Ads 468x60px

sunnuntai 28. huhtikuuta 2013

KPMG aktiivisesti mukana Suomen tietoturvaklusterissa FISC:ssä



KPMG on aktiivisesti mukana suomeen vuonna 2012 perustetussa tietoturvaklusterissa (FISC). KPMG:n tietoturvapalveluiden vetäjä Mika Laaksonen toimii klusterin hallituksen varapuheenjohtajana. 

Tietoturvaklusterin keskeisenä tavoitteena on edistää suomalaista tietoturvaosaamista ja osaltaan auttaa luomaan suomesta maa, joka tunnetaan erityisesti hyvästä tietoturvaosaamisestaan. Keskeisenä asiana FISC:n toiminnassa on Suomen kyberstrategian implementoinnin tukeminen, sillä merkittävä osa Suomen tietoturvaosaamisesta niin konsultointi kuin tuotemielessä on FISC:n jäsenyrityksissä, joita on noin 30.

KPMG:llä on hyvä mahdollisuus olla keskeisessä roolissa tässä kyberstrategian implementointityössä, sillä meillä on erityistä osaamista niin tietoverkkojen ja IT-laitteiden suojaamisesta kuin niihin hyökkäämisestä.  Lisäksi järjestämme monia tietoturvallisuuden hands-on kursseja, joissa opetetaan IT-laitteiden sekä prosessienohjausjärjestelmien puolustamista ja niihin hyökkäämistä.  Globaalina yrityksenä meillä on laaja näkyviin siihen, miten kyberstrategiaan on toteutettu eri maissa ja miten maailman suurimmat yritykset ovat suojanneet esimerkiksi prosessienohjausjärjestelmänsä tai järjestäneet tietoturvaloukkausten havainnoinnin ja niihin reagoinnin.

Lisätietoja Suomen tietoturvaklusterista: FISC

torstai 25. huhtikuuta 2013

IDS:n käyttöönotto herättää todellisuuteen


KPMG:n tietoturvapalvelut ovat laajentuneet vuoden alusta HAVARO-raportteihin liittyvään tietoturvapoikkeamien analysointipalveluun. HAVARO on Viestintäviraston ja Huoltovarmuuskeskuksen yhdessä tarjoama tietoturvapalvelu huoltovarmuuskriittisille yrityksille Suomessa. Käytännössä palvelu perustuu organisaation Internet-liikennettä tutkivaan IDS-sensoriin (Intrusion Detection System) joka etsii verkkoliikenteestä haitallista sisältöä. HAVARO tarkkailee organisaation liikennettä vain Internetin reunan näkökulmasta, tietämättä miten havaitut haittaohjelmat käyttäytyvät organisaation sisäverkossa. HAVARON perspektiivistä organisaation ympäristö on vain iso harmaa laatikko, jonka yksittäisiä tapahtumia voi analysoida vain katsomalla mitä sinne menee sisälle ja mitä mahdollisesti tulee ulos. KPMG auttaa organisaatioita juuri tässä asiassa, analysoimalla IDS-havaintojen vaikutuksia ympäristössä, ja auttaa samalla kehittämään tietoturvaa havaittujen puutteiden perusteella.




Vaikka edistyneemmät hyökkäysvektorit (esim. nollapäivähaavoittuvuuksien hyväksikäyttö) ovatkin osittain jo menneet perinteisten tunnisteisiin pohjautuvien kontrollien (kuten Antivirus ja IDS) ulottumattomiin, ei se tarkoita etteivätkö ne olisi enää tarpeellisia. Yksi merkittävimmistä hyödyistä IDS:n käytöstä on se, että se toimii usein ensimmäisenä konkreettisena herättäjänä todellisuuteen oman ympäristön tapahtumista ja tilasta. Tiedämmekö todella mitä verkoissamme tapahtuu?

IDS-järjestelmiin voisi liittää analogian vasta siivotusta asunnosta. Päällisin puolin kämppä näyttää siistiltä ja hyvin hoidetulta – suurimmat villakoirat on kerätty nurkista ja ympäristö kiillotettu vieraita varten. Mutta usein mielikuva horjuu kun vaihdetaan näkökulmaa siitä tavanomaisesta - katsotaan sohvan alle tai tarkastetaan pölyt kaapin päältä. Ensimmäisenä reaktiona saattaa olla että yritetään unohtaa että edes katsottiin, tai lakaistaan roskat kirjaimellisesti maton alle.

IDS tekee juuri tätä tupatarkastusta organisaatioissa - avaa täysin uuden näkökulman ympäristöön pintaa syvemmälle. Tieto kyllä lisää tuskaa tässäkin tapauksessa, mutta kuinka moni haluaa perustaa organisaationsa tietoturvan tietämättömyydelle?

Muita esimerkkejä kysymyksistä mihin organisaatiot saavat vastauksia IDS-järjestelmän avulla ovat; Onko ympäristö sellainen kuin luulimme? Saadaanko ympäristöstä riittävästi lokitietoa irti tapahtumien selvittämiseen jälkikäteen, vai joudummeko nostamaan kädet ylös heti alussa koska jäljet päättyvät ensimmäiseen laitteeseen? Käyvätkö ympäristön järjestelmät samaa kellonaikaa jotta tapahtumat voidaan yhdistää toisiinsa kiistattomasti? Onko laitetietojen hallinta ja ympäristötiedot ajan tasalla? (huomina tähän, että kattavasta konfiguraationhallintajärjestelmästä (CMDB) on selvitystyössä merkittävä hyöty). Onko meillä riittävästi keinoja reagoida vakaviin tietoturvapoikkeamiin? Onko ympäristö segmentoitu riittävästi jotta estetään sisälle päässeen hyökkääjän sivuttaissuuntainen liike? Toimiiko ympäristön päivitystenhallintaprosessi ja noudatetaanko tietoturvapolitiikkaa?

Yksi merkittävimmistä hyödyistä tietohallinnon näkökulmasta on se, että IDS-raporteista saadaan helposti konkreettista näyttöä ja mittareita liikkeenjohdolle tietoturvan tilasta. IDS:n avulla löydettyjen poikkeamien valossa on helpompi perustella tietoturvabudjetteja, osoittaa puutteita ja edistää ympäristön kehityshankkeita.

Viestintäviraston HAVARO-järjestelmän havainnot perustuvat lisäksi suurelta osin CERTFI:n yhteistyöverkoston kautta saatuihin tietoihin, joita ei ole saatavilla julkisesti tai kaupallisten palveluntarjoajien kautta. Tämä mahdollistaa tavanomaiseen IDS-järjestelmään verrattuna huomattavasti laajemman ja ajantasaisemman tietokannan haitallisen liikenteen tunnistamiseksi, sekä esimerkiksi nopean tiedon Botnet-verkkojen käyttämistä uusista komentopalvelimista (CnC/C&C).

Lisätietoa KPMG:n HAVARO-raporttien analysointipalvelusta:

Viestintäviraston esittely HAVARO-palvelusta:

-Toni S

sunnuntai 21. huhtikuuta 2013

Kuukauden parhaat linkit - Osa 2

Ja sitten vielä loput hyvät linkit jakoon...

Yleistä:

Regular Cyber Intelligence Report

Cisco Cyber Risk Reports

Cisco IntelliShield alerts can be a useful source of information

Sophos 2013 Security Threat report

The fog of cyber defence - a book about cyber security and cyber war in the Nordic states

Overview of current cyber attacks

[OT] Image analysis of photos from a manned flight 2 years before the wright brothers

EU to order banks and energy firms to report cyber attacks

FAQ on the proposed directive on Network and Information security

Cisco IP phones vulnerable  - take complete control of a phone

This might have been included before - UK CPNI - Holistic Management of Employee Risk

How to disappear from the web

Is a security booklet like this useful for non-techie clients?

The hacker database

Työkalut:

Sploitego - Metasploit Transforms for Matelgo - looks amazing!

Snorby cloud firewall - manage firewall rules across your cloud infrastructure

Wireshark SMB2 file extrator

Codesonar Binary analysis - claims to find vulnerabilities in binaries without the need for IDA

API monitor - monitor and control API calls made by applications and services

DPE - Default Password Enumeration Project

VPN gate

Microsoft Enhanced Mitigation Experience Toolkit - I this this in action - looks good

VMInjector - Unlock guest VMS

Similar to a suspended VM priv esc tutorial

Dumping domain hashes using metasploit

Hackshop has some cool gadgets

VPN hunter - discovers and classifies VPNs and remote access of any organisation -

Offline security focus database

Network visualisation samples and libraries

The WordPress pingback portscanner - now a metasploit module

Nice write-up on padding oracle attacks - with a new padding oracle tool

Useful info and tools on RAID recovery

Free firewall rule analyser - hosted though

FakeNetBios is being updated - slowly

HackRF - A low cost software defined radio platform

ShellOL - intentionally vulnerable shell command injection testbed

The Pillager - tool for searching databases for interesting stuff

Littleblackbox - collection of thousands of private SSL and SSH keys extracted from embedded devices

Has anyone used OpenVAS - the opensource vulnerability scanner?

Tekniikat:
This could be interesting - MS13-027 - USB code execution

Practical timing side channel attacks aginast KASLR

Hacking the XBOX book now as a free download

Interesting blog post about escaping a python sandbox

Finding hidden Vhosts

ShellSquid - distributed shells

Mounting NFS shares through Meterpreter

Java 7u11 exploit details

Abusing, exploiting and pwning with Firefox add-ons

Precise heap spraying on Firefox and IE10

As a metasploit function

Comparison of password hash dumping tools

A kernel bug to make a process non-killable

Password cracking, hash dumping, brute-forcing guide

Samsung printer SNMP backdoor

Windows 7 Priv escalation with SYSRET

Amazon public DNS names and Apache config

In-Memory Managed Dll Loading With PowerShell

Example using Nishang for PowerShell MS SQL command execution

Comonexploit kits 2012 poster

Vulnserver DEP bypass write-up

Open Source Intelligence resource

Testing applications for DLL preloading vulnerabilities

Basic Vulnerable Windows Set-ups (useful for CTF)

Ghosts in the Rom

Packetstorm paper titled "Jackin TOR usres via evil provxies and the beef framework"

SAP parameter injection write-up by Context

Videos of all the cons

Bitsquating - analysis of DNS traffic

List of bug bountry programs for pentesters

Darling - Darwin / OS X emulation layer for Linux

Always love the metasploit demos - new Splunk 5.0 Remote Code Execution

Running code from a non-elevated account at any time

Possible LogMeIn breach

Defeating Windows Driver Signature enforcement


torstai 18. huhtikuuta 2013

Internet ei kaatunutkaan - Antin ja Anssin veto umpeutui, kumpi voitti?


Tasan kolme vuotta sitten (9.4.2010) lounaalla tiimin kesken heräsi keskustelu siitä, kuinka haavoittuvainen Internetin on ylipäätään hyökkäyksille. Internethän on suunniteltu, ainakin teoriassa, kestämään katkoja ja linkkien rikkoutumisia. Kriittisiä palveluita, kuten DNS, on rakennettu  hajautetulla mallilla, jossa yhden palvelimen tai palvelun kaatuminen ei vielä rampauta koko verkkoa.

Moni on kuitenkin yrittänyt. Viimeksi Spamhausiin kohdistunut DDoS-hyökkäys uhkasi tukkia linjoja Euroopassa. Laajamittaisiin häiriöihin se ei kuitenkaan johtanut. Anssi kirjoitti asiasta muutama viikko sitten. Tässä ei nyt kuitenkaan ole tarkoitus keskustella mistään hyökkäyksistä. Lounaan lopuksi Anssi esitti vahvan väitteen, että jossain vaiheessa Internet tulee aivan varmasti "kaatumaan". Tartuin tähän ja väitin, että teknologinen kehitys ja tietoturvan parantaminen paikkaavat ongelmia riittävän nopeasti, ettei tällaista kaatumista tule tapahtumaan.

Päätimme lopuksi lyödä Anssin kanssa vetoa, tapahtuuko tällaista kaatumista. Jotta veto olisi reilu, oli aikaa varattava reilusti. Sovimme, että vedon kesto on kolme vuotta. Määrittelimme myös, että tämän kaatumisen on vaikutettava merkittävällä tavalla ainakin puoleen Internetiin kytkettyinä olevista organisaatioista. Merkittävä vaikutus on esimerkiksi muutaman päivän kestävät vakavat häiriöt. Todellinen ja totaalinen kaatuminen ei nimittäin tapahdu kovin helposti. Aina löytyy osia verkosta, jotka toimivat jollakin tasolla. Esimerkiksi nimipalvelun halvautuminen ei sinänsä verkkoa kaada, mutta efektiivisesti monet palvelut lakkaavat toimimasta.

Anssi siis veikkasi, että tällainen vakava häiriö tapahtuu kolmen vuoden sisällä ja minä veikkasin että ei. Panokseksi laitoimme sata euroa, jotta veto ei niin vain pääsisi unohtumaan. Jos olet käynyt Anssin tietoturvakurssilla, olet saattanut jopa kuulla tästä vedosta. Muodostuihan tästä vedosta hyvä aasinsilta moneen tietoturvauhkaan.

Vedon maksu on vielä suorittamatta.

Anssin kommentti:

Joo joo, maksan kun ehdin ;-) Antti tosiaan voitti vedon. Lisään kuitenkin, että en silloin pelännyt enkä nytkään ensisijaisesti pelkää IP-infrastruktuuriin kohdistuvia hyökkäyksiä, vaan vakavaa haittaohjelma- ja murtoepidemiaa. Vedonlyönti ja pelkoni syntyi aikanaan pääasiassa Googlen ja RSA:n julkistettua heihin kohdistuneita APT-tyyppisiä hyökkäyksiä (lisää KPMG:n linkkejä aiheesta täällä).

Joka päivä näemme asiakastyössä, että haittaohjelmia tulee sisään hyvinkin suojattuihin organisaatioihin. Nykyään yleisimmin tämä tapahtuu selainten kautta, kuten F-Securen hyvin konkreettisesti tilannetta valoittava uusin raporttikin kertoo. Virustorjunta löytää ne hyvin tehottomasti. Jos vakava haittaohjelma suunnitellaan hyvin, ja jos se pesiytyy miljooniin koneisiin tuhansissa organisaatioissa, ja päättää sen jälkeen tuhota maailman IT-infrastruktuurin mahdollisimman täydellisesti, niin miten käy????

Lisäksi on joku kynnys, että jos riittävän ovela, vaikeasti havaittava,  polymorfinen jatkuvasti itseään päivittävä haittaohjelmaperhe on pesiytynyt riittävän moneen paikkaan se on kuin kihomato, jonka kaikkia munia perheestä on todella haasteellista saada pois, koska ne elävät pehmoleluissa ja tekstiileissä kuusikin viikkoa. Jos vielä henkilökunnalla on usein tapana laittaa "sormi suuhun" (IT:n tapauksessa kuvaannollisesti), on tilanne aika toivoton. Ennen kuin kaikki organisaation koneet saadaan puhdistettua, uusi tartunta jo leviää.

Että laittakaa jatkuvuuussuunitelmat kuntoon, ja miettikää miten toimitaan Internetistä eristettynä. Ja suunnitelma on myös testattava skenaarioissa, joissa pääjärjestelmistä ei saada haittaohjelmia pois!

Sitä odotellen,
-Antti & Anssi