Cyberataki wczoraj, dziś i jutro

Cyberataki
wczoraj, dziś i jutro
Tomasz Grudziecki
CERT Polska/NASK
Trochę o terminologii…
IRT (Incident Response Team)
CSIRT (Computer Security Incident Response
Team)
CERT® (Computer Emergency Response Team)
CIRC (Computer Incident Response Capability)
SIRT (Security Incident Response Team)
Rola CERT Polska jako zespołu krajowego
Koordynacja przekazywania informacji
zaufane źródła pozyskiwania CERT Polska operatorzy
Zespół „ostatniej szansy”
Katalizator do powstawania nowych zespołów
Projekty międzynarodowe
Statystyki, raporty, wczesne ostrzeganie
Dlaczego CERT Polska?
17.08.1991 NASK łączy Polskę z Internetem
od 1992 NASK prowadzi rejestr domen .pl
.
1996 – powstaje CERT NASK
2000 – zmiana nazwy na CERT Polska
2008 – powstaje CERT.GOV.PL
Krótka historia cyberzagrożeń
•
Lata ‘80 – pierwsze wirusy i robaki
•
Lata ‘90 – wkracza polimorfizm
•
Przełom wieków – poczta elektroniczna nośnikiem zła
•
2001 – pierwszy „multitool”: Nimda
•
2003 – masowy sprinter: Slammer
Krótka historia cyberzagrożeń
•
2003r.: robak Blaster/Lovesan
zaprojektowany, by zaatakować stronę windowsupdate.com
Microsoft się złamał – zamknął witrynę
•
Wojny robaków:
•
Welchia/Nachi vs. Blaster (2003)
•
MyDoom + Bagle vs. Netsky (2004)
•
Sasser vs. Dabber (2004)
•
SpyEye vs. ZeuS (2010)
Krótka historia cyberzagrożeń
•
Czasy współczesne – coraz większa złożoność i zasięg
•
•
Trojany bankowe
•
•
ZeuS, SpyEye (2007-2010)
Web 2.0 – portale społecznościowe pod obstrzałem
•
•
Mebroot i Conficker (2008)
Koobface (2008/2009)
Nowy wektor ataków – aplikacje klienckie
Krótka historia cyberzagrożeń
•
Czarny rynek rozkwita
•
2006/2007: MPack kit
•
Za jedyne 500$-1000$
1000$ pełny zestaw narzędzi z GUI do
tworzenia, dystrybucji i zarządzania malware-m
•
2007: IcePack kit
•
•
Za jedyne 400$ bardziej zaawansowany i automatyczny
Wzrost forów poświęconych wymianie informacji i handlowi
lukami, exploitami,, „kitami”, skradzionymi danymi
•
Botnet (jako usługa) do wynajęcia
Krótka historia cyberzagrożeń
•
Wyjście poza PC
•
Botnet Chuck Norris (2010)
•
•
ZITMO (2011)
•
•
Atakuje domowe routery/AP /modemy DSL
Mobilna wersja ZeuS-a (kody autoryzacyne via SMS)
DroidDream (2011)
•
Przejmowanie smartfonów z systemem Android
Krótka historia cyberzagrożeń
•
Cyberszpiedzy i cyberwojna
•
2007: cyberatak na Estonię
•
2008: cyberatak na Gruzję (++ konflikt zbrojny!)
•
2007-2009: GhostNet – szpiegostwo wrogiego rządu
•
2009/2010: Operacja Aurora – szpiegostwo przemysłowe
•
2010: Stuxnet – sabotaż
•
2011: Lockheed Martin – pozyskanie technologii wojskowych
(Lockheed Martin, RSA)
Jaki jest cel tego wszystkiego?
•
Dawniej:
•
By pokazać niedoskonałości aplikacji bądź systemów
•
By przynosić sławę twórcom
•
By złośliwie usuwać z systemu różne pliki
•
By wyświetlać zabawne lub obraźliwe komunikaty
Jaki jest cel tego wszystkiego?
•
Dziś:
•
Ransomware – szantaż
•
Scareware – zastraszanie
•
Kradzieże tożsamości i danych
•
Botnety – najemna armia
•
Ataki APT
•
Cyberwojna, cyberterroryzm,
cyberterroryzm cyberrewolucja…
)
E-wojna
•
2007: cyberatak na Estonię
•
Paraliż serwisów, mediów, e-handlu,
e
płatności on-line,
infrastruktury (DNS)…
•
Obywatelskie „pospolite ruszenie” – atakowali także
„zwykli” obywatele
•
2008: cyberatak na Gruzję
•
Podobny jak w przypadku Estonii
•
Równolegle miał miejsce konflikt zbrojny
E-wojna
•
(2007)/2008/2009 Gh0stNet
•
Przykład jednego z pierwszych ataków APT
(Advanced Persistent Threat):
•
o
Inwigilacja i szpiegostwo – nie zarabianie
o
Działanie wolne, przemyślane, sukcesywne, niezauważone
Cel: instytucje rządowe i polityczne wielu (wrogich) państw
•
Ok. 1300 komputerów w 130 krajach, 30% z nich komputery rządowe
•
Wykryty pierwotnie w komputerach organizacji pro-tybetańskiej…
pro
•
Wektor ataku: socjotechnika (*@freetibet.org
freetibet.org) i „stare” luki
•
Źródło: Chiny
E-wojna
•
12.2009/2010 Operacja Aurora
•
Google, Adobe,, Yahoo, Symantec, Juniper, Northrop Grumman,
Dow Chemical
•
Szpiegostwo przemysłowe … czy może jednak polityczne?
Google twierdził, że motywy polityczne…
•
Ostra reakcja, szczególnie Google
•
Wektor ataku: 0-day
day w IE oraz socjotechnika
•
Źródło: Chiny
E-wojna
•
(2009)2010: Stuxnet
•
Napisany od zera w celu ataku na systemy przemysłowe SCADA
firmy Siemens (określone modele sterowników PLC)
•
Zasięg (szacowany): 100.000 (60% w Iranie)
•
Bardzo duże wsparcie finansowe – koszty wytworzenia:
•
Kod napisany w kilku językach (wielu twórców?)
•
Autorzy musieli mieć dostęp do drogiego i niszowego sprzętu
•
Wykorzystano 4 luki 0-day
day w jednym robaku!!!
•
Sterowniki podpisane wykradzionymi certyfikatami
(Realtec Semiconductor Corp.)
E-wojna
•
(2009)2010: Stuxnet
•
Faza działania:
•
Podmiana bibliotek umożliwiająca przechwycenie komunikacji
PC <->> PLC oraz podmianę danych (przeprogramowanie).
•
Atakowane tylko urządzenia wirujące
(np. wirówki do wzbogacania uranu)
•
Nie udało się oszacować czy i co zostało wykradzione…
•
Nie są znane potencjalne straty…
•
Źródło: ???
E-wojna
•
2011: Lockheed Martin i RSA
•
Amerykański koncern zbrojeniowy
•
Wektor ataku:
Włamanie do sieci Lockheed Martin przez wykradzione
wcześniej dane (tokeny SecurID)
SecurID w ataku na RSA Security
•
Lockheed Martin twierdzi, że kluczowe dane są bezpieczne
•
Źródło: ???
E-wojna
•
2010: Cyberrewolucja: WikiLeaks
•
Publikacja >250.000 tajnych depesz rządu USA
•
Ostra reakcja rządu USA i innych państw, serwisów takich jak
PayPal, oraz „zwykłyuch”” ludzi
•
Odwet: akcja Avenge Assange – ataki DDoS przeprowadzane
przez Anonymous
Co będzie jutro?
•
Czy ataki będą:
•
Coraz odważniejsze?
•
Coraz bardziej zaawansowane?
•
Cyberszpiegostwo będzie się zwiększać?
•
30-to osobowa chińska Blue Army
•
05.2011: Pentagon ujawnia nowe regulacje: USA na cyberatak może
odpowiedzieć bronią konwencjonalną
•
Wyścig zbrojeń trwa…