Najważniejsze trendy i zjawiska dotyczące zagrożeń teleinformatycznych w Polsce Rafał Tarłowski CERT Polska/NASK
Działalność CERT Polska Obsługa incydentów (constituency:.pl) Projekty bezpieczeństwa Współpraca krajowa Działania edukacyjne Cykl konferencji SECURE (13 lat) Szkolenia Kontakty z mediami Serwis www.cert.pl
Incydent w rozumieniu statystyk CERT Polska Jedna sprawa przypadek phishingu, zawirusowanej maszyny Często związany z konkretnym adresem IP, ale niekoniecznie Bywa rozciągnięty w czasie Często związany z więcej niż jednym zgłoszeniem Obsłużony indywidualnie, a nie jedynie wykryty czy przekazany
Liczba incydentów 1996-2009 3000 2500 2516 2427 2108 2000 1796 1500 1000 741 1013 1196 1222 1292 500 0 50 75 100 105 126 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009
Liczba zgłoszeń a liczba incydentów
Rozkład procentowy podtypów incydentów w latach 2003-2009 90 80 81,6 70 procent 60 50 40 30 20 10 0 53,9 51,4 27,1 24,2 4,7 7,9 4,0 10,6 10,9 35,3 25,2 25,9 Skanowanie Spam Sklasyfikowane złośliwe oprogramowanie 33,9 4,0 8,6 23,1 10,3 9,2 7,2 3,3 0,2 2,5 3,1 12,5 19,2 22,3 30,0 Kradzież tożsamości, podszycie się 2003 2004 2005 2006 2007 2008 2009
40 35 30 25 20 15 10 5 0 34,75 31,19 Rozklad procentowy typów incydentów 14,94 8,28 4,26 2,71 1,86 1,32 0,70 Złoś liwe oprogramowanie Gromadzenie informacji Próby włamań Włamania Inne Dostę pnoś ć zasobów Bezpieczeń stwo informacji Oszustwa komputerowe Obraź liwe i nielegalne treś ci procent
40 35 30 25 20 15 10 5 0 33,90 29,95 Rozkład procentowy podtypów incydentów 11,61 7,89 2,79 2,48 1,08 1,01 0,85 0,77 0,77 6,89 Pozostałe Skanowanie Próby nieuprawnionego logowania Koń trojań ski Włamanie do aplikacji Włamanie na konto zwykłe Rozproszony atak blokują cy serwis (DDoS) Robak sieciowy Wykorzystanie znanych luk systemowych Nieskalsyfikowane złoś liwe oprogramowanie Kradzież toż samoś ci, podszycie się Spam procent
70 60 50 40 30 20 10 0 15,8 62,7 27,2 30,3 40,1 Źródła zgłoszeń, ataków i poszkodowani 12,5 2,9 3,9 0,9 0,5 0,0 1,4 1,4 11,3 2,6 1,5 2,1 5,8 0,5 51,9 24,5 Nieznany Instytucja niekomercyjna ISP Abuse Jednostka rzą dowa Osoba prywatna Oś rodek badawczy lub edukacyjny Zgłaszający Poszkodowany Atakujący Inna instytucja ds. bezpieczeń stwa Firma komercyjna CERT procent
Phishing Typ incydentu o dużym i wciąż rosnącym znaczeniu (blisko 30% obsłużonych incydentów w 2009 r.) CERT Polska reaguje na przypadki phishingu dotyczące polskich podmiotów a także na przypadki zlokalizowane w polskich sieciach Zmienił się charakter phishingu. Fałszywe strony zastępowane są przez złośliwe oprogramowanie ingerujące w sesję przeglądarki. Pojedynczy incydent potrafi składać się z wielu wątków, aktualizacji, zmian w konfiguracji
80 70 60 50 40 30 20 10 0-10 Phishing 2003-2009 lis-03 lut-04 maj-04 sie-04 lis-04 lut-05 maj-05 sie-05 lis-05 lut-06 maj-06 sie-06 lis-06 lut-07 maj-07 sie-07 lis-07 lut-08 maj-08 sie-08 lis-08 lut-09 maj-09 sie-09 lis-09 Miesiąc Liczba zgłoszeń
Statystyki z obsługi incydentów Phishing 2009 60 50 Liczba zgłoszeń 40 30 20 10 0 30 16 33 41 29 9 7 6 26 2 32 9 25 4 4 22 29 0 14 20 15 5 4 5 Zagranica PL sty- 09 lut-09 mar- 09 kwi- 09 maj- 09 cze- 09 lip-09 sie- 09 wrz- 09 paź- 09 lis-09 gru- 09 Miesiąc
Dystrybucja malware przez drive-by-download przypadek www.pajacyk.pl 22 lutego 2009 roku na kilku forach internetowych pojawiły się informacje, że programy antywirusowe wykrywają złośliwe oprogramowanie na stronie www.pajacyk.pl (na przykład Avast identyfikował je jako VBS:Malware-gen) CERT Polska potwierdził zagrożenie do strony został doklejony JavaScript, przekierowujący na stronę infekującą trojanem ZBot. PAH stwierdza w komunikacie, że że alarmy programów antywirusowych są spowodowane obecnością reklamy w postaci wyskakującego okienka, a zagrożenia nie ma
Dystrybucja malware przez złośliwe pliki PDF Pliki PDF mają złożoną strukturę i mogą zawierać treści dynamiczne, np. JavaScript Format PDF został uwolniony w 2008 roku, co doprowadziło do jeszcze większego upowszechnienia go Pliki PDF mogą być rozpowszechnianie m.in. jako IFRAME na stronie WWW, załącznik w spamie Kod wykonywany jest także po cichu w trakcie indeksowania plików na dysku
Wielki wyciek danych Pod koniec listopada 2009 r. serwisy informacyjne obiegła informacja o wycieku danych z wielu polskich (i nie tylko) serwisów Na jednym z portali undergroundowych znaleziono pokaźną listę danych dostępowych (użytkownik, hasło, adres serwisu) Dane takie pochodzą z koni trojańskich na komputerach użytkowników, nie ma więc mowy o żadnym wycieku! Wielu użytkowników stosuje proste hasła, powtarzając je w wielu serwisach liczba % całości Wszystkich rekordów [1] 38.856 100% DOMENY *.pl 24.392 62,7% *.com 6.810 17,5% *.org 1.718 4,4% *.net 1.463 3,7%.*.info 795 2,0% SERWISY INTERNETOWE nasza-klasa.pl 1.118 2,9% allegro.pl 843 2,2% o2.pl 819 2,1% google.com 748 1,9% peb.pl 735 1,9% wp.pl 722 1,9% onet.pl 485 1,2% orange.pl 453 1,2% interia.pl 425 1,1%
Inne trendy i zjawiska Od 2004 (XP SP2) sukcesywnie spada liczba skanowań (w incydentach!) mniejsza podatność systemów mniejsza wrażliwość internautów na szum Najliczniejsze typy incydentów (nie tylko w CERT Polska) to spam i naruszenia praw autorskich Coraz trudniej jest kategoryzować złośliwe oprogramowanie
Secure 2010 SECURE to jedna z najstarszych w Polsce konferencji poświęconych w całości bezpieczeństwu teleinformatycznemu. Adresowana jest przede wszystkim do administratorów, oficerów bezpieczeństwa oraz praktyków z tej dziedziny. SECURE 2010 odbędzie się w dniach 25-27 października, w Centrum Konferencyjnym Adgar Plaza w Warszawie. Skupiać się będzie wokół trzech głównych nurtów: technicznego ze szczególnym uwzględnieniem nowatorskich i praktycznych rozwiązań organizacyjnego ze szczególnym naciskiem na dostrzeganie nowych trendów w zagrożeniach prawnego ze szczególnym naciskiem na rzeczywiste możliwości ścigania sprawców przestępstw SECURE 2010 Call for Speakers otwarte! (szczegóły na stronach www.cert.pl) www.secure.edu.pl