Introducere in lumea securitatii

Alexandru Cîtea

Team leader

EDR Detection Team

Masterand @FII Iași

Gheorghe Balan

Senior Analyst

Proactive Detection Team

Masterand @FII Iași

Cuvânt înainte

Această prezentare descrie o serie de evenimente ce merită, în perspectiva noastră, menționate.

Această prezentare nu reprezintă o listă exhaustivă.

Ce reprezintă securitatea?

O nișă a domeniului IT ce are drept rol analiza sistemelor cu scopul de a preveni sau încetini îndeajuns de mult un atac.

Ce reprezintă securitatea?

Ce reprezintă

o breșă de securitate?

Ce reprezintă o breșă de securitate?

Exploatarea unui scenariu de utilizare ce nu a fost prevăzut la dezvoltarea unei aplicații
Utilizatori/administratori neprevăzători/neglijenți

Un alt scenariu de utilizare neprevăzut:

Ce este o aplicație malițioasă?

O aplicație ce poate avea rolul de a:

fura informații
oferi acces neautorizat la o stație de lucru
dezactiva sisteme de protecție
păcăli utilizatorul în a desfășura anumite acțiuni sau de a realiza acțiuni în numele unui utilizator

Tipologii de aplicații malițioase

Virus
Worm
Trojan
Spyware
Adware

Virus

Vector de infecție:

Infectarea altor fișiere de pe sistem, adaugând încărcătură malițioasă

Răspândire:

Internet / Rețea
Mijloace de comunicare hardware (ex: USB Stick)

Proprietăți:

Polimorfism

Worm

Vector de infecție:

Replicarea și rularea pe un sistem - vin împreună cu o încărcătură malițioasă

Răspândire:

Zero-days
Email-uri la adresele sistemului

Trojan

Vector de infecție:

Necesită intervenția unui factor extern pentru a-și desfășura activitatea (ex: utilizator)

Răspândire:

Încărcătură pentru Worm sau Virus
Inginerie socială

Descriere:

Un program ce păcălește utilizatorul prin ascunderea intențiilor sale sub fațada unui program legitim

Spyware

Vector de infecție:

Necesită intervenția unui factor extern pentru a-și desfășura activitatea (ex: utilizator)
Pot fi instalate de administratorii de sistem pentru a spiona un angajat spre exemplu

Răspândire:

Drept încărcătură malițioasă sau instalat la cererea unui utilizator

Descriere:

Software specializat în spionarea unui sistem pentru extragerea anumitor informații (ex: keylogger)

Adware

Vector de infecție:

Necesită intervenția unui factor extern pentru a-și desfășura activitatea (ex: utilizator)
De cele mai multe ori, vin împreună cu alte bucăți de software.

Răspândire:

Pentru exemplele agresive, mesaje pe rețele sociale.

Descriere:

Software cu rolul de a "bombarda" utilizatorul cu reclame.

Aplicații malițioase drept serviciu (MaaS)

Cum ne putem proteja?

Propunerea noastră:

Să învățăm din trecut

Vulnerabilități în aplicații răspândite

Chrome

Firefox

Apache

nginx

openSSL

Un scurt istoric a celor mai importante aplicații malițioase

1971 - Creeper, primul Worm

Scop: Proof-of-concept inofensiv.

1971 - Reaper

Primul program antivirus

Scop: Căutarea aplicației malițioase Creeper și eliminarea ei.

Anul 1978 - Animal

Trojan-ul materializat în jocul de ghicit

Scop: Infectarea utilizatorului și ștergerea tuturor fișierelor de pe calculator, cu o anumită șansă ca această acțiune să nu se desfășoare dacă utilizatorul nimerea răspunsul corect în jocul de ghicit.

Anul 1981 - Elk Cloner

Primul worm care se răspândea prin dischete

Scop: Proof-of-concept

Anul 1986 - Brain

Primul Worm ce se răspândea prin dischete pentru MS-DOS. Autorii erau publici.

Scop: Copyright protection

Mesajul din interior:

Anii 1987 - 1999

Jerusalem - Worm-ul de pe Vineri, 13
Michelangelo - Worm-ul de pe 6 Martie
(1995) Primul Macro Virus - Microsoft Word
(1996) Staod - primul Virus pentru Linux

Anul 2000

Windows-ul prinde cotă de piață foarte mare
Evenimente:
- I LOVE YOU - VBScript trimis prin email

2003 - Blaster

Worm ce conținea următorul mesaj: "Billy gates, why do you make this possible? Stop making money and fix your software"

Scop: Propagare rapidă, apoi un atac de tipul Denial of Service pe site-ul de actualizări software Windows

2003 - Welchia

Primul Worm benefic din istorie - un răspuns pentru Blaster

Scop: Ștergerea Worm-ului Blaster, iar apoi repararea sistemului instalând cele mai noi actualizări de la Microsoft.

2004 - Bifrost

Un program de tipul TAD (Troian pentru acces la distanță). Prezintă versiuni ce funcționează de la Windows 98 la Windows 7.

Scop: Crearea unui serviciu complet de administrare a unui sistem, fără știrea utilizatorului.

2004 - Bifrost

2004 - 2005 - Cabir și ConWar

Primele versiuni de Worm pentru sistemul de operare Symbian (seria 60).

Scop: Proof-of-concept Worm pentru firmele specializate pe tehnologii anti-virus. Se răspândea prin MMS și Bluetooth.

2006 - Leap-A

Primul Worm pentru Mac OS X.

Scop: Răspândirea cât mai rapidă prin iChat Bonjour (atașament la mesaje).

2008 - Conficker

De asemenea, cunoscut și drept Downadup sau Kido,

reprezintă una dintre cele mai avansate aplicații malițioase la acea vreme.

O cifră estimată la 10 milioane de mașini infectate până în Ianuarie 2009.

Scop: Crearea unui botnet cât mai mare.

2008 - Conficker

Vector de atac:

Serviciul de networking Windows
Dispozitive de stocare partajate pe rețea
Dispozitive hardware plug&play

Funcționalități:

Dezactivarea Windows Safe-mode
Protecție împotriva programelor antivirus
Descărcarea altor programe malițioase de pe circa 250 de domenii malițioase

2009 - Koobface

Aplicație malițioasă universală. Scrisă în limbaj de asamblare, are capacitatea de a infecta atât mașini de Windows, cât și mașini de Linux și Mac OS X.

Scop: Crearea unui botnet în rețeaua locală, colectarea informațiilor confidențiale de pe acea stație și oferirea unui serviciu de pay-per-install pentru alte aplicații malițioase.

2012 - Poliția Română

Ransomware ce amenință utilizatorul pentru a primi bani și pentru a dezinfecta calculatorul.

Scop: Monetizarea directă a unei aplicații malițioase

2013 - Cryptolocker

Ransomware ce criptează fișierele unui utilizator și le decriptează doar după plătirea unei anumite sume într-un cont de Bitcoin.

Scop: Monetizarea directă a unei aplicații malițioase

2015 - Revoluția MaaS

Upatre, Dyreza, Urausy, trei framework-uri ce pot genera malware.