Weitere ähnliche Inhalte Mehr von Nixu Corporation (12) Miten tietomurron voi havaita lokeista?2. Aiemmat esitykset Tilannekuvasta
§ SIEM-tilannekuva yritykselle: Yhden casen anatomia
Management Events 16.4.2013
§ Mittarit tietoturvan johtamiseen - Tilannekuva hallintaan
Tietoturvatapahtuma 8.2.2012
§ Tietoturvan tilannekuva
Energia-alan seminaari 14.12.2011
§ SIEM-projekti ketterästi vaatimukset huomioiden
Tietoturvatasot-seminaari 21.9.2010
§ Lisäksi kirjoituksia Nixun blogissa…
19.11.2013
© Nixu 2013 - Julkinen
2
6. Miten hyökkäys tapahtuu?
SQL-injektio
Hyökkääjä antaa tietokantapalvelimelle
SQL-komentoja verkkosovelluksen läpi,
joita hänen ei pitäisi pystyä antamaan.
Edustapalvelin
1.1.1.1 - - [11/Nov/2013:10:37:46 -0500]
"GET http://xxxx.xx.com/config/login?
login=pietari&passwd=1‘ OR 1=1’ HTTP/1.0"
200 566 "-" "-"
Sovellus
-palvelin
DBpalvelin
t
XSS-hyökkäys
Hyökkääjä muokkaa (tai lisää) verkkosivun ohjelmakoodia ja siten ottaa
sivuston haltuun. Usein hyökkääjä
kaappaa muiden sivuston käyttäjien
istunnot.
19.11.2013
© Nixu 2013 - Julkinen
1.1.1.1 - - [11/Nov/2013:22:46:48 -0100]
"GET /store/agora.cgi?
cart_id=<SCRIPT>alert(document.domain)
</SCRIPT>&xm=on&product=HTML HTTP/
1.1" 200 578 "-" "Mozilla/4.75 [en]"
6
7. Miten havaitaan? SQL-injektio
RegExp esimerkit
• /(')|(%27)|(--)|(#)|(%23)/ix
• (‘ )([O-o][R-r])( )
19.11.2013
© Nixu 2013 - Julkinen
1.1.1.1 - - [11/Nov/2013:10:37:46 -0500]
"GET http://xxxx.xx.com/config/login?
login=pietari&passwd=1‘ OR 1=1’ HTTP/1.0"
200 566 "-" "-"
Ks. http://ckers.org/sqlinjection/
7
8. Miten havaitaan? XSS-hyökkäys
RegExp esimerkit
• /((%3C)|<)((%2F)|/)*[a-z0-9%]+((%3E)|>)
• ((%3C)|<)((%2F)|/)*([S-s][C-c][R-r][I-i][P-p][T-t])(>|%3E)
19.11.2013
© Nixu 2013 - Julkinen
1.1.1.1 - - [11/Nov/2013:22:46:48 -0100]
"GET /store/agora.cgi?
cart_id=<SCRIPT>alert(document.domain)
</SCRIPT>&xm=on&product=HTML HTTP/
1.1" 200 578 "-" "Mozilla/4.75 [en]"
Ks. https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
8
13. Miten hyökkäys tapahtuu?
Tiedon
kerääminen
Tiedon
siirtäminen
Tiedon
kerääminen
Tiedon
siirtäminen
Hitaas5
eteneminen
Tiedustelu
Hyökkäys
Piiloutuminen
Miten
havainnoidaan?
Tiedustelu
• Por6skannit
• DNS-‐kyselyt
• Puhelinvaihteen
5edustelut
• Työpaikka-‐
ilmoitukset
• Roskisten
kaivelu
19.11.2013
Hyökkäys
• Kohdistuu
käy@ä-‐
jiin
(Spearfishing,
Whaling,
Drive-‐by,
Watering
hole)
• Tehostaminen
sosiaalisin
keinoin
• Järjestelmävirheet
• ATD
hälytykset
© Nixu 2013 - Julkinen
Piiloutuminen
• ”Ko5in
soi@o”
• Käy@äjien
luon5
• Salasanojen
vaihto
• Pass-‐the-‐hash
• Lokien
poisto
• Krii6sten
5edos-‐
tojen
muu@aminen
Eteneminen
• Kerberos
on
“yleisavain”
• AD:n
käy@öoikeus-‐
muutokset
• Uudet
järjestelmävirheet
Tiedon
kerääminen
ja
siirtäminen
• Erikoiset
sisäver-‐
kon
yhteydet
• Ulospäin
suuntau-‐
tuvan
liikenteen
seuranta
• Isot
5edon
siirrot
13
14. Miten havaitaan?
§ Klassiset palomuurit, IDS:t ja viruksentorjunta eivät riitä
– Ovat usein tunniste (signature) -pohjaisia eli etsivät vain
tunnettua ”pahaa”
– Puutteellinen konteksti-ymmärrys
– Historiatietoon on vaikea palata, koska tallessa on
enintään otsake-tiedot
§ Tarvitaan syvällisempää havainnointia
–
–
–
–
19.11.2013
Lokien pitkä taltiointi
Kriittisten tiedostojen tarkkailu
Maine-pohjainen tunnistus
Reaali-aikainen analyysi:
Advanced Threat Defence (ATD)
§ Verkko ATD
§ Host ATD
© Nixu 2013 - Julkinen
14
15. Nixu Oy
P.O. Box 39 (Keilaranta 15)
FI-02150 Espoo
Finland
Tel +358 9 478 1011
Fax +358 9 478 1030
19.11.2013
© Nixu 2013 - Julkinen
15