bezpečnostní it hrozby 2012/2013 filip chytrý malware analyst
DESCRIPTION
Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst. Agenda. BYOD/Mobilní útoky Embedded zařízení Windows malware Exploit Sociální inženýrství Cílené útoky Ztráta dat. Lidová tvořivost. Antivirus je mrtvá technologie Nejlepší AV je žádný AV *nix /Mac je bezpečný - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/1.jpg)
Bezpečnostní IT hrozby
2012/2013
Filip ChytrýMalware Analyst
![Page 2: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/2.jpg)
• BYOD/Mobilní útoky• Embedded zařízení• Windows malware• Exploit• Sociální inženýrství• Cílené útoky• Ztráta dat
Agenda
![Page 3: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/3.jpg)
• Antivirus je mrtvá technologie• Nejlepší AV je žádný AV• *nix/Mac je bezpečný• Brouzdání po bezpečném internetu• Elvis žije!
Lidová tvořivost
![Page 4: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/4.jpg)
• Mobilní boom pokračuje– 1.000.000.000 Android zařízení v roce 2013– iOS, Windows Mobile
• Nízké povědomí uživatelů– Výkon a technická složitost zařízení– Rizika připojení do internetu– Rizika využívání marketů• play.google.com není výjimkou http://goo.gl/oUaXX
– Soukromí
Mobilní svět
![Page 5: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/5.jpg)
Android Malware
0
2000
4000
6000
8000
10000
12000
14000
0
20000
40000
60000
80000
100000
120000
140000
160000
Daily samplesPolynomial (Daily samples)Cumulative samplesPolynomial (Cumulative samples)
![Page 6: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/6.jpg)
• Zdrojem nejčastěji alternativní markety• Podvodné aplikace a prémiové SMS– Zneužívající populární aplikace
• Nabídka (i)legálních Spyware aplikací• Očekávaný rozvoj exploit balíčků
Android Malware #2
![Page 7: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/7.jpg)
• Na PC známý model FakeAV– Aplikace vydávající se za antivirus, vyžadující
platbu pro odstranění neexistující infekce• Android Security Suite Premium– Ve skutečnosti Spyware– Odesílající SMS na Zeus servery– Namířeno proti španělským uživatelům
Android Zitmo
![Page 8: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/8.jpg)
• Narušena integrita sítě a její bezpečnost– Zaměstnanci dostávají nebo si nosí vlastní– Téměř nemožná kontrola vlastních zařízení
• Náhodné ztráty dat• Cílené útoky– Odposlechy v místnosti– Krádeže dat– Odcizení přístupových údajů
• Avast Mobile Security
Bring Your Own Device
![Page 9: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/9.jpg)
• Zařízení připojená do sítě, k internetu– Plnohodnotné počítače zneužitelné pro distribuci
malware• Útoky proti tiskárnám• Modemy, směrovače, …• Zařízení využívající libupnp od Intelu– http://goo.gl/rIcGJ
• Odhalení často velmi složité• Ochrana koncových uživatelů
Embedded zařízení
![Page 10: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/10.jpg)
• Nejčastěji cílená platforma• Převládá finanční motivace• Výpočetní síla a její zneužití– Krádeže a prodej citlivých dat– Bankovní malware
• Nárůst informačně motivovaných útoků– Cílené útoky proti organizacím– Státní špionáž
Windows malware
![Page 11: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/11.jpg)
1.9 Miliardy virových hlášení
0.0
500000000.0
1000000000.0
1500000000.0
2000000000.0
2500000000.0
3000000000.0
1,447,066,229.081,257,155,494.941,275,559,989.211,328,287,377.451,299,178,303.911,239,866,472.35
1,107,541,505.33948,894,579.231,001,646,791.08
916,715,977.791,070,208,575.25
1,354,476,792.111,483,093,773.75
2,382,936,761.622,497,042,445.60
1,997,490,331.501,833,049,760.691,778,448,669.90
1,652,147,512.271,633,356,330.96
1,957,921,630.35
2,180,798,393.302,253,587,427.92
1,918,410,688.401,811,707,335.57
Zablokované útokyV miliardách / měsíc
![Page 12: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/12.jpg)
Web – hlavní kanál šíření malware
37%
63%
Lokální X síťové incidenty
Local incidents
Network incidents
Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec0.0
50,000.0
100,000.0
150,000.0
200,000.0
250,000.0
300,000.0
350,000.0
Infikované webové stránky
2011 2012 2013
![Page 13: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/13.jpg)
• Nárůst popularity exploit balíčků– Infikování jako služba
• Útoky využívající vysoce prevalenční aplikace– Adobe Flash (91%)– Adobe Reader (75%)– Java (60%)– Prohlížeče (IE, Firefox, …)
• Neexistuje prototyp bezpečného chování
Exploit packs
![Page 14: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/14.jpg)
Právě využívané exploity (web)
20042005
20062007
20082009
20102011
20122013
02468
10121416
Rok objevení chyb využívaných při aktuálních útocích z webu
OtherJavaAdobeIE
![Page 15: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/15.jpg)
• Exploit pro aktuální verzi produktu– Bez možnosti zabezpečit systém aktualizací– Řešení často jen přídavnými produkty
• 2012 – raketový nástup • 2013 – pokračující trend• Autoři malware aktivně nakupují– Cool Exploit Kit & CVE-2013-0422– 5.000$– Milióny nechráněných zařízení
0-day útoky
![Page 16: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/16.jpg)
• Rychlá aktualizační politika– V případě 0-day téměř nemožné– Jednorázové záplaty• Poskytnuté výrobcem software před jeho aktualizací
• Ochrana koncových stanic– AVAST Antivirus– NSS Labs Comparatives: http://goo.gl/POVT6
• Analýza logů– Příliš pozdě, k infiltraci již došlo
Ochrana před exploity
![Page 17: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/17.jpg)
Jak vypadá skutečnost?
Adobe Flash Oracle Java Adobe Reader
0%10%20%30%40%50%60%70%80%90%
100%
Bez aplikaceAktuální verzeŠpatná verze
![Page 18: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/18.jpg)
Alespoň jedna z cest?
• Korporátní sféra bohužel není vyjímkou
35%
22%
14%
7%
15%
6%
Score = b_Java*3 + b_Flash*2 + b_Reader*2
![Page 19: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/19.jpg)
• Ani plně záplatovaný počítač není odolný obsluhuje-li jej člověk
• Scareware– Vyvolání pocitu strachu, zahnání do kouta– Uvěří-li, postupuje podle pokynů útočníků
• Falešné antivirové programy– Webová stránka zobrazující infekci, nabízí léčení– Uživatel sám instaluje malware v domnění, že
dělá správnou věc
Sociální inženýrství
![Page 20: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/20.jpg)
• Ransomware – Pokročilejší a stále oblíbenější forma zisku
• Výkupné nebo ztráta cenných dat?– Data na napadeném stroji znehodnocena– Blokován internet (Policejní)
• Uživatel často zaplatí– Doufá v navrácení dat– Strach z trestního stíhání
Sociální inženýrství #2
![Page 21: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/21.jpg)
![Page 22: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/22.jpg)
• Na nevládní organizace, korporace, …– Wateringhole útok: http://goo.gl/CWq1H
• Národní/politické zájmy– Red October reportovaný začátkem ledna
• Spojení sociálního inženýrství a exploitů– Podvržené dokumenty– PDF – DOC, XLS, RTF (CVE-2010-3333, CVE-2012-0158)
• Rostoucí trend i v roce 2013
Cílené útoky
![Page 23: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/23.jpg)
• V první řadě jsou nutná školení zaměstnanců– Prototypy vhodného chování– Řešení krizových situací
• BYOD, nastavená pravidla– Vše souvisí se vším
• Ochrana koncových stanic• Analýza logů– Post mortem
Efektivní obrana?
![Page 24: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/24.jpg)
• Data v ohrožení– Finančního charakteru– Špionáž – Odcizení, znehodnocení
• Přístupové údaje v rukou útočníků• Zneužití infrastruktury– Distribuce malware– Výpočetní síla
Následky infiltrace
![Page 25: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/25.jpg)
• Zneužití značky, jména firmy• Cílené útoky na obchodní partnery– Zneužití ukradených dokumentů/kontaktů
• Útoky na zaměstnance– Využívající firemní infrastrukturu k soukromým
účelům– Infikování jejich zařízení
• Útoky na zákazníky– Platební informace
Následky infiltrace #2
![Page 26: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/26.jpg)
• Nárůst mobilních zařízení– Nezvyšující se povědomí o nebezpečí– Nástup vzdálených útoků
• Útoky proti embedded zařízení• Mnoho nových 0-day exploitů– Kupované autory malware
• Nárůst cílených útoků• Nárůst útoků zaměřených na krádeže dat či
na jejich znehodnocení
Očekávání v roce 2013
![Page 27: Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst](https://reader035.vdocuments.net/reader035/viewer/2022062323/56815b2f550346895dc8f8d0/html5/thumbnails/27.jpg)
Q&AQuestions & (maybe) Answers
www.avast.com