1. From Creeper
to Stuxnet
Tell me and I’ll forget Shahar Geiger Maor,
Show me and I may VP & Senior Analyst
remember
2. A Story With A Beginning And No End
2
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
3. The Beginning –Basic Terminology
Phreaking, Cracking and Hacking…
3
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
4. I’m A Creep(er)!
The very first viruses: Creeper and Wabbit
1971
1960 1970 1980 1990 2000 2010
4
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
5. Captain Zap
first person ever arrested for a computer crime
1981
1960 1970 1980 1990 2000 2010
5
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
6. Machine Of The Year
1982
1960 1970 1980 1990 2000 2010
6
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
7. War Games
1983
1960 1970 1980 1990 2000 2010
7
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
8. Introducing: MOD & LOD
1987
1960 1970 1980 1990 2000 2010
8
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
9. When Ideology meets Ego
1991
1960 1970 1980 1990 2000 2010
9
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
10. Professional conferences
1993
1960 1970 1980 1990 2000 2010
10
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
11. Celebrity
1995
1960 1970 1980 1990 2000 2010
11
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
12. The Rise of Malwares
The Concept Virus
1995
1960 1970 1980 1990 2000 2010
12
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
13. The Rise of Malwares
The Melissa and
Nimda Viruses
http://scforum.info/index.php?topic=2528.msg4935;topicseen
1999
1960 1970 1980 1990 2000 2010
13
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
14. The Rise of Malwares
The ILOVEYOU Worm
2000
1960 1970 1980 1990 2000 2010
14
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
15. The Rise of Malwares
Conficker
2008
1960 1970 1980 1990 2000 2010
15
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
16. The Increasingly Difficult Security Challenge
16000000
14000000 AV Signatures
12000000
10000000 100s of millions of viruses.
8000000 signature based scanning won’t keep up…
6000000
4000000
2000000
0
Jan-09
Jan-00
Jan-01
Jan-02
Jan-03
Jan-04
Jan-05
Jan-06
Jan-07
Jan-08
Jan-10
Jul-00
Jul-01
Jul-02
Jul-03
Jul-04
Jul-05
Jul-06
Jul-07
Jul-08
Jul-09
Source: Symantec
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
17. No Existing Protection Addresses the “Long Tail”
Today, both good and bad software obey a long-tail distribution.
Bad Files Unfortunately neither technique Good Files
works well for the tens of millions of
files with low prevalence.
Prevalence
(But this is precisely where the
majority of today’s malware falls)
Blacklisting works For this long tail a new Whitelisting works
well here. technique is needed. well here.
Source: Symantec
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
18. Growing Amount of Malware –Lower Rate of Detection
Submission-ID: 2009- Submission-ID: 2010-
12-10_22-01_0002 01-15_22-14_0001
src: AV-Test.org src: AV-Test.org
AV Engine Time To Detect Time To Detect
Authentium Zero-hour No detection
Avast 24.28 hrs. 2.10 hrs.
AVG 10.18 hrs. 3.52 hrs.
CA-AV No detection Zero-hour
ClamAV 40.82 hrs. No detection
Dr.Web 3.68 hrs. 13.17 hrs.
Eset Nod32 2.35 hrs. Zero-hour
F-Secure Zero-hour 20.03 hrs.
Ikarus 2.55 hrs. 1.90 hrs.
ISS VPS No detection No detection
Kaspersky 6.70 hrs. 14.52 hrs.
McAfee 28.83 hrs. No detection
Microsoft 11.62 hrs. No detection
Norman Zero-hour No detection
Panda 76.48 hrs. No detection
Rising 71.27 hrs. No detection
Spybot S&D No detection No detection
Sunbelt No detection Zero-hour
VirusBuster 4.05 hrs. Zero-hour
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
19. Secured Mediation Kiosks
Source: OPSWAT, STKI’s modifications
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
20. Nor(malware) distribution
Choose any AV
software…
What about the long
tail?
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
21. Nor(malware) distribution
Choose many AV
software…
The long tail problem
remains
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
22. Organized Cybercrime
2009
1960 1970 1980 1990 2000 2010
22
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
23. M&As in the Cyber Underground…
SpyEye made headlines this year when
investigators discovered it automatically searched
for and removed ZeuS from infected PCs before
installing itself
http://krebsonsecurity.com/2010/10/spyeye-v-zeus-rivalry-ends-in-quiet-merger/
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
24. Common “Positions” in the cyber-crime business
Leaders
Hosted
Programmers systems Cashiers
providers
Distributors Fraudsters Money mules
Tech experts Crackers Tellers
http://www.fbi.gov/news/speeches/the-cyber-threat-whos-doing-what-to-whom
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
25. Underground Economy
Products Price
Credit card details From $2-$90
Physical credit cards From $190 + cost of details
Card cloners From $200-$1000
Fake ATMs Up to $35,000
Bank credentials From $80 to 700$ (with guaranteed balance)
From 10 to 40% of the total
$10 for simple account without guaranteed
Bank transfers and cashing checks balance
Online stores and pay platforms From $80-$1500 with guaranteed balance
Design and publishing of fake online stores According to the project (not specified)
Purchase and forwarding of products From $30-$300 (depending on the project)
Spam rental From $15
SMTP rental From $20 to $40 for three months
http://press.pandasecurity.com/wp-content/uploads/2011/01/The-Cyber-Crime-Black-Market.pdf
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
26. Cyber Wars
1990’s-2000’s-2010’s
1960 1970 1980 1990 2000 2010
26
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
27. Growing Number of Incidents -US
Incidents of Malicious Cyber
Activity Against Department of Defense
Information Systems, 2000–2009
http://www.uscc.gov/annual_report/2010/annual_report_full_10.pdf
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
28. Sources of Attacks on gov.il
Source: CERT.gov.il
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
29. Cyber-Warfare is Becoming A Giants’ Playground
http://www.bbc.co.uk/news/technology-11773146
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
31. Advanced Persistent Threat (APT) –RSA Case Study
“Recently, our security
systems identified an
extremely sophisticated
cyber attack in progress
being mounted against
RSA”.
Art Coviello
Executive Chairman, RSA
http://www.rsa.com/node.aspx?id=3872
http://www.nytimes.com/2011/03/18/technology/18secure.html
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
32. Stuxnet: (THE NEW YORK TIMES, 15/1/11)
http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html?_r=2&hp
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
33. Stuxnet Timeline
Eraly 2008: Siemens
cooperated with Idaho
National Laboratory
, to identify the July 2009:
vulnerabilities of Stuxnet began
computer controllers circulating around the
that the company sells world
2008-2009: July 2010: Stuxnet is
Suspected exploits first discovered by
have been created for VirusBlokAda
Siemens SCADA
systems
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
35. Stuxnet in Action: “A Game Changer”
10-30 developers (!!!)
Stuxnet has some 4,000 functions (software that runs an average
email server has about 2,000 functions)
Exploits a total of four unpatched Microsoft vulnerabilities
compromise two digital certificates
• Self-replicates through removable drives
• Spreads in a LAN through a vulnerability in the Windows Print
Spooler
• Copies and executes itself on remote computers through network
shares
• Updates itself through a peer-to-peer mechanism within a LAN
• Contacts a remote command and control server
• modifies code on the Siemens PLCs
• Hides modified code on PLCs
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
36. Vulnerability Timeline
Source: Burton Group
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
37. …Lets talk about Patch Management (PM)
• Mostly Microsoft, security-related patches
• “Its not the deployment, but the whole process evolving” AKA
Pizza Night.
• 20%-50% FTE is dedicated for PM
• Common SLAs: 3…6…or sometimes 12 Months!!
• VIP patches: up-to a week
• Hardwarenon-security patches’ SLA: Where upgradesvendor
support is needed
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
38. Your Text here Your Text here
Shahar GeigerMaor’s work Copyright 2012 @STKI Do Do not remove source or attribution from any or portion of graphic of graphic
Shahar Maor’s work Copyright 2012 @STKI not remove source or attribution from any graphic graphic or portion 38
39. Generic Cyber Attacks
1. IndividualsGroups
2. CriminalNationalistic
background
3. Lots of intervals
4. Lots of targets
5. Common tools
39
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
40. Distributed Denial Of Service (DDOS)
1. Targets
websites, internet
lines etc.
2. Legitimate traffic
3. Many different
sources
4. From all over the
world
5. Perfect timing
40
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
41. Advanced Persistent Threat (APT)
1. Group/ Org./
State
2. Ideological/
Nationalistic
background
3. Multi-layered
attack
4. Targeted
5. Variety of
tools
6. Impossible to
detect in real
time(???)
41
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
42. Security “Threatscape”
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
43. Thank You!
Scan Me To Your Contacts:
43
Shahar Geiger Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic
Notas do Editor
בשנת 1971 נולדת לה תוכנת מחשב מיוחדת במינה בשם Creeperעל ידי בחור בשם בוב תומאס מ BBN Technologies. התוכנה יועדה להעתיק עצמה על גבי מערכות הפעלה מסוג TENEX ולהציג על גבי המסך את המסר: "אני שרץ (creeper), תפסו אותי אם תוכלו!". תוכנה זו שהיתה ניסיונית, לא כוונה במטרה לגרום נזק ממשי אלא כדי לבדוק את פעילותה על גבי המערכות. כדי להסירה, פותחה תוכנה אחרת בשם Reeper.Physorg, The Virus Turns 40 http://phys.org/news/2011-03-virus.htmlתוכנת זדונית וותיקה אחרת היא ה Wabbit. תוכנה (או יותר נכון משפחה של תוכנות) אשר נחשפה גם היא באמצע שנות ה 70 של המאה העשרים שכפלה עצמה במהירות על המחשבים שהודבקו על ידה ומכאן גם שמה. השכפול המהיר הביא בדרך כלל לקריסת המערכת המארחת.מעין שיבוש אותיות של המילה ארנב (rabbit) כפי שנהגתה על יריבו של "באגס באני", הצייד "אלמר פדס": http://jazz.he.fi/jargon/html/W/wabbit.htmlInfocarnivore, The very first viruses: Creeper, Wabbit and Brain, http://www.infocarnivore.com/2010/05/30/the-very-first-viruses-creeper-wabbit-and-brain/
גם עולם הפשיעה והחבלה הטכנולוגית מתפתחים ובעשור זה אנו עדים לעלית מדרגה ברמת התיחכום של הפורצים. בחור צעיר בשם יאן מרפי (Ian Murphy) מצליח לפרוץ למחשבים של חברת הטלפוניה AT&T ולשנות את מנגנון השעות, כך שלקוחות שיבצעו שיחות טלפון בשעות היום יקבלו תעריף מוזל של שעות השפל. מרפי, או בכינויו "קפטיין זאפ", הוא פורץ המחשבים הראשון שהורשע כתוצאה מעבירה מהסוג הזה. Wired, The Greatest Hacks of All Time, http://www.wired.com/science/discoveries/news/2001/02/41630?currentPage=allHack Story, Captain Zap, http://www.hackstory.net/index.php/Captain_Zap
המיחשוב מתפתח במהירות ובתחילת העשורמופיעים עוד ועוד דגמים של מחשבים אישיים. המחשב האישי (personal computer -PC) הופך לכל כך משפיע מבחינה טכנולוגית, עד אשר תופעה זו נבחרת ב 1982 ל"איש השנה" של המגזין Time.גם עולם הפשיעה והחבלה הטכנולוגית מתפתחים ובעשור זה אנו עדים לעלית מדרגה ברמת התיחכום של הפורצים.Low and Mac, Personal Computer History: The First 25 Years , http://lowendmac.com/lowendpc/history/index.shtmlTime Magazine, The Computer Moves In, http://www.time.com/time/magazine/article/0,9171,953632,00.html
הופעת הסרט "משחקי מלחמה" בשנת 1983 הביאה לחשיפה רחבת היקף את תופעת הפריצות למחשבים בארה"ב. הסרט מספר על גאון מחשבים משועמם אשר מנסה לפרוץ לחברה למשחקי וידאו, אך פורץ, ללא כוונה, למערכת מסווגת של צבא ארה"ב וכמעט מביא למלחמה גרעינית. הסרט מציג את ההאקרים בצורה מאוד אוהדת והדמויות והארועים בו מבוססים, לפי חלק מההשערות, על אירועים ואנשים אמיתיים, מה שהצית את דמיונם של צעירים רבים לאחר מכן.IMdb, Plot Summary for WarGames, http://www.imdb.com/title/tt0086567/plotsummaryWebCitation, A Q&A that is 25 years late: David Scott Lewis, the mystery hacker who inspired the film “War Games, http://www.webcitation.org/5v9y5REPI”
LOD ו MOD לקראת סוף שנות ה 80 הולכות ומתגבשות קבוצות אידאולוגיות של האקרים ברחבי העולם ובארה"ב. בשנת 1987 מייסדים מספר צעירים קבוצת האקרים בשם Masters of Deception (MOD). קבוצה זו אשר מקום מושבה בניו-יורק ארה"ב מתמחה בפריצות לכרטיסי אשראי וגניבת פרטים אישיים של מפורסמים. בערך באותן שנים קמה במדינת טקסס בארה"ב קבוצה בשם Legion of Doom (LOD). קבוצה זו נוסדה על ידי ההאקר LexLuthor וחבריה מנו מספר מומחים לפריצות למערכות טלפוניה (Phreakers) ומחשבים. ייחודה של קבוצה זו הוא בהפצה של מספר חוברות טכניות ללימוד עצמי, אשר הביאו להעשרה של הידע בקרב קהילת ההאקרים בעולם מבלי שהקבוצה עצמה גרמה ליותר מדי נזק למערכות שעליהן השתלטה. בסקירה של החוברות הטכניות של ה LOD ניתן לראות כי תחומי הידע של חברי הקבוצה בהחלט נרחבים והם שלטו בכל תחומי התקשורת ומערכות המידע הרלוונטיות בשנות הפעילות שלהם, החל במרכזיות טלפוניה, דרך מערכות UNIX וכלה במערכות main-frame שריכזו את רוב המידע המיחשובי בשנות ה 90 של המאה העשרים.HackDigital, 5 Most Notorious Hacking Groups Of All Time, http://www.hackdigital.com/5-most-notorious-hacking-groups-of-all-time/ZoneAlarm, Famous Hacker Groups , http://blog.zonealarm.com/2011/08/famous-hacker-groups.htmlTelephone Tribute, Phone Phreaking, http://www.telephonetribute.com/phonephreaking.htmlDocDroppers, Legion of Doom (hacking) , http://wiki.docdroppers.org/index.php?title=Legion_of_Doom_(hacking)Textfiles, Electronic Magazines: The Legion of Doom/Hackers Technical Journal , http://www.textfiles.com/magazines/LOD
שתי הקבוצות (MOD, LOD) זכו לתהודה גדולה בקרב קהילת ההאקרים בארה"ב ונחשבו ליריבות. בין השנים 1990-1991 הפכה יריבות זו למלחמה קיברנטית של ממש במה שכונה מלחמת ההאקרים הגדולה. הכל החל לאחר שגורם אנונימי מקרב קבוצת LOD כינה את אחד מחברי MOD "Nigger" ומכאן והלאה במשך יותר משנה ניסו הקבוצות לתקוף אחת את השניה, לפרוץ למחשבים ולמרכזיות אחת של השניה ובעיקר לנסות להביך את היריבים.גורמים מסויימים מתוך עולם ההאקרים ניסו להשכין שלום בין הניצים אולם ללא הצלחה. רק בסוף 1991 הצליחו גורמים שונים להביא להפסה של מובילי הקבוצות (Chris Coggans מ LOD ו Mark Abene מ MOD) ולהרגעת הרוחות. הרגיעה במתחים בין הקבוצות פינתה לחברים מספיק זמן להמשיך במלוא המרץ בפעילות הלא חוקיות שלהם עמוק לתוך שנות ה 90 ואף מעבר לזה. מצד שני, חברי שתי הקבוצות סבלו מרדיפה של רשויות החוק האמריקאים, אשר החלו להקדיש מאמצים למיגור תופעת ההאקרים כבר מתחילת שנות ה 80 ואחדים מהם אף הורשעו בבתי המשפט בגין עבירות שונות.Michelle Slatalla and Joshua Quittner, Masters of Deception: The Gang That Ruled Cyberspace, 64, (Harper-Collins, 1995)Textfiles (Originally by The NY Transfer News Service), New York Computer Crime Indictments , http://www.textfiles.com/news/modbust.txt
התמקצעות -כנסים ותערוכותשיתוף ידע הוא הבסיס להתפתחות טכנולוגית. תחום ההאקינג אינו שונה במובן זה משום תחום טכנולוגי אחר. הזכרנו כבר למעלה את הופעת המגזין Phrack והמגזינים שהופיעו בעקבותיו וכן את החוברות הטכניות שחברי LOD נהגו להפיץ בקרב קהילת ההאקרים. בשנת 1993 עולה הענף מדרגה נוספת בכינונו של הכנס שיהפוך במרוצת השנים לשם דבר בקהילה, DefCon. כנס זה נולד כהתכנסות חד פעמית של מספר קהילות האקרים לחגוג מעבר של אבא של אחד מהם למקום עבודה אחר. השם, אגב, מקורו בצמד המילים "con" –תחילית של המילה האנגלית כנס ו def" " שמסמל את הספרה שלוש על לוח מקשים סטנדרטי של טלפון (כמחווה לפורצי הטלפונים). לשילוב המילים יש משמעות צבאית וכן משמעויות נוספות. כנסי DefConנערכים מדי שנה במשך כשבוע בסוף יולי בלאס וגאס, ארה"ב. כנסי Defcon מורכבים מהרצאות מקצועיות של אנשי מקצוע מהתעשיה וכן מתחרויות פריצה שונות הנערכות תוך כדי הכנס ומזמינות את קהל ההאקרים להשתתף בחגיגה. לצד כנס זה קיימים כנסים חשובים נוספים ובראשם RSA ו Black-Hat. כנס RSAנוסד בשנת 1991 ומתקיים מדי שנה בסוף פברואר בסן-פרנסיסקו, ארה"ב. בשנים האחרונות נוספו כנסי משנה גם בארופה, יפן ואף בסין. למרות שהכנס מופק על ידי חברה ציבורית מתחום אבטחת המידע, התכנים בכנס נקבעים בצורה מקצועית על ידי פאנל של מומחים. גם בכס זה מוצגות הרצאות מקצועיות ומתקיימת תערוכה גדולה של יצרני פתרונות אבטחת מידע. כנס RSA ידוע כבמה מצויינת להכרזות על מוצרים חדשים ורבים מהיצרנים מתזמנים הוצאת גרסאות חדשות בהתאם. אחיהם הצעיר, אך המצליח, של כנסים אלה הוא כנס Black-Hat המדובר. הכנס נוסד בשנת 1997 והפך מכנס בן יום אחד בלאס-וגאס לאירוע מתגלגל בן כמה ימים. הכנס נערך כיום מספר פעמים בשנה במספר אתרים בעולם (בנוסף ללאס-וגאס) כמו אבו-דאבי, ברצלונה וואשינגטון. מארגני הכנס והקהל הרחב מעידים עליו כי מדובר בכנס נייטרלי, ללא נטיות ליצרן כזה או אחר. בכנס ניתן לצפות במצגות של טובי המומחים בתחום וכן להתנסות בסדנאות מקצועיות לפי תחומי עניין באבטחת מידע. כנס זה משמש אכסניה להעברת קורסים מקצועיים בני כמה ימים ורבים מגיעים אליו כדי לעבור הסמכות מקצועיות. בדומה לכנסים דומים בתחום מורכב צוות ההיגוי של Black-Hat ממומחים מהשורה הראשונה בעולם אבטחת המידע אשר מקפידים על הצגת תכנים איכותיים ולא שיווקיים. יו"ר הכנס ומייסדו הוא ג'ף מוס, האקר המוכר בכינוי Dark Tangent, אשר ייסד גם את כנס DefCon לעיל.DefCon, The DefCon Story, http://www.defcon.org/html/links/dc-about.htmlRSA Conference, About RSA Conference , http://www.rsaconference.com/about/Black-Hat, About Black-Hat , http://www.blackhat.com/html/about.htmlBlack-Hat, Black-Hat Review Board , http://www.blackhat.com/html/review-board.html#ButlerCNN Tech, Meet Dark Tangent, the hacker behind Black Hat and DEF CON, http://articles.cnn.com/2011-08-03/tech/jeff.moss.black.hat_1_lulzsec-hacker-moss?_s=PM:TECH
האקר ידוען -קווין מיטניקרוב הציבור נחשף בדר"כ להאקר כמושג ולא ממש לדמות מוחשית שעומדת מאחוריו. רוב ההאקרים פועלים במחשכים, כך הם יכולים להימנע מחיכוכים מיותרים עם מוסדות רשמיים וגורמי אכיפת החוק. מעטים הם המקרים בהם הציבור הרחב נחשף בצורה ישירה להאקר בעל שם ופנים. קווין מיטניק היה אחד מאותם מעטים ששמם הפך שגור בפיהם של רבים בארה"ב של שנות התשעים. מיטניק לא רק היה מוכר, אלא הוא הפך במרוצת השנים לידוען של ממש. למיטניק מיוחסות פריצות לאתרים ומוסדות שונים בשנות ה 80 וה 90 בארה"ב, ביניהם: Sun Microsystems, Pacific Bell, Motorola ואחרים. באוגוסט 2011 התארח מיטניק בתוכנית פופולארית בשם The Colbert Report ובה הוא סיפר על שנותיו הפרועות. בראיון סיפר כי בשל עבירות שונות הוא בילה 5 שנים בכלא פדרלי ועוד שנה אחת במעצר בית מיוחד ללא גישה לטלפון מחשש שהוא מסוכן לציבור. עוד הוא סיפר על התקופה בה הוא נרדף על ידי ה FBI טרם מעצרו. על פי הריאיון, הוא הצליח לפרוץ למכשירי הטלפון הסלולרי של רודפיו ולדאוג להישאר במרחק רב מספיק מהם. בשנת 1995 נעצר מיטניק על ידי ה FBI לאחר מרדף שנמשך יותר משלוש שנים. אחד האנשים שסייעו ללכידתו הוא חוקר ומומחה אבטחה בשם Tsutomu Shimomura שמיטניק פרץ למחשבו. אורך חיו, "הישגיו המקצועיים" והנסיבות הובילו אותו לאחר ישיבה לא קצרה בכלא פדרלי למודל של האקר מחשבים ובהמשך אף ליועץ, לסופר ומרצה מבוקש בכל רחבי העולם. Colbert Nation, The Colbert Report Videos-Kevin Mitnick, http://www.colbertnation.com/the-colbert-report-videos/395003/august-18-2011/kevin-mitnickThe New-York Times, A Most-Wanted Cyberthief Is Caught in His Own Web , http://www.nytimes.com/1995/02/16/us/a-most-wanted-cyberthief-is-caught-in-his-own-web.htmlhttp://mitnicksecurity.com/company.php
וירוס המאקרו הראשון למערכות WINDOWS שהתפרץ בצורה חסרת שליטה במחשבים בעולם הוא הוירוסConcept אשר התגלה ביולי 1995. יש לציין כי לא מדובר בוירוס המאקרו הראשון שהתגלה אי פעם, אולם זהו הוירוס הראשון מסוגו שהתפרץ פרא. Concept פעל על מספר פקודות מאקרו אשר היו נפוצות בעיקר במעבדי תמלילים מסוג Word במערכות הפעלה Windows 6.x, Windows 7.x, Windows 95 ו Windows NT. עבודה עם פקודות מאקרו חסכה לכותבי הוירוסים כתיבה מסובכת יותר בשפת Assembly. כותבי וירוסים המבוססים על הוירוס הזה ניצלו לרעה יכולות מאקרו להעתקה של קבצי Word, אשר הפכו לקבצים פופולארים בשנות ה 90 של המאה העשרים, וכך עברו ממחשב למחשב. Flashing Cursor, The Concept Virus , http://www.chebucto.ns.ca/~af380/ConceptMacro.htmlF-Secure, Virus:W32/Concept , http://www.f-secure.com/v-descs/concept.shtml
http://en.wikipedia.org/wiki/Melissa_(computer_virus)תולעת מחשב שהדביקה דרך דואר אלקטרוני.
http://en.wikipedia.org/wiki/I_Love_YOu_virus
CEF –COMMON EVENT FORMAT
1. Programmers. Who develop the exploits and malware used to commit cyber-crimes.2. Distributors. Who trade and sell stolen data and act as vouchers for the goods provided by other specialists.3. Tech experts. Who maintain the criminal enterprise’s IT infrastructure, including servers, encryptiontechnologies, databases, and the like.4. Hackers. Who search for and exploit applications, systems and network vulnerabilities.5. Fraudsters. Who create and deploy various social engineering schemes, such as phishing and spam.6. Hosted systems providers. Who offer safe hosting of illicit content servers and sites.7. Cashiers. Who control drop accounts and provide names and accounts to other criminals for a fee.8. Money mules. Who complete wire transfers between bank accounts. The money mules may use student andwork visas to travel to the U.S. to open bank accounts.9. Tellers. Who are charged with transferring and laundering illicitly gained proceeds through digital currencyservices and different world currencies.10. Organization Leaders. Often “people persons” without technical skills. The leaders assemble the team andchoose the targets.
below, demonstrates the volume of malicious computeractivity against Department of Defense information systems overthe past decade. Note that not all of the incidents depicted belowspecifically relate to China; the department has not made availablethat level of detail.
ב-2010 נרשמו "רק" אירוע חריג אחד, וזה למעשה ההתקפות שחווינו לאור אירועי המשט הטורקי במאי 2010. מדובר בשבוע שלם של תקיפות מסוג Syn Flood על מספר אתרי Gov.Il מובילים.אם אני מבין נכון את הכוונה שלך בגרף "אירועים חריגים", אז אין לי כזה, וגם כמו שאתה יכול להבין רוב הפרטים רגישים ולא ניתן להוציא אותם החוצה.עם זאת, יש לי כמה פרטי רקע מעניינים על מקורות התקיפה באירועי המשט, אם זה מעניין אותך. אם נתעלם מאירועי המשט, המדינות שתקפו את תשתיות ממשל זמין (על פי כמות תקיפות, לא על פי כמות תוקפים), מתחלקות בצורה הבאה:
Self-replicates through removable drives exploiting a vulnerability allowing auto-execution. • Microsoft Windows Shortcut ‘LNK/PIF’ Files Automatic File Execution Vulnerability (BID 41732)Spreads in a LAN through a vulnerability in the Windows Print Spooler. • Microsoft Windows Print Spooler Service Remote Code Execution Vulnerability (BID 43073)Spreads through SMB by exploiting the • Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874).Copies and executes itself on remote computers through network shares.• Copies and executes itself on remote computers running a WinCC database server.• Copies itself into Step 7 projects in such a way that it automatically executes when the Step 7 project is • loaded.Updates itself through a peer-to-peer mechanism within a LAN.• Exploits a total of four unpatched Microsoft vulnerabilities, two of which are previously mentioned vulnerabilities for self-replication and the other two are escalation of privilege vulnerabilities that have yet to be disclosed.Contacts a command and control server that allows the hacker to download and execute code, including up• dated versions.Contains a Windows rootkit that hide its binaries.• Attempts to bypass security products.• Fingerprints a specific industrial control system and modifies code on the Siemens PLCs to potentially sabotage the system.Hides modified code on PLCs, essentially a rootkit for PLCs.
המטרה בשקף היא להסביר את הביטויים השונים. המילה "סייבר" לא עומדת בפני עצמה. יש לוחמה קיברנטית –cyber warfareיש פשיעה קיברנטית –cyber crimeויש הגנה מפני כל מה שמאיים עלינו במרחב הקיברנטי (חלוקה בין אחריות אישית, ארגונית ומדינה)
ההתקפות הן גנריות, שיטת מצליח. בדרך כלל לא תופרים את ההתקפה לכל ארגון מחדש אלא שולחים קיטים נגועים עם מספר התקפות על כל קיט.רמת האיום פר ארגון היא מתונה יחסית, אך משאבי הארגון ומנגנוני הארגון הם נגזרת של האיום הקיים.