Az információ biztonság gazdasági, a gazdaság információbiztonsági oldala 2011. November 8.
Mit tekintünk kiberbűncselekménynek? Rendszerint tevékenységekhez kötjük - phishing - SPAM - személyes adatok eltulajdonítása - kártyacsalások - domain névvel való visszaélés - cyber squatting - szerzői jogokat érintő visszaélések Számítógépes rendszerek ellen, vagyok azok felhasználásával elkövetett cselekményekről beszélünk.
Globális adatok - 2010 Globális kiberbűncselekményekből származó bevétel cca 7 milliárd USD Ennek mintegy 19%-a (1,3 millárd USD) származott orosz területen élő kiberbűnözőktől – ez várhatóan 1,8 millárdra nő 2011-ben Mintegy 36%-a származott a volt szovjet területekről A legtöbbet előforduló kiberbűncselekmények: - bankok és fizetési rendszerek elleni támadások - SMS támadások - DDoS - Bizalmas adatok elérése Forrás: Group-IB
Történelem 1960-as években a számítógépes rendszer ellen elkövetett bűncselekmények leginkább a fizikai károkozásban nyilvánultak meg. A '70-es évekre a tengerentúlon már elterjedtek a nagygépes rendszerek és megjelent a tradicionális computer bűnözés ami az illegális computer használatban és adatok manipulálásában testesült meg leginkább. A '80-as évek a személyi számítógépek elterjedését hozták. Ezzel együtt a szélesebb körű használat és a szerzői jogok sérelmére elkövetett cselekmények terjedtek el. A távoli elérés szintén magával hozta a bűnözés új módját – távolról elkövetett bűncselekmények. '90-es évek www – számítógépes rendszerek sokkal diverzifikáltabbak lettek csakúgy mint a támadási módok: DoS, automatizált scannerek, key loggerek, jelszótörők stb. 21. század – igen kiterjedt kapcsolt hálózatok, vezeték nélküli technológiák terjedése, mobil technológia
Citibank eset - 1994 Владимир Левин támadta a Citibank Financial Institutions Citibank Cash Manager rendszerét. Később elfogták és bíróság elé állították New Yorkban. Mintegy 10,4m USD-t tulajdontított el a peranyag szerint. A pénzt az alábbi országokban lévő számlákra utalta: Finnország, USA, Izrael, Hollandia. 2005-ben egy egészen más kép kezdett kirajzolódni amikor is ArkanoiD kiadott egy nyilatkozatot a Provider.net.ru portálon.
Célzott és szofisztikált Egy tranzakcióra felépített támadás • Bank of Sicily (2000 – 400m USD) • 600e USD egy tranzakcióval – Win32/Sheldor • maximum – csak orosz területen 15m USD egy tranzakcióval Csoportok által elkövetett esetek Feltételezhető, hogy éves szinten csak az orosz bankok által elszenvedett kiberbűncselekményekből eredő károk mintegy 25m USD-ra tehetők. 95%-ban trójai programra épültek a támadások (5 ismert trójai program)
Stuxnet vírus - 2010 SCADA rendszer elleni támadás egy igen szofisztikált formája. A fertőzött gépek 58%-a Iránban volt található. A vírus négy területet támadott: - Windows operációs rendszer - Siemens PCS 7, WinCC és STEP7 szoftverek - Siemens S7 PLC Érdekessége, hogy négy 0-day sebezhetőséget is képes volt kihasználni. Kernel módban futó rootkit-et tartalmazott, mely digitálisan aláírt eszközmeghajtókra épült. Ezeket a JMicron és a Realtek tanúsítványával írták alá. Stuxnet változatja a rendszer frekvenciáját 1410 Hz, 2 Hz és 1064 Hz értékekre.
Transz-szibériai gázvezeték robbanás - 1982 1982-ben végrehajtott szabotázs akció eredménye az egyik legnagyobb ember által okozott nem nukleáris robbanás. Владимир Ветров KGB ügynök (kódneve Farewall) 1981-ben közel 4000 titkos dokumentumot adott át a francia titkosszolgálatnak. Köztük mintegy 250 Line X ügynök nevét akik beépültek külügyi képviseletekbe. A Szovjetek egy kanadai cégtől vásárolták meg a gázvezeték üzemeltetését végző SCADA programot. A CIA közbenjárására a programban volt egy részlet ami előidézte az 1982-es robbanást, ami mintegy 300 kiló-tonna TNT erejének felelt meg.
Kiberbűncselekmények karakterisztikája Jogi környezet bizonytalanságai Korlátozott lehetőségek legális munkára az információtechnológiai területen Magas profit, igen kis mértékű befektetés mellett Könnyű célpontok Olcsó szolgáltatások - CaaS Web site feltörése
50 $
Levelesláda feltörése
40 $
Mobilra elhelyezett kód Trójai küldése (1000) Spam
5000 $ 20 $ 50-200$
Bizalmas információ Gyakori tévhit, hogy a kibertámadások és általában a számítógépes bűncselekmények közvetlen pénzszerzést céloznak meg. Az információ is pénz: jelszavak, beszerzési adatok, HR adatok, stratégia, árak, fizetések
Forrás: Symantec
Vírusok és egyéb rosszindulatú kódok Oroszországban még mindig a Win32/RDPDoor és a Win32/Sheldor az elterjedtebb formái a támadásoknak. Míg előbbi a Thinsoft BeTwin-t installálja, utóbbi a TeamViewer-t használja távoli elérésre. A Symantec globális jelentése szerint a legelterejdtebb worm-ok 2010ben a Sality, Downadup, és a Mabezat volt. A sebezhetősgi felület és a támadások száma is nő (Symantec): - 2009 → 2010 93%-kal nőtt a web-alapú támadások száma - 2010-ben a Chrome-ban 191 sebezhetőséget találtak - a böngésző plug-in-ekben 346 sebezhetőséget találtak 2010-ben - a Conficker több mint 1000 napja terjed
Vírusok és egyéb rosszindulatú kódok Az említett RDPDoor és Sheldor kódok mintegy kétezer dollárért elérhetők. Újabbak mint a Carberp közel tízezer dollárba kerülnek. Utóbbit több szervezett bűnözői csoport alkalmazta információ lopásra. Igen gyakorivá váltak az ilyen jellegű támadások: “Egy 13 fős ukrán szervezett bűnözői csoport két vezetőjét ítéltek el a croydoni királyi bíróságon mert 2010-ben mintegy 2,8m GBP összegben károsítottak meg banki ügyfeleket.”
Kína eltérítette az internetet? ...korábban: 2008-ban a Pakistan Telecom eltérítette a teljes Youtube forgalmat országon belül 2010 április 8-án Kína több mint 18 percen át a világ teljes internet forgalmának mintegy 15%-át térítette el és a forgalmat a China Telecomon át írányította. Ez a már ismert BGP “hiba” miatt történhetett. Kína az eseményre úgy reagált, hogy az véletlenül történt.
A védelem korlátai Technológiai korlátok: vírusok és vírusírtók harca - mint alapú keresés The Market for Lemons: Quality Uncertainty and the Market Mechanism George Akerlof Az információ biztonsági szolgáltatások és termékek piaca hasonlóságot mutat. Ebből következik, hogy a minőség lefelé tart (tisztelet a kivételnek). Kiegészítés: Ross Anderson – a leggyengébb láncszem elve az információbiztonság világában különösen él. Fenitek ellentétben állnak a “total-effort” elvvel – kevesebb de jobb fejlesztő, több tesztelő, magasan képzett biztonsági szakértő.
Tudás/ismeretek hiánya mint korlát
A támadók előnye Kiberbűnözés: - rendkívül magas haszon - rendszerint mérsékelt befektetést igényel - mérsékelt annak kockázata, hogy az elkövető lebukik / bíróság elé áll A szomáliai kalózokat szokás párhuzamos példaként említeni - 2010-ben 238m $ bevétel - indirekt költségek cca 8mrd $ - egy kalóz az átlag fizetés mintegy 150-szeresét keresi
Van összefüggés a recesszióval?
Van összefüggés a recesszióval? - munkanélküliség - megélhetési mód - nő a „számítógéphez értők” száma - tényleges globalizáció az informatikában • Dél-Amerika • Oroszország • Kína • India - csökken a lebukási kockázat – magának az eljárás megindításának a lehetősége is korlátozott
Van összefüggés a recesszióval? - általános költségcsökkentés - kevesebb pénz jut biztonságra is - ha eddig nem törtek be, ezután sem fognak - ki mer pénzt kérni felettesétől c. történet - …pláne többet mint amennyit előző évben kért A gazdaságnak hatása van a biztonságra. Igaz ez globális kereteket nézve és egy-egy vállalatot nézve egyaránt.
Tradicionális védelem és audit... A tradicionális védelem karakterisztikája - határvédelem - adott helyen tárolt információ védelme Biztonsági vizsgálatok - tervezett vs ad-hoc - melyikre van tervezett pénzügyi keret? - módszertanok, szabályzatok, standardok, certificate-ek - alkalmazott szakértelem – beszerzés (lemon) – tudd hogy ki dolgozik - valódi szakértelemmel rendelkezők kiválasztása - professzionális pentest
Wired.com
Antal Lajos Partner Security & Privacy Services e-mail:
[email protected] Deloitte Central Europe is a regional organization of entities organized under the umbrella of Deloitte Central Europe Holdings Limited, the member firm in Central Europe of Deloitte Touche Tohmatsu. Services are provided by the subsidiaries and affiliates of Deloitte Central Europe Holdings Limited, which are separate and independent legal entities. The subsidiaries and affiliates of Deloitte Central Europe Holdings Limited are among the region’s leading professional services firms, providing services through more than 3800 people in more than 30 offices in 17 countries. © 2010 Deloitte Central Europe. Member of Deloitte Touche Tohmatsu
