1 Adam Ziaja http://adamziaja.comCyberprzestępczość 2.0 Adam Ziaja

2 © Adam Ziaja Cyberprzestępczość Cyberprzestępczość 1.0 W większości niespersonalizowane ataki, zazwyczaj wirusy rozsyłane pocztą elektroniczną na masową skalę Cyberprzestępczość 2.0 W większości spersonalizowane i precyzyjne ataki (ataki APT) z wykorzystaniem nowych technologii W ciągu 4 lat koszty cyberprzestępczości wzrosły o 78 procent (HP: „2013 Cost of Cyber Crime Study”) …nawiązanie do „web 2.0” © Adam Ziaja

3 Media społecznościoweDostarczają przestępcom informacji nt. m.in.: Rodziny i znajomych Pracy oraz szkoły Lokalizacji (Aktualnie) wykonywanych zajęć […] Media społecznościowe to realne zagrożenie, czyli open-source intelligence (biały wywiad) w akcji… © Adam Ziaja

4 © Adam Ziaja Twitter © Adam Ziaja

5 © Adam Ziaja Twitter API ["text"]=> string(113) "W pon rodzice i brat jadą na wieś i pozwolili mi nie jechać jajsjdnksmswowjicjsjxnwkdnjanajdjdj sama w domu xD" ["source"]=> string(82) "Twitter for iPhone" ["user"]=> ["display_url"]=> string(19) "ask.fm/OlaP[NAZWISKO]" ["geo"]=> ["coordinates"]=> { float( ), float( ) } …cenzura własna, oryginał nie posiada cenzury  © Adam Ziaja

6 © Adam Ziaja Twitter API Jedno zapytanie do Twitter API pozwoliło uzyskać informacje takie jak m.in.: Imię i nazwisko (URL do profilu ask.fm) Wizerunek i wiek (profil na ask.fm) Zainteresowania (zespół „One Direction”) Lokalizacja (pozycja GPS) Dziecko będzie samo w domu (treść statusu) W domu mieszkają 4 osoby (rodzice i rodzeństwo) Status majątkowy (posiadanie iPhone) © Adam Ziaja

7 © Adam Ziaja Twitter Do lokalizacji domu potrzebujemy więcej statusów… © Adam Ziaja

8 © Adam Ziaja Twitter API …wszystkie statusy posiadające dane GPS © Adam Ziaja

9 © Adam Ziaja GPSVisualizer.com …sygnał GPS odbija się od budynków …statusy świadczące, że zostały prawdopodobnie wysłane z domu © Adam Ziaja

10 © Adam Ziaja Twitter Warto by było posiadać również dane odnośnie szkoły… © Adam Ziaja

11 Twitter API Gimnazjum nr 165 (wiek 13 lat, z profilu ask.fm)["geo"]=> ["coordinates"]=> { float( ), float( ) } XLI Liceum Ogólnokształcące im. Joachima Lelewela w Warszawie Gimnazjum nr 165 (wiek 13 lat, z profilu ask.fm) © Adam Ziaja

12 © Adam Ziaja Twitter, podsumowanie W krótkim czasie byliśmy w stanie ustalić: Imię i nazwisko, wiek, wizerunek Zainteresowania Lokalizację domu i szkoły Status majątkowy Profil rodziny – dwóch rodziców i dwoje dzieci Kiedy dziecko będzie samo w domu Nawet w którym supermarkecie robią zakupy…  © Adam Ziaja

13 © Adam Ziaja Twitter Cały proces można prosto zautomatyzować, Twitter API pozwala na wyszukiwanie statusów w promieniu X km od danej pozycji GPS Dane zwracane są w formie tablicy, pozwala to na szybką automatyczną analizę wyników np. wyszukiwanie przez wyrażenia regularne wśród zwróconych wyników /sama? w domu/i „sam w domu”, „sama w domu” © Adam Ziaja

14 © Adam Ziaja Ludzie chwalą się w mediach społecznościowych dosłownie wszystkim… © Adam Ziaja

15 © Adam Ziaja Facebook recepta …przy pomocy tzw. krzywych w darmowym programie GIMP © Adam Ziaja

16 © Adam Ziaja Twitter © Adam Ziaja

17 © Adam Ziaja Twitter © Adam Ziaja

18 © Adam Ziaja Twitter API Automatyzacja przy pomocy Twitter API: © Adam Ziaja

19 Instagram, a dokumenty……cenzura własna, oryginał nie posiada cenzury  © Adam Ziaja

20 Instagram (iconosquare.com)dowody osobiste © Adam Ziaja

21 Instagram (iconosquare.com)prawa jazdy © Adam Ziaja

22 Media społecznościoweDzięki zebranym informacjom w mediach społecznościowych można np.: Płacić numerem karty w Internecie Nie jest potrzebna data wygaśnięcia karty czy kod zabezpieczający (CVC, CVV, CVV2) – sklep płaci większą prowizję w przypadku braku zabezpieczeń (np. Amazon) Zalogować się czyjeś konto np. w sieci komórkowej Play – potrzebujemy imię, nazwisko i PESEL jeśli nie pamiętamy hasła… Nawet numer dzwoniącego telefonu możemy sfałszować (tzw. caller ID spoofing) – w sieci pełno jest takich komercyjnych usług… © Adam Ziaja

23 Wygoda przede wszystkim!…i kody zabezpieczające do przelewów bankowych mogą przychodzić na …i możemy aktywować opcję telefonicznie – bez kodu SMS © Adam Ziaja

24 „Zabezpieczenia”, a tworzenie „słupa”Do aktywacji karty internetowej potrzeba: Plik PDF z kartą  (np. z Allegro bez weryfikacji, płatność kartą lub przekazem pocztowym…) (np. tymczasowy adres ) Dane osobowe (np. z prawa jazdy lub dowodu) PESEL (np. z prawa jazdy lub generatora…) Prawo jazdy > dowód – PESEL na awersie Telefon komórkowy (kod zabezpieczający CVV2 do karty przychodzi SMS-em) …najlepsze zabezpieczenie? © Adam Ziaja

25 „Zabezpieczenia”, a tworzenie „słupa”receive-sms-online.com receivesmsonline.net receivesmsonline.com receive-sms.com […] …karty SIM prepaid nie są dobrym rozwiązaniem z uwagi na dane przesyłane do BTS © Adam Ziaja

26 „Zabezpieczenia”, a tworzenie „słupa”© Adam Ziaja

27 „Zabezpieczenia”, a tworzenie „słupa”© Adam Ziaja

28 © Adam Ziaja Ataki APT Ataki typu APT (ang. Advanced Persistent Threats) są złożonymi, długotrwałymi i wielostopniowymi działaniami kierowanymi przeciwko konkretnym osobom, organizacjom lub firmom Ataki APT są wykonywane jak testy penetracyjne typu blackbox – główną różnicą jest fakt, że cyberprzestępcy nie mają ograniczeń czasowych… © Adam Ziaja

29 © Adam Ziaja Ataki APT Atak APT składa się zazwyczaj z trzech głównych etapów: Zebranie informacji (głównie open-source intelligence czyli biały wywiad) Uzyskanie dostępu Kradzież, manipulacja danymi itp. © Adam Ziaja

30 © Adam Ziaja Ataki APT Ataki APT to problem każdego, nie tylko indywidualnych osób czy małych firm To nie tylko suche fakty – pierwszy etap (zbieranie informacji) na przykładzie firmy Cisco Systems (amerykańskie przedsiębiorstwo informatyczne, jedno z największych w branży IT)… © Adam Ziaja

31 © Adam Ziaja Ataki APT Eksport strefy DNS cisco.com – można (było) znaleźć takie informacje jak: Loginy użytkowników Topologia sieci Wykorzystywany sprzęt […] /* możliwość eksportu strefy DNS zgłosiłem w październiku 2013 zgodnie z polityką „responsible disclosure” – błąd poprawiony */ © Adam Ziaja

32 © Adam Ziaja Ataki APT Topologia sieci cisco.com Strefa posiada 1,808,339 rekordów DNS LAN /8 – 1,236,395 adresów IP /12 – 139,426 adresów IP /16 – 5,070 adresów IP = 1,380,891 LAN IP © Adam Ziaja

33 © Adam Ziaja Ataki APT ams-rawouter-vpn.cisco.com (rekord ze strefy DNS) https://supportforums.cisco.com/people/rawouter …sprawdzenie danych pochodzących ze strefy DNS © Adam Ziaja

34 © Adam Ziaja Ataki APT https://www.linkedin.com/pub/raphael-wouters/2/68b/754 …weryfikacja w serwisie Linkedin © Adam Ziaja

35 © Adam Ziaja Ataki APT https://supportforums.cisco.com/robots.txt User-agent: * disallow: /people/ …brak możliwości znalezienia listy użytkowników przez np. Google © Adam Ziaja

36 © Adam Ziaja Ataki APT https://supportforums.cisco.com/people/aabell 200 https://supportforums.cisco.com/people/aadamavi 404 https://supportforums.cisco.com/people/aadegbom 200 https://supportforums.cisco.com/people/aalassi 200 https://supportforums.cisco.com/people/aalberio 200 https://supportforums.cisco.com/people/aalbrech 200 https://supportforums.cisco.com/people/aalhalaw 200 https://supportforums.cisco.com/people/aannese 404 https://supportforums.cisco.com/people/aarafeh 404 https://supportforums.cisco.com/people/aarcidia 404 https://supportforums.cisco.com/people/aarlegui 200 https://supportforums.cisco.com/people/aarrizab 404 https://supportforums.cisco.com/people/aasfandy 200 https://supportforums.cisco.com/people/aathwal 200 https://supportforums.cisco.com/people/aatie 200 [...] …200 - istnieje …404 - nie istnieje …skrypty  © Adam Ziaja

37 © Adam Ziaja Ataki APT Skrypt analizujący strefę DNS – pozyskane dane to m.in. loginy użytkowników (VPN) Skrypt sprawdzający dostępność profili oraz zapisujący istniejące profile z forum wsparcia – pozyskane dane to imię i nazwisko oraz stanowisko Skrypt parsujący pobrane profile i generujący plik CSV (dane rozdzielone znakiem) Import CSV do Excela… …osoby, które mają doświadczenie piszą takie skrypty w jednej linii od ręki © Adam Ziaja

38 © Adam Ziaja Ataki APT kilka tysięcy rekordów… © Adam Ziaja

39 © Adam Ziaja Najsłabszym ogniwem w bezpieczeństwie IT jest człowiek, czyli drugi etap ataków APT – uzyskanie dostępu… © Adam Ziaja

40 Inżynieria społeczna, inżynieria socjalna, socjotechnikaDrugi etap ataku APT – uzyskanie dostępu np. przez phishing, może mieć postać: Po(d)rzucony pendrive z naklejką zachęcającą do otwarcia np.: „Zwolnienia” „Wypłaty” z załącznikiem od organizatorów do uczestników tej konferencji z fałszywego adresu Telefon „z banku” z pytaniem „celem weryfikacji”, aby pozyskać dodatkowe informacje o osobie… © Adam Ziaja

41 © Adam Ziaja Ataki APT Ofiarą ataku APT była np. firma Adobe, wyciekły takie dane jak: Adres Hash hasła (hash to nieodwracalna funkcja skrótu) Podpowiedź do hasła Podpowiedzi zostały wykorzystane do łamania hashy haseł, ponieważ hashe się powtarzały… © Adam Ziaja

42 © Adam Ziaja Ataki APT © Adam Ziaja

43 Adam Ziaja http://adamziaja.comDziękuje za uwagę! Adam Ziaja