Ciemne strony Internetu, czyli przestępcy w Sieci Ireneusz Parafjańczuk CERT Polska
KILKA ZAŁOŻEŃ PREZENTOWANE SĄ TYLKO PRZYKŁADY W POSZCZEGÓLNYCH DZIEDZINACH. ŚRODOWISKO JEST BARDZO DYNAMICZNE NIE PORUSZAMY NIEKTÓRYCH TEMATÓW, NP.: JĘZYK EBLISH OBRAZ, KTÓRY PRZEDSTAWIAMY CZĘSTO JEST ANALIZOWANY TYLKO Z NASZEJ PERSPEKTYWY, NP.: W PODZIEMIU NIKT NIE INTERESUJE SIĘ NARODOWOŚCIĄ INFORMACJE POCHODZĄ RÓWNIEŻ ZE ŹRÓDEŁ OGÓLNO DOSTĘPNYCH WSZYSTKIE DANE, NAZWY, ADRESY I IDENTYFIKATORY ZOSTAŁY ZMIENIONE CHYBA ŻE SĄ OGÓLNIE DOSTĘPNE
Kim jesteśmy? NASK Naukowa i Akademicka Sieć Komputerowa - Serwisy komercyjne - DNS CERT Polska działa w ramach NASK - Pomoc użytkownikom - Edukacja - Ekspertyzy - Badania CERT Polska nie jest zespołem bezpieczeństwa NASK.
Trochę historii 1996 powstanie CERT NASK 1997 członkostwo w FIRST 2000 rozszerzenie formuły działania do formuły CERT Polska 2001 członkostwo TERENA TF CSIRT 2002 Trusted Introducer Accredited Team 2005 uruchomienie NIFC Hotline Polska
Główne zadania... Rejestrowanie i obsługa zdarzeń Alarmowanie użytkowników o zagrożeniach Współpraca z innymi zespołami IRT (Incidents Response Team) w ramach FIRST Prowadzenie działań zmierzających do wzrostu świadomości dotyczącej bezpieczeństwa teleinformatycznego Prowadzenie badań i przygotowanie raportów dotyczących bezpieczeństwa polskich zasobów Internetu Współpraca z Policją i Wymiarem Sprawiedliwości - opracowywanie ekspertyz technicznych, oraz współudział w organizowaniu szkoleń z zakresu: technicznych aspektów zabezpieczania dowodów elektronicznych w przestępstwach komputerowych analizy materiału dowodowego sposobów poszukiwania i prawidłowej interpretacji informacji elektronicznej dostępnej w sprzęcie i sieciach komputerowych
Coś na wstęp... Russia's MVD General Miroshnikov: Rosyjscy hakerzy z lat 90-tych byli zwykłymi sieciowymi chuliganami, teraz są zorganizowanymi, wirtualnymi grupami, które zarabiają imponujące sumy pieniędzy. e-crime Congress in London 2005
KTO STANOWI PODZIEMIE? PRZEDE WSZYSTKIM JEST SPECJALIZACJA Tworzący oprogramowanie (twórcy kodu nie korzystają z niego) np.: rosyjscy hakerzy zlecają pracę chińskim programistom, ponieważ jest taniej Dokonujący przestępstwa Zleceniodawcy CHĘTNI LUB NIECHĘTNI (ZMUSZENI)
KTO STANOWI PODZIEMIE? KTO KUPUJE? Oczywiście pojedynczy przestępcy, ale jeszcze częściej zorganizowane grupy przestępcze OPRÓCZ TEGO Rządy krajów Firmy zajmujące się bezpieczeństwem, np.: idefense ILE NA TYM ZARABIAJĄ Roczny zarobek wykwalifikowanego hakera pracującego dla spamerów waha się pomiędzy sumą 100 000 $ a 200 000 $ Więcej szczegółów później...
KTO STANOWI PODZIEMIE? Najczęściej wykorzystywane metody/narzędzia: Istnieje wewnętrzny niepisany kodeks np.: potrafią ukarać wyeliminowaniem z biznesu za nie płacenie rachunków Ciągle rekrutują, m.in. dlatego, że wszyscy mają obowiązek dzielenia się wiedzą Organizują się w bardzo sprawnie działające grupy przestępcze W jednym miejscu potrafią działać przez wiele miesięcy (przy okazji dość dobrze zabezpieczając komputer)
GDZIE SIĘ TO DZIEJE? GENERALNIE GRANIC GEOGRAFICZNYCH, NARODOWOŚCIOWYCH, POLITYCZNYCH, ŚWIATOPOGLĄDOWYCH ITP.. NIE MA, ORGANIZOWANE SĄ INTERNETOWE CZARNE RYNKI Shadowcrew 4 000 członków 19 osób personelu (towarzystwo międzynarodowe) obroty: 1 500 000 ccs straty (zyski) udowodnione: 4 000 000 $
JAK DZIAŁA PODZIEMIE? WIEDZA policja pracuje 8-16 policja pracuje z określonych adresów IP NAJCZĘŚCIEJ WYKORZYSTYWANE METODY/NARZĘDZIA: Sieci Botnet i ataki DDoS Spam relay IRC bounce Phishing i pharming Mobilne botnet-y
CO MOŻNA KUPIĆ I ILE TO KOSZTUJE? (CO NAM KRADNĄ I ILE TRACIMY?) NA SPRZEDAŻ JEST PRAWIE WSZYSTKO, A W SZCZEGÓLNOŚCI: Karty kredytowe Amerykańskie z CVV == US $2.11 Amerykańskie bez CVV == US $0.53 Nie amerykańskie z CVV == US $2.64 Nie amerykańskie bez CVV == US $1.06 1 000 gotowych do użycia CCS == US $ 500 1 000 Kod do stworzenia bot-netu == US $ 50 dostosowanie kodu ==~ US $ 1 000./configure community może być sprzedawany wielokrotnie
CO MOŻNA KUPIĆ I ILE TO KOSZTUJE? (CO NAM KRADNĄ I ILE TRACIMY?) EXPLOITY (SPLOITS) Na dziurę znaną == US $ 100-500 Na dziurę nieznaną == US $ 1 000 5 000 ZESTAW DO STWORZENIA BOTNETU - 5 000 zainfekowanych adresów IP gotowych do uruchomienia botnetu kosztuje US $ 150 500 - Dodatkowo kod US $ 50 - Dostosowanie specjalistyczne US $ ~ 1 000 ZAPROJEKTOWANIE STRONY DO PHISHINGU == US $ 50 TEKST FAŁSZYWEGO E-MAILA == $ 100 MOŻNA SIĘ TEŻ WYMIENIAĆ CISCOs == 3-5 CSS, CAYMAN WŁAŚCIWIE ZA DARMO DO SPRZEDAŻY RÓWNIEŻ WSZELKIEJ MAŚCI DANE OSOBOWE (z nazwiskiem panieńskim matki włącznie)
Rynek MAMY DO CZYNIENIA Z DOBRZE OPRACOWANYM PRODUKTEM Zniżki za wolumen Programy lojalnościowe Serwisy oceniające sprzedawców Reklamy (spam, listy dyskusyjne) Zróżnicowane ceny, np.: cena kary kredytowej uzależniona od: limitu PIN-u dodatkowych danych osobowych powiązanych z kartą pożar fabryki podnosi ceny
CO MOŻNA KUPIĆ I ILE TO KOSZTUJE? (CO NAM KRADNĄ I ILE TRACIMY?) ZESTAW RZECZYWISTYCH TRANSAKCJI JEDNEJ Z GRUP PRZESTĘPCZYCH Z OKRESU 6 H 1. US $3100 moved through egold. 3. US $710 moved through egold. 2. US $120 moved through egold. 4. US $2530 extracted from a US debit card. 6. US $30000 moved through egold. 5. US $5.00 extracted from a credit card on a monthly basis to pay for an online gaming service. Hey, I can't all time spent just working... 36 465 US $
Podziemie - możliwości 21 października 2004 próba wyłączenia Internetu atak ping flood na 13 root serwerów DNS na szczęście nieudany znaczny wzrost linii na wykresach... http://www.nwfusion.com/news/2005/041805-internet-security.html?page=1 Niezadowoleni hakerzy wyłączają serwis zajmujący się bezpieczeństwem źle znieśli krytykę m.in. Rootkit.com http://www.techworld.com/security/news/index.cfm?newsid=3465
Kradzież tożsamości LexisNexis data broker info o możliwości wycieku 32.000 kodów Social Security Audyt 59 kradzieży danych przy użyciu skradzionych haseł łącznie 300.000 kodów Social Security Łącznie od lutego mówi się o 1.000.000 danych skradzionych z różnych firm w USA http://www.usatoday.com/tech/news/computersecurity/infotheft/2 005-04-12-lexisnexis-theft_x.htm
Phishing... wymyślili Polacy...??? Pierwszy polski przypadek 2001 rok strona zawierająca elementy WBK umieszczona w USA z możliwością sprawdzenia ważności karty... ok. 10 klientów... nie zdążył...
Takie sobie proste wpływanie na routing...
www.abcbank.pl
Efekty Ok. 300.000 zł Grupa ok. 10 osób 2 organizatorów Przelewy na lewe konta wypłata przez podstawione osoby słupy Produkcja tzw. białych kart... Nowe pomysły w fazie testowania... Na podstawie 6 systemów zidentyfikowaliśmy 32 ofiary i 4 winnych...
Phishing made in PL... abcbankonline.pl
Efekty ok. 12.000 zł strat... ok. 6 osób przynajmniej 1 organizator Przelewy na lewe konta wypłata przez podstawione osoby słupy Produkcja tzw. białych kart...
Wirus... obserwacja Nowe wersje na wolności 6-8 dni przed szczepionkami AV...!!!...ok. 5.000.000 unikalnych adresów IP... Uaktualnienia - zlecenia trojany keyloger y DDoS y spam
Znowu bank... e-mail z szantażem... i żądaniem okupu szczegółowe dochodzenie systemy komputerowe procedury dochodzenie wewnętrzne przesłuchania pracowników... Kasjer i... panny... dostęp o 4 poziomy wyżej...
Botnety... Rzeszów... Botnet ok. 1000 do 1500 komputerów Blokada strony MPK Ataki na zamówienie Zabawa... 6 delikwentów 16-19 lat... Zarobili... $300 - straty... Ok. 50.000 zł Kołobrzeg Botnet ok. 2000 do 2500 komputerów Wynajem na spam, ataki na zamówienie - $2500 Ataki ideologiczne... Kolekcjonowanie haseł i numerów CC Sprzedaż numerów CC Zamówienia przez internet ok. $2000
Spamerzy Serwery IRC bezpieczeństwo SSL SSH cyber-przestępcy Virus writers FIREWALL Hakerzy Zamknięte fora dyskusyjne USENET carders proxy słupy Botnety anonymizery Wytwórcy plastików IP v6 Sprzedawcy informacji CC SSC
Pocieszające Wirus Zotob sparaliżował kilka instytucji - Financial Times, ABCNews and CNN Autorzy Turek i Marokańczyk, ale z Rosji Kod z Rosji bazujący na Mytob Exploit z Rosji ten sam autor co Sasser Autorzy również 20 innych wirusów mutacji Mydoom, Mytob i Zotob Motywy finansowe Zotob obniżał poziom zabezpieczeń IE w celu wyświetlania reklam http://news.bbc.co.uk/1/hi/technology/4205220.stm
Przyszłość...? Mobilne botnety...? http://www.theregister.co.uk/2005/04/13/mobile_botnet/ Google przeciw nam... txt, doc, xls, mdb, etc... Mobilny phishing i pharming przez DNS Więcej wirusów Lepsza organizacja
Podsumowując Program antywirusowy UAKTUALNIENIA!!!!!! Ściana ogniowa Personal Firewall UAKTUALNIENIA!!!!!! Aktualizacje oprogramowania Myślenie -z kim jestem połączony - banki mają nasze dane - nie czytać e-maili od nieznajomych - nie podążać bezmyślnie za linkami - nie ma nic za darmo Kto pyta nie błądzi zapytaj - np. CERT Polska Przeglądarka inna niż wbudowana w system - Opera, FireFox, Mozilla, Netscape Unikać używania Bluetooth w telefonach komórkowych - wyłączyć
Dziękuję CERT Polska info@cert.pl cert@cert.pl (tylko incydenty!) http://www.cert.pl/ +48 22 523 12 74