Тенденции развития киберпреступности в России и в мире в 2009 году Илья Сачков CISM Group-IB (Группа информационной безопасности) sachkov@group-ib.ru.

Презентация:



Advertisements
Похожие презентации
Расследование DDoS атак. Расследование компьютерных инцидентов и преступлений в России. Илья Сачков CISM Group-IB (Группа информационной безопасности)
Advertisements

Сколько стоит голова ИТ – директора? Новости киберпреступного мира Илья Сачков CISM
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Максим Фролов менеджер по интернет-решениям ЗАО Лаборатория.
ПРОТОКОЛЫ HTTP. HTTP - HyperText Transfer Protocol Протокол уровня приложений Текущая версия HTTP/1.1.
Управление «К» МВД РФ. Управление «К» Управление «К» действительно существует в системе МВД, и не просто существует, но и эффективно работает. Его сектор.
Система финансового администрирования и контроля для территориально распределенных холдинговых структур.
PAGE 1 | Руслан Стоянов Основные черты киберпреступности и методы борьбы с ней Руководитель отдела расследования компьютерных инцидентов «Лаборатории Касперского»
Почему бизнес на вредоносном ПО всё ещё существует? Илья Рабинович, CEO SoftSphere Technologies.
Вероника Копейко Менеджер по организации обучения Консультационные онлайн услуги по продуктам и решениям компании «Код Безопасности»
Применение Radmin для техподдержки сотрудников банка. Примеры успешного внедрения. Виталий Лавров менеджер по работе с ключевыми клиентами компании Фаматек.
Сервер информирования клиентов банка QM-Банк
Старт проекта Старт проекта г.
Информационные технологии в профессиональной деятельности.
Миронов Денис директор ООО «Немесис» СПКИР-2006 Секция «Безопасность в Интернете» Безопасность Интернет-проектов.
Практический опыт построения системы централизованного мониторинга ИБ в банковской организации на базе решений Oracle Информационная безопасность для компаний.
Реагирование на инциденты информационной безопасности Александр Макаревич ОАО «БПС-Банк»
W w w. a l a d d i n. r u Методы снижения рисков при осуществлении финансовых транзакций в сети Интернет Денис Калемберг, Менеджер по работе с корпоративными.
REDSecure: cемейство продуктов комплексной защиты информационных систем
Шилов Илья Технический директор ООО Компания АЛАН Обеспечение безопасности рабочих станций.
1 июля 2011 года вступили в силу требования закона «О персональных данных», согласно которым личные сведения сотрудников, такие как ФИО, дата и место.
Транксрипт:

Тенденции развития киберпреступности в России и в мире в 2009 году Илья Сачков CISM Group-IB (Группа информационной безопасности)

Преступная группа

Мой любимый реальный пример Как Вы думаете, сколько зарабатывает создатель «средней» по технологии бот сети?

Реальный пример $ за 1.5 года

Нарушение информационной безопасности Цель нарушения информационной безопасности – получение прибыли. Большой прибыли.

Реальный пример Простой вирус блокировки ОС Заработок через агрегатора одного партнера: 27000$ в месяц

Ответственность за нарушение ИБ Отсутствие ответственности удешевляет стоимость нелегальных услуг и сводит работу информационной безопасности в гонку вооружений. 20$ стоимость заражения 1000 машин 200 – 500 Euro – DDoS атака до 20Гб (24 часа)

Проблема Информационная безопасность – это бизнес. Сейчас она развивается не в направлении борьбы с нарушениями информационной безопасности, а в направлении получения прибыли. Откатная экономика Самодурство

Вектора развития КиберпреступностьИнформационная безопасность Технологии Цель: прибыль

Процент ИТ бюджета, который тратится на информационную безопасность

Как много инцидентов произошло у вас в компании за последний год?

Задачи расследования 1.Привлекать в ответственности преступников Если этого не делать, то стоимость услуг будет далее дешеветь, а качество возрастать. Как увеличить шансы успешного расследования: 1.Помогать правоохранительным органам 2.Обмениваться информацией (дела по одним и тем же людям лежат в разных подразделениях от разных заявителей) Нет идеальных преступлений

С чем нам пришлось столкнуться? Мошенничество с ДБО Взлом web-серверов Распространение вредоносного ПО DDoS Фишинг

Бот-сети. Тенденции Децентрализация. Управляющие центры переносятся в «абузоустойчивые» страны и децентрализуются. Многоступенчатость управляющих центров. 2. Появление большого количества непрофессиональных бот сетей: с помощью конструкторов или специальных программ для их создания. Для создания и управления такой сетью не требуются специальные знания. 3. Профессиональные бот сети стали использовать передовые технологии для управления и обеспечения анонимности 4. Распространение партнерских бот-сетей («партнерки»).

Бот-сети. Технологии 1.Интеллектуальные боты 2.First come – установление патчей после заражения; 3. Port knocking – аутентификация; 4. Использование пиринговых сетей для управления бот-нетом. Skype, torrent и т.д. 5. Fast flux - назначение любому полнофункциональному доменному имени множества IP-адресов. Переключение между ними в потоке происходит с обескураживающей быстротой, при этом используется комбинация циклического набора IP-адресов и очень маленького значения TTL для каждой отдельной записи в DNS. Новый набор IP- адресов именам хостов может назначаться с периодичностью в три минуты. 6. Текстовые управляющие центры (социальные сети, блоги)

Бот-сети. Проблемы 1. Отсутствие в России работающих CERTов (Computer Emergency Response Team) 2. Отсутствие работающих международных соглашений и законодательства по борьбе с подобными явлениями. 3. Техническая безграмотность населения и простота заражения ПК вирусами. Стоимость заражения 1000 машин вирусами начинается от 20 долларов США. 4. Малое количество успешных уголовных дел

DDoS атаки В 2009 году основными сферами деятельности, подвергшимися DDoS атакам являлись: Банковские платежные системы Системы электронных платежей Предприятия электронной коммерции Средства массовой информации Телекоммуникационные компании Расходы на атаку евро в день.

Реагирование на DDoS атаку Задачи: Минимизация потерь Восстановление сервиса Сбор доказательств Что важнее? – решать оценке рисков Но задачи должны выполняться параллельно.

DDoS атака: минимизация потерь DDoS – не просто так. Постараться быстро ответить на вопрос: Почему идет атака? Как на ней зарабатывают? Это поможет определить цель реальных действий.

DDoS атака: минимизация потерь 1.Если Вы Банк – проверьте платежки!!! 90% DDoS на Российские банки за последние 3 месяца (за 12 месяцев 70%) – прикрытие по выводу денег со счетов клиента. Авторизация по телефону Проверка крупных сумм Вывод на «физиков» Антифрод решения - если есть деньги Проверка IP, времени - если нет денег 2. Клиент с украденными ключами: не портить доказательства, заблокировать ключи в других банках.

Оперативная классика Оперативная: 1. Перенаправление трафика в распределенную сеть (а-зоны, клипаги) (20 минут) 2. Защита на ISP (не всегда эффективна) Защита на Вашей стороне – работает только от самых самых простых атак.

DDoS: расследование и остановка Используем бесплатные возможности Honeynet

DDoS: расследование и остановка Бот под контролем GET /main/rand/test.php?ver=0001id=151D4f12E2&cmd=0102 HTTP/1.0 Host: zlozlozlo.cn HTTP/ OK Date: Tue, 26 Aug :16:50 GMT Server: Apache/2 X-Powered-By: PHP/ Vary: Accept-Encoding,User-Agent Content-Length: 17 Connection: close Content-Type: text/html

DDoS: расследование и остановка Бот под контролем Host: zlozlozlo.cn IP: далеко.далеко.далеко.далеко Делаем трассировку!

DDoS: расследование и остановка В реальности все ближе Tracert IP: далеко.далеко.далеко.далеко :7 11msk.datacentr.ru ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms 7 te2.msk.dadadata.ru ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms 7 tmsk.datacentr.ru ( ) ms ms ms ( ) ms ms ms 9 далеко.далеко.далеко.далеко (далеко.далеко.далеко.далеко) ms ms ms Abuse / Spam house / CERT Блокируем/просим писать дамп

DDoS: расследование и остановка Преимущества: Быстро Бесплатно Если сервер в РФ расследование упрощается в разы Есть вредоносная программа(273 по старой практике) Недостатки: Не всегда работает (новые технологии ботнетов) Бота может не быть в Honeynet

Останавливаем её за 20 минут. Неклассический способ Бота нет в Honeynet 1. Делаем выборку по атакующим IP адресам (не работает со «заспуфленными») 2. Смотрим ближайших ботов по ISP. 3. Просим «помочь» ISP (используя рычаги)

Сбор доказательств на стороне ISP 1.В договоре на оказание телекоммуникационных услуг добавьте пункт о Ваших требованиях по хранению и содержанию логов. 2.Оповещение со стороны ISP в случае атаки – в SLA

Хорошие новости В новых комментариях к УК РФ, выпущенных Верховным судом РФ – официальное признание создание бот сетей, а так же осуществления DDoS атак – преступлением.( )

Бот-сети. Наши меры Информация для IPS в режиме реального времени о нахождении бот- машин в их сетях. Распределенная кооперативная система для расследования DDoS атак и остановки StopDDOS.ru (Константин Тимашков)

Бот-сети. Наши меры Создание, поддержание, развитие Российского сегмента Honeynet Project Бесплатно устанавливаем HoneyPots, WatchDogs и другие кооперативные агенты для отслеживания и изучения бот-сетей. Предоставление и обмен информацией на некоммерческой основе.

Бот-сети и киберпреступность. Наши меры Срочная бесплатная рассылка Group-IB & RISSPA: методы совершения компьютерных преступлений; сообщения с распределенных IDS систем о сетевых атаках и эпидемиях, о проводимых в данный момент DDoS атаках и информацию об активных бот-нета; данные с систем Honey Net о новых типах вредоносного ПО и способа его распространения. Ассоциация RISSPA ( Russian Information Systems Security Professional Association,

Илья Сачков CISM Группа информационной безопасности ?