Professional Documents
Culture Documents
Pretnje I Odbrana - 05
Pretnje I Odbrana - 05
Pretnje I Odbrana - 05
APEIRON
Disabling
Audits
Self Replicating
Code
Password Technical
Cracking
Knowledge
Password
Required
Guessing
“automatski” Phishing
DNS Cache Poisoning
DNS Server Hacks
“realne” adrese se redirektuju na pogrešne
adrese
Denial of Service napad
Denial-of-Service (DoS) napad sprečava normalno korišćenje
računara ili računarske mreže od strane validnih korisnika.
Napadač može realizovati neku od sledećih aktivnosti:
Da šalje nevalidne podatke aplikacijama ili mrežnim
servisima, prouzrokujući na taj način da se prekine rad
aplikacija ili servisa ili da isti ne rade na uobičajen način;
Da šalje veliku gomilu saobraćaja sve dok se ne prekine
rad računara ili čitava mreže;
Da blokira saobraćaj što rezultuje u nemogućnosti pristupa
mrežnim resursima od strane autorizovanih korisnika;
Da prevari zaposlene informacionog sistema tako da oni
nisu u mogućnosti da odmah detektuju napad. Na taj
način, napadač ima mogućnost da kreira dodatne napade.
DDoS napadi aplikativnog nivoa
• 2014
• Hearbleed
• Shellshock
• POODLE
• 2015
• Ghost
• Freak
Heartbleed
• HeartBleed greška je ozbiljna slabost popularne OpenSSL
kriptografske softverske biblioteke.
• Navedena slabost omogućava krađu informacija koje su pod
normalnim uslovima zaštićene SSL/TLS protokolom za
zaštitu Internet komunikacija.
• SSL/TLS protokol omogućava bezbednost i privatnost
komunikacija putem Interneta za aplikacije kao što su Web,
email, instant messaging, kao i određene virtuelne private
mreže (VPN).
• HeartBleed greška omogućava bilo kome na Internetu da
čita memoriju sistema zaštićenih ranjivim verzijama
OpenSSL softvera.
• Na ovaj način se mogu kompromitovati tajni ključevi
korišćeni za identifikaciju servis provajdera (asimetrični
privatni ključ) i za šifrovanje saobraćaja (simetrični tajni
ključ), imena i lozinke korisnika, kao i aktuelni sadržaj.
Heartbleed
• Ova greška omogućava napadačima da prisluškuju komunikacije, kradu
podatke direktno od servisa i korisnika, kao i da lažiraju identitete
servisa i korisnika.
• Testovi pokazuju da napadači mogu, bez korišćenja bilo kojih
privilegovanih informacija ili kredencijala, da ukradu asimetrični privatni
ključ servera, simetrične sesijske tajne ključeve, korisnička imena i
lozinke, instant poruke, email poruke i poslovno kritične dokumente i
komunikaciju.
• Sve dok se koristi ranjiva verzija OpenSSL biblioteke, moguće ju je
zloupotrebiti.
• U cilju eliminisanja navedenog bug-a kreirana je zakrpa koja se mora
primeniti.
• Proizvođači i distributeri operativnih sistema, proizvođači appliance
uređaja i nezavisni softverski proizvođači moraju da usvoje ovu zakrpu i
da obaveste svoje korisnike.
• Servis provajderi i korisnici moraju da instaliraju ovu zakrpu kada
postane raspoloživa za operativne sisteme, mrežne appliance uređaje i
softver koji oni koriste.
Shellshock
• Shellshock , takođe poznat kao Bashdoor, predstavlja familiju bezbednosnih
greški (bug-ova) u široko korišćenom Unix Bash shell alatu. Prva takva
greška je otkrivena 24.09.2014. godine.
• Mnogi servisi dostupni sa Interneta, kao što su neke Web serverske
aplikacije, koriste Bash da procesiraju izvesne zahteve, omogućavajući
napadaču da iskoriste ranjive verzije Bash alata u cilju izvršenja proizvoljnih
komandi.
• Navedena ranjivost može omogućiti napadaču da dobije neovlašćeni pristup
računarskom sistemu. Prva greška prouzrokuje da Bash nenamerno izvršava
komande kada su komande dodate na kraj definicija funkcija koje se čuvaju
u vrednostima promenljivih okruženja.
• Napadači iskorišćuju Shellshock u periodu od nekoliko sati od inicijalnog
otkrivanja za kreiranje bot mreže kompromitovanih računara u cilju izvršenja
DDoS napada i skeniranja ranjivosti.
• Bezbednosne kompanije su zabeležile milione napada i pokušaja npada koji
se odnose na datu grešku u danima od otkrivanja istog.
• Potencijalno, Shellshock može kompromitovati milione nepečovanih servera i
drugih sistema. Stoga, upoređen je sa Heatbleed greškom po svojoj
ozbiljnosti. referenca
POODLE
• POODLE ("Padding Oracle On Downgraded Legacy Encryption")
ranjivost je nova ranjivost SSL 3.0 protokola koja omogućava “man-in-
the-middle” napad, kao što je maliciozni Wi-Fi access point ili
kompromitovan Internet provajder, u cilju ekstrakcije osetljivih
podataka iz “bezbednih” HTTPS konekcija.
• Napad se zasniva na činjenici da većina web servera i web pretraživača
omogućavaju i dalje korišćenje starog SSL v3.0 protokola u cilju zaštite
komunikacije. Iako je SSL zamenjen sa TLS protokolom, i dalje se to
zahteva u cilju kompatibilnosti sa IE6.
• SSLv3.0, za razliku od TLSv1.0 ili novijeg, ne sprovodi validaciju
određenih delova podataka koji prate svaku poruku. Napadači mogu
da iskoriste tu slabost u cilju dešifrovanja individualnog bajta u jednom
trenutku, tako da se može ekstrahovati otvoreni tekst poruke
dešifrovanjem bajt po bajt.
• TLSv1.0 i novije verzije sprovode robusniju validaciju dešifrovanih
podataka i kao takve nisu osetljive na isti problem. Ali za SSLv3.0
verziju nema rešenja problema.
• Konačno rešenje je da se disable-uje SSLv3.0 kako na serverskoj strani
tako i u klijentskim pretraživačima.
Ghost ranjivost
• Jedna visoko kritična ranjivost je pronađena u GNU C (glibc)
biblioteci, jednoj široko korišćenoj komponenti većine Linux
distribucija, koja bi mogla da omogući napadačima da izvrše
maliciozni kod na serverima i zadobiju udaljenu kontrolu nad
Linux mašinama.
• Ova ranjivost, nazvana “GHOST” (“DUH”) je uočena i
otkrivena od strane istraživača bezbednosti iz firme Qualys.
GHOST ranjivost se smatra kritičnom zato što hakeri mogu da
iskoriste istu da tiho zadobiju kompletnu kontrolu nad
ciljanim Linux sistemom bez potrebe za prethodnim znanjem
sistemskih kredencijala (tj. administrativnih lozinki).
• Ova mana predstavlja ogromnu Internet pretnju, na određeni
način sličnu prethodnim ranjivostima kao što su Heartbleed,
Shellshock i Poodle.
FREAK
FREAK ("Factoring RSA Export Keys") napad predstavlja iskorišćenje kriptografske
slabosti u SSL/TLS protokolu koja je uvedena mnogo ranije u cilju saglasnosti sa
kriptografskim izvoznim regulativana SAD.
Ove regulative su uključivale ograničenja u izvozu softvera samo na isti koji koristi
kratke asimetrične ključeve, tj. RSA modulus od 512 bita ili manje (takozvani RSA
izvozni ključevi), sa namerom da je moguće iste lako probiti od strane NSA, ali ne i
od strane drugih organizacija sa manjim računarskim resursima.
Međutim, u ranim 2010-tim godinama, povećanje računarske snage je značilo da
RSA algoritam sa navedenim kratkim ključevima može biti probijen od strane bilo
koga sa posedovanjem relativno skromnih računarskih resursa i korišćenjem dobro
poznatog Number Field Sieve algoritma, i uz to koristeći cloud računarske servise za
ne više od 100 dolara.
Kombinovanje mogućnosti man-in-the-middle napada u cilju manipulisanja inicijalnim
dogovaranjem u vezi kriptografskih algoritama koji će se koristiti za sesiju (cipher
suite) između krajnjih tačaka u konekciji i činjenice da krajnja heš vrednost zavisi
samo od master tajnog ključa, znači da man-in-the-middle, samo sa skromnim
računarskim resursima, može probiti bezbednost bilo kog Web sajta koji omogućava
korišćenje RSA ključeva od 512 bita.
Iako je slabost otkrivena u 2015, osnovne ranjivosti RSA algoritma sa kratkim
ključevima postoje već mnogo godina, još iz doba 90-tih godina prošlog veka.
Ciljanje krajnjih korisnika
• Za sajber kriminalce, korporativni korisnički kredencijali
predstavljaju put najmanje odbrane kada oni pokušavaju da
zadobiju pristup korporativnim mrežama i podacima.
• Tako da nije iznenađenje da je krađa kredencijala zaposlenih
(username/password) postao primarni fokus za napadače.
• U stvari, istraživanja postojećih proboja otkrivaju da gubitak ili
krađa korporativnih kredencija igra značajnu ulogu u
omogućavanju uspeha naprednih pretnji, sa procenom od
76% mrežnih proboja usled gubitka ili krađe kredencijala.
• To uključuje kako autentikacione kredencijale, kao što su
username/password, tako i lične identifikacione informacije
(imena, adrese, telefonski brojevi, brojevi osiguranja, itd.) koji
se često koriste u bezbednosnim challenge-response
upitnicima.
Danas najčešći napadi na
korisničke kredencijale
• Danas, sajber kriminalci najčešće kradu korisničke
kredencijale (username/password) na jedan od
sledećih načina:
• Malver (maliciozni kod)
• Phishing i Spear phishing
• Proboji trećih strana (Third Party breaches)
Malware
• Napadači koriste različite tehnike da kompromituju korisničke
mašine sa malverom – od drive-by downloads preko
watering hole napada pa do infected USB drives i drugih.
• Key-logging obeležja koja snimaju korisničko tipkanje po
tastaturi za vreme logovanja i slanje informacija napadaču se
nalaze u skoro svim današnjim familijama malicioznog koda.
• Dok postoji shvatanje da su ovi napadi usmereni ka najširoj
mreži, realnost je da su oni često deo APT pretnji koje ciljaju
specifične kompanije ili industrije.
• Istraživanja skorašnjih krađa kredencijala su razotkrila da u
svakom slučaju – bez obzira da li je korisnik poslao
„naoružan“ prilog sa odgovarajućim exploit-om ili je posetio
kompromitovan sajt – taj događaj je bio deo jednog
planiranog i usmerenog napada na organizaciju.
Drive-by downloads
• Drive-by download označava dve stvari, a svaka se tiče
neželjenog download-a računarskog softvera sa Interneta:
• Download-ovanje za koje je lice ovlašćeno ali ne razume posledice
(na primer: download-ovanje koje instalira npoznat ili falsifikovan
izvršni program, ActiveX komponentu ili JAVA aplet).
• Bilo koje download-ovanje koje se dešava bez znanja lica, često u
obliku računarskog virusa, spyware, malware ili crimeware
• Drive-by downloads se može desiti kada se posećuje
određeni web sajt, kada se pregleda email poruka ili kada se
klikne na prevarni pop-up prozor;
• Drive-by install (ili installation) je sličan događaj. Odnosi
se na instalaciju pre nego na download (iako se ponekad ta
dva termina koriste naizmenično).
Watering hole napad
• Watering Hole predstavlja strategiju računarskog napada
koja je identifikovana 2012. od strane RSA Security, i u kome
je žrtva jedna posebna grupa (organizacija, industrija, ili
region).
• U ovom napadu, napadač pogađa ili ispituje koje web sajtove
grupa često koristi i inficira jedan ili više njih sa malverom.
• Eventualno, neki član ciljane grupe će se i zaraziti.
• Oslanjajući se na web sajtove kojima grupa veruje čini ovu
strategiju efikasnom, čak i kada su grupe otporne na spear
phishing i druge forme phishing-a.
Infected USB drive
• Kreatori virusa i malvera su veom kreativni.
• Popularnost USB memorija daje autorima takvih softvera
jednu divnu novu mogućnost.
• USB memorije mogu biti zaražene jednostavnim
insertovanjem iste u zaraženu radnu stanicu.
• Koristeći Windows obeležje poznatu kao Autorun inficirani
USB će preneti malver na bilo koju mašinu na koju se
priključi.
• Najpoznatiji primer ovog tipa napasti je malver poznat kao
Conficker ali postoji i puno drugih.
Phishing
• Phishing predstavlja pokušaj da se dođe do osetljivih
informacija kao što su korisnička imena, lozinke i detalji
kreditnih kartica (a ponekad indirektno i novac), često iz
malicioznih razloga, putem maskiranja u poverljive entitete u
elektronskoj komunikaciji.
• Phishing email poruke mogu sadržati linkove ka web sajtovima
koji su zaraženi sa malverom.
• Phishing se tipično sprovodi putem email prevara ili obmana u
instant messaging sistemima, a često usmerava korisnike da
unesu detalje na lažnim web sajtovima koji liče skoro identično
na legitimne sajtove.
• Phishing je jedan primer tehnika socijalnog inženjeringa koji se
koristi da se prevare korisnici, i iskoristi (ekploatiše)
osiromašena korisnost postojećih web bezbednosnih
tehnologija.
Spear Phishing
XYZ
ISPLATI XYZ
100 din.
XYZ ABC
ISPLATI XYZ
1000 ДИН.
ABC 1000
XYZ
Internet
Extranet
Intranet