Data Security. Now.
Transcript
Data Security. Now.
DATA SECURITY RIGHT NOW Mikko Hyppönen Direttore Ricerca Anti-Virus F-Secure Corporation I laboratori di ricerca F-Secure Anti-Virus I tempi di reazione del nostro laboratorio di ricerca Anti-Virus • Typical reaction time for detection around 2.5 hours 3h 15min – Melissa 1999: 1h 40min – Loveletter 2000: 2h 5min – Anna Kournikova 2001: 1h 50min – Sircam 2001: 1h 57min – Nimda 2001: 4h 10min – Slapper 2002: 2h 47min – Bugbear 2002: 2h 3min – Lovsan/Blaster 2003: 2h 33min – Sobig.F 2003: Le molte facce dei criminali del computer • • • • Chi lo fa per hobby - script kiddies Attivisti / Terroristi Ladri - 'Soldati di ventura' Spionaggio Industriale / Spie Hacking per ragioni idealistiche • Terroristi • Attivisti • Guerriglia informatica sponsorizzata dagli stati • Spionaggio aziendale • Spionaggio internazionale • I veri professionisti raramente vengono catturati spies Hacking/cracking per divertimento • La rete è piena di ragazzi che effettuano scansioni su migliaia di macchine, alla ricerca di quelle vulnerabili • Normalmente non sono interessati a carpire i vostri dati, bensì ad utilizzare le risorse del vostro computer • Usi impropri tipici: chat server, file server per MP3, software pirata o porno… • L’attacco ad un home computer è serio poiché esso può essere usato come – accesso di tipo VPN alle aziende – punto di partenza per sferrare nuovi :Co0lWoRx :ok? :Ricky :ii have 2 cards i will trade :[Agent] :yo :[Agent] :is a master card a 16 digit or 13 ? :NPN :16 :dariuss :? :NPN :1234/5678/9102/3456 Facile accesso agli strumenti di hacking fakemail Furti in rete Dpicorp.com 2/2003 Playboy.com 11/2001 Ecount.com 5/2001 Egghead.com 12/2001 Creditcards.com 12/2000 Westernunion.com 9/2000 CDUniverse.com 1/2000 Oltre 8 milioni di numeri di carte Visa, AMEX, Mastercard e Discovery rubati ad una società di intermediazione di carte di credito. Rubato l’intero database dei clienti. L’hacker ha inviato una mail ad ogni singolo cliente per comunicarlo. Hacker ha rubato un database contenente i nominativi di 350,000 clienti ed ha chiesto un riscatto di $45,000. Oltre 3,700,000 clienti hanno dovuto cambaire la carta di credito a seguito di un’irruzione sul proprio conto. Un hacker ha rubato 55,000 numeri di carta di credito. Ha chiesto un riscatto e poiché non è stato accontentato ha reso visibili i numeri su un sito pubblico. Un hacker ha rubato oltre 15,000 numeri di carte di credito e a quanto pare li ha venduti. L’hacker russo "Maxus" ha rubato 350,000 numeri di carte di credito e li ha resi visibili su un sito pubblico. I capi d’imputazione federali contro Kevin Mitnick Le diverse ere dei virus 1986-2003 • Boot virus 1986-1995 • Macro virus 1995-1999 • E-mail worm 1999-2003 • Network worm 2003- Da dove provengono i virus? • • • • • • Russia e altri paesi dell’ Ex-URSS Cina USA e Canada Taiwan Corea del Sud Polonia, Romania e altri paesi dell’est europeo • Olanda, Estonia, Italia, Filippine, Spagna … 55000 I virus in cifre 1986-2003 • • 45000 Numero complessivo dei virus per PC: 85 000 circa La quasi totalità è stata scritta avendo come obiettivo i sistemi Microsoft-based • • • • • • • DOS Windows IIS Exchange Internet Explorer Outlook Office • Word • Excel • Powerpoint 33500 18500 10350 7850 5500 2450 0 1 6 90 180 360 3550 1100 1986 1987 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 Microsoft Microsoft non è un obiettivo poiché i suoi software sono estremamente vulnerabili Microsoft è l’obiettivo perché domina il mondo Quote di mercato • Quota di mercato di Microsoft nei sistemi operativi per desktop: oltre il 95% • Quota di mercato di Microsoft nei client desktop di posta elettronica: oltre il 90% • Quota di mercato di Microsoft nei web browser: oltre il 90% • Ma… Quote di mercato (2) • Quota di mercato di Microsoft nei sistemi operativi per desktop: oltre il 95% • Quota di mercato di Microsoft nei client desktop di posta Quotaelettronica: di mercato oltre il 90% di Linux web nei web • Quota di mercato di nei Microsoft server: oltre il browser: oltre il 90% 75% • Ma… Comunità omogenee • La LAN aziendale è come una mandria di bufali • Configurazioni identiche = identiche capacità di resistenza • Le nuove malattie abbattono tutti Quanto ci costano queste infezioni? • Fare un calcolo preciso è difficile • Dipende dal tipo di danno causato • I costi maggiori sono dovuti ai cali nella produttività • Alcune stime: – – – – Loveletter 2000: 875 M€ Code Red 2001: 2620 M€ Slammer 2003: 750 M€ Blaster 2003: 2000 M€ Fonte: Computer Economics, Inc, September 2001; http://www.reuters.com/news_article.jhtml?type=internetnews&StoryID=192514 Il caso Slammer Sabato 24.1.2003, 07:31 Che danni ha provocato? • Internet rallentato a livello globale • La rete dei terminali ATM della Bank of America fuori servizio fino al lunedì • I servizi di emergenza del 911 nell’area di Seattle fuori uso per 14 ore • Il controllo del traffico aereo di 3 importanti aeroporti intercontinentali statunitensi (Newark, Houston, Cleveland) non disponibile per un certo periodo • L’impianto nucleare FirstEnergy's DavidHesse in Ohio infettato • 5 root nameserver su 13 irraggiungibili Quanti sono 376 byte? xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Il pacchetto Il Loop 15e: 161: 164: 167: 16a: 16c: 16f: 171: 174: 176: 179: 17b: 17e: 17f: 181: 182: 187: 188: 18b: 18c: 18f: mov lea lea shl add shl sub lea add mov push lea push xor push xor push lea push mov push 0xffffffb4(%ebp),%eax (%eax,%eax,2),%ecx (%eax,%ecx,4),%edx $0x4,%edx %eax,%edx $0x8,%edx %eax,%edx (%eax,%edx,4),%eax %ebx,%eax %eax,0xffffffb4(%ebp) $0x10 0xffffffb0(%ebp),%eax %eax %ecx,%ecx %ecx $0x178,%cx %ecx 0x3(%ebp),%eax %eax 0xffffffac(%ebp),%eax %eax Lovsan/Blaster Come funziona? • La vulnerabilità RPC in Windows NT 4, 2000, XP e 2003 Server è stata scoperta il 16 luglio 2003 • Colpiti oltre 100 milioni di PC • Infettate le macchine Windows 2000 e Windows XP di chi, privo di firewall, non aveva installato le patch • L’utente non doveva fare niente • Attaccato windowsupdate.com • Seguito da Welchi/Nachi, un anti-virus-virus Lovsan/Blaster Come funziona? (2) • La vulnerabilità RPC in Windows NT 4, 2000, XP e 2003 Server è stata scoperta il 16 luglio 2003 • Colpiti oltre 100 milioni di PC • Infettate le macchine Windows 2000 e Windows XP di chi, privo di firewall, non aveva installato le patch • L’utente non doveva fare niente • Attaccato windowsupdate.com • Seguito da Welchi/Nachi, un anti-virus-virus Incremento nel traffico RPC Air Canada Blackout - 14 agosto 2003 • Non pensiamo sia stato causato da un virus. • Ma crediamo non sarebbe successo senza un virus. • La diffusione di Blaster era arrivata al culmine quando c’è stato il blackout. • Pensiamo che gli addetti al controllo potrebbero aver commesso degli errori nella fornitura di energia alla già sovraccarica rete energetica... • …perché Blaster induce i sensori a inviare dati ritardati o errati sullo status della rete. SCADA/OPC/DCOM/RPC • La rete energetica Niagara Mohawk, che sembra sia stata la prima sovraccaricata, appartiene al National Grid • Il National Grid è un cliente di riferimento di Northern Dynamic - "The OPC Experts" • OPC è un acronimo di "OLE for Process Control" ed è utilizzato per le comunicazioni tra sistemi di controllo • OPC si basa su DCOM, che è un’implementazione di Microsoft di RPC • RPC è stato utilizzato da Blaster per diffondersi • Una macchina infettata da Blaster nelle rete avrebbe sovraccaricato il traffico TPC 135 SCADA/OPC/DCOM/RPC (2) SCADA/OPC/DCOM/RPC (3) La “connection” nucleare • Durante le indagini relative al Blackout 2003, la FirstEnergy Ohio ha reso noto... • …che l’impianto nucleare David-Hesse era stato infettato nel gennaio 2003 – da Slammer • …che ha provocato lo scollegamento del computer di monitoraggio della sicurezza del reattore nucleare John Sherffius, St Louis, MO -- The St. Louis Post Dispatch Come hanno fatto Lovsan e Nachi a superare i firewall? • Solo le macchine con connessioni dirette, non filtrate (porta 135) potevano essere infettate • Tutti i firewall aziendali la filtrano • Eppure abbiamo riscontrato varie grandi infezioni interne nell’ambito dei network aziendali • Fonte tipica: laptop infetti Com’è possibile che sistemi isolati diventino accessibili? • Vediamo regolarmente reti interne ad elevata sicurezza che non dovrebbero poter avere connessioni esterne effettuarle comunque • Scenario tipico: un operatore o ingegnere vuole rendere possibile il lavoro da remoto – – – – – …e …o …o …o …o installa un modem o uno switch estende un cavo ethernet ad un network aperto inserisce un laptop dall’esterno, in WLAN collega una PDA con bluetooth un cellulare GPRS Caso Australia 1999 • Maroochy Shire, Queensland, perdita computerizzata del sistema di gestione, Ottobre 1999 • Un dipendente licenziato dall’azienda, l’ha ripagata con la stessa moneta • Penetrato dall’esterno nella propria ex-stazione di controllo • Utilizzando le proprie informazioni • Ha aperto da remoto le porte delle chiuse, inondando di acque di scarico parchi e fiumi • …e anche il prato all’inglese dell’Hyatt Regency Hotel • Arrestato e condannato nel 2001 Cos’è lo SPAM? Spam diretto ? # %$ !? !? ? #%$ ?# % $! ? Enlarge-Your-Penis Ed Bob Lisa ? # % $ !? Jack ? #%$! ? Mary Enterprises Inc. (Spammer) Spam attraverso un Proxy ? # %$ !? !? ? #%$ ?# % $! ? Enlarge-Your-Penis John Enterprises Inc. (Proxy) (Spammer) Ed Bob Lisa ? # % $ !? Jack ? #%$! ? Mary Received: from dfintra.f-secure.com by fsfimail1.fi.f-secure.com Received: (qmail 11931 invoked by uid 1017); 2 Oct 2003 20:16:55 -0000 Received: (qmail 11920 invoked by uid 70); 2 Oct 2003 20:16:55 -0000 Received: (qmail 11904 invoked by uid 70); 2 Oct 2003 20:16:54 -0000 Received: (qmail 11886 invoked from network); 2 Oct 2003 20:16:54 -0000 Received: (qmail 17131 invoked from network); 2 Oct 2003 20:16:52 -0000 Received: from marseille-107-1-7-53.w81-48.abo.wanadoo.fr (81.48.32.513) by dfmail.f-secure.com with SMTP; 2 Oct 2003 20:16:44 -0000 Received: from (HELO vougm)by Marseille-107-1-7-53.w81-48.abo.wanadoo.fr with ESMTP id 35333990 for <[email protected]>; Thu, 02 Oct 2003 Message-ID: <[email protected]> X-Mailer: Microsoft Outlook Express 5.00.2615.200 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="21B8DA_E_5.1C" Return-Path: [email protected] From: "Simon Hannah" <[email protected]> To: [email protected] Subject: Self Employed Health Insurance Free Quotes r ag nds jx Date: Thu, 02 Oct 2003 16:15:09 -0500 Over 20 Million American Families are Without Health Insurance, Are You and Your Family One of Them We Offer the Newest, Most Complete Quote Service on the Internet, So Don't Wait Any Longer Get Your Insurance Quote Today! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ If you do not wish to receive these offers in the future, Click Here to remove yourself now ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sobig.F Chi l’ha creato e perché? • Crediamo che la “famiglia” Sobig sia stata creata da un gruppo di virus writer che sta rivendendo le liste open proxy a degli spammer • Ciò spiegherebbe perché diversi gruppi di spam abbiano utilizzato proxy Sobig • E’ un’operazione di business Spammers Eddy Marin & Alan Ralsky I 20 master server • • • • • • • • • • • • • • • • • • • • cpe-024-033-066-038.cinci.rr.com cs679241-67.austin.rr.com dhcp024-210-182-156.woh.rr.com dialup-67.73.21.6.Dial1.LosAngeles1.Level3.net dyn-87.monticello.net HSE-Montreal-ppp3465567.sympatico.ca HSE-Toronto-ppp3480573.sympatico.ca Toronto-HSE-ppp3672941.sympatico.ca Kingston-HSE-ppp3559860.sympatico.ca ip-24-197-143-132.spart.sc.charter.com modemcable043.91-202-24.mtl.mc.videotron.ca modemcable081.207-131-66.nowhere.mc.videotron.ca pcp04447100pcs.verona01.nj.comcast.net pcp695320pcs.lvngst01.md.comcast.net sdn-ap-030caburbP0194.dialsprint.net user-0ccsis9.cable.mindspring.com 12-232-104-221.client.attbi.com 12.158.102.205 218.147.164.29 61.38.18.59 Tempi di reazione – Sobig.F Martedì 19 agosto 2003 (GMT) 06:10 Sobig.F viene scoperto 08:43 F-Secure rilascia un aggiornamento 09:45 parte la vera e propria epidemia di Sobig.F 10:37 Sophos rilascia un aggiornamento 12:53 Symantec rilascia un aggiornamento 13:39 Trend rilascia un aggiornamento 14:21 McAfee rilascia un aggiornamento Source: Messagelabs UK Caso Slacke • L’8 marzo il nostro laboratorio virus in Finlandia riceve un report relativo ad un network trojan conosciuto come "Slacke" • Il report proviene dalla Russia • Il trojan è stato scritto da un gruppo di hacker del Kuwait che si fa chiamare Q8SEE Caso Slacke • Il worm prelevava il codice virale aggiuntivo da un sito web • Il sito web era WWW.LUVZ.ST • .ST è il dominio di São Tomé e Príncipe • São Tomé e Príncipe è una piccola isola nell’oceano Atlantico, vicino all’ Africa Caso Slacke • I diritti del dominio .ST sono stati venduti ad un’azienda con base a Stoccolma, Svezia • Secondo il loro WHOIS, Luvz.st era registrato a: Administrative Contact Information Company Name: JordanChat Contact Name: TeRrOr Address: Irbid , 00962 , irbid , IR , JO Expire date: 29 Oct, 2003 CHAT.CNN.COM Caso Slacke Perché gli antivirus desktop e i firewall aziendali non sono più sufficienti • Anche se gli aggiornamenti delle impronte virali sono rapidi, i nuovi virus si diffondono ancora più rapidamente • I nuovi worm possono essere testati contro i prodotti antivirus euristici esistenti • I nuovi worm possono non essere rilevati dai semplici antivirus dato che il worm può operare solo a livello di memoria RAM (e.g. Slammer) • I nuovi worm possono generare effetti collaterali sgradevoli anche se non sono in grado di infettare una macchina (e.g. Lovsan che provoca il reboot delle macchine XP) • Come abbiamo visto, i virus oltrepassano i firewall e si diffondono nei network interni come incendi violenti => Ciò di cui avete bisogno sono firewall e anti-virus F-Secure Anti-Virus Client Security Grazie! Domande?