Daniel P. Bagge
HISTORICKÉ ASPEKTY KYBERNETICKÉ
BEZPEČNOSTI
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
úvodem
o Exkurze na NCKB 27.10.
o Zašlete čísla OP na m.ulmanova@nbu.cz
o Předmět BSS469 – EXKURZE
o Celé jméno a číslo OP
o Do 10.10.2015
2
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
repetice
3
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
o Geneze kybernetických hrozeb, historie versus současnost
o Případové studie
o Taxonomie útoků, code based, content based (IW)
o Základní typologie a motivace útočníků
4
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
GENEZE KYBERNETICKÝCH HROZEB
o Cyber is dynamic and new
o Super fast, emerging TTPs every week, always changing
o If you woulkd like to understand it, and thus be secure you
have to look forward – anticipate, be uncoventional, almost a
futurologist
o No sense in looking back
5
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
GENEZE KYBERNETICKÝCH HROZEB
o Cyber is dynamic and new
o Super fast, emerging TTPs every week, always changing
o If you woulkd like to understand it, and thus be secure you
have to look forward – anticipate, be uncoventional, almost a
futurologist
o No sense in looking back
6
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
GENEZE KYBERNETICKÝCH HROZEB
7
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
GENEZE KYBERNETICKÝCH HROZEB
o Cyber "Wake-up Calls"
8
o Morris Worm
o ELIGIBLE RECEIVER and SOLAR SUNRISE
o MOONLIGHT MAZE
o Chinese Espionage
o Estonia and Georgia
o BUCKSHOT YANKEE
o OLYMPIC GAMES/Stuxnet
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
PŘÍPADOVÉ STUDIE
o CUCKOO´s EGG
o Hack U.S. DoE Lab /type Idaho, Livermore, Los Alamos
o Proxy entity/perpetrator from abroad
o Financed by foreign intelligence agency
o Targeted military R&D
o Compromised 40 military and governmental systems
o Honeypots, backtracing and international cooperation over 2
continents
9
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
PŘÍPADOVÉ STUDIE
o CUCKOO´s EGG (1986)
o KGB, CIA, FBI, NSA, AFOSI
o 1 scientist and 75 U.S. cents
o 4 men working as a proxy for the KGB
o Behavioral analysis of intruders
o More information
o https://docs.google.com/file/d/0B_GtD5sFXOcCTkEyOXFy
X09qN2c/edit?pli=1
o https://www.youtube.com/watch?v=EcKxaq1FTac
10
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
PŘÍPADOVÉ STUDIE
o FAREWELL DOSSIER
o 1 insider
o 2 presidents
o 4 intelligence/secret services of sovereign states
o Massive IP theft /years long campaign/
o Trojan horses implementation in hi-end technologies
o CII penetration and disruption
11
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
PŘÍPADOVÉ STUDIE
FAREWELL DOSSIER
o KGB, DST, CIA and others
o 4000 files
o Microchips, semiconductors, ICS/SCADA
o STUXNET style in 1982
o 3 KT of TNT?
12
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
PŘÍPADOVÉ STUDIE
o Shamoon
o RasGas (Qatar) Saudi Aramco (SA)
o Logical error in coding/scripts– amateur employee?
o 30k to 55k compromised/affected computers/servers
o Source – on the shelf and internet fora
o Aramco partners?
o No ICS impact
o Aim – disruption/destruction,
o Lowscale op, largescale impact
13
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
PŘÍPADOVÉ STUDIE
o Careto
o Active since 2007 until January 2014
o Highly modular (Vupen exploit 2012)
o OpSec on unprecedented level
o Platforms affected – Win, MacOS, Linux
o Source – linguistic analysis, esp,port – narco?
o Systems compromised in at least 31 countries
14
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
PŘÍPADOVÉ STUDIE
o Cuckoos egg and CARETO
o 4 hackers, 1 astronomist, 75 U.S. cents
o Highly sophisticated op sec, 7 years operational, world class capability
o Farewell and Shamoon
o Fake SW and components manufacturing, years to carry out
o 1 day – 30k - 50k computers
15
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
GENEZE KYBERNETICKÝCH HROZEB
16
http://smallwarsjournal.com/jrnl/art/understanding-and-countering-nation-state-use-of-protracted-unconventional-warfare
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
PŘÍPADOVÉ STUDIE
o http://map.norsecorp.com/v1/
17
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
GENEZE KYBERNETICKÝCH HROZEB
18
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
TAXONOMIE ÚTOKŮ, CODE BASED, CONTENT BASED
o Advanced persistent threat
o Distributed Denial of Service
o Cross-Platform Malware (CPM)
o Metamorphic and Polymorphic Malware
o Phishing
o Content based „hacking“
19
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
TAXONOMIE ÚTOKŮ, CODE BASED, CONTENT BASED
• Attack patterns
o Crimeware
o Insider and privilege misuse
o Physical theft and loss
o Web app attacks
o POS intrusions
o Payment card skimmers
o Misc
20
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
ZÁKLADNÍ TYPOLOGIE A MOTIVACE ÚTOČNÍKŮ
o Threat Actors – lines of work
o Intelligence, Access, Offensive activities/Intrusions
21
Targeting
Intelligence gathering
Data collection Vulnerabilities Reconnaissance
THREAT ACTORS
Nation state Competitors
Cyber
Criminals
Terrorists Hacktivists Insiders
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
ZÁKLADNÍ TYPOLOGIE A MOTIVACE ÚTOČNÍKŮ
o Threat Actors – lines of work
22
Targeting>>>>
Access
operations
Physical
Supply chain
Physical
infrastructure
Physical
security
Human
Social
engineering
Insider Access
Coercion
Digital
Internal
networks
External
networks
3rd party
infrastructure
Economic
Acquisition
Development
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
ZÁKLADNÍ TYPOLOGIE A MOTIVACE ÚTOČNÍKŮ
o Threat Actors – lines of work
23
Offensive
activities
Espionage Denial Theft
Human
predation
Brand
damage
Sabotage
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
ZÁKLADNÍ TYPOLOGIE A MOTIVACE ÚTOČNÍKŮ
o Threat Actors – lines of work - summary
24
Offensive activities
Access operations
Intelligence
activities
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
ZÁKLADNÍ TYPOLOGIE A MOTIVACE ÚTOČNÍKŮ
25
http://timreview.ca/article/838
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
ZÁKLADNÍ TYPOLOGIE A MOTIVACE ÚTOČNÍKŮ
26
o Hacktivist
o Political gains/points
o Anon, SEA?
o Common attributes:
o Ability/will to capture media attention
o Bold, ambitious, recognizable aesthetics
o Participatory openness
o Surrounding misinformation
o Unpredicatability
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
ZÁKLADNÍ TYPOLOGIE A MOTIVACE ÚTOČNÍKŮ
27
o Hacktivist
o Anonymous
oSplinter formations tech/nontech
oFrom street protests to DDoS
oLimited financial resources and skill sets / taking false
credit
oElusive / unpredictable for threat intelligence
oOps usually linked to IRC channels/Twitter accounts
oSocio political fabric – temporary unrest, hijacked brand
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
ZÁKLADNÍ TYPOLOGIE A MOTIVACE ÚTOČNÍKŮ
28
o Hacktivist
o Syrian Electronic Army
o Loyal hacktivist group to Bashar Al-Assad
o Sophisticated attacks
o Not limited to pro-gov activities
o State sponsorship likely
o Domain name of SEA – Syrian Computer Society, headed by
Bashar
o Toolkit – spear phishing, malware, remote access tools, trojans
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
ZÁKLADNÍ TYPOLOGIE A MOTIVACE ÚTOČNÍKŮ
29
o State sponsored entities
o Backed by govs
o Highly sophisticated, but not always
o Well funded, high skill set
HISTORICKÉ ASPEKTY KYBERNETICKÉ BEZPEČNOSTI
The End.
30
31
d.bagge@nbu.cz