Trendy v internetovém nebezpečí
Zpráva z tisku
• Gruzie • Estonsko • Írán • Austrálie • Výrazné škody kvůli malware • Celkové dopady na světovou ekonomiku mnohem větší
AVG Confidential
2
Trendy
•Rostoucí množství útoků •Diverzifikace • Typy útoků • Platformy
•Pokračující globalizace •Trvalé podcenění hrozeb ze strany uživatelů
AVG Confidential
3
Zdroje dat • Aktivní uživatelé AVG:
110mio uživatelů
• Data od ~50% uživatelů, kteří se zapojili do Community Protection Network • Detekce na klientech, odesílá zpětnou vazbu: • Při detekci škodlivého kódu • Při detekci infikované stránky • Při detekci podezřelého síťového provozu či aktivit (sledování chování)
• AVG Cloud systémy vyhodnocují terabyty dat s informacemi o podezřelých událostech a detekovaných hrozbách
AVG Confidential
4
Data • Cca 60-70 mio unikátních detekcí každý týden • Přibližně 1 z 5 uživatelů infikován každý týden • Každý den AVG labs zpracují 30-40 tisíc nových virů • Více než 90% útoků z webu • Více než 90% infikovaných stránek existuje < 1 den • Každý den AVG zablokuje přímo 10 milionů infikovaných web stránek • Zisky z počítačové kriminality • Analýza jediné botnet sítě potvrdila příjem $11000 denně pro jejího vlastníka • Desítky až stovky tisíc botnets
AVG Confidential
5
Typy a techniky útoků • Exploity – OS i aplikace, v poslední době aplikace převažují • Zaměření na najrozšířenější platformy • Rostoucí složitost útoků • Dynamicky generovaný obsah, nepřístupný vyhledávačům
• Neexistuje 100% bezpečná stránka • NYTimes, Bank of India, …
• Sociální sítě – Facebook, MySpace • Populární pro útoky, zejména sociální inženýrství
AVG Confidential
6
Sociální sítě
• Významný, leč nikoliv jediný zdroj útoků • Klíčový prvek – důvěra uživatelů • Nepřístupné vyhledávačům • Některá tradiční bezpečnostní řešení neúčinná, nutná kontrola skutečného obsahu na klientovi
• Kombinace s phishing útoky • Sociální inženýrství
AVG Confidential
7
Sociální inženýství • Nejpopulárnější a nejrozšířenější • 5x více úroků na bázi SI, než exploitů • Rogue AV (falešné AV) v čele • Průzkum na sociálních sítích*: • 21% uživatelů přijme pozvání od uživatelů, které nezná • 52% nechá své přátele používat sociální sítě na svém počítači • 64% klikne na odkazy sdílené ostatními • 47% bylo obětí počítačové infekce • 20% bylo obětí krádeže či zneužití identity
• VZDĚLÁVÁNÍ! * Průzkum AVG, 250 uživatelů AVG Confidential
8
Falešné antiviry
AVG Confidential
9
Falešné AVG 2011 – cena za popularitu…
AVG Confidential
10
Falešný video codec – k přehrání videa…
AVG Confidential
11
Texas NG web
AVG Confidential
12
Fake site – překlep ve web adrese Vypadá jako originální stránka, odkazy jsou falešné
AVG Confidential
13
Podvržené maily
AVG Confidential
15
Sociální sítě
AVG Confidential
16
Mobilní hrozby
• Mobilní zařízení – ideální cíl útoků • Rostoucí výkon, neustále online • Sociální inženýrství mimořádně účinné • Nové formy monetizace • Placené SMS • Odposlech PIN, autorizace • Citlivá data, GPS
• Android momentálně nejohroženější
AVG Confidential
17
Android • Nejen mobilní platforma - GoogleTV apod. • Velmi rozšířený, populární mezi vývojáři • Výborně dokumentovaný, založený na Linux • Otevřenější, než iOS • Otevřený appstore, přitom velký stupeň důvěry
• Již nyní je známo mnoho exploitů • Mnoho vektorů útoku • Nutnost kontroly mnoha formátů dat (média, tapety, …) • Systém oprávnění nezaručí 100% bezpečnost • Známé exploity, uživatel jako nejslabší článek
AVG Confidential
18
Smíšené útoky • Webová infekce, lokálně instalovaný malware • Malware zaměřený na návštěvy web stránek • Keyloggers • Modifikace stránek • Zeus
• Zdánlivě bezpečné stránky
• DNS útoky změny DNS serveru • Útoky na infrastrukturu
AVG Confidential
19
Útoky na infrastrukturu • Typicky DDoS • Anonymous a WikiLeaks
• Změna konfigurace sítě • Směrovače, DNS
• Útok na klíčové prvky – nejslabší články • IPv6 – zatím málo zkušeností • I v segmentu koncových uživatelů! • DNS změny (přesměrování, modifikace) – SecureDNS? • Chuck Norris botnet
AVG Confidential
20
Namátkově významnější útoky… • Estonia - 2007 • Whole country without internet connectivity, economy severely damaged. DDoS, botnets as well as ‘volunteers’ http://en.wikipedia.org/wiki/2007_cyberattacks_on_Estonia
• Georgia - 2008 • Severe disruptions in connectivity, attack on network infrastructure re-routed traffic. Performed and coordinated by RBN (‘Russian Business Network) http://en.wikipedia.org/wiki/Cyberattacks_during_the_2008_South_Ossetia_war
• SCADA systems - 2010 • Iran: Stuxnet worm, spread via USB sticks, focused on specific industrial equipment • Similar bugs discovered in Chinese SCADA systems (different vendor) – no known exploits
• Unintentional(?) attacks on the infrastructure • Hospital networks infected: London 2008, New South Wales Ambulance 2011 http://www.bartsandthelondon.nhs.uk/formedia/press/release.asp?id=2077 http://www.smh.com.au/technology/security/nsw-ambulance-service-back-online-after-virus-infection20110214-1asv1.html
• Power plant systemts infected: Cleveland 2003 http://www.redorbit.com/news/technology/8586/computer_virus_may_have_caused_blackout/
AVG Confidential
21
Důvody? Peníze! • Profesionalizace, vysoce profitabilní podnikání • Velká “produktová nabídka” • Prodej nástrojů online, FaaS – Fraud as a Service
• Vysoce flexibilní • Zneužití významných událostí, např. výbuch na Domodědovu zneužit pro šíření porna během cca 3 hodin
• Velmi úspěšné – uživatel je nejslabší článek
AVG Confidential
22
Prodej exploitů, toolkitů…
AVG Confidential
23
