Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst

1. Bezpečnostní IT hrozby 2012/2013Filip ChytrýMalwareAnalyst

2. Agenda • BYOD/Mobilní útoky • Embedded zařízení • Windows malware • Exploit • Sociální inženýrství • Cílené útoky • Ztráta dat

3. Lidová tvořivost • Antivirus je mrtvá technologie • Nejlepší AV je žádný AV • *nix/Mac je bezpečný • Brouzdání po bezpečném internetu • Elvis žije!

4. Mobilní svět • Mobilní boom pokračuje • 1.000.000.000 Android zařízení v roce 2013 • iOS, Windows Mobile • Nízké povědomí uživatelů • Výkon a technická složitost zařízení • Rizika připojení do internetu • Rizika využívání marketů • play.google.com není výjimkou http://goo.gl/oUaXX • Soukromí

5. Android Malware

6. Android Malware#2 • Zdrojem nejčastěji alternativní markety • Podvodné aplikace a prémiové SMS • Zneužívající populární aplikace • Nabídka (i)legálních Spyware aplikací • Očekávaný rozvoj exploit balíčků

7. Android Zitmo • Na PC známý model FakeAV • Aplikace vydávající se za antivirus, vyžadující platbu pro odstranění neexistující infekce • Android Security Suite Premium • Ve skutečnosti Spyware • Odesílající SMS na Zeus servery • Namířeno proti španělským uživatelům

8. Bring Your Own Device • Narušena integrita sítě a její bezpečnost • Zaměstnanci dostávají nebo si nosí vlastní • Téměř nemožná kontrola vlastních zařízení • Náhodné ztráty dat • Cílené útoky • Odposlechy v místnosti • Krádeže dat • Odcizení přístupových údajů • Avast Mobile Security

9. Embedded zařízení • Zařízení připojená do sítě, k internetu • Plnohodnotné počítače zneužitelné pro distribuci malware • Útoky proti tiskárnám • Modemy, směrovače, … • Zařízení využívající libupnp od Intelu • http://goo.gl/rIcGJ • Odhalení často velmi složité • Ochrana koncových uživatelů

10. Windows malware • Nejčastěji cílená platforma • Převládá finanční motivace • Výpočetní síla a její zneužití • Krádeže a prodej citlivých dat • Bankovní malware • Nárůst informačně motivovaných útoků • Cílené útoky proti organizacím • Státní špionáž

11. 1.9 Miliardy virových hlášení

12. Web – hlavní kanál šíření malware

13. Exploitpacks • Nárůst popularity exploit balíčků • Infikování jako služba • Útoky využívající vysoce prevalenční aplikace • Adobe Flash (91%) • Adobe Reader (75%) • Java (60%) • Prohlížeče (IE, Firefox, …) • Neexistuje prototyp bezpečného chování

14. Právě využívané exploity (web)

15. 0-day útoky • Exploit pro aktuální verzi produktu • Bez možnosti zabezpečit systém aktualizací • Řešení často jen přídavnými produkty • 2012 – raketový nástup • 2013 – pokračující trend • Autoři malware aktivně nakupují • CoolExploitKit& CVE-2013-0422 • 5.000$ • Milióny nechráněných zařízení

16. Ochrana před exploity • Rychlá aktualizační politika • V případě 0-day téměř nemožné • Jednorázové záplaty • Poskytnuté výrobcem software před jeho aktualizací • Ochrana koncových stanic • AVAST Antivirus • NSS LabsComparatives: http://goo.gl/POVT6 • Analýza logů • Příliš pozdě, k infiltraci již došlo

17. Jak vypadá skutečnost?

18. Alespoň jedna z cest? • Korporátní sféra bohužel není vyjímkou

19. Sociální inženýrství • Ani plně záplatovaný počítač není odolný obsluhuje-li jej člověk • Scareware • Vyvolání pocitu strachu, zahnání do kouta • Uvěří-li, postupuje podle pokynů útočníků • Falešné antivirové programy • Webová stránka zobrazující infekci, nabízí léčení • Uživatel sám instaluje malware v domnění, že dělá správnou věc

20. Sociální inženýrství #2 • Ransomware • Pokročilejší a stále oblíbenější forma zisku • Výkupnénebo ztráta cenných dat? • Data na napadeném stroji znehodnocena • Blokován internet (Policejní) • Uživatel často zaplatí • Doufá v navrácení dat • Strach z trestního stíhání

22. Cílené útoky • Na nevládní organizace, korporace, … • Wateringholeútok: http://goo.gl/CWq1H • Národní/politické zájmy • RedOctober reportovaný začátkem ledna • Spojení sociálního inženýrství a exploitů • Podvržené dokumenty • PDF • DOC, XLS, RTF (CVE-2010-3333, CVE-2012-0158) • Rostoucí trend i v roce 2013

23. Efektivní obrana? • V první řadě jsou nutná školení zaměstnanců • Prototypy vhodného chování • Řešení krizových situací • BYOD, nastavená pravidla • Vše souvisí se vším • Ochrana koncových stanic • Analýza logů • Post mortem

24. Následky infiltrace • Data v ohrožení • Finančního charakteru • Špionáž • Odcizení, znehodnocení • Přístupové údaje v rukou útočníků • Zneužití infrastruktury • Distribuce malware • Výpočetní síla

25. Následky infiltrace #2 • Zneužití značky, jména firmy • Cílené útoky na obchodní partnery • Zneužití ukradených dokumentů/kontaktů • Útoky na zaměstnance • Využívající firemní infrastrukturu k soukromým účelům • Infikování jejich zařízení • Útoky na zákazníky • Platební informace

26. Očekávání v roce 2013 • Nárůst mobilních zařízení • Nezvyšující se povědomí o nebezpečí • Nástup vzdálených útoků • Útoky proti embedded zařízení • Mnoho nových 0-day exploitů • Kupované autory malware • Nárůst cílených útoků • Nárůst útoků zaměřených na krádeže dat či na jejich znehodnocení

27. www.avast.com Q&A Questions & (maybe) Answers