Realne zagrożenia i trendy na podstawie raportów CERT Polska CERT Polska/NASK
Kim jesteśmy? Czym jest CERT Polska: Zespół działający w ramach Naukowej i Akademickiej Sieci Komputerowej; Powołany w 1996 roku; Od 1997 r. jest członkiem FIRST (Forum of IncidentsResponseandSecurity Teams), największej na świecie organizacji zrzeszającej zespoły reagujące i zespoły bezpieczeństwa z całego świata; Od 2000 r. jest członkiem inicjatywy zrzeszającej europejskie zespoły reagujące TERENA TF-CSIRT i działającej przy tej inicjatywie organizacji Trusted Introducer; Główne zadania zespołu CERT Polska: rejestrowanie i obsługa zdarzeńnaruszających bezpieczeństwo sieci; współpraca z innymi zespołami IRT (IncidentsResponseTeam) m.in. w ramach FIRST i TERENA TF-CSIRT; udział w krajowych i międzynarodowych projektach związanych z tematyką bezpieczeństwa teleinformatycznego;
Klasyfikacja incydentów CERT Polska od 2003 roku korzysta z klasyfikacji incydentów wypracowanej w ramach projektu ecsirt.net TYP PODTYP Obraźliwe i nielegalne treści Spam Dyskredytacja, obrażanie Pornografia dziecięca, przemoc Złośliwe oprogramowanie Wirus Robak sieciowy Koń trojański Oprogramowanie szpiegowskie Dialer Gromadzenie Informacji Skanowanie Podsłuch Inżynieria społeczna
Klasyfikacja incydentów c.d. TYP PODTYP Próby włamań Wykorzystanie znanych luk systemowych Wykorzystanie nieznanych luk systemowych Próby nieuprawnionego logowania Włamania Włamanie na konto uprzywilejowane Włamanie na konto zwykłe Włamanie do aplikacji Dostępność zasobów Atak blokujący serwis (DoS) Rozproszony atak blokujący serwis (DDoS) Sabotaż komputerowy Bezpieczeństwo informacji Nieuprawniony dostęp do informacji Nieuprawniona zmiana informacji
Klasyfikacja incydentów c.d. TYP PODTYP Oszustwa komputerowe Nieuprawnione wykorzystanie zasobów Naruszenie praw autorskich Kradzież tożsamości, podszycie się(m.in. Phishing) Inne
45 40 35 30 25 20 15 10 5 0 40,70 26,84 Statystyki z obsługi incydentów Rozkład procentowy typów incydentów 15,37 5,40 4,79 4,51 1,45 0,56 0,39 Złośliwe oprogramowanie Próby włamań Gromadzenie informacji Włamania Dostępność zasobów Inne Bezpieczeństwo informacji Obraźliwe i nielegalne treści Oszustwa komputerowe procent
30 25 20 15 10 5 0 25,95 22,27 17,59 Statystyki z obsługi incydentów Rozkład procentowy podtypów incydentów 13,20 5,79 4,68 3,45 3,17 1,34 1,34 1,22 Koń trojański Skanowanie Próby nieuprawnionego logowania Włamanie do aplikacji Robak sieciowy Wykorzystanie znanych luk systemowych Rozproszony atak blokujący serwis (DDoS) Pozostałe Naruszenie praw autorskich KradzieŜ toŝsamości, podszycie się Spam procent
60 50 40 30 20 10 0 14,2 39,4 49,1 56,5 24,9 Statystyki z obsługi incydentów Źródła zgłoszeń, ataków i poszkodowani 35,7 25,4 0,3 0,3 13,1 8,2 3,3 4,3 4,2 5,7 5,8 4,9 2,1 2,3 0,3 0,0 ISP Abuse Jednostka rządowa Osoba prywatna Ośrodek badawczy lub edukacyjny Nieznany Zgłaszający Poszkodowany Atakujący Instytucja niekomercyjna Inna instytucja ds. bezpieczeństwa Firma komercyjna CERT procent
Statystyki z obsługi incydentów Pochodzenie zgłaszającego, poszkodowanego i atakującego 90 80 70 60 68,9 83,2 procent 50 40 30 31,1 23,1 42,4 34,5 20 10 8,5 8,3 0 Zgłaszający Poszkodowany Atakujący Polska Zagranica Nieznany
Statystyki z obsługi incydentów Rozkład procentowy podtypów incydentów w latach 2003-2008 90 80 81,6 procent 70 60 50 40 53,9 51,4 35,3 30 20 10 0 27,1 25,9 24,2 25,2 4,7 18,4 10,610,9 7,3 3,4 3,7 4,0 2,3 1,3 12,5 22,3 19,2 Skanowanie Robak sieciowy Spam Koń trojański KradzieŜ toŝsamości, podszycie się 7,9 4,7 5,0 5,8 6,4 5,1 3,1 0,6 1,3 0,2 2,5 2,4 0,8 0,6 0,8 1,5 0,3 1,21,0 1,2 17,6 Naruszenie praw autorskich Rozproszony atak blokujący serwis (DDoS) 2003 2004 2005 2006 2007 2008
Statystyki z obsługi incydentów Liczba incydentów 1996-2008 3000 2500 2516 2427 2108 2000 1796 1500 1000 741 1013 1196 1222 500 0 50 75 100 105 126 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008
Trendy i nowe zjawiska Phishing: Coraz więcej incydentów dotyczących polskich banków; Wykorzystanie mechanizmu Fast Flux; Dedykowane złośliwe oprogramowanie zastępuje tradycyjny kanałdystrybucji phishing u, jakim jest Spam; Jeden skompromitowany serwer hostuje kilka stron; Zeus zastąpił Mebroot a; Wykorzystanie metody POST; Pierwsze ataki z wykorzystaniem kodów sms; Fałszowanie stanu konta po dokonaniu kradzieży Phishing coraz trudniejszy do zidentyfikowania dla przeciętnego użytkownika; Malware instalowany w bankomatach; Ataki skierowane na PDA
Trendy i nowe zjawiska Malware: Wykorzystanie zaciemnionego JavaScript u oraz techniki drive-bydownload do dystrybucji złośliwego kodu; Ataki na duże serwisy np. pajacyk.pl source: http://honeynet.org/papers/mws
Trendy i nowe zjawiska Inne: Botnety zarządzane przez WWW i P2P; Identyfikacja atakującego, szczególnie przy incydentach generowanych przez botnety; DDoS ataki na duże instytucje oraz infrastrukture krytyczną; DDoS duże ilości danych do przetworzenia (logi), problem z zablokowaniem ataku; Copyright duża liczba zgłoszeńz automatów, różne podejście administratorów, problem z identyfikacją w sieciach NAT; Hosting próbny; Serwery znajdujące się w Chinach, Rosji (RBN) itp.;
Raport CERT Polska 2008 Raport CERT Polska za rok 2008 dostępny pod adresem: http://www.cert.pl/pdf/raport_cp_2008.pdf