Introducere in lumea securitatii
Alexandru Cîtea
Team leader
EDR Detection Team
Masterand @FII Iași
Gheorghe Balan
Senior Analyst
Proactive Detection Team
Masterand @FII Iași
Cuvânt înainte
Această prezentare descrie o serie de evenimente ce merită, în perspectiva noastră, menționate.
Această prezentare nu reprezintă o listă exhaustivă.
Ce reprezintă securitatea?
O nișă a domeniului IT ce are drept rol analiza sistemelor cu scopul de a preveni sau încetini îndeajuns de mult un atac.
Ce reprezintă securitatea?
Ce reprezintă
o breșă de securitate?
Ce reprezintă o breșă de securitate?
-
Exploatarea unui scenariu de utilizare ce nu a fost prevăzut la dezvoltarea unei aplicații
-
Utilizatori/administratori neprevăzători/neglijenți
Un alt scenariu de utilizare neprevăzut:
Ce este o aplicație malițioasă?
Ce este o aplicație malițioasă?
O aplicație ce poate avea rolul de a:
- fura informații
- oferi acces neautorizat la o stație de lucru
- dezactiva sisteme de protecție
- păcăli utilizatorul în a desfășura anumite acțiuni sau de a realiza acțiuni în numele unui utilizator
Tipologii de aplicații malițioase
- Virus
- Worm
- Trojan
- Spyware
- Adware
Virus
Vector de infecție:
- Infectarea altor fișiere de pe sistem, adaugând încărcătură malițioasă
Răspândire:
- Internet / Rețea
- Mijloace de comunicare hardware (ex: USB Stick)
Proprietăți:
- Polimorfism
Worm
Vector de infecție:
- Replicarea și rularea pe un sistem - vin împreună cu o încărcătură malițioasă
Răspândire:
- Zero-days
- Email-uri la adresele sistemului
Trojan
Vector de infecție:
- Necesită intervenția unui factor extern pentru a-și desfășura activitatea (ex: utilizator)
Răspândire:
- Încărcătură pentru Worm sau Virus
- Inginerie socială
Descriere:
Un program ce păcălește utilizatorul prin ascunderea intențiilor sale sub fațada unui program legitim
Spyware
Vector de infecție:
- Necesită intervenția unui factor extern pentru a-și desfășura activitatea (ex: utilizator)
- Pot fi instalate de administratorii de sistem pentru a spiona un angajat spre exemplu
Răspândire:
- Drept încărcătură malițioasă sau instalat la cererea unui utilizator
Descriere:
Software specializat în spionarea unui sistem pentru extragerea anumitor informații (ex: keylogger)
Adware
Vector de infecție:
- Necesită intervenția unui factor extern pentru a-și desfășura activitatea (ex: utilizator)
- De cele mai multe ori, vin împreună cu alte bucăți de software.
Răspândire:
- Pentru exemplele agresive, mesaje pe rețele sociale.
Descriere:
Software cu rolul de a "bombarda" utilizatorul cu reclame.
Aplicații malițioase drept serviciu (MaaS)
Cum ne putem proteja?
Propunerea noastră:
Să învățăm din trecut
Vulnerabilități în aplicații răspândite
Chrome
Firefox
Apache
nginx
openSSL
Un scurt istoric a celor mai importante aplicații malițioase
1971 - Creeper, primul Worm
Scop: Proof-of-concept inofensiv.
1971 - Reaper
Primul program antivirus
Scop: Căutarea aplicației malițioase Creeper și eliminarea ei.
Anul 1978 - Animal
Trojan-ul materializat în jocul de ghicit
Scop: Infectarea utilizatorului și ștergerea tuturor fișierelor de pe calculator, cu o anumită șansă ca această acțiune să nu se desfășoare dacă utilizatorul nimerea răspunsul corect în jocul de ghicit.
Anul 1981 - Elk Cloner
Primul worm care se răspândea prin dischete
Scop: Proof-of-concept
Anul 1986 - Brain
Primul Worm ce se răspândea prin dischete pentru MS-DOS. Autorii erau publici.
Scop: Copyright protection
Mesajul din interior:
"Welcome to the Dungeon (c) 1986 Basit & Amjads (pvt) Ltd VIRUS_SHOE RECORD V9.0"
Anii 1987 - 1999
- Jerusalem - Worm-ul de pe Vineri, 13
- Michelangelo - Worm-ul de pe 6 Martie
- (1995) Primul Macro Virus - Microsoft Word
- (1996) Staod - primul Virus pentru Linux
Anul 2000
- Windows-ul prinde cotă de piață foarte mare
-
Evenimente:
- I LOVE YOU - VBScript trimis prin email
2003 - Blaster
Worm ce conținea următorul mesaj: "Billy gates, why do you make this possible? Stop making money and fix your software"
Scop: Propagare rapidă, apoi un atac de tipul Denial of Service pe site-ul de actualizări software Windows
2003 - Welchia
Primul Worm benefic din istorie - un răspuns pentru Blaster
Scop: Ștergerea Worm-ului Blaster, iar apoi repararea sistemului instalând cele mai noi actualizări de la Microsoft.
2004 - Bifrost
Un program de tipul TAD (Troian pentru acces la distanță). Prezintă versiuni ce funcționează de la Windows 98 la Windows 7.
Scop: Crearea unui serviciu complet de administrare a unui sistem, fără știrea utilizatorului.
2004 - Bifrost
2004 - Bifrost
2004 - 2005 - Cabir și ConWar
Primele versiuni de Worm pentru sistemul de operare Symbian (seria 60).
Scop: Proof-of-concept Worm pentru firmele specializate pe tehnologii anti-virus. Se răspândea prin MMS și Bluetooth.
2006 - Leap-A
Primul Worm pentru Mac OS X.
Scop: Răspândirea cât mai rapidă prin iChat Bonjour (atașament la mesaje).
2008 - Conficker
De asemenea, cunoscut și drept Downadup sau Kido,
reprezintă una dintre cele mai avansate aplicații malițioase la acea vreme.
O cifră estimată la 10 milioane de mașini infectate până în Ianuarie 2009.
Scop: Crearea unui botnet cât mai mare.
2008 - Conficker
Vector de atac:
- Serviciul de networking Windows
- Dispozitive de stocare partajate pe rețea
- Dispozitive hardware plug&play
Funcționalități:
- Dezactivarea Windows Safe-mode
- Protecție împotriva programelor antivirus
- Descărcarea altor programe malițioase de pe circa 250 de domenii malițioase
2009 - Koobface
Aplicație malițioasă universală. Scrisă în limbaj de asamblare, are capacitatea de a infecta atât mașini de Windows, cât și mașini de Linux și Mac OS X.
Scop: Crearea unui botnet în rețeaua locală, colectarea informațiilor confidențiale de pe acea stație și oferirea unui serviciu de pay-per-install pentru alte aplicații malițioase.
2012 - Poliția Română
Ransomware ce amenință utilizatorul pentru a primi bani și pentru a dezinfecta calculatorul.
Scop: Monetizarea directă a unei aplicații malițioase
2013 - Cryptolocker
Ransomware ce criptează fișierele unui utilizator și le decriptează doar după plătirea unei anumite sume într-un cont de Bitcoin.
Scop: Monetizarea directă a unei aplicații malițioase
2015 - Revoluția MaaS
Upatre, Dyreza, Urausy, trei framework-uri ce pot genera malware.