Jolanta Gasiewicz, Inspektor ds. Bezpieczeństwa Informacji, PKO Finat nadkom. Piotr Gradkowski, Wydział dw. z Przestępczością Gospodarczą, Komenda Stołeczna Policji
Jolanta Gasiewicz Inspektor ds. Bezpieczeństwa Informacji PKO Finat
Nadkom. Piotr Gradkowski Ekspert Wydziału do walki z Przestępczością Gospodarczą Komendy Stołecznej Policji Od 2003 roku zajmuje się zwalczaniem przestępczości z wykorzystaniem zaawansowanych technologii w sektorze finansowym. Specjalizacja: bankowość elektroniczna /phishing, złośliwe oprogramowanie/ karty płatnicze i bankomaty /skimming, cash trapping/ W latach 2014 2016, Ekspert i Naczelnik Wydziału do walki z Cyberprzestępczością, Biura Służby Kryminalnej, Komendy Głównej Policji. Wieloletni koordynator ds. przestępczości kartowej i elektronicznej w garnizonie warszawskim, stały uczestnik i prelegent konferencji międzynarodowych organizowanych przez Wyższą Szkołę Policji w Szczytnie: TAPT /Techniczne Aspekty Przestępczości Teleinformatycznej/ Przestępczość z wykorzystaniem elektronicznych instrumentów płatniczych Prowadzi nadzory i kontrole w jednostkach podległych KSP, oraz warsztaty i szkolenia dla funkcjonariuszy z tych jednostek.
Agenda Wstęp Case study #1 Mechanizmy działania sprawców - zabezpieczenia Case study #2 Mechanizmy działania sprawców - zabezpieczenia Top 10 cyberzagrożeń w 2016 Ważne dla administratorów systemów! Podsumowanie
1. Wstęp Cyberzagrożenia, cyberprzestrzeń, cyberprzestępczość, cyberwojna? Kto w organizacji odpowiada za bezpieczeństwo informacji i danych? Niezbędny zakres wiedzy, praktyki, doświadczenie? Centrum kompetencji? Współpraca? Jeżeli tak, to z kim?
1.2. Rozwój cyberprzestępczości Robert Tappan Morris Gary McKinnon - Solo Kevin Poulsen Vladimir Levin Kevin Mitnick Polsilver Polly Pocket The Venom Inside Kyber Razzputin Charlie The Unicorn
1.3. Cyberprzestępczość Oszustwa komputerowe Fałszerstwa komputerowe Włamanie do systemu komputerowego Niszczenie danych lub programów Sabotaż komputerowy Piractwo komputerowe Bezprawne kopiowanie półprzewodników Modyfikacja danych Obraźliwe i nielegalne treści Szpiegostwo komputerowe Używanie komputera przez osobę nieuprawnioną Używanie prawnie chronionego programu komputerowego bez licencji Złośliwe oprogramowanie Atak na dostępność zasobów Atak na bezpieczeństwo informacji
2. Case study #1
2.1. Mechanizmy działania sprawców - Ransomware Zabezpieczenia Rosnąca wartość informacji Wykorzystywanie naiwności ofiar Brak regulacji prawnych Brak stosowania odpowiednich zabezpieczeń Nieprzestrzeganie polityk bezpieczeństwa Dostęp do aplikacji i systemów transakcyjnych przez Internet Polityki i procedury bezpieczeństwa Kopie zapasowe i kopie bezpieczeństwa Oprogramowanie antywirusowe Podnoszenie świadomości i kultury bezpieczeństwa Regularne szkolenia pracowników Zabezpieczenie materiału dowodowego Podjęcie szybkiej współpracy z organami ścigania
23 październik 2010 Atak na system komputerowy instytucji finansowej Wyciek danych Podejrzenie obecności sprawców na serwerach instytucji od kilku dni Prawdopodobny błąd SQL i furtką do wnętrza Słabe hasła Wskazania na rosyjską grupę hakerską APT 28
Co wyciekło????? W archiwum, udostępnionym przez włamywaczy, znajdowały się: plik XLS z ponad 30 tysiącami wierszy, zawierającymi loginy, czasem hasła lub hasze haseł, wyglądające na podsłuchane w sieci wewnętrznej lub wykradzione z serwerów (pliki shadow) plik XLS z kilkunastoma tysiącami loginów i haseł do różnych systemów bankowych / giełdowych / pocztowych plik XLS z kilkuset kontami z kontrolera domeny, wskazujący na użytkowników z różnych polskich i zagranicznych instytucji finansowych dane kilkudziesięciu tysięcy użytkowników platformy finansowej dziesiątki zrzutów ekranów skrzynek pocztowych oraz kopii wiadomości co najmniej kilkunastu polskich użytkowników systemów giełdowych i maklerskich (hasła dostępu do systemów, dane osobowe, wyciągi z kont itp.) lista ścieżek oraz haseł do webshelli w domenie instytucji fragmenty adresacji wewnętrznych sieci instytucji mapa architektury sieciowej instytucji
3.1. Mechanizmy wykorzystywane przez sprawców socjotechnika, trojany - złośliwe oprogramowanie Zabezpieczenia Anonimowość w sieci Intetrnet (sieć TOR, sieć botnet, serwery proxy) Anonimowe usługi telekomunikacyjne (karty SIM prepaid, hotspot free) Anonimowe usługi bankowe (karty płatnicze prepaid, rachunki przelewowe) Kryptowaluta (wirtualne pieniądze, np. Bitcoin) Wywieranie wpływu na ludzi 6 reguł Roberta Cialdiniego Zbieranie informacji Techniki komunikacyjne Wykorzystywanie emocji i ludzkich słabości Wyszkoleni, świadomi i czujni pracownicy! Polityki i procedury bezpieczeństwa podstawowe zasady zachowania się pracowników Zabezpieczenia technologiczne Poznanie swojej organizacji i metod wroga Procedury autoryzacyjne i weryfikacyjne Cykl socjotechniczny Wyeliminowanie podatnych na ataki słabości w zasobach ludzkich
3.2. Przykładowe znaki ostrzegawcze w czasie ataku socjotechnicznego Czynniki ułatwiające atak
4. Top 10 cyberzagrożeń
5. Ważne dla administratorów systemów! Algorytm postępowania w przypadku ataku /alternatywy/ Szybka reakcja na incydent Natychmiastowe zabezpieczanie śladów i dowodów działania sprawców /logi, stacje robocze/ Edukowanie użytkowników końcowych Bieżąca aktualizacja systemów, poprawek z zaufanych źródeł Silne hasła administracyjne, regularnie zmieniane Ograniczenia w dostępie do portów zewnętrznych, np. USB Ograniczony dostęp poszczególnych użytkowników do zasobów systemowych Odpowiedni przekaz medialny Stacja robocza do ewentualnego kontaktu ze sprawcami Kopie bezpieczeństwa!!!!!!!!!!
6. Podsumowanie