Transcript Slide 1
Amenazas en entornos Web 2.0 Noviembre 2008 Acacio Martin amartin fortinet.com Objetivos de la presentación • Presentar los perfiles de Cibercriminales • Analizar los nuevos esquemas que hay detrás del Cibercrimen y dónde se originan • Identificar y cuantificar algunos de los modelos de negocio que hay detrás • Identificar las soluciones Agenda 1 Introducción 2 Elementos implicados 3 Entornos Web 2.0 4 Soluciones 2.0 Fortinet Confidential 3 Introduction • Cibercrimen: “Actividad ilicita en la que están involucrados ordenadores” • ¿Cuánto dinero mueve?: de $50 billion a $100 billion por año Frase de Valerie McNiven, US Treasury, avisando sobre cyber-crimen (2005): “Last year was the first year that proceeds from cybercrime were greater than proceeds from the sales of illegal drugs, and that was, I believe, over $105 billion” [1] Agenda 1 Introducción 2 Elementos implicados 3 Entornos Web 2.0 4 Soluciones 2.0 Fortinet Confidential 5 Ciber-criminales. Perfiles • Coders Los “hábiles” • Kids La fuerza de trabajo • Drops Las “mulas” • Mob los que mueven los hilos? Fortinet Confidential 6 Coders – Los hábiles • Entre 20 y 25 años • +5 años en la comunidad de hacking • Programadores autodidactas • Venden herramientas ready-to-use a los Kids • Tarifas entorno a cientos de USD • Riesgo limitado (disclaimers, etc…) • Scam artists están dentro de esta categoría Fortinet Confidential 7 Kids – la fuerza de trabajo • Entre 13 y 20 años • Colgados de los canales IRC carding channels • Compran y revenden piezas básicas necesitadas por scams • Ingresos mensuales de 2 dígitos Fortinet Confidential 8 Drops – las “mulas” • Mayores que Kids • Convierten el dinero virtual en dinero real • Transferencias realizadas a cuentas de banco legales o envíos de dinero en metálico • Se llevan hasta el 50% y mueven el resto ya blanqueado • Casi siempre con residencia en países sin “ley digital” Fortinet Confidential 9 Mob – Los que mueven los hilos? • En el límite de la ley • Realmente complicado de investigar/imputar • Una de los innegables conexiones traseras del Ciber-crimen Fortinet Confidential 10 El mercado: IRC Fortinet Confidential 11 Las monedas • e-gold Anonimato No reversible Independiente • Wired cash Irreversible Cruza fronteras instantáneamente Bastante anónimo Fortinet Confidential 12 Las monedas. E-gold Fortinet Confidential 13 E-gold feedback Fortinet Confidential 14 Hey Doug, still Baffled? Fortinet Confidential 15 Cargo de acusación contra E-gold Fortinet Confidential 16 Ejemplo de primeros modelos de cibercrimen Carding. Modelo de negocio • Una “CC Full” cuesta entre $2 y $5 (pagable vía e-gold) • Cerca del 80% de las CCs comercializadas en IRC no son válidas Importancia del “Webs of Trust” • CCs se compran por packs al por mayor Grandes similitudes con el negocio de la droga Fortinet Confidential 17 Carding, Modelo de negocio : Esquema Fortinet Confidential 18 Carding, Modelo de negocio : Números • Costes Compra de 40 CC validas: $200 Soborno de 10 drops para enviar un paquete a la semana: $800 Costes de envío de los paquetes: $800 • Beneficios Venta de los bienes en eBay: $16,000 ($400 por paquete) • • • • Fortinet Confidential Coste total mensual: $1,800 Beneficio total al mes: $16,000 Ganancias netas al mes: $14,200 Índice de productividad (Beneficio/Coste): 8.9 19 Agenda 1 Introducción 2 Elementos implicados 3 Entornos Web 2.0 4 Soluciones 2.0 Fortinet Confidential 20 Web 2.0 Web 2.0 Consecuenza en el campo de las amenzas • Basadas en robo de identidad online • Suplantar un usuario en una aplicación permite : Obtener datos personales de la víctima Ejecutar acciones en su nombre • Arsenal: Phising Troyanos Phisher Worms Cross Site Scripting (XSS). Explotando la confianza del cliente en el website vulnerable Cross Site Request Forgery (CSRF). Explotando la confianza del website en el ususario. Plain old client-side trojaning Robo en cuentas online. Modelo de negocio Fase 1 • Phising • Troyanos navegando por Internet. Sinowal, más de 2000 bancos online en su BBDD. “Keylogger” gusano sofisticado. Fortinet Confidential 24 Robo en cuentas online. Modelo de negocio Fase 2 • La búsqueda de los drops: • Trabajo "fácil, cómodo y de suculentas ganancias“ • Condición para obtener el trabajo: tener Internet las 24 horas, ser español y disponer de una cuenta bancaria legalizada • Comisiones de hasta el 10% del dinero que transfiera • Les dicen que las transferencias van a ONG extranjeras y que la mayoría procede de subvenciones públicas y privadas • Aunque la Policía da con ellos, son absueltos sin cargos • Sacan el dinero y lo envían en metálico a través de Western Unión o MoneyGram a Empresas falsas, normalmente del Este. Fortinet Confidential 25 Defacing. Modelo de negocio • Defacing: Reemplazar el index page de la página visitada • Comienza en el año 2000 Mpack: caso real de gran impacto en Italia • Mpack es una web-application que sirve código malicioso a los visitantes • El que compra el programa debe instalar el juego de herramientas en un servidor al que se pueda acceder comprando los nombres de usuario y contraseña.El atacante modifica los archivos existentes en esos servidores, agregando etiquetas IFRAME al código HTML, para que el visitante a esos sitios sea redireccionado al servidor del atacante • El contenido malicioso explota vulnerabilidades de los exploradores, convirtiéndolos en una entrada de instalación sin ninguna interacción por parte del usuario. • MPack se vende en foros underground de Rusia a precios que van de los 500 a los 1000 dólares Fortinet Confidential 27 Mpack Case: algunos de los sitios comprometidos Fortinet Confidential 28 Mpack Case: algunos de los sitios comprometidos Fortinet Confidential 29 Mpack : Estadísticas Fortinet Confidential 30 Mpack : El modelo de negocio • Costes Mpack software: $700 Comprometer una compañía de hosting con miles de sites: $10,000 Scripts para insertar IFrames en cada página: algo de habilidad o sobre $50 Fortinet Confidential 31 Mpack : El modelo de negocio • Beneficios Uso de cada uno de los 10,000 ordenadores como spam relay • Asumiendo: – Envío de 100K emails antes de terminar en una lista negra – Anunciantes pagan 0.03 céntimos por email: 10,000 x 100K x 0.0003 = $300,000 (de una sola vez) Usando cada uno de los 10,000 ordenadores infectados para Adware planting: $32,000 (mensual) Fortinet Confidential 32 Mpack : El modelo de negocio • Coste total : $10,750 • Beneficios totales (primer mes): $332,000 • Ganancia (primer mes): $321,259 • Índice de productividad (Beneficio/coste): 31 Fortinet Confidential 33 Phisher Worms o Social Worms • El ataque comienza con patrones de phising asociados a redes sociales como MySpace, Facebook, .... Phisher Worms o Social Worms • Después viene la parte de automatización. Un progarma envía el mismo boletín a todos los “amigos”, 100 de media por usuario Lógica del negocio • ¿Para qué sirven credenciales en redes sociales?. • EL Spam basado en correo electrónico tiene una fectividad muy baja, entorno a 0,001% • Spam 2.0: • Redes sociales con millones cuentas (MySpace 200MM en oct-2007, Facebook 120MM en nov-08) • Existen ciertos campos de usuario que aparecen en la página principal del usuario • Ver un “anuncio” en la página de un conocido eleva su efectividad considerablemente Lógica del negocio Ejemplo Lógica del negocio Ejemplo Lógica del negocio. Modelo Costes • Asumiendo: Objetivo: Un “ad” cada semana (para estar siempre en la página principal) durante un mes a 60,000 perfiles individuales Precio a pagar por cada “ad”: 10 veces el precio medio a pagar por un bot enviando spam tradicional (~ $0.003) • Servicio de renting de un phiser de redes sociales: 60,000 x $0.003 x 4 = $720 por mes Lógica del negocio. Modelo Beneficios: • Asumiendo: Cada “ad” es visto de media 30 veces al día (media diaria de páginas visitadas por perfir MySpace) Click-through rate: 5% Pay per click rate: $0.05 • Beneficios mensuales del programa “Pay per click”: 60,000 ads x 30 vistas diarias = $135,000 por mes x 30 días x 5% x $0.05 Lógica de negocio: Modelo • Sumario Coste: $720 Beneficio: $135,000 Ganancia: $134,280 Indice de productividad(beneficio/coste): 187 Facebook, un objetivo en alza • Desde jun-08 se viene dando un ataque simple pero efectivo: • Desde un ususario facebook infecatado se envía un mensaje con link a un video Al visualizar el video se pide descargar un codec que contiene el troyano que a su vez contiene el gusano Hace unas semanas este método se agudizó: Koobface worm Facebook, un objetivo en alza Facebook, un objetivo en alza • Redireccionado a Google Reader o Picassa, • Google Reader, una lector de noticias Web 2.0 que permite compartirlas. Aumenta la credibilidad. Cibercriminales han creado cuentas de forma automática para conseguir esto Facebook, un objetivo en alza Facebook, un objetivo en alza Facebook, un objetivo en alza • Después el ataque clasico fake-codec (W32/Zlob.NKX!tr.dldr) Los 10 modelos de negocio mas rentables Cibercrimen. Conclusión • Los escemas cibercriminales siguen siendo muy rentables: Altos beneficios Relativamente faciles de implementar Con muy bajo riesgo Tremendamente tentadores • Ayudas • Internet no tiene fronteras • La policía en paises emergentes se centra en crimenes tangibles Cibercrimen. Conclusión Agenda 1 Introducción 2 Elementos implicados 3 Entornos Web 2.0 4 Soluciones 2.0 Fortinet Confidential 51 Soluciones 2.0 El acercamiento ante ataques combinados no se puede realizar con soluciones parciales. Es necesaria protección completa de contenidos. Navegación, un punto círtico de entrada de amenazas: • Antivirus/Antimalware http perimetral complementando al de PC • Webfiltering Correo, entrada clásica de amenzas: • Antivirus • Antiphising • Antispam Sin descuidar funcionalidades clásicas: • Firewalling • IDS/IPS… …y protección ante aplicaciones inseguras, como IM, p2p, … Primera generación: Stateful Inspection Firewall Stateful Inspection firewall proporciona servicio de seguridad a nivel de red Firewall / VPN Fortinet Confidential IDS/IDP IDS/IDP Antivirus Content Filter 53 Los Firewalls no analizan los Contenidos - los Ataques basados en Contenidos… pasan STATEFUL INSPECTION FIREWALL Sólo inspeccionan las cabeceras – p.e. miran el sobre, pero no lo que contiene en su interior PAQUETES DE DATOS http://www.freesurf.com/downloads/Gettysburg Four score and BAD CONTENT our forefathers brou ght forth upon this continent a new nation, n liberty, and dedicated to the proposition that all OK OK OK OK NO escaneado Packet “headers” (A, DE, TIPO DE DATOS, etc.) Fortinet Confidential CONFIDENTIAL Packet “payload” (datos) 54 Seguna Generación: Deep Packet Inspection Deep Packet Inspection típicamente combina funcionalidades de IDS/IPS con Stateful Inspection Firewall Firewall / VPN Fortinet Confidential IDS/IDP IDS/IDP Antivirus Content Filter 55 Algunos Firewalls dicen hacer “Deep Packet Inspection” – pero todavía dejan mucho… DEEP PACKET INSPECTION Inspeccionan los contenidos paquete a paquete – pero fácilmente permiten pasar complejos ataques distribuidos en múltiples paquetes. No detectado http://www.freesurf.com/downloads/Gettysburg OK Four score and BAD CONTENT our forefathers brou ! ght forth upon this continent a new nation, OK n liberty, and dedicated to the proposition that all Fortinet Confidential CONFIDENTIAL OK 56 Nueva Generation: Protección Completa de Contenido Combinando Firewall, IDS/IPS, AV, CF Firewall / VPN Fortinet Confidential IDS/IDP IDS/IDP Antivirus Content Filter 57 Parar los Ataques basados en Contenidos requiere algo más que Deep Packet Inspection PROTECCIÓN COMPLETA DE CONTENIDOS 1. De Paquetes individuales a Contenido inicial http://www.freesurf.com/downloads/Gettysburg Four score and BAD CONTENT our forefathers brou ght forth upon this continent a new nation, n liberty, and dedicated to the proposition that all CONTENIDO NO PERMITIDO Four score and seven years ago our BAD CONTENT forefathers brought forth upon this BAD CONTENT BAD CONTENT NASTY THINGS NASTIER THINGS !! a new liberty, and dedicated to the proposition that all… !! FIRMAS DE ATAQUES 2. Compara con contenidos no permitidos y listas de ataques Fortinet Confidential CONFIDENTIAL 58 …Complete Content Protection requiere una enorme poder de procesado La Seguridad Fortinet es una Revolución, no una Evolución, de las soluciones de seguridad anteriores. 1000 100 10 PODER DE PROCESADO RQUERIDO Email Spam Complete Content Protection Gusanos Troyanos Virus Sofisticadas Intrusiones Deep Packet Inspection Denial of Service Ataques Intrusiones Simples Stateful inspection 1 1990 Fortinet Confidential Contenido Web Inapropiado 1995 2000 2005 59 Soluciones tradicionales - individuales • Ventajas Percibidas • Inconvenientes Múltiples productos sin comunicación entre ellos Incremento de la complejidad de la red y de los costes de operación Elevado TCO Seguridad Completa Rápida reacción a ataques individuales VPN IPS Firewall Servers Antivirus Antispam Users URL Filters Fortinet Fortinet Confidential 61 Fortinet Confidential 62 Fortinet Powerful Centralized Management & Reporting Carrier, MSSP & Large Enterprise Enterprise VPN IPS Firewall SMB & Remote Office FortiGate-1000A – FortiGate-5000 Servers Antivirus FortiGate-200A – FortiGate-800F Antispam URL Filters Users Client Software FortiGate-50B – FortiGate-100A Fortinet Magic Quadrant for Enterprise Network Firewalls, 2H07 Source: Gartner, Inc., “2H07 Enterprise Firewall Magic Quadrant” by G. Young and J. Pescatore, Sept. 13, 2007. This Magic Quadrant graphic was published by Gartner, Inc. as part of a larger research note and should be evaluated in the context of the entire report. The Gartner report is available upon request from Fortinet. The Magic Quadrant is copyrighted Sept. 13, 2007 by Gartner, Inc., and is reused with permission. The Magic Quadrant is a graphical representation of a marketplace at and for a specific time period. It depicts Gartner's analysis of how certain vendors measure against criteria for that marketplace, as defined by Gartner. Gartner does not endorse any vendor, product or service depicted in the Magic Quadrant, and does not advise technology users to select only those vendors placed in the "Leaders" quadrant. The Magic Quadrant is intended solely as a research tool, and is not meant to be a specific guide to action. Gartner disclaims all warranties, express or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose. Fortinet Confidential 64 Antivirus. Certificación VB100 Fortinet Confidential 65 Antivirus. Certificación VB100 Fortinet Confidential 66 Liderazgo y crecimiento By 2011 UTM will be the largest single market with a CAGR of 26.2% Fortinet pioneered the UTM market & has been the WW UTM market leader for the past 3 years -- source: IDC, 2007 Fortinet Confidential Fortinet Confidential Seguridad específica de correo electrónico Fortinet Confidential 68 ¡ Gracias !