Cyberataki wczoraj, dziś i jutro
Transkrypt
Cyberataki wczoraj, dziś i jutro
Cyberataki wczoraj, dziś i jutro Tomasz Grudziecki CERT Polska/NASK Trochę o terminologii… IRT (Incident Response Team) CSIRT (Computer Security Incident Response Team) CERT® (Computer Emergency Response Team) CIRC (Computer Incident Response Capability) SIRT (Security Incident Response Team) Rola CERT Polska jako zespołu krajowego Koordynacja przekazywania informacji zaufane źródła pozyskiwania CERT Polska operatorzy Zespół „ostatniej szansy” Katalizator do powstawania nowych zespołów Projekty międzynarodowe Statystyki, raporty, wczesne ostrzeganie Dlaczego CERT Polska? 17.08.1991 NASK łączy Polskę z Internetem od 1992 NASK prowadzi rejestr domen .pl . 1996 – powstaje CERT NASK 2000 – zmiana nazwy na CERT Polska 2008 – powstaje CERT.GOV.PL Krótka historia cyberzagrożeń • Lata ‘80 – pierwsze wirusy i robaki • Lata ‘90 – wkracza polimorfizm • Przełom wieków – poczta elektroniczna nośnikiem zła • 2001 – pierwszy „multitool”: Nimda • 2003 – masowy sprinter: Slammer Krótka historia cyberzagrożeń • 2003r.: robak Blaster/Lovesan zaprojektowany, by zaatakować stronę windowsupdate.com Microsoft się złamał – zamknął witrynę • Wojny robaków: • Welchia/Nachi vs. Blaster (2003) • MyDoom + Bagle vs. Netsky (2004) • Sasser vs. Dabber (2004) • SpyEye vs. ZeuS (2010) Krótka historia cyberzagrożeń • Czasy współczesne – coraz większa złożoność i zasięg • • Trojany bankowe • • ZeuS, SpyEye (2007-2010) Web 2.0 – portale społecznościowe pod obstrzałem • • Mebroot i Conficker (2008) Koobface (2008/2009) Nowy wektor ataków – aplikacje klienckie Krótka historia cyberzagrożeń • Czarny rynek rozkwita • 2006/2007: MPack kit • Za jedyne 500$-1000$ 1000$ pełny zestaw narzędzi z GUI do tworzenia, dystrybucji i zarządzania malware-m • 2007: IcePack kit • • Za jedyne 400$ bardziej zaawansowany i automatyczny Wzrost forów poświęconych wymianie informacji i handlowi lukami, exploitami,, „kitami”, skradzionymi danymi • Botnet (jako usługa) do wynajęcia Krótka historia cyberzagrożeń • Wyjście poza PC • Botnet Chuck Norris (2010) • • ZITMO (2011) • • Atakuje domowe routery/AP /modemy DSL Mobilna wersja ZeuS-a (kody autoryzacyne via SMS) DroidDream (2011) • Przejmowanie smartfonów z systemem Android Krótka historia cyberzagrożeń • Cyberszpiedzy i cyberwojna • 2007: cyberatak na Estonię • 2008: cyberatak na Gruzję (++ konflikt zbrojny!) • 2007-2009: GhostNet – szpiegostwo wrogiego rządu • 2009/2010: Operacja Aurora – szpiegostwo przemysłowe • 2010: Stuxnet – sabotaż • 2011: Lockheed Martin – pozyskanie technologii wojskowych (Lockheed Martin, RSA) Jaki jest cel tego wszystkiego? • Dawniej: • By pokazać niedoskonałości aplikacji bądź systemów • By przynosić sławę twórcom • By złośliwie usuwać z systemu różne pliki • By wyświetlać zabawne lub obraźliwe komunikaty Jaki jest cel tego wszystkiego? • Dziś: • Ransomware – szantaż • Scareware – zastraszanie • Kradzieże tożsamości i danych • Botnety – najemna armia • Ataki APT • Cyberwojna, cyberterroryzm, cyberterroryzm cyberrewolucja… ) E-wojna • 2007: cyberatak na Estonię • Paraliż serwisów, mediów, e-handlu, e płatności on-line, infrastruktury (DNS)… • Obywatelskie „pospolite ruszenie” – atakowali także „zwykli” obywatele • 2008: cyberatak na Gruzję • Podobny jak w przypadku Estonii • Równolegle miał miejsce konflikt zbrojny E-wojna • (2007)/2008/2009 Gh0stNet • Przykład jednego z pierwszych ataków APT (Advanced Persistent Threat): • o Inwigilacja i szpiegostwo – nie zarabianie o Działanie wolne, przemyślane, sukcesywne, niezauważone Cel: instytucje rządowe i polityczne wielu (wrogich) państw • Ok. 1300 komputerów w 130 krajach, 30% z nich komputery rządowe • Wykryty pierwotnie w komputerach organizacji pro-tybetańskiej… pro • Wektor ataku: socjotechnika (*@freetibet.org freetibet.org) i „stare” luki • Źródło: Chiny E-wojna • 12.2009/2010 Operacja Aurora • Google, Adobe,, Yahoo, Symantec, Juniper, Northrop Grumman, Dow Chemical • Szpiegostwo przemysłowe … czy może jednak polityczne? Google twierdził, że motywy polityczne… • Ostra reakcja, szczególnie Google • Wektor ataku: 0-day day w IE oraz socjotechnika • Źródło: Chiny E-wojna • (2009)2010: Stuxnet • Napisany od zera w celu ataku na systemy przemysłowe SCADA firmy Siemens (określone modele sterowników PLC) • Zasięg (szacowany): 100.000 (60% w Iranie) • Bardzo duże wsparcie finansowe – koszty wytworzenia: • Kod napisany w kilku językach (wielu twórców?) • Autorzy musieli mieć dostęp do drogiego i niszowego sprzętu • Wykorzystano 4 luki 0-day day w jednym robaku!!! • Sterowniki podpisane wykradzionymi certyfikatami (Realtec Semiconductor Corp.) E-wojna • (2009)2010: Stuxnet • Faza działania: • Podmiana bibliotek umożliwiająca przechwycenie komunikacji PC <->> PLC oraz podmianę danych (przeprogramowanie). • Atakowane tylko urządzenia wirujące (np. wirówki do wzbogacania uranu) • Nie udało się oszacować czy i co zostało wykradzione… • Nie są znane potencjalne straty… • Źródło: ??? E-wojna • 2011: Lockheed Martin i RSA • Amerykański koncern zbrojeniowy • Wektor ataku: Włamanie do sieci Lockheed Martin przez wykradzione wcześniej dane (tokeny SecurID) SecurID w ataku na RSA Security • Lockheed Martin twierdzi, że kluczowe dane są bezpieczne • Źródło: ??? E-wojna • 2010: Cyberrewolucja: WikiLeaks • Publikacja >250.000 tajnych depesz rządu USA • Ostra reakcja rządu USA i innych państw, serwisów takich jak PayPal, oraz „zwykłyuch”” ludzi • Odwet: akcja Avenge Assange – ataki DDoS przeprowadzane przez Anonymous Co będzie jutro? • Czy ataki będą: • Coraz odważniejsze? • Coraz bardziej zaawansowane? • Cyberszpiegostwo będzie się zwiększać? • 30-to osobowa chińska Blue Army • 05.2011: Pentagon ujawnia nowe regulacje: USA na cyberatak może odpowiedzieć bronią konwencjonalną • Wyścig zbrojeń trwa…