Realne zagrożenia i trendy na podstawie raportów CERT Polska

Realne zagrożenia i trendy na
podstawie raportów CERT Polska
CERT Polska/NASK
Kim jesteśmy?
Czym jest CERT Polska:
•
Zespół działający w ramach Naukowej i Akademickiej Sieci Komputerowej;
•
Powołany w 1996 roku;
•
Od 1997 r. jest członkiem FIRST (Forum of Incidents Response and Security Teams),
największej na świecie organizacji zrzeszającej zespoły reagujące i zespoły bezpieczeństwa z
całego świata;
•
Od 2000 r. jest członkiem inicjatywy zrzeszającej europejskie zespoły reagujące – TERENA
TF-CSIRT i działającej przy tej inicjatywie organizacji Trusted Introducer;
Główne zadania zespołu CERT Polska :
•
rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci;
•
współpraca z innymi zespołami IRT (Incidents Response Team) – m.in. w ramach FIRST
i TERENA TF-CSIRT;
•
udział w krajowych i międzynarodowych projektach związanych z tematyką
bezpieczeństwa teleinformatycznego;
Klasyfikacja incydentów
CERT Polska od 2003 roku korzysta z klasyfikacji incydentów wypracowanej
w ramach projektu eCSIRT.net
TYP
PODTYP
Obraźliwe i nielegalne treści
Spam
Dyskredytacja, obrażanie
Pornografia dziecięca, przemoc
Złośliwe oprogramowanie
Wirus
Robak sieciowy
Koń trojański
Oprogramowanie szpiegowskie
Dialer
Gromadzenie Informacji
Skanowanie
Podsłuch
Inżynieria społeczna
Klasyfikacja incydentów c.d.
TYP
PODTYP
Próby włamań
Wykorzystanie znanych luk systemowych
Wykorzystanie nieznanych luk systemowych
Próby nieuprawnionego logowania
Włamania
Włamanie na konto uprzywilejowane
Włamanie na konto zwykłe
Włamanie do aplikacji
Dostępność zasobów
Atak blokujący serwis (DoS)
Rozproszony atak blokujący serwis (DDoS)
Sabotaż komputerowy
Bezpieczeństwo informacji
Nieuprawniony dostęp do informacji
Nieuprawniona zmiana informacji
Klasyfikacja incydentów c.d.
TYP
PODTYP
Oszustwa komputerowe
Nieuprawnione wykorzystanie zasobów
Naruszenie praw autorskich
Kradzież tożsamości, podszycie się (m.in. Phishing)
Inne
O
ad
st
w
o
in
f
or
ne
1,45
m
ac
ji
In
za
so
bó
w
4,79
Be
zp
ie
cz
eń
ac
ji
an
ia
or
m
W
ła
m
in
f
ść
ni
e
e
w
ła
m
ań
ow
an
i
5
pn
o
ze
by
ra
m
śc
i
ow
e
tr e
te
r
al
ne
pu
5,40
D
os
tę
ro
m
og
Pr
ó
op
r
ie
le
g
ko
m
procent
30
G
oś
liw
e
in
a
45
Zł
e
sz
us
tw
br
aź
liw
O
Statystyki z obsługi incydentów
Rozkład procentowy typów incydentów
40,70
40
35
26,84
25
20
15
15,37
10
4,51
0,56
0,39
0
to
Ŝs
am
procent
25
20
15
5,79
5
4,68
3,45
3,17
1,34
1,34
Po
zo
st
ał
e
Sp
oś
am
ci,
po
N
ds
ar
zy
us
ci
ze
e
ni
się
e
pr
aw
au
to
rs
ki
ch
Ko
ń
tro
ja
ńs
Pr
ki
ób
y
Sk
ni
eu
an
pr
ow
aw
an
ni
ie
on
eg
o
lo
go
W
wa
ła
ni
m
a
an
ie
do
W
yk
ap
or
lik
zy
ac
st
ji
R
an
ob
i
e
R
ak
oz
zn
si
an
pr
ec
os
yc
io
zo
h
w
lu
y
ny
k
at
s
ys
ak
te
bl
m
ok
ow
uj
yc
ąc
h
y
se
rw
is
(D
D
oS
)
Kr
ad
zie
Ŝ
Statystyki z obsługi incydentów
Rozkład procentowy podtypów incydentów
30
25,95
22,27
17,59
13,20
10
1,22
0
Statystyki z obsługi incydentów
Źródła zgłoszeń, ataków i poszkodowani
60
56,5
49,1
39,4
40
35,7
30
20
25,4
24,9
14,2
13,1
8,2
10
0,3 0,3
3,3
4,3 4,2
2,1
0,3
5,8
5,7
2,3
4,9
0,0
ba
k
śr
od
e
O
Poszkodowany
Atakujący
y
an
zn
Ni
e
yjn
ac
ed
uk
da
w
cz
y
O
lu
b
so
ba
pr
rz
Je
dn
os
tk
a
IS
P
na
In
Zgłaszający
y
na
ąd
o
yw
at
wa
bu
se
A
a
cy
jn
ni
ek
om
er
ja
ty
tu
c
In
s
in
st
y
tu
cj
a
ds
.
be
Fi
rm
a
zp
iec
ko
m
er
ze
ń
cy
jn
st
w
a
a
T
0
C
ER
procent
50
Statystyki z obsługi incydentów
Pochodzenie zgłaszającego, poszkodowanego i atakującego
90
83,2
80
68,9
70
procent
60
50
42,4
40
34,5
31,1
30
23,1
20
8,5
10
0
Zgłaszający
Poszkodowany
Polska
Zagranica
Nieznany
Atakujący
8,3
Statystyki z obsługi incydentów
Rozkład procentowy podtypów incydentów w latach 2003-2008
90
81,6
80
70
procent
60
53,9
51,4
50
40
30
35,3
27,1
24,2
25,9
25,2
20
10
22,3
19,2
18,4
10,610,9
7,9
7,3
4,7
3,4
2,3
3,7
4,7
4,0
0,2 2,5
0,6 1,3
1,3
6,4
5,0 5,8
3,1
0,3
0
Skanowanie
Robak sieciowy
Spam
2003
17,6
12,5
Koń trojański
2004
2005
2006
KradzieŜ
toŜsamości,
podszycie się
2007
2008
2,4 1,21,0
5,1
0,8
0,6 0,8 1,5 1,2
Naruszenie praw Rozproszony atak
autorskich
blokujący serwis
(DDoS)
Statystyki z obsługi incydentów
Liczba incydentów 1996-2008
3000
2516
2500
2427
2108
2000
1796
1500
1196
1222
1013
1000
741
500
50
75
100
105
126
0
1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008
Trendy i nowe zjawiska
Phishing:
•
Coraz więcej incydentów dotyczących polskich banków;
•
Wykorzystanie mechanizmu Fast Flux;
•
Dedykowane złośliwe oprogramowanie zastępuje tradycyjny kanał dystrybucji phishing’u,
jakim jest Spam;
•
Jeden skompromitowany serwer hostuje kilka stron;
•
Zeus zastąpił Mebroot’a;
•
Wykorzystanie metody POST;
•
Pierwsze ataki z wykorzystaniem kodów sms;
•
Fałszowanie stanu konta po dokonaniu kradzieży
•
Phishing coraz trudniejszy do zidentyfikowania dla przeciętnego użytkownika;
•
Malware instalowany w bankomatach;
•
Ataki skierowane na PDA
Trendy i nowe zjawiska
Malware:
•
•
Wykorzystanie zaciemnionego JavaScript’u
oraz techniki „drive-by download” do
dystrybucji złośliwego kodu;
Ataki na duże serwisy np. pajacyk.pl
source: http://honeynet.org/papers/mws
Trendy i nowe zjawiska
Inne:
•
Botnety zarządzane przez WWW i P2P;
•
Identyfikacja atakującego, szczególnie przy incydentach generowanych
przez botnety;
•
DDoS – ataki na duże instytucje oraz infrastrukture krytyczną;
•
DDoS – duże ilości danych do przetworzenia (logi), problem z
zablokowaniem ataku;
•
Copyright – duża liczba zgłoszeń z automatów, różne podejście
administratorów, problem z identyfikacją w sieciach NAT;
•
Hosting próbny;
•
Serwery znajdujące się w Chinach, Rosji (RBN) itp.;
Raport CERT Polska 2008
Raport CERT Polska za rok 2008 dostępny pod
adresem:
•
http://www.cert.pl/PDF/Raport_CP_2008.pdf