Cyberataki

Cyberataki

wczoraj, dziś i jutro

Tomasz Grudziecki

Tomasz Grudziecki

CERT Polska/NASK

Cyberataki

Cyberataki

wczoraj, dziś i jutro

Grudziecki

Grudziecki

CERT Polska/NASK

Trochę o terminologii…

IRT (Incident Response

IRT (Incident Response

CSIRT (Computer Security
Team)

CERT® (Computer Emergency

CIRC (Computer Incident
SIRT (Security Incident

SIRT (Security Incident

Trochę o terminologii…

Response Team)

Response Team)

Security Incident Response

Emergency Response Team)

Incident Response Capability)

Incident Response Team)

Incident Response Team)

Rola CERT Polska jako zespołu krajowego

Koordynacja przekazywania informacji
zaufane źródła pozyskiwania

zaufane źródła pozyskiwania

Zespół „ostatniej szansy”

Katalizator do powstawania nowych zespołów

Projekty międzynarodowe

Statystyki, raporty, wczesne ostrzeganie

Rola CERT Polska jako zespołu krajowego

Koordynacja przekazywania informacji
zaufane źródła pozyskiwania  CERT Polska  operatorzy

zaufane źródła pozyskiwania  CERT Polska  operatorzy

Katalizator do powstawania nowych zespołów

Statystyki, raporty, wczesne ostrzeganie

Dlaczego CERT Polska?

17.08.1991 NASK łączy Polskę z Internetem

17.08.1991 NASK łączy Polskę z Internetem

od 1992 NASK prowadzi rejestr domen .

1996 – powstaje CERT NASK

2000 – zmiana nazwy na CERT Polska

2008 – powstaje CERT.GOV.PL

2008 – powstaje CERT.GOV.PL

Dlaczego CERT Polska?

17.08.1991 NASK łączy Polskę z Internetem

17.08.1991 NASK łączy Polskę z Internetem
od 1992 NASK prowadzi rejestr domen .pl

powstaje CERT NASK
zmiana nazwy na CERT Polska
powstaje CERT.GOV.PL

powstaje CERT.GOV.PL

Krótka historia cyberzagrożeń

•

Lata ‘80 – pierwsze wirusy i robaki

•

Lata ‘80 – pierwsze wirusy i robaki

•

Lata ‘90 – wkracza polimorfizm

•

Przełom wieków – poczta elektroniczna nośnikiem zła

•

2001 – pierwszy „multitool”: Nimda

•

2003 – masowy sprinter: Slammer

pierwsze wirusy i robaki

pierwsze wirusy i robaki

wkracza polimorfizm

poczta elektroniczna nośnikiem zła

Nimda

Slammer

Krótka historia cyberzagrożeń

•

2003r.: robak Blaster/Lovesan

•

2003r.: robak Blaster/Lovesan

zaprojektowany, by zaatakować stronę

Microsoft się złamał – zamknął witrynę

•

Wojny robaków:

•

Welchia/Nachi vs. Blaster (2003)

MyDoom + Bagle vs. Netsky

•

MyDoom + Bagle vs. Netsky

•

Sasser vs. Dabber (2004)

•

SpyEye vs. ZeuS (2010)

zaprojektowany, by zaatakować stronę windowsupdate.com

zamknął witrynę

(2003)

Netsky (2004)

Netsky (2004)

Krótka historia cyberzagrożeń

•

Czasy współczesne – coraz większa złożoność i zasięg

•

Mebroot i Conficker (2008)

•

Trojany bankowe

•

ZeuS, SpyEye (2007-2010)

•

Web 2.0 – portale społecznościowe pod obstrzałem

•

Koobface (2008/2009)

•

Koobface (2008/2009)

•

Nowy wektor ataków – aplikacje klienckie

coraz większa złożoność i zasięg

portale społecznościowe pod obstrzałem

aplikacje klienckie

Krótka historia cyberzagrożeń

•

Czarny rynek rozkwita

2006/2007: MPack kit

•

2006/2007: MPack kit

•

Za jedyne 500$-1000$ pełny zestaw narzędzi z GUI do

tworzenia, dystrybucji i zarządzania

•

2007: IcePack kit

•

Za jedyne 400$ bardziej zaawansowany i automatyczny

•

Wzrost forów poświęconych wymianie informacji i handlowi

lukami, exploitami, „kitami”, skradzionymi danymi

•

Botnet (jako usługa) do wynajęcia

1000$ pełny zestaw narzędzi z GUI do

tworzenia, dystrybucji i zarządzania malware-m

Za jedyne 400$ bardziej zaawansowany i automatyczny

Wzrost forów poświęconych wymianie informacji i handlowi

, „kitami”, skradzionymi danymi

(jako usługa) do wynajęcia

Krótka historia cyberzagrożeń

•

Wyjście poza PC

•

Botnet Chuck Norris (2010)

•

Atakuje domowe routery/AP /modemy DSL

•

ZITMO (2011)

•

Mobilna wersja ZeuS-a (kody

•

DroidDream (2011)

•

DroidDream (2011)

•

Przejmowanie smartfonów

Atakuje domowe routery/AP /modemy DSL

(kody autoryzacyne via SMS)

smartfonów z systemem Android

Krótka historia cyberzagrożeń

•

Cyberszpiedzy i cyberwojna

2007: cyberatak na Estonię

•

2007: cyberatak na Estonię

•

2008: cyberatak na Gruzję (+

•

2007-2009: GhostNet – szpiegostwo wrogiego rządu

•

2009/2010: Operacja Aurora

•

2010: Stuxnet – sabotaż

2010: Stuxnet – sabotaż

•

2011: Lockheed Martin – pozyskanie technologii wojskowych

(Lockheed Martin, RSA)

+ konflikt zbrojny!)

szpiegostwo wrogiego rządu

2009/2010: Operacja Aurora – szpiegostwo przemysłowe

pozyskanie technologii wojskowych

Jaki jest cel tego wszystkiego?

•

Dawniej:

By pokazać niedoskonałości aplikacji bądź systemów

•

By pokazać niedoskonałości aplikacji bądź systemów

•

By przynosić sławę twórcom

•

By złośliwie usuwać z systemu różne pliki

•

By wyświetlać zabawne lub obraźliwe komunikaty

By pokazać niedoskonałości aplikacji bądź systemów

By pokazać niedoskonałości aplikacji bądź systemów

By przynosić sławę twórcom

By złośliwie usuwać z systemu różne pliki

By wyświetlać zabawne lub obraźliwe komunikaty

Jaki jest cel tego wszystkiego?

•

Dziś:

Ransomware – szantaż

•

Ransomware – szantaż

•

Scareware – zastraszanie

•

Kradzieże tożsamości i danych

•

Botnety – najemna armia

•

Ataki APT

Ataki APT

•

Cyberwojna, cyberterroryzm

Kradzieże tożsamości i danych

cyberterroryzm, cyberrewolucja…

E-wojna

•

2007: cyberatak na Estonię

Paraliż serwisów, mediów, e

•

Paraliż serwisów, mediów, e

infrastruktury (DNS)…

•

Obywatelskie „pospolite ruszenie”

„zwykli” obywatele

•

2008: cyberatak na Gruzję

•

Podobny jak w przypadku Estonii

•

Równolegle miał miejsce konflikt zbrojny

)

Paraliż serwisów, mediów, e-handlu, płatności on-line,

Paraliż serwisów, mediów, e-handlu, płatności on-line,

Obywatelskie „pospolite ruszenie” – atakowali także

Podobny jak w przypadku Estonii

Równolegle miał miejsce konflikt zbrojny

E-wojna

•

(2007)/2008/2009 Gh0stNet

•

Przykład jednego z pierwszych ataków APT

Przykład jednego z pierwszych ataków APT

(Advanced Persistent Threat):

o

Inwigilacja i szpiegostwo – nie zarabianie

o

Działanie wolne, przemyślane, sukcesywne, niezauważone

•

Cel: instytucje rządowe i polityczne wielu (wrogich) państw

•

Ok. 1300 komputerów w 130 krajach, 30% z nich komputery rządowe

•

Wykryty pierwotnie w komputerach organizacji pro

•

Wektor ataku: socjotechnika (*@freetibet.org

•

Źródło: Chiny

Przykład jednego z pierwszych ataków APT

Przykład jednego z pierwszych ataków APT

nie zarabianie

Działanie wolne, przemyślane, sukcesywne, niezauważone

Cel: instytucje rządowe i polityczne wielu (wrogich) państw

Ok. 1300 komputerów w 130 krajach, 30% z nich komputery rządowe

Wykryty pierwotnie w komputerach organizacji pro-tybetańskiej…

freetibet.org) i „stare” luki

E-wojna

•

12.2009/2010 Operacja Aurora

Google, Adobe, Yahoo, Symantec,

•

Google, Adobe, Yahoo, Symantec,

Dow Chemical

•

Szpiegostwo przemysłowe … czy może jednak polityczne?

Google twierdził, że motywy polityczne…

•

Ostra reakcja, szczególnie Google

•

Wektor ataku: 0-day w IE oraz socjotechnika

•

Źródło: Chiny

, Yahoo, Symantec, Juniper, Northrop Grumman,

, Yahoo, Symantec, Juniper, Northrop Grumman,

Szpiegostwo przemysłowe … czy może jednak polityczne?

Google twierdził, że motywy polityczne…

Ostra reakcja, szczególnie Google

day w IE oraz socjotechnika

E-wojna

•

(2009)2010: Stuxnet

Napisany od zera w celu ataku na systemy przemysłowe SCADA

•

Napisany od zera w celu ataku na systemy przemysłowe SCADA

firmy Siemens (określone modele sterowników PLC)

•

Zasięg (szacowany): 100.000 (60% w Iranie)

•

Bardzo duże wsparcie finansowe

•

Kod napisany w kilku językach (wielu twórców?)

•

Autorzy musieli mieć dostęp do drogiego i niszowego sprzętu

•

Wykorzystano

4 luki 0-day

•

Sterowniki podpisane wykradzionymi certyfikatami

(Realtec Semiconductor Corp.)

Napisany od zera w celu ataku na systemy przemysłowe SCADA

Napisany od zera w celu ataku na systemy przemysłowe SCADA

firmy Siemens (określone modele sterowników PLC)

Zasięg (szacowany): 100.000 (60% w Iranie)

Bardzo duże wsparcie finansowe – koszty wytworzenia:

Kod napisany w kilku językach (wielu twórców?)

Autorzy musieli mieć dostęp do drogiego i niszowego sprzętu

day

w jednym robaku!!!

Sterowniki podpisane wykradzionymi certyfikatami

Semiconductor Corp.)

E-wojna

•

(2009)2010: Stuxnet

•

Faza działania:

•

Faza działania:

•

Podmiana bibliotek umożliwiająca przechwycenie komunikacji

PC <-> PLC oraz podmianę danych (przeprogramowanie).

•

Atakowane tylko urządzenia wirujące

(np. wirówki do wzbogacania uranu)

•

Nie udało się oszacować czy i co zostało wykradzione…

•

Nie są znane potencjalne straty…

•

Źródło: ???

Podmiana bibliotek umożliwiająca przechwycenie komunikacji

> PLC oraz podmianę danych (przeprogramowanie).

Atakowane tylko urządzenia wirujące

(np. wirówki do wzbogacania uranu)

Nie udało się oszacować czy i co zostało wykradzione…

Nie są znane potencjalne straty…

E-wojna

•

2011: Lockheed Martin i RSA

Amerykański koncern zbrojeniowy

•

Amerykański koncern zbrojeniowy

•

Wektor ataku:

Włamanie do sieci Lockheed Martin

wcześniej dane (tokeny SecurID

•

Lockheed Martin twierdzi, że kluczowe dane są bezpieczne

•

Źródło: ???

Amerykański koncern zbrojeniowy

Amerykański koncern zbrojeniowy

Lockheed Martin

przez wykradzione

SecurID) w ataku na RSA Security

Lockheed Martin twierdzi, że kluczowe dane są bezpieczne

E-wojna

2010: Cyberrewolucja: WikiLeaks

•

2010: Cyberrewolucja: WikiLeaks

•

Publikacja >250.000 tajnych depesz rządu USA

•

Ostra reakcja rządu USA i innych państw, serwisów takich jak

PayPal, oraz „zwykłyuch” ludzi

•

Odwet: akcja Avenge Assange

Odwet: akcja Avenge Assange

przez Anonymous

WikiLeaks

WikiLeaks

Publikacja >250.000 tajnych depesz rządu USA

Ostra reakcja rządu USA i innych państw, serwisów takich jak

” ludzi

Assange – ataki DDoS przeprowadzane

Assange – ataki DDoS przeprowadzane

Co będzie jutro?

•

Czy ataki będą:

Coraz odważniejsze?

•

Coraz odważniejsze?

•

Coraz bardziej zaawansowane?

•

Cyberszpiegostwo będzie się zwiększać?

•

30-to osobowa chińska Blue Army

30-to osobowa chińska Blue Army

•

05.2011: Pentagon ujawnia nowe regulacje: USA na

odpowiedzieć bronią konwencjonalną

•

Wyścig zbrojeń trwa…

Coraz bardziej zaawansowane?

będzie się zwiększać?

Army

Army

05.2011: Pentagon ujawnia nowe regulacje: USA na cyberatak może

odpowiedzieć bronią konwencjonalną