Symantec sustine o prezentare despre Cyber Defense la Forumul National de Securitate

Posted by Zoltán Márton on

Air Force Cyber Command online for future operationsIn cadrul celei de-a doua editii a Forumului National de Securitate, ce se desfasoara in zilele de 21-22 octombrie, in Bucuresti, Ilias Chantzos, Senior Director pentru Relatii Guvernamentale si Afaceri Publice, pentru Europa, Orientul Mijlociu si Africa, Symantec, va sustine prezentarea “Crearea unei aparari cibernetice eficiente.”

Prezentarea va sublinia importanta crearii sigurantei si strategiilor de aparare cibernetica intr-o perioada in care securitatea cibernetica a luat amploare, iar mediul electronic este vazut drept o amenintare de cel mai inalt grad de risc in tot mai multe tari. Chantzos va discuta, totodata, si despre tendintele in securitate, inclusiv despre whitepaper-ul recent lansat ce dezvaluie analiza asupra unei echipe de hackeri profesionisti, cu capabilitati avansate, numita Hidden Lynx.

Hidden Lynx este un grup foarte sofisticat de hackeri “de angajat”, format din 50 pana la 100 de persoane, ce operareaza din China. Grupul ofera sevicii complete si metode de atac personalizate – inclusiv atacuri de tip zero day si watering hole – pentru activitati specifice de furt de informatie de la o gama larga de tinte atât din rândul companiilor, cât si a guvernelor. Hidden Lynx abilitatile necesare pentru a sparge unele dintre cel mai bine protejate organizatii din lume prin folosirea unor tehnici de atac de ultima ora si n-a ezitat sa atace computere extrem de bine protejate din industria de aparare. Exemplul cel mai semnificativ este compromiterea certificatului digital de securitate al firmei de securitate Bit9, o piatra de temelie in strategia de ajungere la tintele finale din bazele industriale de aparare.

Ilias Chantzos, senior director pentru Relatii Guvernamentale si Afaceri Publice, Symantec: “Crearea de capabilitati de aparare electronica include un plan national de cyber-defense ca parte din strategia nationala de securitate, indentificarea infrastructurii critice care trebuie protejata, cooperarea cu sectorul privat care, in modul cel mai probabil, se va ocupa de gestionarea infrastructurii, crearea unor platforme de distributie a informatiei si educarea utilizatorilor”.

In calitate de Senior Director al Symantec pentru programe de Relatii Guvernamentale si Afaceri Publice pentru Europa, Orientul Mijlociu si Africa (EMEA), Chantzos reprezinta Symantec in fata corpurilor guvernamentale, autoritatilor nationale si organizatiilor internationale, oferind consultanta pe probleme de politici publice cu privire la securitatea IT si existenta si managementul riscului de date.

image004Luptand cu Botnet ZeroAccess

Botnetul ZeroAccess este unul dintre cele mai mari retele de acest tip existente, prezent pe aproape 1,9 milioane de computere, indiferent de zi, dupa cum a observat Symantec in luna august, 2013. O caracteristica-cheie a botnetului ZeroAccess este faptul ca foloseste arhitecturi de comunicatii peer-to-peer (P2P) si command-and-control (C&C), ceea ce ii ofera un grad inalt de disponibilitate si de redundanta. Cum nu exista un server C&C central, e imposibil sa dezactivezi un set de servere ale atacatorilor pentru a neutraliza botnetul. De fiecare data cand un computer este infectat cu ZeroAccess, mai intai apeleaza la conexiunile existente, pentru a afla informatii despre celelalte conexiuni din reteaua P2P. Astfel, “robotii” descopera legaturile si pot propaga instructiuni si fisiere rapid si eficient, prin intermediul retelei. In cadrul botnetului ZeroAccess, exista o comunicare permanenta intre legaturi intre boti. Fiecare interactioneaza cu ceilalti pentru a schimba listele de legaturi si pentru a verifica actualizarile fisierelor, ceea ce inseamna rezistenta inalta la orice incercare de neutralizare.

Neutralizarea botnetului

In martie 2013, inginerii nostri au inceput sa studieze in detaliu mecanismul utilizat de botii ZeroAccess prin care acestia comunica intre ei, pentru a vedea cum ar putea fi distrus botnetul. In timpul acestui proces, a fost examinata o slabiciune ce oferea o modalitate dificila, dar nu imposibila, de neutralizare. Au fost facute mai multe teste in laboratoare controlate si a fost descoperita o modalitate practica de a opri conectarea la botmaster. Intre timp, am continuat sa monitorizam botnetul, iar pe 29 iunie, am descoperit ca o noua versiune a ZeroAccess a fost distribuita prin reteaua peer-to-peer. Versiunea actualizata continea un numar de schimbarii care adresau o serie de defecte de design cruciale, care faceau botnetul vulnerabil. Slabiciunea din mecanismul ZeroAccess P2P a fost discutata de cercetatori intr-un raport publicat in mai 2013, ceea ce ar fi putut cauza actualizarea ZeroAccess, menita sa previna orice incercare de a neutraliza botnetul.

 

Vazand schimbarile una cate una si avand un plan viabil, am avut de ales intre : a incepe propriile operatiuni acum sau a risca sa pierdem initiativa. Pe 16 iulie, am inceput sa neutralizam infectarile ZeroAccess. Operatiunea a avut ca rezultat rapid deconectarea a peste jumatate de milion de boti si a avut un efect serios asupra numarului de boti conectati la botmaster. In testele noastre, a fost inregistrat un timp mediu de cinci minute de activitate P2P pana cand urmatorul bot a fost neutralizat. Pentru a intelege impactul acestei masuri, trebuie sa intelegem pentru ce e folosit botnetul ZeroAccess.

 

ZeroAccess: serviciu de curierat

Avand in vedere constructia si comportamentul, ZeroAccess pare sa fie conceput in primul rand pentru a livra informatii computerelor afectate. Intr-un botnet ZeroAccess, activitatea productiva, din punctul de vedere al atacatorului, este realizata prin descarcarea informatiilor pe computerele compromise, care se reduc la doua activitati de baza, amandoua gandite sa genereze venituri.

Fraudarea click-urilor

Un tip de informatie transmisa este troian menit sa fraudeze click-uri. Troianul descarca reclame online pe computer si genereaza click-uri artificiale pe bannere, ca si cand ar fi fost date de utilizatori legitimi. Aceste click-uri se transforma in plati din sisteme de afiliere sau pay-per-click (PPC).

Bitcoin mining

Moneda virtuala este foarte atractiva pentru infractorii din spatele calculatoarelor. Modul in care fiecare bitcoin “se naste” se bazeaza pe o serie de operatiuni matematice cunoscute sub numele de “mining” (“minerit”) pe computere. Aceasta activitate are o valoare directa pentru botmaster si vine cu un cost pentru victimele care nu suspecteaza nimic; am urmarit indeaproape economia si impactul acestui tip de activitate folosind o serie de computere vechi, disponibile in laboratoarele noastre.

Economia ZeroAccess

Interesati de fenomen, am folosit hardware-ul vechi pe care l-am gasit in birouri pentru a testa ce impact are botnetul ZeroAccess in termeni de utilizare a energiei si care este modelul economic al acestei activitati. Am studiat atat fraudarea click-urilor, cat si “mineritul” bitcoin, pentru ca este, probabil, cea mai intensiva activitate a botilor si are o valoare economica directa pentru botmaster. Am infectat cu ZeroAccess computerele de testare, in laborator, si le-am setat pe “minerit”. De asemenea, am lasat si un computer curat sa ruleze, pentru a avea termen de comparatie. Am legat computerele la echipamente de masurat energie, pentru a vedea cat consuma. Rezultatele au fost foarte interesante.

 

Specificatii computer de testare:

Model: Dell OptiPlex GX620 Pentium D 945 3.4GHz 2GB (Max TDP 95W)

Consum de energie per ora: 136.25 Watts (mining)

Consum de energie per ora: 60.41 Watts (idle)

MHash/S: 1.5

 

Considerand urmatoarele detalii pentru bitcoin mining:

Rata de conversie Bitcoin/USD: 131

Factor de dificultate Bitcoin: 86933017.7712

 

Bitcoin mining

Cu un astfel de sistem, “mineritul” bitcoin cu un singur computer va fi, intotdeauna, un exercitiu inutil. Operandu-l insa pentru un an intreg, ar insemna un randament extrem de slab, de doar 0.41 dolari. Dar daca ai avea la dispozitie 1,9 milioane de boti, ecuatia s-ar schimba complet. Mii de dolari zilnic ar putea fi generati de botnet. Desigur, nu toate computerele vor fi disponibile in fiecare zi, tot timpul zilei, iar fiecare computer din botnet va avea performante diferite, timpi de incarcare diferiti, asa ca suma este mai degraba o aproximare. Estimarea noastra e facuta presupunand ca toti botii ar opera non-stop  si cafiecare dintre ei dispune de aceleasi specificatii precum cele ale computerelor folosite de noi.

 

Fraudarea click-urilor

Botii folositi pentru operatiuni de fraudare a click-urilor sunt foarte activi. In testele noastre, fiecare bot a generat un trafic de aproximativ 257 MB pe ora, adica 6,1 GB pe zi. De asemenea, au generat cate 42 de click-uri false pe ora (adica 1008 pe zi). Desi fiecare click poate fi platit cu un cent sau doar cu o fractiune dintr-un cent, la o retea de 1,9 calculatoare infectate, atacatorul ar avea un castig potential de zeci de milioane de dolari anual.

 

Acum, ca stim valoarea potentiala a acestor activitati, sa vedem si costurile pe care le implica rularea unui astfel de botnet in termeni de cheltuieli cu electricitatea.

 

Costuri cu energia

Pentru a afla costurile suportate de o victima care nu suspecteaza o infectare cu ZeroAccess, am calculat diferentele dintre costurile de “minerit” bitcoin versus costurile pe care le implica functionarea unui computer care nu ruleaza nici un program. Pentru computerele noastre, a reiesit un plus de 1,82KWh in fiecare zi, ceea ce nu e cu mult mai mult fata de cat plateste o victima.

 

Energie folosita in bitcoin mining: (136.25/1000)*24 = 3.27 KWh per zi

Energie folosita de un computer inactiv: (60.41/1000)*24 = 1.45 KWh per zi

Diferenta: 1.82 KWh per zi

 

Aceste cifre sunt niste indicatori al necesarului de energie aditionala pentru bitcoin mining pe un singur computer infectat cu ZeroAccess. Acum, putem extrapola aceste cifre la un numar de 1,9 milioane de boti si putem vedea care este impactul/costul total al intregului botnet.

 

Daca fiecare KWh de electricitate costa $0.162, atunci ar costa $0.29 pentru a “mina” cu un singur bot timp de 24 de ore. Inmultind cu 1,9 milioane de boti, vedem o utilizare de energie de 3,458,000 KWh (3,458 MWh, destula energie pentru peste 111,000 case in fiecare zi.) Aceast cantitate de energie este considerabil mai mare decat productia cele mai mari centrale din California, Moss Landing, care poate produce 2,484 MW si care ar aduce si o factura echivalenta de 560.887 dolari pe zi. In ciuda costurilor, toata aceasta energie ar crea bitcoins in valoare de doar 2.165 dolari zilnic! Cu astfel de sume, nu ar fi deloc economic sa te ocupi de bitcoin mining cu o astfel de confirguratie, daca ar trebui sa platesti singur. Dar daca bitcoin este “extras” pe seama altcuiva, atunci se schimba complet imaginea si devine foarte atractiv.

 

Oprirea unui botnet P2P botnets e grea, dar nu imposibila

Ce ne-a aratat acest exercitiu este ca, in ciuda arhitecturii P2P elastice si a botnetului ZeroAccess, am putut neutraliza o mare parte a botilor. Asta inseamna ca acesti boti nu vor mai putea primi comenzi de la botmaster si sunt, efectiv, indisponibili retelei, nemaiputand sa raspandeasca comenzi, sa se actualizeze sau sa ajute noile scheme de generare de venituri.

 

Intre timp, Symantec a lucrat impreuna cu furnizor de internet si echipe de raspuns in caz de urgente electronice din toata lumea pentru a partaja informatiile si a ajuta sa curete computerele infectate.

 

21 Octombrie, Bucuresti – Symantec Romania

Image from: http://http://www.defencetalk.com/

 

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.