Krótkie podsumowanie SCS2015

Beata Marek Bezpieczeństwo teleinformatyczne, Cyberzagrożenia i cyberprzestępczość, Sprawozdania, raporty, prezentacje, infografiki Leave a Comment

W dniu 15-16 września 2015r. odbyła się w Warszawie konferencja „Security Case Study“ zorganizowana przez Fundację Bezpieczna Cyberprzestrzeń. Cyberlaw miało przyjemność być jednym z patronów merytorycznych. Już niedługo będziesz mógł przeczytać raport pokonferencyjny gdzie ukaże się pełne sprawozdanie z konferencji i nie tylko, a tymczasem zapraszam Cię na krótkie podsumowanie na blogu.

SCS to świetne wydarzenie z dwóch powodów. Pierwszy to znakomita okazja do tego by się zobaczyć i poznać osoby o podobnych zainteresowaniach, a drugi posłuchać interesujących wykładów lub wziąć udział w warsztatach, których nie ma nigdzie indziej. To jest to. Już nie mogę się doczekać edycji za rok!.

A jakie wystąpienia najbardziej zapadły mi w pamięć?

1. Dr Melanie Rieback  (Radically Open Security) opowiedziała o inicjatywie Radically Open Security oraz urządzeniu NetAidKit. Przyznam, że bardzo mi się spodobało. Pozwala ono osbom niezwiązanym na codzień z bezpieczeństwem do zabezpieczenia komunikacji swoich urządzeń mobilnych. Dzieje się tak dzięki oparciu komunikacji na routerze VPN. Prelegentka zaprezentowała jak działa urządzenie oraz jakie są korzyści z jego stosowania szczególnie przez pracowników w sytuacji gdy korzystają z prywatnych urządzeń.  Warto o tym pomyśleć. Być może zainteresuje Ciebie także projekt Open-Source DDoS Analysis System (OSAS).

2. Michał Ostrowski i Tomasz Pietrzyk (FireEye) przedstawili stadium przypadku APT29 i Hammertoss. APT29 był podobny pod pewnymi względnami do APT28, który omawiałam na blogu przy okazji SCS2014.  Widać, że APT29 zrobił postęp pod kątem bardziej wyrafinowanego  spear phishing do infekowania urządzeń. Był on nieco sprytniejszy od ubiegłorocznych ataków. Jednocześnie Michał i Tomasz omówili ze szczegółami jak wyglądał mechanizm działania APT29.

3. Juan Stantesmases (Panda Security) skupił się na pokazaniu ewolucji złośliwego kodu oraz przedstawieniu innowacyjnego modelu ochrony przed szkodliwym oprogramowaniem. Wskazał, że dziennie powstaje ponad 200 000 nowych próbek złośliwego kodu. Omówił takie malware’y jak: W32.Kriz, Jerusalem, Melissa, Hapy 99, I love you, Blaster, Sasser.

4. Oğuz Yilmaz (Labris Networks) przybliżył uczestnikom konferencji jak wygląda maskowanie się zagrożeń typu APT (ang. Advanced Persistent Threat) z użyciem DDOS. Jako przykład wskazał m.in. “Dirt Jumper” (kampanię DDOS z 2013r.) gdzie prowadzone były ataki na organizacje. Blisko 55% zaatakowanych instytucji odnotowała incydenty związane z kradzieżą śródków finansowych oraz kradzieżą tożsamości. Warto było zobaczyć wybrane symulacje ataków w warunkach kontrolowanych, które były przeprowadzane w laboratorium Cyber Warfare Lab oraz efekty badań nad nimi.

5. Wojciech Dworakowski (OWASP Polska) omówił case study włamania do jednego z banków. Przedstawił listę dobrych praktyk by zbudować i utrzymać bezpieczną aplikację. Poniższa lista może się Tobie przydać:

 

Jak można uniknąć nieaktualnych komponentów?

 

Właściciel Aplikacji  

Dostawca aplikacji

 

·      Podczas rutynowych testów bezpieczeństwa pamiętaj o sprawdzeniu podatności w komponentach aplikacji (WHITE-BOX !)

 

·      Lista rekomendowanych frameworków / komponentów

 

 

·      Wymagaj od dostawców aktualizacji komponentów

 

·      Śledź informacje o błędach bezpieczeństwa / Samodzielnie monitoruj bezpieczeństwo użytych komponentów

 

OWASP Dependency Check

 

·      Weryfikuj defekty bezpieczeństwa w używanych frameworkach i bibliotekach przed oddaniem każdego „release”

 

·      Zintegruj sprawdzanie wersji z procesem wytwarzania

 

·      OWASP Dependency Check

 

·      Buduj świadomość swojego zespołu programistów w zakresie bezpieczeństwa. Zwróć szczególną uwagę na problem defektów bezpieczeństwa w komponentach.

 

 

Jak uniknąć błędów logicznych w aplikacji?

 

Właściciel Aplikacji  

Dostawca aplikacji

 

·      Zdefiniuj wymagania dotyczące bezpieczeństwa: funkcjonalne i niefunkcjonalne, wspólnie z dostawcą, przeprowadź modelowanie zagrożeń / Red teaming

 

·      Weryfikacja projektu (Czy wymagania zostały uwzględnione w projekcie? Doprecyzuj wymagania)

 

·      Testy bezpieczeństwa (na podstawie wymagań OWASP ASVS

Gray / white box )

 

·      Analiza przed wykonaniem testów (zarezerwuj czas na testy i wprowadzenie poprawek)

 

 

·      Zdefiniuj wymagania dotyczące bezpieczeństwa (funkcjonalne i niefunkcjonalne wspólnie z dostawcą, przeprowadź weryfikację projektu)

 

·      Dokonaj przeglądu kodu w oparciu o wymagania

 

6. Drugi dzień konferencji rozpoczął się od wystąpienia Tomasza Sordyla (Najwyższa Izba Kontroli), który przedstawił reakcję organów, które podlegały kontroli NIK na wyniki raportu przedstawionego na konferencji Security Case Study w biegłym roku (tutaj pisałam więcej). Jak się okazało reakcja była różna, ale w przeważającej większości odnotowano przyjęcie rapotu bez zastrzeżeń i rozpoczęto działania naprawcze z różnym skutkiem. Nawet Ministerstwo Administracji i Cyfryzacji, które zanegowało wyniki kontroli oraz złożyło jako jedyne zastrzeżenia do kontroli ostatecznie uznało, że podejmie działania zmierzające do realizacji zaleceń pokontrolnych. Pół roku później NIK wystąpił do kontrolowanych jednostek o o przedstawienie informacji jak wygląda realizacja zaleceń pokontrolnych. Zdaniem Tomasza Sordyla odpowiedzi, które zostały przekazane jednoznacznie wskazały, że stopień realizacji wniosków jest niski. Istotne zmiany nie zostały wprowadzone. Nie jest to dobra wiadomość.

Są też jednak plusy, które dostrzega NIK. Na pochwałę zasługują następujące inicjatywy:

  • ABW podjęło działania w kierunku rozbudowy potencjału w zakresie ocrhony cyberprzestrzeni, a także określiło w tym zakresie koszty i cele,
  • w Policji powołano wewnątrzny zespół CERT (jest perspektywa dalszej rozbudowy),
  • Prezes UKE podjął działania prewencyjne w zakresie informowania o zagrożeniach w sieci,
  • Są ustanawiani pełnomocnicy ds. bezpieczeństwa cyberprzestrzeni oraz powstają komórki i tworzą się kanały wymiany informacji.

7. Raphaël Vinot (The Computer Incident Response Center Luxembourg, CIRCL) omówił jak wyglądają ataki na dostawców usług chmurowych i ich zasoby. Jako istotne czynniki działające na korzyść przestępców podał ukrycie ruchu za dużym wolumenem klientów oraz korzystanie z rozwiązań za pomocą API, które niezawsze są prawidłowo wdrażane. Następnie został szczegółowo omówiony przypadek ataku na jednego z dostawców wraz z opisem mechanizmów, które zostały użyte do przeprowadzenia ataku.

8. Piotr Canowiecki (ExamineChina.com) przybliżył na co powinien zwrócić uwagę ekspert do spraw bezpieczeństwa na temat chińskich oszustw gospodarczych dokonywanych za pośrednictwem Internetu. Wskazał, że rynek e-commerce rozwija się bardzo dynamicznie w Chinach i jest atrakcyjny dla wielu firm stąd nie należy rezygnować z możliwości jakie oferuje, ale należy dokładnie weryfikować swoich kontrahentów. Przestępcy zdają sobie z tego sprawę i oszustwa, których się dopuszczają są bardzo starannie przygotowywane i przeprowadzane przy składaniu zamówień o wyższej wartości. Ofiarami padają zarówno importerzy jak i eksporterzy, którym proponowane jest zawarcie profesjonalnie przygotowanych umów. W razie czego Twoje wątpliwości powinny wzbudzić takie sytuacje jak np. brak chęci podpisania umowy, obowiązek jej podpisania osobiście po przyjeździe w Chinach czy konieczność zapłaty łapówki albo atrakcyjny towar w podejrzanie niskiej cenie (dotyczy zwłaszcza elektroniki).

Zdarza się, że przestępcy ponoszą pewne koszty początkowe by zainteresować potencjalną ofiarę i zmniejszyć jej czujność. Wyłudzenie zwykle następuje na miejscu, po przyjeździe do Chin. Jest to niewielka kwota względem całej transakcji, która ma być przeprowadzona (ok. 10 000 $) przez co przestępcy liczą na podjęcie nieprzemyślanej decyzji. W przypadku zamawiania towarów z Chin należy szczególnie uważać przy płatnościach z góry.

Zdaniem Piotra Canowieckiego ofiary często są znajdowane przez oszustów na portalach B2B, prowadzona jest dobra komunikacja, przedstawiana jest atrakcyjna i intratna oferta. Jednak tylko niewielka grupa osób faktycznie weryfikuje kontrahentów chińskich i sprawdza ich prawną rejestrację. A to jest błąd. Mało kto weryfikuje też swoich kontrahentów polskich. A w niektórych przypadkach byłoby to jednak zalecane. Projekt Arkadiusza Hajduka, który oceniał ostatnio na Cyberlaw jeden z ciekawych startupów może w tym pomóc.

Za zamówione towary można zapłacić z góry zaliczkę, ale tylko wtedy jeśli jest się pewnym kontrahenta, podpisało się z nim umowę a pieniądze przelewane są przelewem bankowym na konto firmowe w chińskim banku. Dla przykładu konta OSA i NRA często są wykorzystywane do oszustw, a transfery pieniężne PayPalem czy Bitcoinem są bardzo ryzykowne. Należy także dokładnie zwracać uwagę na moment dokonywania płatności. Nierzadko podawane uprzednio dane do przelewu różnią się od danych, na które faktycznie mają zostać przelane środki.

9. Adolfo Hernández (Eleven Path) zwrócił uwagę na problem rozprzestrzeniania się złośliwego oprogramowania w aplikacjach mobilnych. W samym tylko markecie Google jest zarejestrowanych ponad 400 000 developerów z czego pewną grupę stanowią przestępcy podszywający się za programistów chcących pochwalić się lub komercjalizować swój pomysł na aplikację. W tym przypadku istotnym problemem jest fakt, że użytkownicy mają zaufanie do marketów i jest to złudne poczucie bezpieczeństwa. W rzeczywistości aplikacje dodawane do platformy nie są weryfikowane i mogą być niebezpieczne. Te wykorzystywane przez przestępców są m.in. do tego by za ich pomocą kraść informacje, dodawać urządzenie do botnetu, dokonywać za jego pośrednictwem przestępstw, obsługiwać smsy premium czy zachęć do klikania w reklamy odsyłające do zainfekowanych stron.

Użytkownicy są bezbronni bez właściwego oprogramowania zabezpieczającego i świadomości jakie aplikacje są mniej lub bardziej klasyfikowane jako niebezpieczne z punktu widzenia bezpieczeństwa.

Oczywiście bardzo interesujące były także inne prelekcje, a także inicjatywa Polskiej Ochotniczej CyberObrony. Po więcej odsyłam do raportu pokonferencyjnego. Jak tylko będzie dostępny dam znać w social media. Możesz też obserwować kanał na FB Fundacji Bezpieczna Cyberprzestrzeń.

Autor grafiki promującej wpis: Gert van Duinen