Virtuální kriminalita BOTNETY Virtuální kriminalita
Prodám Malware Kit 70 % zákeřných kódů vzniká za účelem zisku tvorba kódů na zakázku 62 % tvoří virové nástroje umožňující kontrolu nad infikovanými počítači propojení s organizovaným zločinem
Statistika Rok 2005 995 klasických virů 17 800 trojských koňů „S jediným trojským koněm je systém děravý jako cedník …“
Co je botnet Bot (Robot) Botnet (Bot Network) automatický program, který obsahuje komunikační a řídící modul a lze vzdáleně ovládat tak, aby plnil požadované příkazy, proměňuje počítač v „terminál“ – „zombie“ Botnet (Bot Network) síť infikovaných počítačů mnoha různých uživatelů, kterou lze řídit automatizovaně prostřednictvím vzdálené správy.
Různé podoby botů od velmi jednoduchých po velmi složité různé podoby trojský kůň vlastnosti virů kombinovaná hrozba – spojení červa s botem rychlá mutace jsou vzdáleně ovládány jedním příkazem se řídí celá řada počítačů
Užiteční boti eggdrop (1993) www.energymech.net www.eggheads.org
Ovládání botů P2P (peer to peer) sítě diskusní skupiny chatovací protokoly IRC Dle odhadu expertů, útočníci ovládají 7% z celkového počtu počítačů na světě, tj. cca 47 miliónů strojů. Zdroj: SecurityFocus
Práce hackerů je čím dál jednodušší V Internetu existuje takové množství nezabezpečených počítačů, že hackeři nemusí sami hledat bezpečnostní díry, ale stačí jim počkat na vydání bezpečnostní záplaty. Čas mezi objevením nového nedostatku a jeho využitím k útoku se čím dál více zkracuje.
Analýza Webové servery Desktopové systémy MS Windows 2000 Server 1 hod. 17 min. Desktopové systémy MS Windows XP Professional 1 hod. 12 sec. MS Windows 2000 Professional + Service Pack 4 3. místo
Případ z praxe MS05-39 ZOTOB CNN New York Times 14.8.2005 9.8.2005 17.8.2005 MS05-39 ZOTOB CNN New York Times
Přeměna počítače v zombie Hlavní bezpečnostní hrozbou jsou nezabezpečené počítače Přeměna počítače v zombie využívání známých chyb v systému šíření pomocí exploitů používání zadních vrátek (backdoors) neodpovědnost uživatelů návštěva rizikových webových stránek stahování programů otevírání podezřelých příloh
Tip Spyware kvíz www.siteadvisor.com
Země nejvíce infikované botem 7/05 – 12/05 Zdroj: SYMANTEC Země nejvíce infikované botem 7/05 – 12/05 1 USA 26 % 2 Velká Británie 22 % 3 Čína 9 % 4 Francie 4 % 5 Jižní Korea 6 Kanada 7 Taiwan 3 % 8 Španělsko 9 Německo 10 Japonsko 2 %
Síla botnetu Rozesílání spamu (až 70 %) Phishingové útoky Krádež citlivých informací DDoS útok Šíření zákeřného kódu Automatizované otvírání reklam Vymáhání výpalného
Spojení kriminality s byznysem Script Kiddies hackeři nájemný počítačový zločinec organizovaný zločin pronajímání sítí, vydírání, podvody, krádeže, … anonymně v prostředí internetu
Počet infikovaných počítačů za den Zdroj: SYMANTEC Spybot (4300 variant) Gaobot
DoS útoky za týden Zdroj: SYMANTEC
Známé případy - 1 Leden 2005, USA Kalifornie Jeanson James Ancheta (20) první soudní proces za zneužívání botnetů ovládl přes 400 počítačů (od června 2004) napadnuté počítače nabízel k pronajmutí zisk přes 60 tisíc dolarů
Známé případy - 2 Říjen 2005, Holandsko zatčeni 3 hackeři (19, 22, 27) Botnet využívali ke krádeži citlivých údajů dle vyšetřování měli k dispozici přes 1,5 miliónů napadených počítačů Reálná hrozba
Známé případy - 3 Únor 2006, USA Christopher Maxwell díky pop-up reklamě na kompromitovaných počítačích zisk 100 tisíc dolarů leden 2005 -DDoS útok na počítačovou síť nemocnice v Seattlu
Zákeřnost botů neutralizace antivirového programu vyřazení FW např. modifikací systémového souboru hosts vyřazení FW aktualizace botu změna funkcionality změna bezpečnostního nastavení systému
Válka botů - Botwar boj o moc skupiny červů se navzájem likvidují 8/2005 červi skupiny IRCbot, BOZORI ničí škodlivý kód skupiny ZOTOB
Infekce botem boty mohou odolávat antivirovým programům odstranění bota = odstranění neznámého viru 100 % jistota = reinstalace systému
Aktivní prevence pravidelně záplatovat OS aktualizovat antiviry, antispyware FW pouze důvěryhodné webové stránky neinstalovat neověřené programy nereagovat na spam neotvírat neznámé přílohy ….
Tip Zkontrolujte si aktualizaci antivirové databáze Přehled antivirových programů: find.pcworld.com/49708 Využijte on-line skener: kaspersky.com bitfender.com
Boj proti malwaru restriktivní pravidla elektronické komunikace definovaná politika záplatování IDS / IPS informovanost zainteresovaných pracovníků o aktuálních hrozbách
Co lze očekávat nárůst kriminálních útoků útoky přesně zacílené novější botnety – díky malé velikosti se mohou lépe skrýt nová hrozba ZERO DAY cílené útoky na chyby ještě předtím, než je vydána bezpečnostní záplata
Odkazy http://en.wikipedia.org/wiki/Botnet http://honeynet.org/papers/bots http://swatit.org/bots http://www.cert-in.org.in/knowledgebase/ whitepapers/ciwp-2005-05.pdf http://www.securityfocus.com/columnists/398 http://www.symantec.com/enterprise/threatreport/index.jsp