esc P O R O Č I L O O (8) O M R E Ž N I V A R N O S T I *ò Z A L E T O 2 O 1 2 arnesi si-cert^ /fiff VARNI NA INTERNETU si-cert SI-CERT (Slovenian Computer Emergency Response Team) je nacionalni center za obravnavo omrežnih incidentov. Na elektronski naslov cert@cert.si ali telefonsko številko (01) 479 88 22 lahko prijavite vdor v računalnik ali poskus druge zlorabe prek omrežja. Na podlagi sklepa Vlade Republike Slovenije št. 38600-3/2009/21 z dne 8. 4.2010 SI-CERT opravlja naloge centra za obravnavo incidentov v sistemih državne in javne uprave. www: www.cert.si Facebook: facebook.com/sicert Twitter: twitter.com/sicert KAZALO POROČILO CENTRA SI-CERT 3 UVODNI NAGOVOR VODJE si-CERT 5 predstavitev centra si-cert 6 OBRAVNAVA INCIDENTOV 8 NAPADI skupine ANONIMNI 12 ZAŠČITA iNFRASTRUKTURE ŠKODLjiVA KODA ZLORABE V SPLETNEM BANČNIŠTVU SI-CERT obvestila POROČILO PROJEKTA VARNI NA INTERNETU tudi na spletu prodajajo mačke V ZAKLjU O PROJEKTU VARNI NA INTERNETU izpostavljeni primeri si-cert P O R O Č I L O C E N T R A O S I - C E R T ACTA NON VERBA Lansko poročilo sem začel s trditvijo, da je leto 2011 potekalo v znamenju skupine Anonymous in že takoj na začetku leta 2012 smo tudi v sloveniji doživeli napade skupine v povezavi s podpisom sporazuma AcTA. Hektivizem pa ni bila edina tema v minulem letu na področju informacijske varnosti. Če bi moral izpostaviti eno samo pomembno novost lanskega leta, bi rekel, da so to prvi resni napadi na komitente slovenskih bank, fizične osebe in podjetja. Prvič smo videli raznovrstne napade, ki jasno kažejo na to, da so se kriminalci lotili tudi našega malega tržišča; tako tujci kot tudi naši "domači" hekerji, saj smo v laboratoriju analizirali tudi škodljivo programje, narejeno v Sloveniji in za katerega smo hitro lahko sklepali, da se tudi upravlja iz Slovenije. Ravno škodljiva ali zlonamerna koda ("malware") je tisto središče, okrog katerega se vrtijo moderni in napredni omrežni incidenti. Virusi, trojanski konji, črvi in boti so se danes združili v večfunkcijsko in modularno programje, ki opravlja široko paleto nalog - od najbolj banalnega pošiljanja neželene elektronske pošte za viagro do sofisticiranih ciljanih napadov, za katerimi stojijo velike države. Na področju analize škodljive kode moramo že danes narediti več, v prihodnosti pa bodo ta znanja le še pomembnejša. Ko načnemo teme kibernetskega vohunjenja in sabotaž, pa zlahka pozabimo na veliko bolj vsakdanje probleme - okužbe domačih računalnikov ali vdore v spletne strežnike malih podjetij. Ta zgodba morda res ne zveni tako zanimivo, je pa žrtvi nedvomno pomembnejša kot zgodbe o kiberspopadih med ZDA in Kitajsko. Verjamemo, da na nacionalnem odzivnem centru Si-CERT z ustreznim odzivom na te najbolj množične incidente tudi pripomoremo k postopnemu izboljševanju zaščite v slovenskem internetnem prostoru. PREDSTAViTEV CENTRA SKERT SI-CERT je nacionalni odzivni center za obravnavo varnostnih incidentov na internetu. Na njem sprejemamo prijave opaženih zlorab, vdorov in okužb ter vseh drugih dogodkov, ki se nanašajo na računalniško in omrežno varnost. od ustanovitve leta 1995 dalje sI-cERT deluje v okviru javnega zavoda Arnes (akademska in raziskovalna mreža Slovenije). Strokovnjaki centra pomagamo prizadetim ob posameznih incidentih s specializiranim znanjem in izkušnjami. Pri delu se SI-cERT povezuje z drugimi akterji na področju informacijske in omrežne varnosti tako doma kot v tujini. aktivno sodelujemo v evropski delovni skupini TF-CSIRT (http://www.tf-csirt.org) in svetovnem združenju First (Forum of incident Response and Security Teams, http://www.first.org/) ter v skupini nacionalnih odzivnih centrov, ki jo vodi ameriški CERT/CC. SI-CERT je 27. in 28. septembra 2012 v Ljubljani gostil sestanek delovne skupine TF-csIRT, ki od leta 2000 naprej združuje vse evropske odzivne cert-centre. Sestanka se je udeležilo 70 gostov iz 24 držav. (8) javni zavod Arnes in Ministrstvo za pravosodje in javno upravo sta na podlagi sklepa vlade RS dne 31. 5. 2010 podpisala sporazum o sodelovanju na področju informacijske varnosti. Sporazum določa, da Arnesov varnostni center SI-CERT pomaga pri vzpostavitvi vladnega CERT-centra (delovno ime SIGov-CERT), do takrat pa tudi opravlja naloge koordinacije varnostnih incidentov za vse informacijske sisteme javne uprave. SI-CERT v vlogi vladnega odzivnega centra predstavlja nacionalno kontaktno točko pri Svetu EU in je član impact skupine združenja International Telecommunications Union (ITU) pri združenih narodih. v letu 2012 smo s svetovanjem in vodenjem pomagali kolegom na hrvaškem vladnem CERT zSIS in novoustanovljenem črnogorskem nacionalnem CIRT.ME. opravili smo tudi 30 predavanj doma in v tujini, med katerimi bi izpostavili vabljeno predavanje o napadih skupine Anonimni na Simpoziju FIRST (Sao Paulo, Brazilija) in uvodno predavanje "Would Kafka write about Google and clouds?" na 64. srečanju RIPE v Ljubljani. OBRAVNAVA INCIDENTOV Zaposlena na SI-CERT, Tadej Hren in Gorazd Božič, sta v začetku leta 2012 prejela priznanje direktorja ameriškega FBI Roberta s. Muellerja III. za sodelovanje v preiskavi botneta, prek katerega je storilec leta 2007 izvajal napade na nekatere ameriške medijske spletne portale. Primerek bota smo analizirali v laboratoriju si-cERT in prav naši izsledki so pripomogli k aretaciji Bruca Raisleya junija 2009. sojenje je potekalo septembra 2010 v New jerseyu, tam pa je pričal tudi Tadej Hren, ki je na si-cERT vodil obravnavo incidenta in analizo zlonamerne kode. Bruce Raisley je bil spoznan za krivega, aprila 2011 pa obsojen na dveletno zaporno kazen. Priznanje direktorja FBI je januarja 2012 v prostorih Generalne policijske uprave v ljubljani vročil ataše za pravne zadeve dunajske ambasade ZdA, agent FBI steven L. Paulson. Obravnavo varnostnega incidenta na omrežju razdelimo v štiri faze. Priprava ustreznega delovnega okolja in ustrezna usposobljenost zaposlenih je predpogoj za delovanje odzivnega centra. Treba je tudi vzdrževati mrežo kontaktnih naslovov doma in po svetu. sem pa uvrščamo tudi preventivno dejavnost: izobraževanje, obveščanje in ozaveščanje javnosti. Konkretno pa se z incidentom začnemo ukvarjati z zaznavo in analizo, ko incident zaznamo. Najpogosteje je to takrat, ko na naslov cert@cert.si prejmemo obvestilo o opaženem incidentu. Tega lahko razvrstimo v eno od kategorij, nato pa se izvede ustrezna analiza, ki je lastna tej kategoriji ali vrsti incidenta. Izvajamo korelacijo med različnimi podatki iz incidenta, drugimi incidenti ter sledovi, odkritimi v preiskavi. V fazi zamejitve, odstranitve in povrnitve se zbere dokaze, omeji izpostavljenost sistemov in o incidentu po potrebi obvesti skrbnike sistemov, ponudnike in druge CERT-centre. Na koncu opravimo zaključne aktivnosti, ki so dostikrat najpomembnejše. V njih zberemo izkušnje in jih povežemo z drugimi obravnavanimi incidenti. Tako zaznavamo trende, opazimo nove ranljivosti in dopolnjujemo lastno znanje in izkušnje. Faze obravnave varnostnega incidenta na omrežju PRIPRAVA AKTIVNOSTI PO INCIDENTU Incidenti v številkah Obravnavani incidenti na leto 1500 1200 900 600 300 325 334 478 1250 V letu 2012 smo obravnavali več incidentov, kot v letih 2011 in 2010 skupaj! Leto 2012:1250 Leto 2011:762 Leto 2010:478 2008 2009 2010 2011 2012 0 Vrste incidentov Spodnja tabela prikazuje vrste incidentov v obdobju zadnjih pet let. V letu 2012 smo v kategorizacijo uvedli nekaj novih vrst incidentov: razobličenje in napad na aplikacijo (prej vodeno pod zloraba storitve ali vdor v sistem) in novinarsko vprašanje. VRSTA INCIDENTA 2008 2009 2010 2011 2012 skeniranje in poskušanje 86 39 44 62 51 botnet 9 3 11 12 12 zavrnitev storitve (DDos) 22 10 18 28 47 škodljiva koda 18 53 68 126 258 zloraba storitve 16 15 12 28 9 vdor v sistem 32 25 56 93 76 zloraba up. računa 1 9 razobličenje 125 napad na aplikacijo 17 Tehnični napadi I 183 I 145 I 209 I 350 I 604 kraja identitete 10 52 67 goljufija 5 24 26 89 161 spam 21 22 36 25 74 phishing 23 38 50 61 139 dialler 1 Goljufije in prevare I 49 I 84 I 122 I 227 I 442 zahtevek sodišča 11 6 11 11 9 avtorske pravice 2 4 2 5 9 interno 3 4 16 38 25 novinarsko vprašanje 18 druga vprašanja 70 74 92 120 128 Vprašanja in zahtevki I 86 I 88 I 121 I 174 I 189 Delež incidentov v letu 2012 Obravnave incidentov v letu 2012 49% Tehnični napadi 36% Goljufije in prevare 16 % Vprašanja in zahtevki prijav na SI-CERT 0 odprtih primerov 465 poslanih elektronskih sporočil Najpogostejši incidenti v letu 2012 < /> |258 r. preiskav škodljive kode primerov razobličenj, v njih obvestili 428 skrbnikov strežnikov in nosilcev domen 100 % porast phishing napadov in goljufij Anonymous ali Anonimni? Hektivistična skupina, ki nima jasne organizacijske strukture, je javnosti postala vidnejša z vrsto vdorov leta 2011. Čeprav so njeni začetki v ZDA, se za del skupine lahko označi kdorkoli, na omrežju ali na protestih na ulici. Vtem poročilu uporabljamo angleško besedo takrat, kadar gre za del skupine, ki deluje v tujini, ter slovensko, ko gre za posameznike v Sloveniji, ki se označujejo za pripadnike skupine. Številčno izstopa preiskovanje škodljive kode, ki se razpošilja po elektronski pošti ali pa se uporablja v napadih drive-by download. Vsebinsko gre najpogosteje za podtaknjeno javascript kodo na spletnih straneh ali pa trojance, ki se razpošiljajo po elektronski pošti. Drugo mesto med tehničnimi napadi je v letu 2012 zavzelo razobličenje spletnih strani, kar kaže na probleme z vzdrževanjem spletnih mest slovenskih podjetij. jasno rast pa vidimo tudi pri številu obravnavanih spletnih goljufij, ki jih podrobneje obravnavamo v drugem delu poročila. NAPADI SKUPINE ANONIMNI Slovenija je konec januarja 2012 v Tokiu skupaj z 21 drugimi članicami EU podpisala sporazum ACTA (Anti-Counterfitting Trade Agreement). Podpisu je sledila javna napoved napadov skupine Anonimni in ultimat Vladi RS, naj zamrzne ali umakne podpis s sporazuma. Na SI-CERT smo takoj uvedli vrsto tehničnih ukrepov za obrambo ARNES-omrežja (preko njega je povezano omrežje državnih ustanov HKOM). Vzpostavili smo koordinacijsko skupino skupaj z Direktoratom za e-upravo in upravne procese, ki upravlja HKOM-omrežje, ter obvestili vse ponudnike v Sloveniji o pričakovanih vrstah napadov in možnih tarčah na njihovih omrežjih, skupaj s kratkimi nasveti za obrambo. Od 4. do 17. februarja se je zvrstilo več napadov s poplavo podatkov (DDoS, distributed denial-of-service), poskusi vdora v sistema javne uprave ter nekaj razobličenj spletnih mest. Za krajši čas so bili s poplavo prometa onemogočeni strežniki Nove Ljubljanske banke, spletna mesta nekaterih slovenskih političnih strank in portala predlagaj.vladi.si. Trajne škode v teh napadih ni bilo, DDoS napadi na državno infrastrukturo pa niso imeli nobenega učinka. Objavljena je bila datoteka imen državnih uradnikov, nekaterih internih IP-naslovov HKOM-omrežja in seznam preklicanih certifikatov iz leta 2006. Slednje se je v nekaterih medijih napačno prikazalo kot vdor v sistem za dodeljevanje certifikatov (digitalnih potrdil), šlo pa je le za nekaj let staro datoteko na pozabljenem strežniku, ki pa nikakor ni omogočala dostopa do sistemov javne uprave. Anonimni so identificirali nekaj pomanjkljivosti spletnih aplikacij na javno dostopnih strežnikih državnih ustanov, ki so omogočali izrabe XSS (cross-site scripting). Prek njih je skupina lahko na primer na vladnem spletnem iskalniku med rezultati prikazala svoje grafične znake in sporočila. Tovrstni napad sicer ne pomeni vdora v sistem, a takšno "grafitiranje" je vzbudilo zanimanje medijev. Ker napadi na državne ustanove niso uspeli, je skupina iskala druge cilje. Razobličenje spletnega mesta Zveze potrošnikov slovenije 12. februarja je pomenilo velik obrat v kampanji Anonimnih, saj je v javnosti negativno vplivalo na podobo skupine, intenzivnost napadov pa se je v naslednjih dneh bistveno zmanjšala. Če napadi resnejših posledic za sisteme državnih ustanov niso imeli, pa lahko zatrdimo, da so anonimni pritegnili izredno veliko zanimanje medijev. Hektivistična skupina je dosegla, da smo lahko vsak dan brali o sporazumu AcTA in povezanih napadih. V javnosti so se vodile diskusije na temo omrežnega aktivizma in pravice do spletnih protestov, kar so zanesljivo teme, o katerih bomo lahko v prihodnje slišali še več. Napadi skupine Anonimni 35 30 25 20 15 10 Napadi skupine Anonimni 24. 01. 2012 01. 02. 2012 08. 02. 2012 17. 02. 2012 27. 02. 2012 5 0 ZAŠČiTA INFRASTRUKTURE Veliko besed se v strategijah namenja zaščiti kritične infrastrukture, motnje katere imajo resne posledice na naša življenja. na drugi strani pa se zelo malo ukvarjamo s problemom veliko bolj razširjene infrastrukture, kjer se desetine ali stotine zlorab zvrstijo kar vsak dan. Gre za vsa spletna mesta -tako podjetij, društev, različnih šol in osebnih blogov. Veliko število nevzdrževanih spletišč predstavlja idealen poligon za različne zlorabe, od razobličenj (kar včasih spominja na nekakšne spletne grafite) prek vstavljanja povezav na reklame (click-fraud) do izkoriščanja dobro obiskanih spletnih mest za okuženje obiskovalcev s škodljivo kodo - z različnimi trojanci in virusi. Spletna mesta običajno "padejo" na enem od dveh preizkusov: ali se skrbnika s preprostim phishing napadom prepriča, da vdiralcu pošlje geslo za upravljanje s spletiščem, ali pa gre za nevzdrževane strežnike, ki jim po prvi postavitvi nihče ni namenil kaj dosti pozornosti, zaradi česar so polna varnostnih lukenj. Primer: podtaknjena zakrita javascript koda na spletni strani podjetja