evolucija cyber pretnji i razvoj cyber
TRANSCRIPT
Evolucija cyber pretnji i razvoj cyber “oružja”
dr Igor FrancHead of hi-tech crime unit
ICT Security conferenceKLADOVO 14-16 May 2015
Sadržaj
• Evolucija kompjuterskih virusa• Evolucija kompjuterskih crva i trojanaca• Evolucija cyber pretnji• Evolucija cyber napada• Cyber „oružje“ - STUXNET• Budućnost cyber napada• Zaključak• Pitanja
www.secitsecurity.com
Evolucija kompjuterskih virusa
• DOS virusi u 80-tim – Elk Cloner 1981
• Napravljen od strane 15-godišnjaka za Apple II i predstavlja boot sektor virus za floppy disk
– Brain 1986• Prvi PC virus koji napada 360kb 5,25” floppy diskove i prvi je full-
stealth virus
– Form 1990• Prvi hard disk virus koji napada boot sektor ili bad sektore na floppy
disku
– Michelangelo 1992• Infektor izvršnih fajlova koij se na dan kada je rođen Michelangelo 6
mart pokretao i brisao podatke sa zaraženih diskovawww.secitsecurity.com
Evolucija kompjuterskih virusa
• Email virusi – Happy99 1999• Širio sa putem maila (spaming) ili na news grupama
preko fajla HAPPY99.EXE koji se automatski slao sa mail klijenta zaraženog računara, nije nanosio štetu
– Melissa 1999• Ovo je prvi makro virus koji je napadao MS word,
širio se putem maila (slao je sebe na prvih 50 mailova u outlook address booku), postoji i izmenjena verzija koja napada MS excel pod nazivom Papa virus
www.secitsecurity.com
Evolucija kompjuterskih virusa
• Email virusi – ILOVEYOU 2000• Širio se preko jpg i mp3 fajlova i mogao je da ukrade
network password i da ga pošalje na udaljenu lokaciju, širio se putem MS outlook i Exchange tako što je slao sebe ne sve adrese u address booku
– Klez 2001• Imao je naprednu metodu širenja tako što je
koristio promenljive naslove i sadržaje mailova tako da ga je bilo teško detektovati, brisao je fajove sa zaraženog hard diska
www.secitsecurity.com
Evolucija kompjuterskih crva i trojanaca
• Worms – Code Red 2001
• Poreklom iz Kine, napadao je MS IIS servere, zarazio je 12.000 servera i omogućio preuzimanje kontrole zaraženog servera kao i deface sajtova
– Nimda 2001• Napadao je i personalne računare i mrežne servere,
širio su putem maila ali i putem zaraženih web sajtova, takođe je mogao da skenira i sajtove i da sa njih pronalazi email adrese na koje bi se slao automatski i to uz random sadržaj i atachment sa hdd-a (250.000 mašina za samo par sati)www.secitsecurity.com
Evolucija kompjuterskih crva i trojanaca
• Worms – Slammer 2003
• Širio se hiljadu puta brže od nimde i code red-a, napadao je SQL servere tako što je koristio buffer overflow i uspeo je da za 15 minuta zaustavi čitav internet, stvorio je štetu od više milijardi dolara, širio se brzinom 75.000 računara u svakih 10 minuta
– MyDoom 2004• Poznat je i pod nazivom Novarg je crv koji se širio putem
email i svaki 12-ti mail u proseku je bio zaražen, virus se takođe širio i putem file-sharing mreža, instalirao se kao "back door“ i čekao komandu sa udaljene lokacije
www.secitsecurity.com
Evolucija kompjuterskih crva i trojanaca
• Worms– Sasser 2004
• Nije se širio putem maila kao što se u početku mislilo već putem pronalaženja propusta na MS Windows 2000 i novijim sistemima, radio je automatski shut down zaraženog računara
– Netsky 2004• U početku je napao Japan i Nemačku međuti brzo se
proširio i ušao na listu top 10 virusa na svim kontinentima isključujući Austaliju, širio se putem maila (koristio je SMTP engine) i peer to peer mreža, posle inficiranja pokretao se zajedno sa operativnim sistemom
www.secitsecurity.com
Evolucija kompjuterskih crva i trojanaca
• Trojanci– Netbus trojan 2002• Jedan od najpopularnijih trojanaca ikada. Omogućavao
je bilo kome da kontroliše zaraženi računar sa istim nivoom privilegija koje ima logovani korisnik
www.secitsecurity.com
Napredne vrste pretnji
• Storm 2007– Ovo je supercrv koji se širio u skrivenom email atachmentu
i ko god je otvorio atachment bio je dodat u rastuću botnet mrežu.
– Bio je više stvari u jednom – crv, trojanac i bot i uspeo je da zarazi oko 50 miliona računara. Za razliku od ostalih kojima je cilj bio slava ovaj je stvoren iz razloga profita i zato je drugačiji.
– Bio je vrlo težak za detekciju, veoma strpljiv, C2: command-and-control servers, nije stvarao nikakvu štetu, koristio je peer-to-peer mreže za C2 što je otežavalo zaustavljanje
www.secitsecurity.com
Napredne vrste pretnji
• Flame 2012– Ovu pretnju stručnjaci opisuju kao najkompleksniju ikada i
pominju pojmove cyber-war i cyber-espionage– Ono što on može raditi jeste:• Prisluškivanje mrežnog saobraćaja• Preuzimanje sadržaja ekrana (screenshots)• Pratiti pokretanje određenih aplikacija od interesa• Snimati audio konverzaciju• Presretati tastaturu
– Njegovi ciljevi su bili: SCADA i ostali sistemi kritične infrastrukture uglavnom na teritoriji Middle East, često se povezuje sa Stuxnet
www.secitsecurity.com
Android malware
• DroidKungFu 2011– Može da rutuje android uređaj i da na taj način izbegne antivirus
detekciju metodom kriptovanja– Uglavnom dolazi sa igricama sa kineskog područja kao i pratećih
foruma– Sa zaraženog telefona može preuzeti sledeće:
• International Mobile Equipment Identity (IMEI)• Mobile device model• Network operator• Network type• Operating system (OS) APIs• OS type• Information stored in the Phone memory• Information stored in the SD card memory
www.secitsecurity.com
Android malware
• AnserverBot 2011– Stručnjaci veruju da je ovo jedan od najsofisticiranijih
malvera koji napadaju android uređaje– Koristi legitimne programe da bi komunicirali sa C&C
serverima radi dobijanja komandi– Veruje se da je poreklom iz Kine i da dolazi sa dosta
softvera koji se može naći na alternativnim android marketima uglavnom u Kini
– Koristi nekoliko naprednih tehnika:• deep code obfuscating• dynamical code loading
www.secitsecurity.com
Socijalni inženjering „wet-ware”
• War dialing• War driving• Phishing• Dumpster diving• Shoulder surfing• Eavesdropping• Tailgating• Impersonation• Road apple
www.secitsecurity.com
War dialing
www.secitsecurity.com
• Tehnika pronalaženja uređaja ovezanih na internet• Zastarela od kada se ne koriste modemi
War driving
www.secitsecurity.com
• Tehnika koja je vrlo popularna• Vožnja autom sa posebnom opremom radi beleženja wi-fi mreža
Phishing
www.secitsecurity.com
• Phishing ili u prevodu pecanje jeste upravo to• Prevara korisnika da bi se došlo do šifri, PIN brojeva i slično
Dumpster diving
www.secitsecurity.com
• Preturanje po kontejnerima kako bi se našlo nešto od koristi• Uglavnom se radi o traženju papira, diskova, fascikli, uputstava i slično
Shoulder surfing
www.secitsecurity.com
• Gledanje preko ramena kako bi se videlo nešto korisno• Uglavnom korisničko ime, šifra, nešto na monitoru...
Eavesdropping
www.secitsecurity.com
• Prisluškivanje ali se ne misli samo na obično već i na prisluškivanje prenosa podataka – Wireshark...
Tailgating
www.secitsecurity.com
• Tehnika koja ima za cilj neovlašćen ulazak• Bazira se na: pridrži mi vrata molim te...
Impersonation
www.secitsecurity.com
• Prerušavanje u nekog drugog (rukovodioca, novog radnika)• Ovde se uglavnom radi o navođenju čoveka na neku akciju
Road apple
www.secitsecurity.com
• Tehnika koja se bazira na neupućenosti ili nepažnji• Na parkingu firme ostavljen USB koji zaposleni uzima...
Najtraženiji sajber kriminalci
• Ruski haker je trenutno prvi na listi http://www.fbi.gov/wanted/cyber• Za informacije koje bi mogle dovesti do njegovog hapšenja nudi se čitavih
3.000.000$
www.secitsecurity.com
Evolucija cyber napada• CIH virus (Chernobyl) 1998• Prvi DDOS napad (Trinoo tool) 1998• Slammer 2003• Scamware ili Fakeware (Driver Updater i One-click Fix-it ) 2005• Zeus trojan 2007• Conficker 2008• Stuxnet 2010• DigiNotar hack (Google SSL) 2011• Flame 2012• TURKTRUST (ProxySG) 2013• Bit9 hack (operational oversight) 2013• APT1 (espionage campaign) 2013• Edward Snowden 2013
www.secitsecurity.com
Evolucija cyber napada
• Eksperimenti:– Project Aurora 2007– Hacking Medical Implants 2008– CarShark 2010
• Realni slučajevi:– Maroochy Water Services 2000– Los Angeles Traffic Management Center 2006– Tramways hack 2008– Turkey pipeline 2008– Stuxnet 2010– German Steel Factory 2014
www.secitsecurity.com
Sajber “oružje” Stuxnet
• Zvanično prvi virus koji je vršio fizičko uništavanje• Proširio se preko USB uređaja, veličina je 500kb• Tiho sabotiranje rada centrifuga u Natanz• Prva verzija Stuxnet 0.5• Druga verzija Stuxnet 1.001
www.secitsecurity.com
Sajber “oružje” Stuxnet
• Vrlo precizno su targetirani ciljevi• Ukoliko se pojavi nova verzija čim se prvi Stuxnet nadogradi
automatski šalje update svim zaraženim računarima u mreži• Izuzetno ozbiljan kod stoji iza ovog virusa i 5 različitih Zero-Day
exploita• Sve navedeno govori u prilog tome da je Stuxnet delo
profesionalaca
www.secitsecurity.com
Budućnost cyber napada
• SCADA sistemi– industrial processes– oil and gas pipelines– communication systems– automobile control systems– implantable medical devices– smart power grids– HVAC (airports, ships and space stations)
www.secitsecurity.com
Zaključak
• Cyber napadi su rastuća pretnja.• Eksperimenti su pokazali da je moguće da dođe do
povređivanja ljudi.• Stuxnet je pokazao da je moguće napraviti cyber
„oružje“• Potrebno je uskladiti pravnu regulativu i međudržavnu
saradnju da bi se zaštitili od ovakvih vrsta pretnji.• Neophodno je formirati Cyber security centar na
nivou zemalja ili regiona koji bi se bavili prevencijom, istrazivanjima, razmenom informacija i edukacijom.
www.secitsecurity.com
HVALA NA PAŽNJI!!!
www.secitsecurity.com
Kontakt podaci:Mail: [email protected]: http://secitsecurity.comTwitter: https://twitter.com/francigorbgLinkedIn: https://rs.linkedin.com/in/ifranc