Cyberataki
Cyberataki
Cyberataki
Cyberataki
wczoraj, dziś i jutro
wczoraj, dziś i jutro
Tomasz Grudziecki
Tomasz Grudziecki
Grudziecki
Grudziecki
CERT Polska/NASK
CERT Polska/NASK
Trochę o terminologii&
Trochę o terminologii&
Response
IRT (Incident Response Team)
IRT (Incident Response Team)
Response
Security Incident Response
CSIRT (Computer Security
Team)
Emergency
CERT� (Computer Emergency Response Team)
Incident
CIRC (Computer Incident Response Capability)
Incident
SIRT (Security Incident Response Team)
SIRT (Security Incident Response Team)
Incident
Rola CERT Polska jako zespołu krajowego
Rola CERT Polska jako zespołu krajowego
Koordynacja przekazywania informacji
Koordynacja przekazywania informacji
zaufane z
ródła pozyskiwania CERT Polska operatorzy
zaufane z
ródła pozyskiwania
zaufane z
ródła pozyskiwania
zaufane z
ródła pozyskiwania CERT Polska operatorzy
Zespół  ostatniej szansy
Katalizator do powstawania nowych zespołów
Katalizator do powstawania nowych zespołów
Projekty międzynarodowe
Statystyki, raporty, wczesne ostrzeganie
Statystyki, raporty, wczesne ostrzeganie
Dlaczego CERT Polska?
Dlaczego CERT Polska?
17.08.1991 NASK łączy Polskę z Internetem
17.08.1991 NASK łączy Polskę z Internetem
17.08.1991 NASK łączy Polskę z Internetem
17.08.1991 NASK łączy Polskę z Internetem
od 1992 NASK prowadzi rejestr domen .
od 1992 NASK prowadzi rejestr domen .pl
powstaje CERT NASK
1996  powstaje CERT NASK
zmiana nazwy na CERT Polska
2000  zmiana nazwy na CERT Polska
powstaje CERT.GOV.PL
2008  powstaje CERT.GOV.PL
2008  powstaje CERT.GOV.PL
powstaje CERT.GOV.PL
Krótka historia cyberzagrożeń
" Lata  80  pierwsze wirusy i robaki
" Lata  80  pierwsze wirusy i robaki
pierwsze wirusy i robaki
pierwsze wirusy i robaki
" Lata  90  wkracza polimorfizm
wkracza polimorfizm
" Przełom wieków  poczta elektroniczna nośnikiem zła
poczta elektroniczna nośnikiem zła
" 2001  pierwszy  multitool : Nimda
Nimda
" 2003  masowy sprinter: Slammer
Slammer
Krótka historia cyberzagrożeń
" 2003r.: robak Blaster/Lovesan
" 2003r.: robak Blaster/Lovesan
zaprojektowany, by zaatakować stronę
zaprojektowany, by zaatakować stronę windowsupdate.com
Microsoft się złamał  zamknął witrynę
zamknął witrynę
" Wojny robaków:
" Welchia/Nachi vs. Blaster (2003)
(2003)
" MyDoom + Bagle vs. Netsky (2004)
MyDoom + Bagle vs. Netsky (2004)
Netsky
Netsky
" Sasser vs. Dabber (2004)
" SpyEye vs. ZeuS (2010)
Krótka historia cyberzagrożeń
" Czasy współczesne  coraz większa złożoność i zasięg
coraz większa złożoność i zasięg
" Mebroot i Conficker (2008)
" Trojany bankowe
" ZeuS, SpyEye (2007-2010)
" Web 2.0  portale społecznościowe pod obstrzałem
portale społecznościowe pod obstrzałem
" Koobface (2008/2009)
" Koobface (2008/2009)
" Nowy wektor ataków  aplikacje klienckie
aplikacje klienckie
Krótka historia cyberzagrożeń
" Czarny rynek rozkwita
" 2006/2007: MPack kit
2006/2007: MPack kit
" Za jedyne 500$-1000$ pełny zestaw narzędzi z GUI do
1000$ pełny zestaw narzędzi z GUI do
tworzenia, dystrybucji i zarządzania malware-m
tworzenia, dystrybucji i zarządzania
" 2007: IcePack kit
" Za jedyne 400$ bardziej zaawansowany i automatyczny
Za jedyne 400$ bardziej zaawansowany i automatyczny
" Wzrost forów poświęconych wymianie informacji i handlowi
Wzrost forów poświęconych wymianie informacji i handlowi
lukami, exploitami,  kitami , skradzionymi danymi
,  kitami , skradzionymi danymi
" Botnet (jako usługa) do wynajęcia
(jako usługa) do wynajęcia
Krótka historia cyberzagrożeń
" Wyjście poza PC
" Botnet Chuck Norris (2010)
" Atakuje domowe routery/AP /modemy DSL
Atakuje domowe routery/AP /modemy DSL
" ZITMO (2011)
" Mobilna wersja ZeuS-a (kody
(kody autoryzacyne via SMS)
" DroidDream (2011)
" DroidDream (2011)
" Przejmowanie smartfonów z systemem Android
smartfonów
Krótka historia cyberzagrożeń
" Cyberszpiedzy i cyberwojna
" 2007: cyberatak na Estonię
2007: cyberatak na Estonię
" 2008: cyberatak na Gruzję (+ konflikt zbrojny!)
+
" 2007-2009: GhostNet  szpiegostwo wrogiego rządu
szpiegostwo wrogiego rządu
" 2009/2010: Operacja Aurora  szpiegostwo przemysłowe
2009/2010: Operacja Aurora
" 2010: Stuxnet  sabotaż
2010: Stuxnet  sabotaż
" 2011: Lockheed Martin  pozyskanie technologii wojskowych
pozyskanie technologii wojskowych
(Lockheed Martin, RSA)
Jaki jest cel tego wszystkiego?
" Dawniej:
" By pokazać niedoskonałości aplikacji bądz
systemów
By pokazać niedoskonałości aplikacji bądz
systemów
By pokazać niedoskonałości aplikacji bądz
systemów
By pokazać niedoskonałości aplikacji bądz
systemów
" By przynosić sławę twórcom
By przynosić sławę twórcom
" By złośliwie usuwać z systemu różne pliki
By złośliwie usuwać z systemu różne pliki
" By wyświetlać zabawne lub obraz
liwe komunikaty
By wyświetlać zabawne lub obraz
liwe komunikaty
Jaki jest cel tego wszystkiego?
" Dziś:
" Ransomware  szantaż
Ransomware  szantaż
" Scareware  zastraszanie
" Kradzieże tożsamości i danych
Kradzieże tożsamości i danych
" Botnety  najemna armia
" Ataki APT
Ataki APT
" Cyberwojna, cyberterroryzm
cyberterroryzm, cyberrewolucja&
)
E-wojna
" 2007: cyberatak na Estonię
" Paraliż serwisów, mediów, e-handlu, płatności on-line,
Paraliż serwisów, mediów, e
Paraliż serwisów, mediów, e
Paraliż serwisów, mediów, e-handlu, płatności on-line,
infrastruktury (DNS)&
" Obywatelskie  pospolite ruszenie atakowali także
Obywatelskie  pospolite ruszenie 
 zwykli obywatele
" 2008: cyberatak na Gruzję
" Podobny jak w przypadku Estonii
Podobny jak w przypadku Estonii
" Równolegle miał miejsce konflikt zbrojny
Równolegle miał miejsce konflikt zbrojny
E-wojna
" (2007)/2008/2009 Gh0stNet
" Przykład jednego z pierwszych ataków APT
Przykład jednego z pierwszych ataków APT
Przykład jednego z pierwszych ataków APT
Przykład jednego z pierwszych ataków APT
(Advanced Persistent Threat):
o Inwigilacja i szpiegostwo  nie zarabianie
nie zarabianie
o Działanie wolne, przemyślane, sukcesywne, niezauważone
Działanie wolne, przemyślane, sukcesywne, niezauważone
" Cel: instytucje rządowe i polityczne wielu (wrogich) państw
Cel: instytucje rządowe i polityczne wielu (wrogich) państw
" Ok. 1300 komputerów w 130 krajach, 30% z nich komputery rządowe
Ok. 1300 komputerów w 130 krajach, 30% z nich komputery rządowe
" Wykryty pierwotnie w komputerach organizacji pro-tybetańskiej&
Wykryty pierwotnie w komputerach organizacji pro
" Wektor ataku: socjotechnika (*@freetibet.org
freetibet.org) i  stare luki
" y
ródło: Chiny
E-wojna
" 12.2009/2010 Operacja Aurora
" Google, Adobe, Yahoo, Symantec, Juniper, Northrop Grumman,
Google, Adobe, Yahoo, Symantec,
, Yahoo, Symantec, Juniper, Northrop Grumman,
, Yahoo, Symantec,
Dow Chemical
" Szpiegostwo przemysłowe & czy może jednak polityczne?
Szpiegostwo przemysłowe & czy może jednak polityczne?
Google twierdził, że motywy polityczne&
Google twierdził, że motywy polityczne&
" Ostra reakcja, szczególnie Google
Ostra reakcja, szczególnie Google
" Wektor ataku: 0-day w IE oraz socjotechnika
day w IE oraz socjotechnika
" y
ródło: Chiny
E-wojna
" (2009)2010: Stuxnet
" Napisany od zera w celu ataku na systemy przemysłowe SCADA
Napisany od zera w celu ataku na systemy przemysłowe SCADA
Napisany od zera w celu ataku na systemy przemysłowe SCADA
Napisany od zera w celu ataku na systemy przemysłowe SCADA
firmy Siemens (określone modele sterowników PLC)
firmy Siemens (określone modele sterowników PLC)
" Zasięg (szacowany): 100.000 (60% w Iranie)
Zasięg (szacowany): 100.000 (60% w Iranie)
" Bardzo duże wsparcie finansowe koszty wytworzenia:
Bardzo duże wsparcie finansowe 
" Kod napisany w kilku językach (wielu twórców?)
Kod napisany w kilku językach (wielu twórców?)
" Autorzy musieli mieć dostęp do drogiego i niszowego sprzętu
Autorzy musieli mieć dostęp do drogiego i niszowego sprzętu
" Wykorzystano 4 luki 0-day w jednym robaku!!!
day
" Sterowniki podpisane wykradzionymi certyfikatami
Sterowniki podpisane wykradzionymi certyfikatami
(Realtec Semiconductor Corp.)
Semiconductor Corp.)
E-wojna
" (2009)2010: Stuxnet
" Faza działania:
" Faza działania:
" Podmiana bibliotek umożliwiająca przechwycenie komunikacji
Podmiana bibliotek umożliwiająca przechwycenie komunikacji
PC <-> PLC oraz podmianę danych (przeprogramowanie).
> PLC oraz podmianę danych (przeprogramowanie).
" Atakowane tylko urządzenia wirujące
Atakowane tylko urządzenia wirujące
(np. wirówki do wzbogacania uranu)
(np. wirówki do wzbogacania uranu)
" Nie udało się oszacować czy i co zostało wykradzione&
Nie udało się oszacować czy i co zostało wykradzione&
" Nie są znane potencjalne straty&
Nie są znane potencjalne straty&
" y
ródło: ???
E-wojna
" 2011: Lockheed Martin i RSA
" Amerykański koncern zbrojeniowy
Amerykański koncern zbrojeniowy
Amerykański koncern zbrojeniowy
Amerykański koncern zbrojeniowy
" Wektor ataku:
Włamanie do sieci Lockheed Martin przez wykradzione
Lockheed Martin
wcześniej dane (tokeny SecurID) w ataku na RSA Security
SecurID
" Lockheed Martin twierdzi, że kluczowe dane są bezpieczne
Lockheed Martin twierdzi, że kluczowe dane są bezpieczne
" y
ródło: ???
E-wojna
" 2010: Cyberrewolucja: WikiLeaks
2010: Cyberrewolucja: WikiLeaks
WikiLeaks
WikiLeaks
" Publikacja >250.000 tajnych depesz rządu USA
Publikacja >250.000 tajnych depesz rządu USA
" Ostra reakcja rządu USA i innych państw, serwisów takich jak
Ostra reakcja rządu USA i innych państw, serwisów takich jak
PayPal, oraz  zwykłyuch ludzi
 ludzi
" Odwet: akcja Avenge Assange  ataki DDoS przeprowadzane
Odwet: akcja Avenge Assange  ataki DDoS przeprowadzane
Assange
Assange
przez Anonymous
Co będzie jutro?
" Czy ataki będą:
" Coraz odważniejsze?
Coraz odważniejsze?
" Coraz bardziej zaawansowane?
Coraz bardziej zaawansowane?
" Cyberszpiegostwo będzie się zwiększać?
będzie się zwiększać?
" 30-to osobowa chińska Blue Army
30-to osobowa chińska Blue Army
Army
Army
" 05.2011: Pentagon ujawnia nowe regulacje: USA na
05.2011: Pentagon ujawnia nowe regulacje: USA na cyberatak może
odpowiedzieć bronią konwencjonalną
odpowiedzieć bronią konwencjonalną
" Wyścig zbrojeń trwa&