Data Security. Now.

DATA SECURITY
RIGHT NOW
Mikko Hyppönen
Direttore Ricerca Anti-Virus
F-Secure Corporation
I laboratori di ricerca
F-Secure Anti-Virus
I tempi di reazione del nostro
laboratorio di ricerca
Anti-Virus
•
Typical reaction time for detection around 2.5 hours
3h 15min
– Melissa 1999:
1h 40min
– Loveletter 2000:
2h 5min
– Anna Kournikova 2001:
1h 50min
– Sircam 2001:
1h 57min
– Nimda 2001:
4h 10min
– Slapper 2002:
2h 47min
– Bugbear 2002:
2h 3min
– Lovsan/Blaster 2003:
2h 33min
– Sobig.F 2003:
Le molte facce dei criminali
del computer
•
•
•
•
Chi lo fa per hobby - script kiddies
Attivisti / Terroristi
Ladri - 'Soldati di ventura'
Spionaggio Industriale / Spie
Hacking per ragioni
idealistiche
• Terroristi
• Attivisti
• Guerriglia informatica
sponsorizzata dagli stati
• Spionaggio aziendale
• Spionaggio internazionale
• I veri professionisti
raramente vengono catturati
spies
Hacking/cracking per
divertimento
• La rete è piena di ragazzi che effettuano
scansioni su migliaia di macchine, alla
ricerca di quelle vulnerabili
• Normalmente non sono interessati a carpire i
vostri dati, bensì ad utilizzare le risorse del
vostro computer
• Usi impropri tipici: chat server, file server per
MP3, software pirata o porno…
• L’attacco ad un home computer è serio
poiché esso può essere usato come
– accesso di tipo VPN alle aziende
– punto di partenza per sferrare nuovi
:Co0lWoRx :ok?
:Ricky :ii have 2 cards i will
trade
:[Agent] :yo
:[Agent] :is a master card a
16 digit or 13 ?
:NPN :16
:dariuss :?
:NPN :1234/5678/9102/3456
Facile accesso agli
strumenti di hacking
fakemail
Furti in rete
Dpicorp.com
2/2003
Playboy.com
11/2001
Ecount.com
5/2001
Egghead.com
12/2001
Creditcards.com
12/2000
Westernunion.com
9/2000
CDUniverse.com
1/2000
Oltre 8 milioni di numeri di carte Visa, AMEX, Mastercard e
Discovery rubati ad una società di intermediazione di
carte di credito.
Rubato l’intero database dei clienti. L’hacker ha inviato
una mail ad ogni singolo cliente per comunicarlo.
Hacker ha rubato un database contenente i nominativi di
350,000 clienti ed ha chiesto un riscatto di $45,000.
Oltre 3,700,000 clienti hanno dovuto cambaire la carta di
credito a seguito di un’irruzione sul proprio conto.
Un hacker ha rubato 55,000 numeri di carta di credito. Ha
chiesto un riscatto e poiché non è stato accontentato ha
reso visibili i numeri su un sito pubblico.
Un hacker ha rubato oltre 15,000 numeri di carte di
credito e a quanto pare li ha venduti.
L’hacker russo "Maxus" ha rubato 350,000 numeri di carte
di credito e li ha resi visibili su un sito pubblico.
I capi
d’imputazione
federali contro
Kevin Mitnick
Le diverse ere dei virus
1986-2003
• Boot virus 1986-1995
• Macro virus 1995-1999
• E-mail worm 1999-2003
• Network worm 2003-
Da dove provengono i virus?
•
•
•
•
•
•
Russia e altri paesi dell’ Ex-URSS
Cina
USA e Canada
Taiwan
Corea del Sud
Polonia, Romania e
altri paesi dell’est
europeo
• Olanda, Estonia, Italia,
Filippine, Spagna …
55000
I virus in cifre
1986-2003
•
•
45000
Numero complessivo dei virus per
PC: 85 000 circa
La quasi totalità è stata scritta
avendo come obiettivo i sistemi
Microsoft-based
•
•
•
•
•
•
•
DOS
Windows
IIS
Exchange
Internet Explorer
Outlook
Office
• Word
• Excel
• Powerpoint
33500
18500
10350
7850
5500
2450
0
1
6
90
180
360
3550
1100
1986 1987 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001
Microsoft
Microsoft non
è un obiettivo
poiché i suoi
software sono
estremamente
vulnerabili
Microsoft è
l’obiettivo
perché domina il
mondo
Quote di mercato
• Quota di mercato di Microsoft nei sistemi
operativi per desktop: oltre il 95%
• Quota di mercato di Microsoft nei client
desktop di posta elettronica: oltre il 90%
• Quota di mercato di Microsoft nei web
browser: oltre il 90%
• Ma…
Quote di mercato
(2)
• Quota di mercato di Microsoft nei sistemi
operativi per desktop: oltre il 95%
• Quota di mercato di Microsoft nei client
desktop di posta
Quotaelettronica:
di mercato oltre il 90%
di Linux
web nei web
• Quota di mercato
di nei
Microsoft
server:
oltre il
browser: oltre
il 90%
75%
• Ma…
Comunità omogenee
• La LAN aziendale è come una mandria
di bufali
• Configurazioni identiche = identiche
capacità di resistenza
• Le nuove malattie abbattono tutti
Quanto ci costano
queste infezioni?
• Fare un calcolo preciso è difficile
• Dipende dal tipo di danno causato
• I costi maggiori sono dovuti ai cali nella
produttività
• Alcune stime:
–
–
–
–
Loveletter 2000: 875 M€
Code Red 2001: 2620 M€
Slammer 2003:
750 M€
Blaster 2003:
2000 M€
Fonte: Computer Economics, Inc, September 2001; http://www.reuters.com/news_article.jhtml?type=internetnews&StoryID=192514
Il caso Slammer
Sabato 24.1.2003, 07:31
Che danni ha provocato?
• Internet rallentato a livello globale
• La rete dei terminali ATM della Bank of
America fuori servizio fino al lunedì
• I servizi di emergenza del 911 nell’area
di Seattle fuori uso per 14 ore
• Il controllo del traffico aereo di 3
importanti aeroporti intercontinentali
statunitensi (Newark, Houston,
Cleveland) non disponibile per un certo
periodo
• L’impianto nucleare FirstEnergy's DavidHesse in Ohio infettato
• 5 root nameserver su 13 irraggiungibili
Quanti sono 376 byte?
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Il pacchetto
Il Loop
15e:
161:
164:
167:
16a:
16c:
16f:
171:
174:
176:
179:
17b:
17e:
17f:
181:
182:
187:
188:
18b:
18c:
18f:
mov
lea
lea
shl
add
shl
sub
lea
add
mov
push
lea
push
xor
push
xor
push
lea
push
mov
push
0xffffffb4(%ebp),%eax
(%eax,%eax,2),%ecx
(%eax,%ecx,4),%edx
$0x4,%edx
%eax,%edx
$0x8,%edx
%eax,%edx
(%eax,%edx,4),%eax
%ebx,%eax
%eax,0xffffffb4(%ebp)
$0x10
0xffffffb0(%ebp),%eax
%eax
%ecx,%ecx
%ecx
$0x178,%cx
%ecx
0x3(%ebp),%eax
%eax
0xffffffac(%ebp),%eax
%eax
Lovsan/Blaster
Come funziona?
• La vulnerabilità RPC in Windows NT 4, 2000, XP e
2003 Server è stata scoperta il 16 luglio 2003
• Colpiti oltre 100 milioni di PC
• Infettate le macchine Windows 2000 e Windows
XP di chi, privo di firewall, non aveva installato
le patch
• L’utente non doveva fare
niente
• Attaccato
windowsupdate.com
• Seguito da Welchi/Nachi,
un anti-virus-virus
Lovsan/Blaster
Come funziona? (2)
• La vulnerabilità RPC in Windows NT 4, 2000, XP e
2003 Server è stata scoperta il 16 luglio 2003
• Colpiti oltre 100 milioni di PC
• Infettate le macchine Windows 2000 e Windows
XP di chi, privo di firewall, non aveva installato
le patch
• L’utente non doveva fare
niente
• Attaccato
windowsupdate.com
• Seguito da Welchi/Nachi,
un anti-virus-virus
Incremento nel traffico RPC
Air Canada
Blackout - 14 agosto 2003
• Non pensiamo sia stato causato da un virus.
• Ma crediamo non sarebbe successo senza un
virus.
• La diffusione di Blaster era arrivata al culmine
quando c’è stato il blackout.
• Pensiamo che gli addetti al controllo potrebbero
aver commesso degli errori nella fornitura di
energia alla già sovraccarica rete energetica...
• …perché Blaster induce
i sensori a inviare
dati ritardati o errati
sullo status della rete.
SCADA/OPC/DCOM/RPC
• La rete energetica Niagara Mohawk, che sembra
sia stata la prima sovraccaricata, appartiene al
National Grid
• Il National Grid è un cliente di riferimento di
Northern Dynamic - "The OPC Experts"
• OPC è un acronimo di "OLE for Process Control"
ed è utilizzato per le comunicazioni tra sistemi di
controllo
• OPC si basa su DCOM, che è un’implementazione
di Microsoft di RPC
• RPC è stato utilizzato da Blaster per diffondersi
• Una macchina infettata da Blaster nelle rete
avrebbe sovraccaricato il traffico TPC 135
SCADA/OPC/DCOM/RPC
(2)
SCADA/OPC/DCOM/RPC
(3)
La “connection” nucleare
• Durante le indagini relative al Blackout 2003, la
FirstEnergy Ohio ha reso noto...
• …che l’impianto nucleare David-Hesse era stato
infettato nel gennaio 2003 – da Slammer
• …che ha provocato lo scollegamento del
computer di monitoraggio della sicurezza del
reattore nucleare
John Sherffius, St Louis, MO -- The St. Louis Post Dispatch
Come hanno fatto Lovsan e
Nachi a superare i firewall?
• Solo le macchine con connessioni dirette, non
filtrate (porta 135) potevano essere infettate
• Tutti i firewall aziendali la filtrano
• Eppure abbiamo riscontrato varie grandi infezioni
interne nell’ambito dei network aziendali
• Fonte tipica: laptop infetti
Com’è possibile che sistemi
isolati diventino
accessibili?
• Vediamo regolarmente reti interne ad elevata
sicurezza che non dovrebbero poter avere
connessioni esterne effettuarle comunque
• Scenario tipico: un operatore o ingegnere vuole
rendere possibile il lavoro da remoto
–
–
–
–
–
…e
…o
…o
…o
…o
installa un modem o uno switch
estende un cavo ethernet ad un network aperto
inserisce un laptop dall’esterno, in WLAN
collega una PDA con bluetooth
un cellulare GPRS
Caso Australia 1999
• Maroochy Shire, Queensland, perdita
computerizzata del sistema di gestione, Ottobre
1999
• Un dipendente licenziato dall’azienda, l’ha
ripagata con la stessa moneta
• Penetrato dall’esterno nella propria ex-stazione di
controllo
• Utilizzando le proprie informazioni
• Ha aperto da remoto le porte delle chiuse,
inondando di acque di scarico parchi e fiumi
• …e anche il prato all’inglese
dell’Hyatt Regency Hotel
• Arrestato e condannato nel 2001
Cos’è lo SPAM?
Spam diretto
? # %$
!?
!?
? #%$
?#
%
$!
?
Enlarge-Your-Penis
Ed
Bob
Lisa
? # % $ !?
Jack
? #%$!
?
Mary
Enterprises Inc.
(Spammer)
Spam attraverso un Proxy
? # %$
!?
!?
? #%$
?#
%
$!
?
Enlarge-Your-Penis
John
Enterprises Inc.
(Proxy)
(Spammer)
Ed
Bob
Lisa
? # % $ !?
Jack
? #%$!
?
Mary
Received: from dfintra.f-secure.com by fsfimail1.fi.f-secure.com
Received: (qmail 11931 invoked by uid 1017); 2 Oct 2003 20:16:55 -0000
Received: (qmail 11920 invoked by uid 70); 2 Oct 2003 20:16:55 -0000
Received: (qmail 11904 invoked by uid 70); 2 Oct 2003 20:16:54 -0000
Received: (qmail 11886 invoked from network); 2 Oct 2003 20:16:54 -0000
Received: (qmail 17131 invoked from network); 2 Oct 2003 20:16:52 -0000
Received: from marseille-107-1-7-53.w81-48.abo.wanadoo.fr (81.48.32.513)
by dfmail.f-secure.com with SMTP; 2 Oct 2003 20:16:44 -0000
Received: from (HELO vougm)by Marseille-107-1-7-53.w81-48.abo.wanadoo.fr
with ESMTP id 35333990 for <[email protected]>; Thu, 02 Oct 2003
Message-ID: <[email protected]>
X-Mailer: Microsoft Outlook Express 5.00.2615.200
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="21B8DA_E_5.1C"
Return-Path: [email protected]
From: "Simon Hannah" <[email protected]>
To: [email protected]
Subject: Self Employed Health Insurance Free Quotes r ag nds jx
Date: Thu, 02 Oct 2003 16:15:09 -0500
Over 20 Million American Families are Without Health Insurance,
Are You and Your Family One of Them
We Offer the Newest, Most Complete Quote
Service on the Internet, So Don't Wait Any Longer
Get Your Insurance Quote Today!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
If you do not wish to receive these offers in the future,
Click Here to remove yourself now
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sobig.F
Chi l’ha creato e perché?
• Crediamo che la “famiglia” Sobig sia stata creata
da un gruppo di virus writer che sta rivendendo
le liste open proxy a degli spammer
• Ciò spiegherebbe perché diversi gruppi di spam
abbiano utilizzato proxy Sobig
• E’ un’operazione di business
Spammers
Eddy Marin &
Alan Ralsky
I 20 master server
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
cpe-024-033-066-038.cinci.rr.com
cs679241-67.austin.rr.com
dhcp024-210-182-156.woh.rr.com
dialup-67.73.21.6.Dial1.LosAngeles1.Level3.net
dyn-87.monticello.net
HSE-Montreal-ppp3465567.sympatico.ca
HSE-Toronto-ppp3480573.sympatico.ca
Toronto-HSE-ppp3672941.sympatico.ca
Kingston-HSE-ppp3559860.sympatico.ca
ip-24-197-143-132.spart.sc.charter.com
modemcable043.91-202-24.mtl.mc.videotron.ca
modemcable081.207-131-66.nowhere.mc.videotron.ca
pcp04447100pcs.verona01.nj.comcast.net
pcp695320pcs.lvngst01.md.comcast.net
sdn-ap-030caburbP0194.dialsprint.net
user-0ccsis9.cable.mindspring.com
12-232-104-221.client.attbi.com
12.158.102.205
218.147.164.29
61.38.18.59
Tempi di reazione – Sobig.F
Martedì 19 agosto 2003 (GMT)
06:10 Sobig.F viene scoperto
08:43 F-Secure rilascia un aggiornamento
09:45 parte la vera e propria epidemia di
Sobig.F
10:37 Sophos rilascia un aggiornamento
12:53 Symantec rilascia un aggiornamento
13:39 Trend rilascia un aggiornamento
14:21 McAfee rilascia un aggiornamento
Source: Messagelabs UK
Caso Slacke
• L’8 marzo il nostro laboratorio virus in Finlandia
riceve un report relativo ad un network trojan
conosciuto come "Slacke"
• Il report proviene dalla Russia
• Il trojan è stato scritto da un gruppo di hacker del
Kuwait che si fa chiamare Q8SEE
Caso Slacke
• Il worm prelevava il codice virale aggiuntivo da
un sito web
• Il sito web era WWW.LUVZ.ST
• .ST è il dominio di São Tomé e Príncipe
• São Tomé e Príncipe è una piccola isola
nell’oceano Atlantico, vicino all’ Africa
Caso Slacke
• I diritti del dominio .ST sono stati venduti ad
un’azienda con base a Stoccolma, Svezia
• Secondo il loro WHOIS, Luvz.st era registrato a:
Administrative Contact Information
Company Name: JordanChat
Contact Name: TeRrOr
Address: Irbid , 00962 , irbid , IR , JO
Expire date: 29 Oct, 2003
CHAT.CNN.COM
Caso Slacke
Perché gli antivirus desktop e i
firewall aziendali non sono più
sufficienti
• Anche se gli aggiornamenti delle impronte virali
sono rapidi, i nuovi virus si diffondono ancora più
rapidamente
• I nuovi worm possono essere testati contro i
prodotti antivirus euristici esistenti
• I nuovi worm possono non essere rilevati dai
semplici antivirus dato che il worm può operare
solo a livello di memoria RAM (e.g. Slammer)
• I nuovi worm possono generare effetti collaterali
sgradevoli anche se non sono in grado di infettare
una macchina (e.g. Lovsan che provoca il reboot
delle macchine XP)
• Come abbiamo visto, i virus oltrepassano i firewall
e si diffondono nei network interni come incendi
violenti
=> Ciò di cui avete bisogno sono firewall e anti-virus
F-Secure Anti-Virus
Client Security
Grazie!
Domande?