ecrime - Skremsel eller fakta? Tore Larsen Orderløkken Leder Norsk senter for informasjonssikring
To be certain to take what you attack, attack where the enemy cannot defend. Sun Tzu, The Art of War
Fakta fra Norge! 80 programmer installert 12 usikre.. Norge har ca 1,5 mill bredbåndstilknytninger og ca 4 millioner internettbrukere/maskiner 48 millioner sårbarheter = kjempemuligheter for en angriper Kilder Secunia og SSB 3
ecrime Kjært barn har mange navn: Computer crime, cybercrime, e-crime, hi-tech crime, electronic crime, elektronisk kriminalitet Referer generelt til kriminell aktivitet hvor en datamaskin eller nettverk er kilde, verktøy, mål elller sted for en kriminell handling Hvordan gjenkjennne ecrime: Muldyret software butikken Entreprenøren
Utviklingen mot Web 2.0 Internet utviklingen Web 0.1 1995-2001 7M unike web sider Statisk HTML web aksess Enkle web applikasjoner (IM) Begrenset BB tilgjengelig Web 1.0 2002-2006 60M unike web sider Dynamisk HTML web aksess Applikasjons Evolusjon (PTP, Fjern kontroll) BB økende Web 2.0 2007-2010 120M+ unike web sider Botnets driver SPAM veksten Nettleser applikasjoner Løse applikasjoner SSL løsninger BB er handelsvare BB=Båndbredde
One Browser 8 web applikasjoner kjører Henter data fra 8 forskjellige data kilder over 3 kommunikasjons protokoller
Hvorfor bry seg? Web 2.0 er mye av grunnen til at angriperene flyttet seg mot Web
Utviklingen mot Web 2.0 Trussel utviklingen Amatører drevet av berømmelse Professsjonelle spammere, svindler Organisert e- Crime Internet utviklingen Web 0.1 1995-2001 Web 1.0 2002-2006 Web 2.0 2007-2010 7M unike web sider Statisk HTML web aksess Enkle web applikasjoner (IM) Begrenset BB tilgjengelig 60M unike web sider Dynamisk HTML web aksess Applikasjons Evolusjon (PTP, Fjern kontroll) BB økende 120M+ unike web sider Botnets driver SPAM veksten Nettleser applikasjoner Løse applikasjoner SSL løsninger BB er handelsvare
Undergrunnsmarkedet Øknomisk vinning er en av hovedmotivene bak IKTkriminaliteten, og det er dette som rammer de store massene. Alt man trenger for å bedrive kriminell virksomhet på Internett finnes i undergrunnsmarkedet. Det er derfor lite behov for kompetanse, det trengs kun en mindre startkapital for å etablere seg. Kilde NSM 3
Hvorfor starte med ecrime Manglende lovverk og fraværende etterforsknings- og påtalefokus Høyt utdannede personer i befolkningen med vilje og kapasitet til å utføre sofistikerte kriminelle handlinger Relativt små økonomiske muligheter til å tjene penger på ærlig arbeid
Når startet det. Kulerammer fra 3500 f.kr som den første form for datamaskiner? I 1820 ble den første hendelsen rapportert. Arbeidere var redde for at en ny vevemaskin som kunne utføre gjentagende operasjoner ville ta fra de arbeidet og saboterte maskinen. Den store fremveksten startet på slutten av 1990 tallet og har siden hatt en voldsom økning En av de første som laget en egen forretningsmodell for ecrime var Ukrainieren Roman Vega: Brooklyn Metropolitan Detection Center
Forretningsmodellen Kilde Bluehat
Typiske ecrime aktiviteter Barnepornografi Botnets SPAM Identitetstyveri Falsk sikkerhetsprogramvare Kredittkort svindel DDoS utpressing Klikk svindel Pump and dump aksje svindel Og mye mye mer.
1
Eksempel på innhøsting Kjжre kunde, Received: from mta01.mailwash.no (89.250.116.3) by GKP-MAIL01.GKP-ASP.local (172.20.240.11) with Microsoft SMTP Server (TLS) id 8.1.358.0; Wed, 5 Aug 2009 22:55:03 +0200 Received: from ramail2.reston.org (ramail.reston.org [66.106.23.10]) by mta01.mailwash.no (8.12.11.20060308/8.12.11) with SMTP id n75kcwnj031026 for Vi kontakter deg for е informere <christian@gkp.no>; deg om at vеr Wed, konto 5 Aug Review 2009 22:38:33 Team +0200 identifisert noen uvanlig aktivitet i kontoen din. I Received: from User ([81.82.228.56]) by ramail2.reston.org with Microsoft samsvar med Inter IKEA og for е sikre at kontoen din ikke har fеtt tilgang til kontoen din ble begrenset. SMTPSVC(6.0.3790.3959); Wed, 5 Aug 2009 16:55:00-0400 From: ikea <info@ikea.no> Din tilgang til kontoen din forblir begrenset til dette problemet er lшst.. Subject: Premier fra Ikea Date: Wed, 5 Aug 2009 22:55:00 +0200 https://secure.ikea.com/webapp/wcs/stores/servlet/logonform?storeid=16&langid=-14&catalogid=11001 MIME-Version: 1.0 Vi oppfordrer deg til е logge inn og utfшre Content-Type: trinnene nшdvendig text/html; charset="windows-1251" е gjenopprette kontoen tilgang sе snart som mulig. Content-Transfer-Encoding: 7bit Slik at kontoen din tilgang til fortsatt begrenset X-Priority: for 3 en lengre periode, kan det fшre til ytterligere begrensninger pе bruken av kontoen din og mulig lukking av konto. X-MSMail-Priority: Normal Takk for at du bruker Inter IKEA X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 BCC: Message-ID: <RAMAIL2Lnlyg35sQtgT0000075f@ramail2.reston.org> X-OriginalArrivalTime: 05 Aug 2009 20:55:00.0896 (UTC) FILETIME=[FFB62200:01CA160E] Return-Path: info@ikea.no
Eksempel på SPAM aktivitet Sendt SPAM 40 millioner Forholdstall for antall klikk 0,12% Total antall gjennomførte klikk 48,000 Salg for gjennomførte klikk - forholdstall 1/200 Totalt antall salg 240 Total salgsomsetning Kr 224,640 Spammer kommisjon 50% Spammer inntekt Kr 112,320 Ukentlige kostnader Sikker hosting Kr 1,380 4 dager botnet aksess Kr 40,800 e-post adresser Kr 24,000 Totale kostnader Kr 66,180 Ukentlig fortjeneste Kr 46,140 Botnet sjef: 40800/4 *365 = 3.723,000 Kr. Kilde, Peter Guerra
Økonomisk kriminalitet tilgang til tjenester Ukash is an international cash payment method for those who wish to shop, pay and play on the internet but either don't have a bank account/credit card 1
Malvertising og angrep via nettsider Kilde: securitylabs.websense.com
The only line of defence is found between the chair and the keyboard
Hvordan beskytte seg Det menneskelige aspektet Bevisstgjøring og opplæring Oppdatering Du må ha kontroll over nettverket Veier ut av nettet Proxy-servere og SSL inspeksjon Begrense tjenester ut av nettet Overvåkning: Netflow, IDS, logg-innsamling Nettverkssegmentering Perimetersikring mot ormer og trojanere som opererer fra innsiden av nettverket Robusthet i egen infrastruktur Intern rapportering og gjennomgang av sikkerhetshendelser
Kontaktinfo Telefon: (+47) 4000 5899 Telefax: (+47) 6117 0900 post@norsis.no www.norsis.no