Live demo miten tietomurto toteutetaan? Jussi Perälampi, Senior Security Consultant Saku Vainikainen, Lead Consultant Nixu Oy 2.4.2014 1.4.2014 Nixu 2014 1
Esitys Kohderyhmän valinta Kohdennettu viesti Demo tietomurrosta Mitä tapahtuu seuraavaksi? Tilanne hallinnassa vai onko? Varautuminen ja ennakkotoimet Toiminta tilanteessa 1.4.2014 Nixu 2014 2
Tämän esityksen sisältö on täysin fiktiivinen, mutta teknisesti toteutettavissa. Kaikki esityksessä näytetty valtiohallinnon materiaali on julkisesti saatavilla.
LinkedIn boikotointi ei auta 1.4.2014 Nixu 2014 4
Asia joka mahdollisesti vaikuttaa työhösi From: Jussi Perälampi (Virasto) jussi.peralampi@virasto.fi>! Date: keskiviikko 2. Huhtikuuta 2014 12.06! To: Hallinto Henkilö <hallinto.henkilo@virasto.fi>! Subject: Talous- ja henkilöstöhallinnon uudistuksen jatkovaiheet valtion virastoissa!! Tiedoksi : Hallintohenkilöstö! Liitteenä päivitetty versio! Ohjeistus_kirje_210610.pdf! http://www.virasto.fi/download/noname/%7bd28953d5-a42f-4c15-a12d- A25EE282B79F%7D/82065! Terveisin,! Jussi Perälampi!!! 1.4.2014 Nixu 2014 5
Ihan asiallisen oloinen dokumentti 1.4.2014 Nixu 2014 6
Näin se etenee Jonkun työ on päästä muiden järjestelmiin Sähköposti, web -sivu ja USB laite Asentuu ja piilottaa itsensä Keylogger Dumppaa muistista salasanan Varastaa salasana HASH:t Soittaa kotiin 1.4.2014 Nixu 2014 7
Tietomurto havaitaan Haitake löytää tiedostojaon ja saastuttaa tiedostoja toisella haitakkeella Tiedostojen käyttäjien koneet saastuvat Koneet soittavat kotiin HAVARO tunnistaa C&C liikenteen ja tekee hälytyksen 1.4.2014 Nixu 2014 8
Kaikki kunnossa? HAVAROn tietojen perusteella tunnistetaan saastuneet työasemat Saastuneet työasemat eristetään karanteeni verkkoon ja aloitetaan DFIR Tiedostopalvelin havaitaan lähteeksi ja se eristetään. Itse palvelinkäyttöjärjestelmä ei ole saastunut, vain tiedostot. Onko tutkinta valmis kun ei tule enää hälytyksiä? 1.4.2014 Nixu 2014 9
Analysointi Miksi tiedostot saastuivat alun perin? Tiedostopalvelimen lokeista löytyy poikkeavia tapahtumia koskien yksittäistä työasemaa. Henkilöllä joka käyttää ko. työasemaa on pääsy laajaan materiaaliin. AV skannaus koneella ei tuota havaintoja, homma kunnossa? Koneesta otetaan muistidumppi josta löytyy tuntematon haittaohjelma joka analysoidaan. Piiloutuminen, persistenssi, lisätoiminnallisuudet, kuinka etäkäytettään, URL:t ja IP:t, 1.4.2014 Nixu 2014 10
Jatkotoimet Keylogger, salasanojen dumppaus ja HASH varkaus à salasanat vaihtoon Lokien tarkastus alkaa! Mistä lokeista ja mitä lokeista pitäisi etsiä? Tekninen jälkivalvonta ja itse hyökkäyksen analysointi tärkeää 1.4.2014 Nixu 2014 11
Kyberissä tapahtui Läheltä piti? Varautuminen, ennakkotoimet ja toiminta tilanteessa 1.4.2014 Nixu 2014 12
Tiedettiinkö mitä tapahtuu? vaa6mustenmukaisuuden valvonta pykälätapahtuma indikoi vaa6musten vastaista toimintaa tai sellaisen uhkaa petosten valvonta petostapahtuma indikoi petollista toimintaa tai sellaisen uhkaa palveluneston valvonta lamautustapahtuma indikoi valvo7ua toimintaa estävää toimintaa tai sellaisen uhkaa 6etomurtojen valvonta murtotapahtuma indikoi 6etomurtoa tai sellaisen uhkaa 6etovuotojen valvonta vuototapahtuma indikoi 6etovuotoa tai sellaisen uhkaa haavoi7uvuuden valvonta haavatapahtuma indikoi haavoi7uvuu7a ja sellaisen vakavuu7a infrastruktuurin valvonta infratapahtuma indikoi poikkeavuu7a tai muuta tarkemmin kohdistamatonta tapahtumaa ja sellaisen vakavuu7a pykälä- tapahtuma petos- tapahtuma lamautus- tapahtuma murto- tapahtuma vuoto- tapahtuma haava- tapahtuma infra- tapahtuma normaali normaali normaali normaali normaali normaali normaali ei havaintoja tai lievä uhka/vakavuus huomio huomio huomio huomio huomio huomio huomio uhkataso tai tilanteen vakavuus on kohonnut mutta tilanteeseen ei tarvitse vielä varautua varaudu varaudu varaudu varaudu varaudu varaudu varaudu uhkataso tai tilanne on vakava ja tilanteeseen varautuminen täytyy aloittaa hälytys hälytys hälytys hälytys hälytys hälytys hälytys tilanne vaatii aktiivisia toimenpiteitä 1.4.2014 Nixu 2014 13
Tiedettiinkö mikä on vaarassa/vahingoittunut? Ministeriö X Val6on toiminta Ministeriö Y Virasto X1... Virasto Xn Perustehtävä #1 Perustehtävä 2... Perustehtävä #n Virasto Y1... Virasto Yn Laitos 1... Laitos Xnn Toiminto 1 Toiminto 2 Toiminto 3... toiminto #n Laitos 1... Laitos Ynn Vaikuttavuusarvio ICT-infra ICT- palvelu 1 ICT- palvelu 2... ICT- palvelu #n ICT- palvelu #n taustapalvelu #1... taustapalvelu #n TIETOMURTO! TIETOVUOTO! taustapalvelu #nn... taustapalvelu #nm 1.4.2014 Nixu 2014 14
Hoidettiinko tärkein ensin? 1.4.2014 Nixu 2014 15
Tiedettiinkö kuka päättää? Kun: tilanteeseen liittyy rikos tilanteella on julkisuusarvoa toimenpiteet vaativat hallinnonalojen välistä yhteistyötä toimenpiteet vaativat rahoitusta yli NN k toimenpiteet vaikuttavat negatiivisesti kriittisten kohteiden luottamuksellisuuteen, eheyteen ai saatavuuteen Kun: Tarvitaan ulkopuolista asiantuntija-apua tilanteen selvittämiseen (esim. CSIRT ja forensiikkapalveluita) 1.4.2014 Nixu 2014 16
Kiitos! Nixu Oy www.nixu.fi/blogi - www.tietovastuu.fi - twitter: @nixutigerteam P.O. Box 39 (Keilaranta 15), FI-02150 Espoo, Finland Tel +358 9 478 1011, Fax +358 9 478 1030, nixu.sales@nixu.com 1.4.2014 Nixu 2014 17