pierwszych proof-of-concept ataków polegających na zewnętrznych zmianach dokonywanych w firmware i próbach przekonania użytkowników do jego aktualizacji. Biorąc pod uwagę jak wiele powstaje nowych rozwiązań typu IoT i jak szybko się upowszechniają to wszelkie formy ataków skierowanych na IoT przyciągają uwagę społeczności przestępczej. Producenci rozwiązań IoT będą musieli zwrócić uwagę na kwestie utwardzania i implementowania mechanizmów bezpieczeństwa w swoich produktach, choćby takich, które będą uniemożliwiały właśnie załadowanie zmodyfikowanego firmware. Obecnie bardzo niewiele z tych urządzeń jest zaprojektowanych i opracowanych zgodnie z zasadami cyberbezpieczeństwa.

Dalszy wzrost haktywizmu

ataki-hakerskie Chciwość i chęć zysku nie jest jedyną rzeczą, która motywuje cyberprzestępców. W 2015 roku grupa Anonymous z sukcesem nawoływała i skierowała swoje działania przeciwko m.in.  ISIS i Ku Klux Klan. Organizacje na całym świecie muszą pamiętać o tym, że strona finansowa nie jest jedynym ani też najważniejszym powodem, dla których mogą stać się celem ataku. Mamy do czynienia nie tylko z Anonymous, którzy walczą z ogólnie określonym „złem na świecie”, ale też z całą rzeszą innych przestępców, których motywacja nie jest już tak „szlachetna. Ludzie, którzy włamali się do Ashley Madison i VTech twierdzili, że zwyczajnie obnażają słabe praktyki bezpieczeństwa informacji stosowane w tych firmach.

Cyberwojna i instytucje rządowe

Rośnie poziom międzynarodowego zagrożenia cybernetycznego – ISIS, Korea Północna, Iran, Chiny, Rosja, Ukraina 4 czy USA to tylko wybrane kraje, które stają się teatrem międzynarodowych cyberataków, za którymi stoją motywy wojskowe i polityczne. Armie praktycznie wszystkich krajów świata zatrudniają coraz większą liczbę ekspertów ds. bezpieczeństwa IT czy wręcz tworzą dedykowane oddziały zajmujące się defensywną i aktywną walką w cyberprzestrzeni.

Nie mówimy tutaj tylko o zadaniach związanych z celami wojskowymi, ale o ochronie wszelkich jednostek rządowych czy administracji publicznej zarówno przed samymi atakami, jaki i reakcjach oraz pomocy przy usuwaniu skutków tego typu działań.

Z punktu widzenia instytucji prywatnych, publicznych i rządowych na pewno bardzo ważnym elementem jest wzajemna współpraca i wymiana informacji. Powstające w Polsce struktury dedykowane do przeciwdziałania wszelkim przestępstwom i naruszeniom w obrębie cyberprzestrzeni zachęcają do współpracy: zespoły CERT w tym Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL, Wydział do Walki z Cyberprzestępczością w Policji

„Ease-of-Use” w sieciach bezprzewodowych

5

Obecnie producenci często próbują wprowadzać „ulepszenia” poprawiające komfort obsługi systemów, niestety często zapominając o kwestiach bezpieczeństwa.

W sieciach bezprzewodowych standardu 802.11 segmentu SOHO, aby zapewnić właściwy poziom bezpieczeństwa należy zmienić domyślną nazwę sieci oraz zastosować hasło o długości około 20 znaków. Bezbłędne wprowadzenie takich danych uwierzytelniających stanowi już poważną barierę dla użytkowników. Wydaje się, że wszelka funkcjonalność, której celem było ułatwienie zwykłemu użytkownikom korzystanie z sieci bezprzewodowych, stanowi istotne „ulepszenie”, które zwiększy popularność stosowania sieci bezprzewodowych. Niestety okazuje się, że jedna z zaproponowanych metod Wi-Fi Protected Setup oparta o 8-mio cyfrowy PIN otwiera drogę do włamania. Jest to wynikiem wręcz dyletanckiej implementacji tego standardu. Wymaga to wprawdzie 2-5 godzinnego ataku, ale pozwala na atak z zewnątrz bez żadnej dodatkowej informacji. Poniższy link pokazuje jak wyłączyć to szczególne „ulepszenie”.

How to disable WPS

Podobnie protokół IKE, który powstał po to, aby zautomatyzować negocjacje parametrów połączenia IPSec, okazał się podobnym problemem. Stosowanie zbyt niskich grup Diffie-Hellman opartych o liczby pierwsze i rachunek modulo stanowi już dziś zagrożenie ze względu na realnie opracowane scenariusze ataku.

Podsumowując nie każde zastosowanie zasady KISS (ang. „Keep it Simple Stupid”) jest właściwe i prowadzi do celu, którym jest podniesienie bezpieczeństwa chronionych systemów.

Już niedługo zaprezentujemy Wam agendę wystąpień. Jeżeli i Ty masz coś ciekawego do powiedzenia i chciałbyś zaprezentować swoją prelekcję szerszemu gronu odbiorców napisz do nas!