Evil Searching Vít Rusňák Fakulta informatiky Masarykova univerzita, Brno PV177 - Laboratoř pokročilých sítových technologií 14.4.2010 _□ S_-_*_1 -o^o Obsah ► Úvod do problematiky ► Metodologie sberu dat ► Evil searching ► PhishTank ► Rekompromitace ► Obranne strategie Zdroj: Moore T., Clayton R.: Evil Searching: Compromise and Recompromise of Internet Hosts for Phishing. 13th International Conference on Financial Cryptography and Data Security, Barbados, 2009. Úvod do problematiky ► Provázanost internetových vyhledávačů s hrozbou phishingovych ůtoků. ► Opetovne kompromitovane weby a souvislost s předeSlými ůtoky. ► VyuZití nedostatků a chyb webových aplikací s různými cíli -spam, sírení malware, ... ► První prace zabyvající se toůto problematikoů s empiricky podloZenymi daty. Metodologie sběru dat ► Zdroje dat: Anti-Phishing Working Group 1, dobrovolnické organizace (PhishTank 2, Artists Against 419 3), komerCní spoleCnosti. ► Sber probíhal v období ríjen 2007 - březen 2008. ► Demografie phishingových UtokU: 88102 (75,8 %) - kompromitovane web servery (nahraní dat na kompromitovane servery), 20164 (17,4 %) - free web hostingý (výuZití free hostingU, bez kompromitace), 7 927 (6,8 %) - pouZití DNS wildcards a napadených proxý. ► Informace z Webalizeru a web logU. 1http://www.antiphishing.org/ 2http://www.phishtank.com/ 3http://wiki.aa419.org/ Evil Searching ► Využití vyhledávače (nejčastěji Googlu) za účelem škodit. ► Typy: zranitelnost - útok na konkrétní verzi aplikace, u ktere jsou známy bezpečnostní díry, kompromitace - hledaní existujících phishingovyčh stranek, ► shell - hledaní PHP shellu. ► Prokazana souvislost Evil searčhing s nasledne napadenymi strankami. ► Zvýšena frekvenče klíčovyčh slov prokazana i Webalizerem, ovsem i ten ma sve limity (20 nejčastejsíčh klíčovyčh lsov). ► Určit přesne rozsah a vliv evil searčhing je tezke. _□ S_-_*_1 -o^o PhishTank ► Volne dostupný „blacklist" stránek náchylných na phishingove útoky (narozd íl od seznamu APWG, jenž je urCen pouze registrovaným Clenum). ► Permanentne uložene zaznamy od roku 2006, ale i aktualn í (dynamicky men íc í se) seznam. ► Ac se snaz í byt ucelenym seznamem, eviduje zhruba 48 % stranek nachylnych na phishingove utoky. ► Je vyuz ívan sp íse administratory stranek nez utocn íky. Rekompromitace I. ► Léčba symptomů mnohdy nevede k uzdravení - administrátoři se nepoučí z předeSlyčh chyb. ► Rekompromitace stejnym vs. novym způsobem. ► Míra rekompromitace je uvaZovana jako funkce času == pouZita metrika: 4tydenní plovoucí okno. g_-_*_1 -o^o Rekompromitace II. Obranné strategie ► Zahalení detailů cíle ► Testovaní na evil search ► Blokovaní dotazů ► Odstraňovaní znamých phishingových stranek z výsledků vyhledavače ► SniZovaní reputace jiZ jednoů napadených stranek Díky za pozornost.