Kako jim uspeva in kako se braniti Miha
Kako jim uspeva in kako se braniti Miha Pihler, MCSA, MCSE, MCT, CISSP Microsoft MVP – Windows Security Konferenca - FORUM Vaš INFOSEK partner za 2008 varovanje informacij
Miha Pihler MCSA, MCSE, MCT, CISSP Microsoft MVP – Windows Security Slo. WUG Community Lead ► www. slowug. org Konferenca INFOSEK 2008 - FORUM
Agenda ► Varovanje v globino ► Fizični nivo varnosti ► Zunanje omrežje ► Notranje omrežje ► Računalniki ► Aplikacije ► Podatki ► Zaključek Konferenca INFOSEK 2008 - FORUM
Varovanje v globino ► Varovanje v globini (angl. Defense in depth) ► NSA ► http: //en. wikipedia. org/wiki/Defense_in_depth_(c omputing) ► V primeru ko kateri drugi nivo odpove podatke še zmeraj varuje naslednji nivo ► Prenosniki in šifriranje podatkov Konferenca INFOSEK 2008 - FORUM
Agenda ► Varovanje v globino ► Fizični nivo varnosti ► Zunanje omrežje ► Notranje omrežje ► Računalniki ► Aplikacije ► Podatki ► Zaključek Konferenca INFOSEK 2008 - FORUM
Fizični nivo varnosti ► Napadi na oddaljene lokacije ► Varovanje oddaljenih lokacij? ► Osveščenost ljudi na oddaljenih lokacijah? ► Pogosto polni dostop do centralne lokacije ► Socialni inženiring ► Omrežje je varno… Konferenca INFOSEK 2008 - FORUM
Fizični nivo varnosti ► Kako se braniti? ► Ne pozabite na varnostne ukrepe! ► Filtriranje prometa Konferenca INFOSEK 2008 - FORUM
Agenda ► Varovanje v globino ► Fizični nivo varnosti ► Zunanje omrežje ► Notranje omrežje ► Računalniki ► Aplikacije ► Podatki ► Zaključek Konferenca INFOSEK 2008 - FORUM
Zunanje omrežje ► Zunanje omrežje (angl. Perimeter network) ► (DMZ, SSN, …) ► Požarni zidovi ► Tudi požarni zidovi ne vidijo vsega zla (npr. SSL/TLS, VPN, SSH, …) ► Vedno več napadov se seli na aplikacijski nivo Konferenca INFOSEK 2008 - FORUM
Zunanje omrežje ► Izhodni promet iz DMZ? ► Ali je res potreben? ► Kako se braniti? ► Omejen dostop do interneta iz DMZ (kar je res nujno potrebno) ► Zaključevanje SSL, VPN in drugih šifriranih povezav ter preverjanje prometa (IDS, IPS) Konferenca INFOSEK 2008 - FORUM
Agenda ► Varovanje v globino ► Fizični nivo varnosti ► Zunanje omrežje ► Notranje omrežje ► Računalniki ► Aplikacije ► Podatki ► Zaključek Konferenca INFOSEK 2008 - FORUM
Notranje omrežje ► IDS in IPS naprave ► Šifriran promet (SSL/TLS, VPN, SSH, …) ► NAP (Network Access Protection) ► Izhodni promet? ► SMTP? ► P 2 P? ► IRC? Konferenca INFOSEK 2008 - FORUM
Notranje omrežje ► Kako se braniti? ► Politika dostopa oddaljenih lokacij do centralne ► ► lokacije Izhodni SMTP promet naj gre preko centralnega SMTP strežnika Zapiranje P 2 P prometa! Zapiranje drugega prometa (IRC, IM, …) Prehodni strežniki (Proxy) § § AV skeniranje Avtentikacija uporabnikov Konferenca INFOSEK 2008 - FORUM
Agenda ► Varovanje v globino ► Fizični nivo varnosti ► Zunanje omrežje ► Notranje omrežje ► Računalniki ► Aplikacije ► Podatki ► Zaključek Konferenca INFOSEK 2008 - FORUM
Računalniki ► Zapuščanje (varnega dela) omrežja ► Kraja prenosnikov s podatki (šifriranje) ► Osebni požarni zidovi ► http: //www. krneki. net/rootkits/ ► USB ključki? ► Poganjanje programov ► Dovoljenja? Konferenca INFOSEK 2008 - FORUM
Računalniki ► Kreiranje lastne zlonamerne kode ► Orodja: ► Senna One Exe Maker ► Mole. Box* ► UPX ► … ► Dovoljenja na računalnikih Konferenca INFOSEK 2008 - FORUM
Agenda ► Varovanje v globino ► Fizični nivo varnosti ► Zunanje omrežje ► Notranje omrežje ► Računalniki ► Aplikacije ► Podatki ► Zaključek Konferenca INFOSEK 2008 - FORUM
Aplikacije ► Spletne aplikacije ► XSS, ► SQL, XML, … “injections” ► Večina današnjih napadov izvira iz napadov na aplikacije Konferenca INFOSEK 2008 - FORUM
Aplikacije ► 21, 5% XSS ► 14% SQL “Injections” ► 9, 5% php “includes” ► 7, 9 "buffer overflows“ ► 14. 9. 2006 ► Cca. 90% vseh strani ima XSS ranljivosti ► 9. 4. 2008 Jeremiah Grossman, White. Hat Security Konferenca INFOSEK 2008 - FORUM
Aplikacije ► Kako se braniti? ► Preverjanje vnosov! ► Preverjanje vnosov ► Vsa polja na spletni strani (vključno s “Search”) ► Na strani odjemalca ► Na strani strežnika/aplikacije ► Testiranje spletne strani! Konferenca INFOSEK 2008 - FORUM
Aplikacije ► Orodje: ► Proxy orodje: Fiddler http: //www. fiddlertool. com/fiddler/ ► Viri: ► http: //blogs. msdn. com/hackers/default. aspx ► http: //www. hellosecureworld. com/ ► http: //msdn. microsoft. com/en-us/library/ms 998378. aspx ► http: //msdn. microsoft. com/en-us/security/aa 973814. aspx ► http: //msdn. microsoft. com/en-us/library/7 kh 55542. aspx ► Gostovanje spletne strani? Konferenca INFOSEK 2008 - FORUM
Agenda ► Varovanje v globino ► Fizični nivo varnosti ► Zunanje omrežje ► Notranje omrežje ► Računalniki ► Aplikacije ► Podatki ► Zaključek Konferenca INFOSEK 2008 - FORUM
Podatki ► Kraja podatkov ► Cilj napada § Odvisno od napadalca ► Šifriranje podatkov ► Kaj storiti v primeru izgube ključev? ► USB ključki? Konferenca INFOSEK 2008 - FORUM
Podatki (kraja podatkov maj – junij 2008) ► Walter Reed Patient Data Exposed (2. 6. 2008) ► BPO Owner Allegedly Stole and Sold Former Customer's Data (29. 5. 2008) ► Doctor Resigns After Donated Computer Compromises Patient Data (20. 5. 2008) ► Used Server Held 5, 000 SSNs (21. 5. 2008) ► Bank of New York Mellon Backup Tape Lost (22. 5. 2008) ► Stolen Bank of Ireland Laptops Held Other Banks' Info, Too (25. 5. 2008) ► Another Data Security Breach for Pfizer (12. 5. 2008) ► Sensitive Hong Kong Immigration Dept. Document Leaked Through Filesharing Network (9. 5. 2008) ► Attacker Stole 1. 4 Gigabytes of Data in Three Weeks (6. 5. 2008) ► Hundreds of Laptops Missing at U. S. Dept of State. (2. 5. 2008) ► Nine Memory Sticks Stolen from Hong Kong Hospitals (5. 5. 2008) Konferenca INFOSEK 2008 - FORUM
Podatki ► Kako se braniti? ► Varnostna politika ► Uporabe (službenega) računalnika ► Ravnanja s podatki § Zakonske obveznosti? ► Šifriranje podatkov ► Bit. Locker (Windows Vista – Business in Enterprise) ► True. Crypt (http: //www. truecrypt. org/) ► PGP (http: //www. pgp. com/)* Konferenca INFOSEK 2008 - FORUM
Agenda ► Varovanje v globino ► Fizični nivo varnosti ► Zunanje omrežje ► Notranje omrežje ► Računalniki ► Aplikacije ► Podatki ► Zaključek Konferenca INFOSEK 2008 - FORUM
Zaključek -- Kaj dejansko deluje? ► Uporabniki brez odvečnih pravic! ► Omejevanje prometa proti internetu ► Iz DMZ ► Iz LAN (SMTP, P 2 P, …) ► Šifriran promet? ► Preverjanje aplikacij ► Spletne aplikacije! ► Druge aplikacije Konferenca INFOSEK 2008 - FORUM
Zaključek -- Kaj dejansko deluje? ► Varnostna politika ► Redno preverjanje politike na požarnih zidovih! § Odstranjevanje nepotrebnih pravil! ► Uporaba računalnikov (prenosniki) ► Dostop do zaupnih informacij ► Prenos zaupnih informacij ► VPN in oddaljeni dostopi Konferenca INFOSEK 2008 - FORUM
Q&A miha. pihler@gmail. com Konferenca INFOSEK 2008 - FORUM
- Slides: 29