Bezpieczne przetwarzanie informacjiw kancelarii prawnej

Tomasz Dyrda

Warszawa, 23 maja 2016

2

Agenda szkoleniaEkosystem IT

Dzisiejsze ataki wcyfrowym świecie

Horyzontbezpieczeństwa Podstawowe pojęcia

dotyczące cyberatakówNajpopularniejsze

techniki atakówPhishing – jak niedać się „złowić”

Inne scenariusze ataku

Sposoby realizacji zyskuz cyberprzestępstw

Studia przypadków

Podsumowanie

3

Ekosystem IT

4Ekosystem IT

Komputer

E-mail

Smartphone

Tablet

Router

Chmura

Internet

5

Dzisiejsze ataki w cyfrowym świecie

6Światowe Badanie BezpieczeństwaInformacji 2015

18 badanie bezpieczeństwa informacji1,755 respondentów z 67 krajów (w tym z Polski)Przeprowadzone czerwiec-wrzesień 2015

Główne wnioskiOrganizacje zrobiły duży postęp w zakresieochrony przed cyberzagrożeniami, aczkolwiek...Nadal potrzeba znaczących usprawnień, z uwagi nazmiany technologiczne i wzrost złożoności ataków

7

56%55%

47%44%44%

41%38%38%38%38%37%

33%32%

29%29%

25%24%

23%22%21%20%

19%13%

11%30%

33%33%

41%45%44%

44%46%

44%45%

42%45%

47%34%

50%44%

39%46%49%

46%37%40%

37%38%

39%21%

11%12%12%11%12%

15%15%

17%18%

21%18%

21%34%

21%27%

35%30%28%

32%42%40%

44%49%50%50%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Data leakage/data loss preventionBusiness continuity/disaster recovery resilience

Identity and access managementSecurity awareness and training

Incident response capabilitiesSecurity operations (e.g., antivirus, patching, encryption)

Security testing (e.g., attack and penetration)Privileged Access management

Securing emerging technologiesSecurity incident event management & SOC

Threat and vulnerability managementMobile technologies

Cloud computingIT security and Operational Technology integration

Privacy measuresInformation security transformation (fundamental redesign)

Third Party Risk managementInsider risk/threats

Security Architecture redesignOffshoring/outsourcing security activities

Fraud supportIntellectual Property

Forensics supportSocial media

Other (please specify)

high medium low

Które z obszarów bezpieczeństwa miały przypisany w ostatnim roku priorytet – Wysoki,Średni lub Niski? (prośba o ocenę każdego z obszarów)

nWysoki n Średni n Niski

Zapobieganie wyciekom danychZapewnienie ciągłości działania

Zarządzanie tożsamością i dostępemPodnoszenie świadomości w zakresie bezpieczeństwa

Reagowanie na incydenty bezpieczeństwaOperacje bezpieczeństwa (np. antywirus, aktualizacja)

Testowanie bezpieczeństwa (np. testy penetracyjne)Zarządzanie uprzywilejowanymi uprawnieniami

Zabezpieczanie nowych technologiiMonitorowanie bezpieczeństwa i SOC

Zarządzanie podatnościami i zagrożeniamiTechnologie mobilne

Przetwarzanie w chmurzeIntegracja bezpieczństwa IT i OT

Ochrona danych osobowychTransformacja funkcji bezpieczeństwa

Zarządzanie bezpieczeństwem stron trzecichZagrożenia ze strony pracowników

Przeprojektowanie architektury bezpieczeństwaOutsourcing funkcji bezpieczeństwa

Wykrywanie nadużyćOchrona własności intelektualnej

Informatyka śledczaMedia społecznościowe

Inne

Badanie Security Trends:Zapewnienie ciągłości działania jestpriorytetem nr 1 (45%)Ochrona przed wyciekami danych tokolejny priorytet (43%)Podnoszenie świadomości użytkowników wzakresie bezpieczeństw jest równieżistotnym priorytetem (34%)

Priorytety w zakresie bezpieczeństwainformacji

8Najważniejsze podatnościi zagrożenia

Główne zagrożenia

44%Wyłudzanie danychuwierzytelniających(phishing)

43% Złośliwe oprogramowanie(malware)

35%Ataki wykorzystującenieznane podatności (zeroday attacks)

Główne podatności

42% Niefrasobliwi lubnieświadomi pracownicy

34% Przestarzałe mechanizmybezpieczeństwa

35% Wykorzystanie technologiimobilnych

9Ryzyka prawne i dyscyplinarne

Cywilna – klienci kancelariiAdministracyjna – GIODODyscyplinarna – Kodeks Etyki Radcy PrawnegoKarna

10Kodeks Etyki Radcy Prawnegoart. 3 ust. 1Naruszenie postanowień Kodeksu stanowi podstawęodpowiedzialności dyscyplinarnej.

art. 23Radca prawny obowiązany jest zabezpieczyć przed niepowołanymujawnieniem wszelkie informacje objęte tajemnicą zawodową,niezależnie od ich formy i sposobu utrwalenia. Dokumenty i nośnikizawierające informacje poufne należy przechowywać w sposóbchroniący je przed zniszczeniem, zniekształceniem lub zaginięciem.Dokumenty i nośniki przechowywane w formie elektronicznejpowinny być objęte odpowiednią kontrolą dostępu orazzabezpieczeniem systemu przed zakłóceniem działania, uzyskaniemnieuprawnionego dostępu lub utratą danych. Radca prawny powinienkontrolować dostęp osób współpracujących do takich dokumentów inośników.

11

Real Hackers

12

Horyzont bezpieczeństwa

13

13%11%

11%

10%

10%

46%

Hi-Tech

Usługi profesjonalneMedia i rozrywka

Usługi finansowe iubezpieczenia

Sprzedaż detaliczna

Pozostałe:w tym edukacja, przemysłfarmaceutyczny, obrona ikosmonautyka, transport iprzemysł budowlany

Źródło: M-Trends 2016

Cele cyberatakówPodział na branże

14

Styczeń 2016

Luty 2016

Zatrzymanie CharlieTheUnicorn -przestępcy zajmującego siędostarczaniem kont słupów naToRepublic

Hollywoodzkie centrum medycznesparaliżowane przez ransomware

Najważniejsze wydarzeniaw cyberbezpieczeństwie

Włamanie do Banku CentralnegoBangladeszu (81mln USD) Apple vs. FBI: Apple

zobowiązane do dostarczeniaśrodków umożliwiającychodszyfrowanie iPhone SyedaFarooka - terrorysty, który wgrudniu 2015 zastrzelił 14osób.

15

Marzec 2016

Kwiecień 2016

Szpital w Baltimore zaatakowanyprzez ransomware

Szpital w Kentucky sparaliżowanyprzez atak hakerski

Panama Papers - wyciek danychz kancelarii prawnej Mossack Fonseca

Włamanie do hostingu 2be.plprowadzące do niedostępności

infrastruktury klientów, a w efekcieupadku firmy

Wyciek danych 50 mln obywateliTurcji

16

Maj 2016

Wirus zatrzymuje pracę niemieckiejelektrowni atomowejGundremmingen

Zhakowano stronę internetowąKomitetu Obrony Demokracji

(KOD); wyciek danych z kontamailowego Mateusza Kijowskiego

Włamanie na zbiornik.com; wyciekdanych

Wyciek danych 93 mln obywateliMeksyku

Wyciek danych 4 mln użytkownikówserwisu Naughty America

Seria ataków DDoS (blokady usług)na polskie banki

17

Czerwiec 2016

Zablokowana próbawyprowadzenia pieniędzy przez

system SWIFT z komercyjnegobanku

Atak phishingowy na klientówBZWBK ułatwiony przez zmiany wpraktyce uwierzytelnianiaprzelewów ekspresowych

18

0

50

100

150

200

250

300

350

400

450

Liczba ataków na urządzenia Apple

Atak iCloud

Luki w MacOSX

Podatności ibłędy iOS

Tendencja wzrostowaataków na mobilneurządzenia Apple

Ataki na Apple

19

Podstawowe pojęciadotyczące cyberataków

20Podstawowe pojęciaHacker – osoba wyszukująca i wykorzystująca lukibezpieczeństwa w oprogramowaniu

Black hat (zły hacker) – działania bezprawne

White hat (dobry hacker) – działa zgodne z prawem

Podatność, luka – słabość systemu IT, która pozwala hackerowidostanie się do systemu. Sama w sobie nie jest atakiem.

Exploit – program wykorzystujący luki innych systemów, dziękiktóremu hacker może przejąć kontrolę nad systemem i danymi

21Złośliwe oprogramowanie (1)

Koń trojańskiPozornie nieszkodliwenarzędzie, które okazujesię być szkodliwąaplikacją

Umożliwia dostęp dozainfekowanej stacji

Złośliwe oprogramowanie

Wiele typów i odmian

Ciągły rozwój

Zdalne zarządzaniekomputerem ofiary

Działa bez wiedzy i zgodyużytkownika

Haker może zdalnie wysyłaćpliki, zbierać dane,podmieniać komendy

Monitoruje akcjeklawiatury

Ofiara nieświadomazagrożenia

Używany do kradzieżydanych wrażliwych,np. PIN

Malware

Trojan Backdoor Keylogger

22Złośliwe oprogramowanie (2)

Malware

Oprogramowanieszyfrujące

Szyfruje konkretnetypy plików nakomputerze ofiaryZa odszyfrowanieplików atakującymoże żądać okupu

Złośliwe oprogramowanie

Wiele typów i odmian

Ciągły rozwój

Programyszpiegujące

Zbiera informacje oużytkowniku bez jegowiedzyCzęsto przechwytywane sąinformacje o hasłach czyzwyczajach internetowych

Zbiera dane oaktywnościinternetowejWersje, na któremożna wyrazićzgodęInstalacja np. wramach programówfreeware

SpywareRansomware

Adware

23Modelowy schemat ataku

Rekonesans

Atak

Instalacja Komunikacja Kopiowanie

Uruchomienie

Zdalne logowanie dosystemu

Kopiowanie danych

Spakowanie danych dokontenerów chronionychhasłem

Tygodnie Godziny Tygodnie Godziny

Użycie kradzionychkont

Atakowanienowych, podatnychurządzeń

Zainstalowanieoprogramowania

Dodanienowych kontInstalacjaskanerów

Kliknięcie wlinkaOtwarciezałącznika

Zdobycie informacji

Rozpoznaniesystemów

Znalezienie lukWysłaniewiadomości

Skanowaniepodatności

Urządzeniaprzenośne

24Jak długo trwa atak?

146 dni Średnio tyle zajmujewykrycie cyberataku*

53%Włamań jestidentyfikowanych dziękistronom trzecim*

*Żródło: Mandiant 2016 Threat Report

25Wycieki danych - definicja

Do wycieków danych możemy zakwalifikować sytuacje, w których:

Dane dostają się w ręce osoby nieuprawnionej do ich posiadania

osoba nieuprawniona zobaczyła dane,

skradziony został fizyczny nośnik z danymi,

hakerzy wykradli dane,

osoba posiadająca dane przez przypadek opublikowała je wogólnie dostępnych źródłach,

dane są w posiadaniu osoby, która nie powinna mieć do nichdostępu.

26Największe wycieki danych

32 000

50 000

70 000

76 000

77 000

92 000

94 000

130 000

145 000

152 000

0 20 000 40 000 60 000 80 000 100 000 120 000 140 000 160 000

Ashley Madison (2015)

Evernote (2013)

Target (2014)

Wojsko USA (2009)

Sony PSN (2011)

AOL (2005)

T.J.Maxx (2007)

Heartland (2009)

eBay (2014)

Adobe (2013)

Źródło: Statista, Media Reports

27

Wyciek danych z kancelarii Mossack Fonseca -upublicznienie dokumentów, w tym informacji o klientach,ich aktywach i działalności

Panama Papers (1)

Kwiecień 2016

Ujawniono powiązaniaklientów Mossack Fonsecaz rajami podatkowymi

Opublikowano dane200tys. przedsiębiorstw

Wśród opublikowanychdanych, informacje o 12obecnych i byłychgłowach państw i rządów

28Panama Papers (2)Wolumen wynosi ok. 2,6 TB (terabajta) danych. Strukturadokumentów i danych jest następująca:• Maile – ok. 4,8 mln• Bazy danych – ok. 3 mln• PDFy – ok. 2,1 mln• Pliki graficzne – ok. 1,1 mln• Dokumenty tekstowe – ok. 0,3 mln

W sumie powyższe dane stanowią ok. 11,5 mln dokumentówi innych plików.

29Wycieki danych w Polsce

Prywatne danekapitana ABW

Dane z symulatoragiełdowegoGPW Trader

2 mln umówpożyczkowych zfirmy viasms.pl

Dane polskichcelebrytów z firmyFit & Eat

Dane z portaluzbiornik.com

Dane klientów PlusBank

Dane z kancelariiDrzewiecki, Tomaszeki Wspólnicy

Dane klientówT-Mobile

30

Najpopularniejsze techniki ataków

31Ransomware

Oprogramowanieszyfrujące pliki

Często rozsyłanyjako załączniki dowiadomościemail

Zainfekowanemogą być plikipobierane zInternetu

Celem jestotrzymanie okupuw zamian zaodszyfrowaniedanych

32

Znaczny wzrostliczby ataków

Stale nowe wersjeoprogramowania

Celem otrzymanie okupuza odzyskanie danych

2013

2014 2016

2015

RansomlockUrausy

CryptolockerCryptodefence

Cryptowall

Reventon

Lockdroid

Virlock

Teslacrypt

CTB Locker

Lockscreen

Cryptvault

TOX

Teslacrypt2.0

HiddenTear

Chimera

Torrentlocker

Dmalock

73V3N

Locky

Samsam

KerangerPowerware

PetyaTeslacrypt X

Hydracrypt

Radamant

RokkuJigsaw

Cerber

Ransomware – obecne zagrożenie

33

Krótki film o złośliwymoprogramowaniu

34

Jeden z ulubionychsposobów nakradzież tożsamości

Ogromny zasięg zograniczonąmożliwością kontroli

Infekowaniekomputerów poprzez

podpinaniezłośliwych stron dosieci reklamowych

Trudno odróżnićzłośliwą i nielegalnąod zwykłej, legalnej

reklamy

Malvertising

Malvertising

35

Phishing – jak nie dać się „złowić”?

36

40%

Maili phishingowychjest otwieranych wciągu godziny* odotrzymania

78%Ataków jest związanychz podszywaniem siępod zespoły IT**

*Źródło: 2016 NTT Group Global Threat Intelligence Report**Żródło: Mandiant 2015 Threat Report

Phishing

37Wszystko zaczyna się od phishingu

Phishing

Malware

Złamaniezabezpieczeńdanychwrażliwych

Atak APT

Złamaniezabezpieczeńsystemówbankowych

Inne ataki

Ransomware

Adware

38Schematy ataków phishingowych (1)

1. Zainfekowana strona internetowa

Otrzymaniewiadomości email

Treść skłania ofiarędo kliknięcia na link

Odwiedzenie stronyskutkuje

ściągnięciem iinstalacją malware

Odnośnikprzekierowuje na

zainfekowanąstronę internetową

39Przykłady ataków phishingowych (1)

1. Zainfekowana strona internetowa

40Schematy ataków phishingowych (2)

2. Wysłanie poufnych danych na podany adres email

Otrzymaniewiadomości email

Treść skłania ofiarędo odpowiedzi na

email

Dane poufnedostają się w ręce

hakerów

A dalej do podaniapoufnych danych wwysyłanym emailu

41

2. Wysłanie poufnych danych na podany adres email

Przykłady ataków phishingowych (2)

42Schematy ataków phishingowych (3)

3. Zainfekowany załącznik

Otrzymaniewiadomości email

Treść skłania ofiarędo otwarciazałącznika

Załącznik jestzainfekowany

Otwarcie załącznikapowoduje instalację i

uruchomienie malware

43

3. Zainfekowany załącznik

Przykłady ataków phishingowych (3)

44Schematy ataków phishingowych (4)

4. Przekierowanie na spreparowaną stronę

Otrzymaniewiadomości email

Po podaniuwymaganych danych

trafiają one dohakerów

Treść skłania ofiarędo kliknięcia na link

Odnośnikprzekierowuje na

stronę internetowąprzypominającą stronę

np. banku

45

4. Przekierowanie na spreparowaną stronę (1)

Przykłady ataków phishingowych (4)

46

4. Przekierowanie na spreparowaną stronę (2)

Przykłady ataków phishingowych (5)

47Dobre praktyki – jak postępować

Nie otwieraćzałącznikówwiadomości odnieznanych nadawców

Sprawdzać adresy, doktórych przekierowująlinki w otrzymywanychwiadomościach

W razie wątpliwościnie klikać na linki, nieotwierać załączników

Nie wysyłać poufnychdanych doniezweryfikowanych ipodejrzanych odbiorców

48Atak socjotechniczny

Atak socjotechniczny

Atakujący nakłania ofiarę do wykonania jakiejś czynności

„Łamanie ludzi a nie haseł”

Używając socjotechniki można np. uzyskać od ofiary danepotrzebne do logowania w zaufanych serwisach

49

Atak w praktyce

50

Inne scenariusze ataku

51Inne scenariusze ataku (1)1. Złośliwe urządzenie

2. Złośliwy punkt dostępu WiFi

Ofiara otrzymujependrive (np. jako

materiałymarketingowe)

Podpięcie pendrivepowoduje

uruchomieniemalware

Malware zarażakolejne podpinane

nośniki

Infekcjarozprzestrzenia się

na innychużytkowników

Ofiara podpina się dosieci (np. chcącominąć firmowe

środkibezpieczeństwa)

Atakujący rozgłaszawłasną sieć WiFi na

terenie firmy

Atakującymonitoruje i

modyfikuje ruch wramach sieci

Atakujący przechodzido klasycznych technik

(podmiana stron,kradzież danych

logowania)

52Inne scenariusze ataku (2)3. Wyłudzenie dodatkowych środków uwierzytelnienia

4. Niepoprawne zarządzanie utylizacją dokumentów

Atakujący wywołujena komputerze

ofiary fałszywe oknoproszące o wpisanie

kodu SMS

Atakujący posiadadostęp do komputeraofiary, nie ma dostępu

do kodów SMS

Atakujący możezasugerować

instalację złośliwejaplikacji mobilnej

Atakujący uzyskujedostęp do zasobów

chronionychdodatkowym

uwierzytelnieniem

Dane poufne nie sąobjęte odpowiedniąprocedurą utylizacji

Atakujący posiadadostęp do odpadków

danej firmy (np.firmy zbierającej

makulaturę)

Atakujący uzyskujedostęp do poufnych

danych

Dane mogą zostaćwykorzystane dodalszych ataków

(rekonesans) lub byćźródłem wycieku

53

Sposoby realizacji zysku z cyberataku

54Motywacje atakujących

Zdobyciepieniędzy

Zdobyciekonkretnej wiedzy

Zdobycie poufnychdanych

Powodyosobiste

32%

18%16%

14%11%

6%3%

0%

5%

10%

15%

20%

25%

30%

35%

Zyskfinansowy

Zakłóceniedziałalności

Kradzeżdanych

osobowych

Kradzieżwłasności

intelektualnej

Kradzieżdanych

poufnych

Nie wiem Inne

Źródło: State of Cybersecurity, Implications for 2016, Cybersecurity Nexus

55Sprzedaż zdobytych informacji

Numery kart kredytowych

Dane do logowania (credentials)

Własność intelektualna (technologie, patenty, rozwiązania)

Dane dotyczące infrastruktury IT zaatakowanej firmy

Dane osobowe użytkowników

Okup za niepublikowanie/odszyfrowanie danych

56Korzyści pozafinansowe

Zakłócenie działalności biznesowej

Chęć zniszczenia biznesu

Działania przeciw bezpośredniej konkurencji

Sprawdzenie się jako hacker (script kiddies)

Satysfakcja osobista (zemsta, zazdrość, itp.)

57Bitcoin – waluta hakerów

Cyfrowa waluta oparta o protokoły kryptograficzne

Całkowicie zdecentralizowana (web of trust), bez organuzarządzającego

Szansa na monetyzację czarnego rynku

Korelacja między liczbą ataków i ofiar a kursem Bitcoina

Przeliczalny na klasyczne waluty (kantory bitcoin)

58

Studia przypadków

59Wyciek danych z kancelarii prawnejWrzesień 2015

60Atak na kancelarię w prasie

61

Temat: Pytanie o współpracę i zakres działalności?

Witam,Piszę do Państwa w sprawie uzyskania informacji na temat obsługi dopiero co powstającego oddziałuterenowego w Polsce naszej firmy. Powierzono mi zadanie zebrania informacji oraz nawiązania kontaktu zpotencjalnymi współpracownikami dla naszego przedsiębiorstwa. Kontakt znalazłem za pośrednictwemsieci, interesuje mnie na tym etapie wstępna informacja co do zakresu oraz cen Państwa usług. Czyistnieje pewnego rodzaju „Cennik Firmowy”, który mogą Państwo przedstawić?

Jeśli będzie potrzeba informacji z naszej strony z przyjemnością dostarczę dokument ze szczegółowymopisem w języku polskim wymagań/zaleceń postawionych przez firmę. Tymczasem, mógłbym uzyskać odPaństwa pełen zakres świadczonych usług? Sprawa dotyczy przedsiębiorstwa gospodarczego na terenieRzeczpospolitej.

Czekam na Państwa odpowiedź oraz liczę na owocną współpracę.

Pozdrawiam,Marek BłaszczykKoordynator Techniczny w PolsceEuroLogisticCourtensdreef 339, 4040 Herstalpolska@eurologistic.be+0471 55 84 19+0471 55 84 22

Atak na kancelarię (1)

62

Temat: Eurologistic, szczegóły współpracy dla Kancelarii?

Witam ponownie,Na wstępie chciałbym przeprosić za wydłużony czas odpowiedzi, jesteśmy jeszcze w fazie organizacyjnejspółki. Kieruję do Państwa wiadomość już z osobistej skrzynki, aby utrzymywać korespondencję w jednymmiejscu.

[…] Rozumiem, że dalej są to ogólne informację, wystąpiłem jednak z prośbą do centralnego biura obsługiz udostępnieniem szczegółowego rozpisu zadań (aktualnych oraz nadchodzących) dla Państwa kancelarii,załączona jest tam również umowa wstępna, która oczywiście może podlegać negocjacji. Uwzględniłeminformację otrzymaną od Państwa i w odpowiedzi również dodano do dokumentu nasze oczekiwania co dokosztów współpracy, niezależnie czy będzie ona przebiegać na zasadach okresowych lub też podpisaniastałego kontraktu.

Plik podpisany jest cyfrowo i tylko do wglądu dla Państwa.

http://docs.logisticservers.eu/?fname=polska_filia_eurologistic_uslugi_wymagania.doc

Proszę o zapoznanie się z dokumentem, niezależnie od czasu który potrzebują Państwo na przedstawienieoferty pozostaję do dyspozycji. Odpowiedź jednak może się wydłużyć o okres kilku dni z racji urlopupracowniczego.

Z poważaniem,Marek Błaszczyk

Atak na kancelarię (2)

63

1. Atak 2. Eskalacja 3. Rezultaty

Dostęp do danychprywatnych pracowników

Nawiązanie relacji biznesowej zofiarą

Skłonienie ofiary do otwarciazałącznika wiadomości

Dostęp do akt sprawprowadzonych dla Klientów

Dostęp do skrzynek emailpracowników

Schemat ataku na kancelarię prawną

Phishing

Instalacja złośliwegooprogramowania

Przejęcie kontroli nadinfrastrukturą IT

Infrastruktura ITkancelarii

64

Żądanie okupu w zamianza niepublikowanie i trwałeusunięcie skradzionychdanych

Atakujący zyskał dostęp dodanych wrażliwych kancelarii,

w tym danych klientów

Publikacja „próbki”wykradzionych danych naforum w DarkWeb, w celuuwiarygodnienia ataku

Konieczność zmianyzabezpieczeń w sieci

kancelarii aby zapobiec kolejnymatakom

Konsekwencje ataku

65Atak na routery domoweLata 2014-2015

66Atak na routery domowe w prasie

67

1. Atak 2. Eskalacja 3. Rezultaty

Nasłuch komunikacji

Zamiana tekstu

Nakłonienie użytkownika dopodania danych do logowania

do systemu bankowego nafałszywej stronie banku

Dostęp do sieci na prawachadministratora

Wykradzenie danych dologowania na prawachadministratora

Monitorowanie sieci

Przekierowywanie DNS

Podmiana numerów kontbankowych w schowku

Podmiana numerów kontbankowych w trakcie ichwypełniania w systemie

Zdobycie danych wrażliwychużytkownika

Schemat ataku na routery domowe

Wykorzystanie luk wurządzeniach

Przejęcie kontroli nadrouterem

68

Atakujący możeprzekierować połączenie zbankiem na inny serwer DNS(np. stronę założoną przezsiebie w celu zdobycia danych)

Atakujący uzyskuje dostęp dohaseł administratora sieci

Zainicjować ataki typuphishing i pharming

Atakujący ma możliwośćmonitorowania zdarzeń w sieci

Może zmieniać parametryruchu sieciowego

Konsekwencje ataku

69Przypadek Dyrektora HR

70Schemat incydentu

1. Atak 2. Eskalacja 3. Rezultaty

Użytkownik zostaje przekierowanyna zainfekowaną stronę

Użytkownik ignoruje alertyantywirusa

Pliki użytkownika zostajązaszyfrowane

Użytkownik odwiedza stronęInternetową korzystającą z sieci

reklamowej

Automatycznie ściągnięte izainstalowane zostaje złośliwe

oprogramowanie

Za odszyfrowanie plikówatakujący żąda okupu

Atakujący tworzy stronęinternetową, którejodwiedzenie skutkujezarażeniem (exploit kit)

Podłączenie złośliwejstrony do dużej siecireklamowej

71

Za przekazanie kodudeszyfrującego atakującyżąda zapłaty określonejsumy

Pliki na zainfekowanymkomputerze zostają

zaszyfrowane

Po pewnym czasie hasłodeszyfrujące wygasa i niema możliwości odzyskaniadanych

Konieczność wynajęcia firmy,która pomoże odszyfrować

dane dyrektora HR, zawierającedane wrażliwe pracowników

Konsekwencje incydentu

72

Podsumowanie

73Przetwarzane danych-rekomendacje

Komputer

E-mail

Smartphone

Tablet

WiFi

Chmura

Internet

74

Rozdzielenie urządzeń służbowych i prywatnych

Komputery i urządzenia mobilne• Szyfrowanie danych• Stosowanie antywirusa i „zapory ogniowej”• Zakładanie użytkownika i hasła/PINu• Kopie zapasowe

Poczta elektroniczna/Chmura• Korzystanie z renomowanych dostawców• Stosowanie „mocnych” haseł• Wybieranie płatnych usług

Internet/WiFi• Unikanie publicznych sieci• Zabezpieczenie własnej sieci WiFi

Przetwarzane danych-rekomendacje

Komputer

Smartphone

Tablet

E-mail Chmura

WiFiInternet

75

Pytania?

76Dziękuję za uwagę

Tomasz Dyrda

Ernst & Young Business AdvisoryForensic Technology and Discovery

Services

Tel. +48 22 557 87 46Email: Tomasz.Dyrda@pl.ey.com

Dyrektor