Webové hrozby dneška a zítřka

WWW = The Word War Web

HTTP = GFBP(General Firewall Bypass Protocol)

Varujme se nenápadných, neboťjsme jim vydáni na milost a nemilost.

Gilbert K. Chesterton

WWW – The World War Web

• Epochy šíření malware– Diskety, Office makra, mass-mailing worms, bots and worms

• Web jako hlavní vektor útoku dneška– Phishing a social engineering techniky kombinované s

infikovanými stránkami– Útok může přijít z libovolných stránek

• Bez speciálních nástrojů nemožné útok odhalit– Moderní útoky nejsou při běžné práci odhalitelné ani pro experta– Exploity, útoky na konkrétní aplikace, různé OS

Trendy roku 2009

• Nadále enormní růst množství škodlivého kódu– Exponenciální růst, nyní cca 30-50 tisíc nových vzorků denně– Rootkity, PDF, Flash

• Výrazný růst počtu Rogue antispyware– Hlavní typ infekce, překonává i nástroje typu WebAttacker apod.

• USA v čele počtu infikovaných serverů• Více než polovina infekcí existuje méně, než 3 dny

– Kolísavý profil během roku, trvale nad 50%– Důvodem nejsou rychlí správci, ale snaha o omezení detekce

Velmi krátká životnost infikovaných stránek

Slabiny reputačních systémů

• Snaha útočníků vyhnout se detekci• Útoky mají typicky velmi krátké trvání

– Infikovaná doména či stránka neexistuje dlouho– Časově či geograficky omezené útoky

• Infekce na spolehlivých stránkách– Hacking – často, ale nikoliv pouze hacking– Obsah od dalších poskytovatelů

• Reklamní bannery – NYTimes.org

• Nehodnotí neznámé stránky

Typické dnešní útoky

• Základní cíl – přivést návštěvníka na vlastní stránky– SEO poisoning– Spam– Zneužití existujících populárních stránek

• Sociální inženýrství– Zlepšování technik spamu– Statistika velkých čísel (někdo si na ten odkaz klikne)– Zneužívání významných událostí (daně, sv. Valentýn, živelní

katastrofy)

• Zneužití zvýšeného povědomí uživatelů o hrozbách

Typické dnešní útoky

Good morning Sir,

When choosing a peniss stronger method, there are many MANY

options these days. But very few are worth the money. In fact, most are

scam! Don't get ripped off - you deserve the real thing!

Viagr Patches Shop are the newest, safest and absolutely most cheapest

Shop with potent patchs you can buy here. No other shops even comes

close to duplicating the prices found in our Viagr Patch Shop.

Try our Viagr Patches from our Shop and see how it can change your life!

<http://wwb.mj7f8nm1je4v1e7.jjplanularch.info>

Typické dnešní útoky

Texas, stránkyNárodní Gardy

Typické dnešní útoky

Hrozby z Internetu

• SEO poisoning– Odlišný obsah podle “referrer” – odkud návštěvník přišel

• Sociální sítě– Facebook aplikace

• Předložit škodlivý obsah– Neviditelně v rámci stránky (kódované skripty, neviditelné rámce -

iframes)

– V rámci poskytnutých dat (PDF exploits, flash)

– Další techniky – přesměrování (HTTP 302)

• Překvapivě vysoká míra kopírování útoků

Hrozby z Internetu

• Převažuje snaha o infekci systémů– Botnets, Rogue antivirus– Keyloggers, krádež přihlašovacích údajů– SecondLife, World of Warcraft, …

• Sběr adres– Obvyklé v hotelích – SMTP!

• Krádež citlivých dat• Infiltrace do chráněných systémů

Rogue antivirus, Facebook, …

Způsoby obrany

• Vrstvy ochrany– Žádná z vrstev není a nemůže být 100% spolehlivá– Každá má své přednosti

• Moderní techniky– Whitelisting – částečně použitelný v korporátním prostředí– Web exploit detekce– Sledování chování – behavior monitoring

Nové vektory útoku, očekávané trendy

• Další zaměření na prevenci detekce– Profesionální služby tvorby malware, garantované SLA

• Omezení geografické a časové• Polymorfismus, serverový polymorfismus• Útoky na Cloud systémy• Rootkity, útoky na virtualizační technologie

– Lokální útok – únik z virtuálnícho prostředí– Využití virtualizace pro prevenci detekce– Napadení virtuálních systémů a struktur

Cui prodest?

• O peníze jde až v první řadě• SecondLife – 7 mio USD měsíčně z výměny “Linden $”• Zisky z počítačové kriminality předčily zisky z drog• Spam

– Jeremy Jaynes - $24mio / 9 let

• Politické cíle• Cílené útoky, průmyslová špionáž

– Velmi podceňováno!