Cyberataki wczoraj, dziś i jutro Tomasz Grudziecki CERT Polska/NASK
Trochę o terminologii IRT (Incident Response Team) CSIRT (ComputerSecurity Incident Response Team) CERT (Computer Emergency Response Team) CIRC (Computer Incident Response Capability) SIRT (Security Incident Response Team)
Rola CERT Polska jako zespołu krajowego Koordynacja przekazywania informacji zaufane źródła pozyskiwania CERT Polska operatorzy Zespół ostatniej szansy Katalizator do powstawania nowych zespołów Projekty międzynarodowe Statystyki, raporty, wczesne ostrzeganie
Dlaczego CERT Polska? 17.08.1991 NASK łączy Polskę z Internetem od 1992 NASK prowadzi rejestr domen.pl 1996 powstaje CERT NASK 2000 zmiana nazwy na CERT Polska 2008 powstaje CERT.GOV.PL
Krótka historia cyberzagrożeń Lata 80 pierwsze wirusy i robaki Lata 90 wkracza polimorfizm Przełom wieków poczta elektroniczna nośnikiem zła 2001 pierwszy multitool : Nimda 2003 masowy sprinter: Slammer
Krótka historia cyberzagrożeń 2003r.: robak Blaster/Lovesan zaprojektowany, by zaatakować stronę windowsupdate.com Microsoft się złamał zamknął witrynę Wojny robaków: Welchia/Nachi vs. Blaster(2003) MyDoom + Bagle vs. Netsky(2004) Sasser vs. Dabber(2004) SpyEye vs. ZeuS(2010)
Krótka historia cyberzagrożeń Czasy współczesne coraz większa złożoność i zasięg Mebroot i Conficker(2008) Trojany bankowe ZeuS, SpyEye(2007-2010) Web 2.0 portale społecznościowe pod obstrzałem Koobface(2008/2009) Nowy wektor ataków aplikacje klienckie
Krótka historia cyberzagrożeń Czarny rynek rozkwita 2006/2007: MPack kit Za jedyne 500$-1000$ pełny zestaw narzędzi z GUI do tworzenia, dystrybucji i zarządzania malware-m 2007: IcePack kit Za jedyne 400$ bardziej zaawansowany i automatyczny Wzrost forów poświęconych wymianie informacji i handlowi lukami, exploitami, kitami, skradzionymi danymi Botnet(jako usługa) do wynajęcia
Krótka historia cyberzagrożeń Wyjście poza PC Botnet Chuck Norris(2010) Atakuje domowe routery/ap /modemy DSL ZITMO (2011) Mobilna wersja ZeuS-a(kody autoryzacyne via SMS) DroidDream(2011) Przejmowanie smartfonów z systemem Android
Krótka historia cyberzagrożeń Cyberszpiedzy i cyberwojna 2007: cyberatak na Estonię 2008: cyberatak na Gruzję (+ konflikt zbrojny!) 2007-2009: GhostNet szpiegostwo wrogiego rządu 2009/2010: Operacja Aurora szpiegostwo przemysłowe 2010: Stuxnet sabotaż 2011: Lockheed Martin pozyskanie technologii wojskowych (Lockheed Martin, RSA)
Jaki jest cel tego wszystkiego? Dawniej: By pokazać niedoskonałości aplikacji bądź systemów By przynosić sławę twórcom By złośliwie usuwać z systemu różne pliki By wyświetlać zabawne lub obraźliwe komunikaty
Jaki jest cel tego wszystkiego? Dziś: Ransomware szantaż Scareware zastraszanie Kradzieże tożsamości i danych Botnety najemna armia Ataki APT Cyberwojna, cyberterroryzm, cyberrewolucja
) E-wojna 2007: cyberatak na Estonię Paraliż serwisów, mediów, e-handlu, płatności on-line, infrastruktury (DNS) Obywatelskie pospolite ruszenie atakowali także zwykli obywatele 2008: cyberatak na Gruzję Podobny jak w przypadku Estonii Równolegle miał miejsce konflikt zbrojny
E-wojna (2007)/2008/2009 Gh0stNet Przykład jednego z pierwszych ataków APT (Advanced Persistent Threat): o o Inwigilacja i szpiegostwo nie zarabianie Działanie wolne, przemyślane, sukcesywne, niezauważone Cel: instytucje rządowe i polityczne wielu (wrogich) państw Ok. 1300 komputerów w 130 krajach, 30% z nich komputery rządowe Wykryty pierwotnie w komputerach organizacji pro-tybetańskiej Wektor ataku: socjotechnika (*@freetibet.org) i stare luki Źródło: Chiny
E-wojna 12.2009/2010 Operacja Aurora Google, Adobe, Yahoo, Symantec, Juniper, NorthropGrumman, Dow Chemical Szpiegostwo przemysłowe czy może jednak polityczne? Google twierdził, że motywy polityczne Ostra reakcja, szczególnie Google Wektor ataku: 0-day w IE oraz socjotechnika Źródło: Chiny
E-wojna (2009)2010: Stuxnet Napisany od zera w celu ataku na systemy przemysłowe SCADA firmy Siemens (określone modele sterowników PLC) Zasięg (szacowany): 100.000 (60% w Iranie) Bardzo duże wsparcie finansowe koszty wytworzenia: Kod napisany w kilku językach (wielu twórców?) Autorzy musieli mieć dostęp do drogiego i niszowego sprzętu Wykorzystano 4 luki 0-day w jednym robaku!!! Sterowniki podpisane wykradzionymi certyfikatami (Realtec Semiconductor Corp.)
E-wojna (2009)2010: Stuxnet Faza działania: Podmiana bibliotek umożliwiająca przechwycenie komunikacji PC <-> PLC oraz podmianę danych (przeprogramowanie). Atakowane tylko urządzenia wirujące (np. wirówki do wzbogacania uranu) Nie udało się oszacować czy i co zostało wykradzione Nie są znane potencjalne straty Źródło:???
E-wojna 2011: Lockheed Martin i RSA Amerykański koncern zbrojeniowy Wektor ataku: Włamanie do sieci Lockheed Martin przez wykradzione wcześniej dane (tokeny SecurID) w ataku na RSA Security Lockheed Martin twierdzi, że kluczowe dane są bezpieczne Źródło:???
E-wojna 2010: Cyberrewolucja: WikiLeaks Publikacja >250.000 tajnych depesz rządu USA Ostra reakcja rządu USA i innych państw, serwisów takich jak PayPal, oraz zwykłyuch ludzi Odwet: akcja Avenge Assange ataki DDoSprzeprowadzane przez Anonymous
Co będzie jutro? Czy ataki będą: Coraz odważniejsze? Coraz bardziej zaawansowane? Cyberszpiegostwo będzie się zwiększać? 30-to osobowa chińska Blue Army 05.2011: Pentagon ujawnia nowe regulacje: USA na cyberatakmoże odpowiedzieć bronią konwencjonalną Wyścig zbrojeń trwa