презентація - IGF-UA
Download
Report
Transcript презентація - IGF-UA
Кібер-атаки в Україні
Аналіз за грудень 2013 – вересень 2014
Гліб Пахаренко
gpaharenko (at) gmail.com
2014-10-01
Unifying the
Global Response
to Cybercrime
Звідна інформація для учасників IGF-UA
Найважливіші проблеми. Досвід революції , окупації Криму, війни РФ проти України показав, що найбільшими та невирішеними
проблемами у галузі кібер-безпеки є:
Незахищеність критичної інфраструктури, особливо від фізичних атак;
Широкі можливості РФ щодо збору конфіденційних даних, що обробляються в інформаційних системах;
Висока залежність від програмного забезпечення виробництва РФ;
Висока кількість заражених вірусами та неправильно сконфігурованих систем в українському сегменті Інтернет, що
використовуються для кібер-атак;
Неспроможність протидіяти зловмисному використанню інформаційних технологій спецслужбами РФ, особливо для
пропаганди екстремізму, найму терористів та їх спілкуванню;
Економічна неефективність існуючої системи захисту інформації в державі.
Наслідки зловмисних дій. Найбільше від атак на інформаційну інфраструктуру постраждали медіа, фінансові та державні
установи:
Атаки на кабельні мережі запобігали мовленню ТБ та радіо, нормальній роботі СЄП НБУ.
Ддос-атаки запобігали публікації новин і важливої інформації на медіа та державних сайтах.
Витік конфіденційної інформації, особливо через мобільні технології заважав бойовим діям сил АТО.
Безперешкодне використання терористами Інтернету значно підсилює їх ефективність.
Кількість кібер-атак значно зросла з початком революції. Перехід на хмарні технології дозволив ефективно протидіяти Ддосатакам.
Мобілізація суспільства. Українське суспільство активно підтримує державу у розбудові системи кібер-безпеки:
Волонтери надають ІТ-обладнання та консультації силам АТО;
ГО «ІСАКА Київ» співпрацює з державними органами задля створення ефективних норм у галузі кібер-безпеки.
Першочергові заходи. Державні та бізнес організації повинні зробити наступні першочергові кроки:
1. Відстежувати атаки та обмінюватись інформацією про їх деталі;
2. Підтримати проекти по зменшенню кількості заражених систем і неправильно сконфігурованих серверів в Україні;
3. Ініціювати фільтрацію іноземних інтернет-адрес, що постійно беруть участь в атаках.
4. Зменшити ризики використання програмного забезпечення з РФ.
5. Запровадити плани безперервної діяльності медіа, фінансових та державних ІТ-ресурсів в зонах бойових дій.
Unifying the
Global Response
to Cybercrime
2
Найбільш небезпечні – фізичні атаки
Фізичні атаки. Найбільших негативних наслідків завдали атаки на кабельну інфраструктуру, центри обробки даних та
користувачів ІТ-систем. Приклади:
Практика вилучення державними органами обладнання з офісу «Батьківщини», газети «Вісті», дата-центру «Парковий»
блокувала роботу установ.
Підпал колодязі біля ТБ центру в Києві завадив мовленню та Інтернет зв»язку.
Атаки терористів на кабелі, ТБ вежі, рахункову палату НБУ в зоні АТО завадили мовленню, блокували роботу СЄП.
Вилучення мобільних пристроїв правоохоронцями під час революції та терористами призвели до небезпеки для їх
власників.
Підпал офісу «Русского радио».
Атаки російських спецслужб на кабелі «Укртелекому» в Криму.
Захоплення будівлі міненергетики під час революції могло призвести до інцидентів в електромережі держави, на атомних
станціях (згідно заяви міністра енергетики).
Збій у комп'ютерній системі в КГГА призвів до її знеструмлення(згідно заявим Попова).
Атаки на банкомати «Приват-банку».
ДДОС-атаки. ДДОС-атаки були дієвими тільки впродовж короткого часу, потім ресурси навчились захищатись від них.
Атаки на сайт ВР, що не давали змогу своєчасної публікації законів.
Атаки на головні ресурси новин країни.
Атаки на інтерфейси клієнт-банків, для їх блокування та відволікання від атак на клієнт-банки.
Злам інформаційних ресурсів. Кількість публічної інформації про злами дуже обмежена:
Повідомлення про троянську програму «Уроборос» в державних установах;
Атака на сайт ЦВК;
Злами поштових скриньок та облікових записів представників політичних партій , чиновників та військових.
Атаки на мобільні технології. Новий тренд – атаки за допомогою мобільних технологій:
Зміна маршрутизації речового трафіку МТС, щоб він проходив через РФ;
Флуд дзвінків та СМС-повідомлень на трубки політиків;
Флуд СМС на трубки протестувальників на вул. Грушевського.
Розповсюдження вірусів через мобільні СМС-повідомлення.
Збір даних про перемовини та позицію сил АТО для планування артобстрілів та атак.
Unifying the
Global Response
to Cybercrime
3
Спецслужби РФ ефективно використовують Інтернет
Спецслужби РФ та їх найманці ефективно використовують мережу Інтернет та інформаційні технології за наступними
напрямками:
Пропаганда. Спецслужби РФ проводять активну пропаганду в Інтернеті:
•
Спеціальні сайти розповсюджують відверту брехню та викривлену інформацію про стан подій в Україні;
•
На головних світових медіа-ресурсах кожну новину про Україну супроводжують тисячі антиукраїнських коментарів;
Безпечний зв'язок. Терористи використовують програми на смартфонах для зв»язку, котрий не можуть перехопити АТО.
Кібер-беркут. Регулярно приходять повідомлення про атаки кібер-беркуту на інформаційні ресурси України та
публікуються вкрадені дані.
Цензура. На окупованих територіях спецслужби РФ вимагають від провайдерів блокувати про-українські ресурси.
Криміналістика. Терористи аналізують дані в комп'ютерах та мобільних пристроях українських активістів та використовують
ці дані для їх переслідування. Були захоплені пристрої та ключі спеціального зв»язку державних органів України.
Злочини. На окупованих територіях збільшується кількість шахрайства проти мобільних операторів.
Збір даних. Спецслужби РФ активно збирають інформацію в російських соціальних мережах, платіжних системах,
поштових сервісах.
Нерозкритий потенціал . РФ має великий та досі незадіяний потенціал для проведення ефективних кібер-операцій:
В Україні широко розповсюджене ПЗ виробництва РФ, для якого немає гарантій від програмних закладок Антивіруси
Касперського та Др. Веба, Бухгалтерія 1С, Словники та розпізнавання тексту від Аббі, інтернет-банкінг БІФІТ та ін.
Російські компанії інтегратори працюють на ринку в Україні: Інфорсистеми Джет, БПС та ін.
Українські сайти використовують лічильники та статистку з російських пошукових сервісів, автоматично завантажуючи їх
програмний код своїм користувачам;
Поштова система Вебмані встановлює у користувача свій цифровий сертифікат, що дозволяє розшифровувати
перехоплені дані;
Мобільні оператори підконтрольні РФ;
Масовані атаки накшталт Грузії та Естонії не відбувалися;
Атаки на критичну інфраструктуру накшталт Стакснет не відбувалися;
Методика вибору параметрів державного шифру ДСТУ знаходиться в РФ;
Дистрибуція ІТ-обладнная проходить через РФ.
Unifying the
Global Response
to Cybercrime
4
Держава та бізнес діють неефективно проти кібер-загроз
Нижче наводяться головні проблеми українського суспільства, що не дозволяють протидіяти кібер-загрозам.
В приватному секторі. Великі ФПГ, фінансові установи приділяють увагу захисту даних та виділяють певні ресурси на ці потреби.
Але існує низка проблем:
Практично відсутній процес обміну деталями кібер-атак та більш глибокого їх дослідження;
Існує велика кількість заражених та неправильно сконфігурованих систем, що беруть участь в Ддос-атаках;
Через дії правоохоронних органів сервераи виносяться за кордон;
Швидкість реагування на кібер-загрози низька (кібер-злочинці тижнями зкачували дані із неоновлених серверів українських
компаній після виходу інформації про вразливість в програмі шифрування);
Відсутнє масове використання методів обміну шифрованими повідомленнями електронної пошти.
В державному секторі. Державні органи не можуть організувати належного захисту від кібер-загроз:
Існуюча система стандартів та процес їх реалізації у галузі безпеки морально застаріла, відірвана від бізнес-практик, не
гарантує фінансово обґрунтованих та надійних мір захисту.
Запровадження адекватного рівня захисту в державних органах не виконується.
Процес розслідування кібер-злочинів має великий ризик порушення прав громадян, шкодить бізнесу та не дозволяє
ефективно розслідувати злочини в правовому полі України та за її межами.
В державному секторі використовується програмне забезпечення та сервіси РФ, чи нелегальне ПЗ виробництва російських
хакерських груп.
Спеціалісти в державних органах не мають достатніх компетенцій для реалізації заходів із кібер-безпеки.
Відсутня належна координація дій між різними державними підрозділами у галузі кібер-безпеки.
Використання інформаційних технологій для підсилення ефективності АТО мінімальне.
Співробітництво на рівні держав, приватного, громадського та академічного секторів. Наразі мінімальний обсяг
співробітництва між різними установами ринку кібер-безпеки.
Відсутній процес ефективного громадського обговорення державних ініціатив у галузі захисту інформації;
Відсутні спільні державні та громадські ініціативи з підвищення культури кібер-безпеки;
Міжнародний рівень підтримки України у розслідувані кібер-злочинів проти неї низький;
Участь українських ВНЗ в міжнародних проектах з кібер-безпеки мінімальна;
Україна не бере участь в програмах ЄС та не залучає донорську технічну допомогу на проекти з кібер-безпеки
Unifying the
Global Response
to Cybercrime
5
Державні ініціативи у галузі кібер-безпеки не достатні
Державою запроваджена низка ініціатив у галузі кібер-безпеки, але вони недостатні.
Нормативні акти. Державними структурами розроблені нормативні акти, але надзвичайно низької якості.
Законопроект «Про засади інформаційної безпеки України»
Законопроект «Про основні засади забезпечення кібернетичної безпеки України»
Законопроект «Про боротьбу з кіберзлочинністю»
Проект указу Президента України «Про стратегію забезпечення кібернетичної безпеки України»
Проект указу Президента України «Про доктрину інформаційної безпеки України»
Про затвердження Стратегії розвитку інформаційної простору України»
Указ Президента України №449/2014
Указ Президента України №744/2014
Недоліки нормативних актів. Вищезгадані нормативні акти не вирішують задачу кібер-безпеки країни та мають спільні недоліки:
Відсутній належний рівень обговорення з громадськістю та в експертному середовищі
Не наводяться належні фінансові розрахунки для аналізу поточного стану кібер-безпеки, та запланованого після
запровадження нормативного акту
Відсутній ризик орієнтований підхід, при якому видатки на заходи безпеки порівнюються із потенційним негативним впливом
та цінністю інформації, що захищається
Не гармонізується модель відносин між державними органами у галузі безпеки: ДССЗЗІ, СБУ, МВС, РНБО,ЗСУ,ДАЕПУ, НБУ,
та ін.
Не запроваджені заходи заради підвищення ефективності АТО
Привноситься високий рівень порушення прав та свобод громадян
Не стимулюється внутрішній ринок товарів та послуг у галузі кібер-безпеки
Не вирішується проблема десятків застарілих та неактуальних документів НД ТЗІ
Unifying the
Global Response
to Cybercrime
6
Першочергові заходи у галузі кібер-безпеки
Державні та бізнес організації повинні зробити наступні першочергові кроки:
У громадському секторі.
1. Відстеження атак та обмін інформацією про їх деталі;
2. Проекти по зменшенню кількості заражених систем і неправильно сконфігурованих серверів в Україні;
3. Фільтрація іноземних Інтернет-адрес, що постійно беруть участь в атаках.
4. Обмеження використання програмного забезпечення з РФ.
5. Мережа галузевих команд реагування на інциденти кібер-безпеки.
У державному секторі.
1. Запровадження зручних для використання в приватному секторі стандартів кібер-безпеки (особливо для захисту критичної
інфраструктури) на основі визнаних світових стандартів;
2. Створення незалежної урядової комісії з метою контролю дотримання прав громадян під час реалізації заходів кібер-безпеки
(наприклад, комісія з контролю прослуховування та перехоплення даних);
3. Розробка плану легалізації програмного забезпечення в органах державної влади, надання звіту суспільству щодо
програмного забезпечення, що використовується в кожному органі державної влади та ступеню його ліцензування;
4. Обмеження використання іноземних веб-додатків співробітниками українських державних органів (поштових скриньок,
соціальних мереж, використання лічильників, банерів);
5. Уникнення дублювання функцій кібер-безпеки та кібер-операцій в військових, правоохоронних та інших державних органах
за рахунок створення центру компетенцій у галузі кібер-безпеки та кібер-операцій.
6. Механізм відключення абонентів від мережі Інтернет, що беруть участь в кібер-атаках. Механізм повинен враховувати шкоду
для абонента у разі відключення, порядок погодження відключення з галузевими командами реагування, ризик зловживання
механізмом з боку правоохоронних органів.
Спільні ініціативи.
1. Партнерство та плани безперервної діяльності в медіа-секторі України з метою гарантування:
• безперервного мовлення у зоні дій терористів та стихійних лих;
• донесення інформаційних повідомлень державних органів аудиторії в постраждалих районах;
2.
Можливість доступу приватних дослідників до деталей кібер-атак та очищенню мереж заражених комп’ютерів.
Unifying the
Global Response
to Cybercrime
7
Про доповідача та подяки
Гліб Пахаренко – спеціаліст з кібер-безпеки та захисту даних. Має міжнародні сертифікації CISA, CISSP. Учасник
правління київських відділень асоціації аудиту інформаційних систем (ISACA Kyiv Chapter) та відкритого проекту з
безпеки веб-додатків (OWASP Ukraine). Модератор форуму та організатор перших редакцій конференції
Українського суспільства спеціалістів з інформаційної безпеки (Ukrainian Information Security Group). Учасник
команди зі змагань з інформаційної безпеки DCUA.
Я - НЕЗАЛЕЖНИЙ КОНСУЛЬТАНТ, ШУКАЮ ЗАМОВЛЕННЯ НА АУДИТИ БЕЗПЕКИ
Надаю подяку наступним організаціям:
APWG EU chapter (Anti-phishing working group European Union chapter)
ISACA Kyiv Chapter, www.isaca.org.ua
OWASP Ukraine, www.owasp.org/index.php/Ukraine
DefCon.org.ua
Команді СЕРТ ДССЗЗІ, cert.gov.ua
Учасникам Українського суспільства спеціалістів з інформаційної безпеки
Unifying the
Global Response
to Cybercrime
8