Панов Никита

Panov.nikita@outlook.comhttp://facebook.com/nikita.panov

Инсайдерские атаки: нападение и защита

Forbes.com

…Trust, as they say, is a precious commodity – but too much trust can leave you vulnerable.

Tomer Teller, Security Evangelist and Researcher at Check Point Software

Статистика

* по версии Tomer Teller ** по данным Kaspersky Lab.*** Verizon DBR 2014

TOP-3 основных типов кибер-атак 2013*

– Социальная инженерия• Смещение в социальные сети• Закрытые группы в профессиональных сетях (LinkedIn, etc)

– APT• Рост ботнетов из мобильных устройств (60% «вредоносов»

содержат ботнет)**

• Упрощение управления ботнетами (Google Cloud Messaging)

– Атаки инсайдеров• VERIZON зарегистрировала рост инцидентов в 10 раз за

прошедший год***

Инсайдерские атаки

* Verizon DBR 2014** Check Point Software Security Report 2014

Почему так происходит?

– Корпоративные политики ИБ• Не определены• Определены неверно• Определены, но не выполняются

– Нет контроля за используемым ПО• Небезопасные интернет-браузеры (хранение учетных данных) • Стороннее ПО (Drive-By Download)

– Повышенные привелегии• 1 место среди механизмов проведения инсайдерских атак*

• В 38% компаний пользователи являются локальными админами**

Инсайдерские атаки

Prerequisites

– Пользователь с правами администратора

– Google Chrome• LoginData это не баг? Это фича?

– Нет необходимости в производительном «железе»• CPU 2,5 ГГц• RAM 2 Гб

– Всё необходимое доступно «из коробки»• Microsoft IIS + PHP на download.Microsoft.com• Фишинг-страница соцсети создаётся за считанные минуты

– USB-донгл может купить и запрограмировать даже школьник• $40 плюс доставка

Демонстрация типовой атаки

План демонстрации

– Программируем USB-донгл• Подменяем файл hosts на ПК «жертвы»• Находим и копируем файл LoginData

– Втираемся в доверие • На «флешке» можно хранить любые файлы

– Расшифровываем полученные данные• Утилита для расшифровки LoginData• Учетные данные к соцсетям

Способы защиты

Усиливаем оборону

– Использовать только стандартизованное ПО

– Разработать и внедрить политику ИБ на предприятии

– Пользователям не нужны права администраторов!

– Запретить не-корпоративные USB-устройства

Ссылки и контакты

– Программируемая USB-флешка• http://hakshop.myshopify.com/collections/usb-rubber-ducky

– Forbes. The Biggest Cybersecurity Threats of 2013• http://www.forbes.com/sites/ciocentral/2012/12/05/the-biggest-cybersecurity-threats-

of-2013-2/

– Verizon Data Breach Investigation Report 2014• http://www.verizonenterprise.com/DBIR/2014/

– Check Point Software Security Report 2014• http://www.checkpoint.com/documents/ebooks/security-report-2014/index.html

– Утилита для расшифровки LoginData• Малоземов Артём• http://habrahabr.ru/post/134982/

Спасибо за внимание!