Ciemne strony Internetu, czyli przestępcy w Sieci. Ireneusz Parafjańczuk CERT Polska

Transkrypt

1 Ciemne strony Internetu, czyli przestępcy w Sieci Ireneusz Parafjańczuk CERT Polska

2 KILKA ZAŁOŻEŃ PREZENTOWANE SĄ TYLKO PRZYKŁADY W POSZCZEGÓLNYCH DZIEDZINACH. ŚRODOWISKO JEST BARDZO DYNAMICZNE NIE PORUSZAMY NIEKTÓRYCH TEMATÓW, NP.: JĘZYK EBLISH OBRAZ, KTÓRY PRZEDSTAWIAMY CZĘSTO JEST ANALIZOWANY TYLKO Z NASZEJ PERSPEKTYWY, NP.: W PODZIEMIU NIKT NIE INTERESUJE SIĘ NARODOWOŚCIĄ INFORMACJE POCHODZĄ RÓWNIEŻ ZE ŹRÓDEŁ OGÓLNO DOSTĘPNYCH WSZYSTKIE DANE, NAZWY, ADRESY I IDENTYFIKATORY ZOSTAŁY ZMIENIONE CHYBA ŻE SĄ OGÓLNIE DOSTĘPNE

3 Kim jesteśmy? NASK Naukowa i Akademicka Sieć Komputerowa - Serwisy komercyjne - DNS CERT Polska działa w ramach NASK - Pomoc użytkownikom - Edukacja - Ekspertyzy - Badania CERT Polska nie jest zespołem bezpieczeństwa NASK.

4 Trochę historii 1996 powstanie CERT NASK 1997 członkostwo w FIRST 2000 rozszerzenie formuły działania do formuły CERT Polska 2001 członkostwo TERENA TF CSIRT 2002 Trusted Introducer Accredited Team 2005 uruchomienie NIFC Hotline Polska

5 Główne zadania... Rejestrowanie i obsługa zdarzeń Alarmowanie użytkowników o zagrożeniach Współpraca z innymi zespołami IRT (Incidents Response Team) w ramach FIRST Prowadzenie działań zmierzających do wzrostu świadomości dotyczącej bezpieczeństwa teleinformatycznego Prowadzenie badań i przygotowanie raportów dotyczących bezpieczeństwa polskich zasobów Internetu Współpraca z Policją i Wymiarem Sprawiedliwości - opracowywanie ekspertyz technicznych, oraz współudział w organizowaniu szkoleń z zakresu: technicznych aspektów zabezpieczania dowodów elektronicznych w przestępstwach komputerowych analizy materiału dowodowego sposobów poszukiwania i prawidłowej interpretacji informacji elektronicznej dostępnej w sprzęcie i sieciach komputerowych

6

7

8 Coś na wstęp... Russia's MVD General Miroshnikov: Rosyjscy hakerzy z lat 90-tych byli zwykłymi sieciowymi chuliganami, teraz są zorganizowanymi, wirtualnymi grupami, które zarabiają imponujące sumy pieniędzy. e-crime Congress in London 2005

9 KTO STANOWI PODZIEMIE? PRZEDE WSZYSTKIM JEST SPECJALIZACJA Tworzący oprogramowanie (twórcy kodu nie korzystają z niego) np.: rosyjscy hakerzy zlecają pracę chińskim programistom, ponieważ jest taniej Dokonujący przestępstwa Zleceniodawcy CHĘTNI LUB NIECHĘTNI (ZMUSZENI)

10 KTO STANOWI PODZIEMIE? KTO KUPUJE? Oczywiście pojedynczy przestępcy, ale jeszcze częściej zorganizowane grupy przestępcze OPRÓCZ TEGO Rządy krajów Firmy zajmujące się bezpieczeństwem, np.: idefense ILE NA TYM ZARABIAJĄ Roczny zarobek wykwalifikowanego hakera pracującego dla spamerów waha się pomiędzy sumą $ a $ Więcej szczegółów później...

11 KTO STANOWI PODZIEMIE? Najczęściej wykorzystywane metody/narzędzia: Istnieje wewnętrzny niepisany kodeks np.: potrafią ukarać wyeliminowaniem z biznesu za nie płacenie rachunków Ciągle rekrutują, m.in. dlatego, że wszyscy mają obowiązek dzielenia się wiedzą Organizują się w bardzo sprawnie działające grupy przestępcze W jednym miejscu potrafią działać przez wiele miesięcy (przy okazji dość dobrze zabezpieczając komputer)

12 GDZIE SIĘ TO DZIEJE? GENERALNIE GRANIC GEOGRAFICZNYCH, NARODOWOŚCIOWYCH, POLITYCZNYCH, ŚWIATOPOGLĄDOWYCH ITP.. NIE MA, ORGANIZOWANE SĄ INTERNETOWE CZARNE RYNKI Shadowcrew członków 19 osób personelu (towarzystwo międzynarodowe) obroty: ccs straty (zyski) udowodnione: $

13 JAK DZIAŁA PODZIEMIE? WIEDZA policja pracuje 8-16 policja pracuje z określonych adresów IP NAJCZĘŚCIEJ WYKORZYSTYWANE METODY/NARZĘDZIA: Sieci Botnet i ataki DDoS Spam relay IRC bounce Phishing i pharming Mobilne botnet-y

14 CO MOŻNA KUPIĆ I ILE TO KOSZTUJE? (CO NAM KRADNĄ I ILE TRACIMY?) NA SPRZEDAŻ JEST PRAWIE WSZYSTKO, A W SZCZEGÓLNOŚCI: Karty kredytowe Amerykańskie z CVV == US $2.11 Amerykańskie bez CVV == US $0.53 Nie amerykańskie z CVV == US $2.64 Nie amerykańskie bez CVV == US $ gotowych do użycia CCS == US $ Kod do stworzenia bot-netu == US $ 50 dostosowanie kodu ==~ US $ /configure community może być sprzedawany wielokrotnie

15 CO MOŻNA KUPIĆ I ILE TO KOSZTUJE? (CO NAM KRADNĄ I ILE TRACIMY?) EXPLOITY (SPLOITS) Na dziurę znaną == US $ Na dziurę nieznaną == US $ ZESTAW DO STWORZENIA BOTNETU zainfekowanych adresów IP gotowych do uruchomienia botnetu kosztuje US $ Dodatkowo kod US $ 50 - Dostosowanie specjalistyczne US $ ~ ZAPROJEKTOWANIE STRONY DO PHISHINGU == US $ 50 TEKST FAŁSZYWEGO A == $ 100 MOŻNA SIĘ TEŻ WYMIENIAĆ CISCOs == 3-5 CSS, CAYMAN WŁAŚCIWIE ZA DARMO DO SPRZEDAŻY RÓWNIEŻ WSZELKIEJ MAŚCI DANE OSOBOWE (z nazwiskiem panieńskim matki włącznie)

16 Rynek MAMY DO CZYNIENIA Z DOBRZE OPRACOWANYM PRODUKTEM Zniżki za wolumen Programy lojalnościowe Serwisy oceniające sprzedawców Reklamy (spam, listy dyskusyjne) Zróżnicowane ceny, np.: cena kary kredytowej uzależniona od: limitu PIN-u dodatkowych danych osobowych powiązanych z kartą pożar fabryki podnosi ceny

17 CO MOŻNA KUPIĆ I ILE TO KOSZTUJE? (CO NAM KRADNĄ I ILE TRACIMY?) ZESTAW RZECZYWISTYCH TRANSAKCJI JEDNEJ Z GRUP PRZESTĘPCZYCH Z OKRESU 6 H 1. US $3100 moved through egold. 3. US $710 moved through egold. 2. US $120 moved through egold. 4. US $2530 extracted from a US debit card. 6. US $30000 moved through egold. 5. US $5.00 extracted from a credit card on a monthly basis to pay for an online gaming service. Hey, I can't all time spent just working US $

18 Podziemie - możliwości 21 października 2004 próba wyłączenia Internetu atak ping flood na 13 root serwerów DNS na szczęście nieudany znaczny wzrost linii na wykresach... Niezadowoleni hakerzy wyłączają serwis zajmujący się bezpieczeństwem źle znieśli krytykę m.in. Rootkit.com

19 Kradzież tożsamości LexisNexis data broker info o możliwości wycieku kodów Social Security Audyt 59 kradzieży danych przy użyciu skradzionych haseł łącznie kodów Social Security Łącznie od lutego mówi się o danych skradzionych z różnych firm w USA lexisnexis-theft_x.htm

20 Phishing... wymyślili Polacy...??? Pierwszy polski przypadek 2001 rok strona zawierająca elementy WBK umieszczona w USA z możliwością sprawdzenia ważności karty... ok. 10 klientów... nie zdążył...

21 Takie sobie proste wpływanie na routing...

22

23 Efekty Ok zł Grupa ok. 10 osób 2 organizatorów Przelewy na lewe konta wypłata przez podstawione osoby słupy Produkcja tzw. białych kart... Nowe pomysły w fazie testowania... Na podstawie 6 systemów zidentyfikowaliśmy 32 ofiary i 4 winnych...

24 Phishing made in PL... abcbankonline.pl

25 Efekty ok zł strat... ok. 6 osób przynajmniej 1 organizator Przelewy na lewe konta wypłata przez podstawione osoby słupy Produkcja tzw. białych kart...

26 Wirus... obserwacja Nowe wersje na wolności 6-8 dni przed szczepionkami AV...!!!...ok unikalnych adresów IP... Uaktualnienia - zlecenia trojany keyloger y DDoS y spam

27 Znowu bank... z szantażem... i żądaniem okupu szczegółowe dochodzenie systemy komputerowe procedury dochodzenie wewnętrzne przesłuchania pracowników... Kasjer i... panny... dostęp o 4 poziomy wyżej...

28 Botnety... Rzeszów... Botnet ok do 1500 komputerów Blokada strony MPK Ataki na zamówienie Zabawa... 6 delikwentów lat... Zarobili... $300 - straty... Ok zł Kołobrzeg Botnet ok do 2500 komputerów Wynajem na spam, ataki na zamówienie - $2500 Ataki ideologiczne... Kolekcjonowanie haseł i numerów CC Sprzedaż numerów CC Zamówienia przez internet ok. $2000

29 Spamerzy Serwery IRC bezpieczeństwo SSL SSH cyber-przestępcy Virus writers FIREWALL Hakerzy Zamknięte fora dyskusyjne USENET carders proxy słupy Botnety anonymizery Wytwórcy plastików IP v6 Sprzedawcy informacji CC SSC

30 Pocieszające Wirus Zotob sparaliżował kilka instytucji - Financial Times, ABCNews and CNN Autorzy Turek i Marokańczyk, ale z Rosji Kod z Rosji bazujący na Mytob Exploit z Rosji ten sam autor co Sasser Autorzy również 20 innych wirusów mutacji Mydoom, Mytob i Zotob Motywy finansowe Zotob obniżał poziom zabezpieczeń IE w celu wyświetlania reklam

31 Przyszłość...? Mobilne botnety...? Google przeciw nam... txt, doc, xls, mdb, etc... Mobilny phishing i pharming przez DNS Więcej wirusów Lepsza organizacja

32 Podsumowując Program antywirusowy UAKTUALNIENIA!!!!!! Ściana ogniowa Personal Firewall UAKTUALNIENIA!!!!!! Aktualizacje oprogramowania Myślenie -z kim jestem połączony - banki mają nasze dane - nie czytać i od nieznajomych - nie podążać bezmyślnie za linkami - nie ma nic za darmo Kto pyta nie błądzi zapytaj - np. CERT Polska Przeglądarka inna niż wbudowana w system - Opera, FireFox, Mozilla, Netscape Unikać używania Bluetooth w telefonach komórkowych - wyłączyć

33 Dziękuję CERT Polska (tylko incydenty!)