Raport Analiza incydentów naruszajcych bezpieczestwo teleinformatyczne zgłaszanych do zespołu CERT Polska w roku 2005

Transkrypt

1 Raport 2005 Analiza incydentów naruszajcych bezpieczestwo teleinformatyczne zgłaszanych do zespołu CERT Polska w roku 2005

2 CERT Polska (Computer Emergency Response Team Polska jest zespołem, działajcym w ramach Naukowej i Akademickiej Sieci Komputerowej ( zajmujcym si reagowaniem na zdarzenia naruszajce bezpieczestwo w Internecie. CERT Polska działa od 1996 roku, a od 1997 jest członkiem FIRST (Forum of Incidents Response and Security Teams najwikszej na wiecie organizacji zrzeszajcej zespoły reagujce i zespoły bezpieczestwa z całego wiata. Od roku 2000 jest take członkiem inicjatywy zrzeszajcej europejskie zespoły reagujce TERENA TF-CSIRT ( i działajcej przy tej inicjatywie organizacji Trusted Introducer 1 ( W ramach tych organizacji współpracuje z podobnymi zespołami na całym wiecie zarówno w działalnoci operacyjnej jak te badawczo wdroeniowej.. Do głównych zada zespołu CERT Polska naley: rejestrowanie i obsługa zdarze naruszajcych bezpieczestwo sieci; alarmowanie uytkowników o wystpieniu bezporednich dla nich zagroe; TERENA TF-CSIRT; współpraca z innymi zespołami IRT (Incidents Response Team) m.in. w ramach FIRST i prowadzenie działa informacyjno-edukacyjnych, zmierzajcych do wzrostu wiadomoci na temat bezpieczestwa teleinformatycznego (zamieszczanie aktualnych informacji na stronie organizacja cyklicznej konferencji SECURE); prowadzenie bada i przygotowanie raportów dotyczcych bezpieczestwa polskich zasobów Internetu; niezalene testowanie produktów i rozwiza z dziedziny bezpieczestwa teleinformatycznego; prace w dziedzinie tworzenia wzorców obsługi i rejestracji incydentów, a take klasyfikacji i tworzenia statystyk; udział w krajowych i midzynarodowych projektach zwizanych z tematyk bezpieczestwa teleinformatycznego; 1 Od 2001 r. zespół CERT Polska posiada najwyszy poziom zaufania Trusted Introducer Accredited Team.

3 Zespół CERT Polska podejmuje róne inicjatywy na rzecz poprawy stanu bezpieczestwa Internetu w Polsce. W padzierniku 2005 roku zaprosilimy do wspólnego stołu przedstawicieli zespołów bezpieczestwa, zajmujcych si reagowaniem na incydenty w sieci, funkcjonujcych w ramach polskich firm teleinformatycznych i telekomunikacyjnych. W spotkaniu brali udział specjalici reprezentujcy firmy: ASTER, Exatel, Poznaskie Centrum Superkomputerowo-Sieciowe (Pionier-CERT), PKP Informatyka, Polkomtel, PSE, Telekomunikacja Polska, Telekomunikacja Kolejowa, UPC i VECTRA. Uczestnicy wyrazili wol współpracy, której celem bdzie synchronizacja działa oraz inicjatywy w postaci wspólnych projektów bd akcji na rzecz poprawy bezpieczestwa polskiego Internetu.! " Zgodnie z załoeniami programowymi wymienionymi na wstpie CERT Polska co roku przygotowuje i udostpnia statystyki dotyczce przypadków naruszenia bezpieczestwa teleinformatycznego, w polskich zasobach internetowych 2, które zostały zgłoszone do naszego zespołu. Zespół prowadzi take prace w dziedzinie tworzenia wzorców rejestracji i obsługi przypadków naruszenia bezpieczestwa teleinformatycznego (zwanych dalej incydentami), a take wzorców klasyfikacji incydentów oraz tworzenia statystyk. Jednym z waniejszych celów tych prac jest wypracowanie i stałe korzystanie z tego samego sposobu klasyfikowania incydentów co umoliwi porównywanie danych, zarówno w kolejnych latach, jak i rónic pomidzy naszymi obserwacjami i obserwacjami innych zespołów reagujcych. W tym roku po raz trzeci z kolei przygotowalimy statystyki zgodnie z klasyfikacj wypracowan w ramach projektu ecsirt.net ( #! "$% # &"'$% ('") % " W roku 2005 odnotowalimy 2516 incydentów. W nastpnych rozdziałach znajduje si szczegółowa klasyfikacja zgłoszonych do nas incydentów. # % ("$% Rok 2005 był rokiem szczególnym z punktu widzenia obsługi incydentów przez zespół CERT Polska, ze wzgldu na uruchomienie nowego narzdzia do raportowania incydentów, jakim stał si system ARAKIS po dodaniu nowych funkcjonalnoci. W zwizku z tym tegoroczne statystyki s jakociowo inne od statystyk z lat poprzednich. 2 Niniejszy raport jest dziesitym z kolei raportem rocznym naszego zespołu. Dotychczasowe raporty (poczwszy od roku 1996) dostpne s na stronie CERT Polska ( ).

4 Ponisza tabela przedstawia zbiorcze zestawienie statystyk odnotowanych incydentów. Nasza klasyfikacja zawiera osiem głównych typów incydentów oraz kategori inne. Kady z głównych typów zawiera podtypy incydentów, które najczciej stanowi precyzyjny opis incydentu, z jakim mielimy do czynienia. Typ/Podtyp incydentu Liczba Suma-typ Procent-typ Obraliwe i nielegalne treci ,2 Spam 275 Dyskredytacja, obraanie 8 Pornografia dziecica, przemoc 3 0 Złoliwe oprogramowanie ,6 Wirus 11 Robak sieciowy 462 Ko trojaski 117 Oprogramowanie szpiegowskie 0 Dialer 3 Gromadzenie informacji ,9 Skanowanie 1292 Podsłuch 6 Inynieria społeczna 7 Próby włama ,6 Wykorzystanie znanych luk systemowych 18 Próby nieuprawnionego logowania 99 Wykorzystanie nieznanych luk systemowych 0 Włamania ,7 Włamanie na konto uprzywilejowane 9 Włamanie na konto zwykłe 7 Włamanie do aplikacji 2 Atak na dostpno zasobów ,2 Atak blokujcy serwis (DoS) 13 Rozproszony atak blokujcy serwis (DDoS) 14 Sabota komputerowy 1 Atak na bezpieczestwo informacji 0 3 0,1 Nieuprawniony dostp do informacji 2 3 Wszelkie zgłoszenia dotyczce nielegalnych treci, w rozumieniu polskiego prawa, przekierowywane s do zespołu Dyurnet.pl, równie działajcego w ramach NASK (

5 Nieuprawniona zmiana informacji 1 Oszustwa komputerowe ,5 Nieuprawnione wykorzystanie zasobów 26 Naruszenie praw autorskich 31 Kradzie tosamoci, podszycie si (w tym Phishing) 79 Inne ,2 SUMA ,0 ## % ($% Ponisze wykresy przedstawiaj rozkład procentowy typów i podtypów incydentów. Rozkład procentowy typów incydentów procent Gromadzenie informacji Złosliwe oprogramowanie Obraliwe i inielegalne treci Oszustwa komputerowe Próby włama Atak na dostno zasobów Inne Włamania Atak na bezpieczestwo informacji

6 Rozkład procentowy podtypów incydentów ,35 procent , ,89 4,65 3,93 3,14 7,67 0 Skanowanie Robak sieciowy Spam Trojan Próby nieuprawnionego logowania Kradzie tosamoci,podszycie si Pozostałe W roku 2005 najczciej wystpujcym typem incydentu było gromadzenie informacji (51,9%), a w szczególnoci skanowanie (a 51,35%). Niebagatelny wpływ na taki wynik miało dodanie do zbudowanego przez zespół CERT Polska systemu ARAKIS < funkcjonalnoci pozwalajcej wykrywa, i raportowa do systemu obsługi zgłosze, próby zauwaonych przez niego ataków. Coraz rzadziej napotyka si skanowania rcznie sterowane przez intruza. Ogromna wikszo to skanowania powodowane przez robaki lub botnety. Dziki korelacji zgłosze z danymi udostpnionymi przez system ARAKIS udało si zauway bardzo ciekawe zjawisko skanowania rozproszonego powodowane przez botnety. Polega ono na tym, e w celu ukrycia prób gromadzenia informacji, sieci s skanowane przez armi np zombies (czyli komputerów kontrolowanych przez atakujcego), przy czym kady z nich skanuje tylko niewielki fragment atakowanej sieci (rzdu kilku hostów). Ten typ skanowania jest take rozłoony w czasie. Przy stosowaniu standardowych metod wykrywania ataków ten typ (podtyp) jest zazwyczaj niezauwaony (lub bagatelizowany) przez atakowanego. Drugim, co do liczebnoci typem incydentów były przypadki działania złoliwego oprogramowania (23,6%) przy czym najczciej mielimy do czynienia z robakami sieciowymi (18,36%). Zauwaalna jest tendencja do zacierania si granic pomidzy robakiem, wirusem, koniem trojaskim a oprogramowaniem szpiegowskim. Robaki sieciowe coraz czciej posiadaj funkcjonalnoci typowe dla pozostałych rodzajów złoliwego oprogramowania. Do grona najliczniejszych kategorii naley równie zaliczy Obraliwe i nielegalne treci (11,2%) ze szczególnym uwzgldnieniem spamu (10,89%). Najczciej jest to spam rozsyłany za porednictwem skompromitowanej maszyny, bez wiedzy jej właciciela. Równie czsto intruz wykorzystuje fakt błdnej konfiguracji usług udostpnianych przez serwery (np. spam rozsyłany z wykorzystaniem open proxy ).

7 Spamerzy uywaj coraz bardziej wyrafinowanych technik, aby utrudni rozpoznanie prawdziwego ródła rozsyłania niechcianej korespondencji. Przypadki zarejestrowane przez CERT Polska dotycz wyłcznie wyjtkowo uciliwego spamu, zgłaszanego bezporednio przez poszkodowanego. W rzeczywistoci skala zjawiska jest o wiele wiksza. #* +, - % "- Na potrzeby statystyki odnotowywane s trzy kategorie podmiotów zwizanych z incydentami: zgłaszajcy incydent, poszkodowany w incydencie i odpowiedzialny za przeprowadzenie ataku, czyli atakujcy. Dodatkowo kategorie te uwzgldniane s w rozbiciu na podmiot krajowy i podmiot zagraniczny. Ponisza tabela przedstawia zbiorcze zestawienie danych dotyczcych podmiotów incydentu. Podmiot Zgłaszajcy % Poszkodowany % Atakujcy % Osoba prywatna , , ,9 CERT , ISP Abuse 8 0, Inna instytucja ds. Bezpieczestwa 130 5, Firma komercyjna 113 4, , ,9 Orodek badawczy lub edukacyjny 27 1, , ,8 Instytucja niekomercyjna 13 0,5 91 3,6 59 2,3 Jednostka rzdowa 8 0, ,8 17 0,7 Nieznany 41 1, , ,4 Kraj , ,6 Zagranica , ,7 Nieznany 29 1, , ,7 Najaktywniej zgłaszajcym incydenty były zespoły reagujce (71,9%). Innymi istotnymi ródłami zgłaszania incydentów były Osoby Prywatne (14,6%), Inne Instytucje ds. Bezpieczestwa (5,2%) oraz Firmy Komercyjne (4,5%). W celu usprawnienia obsługi incydentów, zespół CERT Polska udostpnił formularz 4 Zawiera zgłoszenia pochodzce z systemów automatycznych, w tym take z systemu ARAKIS

8 online do ich zgłaszania < Zauwaylimy, e intuicyjny interfejs oraz ograniczenie do minimum niezbdnych operacji do wysłania zgłoszenia, wpływa na zwikszenie aktywnoci Osób Prywatnych jako zgłaszajcych. W kategorii Poszkodowany najwyszy odsetek stanowi grupa Firm Komercyjnych (53,1%). Drug najczciej poszkodowan grup uytkowników sieci były Osoby Prywatne (14,6%). Niestety a 15,1% poszkodowanych nie zostało rozpoznanych. Istniej dwie główne przyczyny takiego stanu rzeczy. Po pierwsze zgłoszenia s składane przez operatorów oraz zespoły reagujce w czyim imieniu (bez podania poszkodowanego). Po drugie, grupa poszkodowanych w wyniku jednego incydentu moe by bardzo dua, poczwszy od Osób Prywatnych poprzez Orodki badawcze i edukacyjne, a koczc na Firmach Komercyjnych. Wród Atakujcych najwiksz grup stanowi Nieznani sprawcy (50,4%). Sytuacja taka wynika z faktu, e atakujcy zazwyczaj korzysta z porednika, jakim jest np. serwer proxy, botnet czy skompromitowany host niewiadomego uytkownika. Takiego sprawc trudno jest zidentyfikowa. Do czsto Atakujcym okazywała si Firma Komercyjna (26,9%). Coraz wiksza dostpno Internetu zachca małe firmy komercyjne do jego wykorzystania. Nie zawsze jednak wie si to z zaimplementowaniem odpowiednich polityk bezpieczestwa. Poza wymienionymi podmiotami zauwaalna była równie aktywno Orodków Badawczych lub Edukacyjnych (13,8%), czyli w praktyce szkół i uczelni wyszych, oraz w mniejszym stopniu Osób prywatnych (5,9%). Jeli chodzi o klasyfikacj dotyczc ródła pochodzenia w rozumieniu geograficznym, to znacznie wzrósł odsetek incydentów polskich. W przewaajcej wikszoci zarówno zgłaszajcy, poszkodowany i atakujcy pochodził z Polski (odpowiednio: 85%, 84,4%, 67,6%). Niestety nadal zdarzaj si przypadki, w których nieznane jest pochodzenie Poszkodowanego (7,6%) oraz Atakujcego (26,7%). ródła zgłosze, ataków i poszkodowani procent CERT ISP Abuse Other securityrelated institution Government Research or academic institution Commercial institution Other noncommercial institution Private individual Unknown Zgłaszajcy Poszkodowany Atakujcy

9 Pochodzenie Zgłaszajcego, poszkodowanego i atakujcego procent Zgłaszajcy Poszkodow any Atakujcy Polska Zagranica Nieznany * " "" *.% /" "% '",, W roku 2005 system ARAKIS po dodaniu nowych funkcjonalnoci, stał si ródłem raportowania incydentów. Fakt ten miał niewtpliwie duy wpływ na kształt tegorocznych statystyk. Poniewa system ARAKIS zgłasza de facto próby skanowania hostów, staralimy si zakwalifikowa kad z tych prób jako: skanowanie, działalno trojana lub robaka. W roku 2005 powstał równie nowy formularz zgłoszeniowy. Za główny cel postawilimy sobie uproszczenie i ułatwienie procesu zgłoszenia incydentu. Zmniejszylimy liczb wymaganych danych oraz staralimy si stworzy jak najbardziej intuicyjny i przejrzysty interfejs. Działania te spowodowały zwikszenie iloci zgłosze od osób prywatnych. Odnotowalimy kilka istotnych zmian w stosunku do roku 2004, ale take utrzymanie si niektórych istotnych trendów. Poniej przedstawiamy te obserwacje, które s naszym zdaniem najwaniejsze: Nadal najczciej wystpujcym incydentem było skanowanie 51,35% Nastpił prawie dwukrotny wzrost liczby incydentów dotyczcych złoliwego oprogramowania (w szczególnoci robaków sieciowych i trojanów) z 13,5% do 23,6%; Ponad piciokrotnie zmalała liczba ataków DoS i DDoS z 6,3% do 1,2%. Prawie dwukrotnie czciej dokonywano prób włama wzrost z 2,5% do 4,6%, ze wskazaniem na próby nieuprawnionego logowania.

10 Nadal decydujc rol w zgłaszaniu incydentów odegrały zespoły typu CERT 5 71,9% zgłosze. Zmalał odsetek zgłosze od zespołów typu Abuse z 4,6% do 0,3%. Uycie systemu automatycznego raportowania narusze bezpieczestwa wpłynło na zwikszenie liczby incydentów powizanych z polskim uytkownikiem sieci jako poszkodowanym. Znacznie wzrosła liczba poszkodowanych wród firm komercyjnych z 12,3% do 53,1%. Wzrosła liczba incydentów, w których nie mona ustali pochodzenia atakujcego z 20% do 26,7%. * &"'"$% % ( Poniszy wykres przedstawia liczb incydentów w latach Liczba incydentów Jak wida liczba incydentów wzrosła ponad dwukrotnie w stosunku do roku Jest to w głównej mierze wynik obsługi zgłosze generowanych przez system ARAKIS. Pomimo tego nie jest to jednak liczba w pełni odzwierciedlajca skal zjawiska. Zdajemy sobie spraw, e wiele incydentów jest bagatelizowanych lub niezauwaonych przez potencjaln ofiar. Wiele prób skanowania pozostaje niewykrytych w wyniku ich rozproszenia na wiele maszyn oraz w długim okresie czasu. Dua grupa osób rezygnuje ze zgłaszania incydentów ze wzgldu na brak reakcji ze strony odpowiedzialnych za atakujce hosty czy sieci. Niemniej jednak, utrzymuje si tendencja wzrostowa notowanych incydentów i naley si spodziewa wzrostu zgłosze w latach nastpnych. 5 W tym zgłoszenia pochodzce z systemów automatycznych oraz systemu ARAKIS

11 *# % $% "$% % ( 33#5 334 Rozkład procentowy podtypów incydentów w latach 2003, 2004 i 2005 procent Skanowanie Robak sieciowy Spam Trojan Próby nieuprawnionego logowania Kradzie tosamoci,podszycie si Nieuprawnione wykorzystanie zasobów DDoS Wirus Poniewa od 2003 roku tworzymy statystyki opierajc si o t sam klasyfikacj, moliwe jest porównanie rozkładu procentowego incydentów wystpujcych na przestrzeni ostatnich trzech lat. Przez cały ten okres mielimy najczciej do czynienia z przypadkami skanowania sieci. Tendencja spadkowa nie wynika bynajmniej z coraz mniejszej liczby prób skanowania, lecz z faktu zakwalifikowania ich jako działalno robaka lub trojana (bardziej precyzyjna klasyfikacja była moliwa dziki danym z systemu ARAKIS). W zwizku z powyszym wzrósł procent incydentów powodowanych przez robaki sieciowe i trojany. Dostrzegalna jest tendencja wzrostowa liczby rozsyłanego spamu - w rzeczywistoci jest ona jednak znacznie silniejsza. Reasumujc, przez cały okres stosowania klasyfikacji e_csirt.net, najwikszy udział procentowy miały incydenty bdce wynikiem skanowania, działalnoci robaków oraz rozsyłania spamu. Reszta podtypów jest reprezentowana w statystykach znacznie słabiej. **.% /" "%" ' % % % 334 Poniej przedstawiamy najbardziej istotne naszym zdaniem trendy i zjawiska, wystpujce w roku 2005, wynikajce zarówno z obsługi incydentów, jak i z innych obserwacji poczynionych przez CERT Polska: Widoczna jest zmiana w wykorzystywaniu botnetów. Coraz rzadziej s one ródłem ataków DoS i DDoS, za to coraz czciej staj si narzdziem do czerpania nielegalnych zysków, rozsyłania spamu czy przejmowania numerów kart kredytowych i kont bankowych (np. phishing). Nadal na bardzo wysokim poziomie utrzymywała si aktywno robaków internetowych.

12 Spamerzy stosuj coraz wymylniejsze techniki, aby ukry pochodzenie prawdziwego nadawcy niechcianej korespondencji. Nierzadko powoduje to generowanie fałszywych alarmów (nawet przez dowiadczone organizacje antyspamerskie). Cigle bolesny jest brak zabezpiecze oraz profesjonalnego zarzdzania sieciami w wielu firmach, które czsto nie zdaj sobie sprawy z niebezpieczestw wynikajcych z dostpu do Internetu. Coraz wikszy problem stanowi brak reakcji wielu operatorów i dostawców usług, na np. uporczywe próby skanowania sieci, bdce ewidentnym wynikiem działalnoci robaków sieciowych. Działania hakerów s coraz bardziej zaawansowane, a wykorzystywane mechanizmy coraz bardziej skomplikowane. Zauwaalny jest nowy trend propagacji robaków poprzez luki w aplikacjach WWW. Jako metoda wyboru celu wykorzystywane s, poza klasycznym skanowaniem sieci, popularne wyszukiwarki Internetowe takie jak Google, które wyszukuj strony WWW z potencjalnie dziurawym oprogramowaniem. Głównym celem s aplikacje open source bazujce na PHP i Perl. Pojawiło si duo ataków brute force na SSH, powodowanych przez automaty oraz robaki. Komunikatory zaczynaj by wykorzystywane do propagacji malware u (z du skutecznoci). Trudno kontrolowa tego typu działania.

13 4 6 Zgłaszanie incydentów: Informacja: Klucz PGP: Strona WWW: Feed RSS: Adres: cert@cert.pl, spam: spam@cert.pl info@cert.pl ftp://ftp.nask.pl/pub/cert_polska/cert_polska_pgp_keys/cert_polska.pgp NASK / CERT Polska ul. Wwozowa Warszawa tel.: fax: