Zagrozenia w Internecie - raport CERT

Najważniejsze trendy i
zjawiska dotyczące
zagrożeń
teleinformatycznych
w Polsce
Rafał Tarłowski
CERT Polska/NASK
Działalność CERT Polska
Obsługa incydentów (constituency: .pl)
Projekty bezpieczeństwa
Współpraca krajowa
Działania edukacyjne
• Cykl konferencji SECURE (13 lat)
• Szkolenia
• Kontakty z mediami
• Serwis www.cert.pl
Incydent w rozumieniu statystyk CERT Polska
Jedna „sprawa” – przypadek phishingu, zawirusowanej
maszyny
Często związany z konkretnym adresem IP, ale
niekoniecznie
Bywa rozciągnięty w czasie
Często związany z więcej niż jednym zgłoszeniem
Obsłużony indywidualnie, a nie jedynie wykryty czy
przekazany
Liczba incydentów 1996-2009
3000
2516
2500
2427
2108
2000
1796
1500
1196
1222
1292
1013
1000
741
500
50
75
100
105
126
0
1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009
Liczba zgłoszeń a liczba incydentów
Rozkład procentowy podtypów incydentów w latach 2003-2009
90
81,6
80
70
60
53,9
procent
51,4
50
40
30
35,3
33,9
30,0
27,1
25,2 25,9
24,2
23,1
22,3
19,2
20
10
10,6
7,9
4,7
12,5
10,9
8,6
4,0
10,3
9,2
4,0
7,2
3,3
2,5
3,1
0,2
0
Skanowanie
Spam
2003
2004
Sklasyfikowane złośliwe
oprogramowanie
2005
2006
2007
2008
2009
Kradzież tożsamości, podszycie
się
liw
e
in
ie
le
ga
ln
e
procent
35
10
5
2,71
D
os
In
tę
ne
pn
oś
Be
ć
zp
za
ie
so
cz
bó
eń
w
st
w
o
in
fo
rm
ac
ji
O
sz
us
tre
tw
śc
a
i
ko
Zł
m
pu
oś
liw
te
ro
e
w
op
e
ro
gr
G
am
ro
ow
m
ad
an
ze
ie
ni
e
in
fo
rm
ac
ji
Pr
ób
y
w
ła
m
ań
W
ła
m
an
ia
O
br
aź
Rozklad procentowy typów incydentów
40
34,75
31,19
30
25
20
15
14,94
8,28
4,26
1,86
1,32
0,70
0
procent
35
30
15
10
5
2,79
2,48
1,08
1,01
0,85
0,77
Po
zo
st
ał
e
N
ie
to
sk
żs
al
sy
am
Sp
fik
oś
ow
am
ci,
an
p
od
e
zł
sz
oś
yc
liw
ie
e
się
op
ro
gr
am
ow
Pr
an
ób
ie
y
ni
Sk
eu
an
pr
ow
aw
an
ni
on
ie
eg
o
lo
go
wa
ni
a
Ko
ń
tro
W
ja
ła
ńs
m
ki
an
R
oz
ie
W
pr
do
ła
os
m
ap
a
zo
ni
lik
ny
e
ac
na
at
ji
ak
ko
bl
nt
ok
o
zw
uj
ąc
yk
y
łe
s
er
W
w
yk
is
or
(D
zy
D
st
oS
an
R
)
ie
ob
zn
ak
an
si
ec
yc
io
h
w
lu
y
k
sy
st
em
ow
yc
h
Kr
ad
zie
ż
Rozkład procentowy podtypów incydentów
40
33,90
29,95
25
20
11,61
7,89
6,89
0,77
0
Źródła zgłoszeń, ataków i poszkodowani
70
62,7
60
51,9
50
procent
40,1
40
30,3
27,2
30
15,8
12,5 11,3
lu
b
y
O
śr
od
ek
Je
dn
o
Zgłaszający
Poszkodowany
Atakujący
5,8
1,5 2,1
0,5
N
ie
zn
an
y
2,6
1,4
ed
uk
ac
yj
ny
3,9
ba
da
w
cz
Ab
us
e
IS
P
yjn
a
ni
ek
om
er
c
ńs
tw
a
In
st
yt
uc
ja
ds
.b
ez
pi
ec
ze
In
na
in
st
yt
uc
ja
Fi
rm
a
ko
m
er
cy
jn
a
0
C
ER
T
1,4
0,0
pr
yw
at
na
2,9
O
so
ba
0,9 0,5
rz
ąd
ow
a
10
st
ka
20
24,5
Phishing
Typ incydentu o dużym i wciąż rosnącym
znaczeniu (blisko 30% obsłużonych incydentów w
2009 r.)
CERT Polska reaguje na przypadki phishingu
dotyczące polskich podmiotów a także na
przypadki zlokalizowane w polskich sieciach
Zmienił się charakter phishingu. Fałszywe strony
zastępowane są przez złośliwe oprogramowanie
ingerujące w sesję przeglądarki.
Pojedynczy incydent potrafi składać się z wielu
wątków, aktualizacji, zmian w konfiguracji…
Miesiąc
lis-09
sie-09
maj-09
lut-09
lis-08
sie-08
maj-08
lut-08
lis-07
sie-07
maj-07
lut-07
lis-06
sie-06
maj-06
lut-06
lis-05
sie-05
maj-05
lut-05
lis-04
sie-04
maj-04
-10
lut-04
lis-03
Liczba zgłoszeń
Phishing 2003-2009
80
70
60
50
40
30
20
10
0
Statystyki z obsługi incydentów
Phishing 2009
60
Liczba zgłoszeń
50
40
30
Zagranica
30
33
PL
41
32
29
20
25
26
10
29
14
20
15
16
9
0
22
7
6
9
2
4
4
sty- lut-09 mar- kwi- maj- cze- lip-09 sie09
09
09
09
09
09
Miesiąc
5
5
4
0
wrz- paź- lis-09 gru09
09
09
Dystrybucja malware przez drive-by-download –
przypadek www.pajacyk.pl
22 lutego 2009 roku na kilku forach internetowych
pojawiły się informacje, że programy antywirusowe
wykrywają złośliwe oprogramowanie na stronie
www.pajacyk.pl (na przykład Avast identyfikował je
jako VBS:Malware-gen)
CERT Polska potwierdził zagrożenie – do strony
został doklejony JavaScript, przekierowujący na
stronę infekującą trojanem ZBot.
PAH stwierdza w komunikacie, że że alarmy
programów antywirusowych są spowodowane
obecnością reklamy w postaci wyskakującego
okienka, a zagrożenia nie ma
Dystrybucja malware przez złośliwe pliki PDF
Pliki PDF mają złożoną strukturę i mogą zawierać
treści dynamiczne, np. JavaScript
Format PDF został uwolniony w 2008 roku, co
doprowadziło do jeszcze większego
upowszechnienia go
Pliki PDF mogą być rozpowszechnianie m.in. jako
IFRAME na stronie WWW, załącznik w spamie…
Kod wykonywany jest także „po cichu” w trakcie
indeksowania plików na dysku
Wielki „wyciek danych”
liczba
Pod koniec listopada 2009 r. serwisy
informacyjne obiegła informacja o
„wycieku danych” z wielu polskich (i
nie tylko) serwisów
Na jednym z portali
undergroundowych znaleziono
pokaźną listę danych dostępowych
(użytkownik, hasło, adres serwisu)
Dane takie pochodzą z koni
trojańskich na komputerach
użytkowników, nie ma więc mowy o
żadnym wycieku!
Wielu użytkowników stosuje proste
hasła, powtarzając je w wielu
serwisach
Wszystkich rekordów[1]
% całości
38.856
100%
24.392
62,7%
*.com
6.810
17,5%
*.org
1.718
4,4%
*.net
1.463
3,7%
795
2,0%
DOMENY
*.pl
.*.info
SERWISY INTERNETOWE
nasza-klasa.pl
1.118
2,9%
allegro.pl
843
2,2%
o2.pl
819
2,1%
google.com
748
1,9%
peb.pl
735
1,9%
wp.pl
722
1,9%
onet.pl
485
1,2%
orange.pl
453
1,2%
interia.pl
425
1,1%
Inne trendy i zjawiska
Od 2004 (XP SP2) sukcesywnie spada liczba skanowań (w incydentach!)
mniejsza podatność systemów
mniejsza wrażliwość internautów na „szum”
Najliczniejsze typy incydentów (nie tylko w CERT Polska) to spam i naruszenia
praw autorskich
Coraz trudniej jest kategoryzować złośliwe oprogramowanie
Secure 2010
SECURE to jedna z najstarszych w Polsce konferencji poświęconych w całości
bezpieczeństwu teleinformatycznemu.
Adresowana jest przede wszystkim do administratorów, oficerów
bezpieczeństwa oraz praktyków z tej dziedziny.
SECURE 2010 odbędzie się w dniach 25-27 października, w Centrum
Konferencyjnym Adgar Plaza w Warszawie.
Skupiać się będzie wokół trzech głównych nurtów:
technicznego – ze szczególnym uwzględnieniem nowatorskich i praktycznych
rozwiązań
organizacyjnego – ze szczególnym naciskiem na dostrzeganie nowych
trendów w zagrożeniach
prawnego – ze szczególnym naciskiem na rzeczywiste możliwości ścigania
sprawców przestępstw
SECURE 2010 – Call for Speakers otwarte! (szczegóły na stronach www.cert.pl)
www.secure.edu.pl