Internetowy czarny rynek

Transkrypt

1 Internetowy czarny rynek Kierunki rozwoju zagrożeń i kto za tym wszystkim stoi? Warszawa, 17 maj 2008 Michał Kułakowski System Engineer / Polska 1

2 Agenda Z lotu ptaka Zagrożenia wewnętrzne Modele biznesowe Carding Botnet herding adware planting wymuszenia Phishing Co dalej? Najważniejsze trendy 2 2

3 Kłamstwa, bezczelne kłamstwa i statystyki W styczniu 2007 na skutek ataku na grupę TJX (retail) skradzionych zostaje 45 mln rekordów danych dotyczących klientów, w tym numery kart kredytowych Forrester podaje pomiędzy 90 a 305 USD za rekord. Straty większe niż 1 mld USD Inni analitycy dochodzą do 8 mld TJX jest notowany na giełdzie. Obowiązany jest podać swoim akcjonariuszom estymację i prognozę faktycznie poniesionych kosztów. Zarówno jej zaniżenie jak i zawyżenie pogorszyłoby sytuację. Opracowanie ukazuje się w sierpniu 2007 i opiewa na 164 mln USD 3 3

4 CSI Survey 2007 Computer Crime and Security Survey, a.k.a CSI Survey Poprzednio znane jako CSI/FBI 12 lat tradycji, jedno z najczęściej cytowanych badań statystycznych w dziedzinie bezpieczeństwa informacji Dotyczy rynku amerykańskiego i oparte jest na ankiecie przeprowadzanej wśród członków organizacji oraz uczestników konferencji Dzięki stałej i relatywnie wiarygodnej grupie respondentów dobrze pokazuje trendy 4 4

5 5 5

6 6 6

7 Wirus Zagrożenie wewnętrzne Phishing jako atak na organizację Nadużycie IM 7 7

8 Agenda Z lotu ptaka Zagrożenia wewnętrzne Modele biznesowe Carding Botnet herding adware planting wymuszenia Phishing Co dalej? Najważniejsze trendy 8 8

9 Zagrożenia wewnętrzne Dawn Capelli z CERT przy Carnegie Mellon University prowadzi badania nad modelami psychologicznymi napastnika działającego z wewnątrz Analizuje ok. 250 udokumentowanych przypadków z baz CERT i FBI Wyróżnia trzy główne typy: Kradzież lub modyfikacja danych dla zysku finansowego Kradzież danych dla uzyskania przewagi biznesowej Sabotaż 9 9

10 Kradzież danych dla uzyskania przewagi biznesowej Kto Pracownicy techniczni i sprzedaż Mężczyźni Średnia wieku 37 Co Własność intelektualna Dane klientów Bardzo często zdarzenie wiązało się ze zmianą pracy, a więc było jednorazowe 10 10

11 Sabotaż Kto Stanowiska techniczne Mężczyźni od 17 do 60 lat Ataki te przypuszczone zostały w odwecie za utratę pracy, a więc z zewnątrz przy użyciu wiedzy o podatnościach infrastruktury w organizacji W większości przypadków były możliwe do przewidzenia. Napastnicy dawali swoim zachowaniem wyraźne sygnały na długo przedtem zanim nastąpił atak

12 Kradzież lub modyfikacja danych dla zysku finansowego Kto Pracownicy niskiego szczebla Średnia wieku 33 Kobiety i mężczyźni Co Dane klientów Dane osobowe Bardzo rzadko tajemnica handlowa Dane przeznaczone są na sprzedaż W 50% przypadków związanych z kradzieżą i 30% związanych z modyfikacją atakujący został zwerbowany przez osobę z zewnątrz 12 12

13 Agenda Z lotu ptaka Zagrożenia wewnętrzne Modele biznesowe Carding Botnet herding adware planting wymuszenia Phishing Co dalej? Najważniejsze trendy 13 13

14 Aktorzy Koderzy twórcy narzędzi Dzieciaki (Kids) siła robocza Nadzorcy mózg operacji Paserzy 14 14

15 Koderzy Wiek lat 5+ lat doświadczenia w społeczności Sprzedają gotowe do użycia narzędzia Dzieciakom Zarobki w setkach USD za narzędzie/usługę Ograniczone ryzyko (disclaimery) 15 15

16 Dzieciaki Wiek lat Okupują kanały IRC, na których handluje się numerami kart kredytowych Kupują i sprzedają podstawowe informacje potrzebne do popełniania przestępstw Kilkadziesiąt USD miesięcznego dochodu Oszustwa są bardzo częste Znikomy procent faktycznie dopuszcza się ataków (bariera wiedzy) 16 16

17 Nadzorcy Powiązania ze światem zorganizowanej przestępczości Działają na granicy prawa Niezmiernie trudni do postawienia przed sądem 17 17

18 Paserzy Starsi niż Dzieciaki Trudnią się kapitalizowaniem wirtualnych pieniędzy Przelewy są wykonywanie do i z legalnego konta bankowego Zatrzymują ok. 50% wartości transakcji Znaczenie Sieci Zaufania Żyją w krajach, gdzie ich dzialalność nie jest ścigana (Indonezja, Malezja, Boliwia) 18 18

19 Rynek IRC IM 19 19

20 Waluta Przekazy pieniężne (Western Union, MoneyGram, etc.) Nieodwracalne Zasięg globalny Anonimowość w niektórych krajach egold ( Nieodwracalny Zasięg Globalny Anonimowy 20 20

21 Agenda Z lotu ptaka Zagrożenia wewnętrzne Modele biznesowe Carding Botnet herding adware planting wymuszenia SPAM Phishing Co dalej? Najważniejsze trendy 21 21

22 Carding CC Full to żargonowe określenie na numer karty, plus imię i nazwisko właściciela, jego adres, datę wygaśnięcia karty i numer weryfikacyjny (CVV) Dane te mogą być uzyskane w wyniku ataku na sklep trzymający dane swoich klientów lub phishingu CC Full kosztuje 2-5 USD (e-gold) 80% numerów, którymi handluje się na IRC jest nieważnych Znaczenie Sieci Zaufania Numery kupowane są w pakietach Sklep wykorzystywany do zakupów musi być cardable czyli pozwalać na różnicę pomiędzy adresem karty a wysyłkowym. Jednym z większych przykładów jest... amazon.com 22 22

23 Schemat 23 23

24 Analiza opłacalności Koszty Zakup 40 ważnych numerów: 200 USD (100 numerów po 2 USD) Opłacenie 10 paserów aby wysłali po jednej paczce tygodniowo: 800 USD Koszty wysyłki (paser): $800 Zyski Sprzedaż dobr na aukcji internetowej: $16,000 ($400 za paczkę) Koszt miesięcznie: USD Przychód miesięcznie: USD Zysk miesięcnie: USD Współczynnik opłacalności (Zysk/Koszt): 8,

25 Agenda Z lotu ptaka Zagrożenia wewnętrzne Modele biznesowe Carding Botnet herding adware planting wymuszenia Phishing Co dalej? Najważniejsze trendy 25 25

26 Zastosowania botnetów Wymuszenia online (DDoS) Spyware Planting (główne źródło dochodów pasterzy ) SPAM Keylogging/Sniffing 26 26

27 Adware planting Firma A tworzy oprogramowanie wyświetlające reklamy Ogłoszeniodawcy płacą firmie A za liczbę odsłon Firma A płaci swoim partnerom za instalację adware na maszynach użytkowników Pełne spektrum metod od moralnie usprawiedliwionego udostępniania oprogramowania komercyjnego w darmowej wersji wyposażonej w reklamy po współpracę z pasterzami w celu instalacji bez zgody użytkownika 27 27

28 Schemat 28 28

29 BetterInternet (przykład) 29 29

30 Analiza opłacalności Koszty stworzenia botnetu: root na którym utrzymywany będzie kanał kontrolny 15 USD Skradzona karta kredytowa aby zarejestrować domenę: 2 USD Kod bota: 2 USD Uczynienie bota niewidzialnym dla skanerów AV na 1-2 dni 100 USD Świeża lista spamowa 8 USD Mailery do wysłania maili w 6 godzin: 30 USD W sumie: 157 USD (jednorazowo) Przychód (cena instalacji x pojemność botnetu x liczba instalacji w miesiącu): 0.4 x 5000 x 8 = USD/m-c Zysk: USD (pierwszy miesiąc) Współczynnik opłacalności: 102 (pierwszy miesiąc) 30 30

31 Wymuszenia Za pomocą średniej wielkości botnetu (~ zombie) można z powodzeniem prowadzić ataki DDoS Wynajęcie centrum hostingowego pozwalającego się obronić (szerokie, zwielokrotnione łącza, odpowiednie filtry, etc) kosztuje ok USD/rok Jeżeli działalność ofiary jest silnie uzależniona od dostępności strony, a kwota wymuszenia odpowiednio mniejsza, operacja ma szanse powodzenia 31 31

32 Analiza opłacalności Koszt budowy 5-10 średniej wielkości botnetów: USD Przychód: USD zakładając 5 szantażowanych firm i średnią wysokość haraczu USD Zysk: USD (rocznie) Współczynnik opłacalności: 32,2 (rocznie) 32 32

33 Agenda Z lotu ptaka Zagrożenia wewnętrzne Modele biznesowe Carding Botnet herding adware planting wymuszenia Phishing Co dalej? Najważniejsze trendy 33 33

34 Mailer 34 34

35 Analiza opłacalności: koszty Koszty operacji phishingowej: Zestaw phishingowy: list i strona 5 USD Świeża lista spamowa 8 USD Mailery do wysłania maili w 6 godzin: 30 USD Przestrzeń na przejętym serwerze www na kilka dni: 10 USD Karta kredytowa dla zarejestrowania nazwy domenowej: 10 USD Suma: 63 USD 35 35

36 Analiza opłacalności - sprzedaż kont Typowo na wysłanych i uzyskać można 20 kont Typowo konto zawierające powyżej USD sprzedawane jest za USD Koszt: 63 USD Przychód: USD Zysk: USD Współczynnik opłacalności: 3,17-31,

37 Analiza opłacalności: realizacja przez pasera Zakładając: paser pobiera 50% szansa na bycie oszukanym 50% suma uzyskanych kont do USD Koszt: 63 USD Przychód: USD Współczynnik opłacalności:

38 Analiza opłacalności: realizacja przez konta zagraniczne Trzy kroki dla uzyskania dwóch poziomów anonimowości Zakup e-gold u za pomocą skradzionego konta ładowanie kart debetowych uzyskanych w zagranicznym banku Wydobycie gotówki Koszt: USD Przychód: USD Zysk: USD Współczynnik opłacalności:

39 Porównanie opłacalności z perspektywy struktur przestępczości zorganizowanej Skup skradzonych kont Właśni, zaufani paserzy Współczynnik opłacalności na poziomie 400+ Dla porówania w biznesie heroinowym: 10 kg opium kosztuje $100 - $1000 Nadaje się do wytworzenia 850 g heroiny Działka g sprzedawana za 100 USD Współczynnik opłacalności / = 1000 Powyższe nie uwzględnia kosztów przemytu, transportu, ochrony, etc

40 Agenda Z lotu ptaka Zagrożenia wewnętrzne Modele biznesowe Carding Botnet herding adware planting wymuszenia Phishing Co dalej? Najważniejsze trendy 40 40

41 Powrót dialerów? Klasyczne dialery przestały istnieć ponieważ dzisiejsze modemy (xdsl) nie mają funkcji PSTN Wzrost liczby smartphone ów, które są komputerami z funkcjami telefonicznymi 41 41

42 Schemat 42 42

43 Analiza opłacalności Pasterz kontroluje botnet składający się z 5000 telefonów - zombie Pasterz ogłasza swój botnet na IRC Właściciel firmy sprzedającej dzwonki oferuje 500 USD w e- gold za operację polegającą na pobraniu przez każdego z botów 10 dzwonków Szanse, że operator anuluje opłatę użytkownikowi, który twierdzi, że nie ściągał dzwonków są minimalne W razie większej operacji można ukrywać zleceniodawcę poprzez pobieranie dzwonków od różnych dostawców i samozniszczenie złośliwego kodu Jeżeli pobrani dzwonka kosztuje 2 USD, generowany jest przychód USD Współczynnik opłacalności:

44 Agenda Z lotu ptaka Zagrożenia wewnętrzne Modele biznesowe Carding Botnet herding adware planting wymuszenia Phishing Co dalej? Najważniejsze trendy 44 44

45 Wnioski Z punktu widzenia cyberprzestępcy atak na użytkownika indywidualnego jest dziś tak samo opłacalny jak na użytkownika korporacyjnego Rozróżnienie pomiędzy tymi dwoma zaciera się ze względu na popularność urządzeń mobilnych w miarę jak te stają się coraz bardziej osobiste Atak aby mógł być skuteczny prowadzony jest w sposób maksymalnie utrudniający wykrycie Pojedyńczy atak może wykorzystywać wiele kanałów propagacji ( , web, IM), zarządzania (IRC, Web, Skype API) czy uaktualnień (http, https na dowolnym porcie) Ataki targetowane stają się faktem 45 45

46 O Fortinet 46 46

47 O Fortinet 47 47

48 O FortiGate Powerful Centralized Management & Reporting Carrier, MSSP & Large Enterprise Enterprise SMB & Remote Office FortiGate-1000A FortiGate-5000 FortiGate-200A FortiGate-800F FortiGate-50B FortiGate-100A Secure & Client Software Fortinet Confidential 48

49 FortiASIC WEB GUI LOGGING Antivirus with Antispyware Intrusion Prevention Service CLI Web Content Filtering Firewall FortiOS Operating System FortiASIC Content Processor Antispam VPN SNMP Virtual Domains ANALYSIS Traffic Shaping MANAGEMENT Fortinet Confidential 49

50 Wirtualizacja zintegrowanego bezpieczeństwa FortiGate może wirtualizować wszystkie dostarczane technologie bezpieczeństwa, nie tylko Router/Firewall Wirtualizacja rozciąga się na strukturę centralnego zarządzania/raportowania Współpracujemy z największymi w branży jak VMWare, Citrix Fortinet Confidential 50 50

51 Pytania? 51