a perspective for counter strategy against cybercrime and cyber espionage
Post on 18-Dec-2014
975 Views
Preview:
DESCRIPTION
TRANSCRIPT
A perspective for counter strategy against cybercrime and cyber espionage
サイバー犯罪・サイバースパイ活動に対する対処戦略パースペクティブ
http://www.slideshare.net/gohsuket
Gohsuke Takama / 高間 剛典, Meta Associates, 2011年9月
about…
✴Gohsuke Takama✴Meta Associates (http://www.meta-associates.com/)
✴founder & president, connector, analyst, planner
✴ local organizer of security conferences: BlackHat Japan, PacSec
✴ liaison of security businesses: Patch Advisor, SecWest
✴organizer of tech entrepreneur / startup support events
✴ independent tech journalist for over 10 years
✴ for security news: http://blog.f-secure.jp/ http://scan.netsecurity.ne.jp/
✴Privacy International (London, UK http://www.privacyinternational.org/)
✴advisory board member
✴Computer Professionals for Social Responsibility (http://cpsr.org/)
✴Japan chapter founding supporter
"what happened in the last 2 years"
• OperationAurora, ShadyRAT, 三菱重工...
• Stuxnet
• 中東・北アフリカ(MENA) *new
• Wikileaks *new
• Sony PSN
• Anonymous *new
• Indira Gandhi空港
"what happened in the last 2 years"
• OperationAurora, ShadyRAT, 三菱重工... = サイバースパイ活動 = APT (Advanced Persistent Threat)
• Stuxnet = SCADAがターゲット、政治的意図
• 中東・北アフリカ*new=独裁政府が市民と敵対
• Wikileaks *new = 思想的動機: 情報透明主義
• Sony PSN: 実は3段階 = DDoS, 侵入, 攻撃拡大
• Anonymous *new = 思想的動機 + 無組織連帯
• Indira Gandhi空港 = 社会インフラ妨害
"what happened in the last 2 years"infra attack: SCADA
Supervisory Control And Data Acquisition
"whom targeted, why"
• アメリカ政府, アメリカ主要企業
• Sony PSN, Sonyグループ企業
• エジプト, リビヤなど中東・北アフリカの市民
• イランの原子力施設
• インフラ: 空港のコンピューターシステム
"whom targeted, why"
http://paulsparrows.wordpress.com/category/security/cyber-attacks-timeline/
"spoofing, phishing & targeted attack"1次ターゲット 高次ターゲット改変/偽装されたウェブサイト
サイバー犯罪組織、サイバースパイ
基幹企業
金融機関
政府・軍事機関
攻撃
"cybercrime, cyber espionage,primary target = individual"
サイバー犯罪・サイバースパイ活動の1次ターゲットは個人
"know your enemy: techniques"
• phishing
• targeted phishing
• trojan
• spyware
• keylogger
• rootkit
• botnet DDoS
• website spoofing
• content altering
• XSRF
• XSS
• code injection
• IP hijacking
• rogue WiFi AP
• sniffer
"know your enemy: techniques"
http://www.ipa.go.jp/security/vuln/newattack.html
"know your enemy: not just techniques"
• 技術的側面だけを見ていると対抗できない
• who are they?
• disseminate characters キャラクターを解剖
• disseminate motives 動機を解剖
"disseminate characters"
• 国家
• 独裁国家
• 犯罪ビジネス
• 犯罪ビジネス利用者
• 内部犯行
• 愉快犯的グループ行動
• 単独行動
• 思想的動機に基づく行動
• デジタルネイティブ
"disseminate characters"
"disseminate characters"
https://us.mcafee.com/en-us/local/html/identity_theft/NAVirtualCriminologyReport07.pdf
"disseminate characters"how cyber criminals lure talents?
"disseminate characters"
http://www.youtube.com/watch?v=kZNDV4hGUGw http://www.youtube.com/watch?v=2Tm7UKo4IBc
"disseminate characters"
• 国家 = サイバースペースを領土と認識
• 独裁国家 = ネットは国民監視・管理のツール
• 犯罪ビジネス = 技術的高度化、低年齢勧誘
• 犯罪ビジネス利用者 = ボットネットユーザー
• 内部犯行: 不満を持つ従業員→CEO犯行 26%
• 愉快犯的グループ行動 = Lulzsec, TeaMp0isoN
• 単独行動 = Th3J35t3r, On3iroi
• 思想的動機に基づく行動 = Anonymous
• デジタルネイティブvs旧世代の世代間闘争
"disseminate motives"
• 独裁的政府, 官僚優越主義
• 金銭的搾取
• hacktivism, 特異な思想信条
• 独善的ハッキング行為、悪意のある技術開発
"disseminate motives"Law, Market, Norm, Architecture
法、市場、規範、アーキテクチャー
"disseminate motives" Law, Market, Norm, Architecture
"disseminate motives" Law, Market, Norm, Architecture
"disseminate motives" Law, Market, Norm, Architecture
- 個人情報保護法- J-SOX - 刑法の一部改正 - 不正指令電磁気的記録(作成 提供 供用 取得 保管) - 記録命令付き差押え - 接続サーバ保管の自己作成データ等の差押え - 保全要請- 消費者庁: 集団的消費者被害救済制度- 暴力団排除条例
"disseminate motives"
• 独裁的政府, 官僚優越主義 = 権力と支配 Power
• 金銭的搾取 = Money
• hacktivism, 特異な思想信条 = 特異な社会規範 Ideology
• 独善的ハッキング行為、悪意のある技術開発 = 技術的興味、技術的支配 Control
"disseminate motives" Power, Money, Ideology, Control
$Money
Power
Control
Ideology
- 設計された動作- 設計外の動作- 正当な利用- 犯罪的利用
$Money
Power
Control
Ideology
テクノロジー: - 設計された動作- 設計外の動作- 正当な利用- 犯罪的利用
OrganizedCrime
HackerCracker
AutocraticGovernment
ExtremistHacktivist
"disseminate motives" Autocracy, Crime, Extremism, Hacker
$Money
Power
Control
Ideology
テクノロジー: - 設計された動作- 設計外の動作- 正当な利用- 犯罪的利用
OrganizedCrime
HackerCracker
AutocraticGovernment
ExtremistHacktivist
"disseminate motives" Autocracy, Crime, Extremism, Hacker
APT
HacktivismTheftFraud
InfraDisruption
Lulz
ソーシャルメディアの台頭
"social change on Internet"2000年までのインターネット
• メール
• ウェブ
• ホームページ
• 検索
• 掲示板
• オンライン販売
"social change on Internet"2001年からのインターネット
• インスタントメッセージ
• 音声通信
• メール
• ウェブ
• 検索
• 掲示板
• オンライン販売
• ポータル/ダッシュボード
• ホームページ
• ブログ
• ソーシャルネットワーク
• 興味共有ブックマーク
• 画像共有
• ビデオ共有
• マイクロブログ
• 共同編集環境 (Wikiなど)
• ソーシャルゲーム
• 3Dバーチャルワールド
• ビデオストリーミング
"real world vs. social data world"現実世界とソーシャルデータ世界
現実世界 ソーシャルデータ世界
"real world vs. social data world"現実世界とソーシャルデータ世界
ソーシャルメディアへの参加を禁止するのは不可能で無意味:その上でどのように防御するか
"emerging attack techniques"
• malware: ミューテートするマルウェア, 多機能ボットネット
• VM下に潜るルートキット, biosルートキット
• 遠隔操作マルウェア: VNC, Spycam,
• spyware 監視マルウェア : keylogger, GPS logger
• sabotage ware運用妨害マルウェア: Stuxnet
• マルウェア感染ルート= 添付ファイル、偽装ウェブ、USBデバイス
• DDoS: 組織犯罪ボットネットレンタル($8/h~), JavaScriptツール (LOIC)
"layer approach"
•examle: OSI model
4 Content
3 OS/Application
2 Hardware
1 Physical
5 Operation
6 Custom (Habit)
7 Psychological
Tangibles
Intangibles
Human Factor
認知, 心理行動, 習慣運用規則データソフトウェア
"a security layer model "
ハードウェア物理環境
"attacks vs. counter measures "
Psychological APT, espionage, phishing, social engineering ?
Customspoofing, pharming,
phishing spam, XSS, XSRF, spyware, ID spoof/theft
accustomed best practice, awareness, CIRT, PKI,
digital ID, SSL certificate
Operation DoS, spam, ransom-ware, sabotage-ware
routing, filtering, policy, audit, CIRT
Content sniffing, spyware, spam, alteration
encryption, filtering, content-scan, host IDS
OS/ Application
DoS, vuln exploit, 0day, rootkit, botnet
Firewall, network IDS, IPS, anti-virus, OS/app patch
Hardware direct access, tampering, alteration
perimeter guard, anti- tampering, hard seal
Physical lock pick, break in, vandalism
surveillance, perimeter alarm, armed guard
攻撃 対抗策
"state of security methodology"
✴ 境界線型セキュリティの終焉
• (ターゲットが個人になった + モバイル環境)
✴ チェックリスト セキュリティポリシーの終焉
• = 柔軟性が無い (攻撃者はクリエイティブ)
✴ PKIの信頼性は微妙に = DigiNotar事件✴ 今迄のセキュリティモデル = 時間を買うこと
• (対応が来るまで持ちこたえる前提)
✴ 別なセキュリティモデル = 対象・動機を逸らすこと
"perspective for counter strategy"set basic security measures:
✴予防 発見 対応 prevention, detection, response
✴セキュリティ監査の実施✴セキュリティ技術と事件発生の知識共有✴出口防御対策: 侵入を100%防ぐのは不可能✴クラウドの利用: 中小企業の自社サーバー対策
✴プライバシーデータの防御(APTは個人を攻撃)
✴ PET (Privacy Enhancing Technology プライバシー強化技術) の導入
✴ PIA (Privacy Impact Assessment プライバシー影響評価)の導入
"perspective for counter strategy"be creative:
✴攻撃技術手法を学習することで防衛力強化✴ soft power「ソフトパワー」の理解
• リスクコミュニケーション
• 敵意を逸らすPR手法 deflective PR
✴ social intelligence ソーシャルインテリジェンスの利用 (ソーシャルメディアモニター)
✴ counter social engineeringの開発
• 組織内ソーシャルネットワークの展開• 組織内隠語利用の注意
"perspective for counter strategy"be creative: Learn Attack Technique
• 最新のシステム攻撃技術手法を学習することで防衛力強化
• 攻撃技術を知らなければ効果的な防衛策を計画することは難しい
• 攻撃・防御の実践学習 = CTF (Capture The Flag)
• 自チームのサーバーを守りながら、他チームのサーバーに攻撃を仕掛けて点数を競う競技
• アメリカ・韓国など各国でCTF開催、アメリカのDEFCON CTFが有名、
• 日本からもチームが出場
"perspective for counter strategy"be creative: Soft Power
• 「Soft Power」= 1990年にJoseph Nyeにより提唱される
• 軍事力「Hard Power」に対する反対語
• 主に文化的影響や芸術などにより、相手から好意的反応を引き出し優位に立つ能力
• http://en.wikipedia.org/wiki/Soft_power
• マスメディア、ソーシャルメディアを有効に利用して好意的反応を引き出す/敵意を逸らす
• ノルウェーの爆破・乱射テロへの政府発言
• マドリッド列車爆破テロへの市民の反応
"perspective for counter strategy"be creative: Soft Power
"perspective for counter strategy"be creative: Social Intelligence
• ソーシャルインテリジェンスの利用
• ソーシャルメディア・モニター• 最近のhacktivism行動はソーシャルメディア上で行動計画が立てられている
• ソーシャルメディア上での動きを見張ることで、行動動機や使われる戦術をある程度把握できる
• Twitter, Facebook, IRC, Weibo, RenRenなど
"perspective for counter strategy"be creative: Counter Social Engineering
• 人間の認知による攻撃発見の手法開発が必要• ソーシャルエンジニアリング攻撃手法の学習• 組織内ソーシャルネットワークの展開
• 人間の認知ネットワークによる攻撃の発見• 内部コミュニケーションと外部との分離
• 組織内隠語利用の注意• (組織内隠語を使えると大規模組織に侵入しやすい)
"perspective for counter strategy"be prepared: Simulation Exercise
✴ 状況シミュレーション演習の活用
• TableTop Exercise = 会話形式シミュレーション
• コア・マネジメントが参加• Functional Exercise = ロールプレイ演習
• マネジメントクラスが参加• 通常の組織運営の配置で実施
• FullScale Exercise = 現実的シミュレーション
• 組織の全員が参加• 通常の組織運営の配置で実施
references
• CEOs - the new corporate fraudstersds http://www.iol.co.za/sundayindependent/ceos-the-new-corporate-fraudstersds-1.1144649
• PwC Survey Says: Telecoms Are Overconfident About Security http://www.readwriteweb.com/cloud/2011/09/pwc-survey-says-telecoms-are-o.php
• Cyber attack led to IGI shutdown http://www.indianexpress.com/news/cyber-attack-led-to-igi-shutdown/851365/
• Anonymous announces global plans http://www.digitaltrends.com/computing/video-anonymous-announces-global-plans/
• ANONYMOUS - OPERATION PAYBACK - Sony Press Release http://www.youtube.com/watch?v=2Tm7UKo4IBc
• Operation Payback - Anonymous Message About ACTA Laws, Internet Censorship and Copyright http://www.youtube.com/watch?v=kZNDV4hGUGw
• Anonymous: Message to Scientology http://www.youtube.com/watch?v=JCbKv9yiLiQ
• 番外編 本当のAnonymousが知りたいの http://www.atmarkit.co.jp/fsecurity/special/161dknight/dknight01.html
references
• 28 Nation States With Cyber Warfare Capabilities http://jeffreycarr.blogspot.com/2011/09/27-nation-states-with-cyber-warfare.html
• 中国ハッカーが発表した「自律ルール」日本語訳(全文)(Far East Research) http://scan.netsecurity.ne.jp/archives/52017036.html
• CVE-2011-0611 : Adobe Flash Player SWF Memory Corruption Vulnerability http://www.youtube.com/watch?v=DP_rRf468_Y
• MYBIOS. Is BIOS infection a reality? http://www.securelist.com/en/analysis/204792193/MYBIOS_Is_BIOS_infection_a_reality
• McAfee Virtual Criminology Report 2007 http://us.mcafee.com/en-us/local/html/identity_theft/NAVirtualCriminologyReport07.pdf
• ミッコの「Google Zeitgeist」プレゼンテーション http://blog.f-secure.jp/archives/50630539.html
• "The Tragedies in Oslo and on Utøya island" Speech held by King Harald V http://www.kongehuset.no/c27262/nyhet/vis.html?tid=92959
references
• ハッキングコンテストで世界に挑む日本人チーム -- DEFCON CTF 現地速報 http://scan.netsecurity.ne.jp/archives/52002536.html
• PET「電子政府・電子自治体におけるセキュリティーの構築とプライバシー保護」総務省 http://www.soumu.go.jp/denshijiti/pdf/jyumin_p_s3.pdf
• PIA「電子政府・電子自治体のためのプライバシー影響評価」総務省 http://www.soumu.go.jp/denshijiti/pdf/jyumin_p_s2.pdf
• 経産省、ソニーに個人情報の安全管理と再発防止を指導 http://jp.reuters.com/article/topNews/idJPJAPAN-21406320110527
• セキュリティは楽しいかね? GIEシンポジウムについてのメモ http://d.hatena.ne.jp/ukky3/20110829/1314685819
• 「Diginotar」がBlack.Spookとイランのハッカーによりハッキング http://blog.f-secure.jp/archives/50626009.html
references
• Computer virus hits US Predator and Reaper drone fleet http://arstechnica.com/business/news/2011/10/exclusive-computer-virus-hits-drone-fleet.ars
• F-Secure: Possible Governmental Backdoor found, MD5 hashes ("case R2D2") http://www.f-secure.com/weblog/archives/00002249.html
• State-sponsored spies collaborate with crimeware gang | The Unholy APT-botnet union http://www.theregister.co.uk/2011/09/13/apt_botnet_symbiosis/
• NISC情報セキュリティ政策会議10月7日 http://www.nisc.go.jp/conference/seisaku/index.html#seisaku27
top related