(You better) change focus, 2015 finance ict & isaca v2

(По-добре) Сменете Фокуса

17-и финансов технологичен форум

гр. София, 23.04.2015 г.

Здравко Стойчев, CISM CRISC

Секретар, ISACA-София

Закон на Шамир

Криптирането се заобикаля, Не се разбива

“Криптографията обикновено се заобикаля. Не ми е известен случай, в който хакери проникват в световно известна система за сигурност използваща криптография чрез разбиване на самата криптографията […] обикновено има много по-прости начини за проникване в системата за сигурност.”

-- Ади Шамир

Криптиране = защита?

Всички големи производители на игрови конзоли използват множество похвати и сложна криптография за защита

• PS3 • Wii • Xbox • Xbox 360

Криптиране = защита?

Мерките включват• Цифрово подписани изпълними файлове• Криптирано място за съхранение• Подписани и криптирани носители на данни • Криптиране на паметта плюс интегритет• Използване на хардуер за криптиранеВсички те са били заобиколени• В никой от случаите не е било необходимо да се

разбие криптографията

Криптиране = защита?

Amazon Kindle 2 • Всички файлове подписани с 1024-битов RSA ключ • Хакерите подменят ключа с техен• Следващите версии са разбити аналогичноHTC Thunderbolt • Цифрово подписани изпълними файлове• Подписано ядро• Подписан код за възстановяване / рестартиране• Премахнат е кода за проверка на подписа

По-силно криптиране?

Samsung Galaxy • Firmware подписан с 2048-битов RSA ключ – двойно

повече от обичайното! • Промяна на зареждането на firmware, за да попадне

точно върху кода за проверка на подписа и да го неутрализира

Nikon фотоапарати • Снимките подписани с 1024-битов RSA ключ • Подписа е вграден в EXIF данните на снимката • Ключа за подписване е вграден в самия firmware…

По-силно криптиране?

Canon фотоапарати • Проверка на снимките с HMAC (хеш функция) • HMAC е симетрична: Проверяващият също трябва да

знае ключа• Споделеният ключ за HMAC е вграден в самия firmware… Google Chromecast • Задълбочена проверка на цифрово подписан изпълним

дял преди зареждане • Игнориране на резултата от функцията за проверка на

подписа

По-силно криптиране?

Google TV • Множество устройства от различни производители• Възползват се от разрешен по невнимание режим за

проследяване на грешки (debug)• Некоректно зададен път заобикаля проверка за

изпълнение на неразрешени файлове• Пренасочване регистри на NAND контролера, за да

разреши презапис на памет в ядрото• Презапояване на криптиран SSD с некриптиран• Използване на множеството съществуващи грешки в Linux

ядрото и грешки на приложно ниво

По-силно криптиране?

iPhone/iPad/iOS • Множество от мерки за защита, твърде много, за да се

изброят тукЗаобикалянето им включва• Вмъкване на изпълним код като фрагмент от данни – те

не се проверяват• Използване на функционалности за развой (debug) в

подписани компоненти на ОС• Синтезиране на пробойни чрез използване на

фрагменти от подписан изпълним код• [...]

По-силно криптиране?

Windows RT UEFI • Уязвимост за ескалиране на привилегии в RT

ядрото позволява заобикаляне на цифровото подписване

Windows 8 UEFI • Корекция на SPI паметта съдържаща UEFI

firmware, за да се заобиколи проверката на цифровия подпис

• Изчистване на флагове в системния NVRAM с цел да се заобиколят проверките на цифровия подпис

Още криптиране?!

Оригинално некриптирано изображение

Още криптиране?!

Изображението криптирано с AES-256-ECB

Специализирани у-ва

Цялото криптиране и съответните ключове се намират вътре в HSM (Hardware Security Module)

Използват се от банките в големи количества при ATM-те за обработка на PIN

Снимките са илюстративни

Специализирани у-ва

Потребителски PIN• Използват се като се добави отместване към PIN-а• Слаба, но не критична проверка на PIN-а• Блок от данни в ATM е криптиран с PIN-а • Подава се към HSM заедно с транслираща таблица:

• HSM проверява PIN-а и връща “грешка” или “успех”Ключове и данни не напускат HSM. Сигурно нали?

Hex 0 1 2 3 4 5 6 7 8 9 A B C D E F

Dec 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5

Специализирани у-ва

Транслиращи таблици• Използване на модифицирана таблица, която не

съдържа нули

• Инициираме проверка на блок от данни криптирани с PIN-а

• Ако HSM върне “успех”, то PIN-а не съдържа 0• Повтаряме процедурата за всички цифри 1,2...Вече знаем цифрите на PIN-а, но не и подредбата им

Hex 0 1 2 3 4 5 6 7 8 9 A B C D E F

Dec 1 1 2 3 4 5 6 7 8 9 1 1 2 3 4 5

Специализирани у-ва

Чрез промяна на отместването на PIN-а намираме подредбата на цифрите. Неутрализираме промяната в транслиращата таблица (прави 0 в 1)

• Например за PIN 2036

• Повтаряме за всяка цифраВъзстановяваме PIN-а без да знаем криптиращите ключове

и без достъп до процесите в HSM

Изместване Резултат от HSM PIN

0001 Грешка ????

0010 Грешка ????

0100 Успех ?0??

Обобщение до тук

Брой атаки разбили криптографията: 0 Брой атаки които са я заобиколили: Всички – Без значение колко силно е криптирането и

колко големи са ключовете, атакуващите успяват да ги заобиколят

Фокусирайте защитата към най-силния и най-слабия елемент

Кибер сигурност

Човешкият фактор

Статистика1

• 97% от пробивите са предотвратими чрез прости междинни контроли

• 70% в ЕС се притесняват от неправилно използване на лични данни

• 39% проникване в организацията поради невнимание на служители

• 67% от пробивите с цел шпионаж са в резултат на фишинг измами

• 75% по-ниски разходи на служител при съответствие с регулации

1) ISACA Security

Кибер сигурност

Рискове свързани с човешния фактор:• Комплексност на вътрешните ИТ услуги• Липса на умения и опит, човешка грешка• Удобството като предпочитание• Поведение на база противоречиви модели:– Лично отричане– Тясна рационалност– Противоречиви цели

Кибер сигурност

Кобит 5 за трансформиране на кибер сигурността:

• Унифициране на управлението, рамките за риск и сигурност на информацията

• Предоставя концепции и стъпки за трансформиране на кибер сигурността– Съответствие със съществуващите процеси и

стратегия за сигурност • КС стъпка по стъпка...

Човешния фактор

Съсредоточете се върху основите с (нова) стратегия:

a. Обучавайте повече новите служителиb. Тренирайте съществуващите служители да

бъдат бдителни за фишинг атакиc. Повишете информираността на всички за

сигурността на информациятаd. Ясно дефинирани интерфейси между

различните отдели в организацията

a) Новодошлите

Повече обучение по ИС за новопостъпилите:• Въвлечете ги като им помогнете да разберът

как могат да защитят собственото си име, личен и професионален живот

• Нека развият добри навици за сигурност у дома, така че тези навици да се приложат и на работното място

• Служителите ще станат по-бдителни по въпросите по сигурността като цяло

b) Фишинг измами

Фишингът е вектор #3 на атака във всички видове пробиви1:

• Изпращане на фалшиви фишинг писма до малък брой служители

• Служителите ще станат по-добри в откриване на злонамерени писма

• Все повече служители ще докладват за такива писма

1) Verizon breach report 2014

c) Сигурност на данните

Имате политика за класификация, но дали се спазва и кой ползва информацията:

• Нека потребителите разберът стойността на данните, които използват ежедневно

• Задължителна класификация преди изпращане извън организацията

• Правилата трябва да важът за всички, от ръководството до отделните потребители

Очаквани подобрения

• Коректна класификация на информацията на нужното или по-високо ниво

• Комфорт по отношение на правилата• По-добрата осведоменост за сигурността се

проявява и в други области• По-малко изключения за проверка на

дневна база• […]

Благодаря за вниманието!

За контакти:ISACA – Софияул. “Граф Игнатиев” 7AСофия 1000България

Мейл: [email protected]Сайт: www.isaca-sofia.org