Bezpečnostní IT hrozby

2012/2013

Filip ChytrýMalware Analyst

• BYOD/Mobilní útoky• Embedded zařízení• Windows malware• Exploit• Sociální inženýrství• Cílené útoky• Ztráta dat

Agenda

• Antivirus je mrtvá technologie• Nejlepší AV je žádný AV• *nix/Mac je bezpečný• Brouzdání po bezpečném internetu• Elvis žije!

Lidová tvořivost

• Mobilní boom pokračuje– 1.000.000.000 Android zařízení v roce 2013– iOS, Windows Mobile

• Nízké povědomí uživatelů– Výkon a technická složitost zařízení– Rizika připojení do internetu– Rizika využívání marketů• play.google.com není výjimkou http://goo.gl/oUaXX

– Soukromí

Mobilní svět

Android Malware

0

2000

4000

6000

8000

10000

12000

14000

0

20000

40000

60000

80000

100000

120000

140000

160000

Daily samplesPolynomial (Daily samples)Cumulative samplesPolynomial (Cumulative samples)

• Zdrojem nejčastěji alternativní markety• Podvodné aplikace a prémiové SMS– Zneužívající populární aplikace

• Nabídka (i)legálních Spyware aplikací• Očekávaný rozvoj exploit balíčků

Android Malware #2

• Na PC známý model FakeAV– Aplikace vydávající se za antivirus, vyžadující

platbu pro odstranění neexistující infekce• Android Security Suite Premium– Ve skutečnosti Spyware– Odesílající SMS na Zeus servery– Namířeno proti španělským uživatelům

Android Zitmo

• Narušena integrita sítě a její bezpečnost– Zaměstnanci dostávají nebo si nosí vlastní– Téměř nemožná kontrola vlastních zařízení

• Náhodné ztráty dat• Cílené útoky– Odposlechy v místnosti– Krádeže dat– Odcizení přístupových údajů

• Avast Mobile Security

Bring Your Own Device

• Zařízení připojená do sítě, k internetu– Plnohodnotné počítače zneužitelné pro distribuci

malware• Útoky proti tiskárnám• Modemy, směrovače, …• Zařízení využívající libupnp od Intelu– http://goo.gl/rIcGJ

• Odhalení často velmi složité• Ochrana koncových uživatelů

Embedded zařízení

• Nejčastěji cílená platforma• Převládá finanční motivace• Výpočetní síla a její zneužití– Krádeže a prodej citlivých dat– Bankovní malware

• Nárůst informačně motivovaných útoků– Cílené útoky proti organizacím– Státní špionáž

Windows malware

1.9 Miliardy virových hlášení

0.0

500000000.0

1000000000.0

1500000000.0

2000000000.0

2500000000.0

3000000000.0

1,447,066,229.081,257,155,494.941,275,559,989.211,328,287,377.451,299,178,303.911,239,866,472.35

1,107,541,505.33948,894,579.231,001,646,791.08

916,715,977.791,070,208,575.25

1,354,476,792.111,483,093,773.75

2,382,936,761.622,497,042,445.60

1,997,490,331.501,833,049,760.691,778,448,669.90

1,652,147,512.271,633,356,330.96

1,957,921,630.35

2,180,798,393.302,253,587,427.92

1,918,410,688.401,811,707,335.57

Zablokované útokyV miliardách / měsíc

Web – hlavní kanál šíření malware

37%

63%

Lokální X síťové incidenty

Local incidents

Network incidents

Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec0.0

50,000.0

100,000.0

150,000.0

200,000.0

250,000.0

300,000.0

350,000.0

Infikované webové stránky

2011 2012 2013

• Nárůst popularity exploit balíčků– Infikování jako služba

• Útoky využívající vysoce prevalenční aplikace– Adobe Flash (91%)– Adobe Reader (75%)– Java (60%)– Prohlížeče (IE, Firefox, …)

• Neexistuje prototyp bezpečného chování

Exploit packs

Právě využívané exploity (web)

20042005

20062007

20082009

20102011

20122013

02468

10121416

Rok objevení chyb využívaných při aktuálních útocích z webu

OtherJavaAdobeIE

• Exploit pro aktuální verzi produktu– Bez možnosti zabezpečit systém aktualizací– Řešení často jen přídavnými produkty

• 2012 – raketový nástup • 2013 – pokračující trend• Autoři malware aktivně nakupují– Cool Exploit Kit & CVE-2013-0422– 5.000$– Milióny nechráněných zařízení

0-day útoky

• Rychlá aktualizační politika– V případě 0-day téměř nemožné– Jednorázové záplaty• Poskytnuté výrobcem software před jeho aktualizací

• Ochrana koncových stanic– AVAST Antivirus– NSS Labs Comparatives: http://goo.gl/POVT6

• Analýza logů– Příliš pozdě, k infiltraci již došlo

Ochrana před exploity

Jak vypadá skutečnost?

Adobe Flash Oracle Java Adobe Reader

0%10%20%30%40%50%60%70%80%90%

100%

Bez aplikaceAktuální verzeŠpatná verze

Alespoň jedna z cest?

• Korporátní sféra bohužel není vyjímkou

35%

22%

14%

7%

15%

6%

Score = b_Java*3 + b_Flash*2 + b_Reader*2

• Ani plně záplatovaný počítač není odolný obsluhuje-li jej člověk

• Scareware– Vyvolání pocitu strachu, zahnání do kouta– Uvěří-li, postupuje podle pokynů útočníků

• Falešné antivirové programy– Webová stránka zobrazující infekci, nabízí léčení– Uživatel sám instaluje malware v domnění, že

dělá správnou věc

Sociální inženýrství

• Ransomware – Pokročilejší a stále oblíbenější forma zisku

• Výkupné nebo ztráta cenných dat?– Data na napadeném stroji znehodnocena– Blokován internet (Policejní)

• Uživatel často zaplatí– Doufá v navrácení dat– Strach z trestního stíhání

Sociální inženýrství #2

• Na nevládní organizace, korporace, …– Wateringhole útok: http://goo.gl/CWq1H

• Národní/politické zájmy– Red October reportovaný začátkem ledna

• Spojení sociálního inženýrství a exploitů– Podvržené dokumenty– PDF – DOC, XLS, RTF (CVE-2010-3333, CVE-2012-0158)

• Rostoucí trend i v roce 2013

Cílené útoky

• V první řadě jsou nutná školení zaměstnanců– Prototypy vhodného chování– Řešení krizových situací

• BYOD, nastavená pravidla– Vše souvisí se vším

• Ochrana koncových stanic• Analýza logů– Post mortem

Efektivní obrana?

• Data v ohrožení– Finančního charakteru– Špionáž – Odcizení, znehodnocení

• Přístupové údaje v rukou útočníků• Zneužití infrastruktury– Distribuce malware– Výpočetní síla

Následky infiltrace

• Zneužití značky, jména firmy• Cílené útoky na obchodní partnery– Zneužití ukradených dokumentů/kontaktů

• Útoky na zaměstnance– Využívající firemní infrastrukturu k soukromým

účelům– Infikování jejich zařízení

• Útoky na zákazníky– Platební informace

Následky infiltrace #2

• Nárůst mobilních zařízení– Nezvyšující se povědomí o nebezpečí– Nástup vzdálených útoků

• Útoky proti embedded zařízení• Mnoho nových 0-day exploitů– Kupované autory malware

• Nárůst cílených útoků• Nárůst útoků zaměřených na krádeže dat či

na jejich znehodnocení

Očekávání v roce 2013

Q&AQuestions & (maybe) Answers

www.avast.com