ICT Security 2015 Kladovo - Igor Franc

1. Evolucija cyber pretnji i razvoj
cyber “oružja”
dr Igor Franc
Head of hi-tech crime unit
ICT Security conference
KLADOVO 14-16 May 2015

2. Sadržaj
• Evolucija kompjuterskih virusa
• Evolucija kompjuterskih crva i trojanaca
• Evolucija cyber pretnji
• Evolucija cyber napada
• Cyber „oružje“ - STUXNET
• Budućnost cyber napada
• Zaključak
• Pitanja
www.secitsecurity.com

3. Evolucija kompjuterskih
virusa
• DOS virusi u 80-tim
– Elk Cloner 1981
• Napravljen od strane 15-godišnjaka za Apple II i predstavlja
boot sektor virus za floppy disk
– Brain 1986
• Prvi PC virus koji napada 360kb 5,25” floppy diskove i prvi je
full-stealth virus
– Form 1990
• Prvi hard disk virus koji napada boot sektor ili bad sektore na
floppy disku
– Michelangelo 1992
• Infektor izvršnih fajlova koij se na dan kada je rođen
Michelangelo 6 mart pokretao i brisao podatke sa zaraženih
diskova
www.secitsecurity.com

4. Evolucija kompjuterskih
virusa
• Email virusi
– Happy99 1999
• Širio sa putem maila (spaming) ili na news
grupama preko fajla HAPPY99.EXE koji se
automatski slao sa mail klijenta zaraženog
računara, nije nanosio štetu
– Melissa 1999
• Ovo je prvi makro virus koji je napadao MS word,
širio se putem maila (slao je sebe na prvih 50
mailova u outlook address booku), postoji i
izmenjena verzija koja napada MS excel pod
nazivom Papa virus
www.secitsecurity.com

5. Evolucija kompjuterskih
virusa
• Email virusi
– ILOVEYOU 2000
• Širio se preko jpg i mp3 fajlova i mogao je da
ukrade network password i da ga pošalje na
udaljenu lokaciju, širio se putem MS outlook i
Exchange tako što je slao sebe ne sve adrese u
address booku
– Klez 2001
• Imao je naprednu metodu širenja tako što je
koristio promenljive naslove i sadržaje mailova
tako da ga je bilo teško detektovati, brisao je
fajove sa zaraženog hard diska
www.secitsecurity.com

6. Evolucija kompjuterskih
crva i trojanaca
• Worms
– Code Red 2001
• Poreklom iz Kine, napadao je MS IIS servere, zarazio je
12.000 servera i omogućio preuzimanje kontrole
zaraženog servera kao i deface sajtova
– Nimda 2001
• Napadao je i personalne računare i mrežne servere,
širio su putem maila ali i putem zaraženih web sajtova,
takođe je mogao da skenira i sajtove i da sa njih
pronalazi email adrese na koje bi se slao automatski i to
uz random sadržaj i atachment sa hdd-a (250.000
mašina za samo par sati)
www.secitsecurity.com

7. Evolucija kompjuterskih
crva i trojanaca
• Worms
– Slammer 2003
• Širio se hiljadu puta brže od nimde i code red-a,
napadao je SQL servere tako što je koristio buffer
overflow i uspeo je da za 15 minuta zaustavi čitav
internet, stvorio je štetu od više milijardi dolara, širio se
brzinom 75.000 računara u svakih 10 minuta
– MyDoom 2004
• Poznat je i pod nazivom Novarg je crv koji se širio
putem email i svaki 12-ti mail u proseku je bio zaražen,
virus se takođe širio i putem file-sharing mreža,
instalirao se kao "back door“ i čekao komandu sa
udaljene lokacije
www.secitsecurity.com

8. Evolucija kompjuterskih
crva i trojanaca
• Worms
– Sasser 2004
• Nije se širio putem maila kao što se u početku mislilo već
putem pronalaženja propusta na MS Windows 2000 i novijim
sistemima, radio je automatski shut down zaraženog
računara
– Netsky 2004
• U početku je napao Japan i Nemačku međuti brzo se proširio
i ušao na listu top 10 virusa na svim kontinentima isključujući
Austaliju, širio se putem maila (koristio je SMTP engine) i
peer to peer mreža, posle inficiranja pokretao se zajedno sa
operativnim sistemom
www.secitsecurity.com

9. Evolucija kompjuterskih
crva i trojanaca
• Trojanci
– Netbus trojan 2002
• Jedan od najpopularnijih trojanaca ikada. Omogućavao
je bilo kome da kontroliše zaraženi računar sa istim
nivoom privilegija koje ima logovani korisnik
www.secitsecurity.com

10. Napredne vrste pretnji
• Storm 2007
– Ovo je supercrv koji se širio u skrivenom email
atachmentu i ko god je otvorio atachment bio je dodat
u rastuću botnet mrežu.
– Bio je više stvari u jednom – crv, trojanac i bot i uspeo
je da zarazi oko 50 miliona računara. Za razliku od
ostalih kojima je cilj bio slava ovaj je stvoren iz razloga
profita i zato je drugačiji.
– Bio je vrlo težak za detekciju, veoma strpljiv, C2:
command-and-control servers, nije stvarao nikakvu
štetu, koristio je peer-to-peer mreže za C2 što je
otežavalo zaustavljanje
www.secitsecurity.com

11. Napredne vrste pretnji
• Flame 2012
– Ovu pretnju stručnjaci opisuju kao najkompleksniju ikada i
pominju pojmove cyber-war i cyber-espionage
– Ono što on može raditi jeste:
• Prisluškivanje mrežnog saobraćaja
• Preuzimanje sadržaja ekrana (screenshots)
• Pratiti pokretanje određenih aplikacija od interesa
• Snimati audio konverzaciju
• Presretati tastaturu
– Njegovi ciljevi su bili: SCADA i ostali sistemi kritične
infrastrukture uglavnom na teritoriji Middle East, često se
povezuje sa Stuxnet
www.secitsecurity.com

12. Android malware
• DroidKungFu 2011
– Može da rutuje android uređaj i da na taj način izbegne antivirus
detekciju metodom kriptovanja
– Uglavnom dolazi sa igricama sa kineskog područja kao i pratećih
foruma
– Sa zaraženog telefona može preuzeti sledeće:
• International Mobile Equipment Identity (IMEI)
• Mobile device model
• Network operator
• Network type
• Operating system (OS) APIs
• OS type
• Information stored in the Phone memory
• Information stored in the SD card memory
www.secitsecurity.com

13. Android malware
• AnserverBot 2011
– Stručnjaci veruju da je ovo jedan od najsofisticiranijih
malvera koji napadaju android uređaje
– Koristi legitimne programe da bi komunicirali sa C&C
serverima radi dobijanja komandi
– Veruje se da je poreklom iz Kine i da dolazi sa dosta
softvera koji se može naći na alternativnim android
marketima uglavnom u Kini
– Koristi nekoliko naprednih tehnika:
• deep code obfuscating
• dynamical code loading
www.secitsecurity.com

14. Socijalni inženjering
„wet-ware”
• War dialing
• War driving
• Phishing
• Dumpster diving
• Shoulder surfing
• Eavesdropping
• Tailgating
• Impersonation
• Road apple
www.secitsecurity.com

15. War dialing
www.secitsecurity.com
• Tehnika pronalaženja uređaja ovezanih na internet
• Zastarela od kada se ne koriste modemi

16. War driving
www.secitsecurity.com
• Tehnika koja je vrlo popularna
• Vožnja autom sa posebnom opremom radi beleženja wi-fi mreža

17. Phishing
www.secitsecurity.com
• Phishing ili u prevodu pecanje jeste upravo to
• Prevara korisnika da bi se došlo do šifri, PIN brojeva i slično

18. Dumpster diving
www.secitsecurity.com
• Preturanje po kontejnerima kako bi se našlo nešto od koristi
• Uglavnom se radi o traženju papira, diskova, fascikli, uputstava i slično

19. Shoulder surfing
www.secitsecurity.com
• Gledanje preko ramena kako bi se videlo nešto korisno
• Uglavnom korisničko ime, šifra, nešto na monitoru...

20. Eavesdropping
www.secitsecurity.com
• Prisluškivanje ali se ne misli samo na obično već i na
prisluškivanje prenosa podataka – Wireshark...

21. Tailgating
www.secitsecurity.com
• Tehnika koja ima za cilj neovlašćen ulazak
• Bazira se na: pridrži mi vrata molim te...

22. Impersonation
www.secitsecurity.com
• Prerušavanje u nekog drugog (rukovodioca, novog radnika)
• Ovde se uglavnom radi o navođenju čoveka na neku akciju

23. Road apple
www.secitsecurity.com
• Tehnika koja se bazira na neupućenosti ili nepažnji
• Na parkingu firme ostavljen USB koji zaposleni uzima...

24. Najtraženiji sajber
kriminalci
• Ruski haker je trenutno prvi na listi http://www.fbi.gov/wanted/cyber
• Za informacije koje bi mogle dovesti do njegovog hapšenja nudi se čitavih
3.000.000$
www.secitsecurity.com

25. Evolucija cyber napada
• CIH virus (Chernobyl) 1998
• Prvi DDOS napad (Trinoo tool) 1998
• Slammer 2003
• Scamware ili Fakeware (Driver Updater i One-click Fix-it ) 2005
• Zeus trojan 2007
• Conficker 2008
• Stuxnet 2010
• DigiNotar hack (Google SSL) 2011
• Flame 2012
• TURKTRUST (ProxySG) 2013
• Bit9 hack (operational oversight) 2013
• APT1 (espionage campaign) 2013
• Edward Snowden 2013
www.secitsecurity.com

26. Evolucija cyber napada
www.secitsecurity.com

27. Evolucija cyber napada
• Eksperimenti:
– Project Aurora 2007
– Hacking Medical Implants 2008
– CarShark 2010
• Realni slučajevi:
– Maroochy Water Services 2000
– Los Angeles Traffic Management Center 2006
– Tramways hack 2008
– Turkey pipeline 2008
– Stuxnet 2010
– German Steel Factory 2014
www.secitsecurity.com

28. Sajber “oružje” Stuxnet
• Zvanično prvi virus koji je vršio fizičko uništavanje
• Proširio se preko USB uređaja, veličina je 500kb
• Tiho sabotiranje rada centrifuga u Natanz
• Prva verzija Stuxnet 0.5
• Druga verzija Stuxnet 1.001
www.secitsecurity.com

29. Sajber “oružje” Stuxnet
• Vrlo precizno su targetirani ciljevi
• Ukoliko se pojavi nova verzija čim se prvi Stuxnet nadogradi
automatski šalje update svim zaraženim računarima u mreži
• Izuzetno ozbiljan kod stoji iza ovog virusa i 5 različitih Zero-Day
exploita
• Sve navedeno govori u prilog tome da je Stuxnet delo
profesionalaca
www.secitsecurity.com

30. Sajber “oružje” Stuxnet
www.secitsecurity.com

31. Budućnost cyber napada
• SCADA sistemi
– industrial processes
– oil and gas pipelines
– communication systems
– automobile control systems
– implantable medical devices
– smart power grids
– HVAC (airports, ships and space stations)
www.secitsecurity.com

32. Zaključak
• Cyber napadi su rastuća pretnja.
• Eksperimenti su pokazali da je moguće da dođe do
povređivanja ljudi.
• Stuxnet je pokazao da je moguće napraviti cyber
„oružje“
• Potrebno je uskladiti pravnu regulativu i međudržavnu
saradnju da bi se zaštitili od ovakvih vrsta pretnji.
• Neophodno je formirati Cyber security centar na nivou
zemalja ili regiona koji bi se bavili prevencijom,
istrazivanjima, razmenom informacija i edukacijom.
www.secitsecurity.com

33. HVALA NA PAŽNJI!!!
www.secitsecurity.com
Kontakt podaci:
Mail: ifranc@secitsecurity.com
Web: http://secitsecurity.com
Twitter: https://twitter.com/francigorbg
LinkedIn: https://rs.linkedin.com/in/ifranc