Internettruslerne på Forskningsnettet. Jens B. Pedersen Forskningsnet-CERT

Transkript

1 Internettruslerne på Forskningsnettet Jens B. Pedersen Forskningsnet-CERT

2 Cybercrime is emerging as a very concrete threat. Considering the anonymity of cyberspace, it may in fact be one of the most dangerous criminal threats we will ever face. Ronald K. Noble, generalsekretær Interpol 1 1:

3 Internettruslerne på Forskningsnettet Truslerne fra internettet bliver mere komplekse og avancerede. Det stiller større krav til os, som ønsker at beskytte mod disse trusler. Hvor er det angrebene rammer os, og hvor kommer de egentlig fra? Hvordan forholder DK CERT sig til denne udvikling? Kan det overhovedet lade sig gøre at beskytte mere end det vi allerede gør? forskningsnettet.dk 2 2:

4 Agenda Indledning. Kort om Forskningsnet CERT Et samfund i forandring, nye mål nye midler Internettruslerne i går, i dag og i morgen. Forskningsnettet i fare. Eksempler fra Hvad gør vi nu? Afslutning, spørgsmål mm

5 Indledning Kort om Forskningsnet CERT: Forskningsnet CERT er en organisation under UNI C. Forskningsnet CERT blev oprettet i 1991 i forbindelse med en af Danmarks første hackersager. inspirationen kom fra det amerikanske CERT/CC, som blev oprettet i samarbejder nationalt såvel som internationalt, bl.a. som medlem af FIRST, TF-CSIRT og NCTRT

6 Indledning Formålet med Forskningsnet CERT? MISSION: at skabe øget fokus på it-sikkerhed ved at opbygge og skabe aktuel, relevant og brugbar viden, som gør os i stand til at advare om potentielle risici og begyndende sikkerhedsproblemer. VISION: at skabe samfundsmæssig værdi i form af øget it-sikkerhed, gennem offentliggørelse af viden om it-sikkerhed. at udvikle services, der skaber merværdi for Forskningsnettets institutioner og sætter dem i stand til bedre at sikre deres it-systemer

7 Indledning Services fra forskningsnet CERT: incident response. Forskningsnet CERT modtog i 2009 næsten anmeldelser om sikkerhedshændelser. sårbarhedsvarsling. sårbarhedsscanning. Arbejder på målrettede scanninger mod webapplikationer. anden kommunikation og information om it-sikkerhed

8 Indledning

9 Et samfund i forandring: Cybercrime are undeniably linked to transnational organized crimes. United nations 3 3:

10 Et samfund i forandring: Faktorer med betydning for bl.a. internetkriminalitetens udvikling: stigende globalisering. udbredelse og tilgængelighed af teknologi, der er under stadig forandring. (vores) brug af teknologierne forandre sig. vores faglige og sociale relationer forandrer sig. samfundet og de understøttende institutioner forandrer sig

11 Et samfund i forandring: Dette betyder: et bredere og mere diffust trusselsbillede, som er under konstant forandring. at hvad vi så i går er ikke hvad vi ser i morgen. at mængden af tilgængelig og nødvendig viden og information stiger. at opgaven med at varetage it-sikkerheden bliver stadig mere kompleks

12 Et samfund i forandring: - Men hvad med den 2. verden? - Ja, hva fanden er det egentlig for noget? - Det meget mystisk ikke?

13 Et samfund i forandring: En række lande i den 2. verden : er fattige set med vestlige øjne. er veluddannede. er vant til at organisere sig. har en digital infrastruktur. har en lovgivning, der ikke har fuldt med den digitale tidsalder. har systemer, hvor man kan betale sig fra det meste

14 Et samfund i forandring: It-kriminalitet udføres i dag: af specialiserede transnationale grupper. i organiserede netværk, der indbyrdes handler viden, data og redskaber. med økonomisk vinding som mål. tilpasset og målrettet et globalt marked. primært fra stater i den tidligere Sovjetrepublik samt Kina

15 Internetkriminaliteten i går, i dag og i morgen: Sårbare legale webservere er blevet en central del af forsyningskæden for spredning af Malware DK CERT 4 4:

16 Internetkriminaliteten i går, i dag og i morgen: Færre it-sikkerhedshændelser anmeldes til Forskningsnet CERT:

17 Internetkriminaliteten i går, i dag og i morgen: Dette skyldes et fald i anmeldelser af trivielle scanninger:

18 Internetkriminaliteten i går, i dag og i morgen: Derimod er der blevet flere sager om inficerede websites:

19 Internetkriminaliteten i går, i dag og i morgen: Piratkopiering og mere komplekse hændelser:

20 Internetkriminaliteten i går, i dag og i morgen: Malware under stadig udvikling: 5:

21 Internetkriminaliteten i går, i dag og i morgen: Trojanske heste er hyppigste malware i DK:

22 Internetkriminaliteten i går, i dag og i morgen: Tredje kvartal 2010: malware er den største trussel. Dog færre inficeringer end kvartalerne inden. store fluktuationer fra måned til måned. de traditionelle malware er på retur. malware spredes via sårbare legale websider. malware er i dag meget kompleks og målrettet. antivirus software fanger i gennemsnit 19% af malware angrebene. net-security.org 6 6:

23 Internetkriminaliteten i går, i dag og i morgen: Et kig i krystalkuglen. Social engineering til at modgå tekniske modforholdsregler. Udnyttelse af sårbarheder i tredjepartsapplikationer, fx på sociale netværkstjenester. Malware til perifere netopkoblede platforme. Fx dialere til smartphones, der sender overtakserede SMS er og MMS er. Målrettede angreb på spilkonsoller og lignende netopkoblet forbrugerelektronik. Målrettede angreb på skyen, datacentret som hoster skyen og/eller tjenester placeret i skyen. 7:

24 Forskningsnettet i fare: I takt med at malware-skribenterne er blevet flere og bedre, tyder udsigterne på, at de traditionelle it-sikkerhedsteknologier vil blive blandt de store tabere i kampen mod skadelig kode Peter Kruse, CSIS Security Group A/S 8 8:

25 Forskningsnettet i fare: Eksempler fra 2010 Macintosh-trojansk hest på dansk universitet. September En bærbar Macintosh computer bl.a. fungerede som DHCP server og gateway. Øvrige computere, der fik ip-adresse oplysninger fra denne maskine, havde efterfølgende ikke adgang til internettet. Maskinen var sandsynligvis blevet inficeret andet sted og benyttede disse adresseoplysninger. Ellers??????? 9:

26 Forskningsnettet i fare: Eksempler fra 2010 Phishing forsøg mod universiteternes mailsystemer. På flere universiteter er der blevet udsendt s fra system administrationen eller lignende, der bad brugerne verificere deres konto information. s og websider var udført på fejlfrit dansk og med brug af universitetets logo. Ofte havde man gjort sit forarbejde, og benyttede gyldig navneog adresse information. Der er da ingen der svarer på det, eller???????

27 Forskningsnettet i fare: Eksempler fra 2010 Derudover hændelser med: vellykkede malware-inficeringer af websites på de danske universiteter. spam- og phishing mails afsendt fra universiteternes it-systemer. scanninger udført fra danske universiteter. og så videre

28 Forskningsnettet i fare: Derudover nye trusler fra blandt andet: sociale netværkstjenester. mobiltelefoner og tablets

29 Forskningsnettet i fare: Facebook sikkerhed

30 Forskningsnettet i fare: Er Facebook en trussel mod os? Ja, hvis sociale netværkssider ikke bruges med omhu. Facebook (og sociale netværkssider) skal med i sikkerhedspolitikken. Brugerne skal have styr på konfigurationsmulighederne i Facebook. Udarbejd en Facebook guide som brugerne kan læne sig op af. Brug eventuelt Facebook guiden på

31 Forskningsnettet i fare: Facebook i 2010: Mafia Wars. Spillet, som spammer brugernes væg. falske Facebook vira, der kun kan fjernes med det antivirus produkt, der er linket til og som overtager pc en. links til malware-inficerede videoer. hackede Facebook kontier. Koobface. Udsender mails til falsk Facebook side og installerer programmer på brugerens pc. Skaber botnet, bruger keylogger til opsamling af kreditkortnumre osv.,

32 Forskningsnettet i fare: Mobilteltelefon sikkerhed?

33 Forskningsnettet i fare: Er mobiltelefoner en trussel mod os? Ja, mobiltelefoner bliver lige så stor en trussel som ubeskyttetde og computere. Specielt smartphones der giver brugere mulighed for installation af (tredjeparts) apps. Mobiltelefoner skal også indgå i sikkerhedspolitikken Brugere skal have større viden og kendskab til truslerne mod mobiltelefonerne

34 Forskningsnettet i fare: Forskningsnet CERT opfordrer til, at universiteterne: benytter sårbarhedsdatabasen, som er en gratis tjeneste. periodisk får en gratis sårbarhedsscanning institutionens itsystemer. tilmelder sig Forskningsnet CERTs gratis nyhedsbreve. holder sig generelt orienteret omkring it-sikkerhed. hjælper brugerne med at forstå og agere på aktuelle trusler

35 Hvad gør vi nu? Learned helplessness happens when people don t know enough about a problem or don t know how to resolve it. It s like getting ripped off at a garage if you don t know enough about cars, you don t argue with the mechanic. Norton cyber crime report: The human impact 10 10:

36 Hvad gør vi nu? At kunne sikre sig handler om viden: viden om hvad der skal sikres. It-sikkerhedspolitikken kan fokusere opgaven. viden om hvad der skal sikres imod. Awareness. viden om hvordan man sikre sig. Valg af teknologier til beskyttelse

37 Hvad gør vi nu? Vores væsentligste værn mod it-kriminalitet er således: samarbejde og deling af aktuel viden og erfaring. valg og fokusering af teknologi-platforme. kontinuert fokus på opdatering af sårbare systemer. uddannelse og varsling af brugerne. Alt sammen emner der har til formål at minimere kompleksiteten

38 Hvad gør vi nu? Heldigvis passer dette med Forskningsnet CERTs mission om: at opbygge og skabe aktuel, relevant og brugbar viden, som gør os i stand til at advare om potentielle risici og begyndende sikkerhedsproblemer. Også samarbejde nationalt og internationalt underbygger dette. Bl.a. samarbejdet med GovCERT om i fællesskab udfylde en National CERT-rolle. En målsætning om at udbygge dette samarbejde med andre aktører

39 Hvad gør vi nu? Hvem har ansvaret for beskyttelse af danskernes it-aktiver? myndighederne (politi mm.). ISP erne (Forskningsnet og Forskningsnet CERT). organisationerne (Universiteterne). it-sikkerhedsbranchen. borgerne selv (de ansatte og studerende)

40 Afslutning: Spørgsmål?