Cyberataki
Cyberataki
wczoraj, dziś i jutro
Tomasz Grudziecki
Tomasz Grudziecki
CERT Polska/NASK
Cyberataki
Cyberataki
wczoraj, dziś i jutro
Grudziecki
Grudziecki
CERT Polska/NASK
Trochę o terminologii…
�
IRT (Incident Response
�
IRT (Incident Response
�
CSIRT (Computer Security
Team)
�
CERT® (Computer Emergency
�
CIRC (Computer Incident
SIRT (Security Incident
�
SIRT (Security Incident
Trochę o terminologii…
Response Team)
Response Team)
Security Incident Response
Emergency Response Team)
Incident Response Capability)
Incident Response Team)
Incident Response Team)
Rola CERT Polska jako zespołu krajowego
�
Koordynacja przekazywania informacji
zaufane źródła pozyskiwania
zaufane źródła pozyskiwania
�
Zespół „ostatniej szansy”
�
Katalizator do powstawania nowych zespołów
�
Projekty międzynarodowe
�
Statystyki, raporty, wczesne ostrzeganie
Rola CERT Polska jako zespołu krajowego
Koordynacja przekazywania informacji
zaufane źródła pozyskiwania � CERT Polska � operatorzy
zaufane źródła pozyskiwania � CERT Polska � operatorzy
Katalizator do powstawania nowych zespołów
Statystyki, raporty, wczesne ostrzeganie
Dlaczego CERT Polska?
�
17.08.1991 NASK łączy Polskę z Internetem
�
17.08.1991 NASK łączy Polskę z Internetem
�
od 1992 NASK prowadzi rejestr domen .
�
1996 – powstaje CERT NASK
�
2000 – zmiana nazwy na CERT Polska
�
2008 – powstaje CERT.GOV.PL
2008 – powstaje CERT.GOV.PL
Dlaczego CERT Polska?
17.08.1991 NASK łączy Polskę z Internetem
17.08.1991 NASK łączy Polskę z Internetem
od 1992 NASK prowadzi rejestr domen .pl
powstaje CERT NASK
zmiana nazwy na CERT Polska
powstaje CERT.GOV.PL
powstaje CERT.GOV.PL
Krótka historia cyberzagrożeń
•
Lata ‘80 – pierwsze wirusy i robaki
•
Lata ‘80 – pierwsze wirusy i robaki
•
Lata ‘90 – wkracza polimorfizm
•
Przełom wieków – poczta elektroniczna nośnikiem zła
•
2001 – pierwszy „multitool”: Nimda
•
2003 – masowy sprinter: Slammer
pierwsze wirusy i robaki
pierwsze wirusy i robaki
wkracza polimorfizm
poczta elektroniczna nośnikiem zła
Nimda
Slammer
Krótka historia cyberzagrożeń
•
2003r.: robak Blaster/Lovesan
•
2003r.: robak Blaster/Lovesan
zaprojektowany, by zaatakować stronę
Microsoft się złamał – zamknął witrynę
•
Wojny robaków:
•
Welchia/Nachi vs. Blaster (2003)
MyDoom + Bagle vs. Netsky
•
MyDoom + Bagle vs. Netsky
•
Sasser vs. Dabber (2004)
•
SpyEye vs. ZeuS (2010)
zaprojektowany, by zaatakować stronę windowsupdate.com
zamknął witrynę
(2003)
Netsky (2004)
Netsky (2004)
Krótka historia cyberzagrożeń
•
Czasy współczesne – coraz większa złożoność i zasięg
•
Mebroot i Conficker (2008)
•
Trojany bankowe
•
ZeuS, SpyEye (2007-2010)
•
Web 2.0 – portale społecznościowe pod obstrzałem
•
Koobface (2008/2009)
•
Koobface (2008/2009)
•
Nowy wektor ataków – aplikacje klienckie
coraz większa złożoność i zasięg
portale społecznościowe pod obstrzałem
aplikacje klienckie
Krótka historia cyberzagrożeń
•
Czarny rynek rozkwita
2006/2007: MPack kit
•
2006/2007: MPack kit
•
Za jedyne 500$-1000$ pełny zestaw narzędzi z GUI do
tworzenia, dystrybucji i zarządzania
•
2007: IcePack kit
•
Za jedyne 400$ bardziej zaawansowany i automatyczny
•
Wzrost forów poświęconych wymianie informacji i handlowi
lukami, exploitami, „kitami”, skradzionymi danymi
•
Botnet (jako usługa) do wynajęcia
1000$ pełny zestaw narzędzi z GUI do
tworzenia, dystrybucji i zarządzania malware-m
Za jedyne 400$ bardziej zaawansowany i automatyczny
Wzrost forów poświęconych wymianie informacji i handlowi
, „kitami”, skradzionymi danymi
(jako usługa) do wynajęcia
Krótka historia cyberzagrożeń
•
Wyjście poza PC
•
Botnet Chuck Norris (2010)
•
Atakuje domowe routery/AP /modemy DSL
•
ZITMO (2011)
•
Mobilna wersja ZeuS-a (kody
•
DroidDream (2011)
•
DroidDream (2011)
•
Przejmowanie smartfonów
Atakuje domowe routery/AP /modemy DSL
(kody autoryzacyne via SMS)
smartfonów z systemem Android
Krótka historia cyberzagrożeń
•
Cyberszpiedzy i cyberwojna
2007: cyberatak na Estonię
•
2007: cyberatak na Estonię
•
2008: cyberatak na Gruzję (+
•
2007-2009: GhostNet – szpiegostwo wrogiego rządu
•
2009/2010: Operacja Aurora
•
2010: Stuxnet – sabotaż
2010: Stuxnet – sabotaż
•
2011: Lockheed Martin – pozyskanie technologii wojskowych
(Lockheed Martin, RSA)
+ konflikt zbrojny!)
szpiegostwo wrogiego rządu
2009/2010: Operacja Aurora – szpiegostwo przemysłowe
pozyskanie technologii wojskowych
Jaki jest cel tego wszystkiego?
•
Dawniej:
By pokazać niedoskonałości aplikacji bądź systemów
•
By pokazać niedoskonałości aplikacji bądź systemów
•
By przynosić sławę twórcom
•
By złośliwie usuwać z systemu różne pliki
•
By wyświetlać zabawne lub obraźliwe komunikaty
By pokazać niedoskonałości aplikacji bądź systemów
By pokazać niedoskonałości aplikacji bądź systemów
By przynosić sławę twórcom
By złośliwie usuwać z systemu różne pliki
By wyświetlać zabawne lub obraźliwe komunikaty
Jaki jest cel tego wszystkiego?
•
Dziś:
Ransomware – szantaż
•
Ransomware – szantaż
•
Scareware – zastraszanie
•
Kradzieże tożsamości i danych
•
Botnety – najemna armia
•
Ataki APT
Ataki APT
•
Cyberwojna, cyberterroryzm
Kradzieże tożsamości i danych
cyberterroryzm, cyberrewolucja…
E-wojna
•
2007: cyberatak na Estonię
Paraliż serwisów, mediów, e
•
Paraliż serwisów, mediów, e
infrastruktury (DNS)…
•
Obywatelskie „pospolite ruszenie”
„zwykli” obywatele
•
2008: cyberatak na Gruzję
•
Podobny jak w przypadku Estonii
•
Równolegle miał miejsce konflikt zbrojny
)
Paraliż serwisów, mediów, e-handlu, płatności on-line,
Paraliż serwisów, mediów, e-handlu, płatności on-line,
Obywatelskie „pospolite ruszenie” – atakowali także
Podobny jak w przypadku Estonii
Równolegle miał miejsce konflikt zbrojny
E-wojna
•
(2007)/2008/2009 Gh0stNet
•
Przykład jednego z pierwszych ataków APT
Przykład jednego z pierwszych ataków APT
(Advanced Persistent Threat):
o
Inwigilacja i szpiegostwo – nie zarabianie
o
Działanie wolne, przemyślane, sukcesywne, niezauważone
•
Cel: instytucje rządowe i polityczne wielu (wrogich) państw
•
Ok. 1300 komputerów w 130 krajach, 30% z nich komputery rządowe
•
Wykryty pierwotnie w komputerach organizacji pro
•
Wektor ataku: socjotechnika (*@freetibet.org
•
Źródło: Chiny
Przykład jednego z pierwszych ataków APT
Przykład jednego z pierwszych ataków APT
nie zarabianie
Działanie wolne, przemyślane, sukcesywne, niezauważone
Cel: instytucje rządowe i polityczne wielu (wrogich) państw
Ok. 1300 komputerów w 130 krajach, 30% z nich komputery rządowe
Wykryty pierwotnie w komputerach organizacji pro-tybetańskiej…
freetibet.org) i „stare” luki
E-wojna
•
12.2009/2010 Operacja Aurora
Google, Adobe, Yahoo, Symantec,
•
Google, Adobe, Yahoo, Symantec,
Dow Chemical
•
Szpiegostwo przemysłowe … czy może jednak polityczne?
Google twierdził, że motywy polityczne…
•
Ostra reakcja, szczególnie Google
•
Wektor ataku: 0-day w IE oraz socjotechnika
•
Źródło: Chiny
, Yahoo, Symantec, Juniper, Northrop Grumman,
, Yahoo, Symantec, Juniper, Northrop Grumman,
Szpiegostwo przemysłowe … czy może jednak polityczne?
Google twierdził, że motywy polityczne…
Ostra reakcja, szczególnie Google
day w IE oraz socjotechnika
E-wojna
•
(2009)2010: Stuxnet
Napisany od zera w celu ataku na systemy przemysłowe SCADA
•
Napisany od zera w celu ataku na systemy przemysłowe SCADA
firmy Siemens (określone modele sterowników PLC)
•
Zasięg (szacowany): 100.000 (60% w Iranie)
•
Bardzo duże wsparcie finansowe
•
Kod napisany w kilku językach (wielu twórców?)
•
Autorzy musieli mieć dostęp do drogiego i niszowego sprzętu
•
Wykorzystano
4 luki 0-day
•
Sterowniki podpisane wykradzionymi certyfikatami
(Realtec Semiconductor Corp.)
Napisany od zera w celu ataku na systemy przemysłowe SCADA
Napisany od zera w celu ataku na systemy przemysłowe SCADA
firmy Siemens (określone modele sterowników PLC)
Zasięg (szacowany): 100.000 (60% w Iranie)
Bardzo duże wsparcie finansowe – koszty wytworzenia:
Kod napisany w kilku językach (wielu twórców?)
Autorzy musieli mieć dostęp do drogiego i niszowego sprzętu
day
w jednym robaku!!!
Sterowniki podpisane wykradzionymi certyfikatami
Semiconductor Corp.)
E-wojna
•
(2009)2010: Stuxnet
•
Faza działania:
•
Faza działania:
•
Podmiana bibliotek umożliwiająca przechwycenie komunikacji
PC <-> PLC oraz podmianę danych (przeprogramowanie).
•
Atakowane tylko urządzenia wirujące
(np. wirówki do wzbogacania uranu)
•
Nie udało się oszacować czy i co zostało wykradzione…
•
Nie są znane potencjalne straty…
•
Źródło: ???
Podmiana bibliotek umożliwiająca przechwycenie komunikacji
> PLC oraz podmianę danych (przeprogramowanie).
Atakowane tylko urządzenia wirujące
(np. wirówki do wzbogacania uranu)
Nie udało się oszacować czy i co zostało wykradzione…
Nie są znane potencjalne straty…
E-wojna
•
2011: Lockheed Martin i RSA
Amerykański koncern zbrojeniowy
•
Amerykański koncern zbrojeniowy
•
Wektor ataku:
Włamanie do sieci Lockheed Martin
wcześniej dane (tokeny SecurID
•
Lockheed Martin twierdzi, że kluczowe dane są bezpieczne
•
Źródło: ???
Amerykański koncern zbrojeniowy
Amerykański koncern zbrojeniowy
Lockheed Martin
przez wykradzione
SecurID) w ataku na RSA Security
Lockheed Martin twierdzi, że kluczowe dane są bezpieczne
E-wojna
2010: Cyberrewolucja: WikiLeaks
•
2010: Cyberrewolucja: WikiLeaks
•
Publikacja >250.000 tajnych depesz rządu USA
•
Ostra reakcja rządu USA i innych państw, serwisów takich jak
PayPal, oraz „zwykłyuch” ludzi
•
Odwet: akcja Avenge Assange
Odwet: akcja Avenge Assange
przez Anonymous
WikiLeaks
WikiLeaks
Publikacja >250.000 tajnych depesz rządu USA
Ostra reakcja rządu USA i innych państw, serwisów takich jak
” ludzi
Assange – ataki DDoS przeprowadzane
Assange – ataki DDoS przeprowadzane
Co będzie jutro?
•
Czy ataki będą:
Coraz odważniejsze?
•
Coraz odważniejsze?
•
Coraz bardziej zaawansowane?
•
Cyberszpiegostwo będzie się zwiększać?
•
30-to osobowa chińska Blue Army
30-to osobowa chińska Blue Army
•
05.2011: Pentagon ujawnia nowe regulacje: USA na
odpowiedzieć bronią konwencjonalną
•
Wyścig zbrojeń trwa…
Coraz bardziej zaawansowane?
będzie się zwiększać?
Army
Army
05.2011: Pentagon ujawnia nowe regulacje: USA na cyberatak może
odpowiedzieć bronią konwencjonalną
