Embed Size (px)
Citation preview
SVEUČILIŠTE U ZAGREBU
FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
RAČUNALNA FORENZIKA
SEMINAR
Analiza kibernetičkih prijetnji
Martin Sić
Zagreb, prosinac 2017.
Sadržaj
Uvod........................................................................................................................... 3
Klasifikacija kibernetičkih prijetnji .......................................................................... 4
Kibernetički incidenti u svijetu i Hrvatskoj ............................................................. 6
Cyber Threat Intelligence ......................................................................................... 9
Zaključak ................................................................................................................. 11
Literatura ................................................................................................................. 12
Uvod
Iako su u današnje vrijeme napadi na nečiju imovinu zabranjeni raznim
pravnim regulativama i moralnim preprekama, napadi se događaju na dnevnoj bazi i
opasnosti za korisnike dolaze sa svih strana. Primjer iz svakodnevnog života koji to
prikazuje je taj da iako se zna da je krađa automobila kazneno djelo, svi ljudi kada
napuštaju svoje automobile redovito zaključavaju automobil i, ukoliko ga posjeduju,
pale sustav za alarmiranje u slučaju pokušaja krađe. Ista situacija je i sa
informacijskim sustavima. Postavlja se pitanje jesu li informacijski sustavi dovoljno
zaštićeni. Ljudi poprilično olako shvaćaju zaštitu informacijskih sustava, ali zapravo
postoji puno informacija o osobama, njihovim životima, bankovnim računima,
lozinkama i još mnoštvo bitnih stvari koje su pohranjeni u informacijskim sustavima a
morali bi ostati tajni. Današnje organizacije se po svojoj prirodi temelje na
informacijama i informacijski sustavi su njihov značajan dio. Informacijski sustavi su
zapravo toliko napredovali da je gotovo nemoguće više zamisliti informacijski sustav
bez računala.
Po nekim statistikama, potrebno je 256 dana da bi se otkrio napadač koji je
prisutan u poslovnom sustavu. Može se samo zamisliti što iskusan napadač može za
to vrijeme napraviti unutar sustava. Prema podacima CERT-a, 2015. godine u
Hrvatskoj je zabilježeno 789 kibernetičkih napada. Napad koji pokazuje da napadači
ne biraju žrtvu i da su kibernetičke prijetnje „pred vratima“ Hrvatske je napad na
Ministarstvo vanjskih i europskih poslova. Iako napadači nisu došli do bilo kakvih
povjerljivih podataka, sam čin napada se smatra ozbiljnim ugrožavanjem nacionalne
sigurnosti.
Prve računalne mreže su bile unutar akademskih zajednica i tada nije bilo
potrebe štititi informacijske sustave. Jedan od razloga je taj što mreže nisu bile javno
dostupne i samim time su bile u manjoj mjeri izložene napadačima. Isto tako, bilo je
vrlo malo napadača koji su znali dovoljno o tome da bi uopće mogli izvesti napad na
sustav. U današnje vrijeme se situacija znatno promijenila. Veliki broj uređaja, kao
što su mobilni uređaji, tableti, prijenosna računala, televizori, su trenutno povezani na
internet i samim time postaju potencijalna meta napadača. Isto tako, na internetu
postoji mnoštvo dostupne literature o mrežama, računalnim sustavima,
informacijskim sustavima i na koji način ih je moguće napasti pa više napadači nisu
nužno samo profesionalci već je moguće izvesti jednostavnije napade samo uz
pomoć upravo te dostupne literature.
Klasifikacija kibernetičkih prijetnji
Da bi bilo moguće klasificirati kibernetičke prijetnje, prvo je potrebno definirati
što je prijetnja, što ranjivost a što incident. Kako se navodi na službenoj prezentaciji
Osnovni pojmovi, predmeta Zaštita i sigurnost informacijskih sustava, predmeta na
diplomskom studiju Fakulteta elektrotehnike i računarstva, Sveučilišta u Zagrebu,
„Ranjivost je pogreška ili slabost u dizajnu sustava, implementaciji, upotrebi ili
upravljanju koja se može iskoristiti za narušavanje sigurnosti sustava ili informacije.“
Iz istih izvora dolazi i definicija prijetnje. „Prijetnja je bilo kakav događaj koji može
iskoristiti ranjivost te na taj način prouzročiti štetu.“ Treći pojam je blisko povezan s
gore objašnjenim pojmovima. Da bi se dogodio incident, moraju postojati oba
preduvjeta, i ranjivost i prijetnja.
Kibernetičke prijetnje se dijele u 4 kategorije koje će zasebno biti objašnjene u
narednim odlomcima. Prva kategorija je kibernetički kriminal.
Kibernetički kriminal je kriminal koji je izveden uz pomoć računala ili računalne
tehnologije. Najčešće se ova kategorija povezuje s prijevarama koje uključuju internet
bankarstvo i razne prijevare na web trgovinama upotrebom tuđih, nelegalno stečenih,
kreditnih kartica. Smatra se da je kibernetički kriminal najbrže rastući sektor globalno
organiziranog kriminala, ali pretpostavka je da će u budućnosti još više rasti. Razlog
za to je što za bilo kakav napad tog oblika nije potrebna fizička prisutnost napadača.
U današnje vrijeme moguće je ispaliti projektil, kupiti oružje, upasti u informacijske
sustave raznih državnih i nedržavnih institucija samo jednim klikom sa računala koje
se ni ne nalazi u blizini mete.
Kibernetička špijunaža je akcija pomoću koje se stječu tajne informacije bez
dopuštenja oštećene osobe. Najčešće se koristi u industriji kako bi se stekla prednost
nad konkurencijom tako da se istraži proizvod koji će plasirati na tržište i pokuša
napraviti jednak ili bolji proizvod prije negoli ga konkurencija stigne plasirati. Također,
još jedna od najčešćih primjena kibernetičke špijunaže je u vojne svrhe. Razlog za to
je što svaka zemlja želi biti najjača i želi znati čime raspolažu druge zemlje jer vojna
nadmoć, nažalost, znači i nadmoć u svemu ostalom. Kibernetična špijunaža se izvodi
pomoću špijunskih programa, računalnih virusa, trojanskih konja i raznim drugim
načinima.
U posljednje vrijeme, sve veća pažnja se pridaje kibernetičkom terorizmu.
Kibernetički terorizam su planirani i politički motivirani napadi koje najčešće izvode
nacionalne skupine, rjeđe pojedinci. Jedna od stvari koje se svrstavaju u kibernetički
terorizam je regrutiranje sljedbenika ISIL-a preko društvenih mreža na kojima
dogovaraju i koordiniraju napadima. Za očekivati je da će i takav oblik terorizma
evoluirati na način da će svaka od tih akcija putem računala imati ljudske žrtve kao
posljedicu. Ako ne direktno, onda će kombinacija kibernetičkog i fizičkog terorizma
uskoro biti vrlo ozbiljna tema rasprava zaštite nacionalne sigurnosti. Jedan primjer
takve kombinacije je da se uslijed fizičkog čina terorizma, npr. autobombe,
onemoguće komunikacijski sustavi kako pomoć ne bi stigla na vrijeme i to bi
rezultiralo puno većim brojem ljudskih žrtvava.
Kibernetički rat je rat koji se vodi uz pomoć računala i računalnih mreža.
Najčešće je barem jedan od sudionika država. Najjednostavnije objašnjenje
kibernetičkog rata je da je to informacijski rat kojim se pokušava steći informacijska
prednost nad protivnikom u ratu. Jedan od načina da se to postigne je krađa i
izmjena protivničkih informacija. Kibernetički rat je zapravo događaj ili aktivnost u
kojoj se kontinuirano i učestalo koristi kibernetički terorizam, kibernetičku špijunaži i
kibernetički kriminal u svrhu napada na protivnika.
Kibernetički incidenti u svijetu i Hrvatskoj
Po podacima koji su dostupni na internetu, predviđa se da će žrtve
kibernetičkog kriminala 2019. godine biti oštećene u ukupnom iznosu od oko dva
trilijuna dolara. Kako bi se stekao dojam koliki je to novac, jedan trilijun je milijun
bilijuna, odnosno milijun milijuna milijuna, odnosno jedan sa osamnaest nula. Tek
kada se to prikaže na ovaj način dobije se dojam koliko je to strahovito velika cifra.
Najveći udio žrtava su iz područja industrije, a drugi najveći udio žrtava su iz područja
financija. Neki od najvećih napada 21.stoljeća su prikazani na Slici 1. koja se nalazi
odmah ispod. U nastavku će ukratko biti opisana tri hrvatska i tri svjetska napada.
Slika 1. Troškovi najvećih kibernetičkih napada 21. stoljeća
Hrvatska:
1) Ransomware
Ransomware je zloćudni program koji zaključa korisnikovo računalo i traži da
korisnik plati određenu svotu kao otkupninu kako bi im dao šifru uz pomoć koje bi
mogli otključati svoje računalo i ponovno ga koristiti. Prema istraživanjima tvrtke koja
se bavi antivirusnim programima, Hrvatska je bila na visokom drugom mjestu po
postotku zaraženih računala u odnosu na sva računala u Hrvatskoj. Jedina zemlja
koja je bila više pogođena ovom vrstom napada bio je Japan.
2) Napad na internet bankarstvo
2014. godine su, još uvijek nepoznati, počinitelji ubacivali zloćudan kod na
računala u Hrvatskoj s ciljem dolaska do podataka i lozinki koje su korisnici koristili za
pristup internet bankarstvu. U izvješću Hrvatske narodne banke piše da su napadači
uspješno oštetili žrtve u ukupnom iznosu od 1,8 milijuna kuna.
3) Sigurnosno-obavještajna agencija
Kao i u slučaju pod rednim brojem dva, i ovdje su počinitelji i dalje nepoznati.
Počinitelji su na nelegalan način došli do 400 GB elektroničke pošte tvrtke Hacking
Team koja prodaje program za prisluškivanje komunikacija. Među tom elektroničkom
poštom nađen je i dokaz da je Sigurnosno-obavještajna agencija željela kupiti
programe za nadgledanje komunikacije između korisnika Vibera, WhatsAppa i
Skypea.
Svijet:
1) Ransomware WannyCry
Zloćudni kod čiji princip je isti kao i u gore opisanom slučaju pod rednim
brojem jedan. Iskorištavao je propuste u starijim verzijama Windowsa i ranjivi
protokol Eternalblue. Otkupnina se plaćala u trenutno vrlo popularnoj valuti, Bitcoin.
Svota novca koju je trebalo uplatiti se povećavala s približavanjem vremenskog roka
kojeg su zadali napadači. Ukoliko žrtva nije uplatila tu svotu, svi podaci koji su se
nalazili na tom računalu bi bili izbrisani. Procjenjuje se da je ovim zloćudnim kodom
bilo zaraženo više od 200 tisuća računala u 150 zemalja. Najpopularnija tvrtka koja je
bila zaražena je FedEx.
2) Stuxnet
Računalni crv koji je otkriven 2010. godine u iranskoj tvornici za obogaćivanje
urana. Cilj je bio zaraziti Siemensove industrijske kontrole. To je i uspio tako što je
uništio Siemensove centrifuge u nuklearnoj elektrani povećavši brojeve okretaja.
Smatra se da su ga napravili stručnjaci iz Sjedinjenih Američkih Država i Izraela.
3) Spamhouse
Spamhouse je tvrtka koja se bavi blokiranjem neželjene elektroničke pošte
diljem svijeta. Provider Cyberbunker je završio na njihovoj spam listi i kao osvetu,
izveli su jedan od najvećih DDos napada u povijesti interneta. Promet prema
Spamhouse-u je narastao na 300 GB/s čime je značajno usporen sav promet
internetskim vezama u Europi. Ovo je jedan od rijetkih slučajeva napada u kojima je
počinitelj otkriven.
Cyber Threat Intelligence
Vrlo je bitno da su tvrtke svjesne potencijalnog rizika od kibernetičkih prijetnji
kako bi mogli uspostaviti uspješnu strategiju za borbu protiv takvih prijetnji. Za tu
akciju od velike pomoći može biti Cyber Threat Intelligence.
Cyber Threat Intelligence je znanje koje se temelji na dokazima. Uključuje
kontekst, mehanizme, indikatore, implikacije i djelotvorne savjete o postojećoj ili
nadolazećoj opasnosti koji se mogu koristiti za lakše donošenje odluke subjekta koji
se nalazi u potencijalnoj opasnosti. To je trend koji je u stalnom porastu i preporuča
se da tvrtke svih veličina budu svjesni prijetnji s kojima se suočavaju i poduzimaju
učinkovite mjere kako bi smanjili utjecaj napada ili ga čak u potpunosti spriječili.
Nekada se korištenje Cyber Threat Intelligence znanja smatralo luksuzom, a danas je
to nužno jer su tvrtke došle do spoznaje da napadači često bolje razumiju njihovu
poslovnu mrežu od njih samih. Nažalost, 2017. godine je još uvijek samo 13.2% tvrtki
imalo potpuno razvijen sustav. Ostale postotke moguće je vidjeti na Slici 2. ispod.
Slika 2. Prikaz upotrebe Cyber Threat Intelligence praksi
Glavne funkcionalnosti koje je moguće izvesti uz pomoć Cyber Threat Intelligence:
1) Prevencija curenja informacija – nadgledanje pokušaja komunikacije s
zloćudnim domenama
2) Detekcija proboja – što se prije otkrije proboj, to je manji utjecaj na posao
3) Reakcija na incident – ovisno o veličini i značaju proboja, moguće je odrediti
odgovarajuću akciju i identificirati kompromitirani sustav
4) Analiza prijetnji – nudi uvide u potrebne mehanizme i druge mjere koje
mogu biti potrebne
5) Analiza podataka – detaljna analiza prikupljenih podataka pomaže u
otkrivanju napadačevih motiva i imovine koja je izložena napadaču
6) Dijeljenje znanja – postiže se globalna svjesnost o raznim prijetnjama
Izvori znanja koja se koriste dijele se na unutarnja i vanjska znanja. Postoje 3
osnovna koraka u pripremi organizacije za korištenje Cyber Threat Intelligence
znanja:
1) Ustanoviti svrhu Threat Intelligence podataka i odrediti tko će biti zadužen
za planiranje Cyber Threat Intelligence programa.
2) Odabrati odgovarajuće alate za prikupljanje i agregaciju podataka. Također
je potrebno odrediti koji će izvori podataka biti korišteni(unutarnji, vanjski ili
oba).
3) Zadnji korak je postavljanje ciljeva, kao i metoda za mjerenje napretka.
Moguće je grupiranje u kratkoročno i dugoročno.
Zaključak
U današnje vrijeme napadači ne biraju žrtvu i nikakve moralne i zakonske
norme ih ne mogu spriječiti da napadnu informacijski sustav tvrtke ili državne
ustanove. Postoji puno potencijalnih prijetnji i da bi tvrtke bile spremne na sve,
potrebno je iskoristiti organizirano i djelotvorno znanje koje će spriječiti ili barem
smanjiti utjecaj napada na sustav. To znanje se naziva Cyber Threat Intelligence.
Iako se pokazuje trend rasta korištenja CTI-a, isto tako napreduju tehnike napadača
pa se predviđa da će ukupan trošak koji će 2019. godine biti potrošen na kibernetičke
napade biti oko 2 trilijuna dolara.
Također su spomenuta 3 primjera incidenta u svijetu i Hrvatskoj koja su
pokazala ranjivost čak i velikih tvrtki. Tvrtke trebaju težiti što boljem unapređivanju
svojih sigurnosnih sustava, tako da u budućnosti postaju sve manje ranjive na takve
napade i pokušaju predvidjeti moguće načine napada i obrane istih. Samo ulaganjem
u znanje i obrazovanje svojih djelatnika tvrtke mogu pokušati barem malo usporiti
ovakav rastući trend napada na informacijske sustave.
Literatura
1. What Is Cyber Threat Intelligence , And Why You Need It.
https://blog.unloq.io/what-is-cyber-threat-intelligence-and-why-you-need-it-
fd33e24954da
Pristupljeno: 21.12.2017.
2. Who's Using Cyberthreat Intelligence and How?
https://www.sans.org/reading-room/whitepapers/analyst/who-039-s-
cyberthreat-intelligence-how-35767
Pristupljeno: 28.12.2017.
3. Cyber threat intelligence
https://en.wikipedia.org/wiki/Cyber_threat_intelligence
Pristupljeno: 29.12.2017.
4. Kezerić, Ana-Maria, Analiza prijetnji i rizika cyber sigurnosti
Republike Hrvatske: ranjivost informacijske infrastrukture, Diplomski rad,
Fakultet političkih znanosti
5. The 16 biggest data breaches of the 21st century
https://www.csoonline.com/article/2130877/data-breach/the-16-biggest-data-
breaches-of-the-21st-century.html
Pristupljeno: 30.12.2017.
