wczoraj, dziś i jutro CERT Polska/NASK

Transkrypt

1 Cyberataki wczoraj, dziś i jutro Tomasz Grudziecki CERT Polska/NASK

2 Trochę o terminologii IRT (Incident Response Team) CSIRT (ComputerSecurity Incident Response Team) CERT (Computer Emergency Response Team) CIRC (Computer Incident Response Capability) SIRT (Security Incident Response Team)

3 Rola CERT Polska jako zespołu krajowego Koordynacja przekazywania informacji zaufane źródła pozyskiwania CERT Polska operatorzy Zespół ostatniej szansy Katalizator do powstawania nowych zespołów Projekty międzynarodowe Statystyki, raporty, wczesne ostrzeganie

4 Dlaczego CERT Polska? NASK łączy Polskę z Internetem od 1992 NASK prowadzi rejestr domen.pl 1996 powstaje CERT NASK 2000 zmiana nazwy na CERT Polska 2008 powstaje CERT.GOV.PL

5 Krótka historia cyberzagrożeń Lata 80 pierwsze wirusy i robaki Lata 90 wkracza polimorfizm Przełom wieków poczta elektroniczna nośnikiem zła 2001 pierwszy multitool : Nimda 2003 masowy sprinter: Slammer

6 Krótka historia cyberzagrożeń 2003r.: robak Blaster/Lovesan zaprojektowany, by zaatakować stronę windowsupdate.com Microsoft się złamał zamknął witrynę Wojny robaków: Welchia/Nachi vs. Blaster(2003) MyDoom + Bagle vs. Netsky(2004) Sasser vs. Dabber(2004) SpyEye vs. ZeuS(2010)

7 Krótka historia cyberzagrożeń Czasy współczesne coraz większa złożoność i zasięg Mebroot i Conficker(2008) Trojany bankowe ZeuS, SpyEye( ) Web 2.0 portale społecznościowe pod obstrzałem Koobface(2008/2009) Nowy wektor ataków aplikacje klienckie

8 Krótka historia cyberzagrożeń Czarny rynek rozkwita 2006/2007: MPack kit Za jedyne 500$-1000$ pełny zestaw narzędzi z GUI do tworzenia, dystrybucji i zarządzania malware-m 2007: IcePack kit Za jedyne 400$ bardziej zaawansowany i automatyczny Wzrost forów poświęconych wymianie informacji i handlowi lukami, exploitami, kitami, skradzionymi danymi Botnet(jako usługa) do wynajęcia

9 Krótka historia cyberzagrożeń Wyjście poza PC Botnet Chuck Norris(2010) Atakuje domowe routery/ap /modemy DSL ZITMO (2011) Mobilna wersja ZeuS-a(kody autoryzacyne via SMS) DroidDream(2011) Przejmowanie smartfonów z systemem Android

10 Krótka historia cyberzagrożeń Cyberszpiedzy i cyberwojna 2007: cyberatak na Estonię 2008: cyberatak na Gruzję (+ konflikt zbrojny!) : GhostNet szpiegostwo wrogiego rządu 2009/2010: Operacja Aurora szpiegostwo przemysłowe 2010: Stuxnet sabotaż 2011: Lockheed Martin pozyskanie technologii wojskowych (Lockheed Martin, RSA)

11 Jaki jest cel tego wszystkiego? Dawniej: By pokazać niedoskonałości aplikacji bądź systemów By przynosić sławę twórcom By złośliwie usuwać z systemu różne pliki By wyświetlać zabawne lub obraźliwe komunikaty

12 Jaki jest cel tego wszystkiego? Dziś: Ransomware szantaż Scareware zastraszanie Kradzieże tożsamości i danych Botnety najemna armia Ataki APT Cyberwojna, cyberterroryzm, cyberrewolucja

13 ) E-wojna 2007: cyberatak na Estonię Paraliż serwisów, mediów, e-handlu, płatności on-line, infrastruktury (DNS) Obywatelskie pospolite ruszenie atakowali także zwykli obywatele 2008: cyberatak na Gruzję Podobny jak w przypadku Estonii Równolegle miał miejsce konflikt zbrojny

14 E-wojna (2007)/2008/2009 Gh0stNet Przykład jednego z pierwszych ataków APT (Advanced Persistent Threat): o o Inwigilacja i szpiegostwo nie zarabianie Działanie wolne, przemyślane, sukcesywne, niezauważone Cel: instytucje rządowe i polityczne wielu (wrogich) państw Ok komputerów w 130 krajach, 30% z nich komputery rządowe Wykryty pierwotnie w komputerach organizacji pro-tybetańskiej Wektor ataku: socjotechnika (*@freetibet.org) i stare luki Źródło: Chiny

15 E-wojna /2010 Operacja Aurora Google, Adobe, Yahoo, Symantec, Juniper, NorthropGrumman, Dow Chemical Szpiegostwo przemysłowe czy może jednak polityczne? Google twierdził, że motywy polityczne Ostra reakcja, szczególnie Google Wektor ataku: 0-day w IE oraz socjotechnika Źródło: Chiny

16 E-wojna (2009)2010: Stuxnet Napisany od zera w celu ataku na systemy przemysłowe SCADA firmy Siemens (określone modele sterowników PLC) Zasięg (szacowany): (60% w Iranie) Bardzo duże wsparcie finansowe koszty wytworzenia: Kod napisany w kilku językach (wielu twórców?) Autorzy musieli mieć dostęp do drogiego i niszowego sprzętu Wykorzystano 4 luki 0-day w jednym robaku!!! Sterowniki podpisane wykradzionymi certyfikatami (Realtec Semiconductor Corp.)

17 E-wojna (2009)2010: Stuxnet Faza działania: Podmiana bibliotek umożliwiająca przechwycenie komunikacji PC <-> PLC oraz podmianę danych (przeprogramowanie). Atakowane tylko urządzenia wirujące (np. wirówki do wzbogacania uranu) Nie udało się oszacować czy i co zostało wykradzione Nie są znane potencjalne straty Źródło:???

18 E-wojna 2011: Lockheed Martin i RSA Amerykański koncern zbrojeniowy Wektor ataku: Włamanie do sieci Lockheed Martin przez wykradzione wcześniej dane (tokeny SecurID) w ataku na RSA Security Lockheed Martin twierdzi, że kluczowe dane są bezpieczne Źródło:???

19 E-wojna 2010: Cyberrewolucja: WikiLeaks Publikacja > tajnych depesz rządu USA Ostra reakcja rządu USA i innych państw, serwisów takich jak PayPal, oraz zwykłyuch ludzi Odwet: akcja Avenge Assange ataki DDoSprzeprowadzane przez Anonymous

20 Co będzie jutro? Czy ataki będą: Coraz odważniejsze? Coraz bardziej zaawansowane? Cyberszpiegostwo będzie się zwiększać? 30-to osobowa chińska Blue Army : Pentagon ujawnia nowe regulacje: USA na cyberatakmoże odpowiedzieć bronią konwencjonalną Wyścig zbrojeń trwa

21