"Never attribute to malice what can adequately be explained by stupidity."

"Never attribute to malice what can adequately be explained by stupidity." 1

Internet Security Threat Report och dagens hotbild Per Hellqvist Senior Security Specialist Symantec Nordic AB

Vad är Symantec Internet Security Threat Report? Information som: Ger en utförlig analys över trender och aktiviteter som påverkar ITsäkerheten Sammanställs var 6 e månad Identifierar och analyserar attack-metoder Visar de senaste trenderna och ger information om Internet attacker Sårbarheter som upptäckts och utnyttjats Elak kod Ytterligare säkerhetsrisker - Adware, Spyware, Phishing och Spam Ger en bra överblick över hotbilden på internet 3

Varför är ISTR unik? Baserad på världens största databas över säkerhetsdata 500 Symantec Managed Security Services kunder 40,000 sensorer världen runt övervakar internetaktiviteter i 180 länder 120 miljoner antivirussystem på klienter, servrar samt gateways Sårbarhetsdatabas övervakar 30,000 produkter från 4,200 tillverkare Symantec Probe Network med över 2,000,000 konton samlar in spam och phishingmejl i över 20 olika länder världen över The Symantec Global Intelligence Network 4

Dagens hotbild i ett nötskal Hacking for fame har bytts till Hacking for fortune 5

Övergripande budskap i rapporten Cyberbrott Bedrägerier och stöld. Allteftersom belöningen ökar kommer elakingarna förbättra sina metoder Antalet attacker ökar och blir alltmer allvarliga. En kort tid att patcha, ökande mängd elak kod och smygande tystare attacker Traditionella skydd vid perimetern räcker inte. I och med ökningen i antalet klientattacker och attacker mot webbapplikationer hittar elakingarna hela tiden nya vägar in i nätverket (mer om detta i del två) 6

Dagens hotbild i ett nötskal - Girighet Gårdagens jakt på berömmelse har bytts ut mot möjligheten att tjäna pengar Spam Phishing Bank-trojaner Utpressning Sårbarheter Informationsstölder Maskar och trojanska hästar Botnets 7

Expressen 2005-09-12 8

9

Brottslighet på internet 10

Gårdagens fiender 11

Dagens fiender 12

Phishing populärt bedrägeri Vad är phishing? Bedragare spammar ut miljoner mejl som verkar komma från populära webbsidor, banker, kreditkortsföretag, ISP etc. Brevet skrämmer att kontot är spärrat eller behöver uppdateras Brevet innehåller länkar till en webbsida som verkar vara legitim. Den är dock falsk ( spoofad ) I oktober 2005 kapades ca 100 varumärken Phishing har nu skett på minst 17 olika språk Det finns ca 10.000 phishingsajter vvgt 13

14

Vad säger rapporten om phishing? Antalet phishing-attacker som blockerades ökade från 1.04 miljarder till 1.45, en 44% ökning Vi noterade i snitt 7.92 miljoner phishing-försök per dag upp från 5.7 miljoner Som mest såg vi 17 miljoner phishing-mejl på en enda dag 15

Varifrån skickas phishingmejlen? Internet Security Källa: Threat Websense Report VI 16

Vem är bedragaren? Många kopplingar till den ryska maffian Enskilda lycksökare Spammare Samt den vanliga blandningen sol-och-vårare 17

Vem är bedragaren? Några exempel Helen Carr, 55 år från Akron, Ohio arbetar normalt med att spamma ut reklam för porrsiter Sände ut brev från AOL Security som säger att AOL inte kunde ta betalt för att kreditkortsnummret inte stämmer Ett av breven gick dock hem till FBI-agent Joseph Yuhasz... Helen dömdes till 46 månaders federalt fängelse När FBI stormade hennes hus fann de massor med bevis samt den professionelle spammaren och ökände kreditkortstjuven George Patterson. Han sitter nu i fängelse på 37 månader... http://www.nwfusion.com/research/2004/0531phishingcatch.html 18

Vem är bedragaren? Några exempel I maj 2004 arresterade engelska NHTCU 12 personer, 6 män/ 6 kvinnor De var från Estland, Lettland, Litauen, Ryssland och Ukraina De spammade ut brev som lurar användare att ge ut kreditkortsnummer och kontodetaljer Kontona användes till att tvätta pengar från annan kriminell verksamhet och överföra dem till Ryssland Polisen beslagtog även ett parti crack 19

Äkta? Falsk? Falsk...kolla adressen längst ned 20

Äkta? Falsk? Falsk...kolla adressen längst ned 21

Äkta? Falsk? Äkta...Trots adressen längst ned 22

23

För att förtydliga: www.citibank.com:ac%398haaa9uwdtyazjwvwa AAA9pYWwgc2l6ZT00PjxTVgc2l6ZT00PjxT3Aac%398 HAAA9UWDTYAZJWVWAAAA9pYWwgc2l6ZT00PjxT Vgc2l6ZT00PjxT@211.155.234.84 http://205.214.89.85/ebay.html 24

25

Ljuset i tunneln! 26

Mörkret i tunneln... 27

Bra service? 28

Dagens brottsverktyg - Botnets En bot är en PC infekterad med en fjärrstyrningstrojan Ett botnet är ett virtuellt nätverk av infekterade datorer De infekterade datorerna tillhör oftast hemanvändare med bredbandsuppkoppling, universitetsnätverk eller mindre företag En central punkt styr nätverket 29

Vad används botnets till? Nätverket väcks av attackeraren, För att genomföra en attack som inte ska kunna spåras För att installera adware/spyware För att få mer datakraft/bandbredd För att skicka spam (+70% enligt Messagelabs okt 2004) För att skicka phishing-spam För att sabotera E-mail Server För att utföra en överbelastningsattack (DDoS) + utpressning Bottar kan även användas för att sniffa nätverkstrafiken, logga tangenttryckningar, samla login o lösen, sprida elak kod etc etc 30

Attacktrender Denial of Service DoS-attacker ökade 2H 2005 med mer än 51% I snitt 1.402 per dag, upp från 927 1H 2005, en 774 procentig ökning från 2004! 255.865 attacker på ett halvår! 31

Botnets skapar helt nya jobb Botmaster: Samlar in och administrerar bottar Botnet-säljare: Säljer tillgång till bottar (eller proxies) till t ex spammare Spammare: Sänder spam Sponsor: Betalar spammare för att göra reklam för produkter eller tjänster Exploit-utvecklare: Utvecklar kod för att utnyttja sårbarheter Bot-utvecklare: Utvecklar (eller modifierar befintlig) bot-kod Pengatvättare ( payment processor ): Hemarbetare som tvättar sponsorernas pengar 32

33

Elak kod stjäl konfidentiell information 74% av de 50 vanligaste elakingarna stjäl information 64% gör din dator till spam-klient Threats to confidential information 80% 70% Percentage of top 50 reports 60% 50% 40% 30% 20% 10% 44% 54% 74% 0% Jan- Jun 2004 Jul- Dec 2004 Jan- Jun 2005 Period 34

Vad gör en spam-klient? 35

36

37

38

Nya tricks Spear phishing Extremt riktade attacker Företag, organisationer, besökare till webbplatser, itavdelningen Garden sänks ännu mer 39

40

Nya trick - Pharming Kallas även DNS poisoning Fulingen bombaderar DNSen med falsk information DNS: www.bank.se finns på 123.123.123.123 Attackeraren: Jag LOVAR att www.bank.se finns på 123.45.67.89 Attackeraren: Jag LOVAR att www.bank.se finns på 123.45.67.89 Attackeraren: Jag LOVAR att www.bank.se finns på 123.45.67.89 Attackeraren: Jag LOVAR att www.bank.se finns på 123.45.67.89 Attackeraren: Jag LOVAR att www.bank.se finns på 123.45.67.89 Attackeraren: Jag LOVAR att www.bank.se finns på 123.45.67.89 Attackeraren: Jag LOVAR att www.bank.se finns på 123.45.67.89 DNS: Hmm... jag tror att www.bank.se finns på 123.45.67.89 41

Nya tricks Trojaner Trojaner ställer om den lokala DNS informationen 42

43

44

45

46

Nya trick - Scripting 47

48

Trender inom elak kod Hot mot konfidentiell information Hot mot konfidentiell information fortsätter öka under de tre senaste perioderna 80% av de 50 vanligaste virusen/maskarna/trojanerna kan stjäla information En ökning med 6% Detta pga Mytob varianter - 5 av topp 10 och 13 av topp 50 49

Trender inom elak kod Modulär elak kod Modulär elak kod är små nedladdningstrojaner vars enda syfte är att infektera en dator och därefter hämta uppdateringar till sig själv Ofta spamklienter, keyloggers, modemkapare, etc Modulär elak kod stod för 88% av de 50 vanligaste elakingarna en ökning med 14% mot föregående period (som var 77% större än 2H 2004) 50

Trender inom elak kod Win32-varianter 10,992 nya virus, maskar och trojaner noterades En liten ökning mot de 10,866 i föregående period, 49% ökning mot 2H 2004 11.856 nya under 2004 mot hela 21.858 under 2005 ca 60 nya per dag.. varje dag/ 2.5 per timme 51

Trender inom elak kod De tio vanligaste och hur de sprids 8 av de 10 vanligast förekommande elakingarna sprids via e-post (2 föregående period) Samtliga på topp 10 listan kan användas för bedrägerier och informationsstöld 52

Trender inom elak kod Ytterligare information Elak kod för mobila enheter fortsätter öka, speciellt för smart phones. Cabir Sprids via Bluetooth Commwarrior Sprids via Bluetooth och MMS Skulls Trojan som byter ut alla ikoner mot dödskallar Idag finns även bakdörrstrojaner, sabotagetrojaner, korsinfekterare, etc 53

Viktiga budskap Cyberbrott Bedrägerier och stöld. Allteftersom belöningen ökar kommer elakingarna förbättra sina metoder Antalet attacker ökar och blir alltmer allvarliga. En kort tid att patcha, ökande mängd elak kod och smygande tystare attacker 54

Exploits och patchar Er säkerhet på spel Det tar elakingarna i snitt 6.8 dagar att ta fram en exploit Det tar tillverkaren i snitt 49 dagar att ta fram en patch Det innebär att det under 42 dagar är upp till er att skydda er 55

Generell tidslinje för hot Scriptkiddies leker med exploiten Enkel exploit publiceras Hackers hittar ett säkerhetshål Automatiska verktyg (ex maskar) lanseras Stor användning av automatiska verktyg Hackarna hittar på något nytt Källa: Carnegie Mellon University, CERT 56

Avslöjandet innan intrånget Avslöjande Utnyttjande Patch Uppdatering av datorer Upptäckt Källa: Carnegie Mellon University, CERT 57

Attacktrender Tiden det tar att hacka en server Server OS i en webbserver 58

Attacktrender Tiden det tar att hacka en PC Datorer som INTE skyddas av en brandvägg... 59

Sårbarhetstrender Volym - 2001-2005 1H 2005 ökade antalet sårbarheter 1% över föregående halvår och 34% jämfört med samma period 2004 Totala antalet sårbarheter denna period är det högsta någonsin... 3,767 på ett år! Det är lite mer än 10 per dag! 60

Sårbarhetstrender Webbläsare Internet Explorer hade det största antalet sårbarheter (24), samma som föregående period Alltså 48 sårbarheter på ett år... Firefox var nummer två med 17 st, en minskning med 15 från föregående period Alltså 32 sårbarheter på ett år... 61

Sårbarhetstrender Allvarlighet och enkelhet att utnyttja 97% av sårbarheterna rankades som Mycket eller Ganska allvarliga 84% kunde utnyttjas på distans 79% var enkla att utnyttja, en ökning med 5 procentenheter 62

Vad göra? Som privatperson: Klicka aldrig aldrig aldrig aldrig på något i oväntade mejl Är du orolig logga in som du alltid gör Banker etc sänder aldrig aldrig aldrig ut såna här mejl Är det nån som har koll på dina uppgifter är det banken Använd lager-på-lager med skydd Håll datorn uppdaterad. Alltid. Gäller både operativsystem och applikationer Hjärnan är ditt bästa skyddsprogram. Använd den. 63

Tack för mig! Per_Hellqvist@Symantec.com www.symantec.se http://svl.blogspot.com