Pham Hong Vinh - Phat hien thiet bi trong mang noi bo nhiem ma doc thong qua...
Tình hình ANTT ở Việt Nam - Lê Công Phú - CMC Infosec
1. An ninh thông tin Việt Nam trước xu
thế tấn công trên không gian mạng
Lê Công Phú | phulc@cmcinfosec.com
2. NỘI DUNG
Xu hướng tấn công trên không gian mạng
Khái quát về các xu thế tấn công thời gian gần đây
Thực trạng an ninh an toàn thông tin trong nước
Hiện trạng hệ thống công nghệ thông tin trong nước, những vấn đề đáng quan tâm
Kết luận và hướng giải quyết
Đưa ra nhận định về tình hình ATTT trong nước, đồng thời đề xuất các phương
án giải quyết cho thực trạng hiện nay
I
II
III
8. Tấn công sử dụng Exploit kits
• Black Hole, Neutrino, RedKit...
• Dễ dàng mua được ở chợ đen, bởi
bất cứ ai, sử dụng mà không cần yêu
cầu cao về kỹ thuật, được hỗ trợ cập
nhật thường xuyên.
• Khai thác lỗ hổng trong Adobe-
Reader, Adobe Flash, Java…
• Sử dụng một số payload phổ biến
thời gian gần đây như: Scareware,
Zeus, TDSS rootkit, ZeroAccess-
Rootkit, Ransomware.
14. Và “Trái đắng” chúng ta nhận được
Việt Nam thuộc
TOP
5
quốc gia có tỉ lệ
nhiễm mã độc
cao nhất thế giới
Microsoft security intelligence report
Top 10 countries with the highest risk of computer infection via Internet --
Kaspersky
15. Trong 9 tháng đầu năm 2014 thống kê từ Zone-h ước lượng cho thấy
Hơn 3000 website *.vn của Việt Nam bị tấn cống trong đó có
195 website .gov.vn
607 website .edu.vn
1275 website .com.vn
60 website .net.vn
41 website .org.vn
925 Website .vn
.gov.vn
6%
.edu.vn
20%
.com.vn
41%
.org.vn
1%
.net.vn
2%
.vn
30%
Tỉ lệ tên miền bị tấn công
.gov.vn .edu.vn .com.vn .net.vn .org.vn .vn
Tính đến 30/9
15%
12%
70%
3%
Win2k3 Win2k8 Linux Other
Tỉ lệ hệ điều hành bị tấn công
Con số trên liệu có dừng ở đó?
16. Cao điểm
Hơn 200 website Việt Nam bị tin tặc
TQ tấn công xoay quanh vụ dàn
khoan HD981 vi phạm lãnh thổ Việt
Nam
Hơn 700 website Việt Nam bị tin tặc
tấn công dịp nghĩ lễ 02/09
Hơn 790 trang web sử dụng wordpress
dính lỗi Revolution Slider Plugin
17. Những lỗ hổng cho phép tin tặc tấn công nhiều tổ chức trong nước thời
gian qua phần lớn nằm trong OWASP Top 10
22. Điều đặc biệt
• Tất cả những lỗ hổng trên không phải là Zero-day, nhưng lại là
nguyên nhân chính của nhiều hệ thống trong nước bị khai thác được
phát hiện gần đây.
• Trong đợt tấn công của tin tặc TQ nhằm vào Việt Nam, gần như hầu
hết website bị khai thác thông qua các lỗi trên
• Ngay cả những tổ chức được trang bị đầy đủ các thiết bị, giải pháp
bảo mật nhưng hệ thống của họ vẫn bị tấn công.
23. Nguyên nhân của vấn đề
Dữ liệu khảo sát nhanh của CMC InfoSec về tình hình bảo mật
và rà soát, đánh giá an ninh thông tin trên 170 tổ chức trong
nước cho thấy.
24. Có bộ phận chuyên trách? Thiếu bộ phận phụ trách ATTT
20%
80%
Hiểu biết về các lỗi bảo mật Thiếu kiến thức về bảo mật
25%
75%
• Thiếu đội ngũ chuyên trách về
ATTT trong các tổ chức • Hiểu biết về bảo mật của đội ngũ phát
triển ứng dụng, vận hành hệ thống
25. • Tỉ lệ đầu tư cho an ninh an toàn thông tin ở các tổ chức
Có ngân sách dành cho ATTT Chưa chú trọng đầu tư cho ATTT
Đầu tư hời hợt
16%
58%
26%
14%
52%
12%
22%
Thiết bị bảo mật tồn tại lỗ hổng
chưa được update
Thiết bị đảm bảo an toàn
Thiết bị được cấu hình mặc định
Thiết bị bảo mật không
sử dụng hết chức năng
• Tỉ lệ các mối đe dọa từ bản thân các thiết bị bảo mật
26. • Những lỗ hổng thường gặp ở các tổ chức
15%
18%
27%
6%
13%
7%
5%
9%
Sql injection
Xss
Misconfiguration
CSRF
File Upload
Using Components with
Known Vulnerabilities
Slow Http Dos
Other
• Tỉ lệ nhận biết sự tồn tại của lỗ hổng
38%
42%
20%
Khối chính phủ Khối doanh nghiệp Khối ngân hàng
Không nhận biết được sự tồn tại của lỗ hổng
Nhận biết nhưng không có giải pháp khắc phục
40%
Nhận biết và có giải pháp xử lý
35%
25%
• Tỉ lệ tồn tại lỗ hổng ở các khối
27. Phản ứng của các tổ chức khi bị tấn công?
Chúng ta cần làm gì?
28. Động thái từ chính phủ
• Thúc đẩy dự luật liên quan đến ATTT
• Thành lập cục ATTT trực thuộc bộ TTTT
• Thành lập trung tâm giám sát an ninh mạng trực thuộc BCY
• Thành lập cục an ninh mạng trực thuộc bộ công an
29. Vậy nếu thực sự một cuộc chiến tranh mạng diễn
ra, Việt Nam hoàn toàn đủ sức ứng phó?
31. Nhận định
• Vấn đề an ninh an toàn thông tin trong các tổ chức chưa được quan tâm, đầu tư
đúng tầm với vai trò của nó.
• Nguồn lực làm an ninh an toàn trong nước còn thiếu, đặc biệt là đội ngũ có trình
độ chuyên môn cao.
• Nhận thức của người dùng cuối về an toàn thông tin chưa cao, đây cũng là mục
tiêu ưa chuộng được tin tặc nhắm tới.
• Các tổ chức, doanh nghiệp vẫn còn dễ dãi và có thái độ lơ là trước những nguy cơ,
mối đe dọa mà đơn vị mình đang đối mặt.
• Tình hình hiện nay cho thấy nếu một cuộc chiến tranh mạng bùng nổ thì Việt Nam
hoàn toàn rơi vào thế ứng phó bị động.
32. Chúng ta cần làm gì
Thực hiện dò quét, đánh giá bảo mật
Các hệ thống ứng dụng, hệ thống máy chủ
Rà soát, kiểm định ATTT
Xác định các vấn đề tồn tại trong hạ
tầng, hệ thống, thiết bị, những sai sót
trong cấu hình để kiện toàn.
Để đảm bảo an toàn thông tin cho tổ chức
Đào tạo nâng cao
nhận thức ATTT cho cho mọi
đối tượng trong tổ chức
Xem xét lại kiến trúc an ninh
Quy hoạch lại các quy trình,
chính sách và thiết kế hạ tầng
Năng lực phụ trách ATTT
Chú trọng đầu tư vào con người,
nâng cao năng lực đảm nhiệm các
vấn đề liên quan đến ATTT
Đầu tư gia cố thiết bị bảo mật
Các giải pháp bảo mật chống
thất thoát dữ liệu và xâm nhập
10
33. Tham khảo
• OWASP Top-10 2013
• Microsoft security intelligence report
• Kaspersky Report
• A special report on attacks on Point of Sales Systems – Symantec
• Nhìn lại xu hướng tấn công 2014 – Viện Công nghệ an toàn thông tin
• Báo cáo đánh giá tình hình ATTT một số tổ chức trong nước – CMC InfoSec
Là hình thức tấn công tập trung, có chủ đích, được thiết kế riêng cho từng mục tiêu cụ thể, sử dụng nhiều kỹ thuật phức tạp, nhằm thực hiện việc đánh cắp dữ liệu.
Advanced: Sử dụng kết hợp nhiều kỹ thuật nâng cao và có thể phát triển tùy chỉnh các khai thác để tránh bị phát hiện
Persistent: Xác định mục tiêu cụ thể cần khai thác, và thực hiện theo từng giai đoạn, việc tấn công diễn ra cho đến khi nhiệm vụ hoàn thành.
Threat: Nghĩa là mối đe dọa, các đối thủ được tổ chức, tài trợ và thúc đẩy hành động..
Cơ chế cài đặt Mã độc: Mã độc được trích xuất ra từ tệp tin “Thu moi.hta” bằng cách sử dụng một VB Scriptđơn giản. Bạn có thể dễ dàng nhìn thấy các Script này bắt đầu ở dòng 307 khi mở tệp tin “Thu moi.hta” bằng bất kỳ một chương trình chỉnh sửa văn bản nào.
Phần bắt đầu của script này, bạn có thể nhìn thấy 3 cách ngụy trang:
Sử dụng dấu cách trắng dài để che mắt nơi bắt đầu của script.
Cố gắng thu nhỏ cửa sổ của shell (giao diện dòng lệnh) được sử dụng để chạy VB script này.
Cố gắng ẩn cửa sổ chạy script trên thanh taskbar(thanh tác vụ trong Windows).
Kể tên một số bộ ban ngành có dấu hiệu thất thoát dữ liệu.http://www.threatconnect.com/news/piercing-the-cows-tongue-china-targeting-south-china-seas-nations/
Landscape
Phân tích hình, nói qua về Spyfiles (chú ý vụ 1 triệu eur)
Theo Securelist - Most mobile malware is designed to steal users' money, including SMS-Trojans, and lots of backdoors and Trojans.
Siêu thị bán lẻ Target (US) bị tấn công (hơn 40 triệu thông tin thẻ tín dụng bị đánh cắp) bởi BlackPOS” (a.k.a. “Kaptoxa”), a malware strain designed to siphon data from cards when they are swiped at infected point-of-sale systems running Microsoft Windows.
OS mà hầu hết máy POS sử dụng là Windows XP
Chuẩn mã hoá sử dụng trên đường truyền?
Dễ bị attack bởi malware, sniffer, Ram Scraping…
Phân tích hình ảnh về tấn công vào máy POS
Giới thiệu qua các exploit kits
Phân tích xu thế tấn công từ chối dịch vụ sử dụng NTP, DNS, SNMP
To generate approximately 400Gbps of traffic, the attacker used 4,529 NTP servers running on 1,298 different networks. On average, each of these servers sent 87Mbps of traffic to the intended victim
A massive DDoS attack, reaching at its peak 400 Gbps of bad traffic, was detected late yesterday against a number of servers in Europe
Đó là tính năng Monlist của NTP server, là 1 danh sách các máy tính đã kết nối tới NTP server. Khi nhận được một request yêu cầu cung cấp monlist, NTP server sẽ “vui vẻ” cung cấp danh sách các máy tính đã kết nối tới NTP server này mà không cần quan tâm xem ai là người đã request. Cứ có hỏi là “vui vẻ” trả lời.
Ở đây chúng ta thấy ngay 1 vấn đề mà kẻ xấu đã lợi dụng để “khuếch đại”. Đó là 1 request nhỏ được gửi đi, server sẽ sinh ra 1 danh sách với kích thước lớn hơn rất nhiều so với request. Các request được gửi đi từ máy của hacker, nhưng đã làm giả source IP. Source IP sẽ bị sửa để trỏ đến địa chỉ IP của nạn nhân. Thế là các NTP server cứ thế trả các response về cho nạn nhân, trong khi máy này không hề gửi đi bất kỳ request nào. Đây giống một kiểu “ném đá giấu tay” kết hợp với “mượn gió bẻ măng”
Nói rõ từng lỗi và mức độ nguy hiểm
Phân tích hình chỉ rõ mục tiêu tấn công thời gian gần đây, các kỹ thuật tấn công thường được sử dụng.
Phân tích nguy cơ từ việc dùng phần mềm crack
Tại sao lại có kết quả như thế?
Con số trên chỉ là bề nổi giải thích tại sao?
Kết quả rà soát và tổng hợp của CMC InfoSec
Trong top 10 này thì quá trình Pentest thường gặp những lỗi nào nhất, nói rõ tác động của từng lỗi.
Phân tích nguyên nhân lỗi, cách khai thác và phòng chống.
Khi phát triển ứng dụng cần chú ý
Chỉ cho phép sử dụng quyền tối thiểu khi thực hiện kết nối đến cơ sở dữ liệu, nhằm giảm thiểu tác động trong trường hợp bị khai thác.
Kiểm tra tất cả các điểm nhập liệu và thực hiện việc lọc dữ liệu đầu vào trước khi nó được xử lý.
Mod Security
Giải thích Bussiness logic là gì, nói rõ một trong những lỗi hay gặp nhất đó là File Upload
Phân tích nguyên nhân lỗi, những sai sót khi phòng chống, cách khai thác và phòng chống triệt để.
Sử dụng JavaScript để kiểm tra file upload?
Kiểm tra type=image/gif file trên server?
Kiểm tra phần nội dung của file upload?
Kiểm tra phần mở rộng của file trên server?
chown thư mục lưu giữ file upload thành apache hoặc nobody và gán quyền 770.
Phân tích nguyên nhân lỗi, cách khai thác và phòng chống.
Cần chú ý
Rà soát lại cấu hình của hệ thống, tìm ra những vấn đề chung về cấu hình, phân tích những đe dọa và thực hiện cấu hình an toàn.
Cập nhật các bản vá lỗi cho tất cả các thành phần từ hệ điều hành đến các ứng dụng máy chủ
Xây dựng quy trình gia cố hệ thống, ứng dụng phù hợp với đặc thù của tổ chức
Phân tích việc khai thác lỗi upload file qua ckeditor, và lỗi Sqli của com_tag
Lỗi này chúng ta có thể hạn chế bằng việc Khi sử dụng các Components, Plugin cần thực hiện việc.
- Xác định tất cả các thư viện, module… và phiên bản đang được sử dụng
- Cần thực hiên kiểm tra an toàn bảo mật trước khi đưa vào sử dụng
- Theo dõi tình hình bảo mật của các thư viện, module để kịp cập nhật nếu có lỗ hổng.
Nhưng chúng ta đã không làm lôi
Thống kê của CMC InfoSec
Thống kê của CMC InfoSec, gần đây nhất là vụ shellshock và heartbleed hàng loạt thiết bị bảo mật của các hãng có danh tiếng trên thế giới như Juniper… dính lỗi này
Thống kê của InfoSec
Nói rõ phản ứng của các tổ chức khi bị tấn công như nào qua các case support thực tế đã gặp. Phân tích và đưa ra những phản ứng cần thiết khi bị tấn công.
Bài học từ vụ tấn công Việt Nam Net
Bài học về việc hàng loạt website bị tấn công
Giả sử Tin tặc TQ, tấn công ồ ạt, với Băng thông gấp 10 lần, Chưa kể nếu có một cuộc chiến tranh diện rộng, lượng botnet mà TQ kiểm soát đủ để đánh sập internet VN
Phân tích các thành phần, tại sao lại cần chú trọng những vấn đề đó?