Najważniejsze trendy i zjawiska dotyczące zagrożeń teleinformatycznych w Polsce. Rafał Tarłowski CERT Polska/NASK

Transkrypt

1 Najważniejsze trendy i zjawiska dotyczące zagrożeń teleinformatycznych w Polsce Rafał Tarłowski CERT Polska/NASK

2 Działalność CERT Polska Obsługa incydentów (constituency:.pl) Projekty bezpieczeństwa Współpraca krajowa Działania edukacyjne Cykl konferencji SECURE (13 lat) Szkolenia Kontakty z mediami Serwis

3 Incydent w rozumieniu statystyk CERT Polska Jedna sprawa przypadek phishingu, zawirusowanej maszyny Często związany z konkretnym adresem IP, ale niekoniecznie Bywa rozciągnięty w czasie Często związany z więcej niż jednym zgłoszeniem Obsłużony indywidualnie, a nie jedynie wykryty czy przekazany

4 Liczba incydentów

5 Liczba zgłoszeń a liczba incydentów

6 Rozkład procentowy podtypów incydentów w latach ,6 70 procent ,9 51,4 27,1 24,2 4,7 7,9 4,0 10,6 10,9 35,3 25,2 25,9 Skanowanie Spam Sklasyfikowane złośliwe oprogramowanie 33,9 4,0 8,6 23,1 10,3 9,2 7,2 3,3 0,2 2,5 3,1 12,5 19,2 22,3 30,0 Kradzież tożsamości, podszycie się

7 ,75 31,19 Rozklad procentowy typów incydentów 14,94 8,28 4,26 2,71 1,86 1,32 0,70 Złoś liwe oprogramowanie Gromadzenie informacji Próby włamań Włamania Inne Dostę pnoś ć zasobów Bezpieczeń stwo informacji Oszustwa komputerowe Obraź liwe i nielegalne treś ci procent

8 ,90 29,95 Rozkład procentowy podtypów incydentów 11,61 7,89 2,79 2,48 1,08 1,01 0,85 0,77 0,77 6,89 Pozostałe Skanowanie Próby nieuprawnionego logowania Koń trojań ski Włamanie do aplikacji Włamanie na konto zwykłe Rozproszony atak blokują cy serwis (DDoS) Robak sieciowy Wykorzystanie znanych luk systemowych Nieskalsyfikowane złoś liwe oprogramowanie Kradzież toż samoś ci, podszycie się Spam procent

9 ,8 62,7 27,2 30,3 40,1 Źródła zgłoszeń, ataków i poszkodowani 12,5 2,9 3,9 0,9 0,5 0,0 1,4 1,4 11,3 2,6 1,5 2,1 5,8 0,5 51,9 24,5 Nieznany Instytucja niekomercyjna ISP Abuse Jednostka rzą dowa Osoba prywatna Oś rodek badawczy lub edukacyjny Zgłaszający Poszkodowany Atakujący Inna instytucja ds. bezpieczeń stwa Firma komercyjna CERT procent

10 Phishing Typ incydentu o dużym i wciąż rosnącym znaczeniu (blisko 30% obsłużonych incydentów w 2009 r.) CERT Polska reaguje na przypadki phishingu dotyczące polskich podmiotów a także na przypadki zlokalizowane w polskich sieciach Zmienił się charakter phishingu. Fałszywe strony zastępowane są przez złośliwe oprogramowanie ingerujące w sesję przeglądarki. Pojedynczy incydent potrafi składać się z wielu wątków, aktualizacji, zmian w konfiguracji

11 Phishing lis-03 lut-04 maj-04 sie-04 lis-04 lut-05 maj-05 sie-05 lis-05 lut-06 maj-06 sie-06 lis-06 lut-07 maj-07 sie-07 lis-07 lut-08 maj-08 sie-08 lis-08 lut-09 maj-09 sie-09 lis-09 Miesiąc Liczba zgłoszeń

12 Statystyki z obsługi incydentów Phishing Liczba zgłoszeń Zagranica PL sty- 09 lut-09 mar- 09 kwi- 09 maj- 09 cze- 09 lip-09 sie- 09 wrz- 09 paź- 09 lis-09 gru- 09 Miesiąc

13 Dystrybucja malware przez drive-by-download przypadek 22 lutego 2009 roku na kilku forach internetowych pojawiły się informacje, że programy antywirusowe wykrywają złośliwe oprogramowanie na stronie (na przykład Avast identyfikował je jako VBS:Malware-gen) CERT Polska potwierdził zagrożenie do strony został doklejony JavaScript, przekierowujący na stronę infekującą trojanem ZBot. PAH stwierdza w komunikacie, że że alarmy programów antywirusowych są spowodowane obecnością reklamy w postaci wyskakującego okienka, a zagrożenia nie ma

14 Dystrybucja malware przez złośliwe pliki PDF Pliki PDF mają złożoną strukturę i mogą zawierać treści dynamiczne, np. JavaScript Format PDF został uwolniony w 2008 roku, co doprowadziło do jeszcze większego upowszechnienia go Pliki PDF mogą być rozpowszechnianie m.in. jako IFRAME na stronie WWW, załącznik w spamie Kod wykonywany jest także po cichu w trakcie indeksowania plików na dysku

15 Wielki wyciek danych Pod koniec listopada 2009 r. serwisy informacyjne obiegła informacja o wycieku danych z wielu polskich (i nie tylko) serwisów Na jednym z portali undergroundowych znaleziono pokaźną listę danych dostępowych (użytkownik, hasło, adres serwisu) Dane takie pochodzą z koni trojańskich na komputerach użytkowników, nie ma więc mowy o żadnym wycieku! Wielu użytkowników stosuje proste hasła, powtarzając je w wielu serwisach liczba % całości Wszystkich rekordów [1] % DOMENY *.pl ,7% *.com ,5% *.org ,4% *.net ,7%.*.info 795 2,0% SERWISY INTERNETOWE nasza-klasa.pl ,9% allegro.pl 843 2,2% o2.pl 819 2,1% google.com 748 1,9% peb.pl 735 1,9% wp.pl 722 1,9% onet.pl 485 1,2% orange.pl 453 1,2% interia.pl 425 1,1%

16 Inne trendy i zjawiska Od 2004 (XP SP2) sukcesywnie spada liczba skanowań (w incydentach!) mniejsza podatność systemów mniejsza wrażliwość internautów na szum Najliczniejsze typy incydentów (nie tylko w CERT Polska) to spam i naruszenia praw autorskich Coraz trudniej jest kategoryzować złośliwe oprogramowanie

17 Secure 2010 SECURE to jedna z najstarszych w Polsce konferencji poświęconych w całości bezpieczeństwu teleinformatycznemu. Adresowana jest przede wszystkim do administratorów, oficerów bezpieczeństwa oraz praktyków z tej dziedziny. SECURE 2010 odbędzie się w dniach października, w Centrum Konferencyjnym Adgar Plaza w Warszawie. Skupiać się będzie wokół trzech głównych nurtów: technicznego ze szczególnym uwzględnieniem nowatorskich i praktycznych rozwiązań organizacyjnego ze szczególnym naciskiem na dostrzeganie nowych trendów w zagrożeniach prawnego ze szczególnym naciskiem na rzeczywiste możliwości ścigania sprawców przestępstw SECURE 2010 Call for Speakers otwarte! (szczegóły na stronach

18