網路威脅與資安產業之發展趨勢 洪偉淦 Bob Hung 趨勢科技 台灣區總經理
趨勢科技簡介
Background 1988 Oct: Founded in TW and US 1998 Aug: Listed in Japan OTC 1999 July: Listed in NASDAQ 2000 Aug: Listed stock on the first section of Tokyo Stock Exchange 2002 Sept: Listed the 225-share Nikkei Stock Average
Our Market Share #1 in the Internet gateway market with 36% market share #1 in the mail server market with over 20% market share #1 in file server market with 26% market share
Trend’s Global Coverage Japan Headquarters Taiwan BU Australia BU USA BU UK BU Italy BU Germany BU France BU Argentina BU China BU Brazil BU Philippine Virus Research and Development Center Business Unit Headquarters R&D Virus R&D Center Mexico BU Hong Kong BU Spain BU Korea BU
Transnational September 22, 2003 C.K. Prahalad, a professor at the University of Michigan Business School, calls this the fourth stage of globalization. The company routinely is among the first responders to viruses, often delivering 30 minutes before market leader Symantec (SYMC) Corp., according to GEGA IT-Solutions in Germany, a response tester.
數位世界的演進
The Digital World Around Us 8 Internet Debuts 1993 Standalone PC Microsoft DOS Floppy Diskettes 1980s Ecommerce Takes Hold 1998 Online Banking and MP3s Take Off 1999 Blogging Becomes Hip 2002 Laptops/Smartphones Plus Wireless Go Mainstream 2003 Mosaic allows people to surf the Internet / “Web 1.0” 1993/94 Macros Debut 1995 Instant Messaging/ICQ Debuts 1996 “Web 2.0”/ User Centric Approach to Web Billion Internet Users 2007 Nils Nilsson, director of the Artificial Intelligence Center at SRI International, believes the personal computer, like television, can "greatly increase the forces of both good and evil." Marvin Minsky, another of M.I.T.'s computer expertsSays he: "The desktop revolution has brought the tools that only professionals have had into the hands of the public. God knows what will happen now." Web 2.0 is a tool for bringing together the small contributions of millions of people and making them matter," Mr Grossman said. Late 1980sMid 1990sLate 1990sEarly 2000sMid 2000s
Now The Web Is The Platform To The World! 9
Web WiKI 10
It Is Also The Platform For The Attackers! With the increasing popularity of Web 2.0 and an increasing global Internet population, expect the Web to increase significantly as a threat vector - Multi-Vector - Multi-Component - Web Polymorphic - Rapid Variants - Single Instance - Single Target - Regional Attacks - Silent, Hidden - Hard to Clean - Botnet Enabled
惡意程式 (Malware) 演進
惡意程式演化階段 Before 2001 –Virus, Trojan, Warm… –Mass mailing 2001 –Vulnerabilities Warm Integrate Virus and Hacking 2003 –Spam 2004 –Spyware, Phishing, Pharming 2005 –Botnet 2006 –Web Threat
惡意程式種類
電腦病毒 什麼是電腦病毒 (Virus) – 會將本身複製到其他檔案或開機區的惡性程式 – 當電腦使用者在不自覺的情形執行到已受病毒感染的檔 案或磁片開機時,這個惡性程式就以相同方式繼續散播 出去 – 至於電腦病毒是不是都會在某特定日期發作且破壞電腦 資料 ? 這就和病毒的寫作者如何設計程式有關 ( 如: CIH) , 並不屬於電腦病毒的特性
特洛伊木馬 什麼是特洛伊木馬 (Trojan Horse) – 特洛伊木馬程式就不像電腦病毒一樣會感染其他檔案, 特洛伊木馬程式通常都會以一些特殊管道進入使用者的 電腦系統中,比如螢幕保護程式、算命程式、電腦遊戲 等,然後伺機執行其惡意行為(如格式化磁碟、刪除檔 案、竊取密碼等)。在定義上,特洛伊木馬不會自我複 製,也不會主動散播到別的電腦裡面
駭客工具通常會偽裝成一些有 趣的小程式,然後由駭客送出 或使用者自行從 Internet 下載 駭客 駭客工具是一種具有特殊目的惡性程式,它可以 設計來做遠端遙控或挖掘某些系統的後門等等。 Internet Net Hack Tools are usually disguised as by hackers or downloaded from the Internet 這些經過偽裝的程式可以取得 使用者電腦系統中的重要資料 ,並偷偷的回傳給駭客 These interesting programs can access the User’s system, get 它也可以暗地打開某些通訊埠 (port) ,作為駭客自由進出你的 電腦系統的後門,進而隨意存 取你系統裡面各種重要的檔案 駭客入侵手法
按鍵竊聽器的運作方式 H H ******** whatever 使用者在已經被植 入竊聽木馬的 PC 上 登入網路銀行 網路身分竊犯在另 一部 PC 利用接收器 竊聽的所有按鍵 帳號和密碼得手!
什麼是 DDoS - 分散式阻絕服務攻擊? 攻擊目標 駭客 散播特洛伊木馬, 潛伏在別人的電腦系統 集體發動攻擊 「 Call-in 部隊」 大量佔線, 導致網站無法接 受其他連線 「 Call-in 部隊」 大量佔線, 導致網站無法接 受其他連線 DDoS - Distributed Denial of Service 特洛伊木馬
電腦蠕蟲 什麼是電腦蠕蟲 (Worm) – 電腦蠕蟲也不會像特洛伊木馬程式一樣感染其他檔案, 但『本尊』會複制出很多『分身』,就像西遊記中的孫 悟空一樣,拔幾根毛就可以複制出幾個分身,就像蟲一 樣在網路系統裡面到處爬竄,所以稱為「蠕蟲」,從一 台電腦爬到另外一台電腦,最常用的方法是透過區域網 路( LAN )、網際網路( Internet )或是 來散佈自 己
Internet Mail ServerILOVEYOUILOVEYOU Mass Mailing Virus 疫情爆發 !!! 電子郵件伺服器被灌爆 用戶端檔案被破壞 疫情爆發 !!! 電子郵件伺服器被灌爆 用戶端檔案被破壞
網路蠕蟲興起
CodeRed 病毒, CodeRed 事件 CodeRed 是病毒 CodeRed 所造成的損害,是事件,是資訊災難 大家所經歷以及媒體所談的,是 CodeRed 事件, 而非單指 CodeRed 病毒 系統安全漏洞 敏感又脆弱的網路 軟體廠商之社會責任 Internet 上也會發生土石流
安全弱點 什麼是安全弱點 (Vulnerability) – 安全弱點會讓攻擊者、病毒或其他網路安全威脅更容易 傷害您的電腦。 Microsoft 已公開確認這些存在於其軟體 中的安全弱點,並且發行其相對應的修正檔 (Patch) – 修正安全弱點可協助您有效降低您電腦受到攻擊或病毒 感染的機會 Unpatched Machine Patched Machine First Infected Machine 中毒電腦會發散大量封包,導致網路癱瘓, 即使電腦有安裝 Patch ,也會受到這些中毒電 腦的封包攻擊影響,導致網路存取速度變慢 ,甚至無法存取
Internet網路型病毒 作者、 散播者 ① 製造② 散播、感染、潛伏 ③ 發作,發動隨機攻擊④ 造成阻絕服務效應 ⑤ 透過系統漏洞感染 弱點未補的系統 弱點已補的系統 隨機攻擊 隨機攻擊 隨機攻擊 阻絕服務 阻絕服務 阻絕服務 阻絕服務 阻絕服務 阻絕服務 阻絕服務 ① 製造② 散播、感染、潛伏 ③ 發作,發動隨機攻擊④ 造成阻絕服務效應 ⑤ 透過系統漏洞感染 藉由安全弱點進行攻擊
方興未艾的威脅
Spam Problem: Worse Than Ever 絕大多數的信件都是垃圾 郵件,而且不斷的增加 Zombies 和 Botnets 讓發送 垃圾郵件變的更容易,現 在垃圾郵件幾乎是利用此 管道散播 Spam 新技術不斷的演進, 例如 Image Spam 既使已經採取過濾垃圾郵 件,大量的垃圾郵件訊仍 然佔用了頻寬、伺服器容 量和其他的網路問題
垃圾郵件氾濫 亞洲的垃圾郵件數量持續上揚 1/3 非英文垃圾郵件為中文
Image Spam 圖像式垃圾郵件 圖像取代文字 利用程式隨機改變影像 結合釣魚郵件
網路釣魚攻擊 何謂網路釣魚 (phishing) ? – 網路釣魚是一種偷取您身分的欺騙方式。詐騙人士利用 各種矇騙手段讓您提供他們所需的個人資料;例如信用 卡號碼、密碼、帳號或其他資料。網路釣魚的途徑可以 透過人或電話、在線上則是經由垃圾信件或彈跳式視窗 網路釣魚詐騙的外觀像什麼? – 騙子的詐騙技術進步,他們的網路釣魚郵件與網頁也一 樣。他們通常複製官方網頁的圖像與其他重要特徵 – 網路釣魚詐騙信件的範例:
網路釣魚攻擊 網路釣魚 (phishing) 詐騙的電子郵件特徵 – 確認您的帳號 – 親愛的重要客戶 – 如果您不在 48 小時內回覆,您的帳號將被關閉 – 按一下以下連結來存取您的帳號 Masked URL 住址範例 對於可疑信件的應變方式 – 檢舉可疑信件 – 點選電子郵件中的超連結時請小心 – 使用您個人書籤或直接在網址列上輸入網址 – 當您在網站輸入個人或金融資料前確認安全簽章 (SSL) – 不要在跳出視窗中輸入個人或金融資料 – 經常檢查您的信用卡與銀行明細
網路釣魚有多嚴重? 美國 – 根據 Consumer Reports USA 的報告, 2005 年美國公民 因網路釣魚攻擊而導致的損失高達 6 億 3 千萬美元 德國 – 幕尼黑警方估計,光是幕尼黑一地,線上詐騙活動造成 的損失 (2006 年 1 月至 7 月期間 ) 就已超過一百萬歐元 全球 – 據 Asia.Internet 表示, Gartner Group 的報告顯示 2006 年 網路釣魚攻擊造成的損失總金額高達 $28 億美元 – 據 Anti-Phishing Working Group 統計, 2005 年 9 月釣魚網 站數量為 5242 個,到 2006 年 9 月已激增至 24,565 個
網路釣魚相關調查數據 年度 收到詐騙郵件人數 7900 萬 1 億 9 千萬 平均每年收到詐騙郵件總數 年所得 10 萬美金者: 112 封 一般收入者: 74 封 平均每人損失 257 美元 1244 美元 假網站壽命 1週1週 1 小時 平均追回金額損失的 80% 損失的 54% 詐騙內容 假銀行賭金、樂透、禮品兌換 平均每月釣魚攻擊所發現的間諜軟體約 80 個 188 個 資料來源: Gartner Group 、 Anti-Phishing Working Group
更厲害的網域 / 址嫁接 (pharming) Pharming (網域 / 址嫁接)跟 Phishing (網路釣魚)最大的 不同是,後者仿冒銀行等金融機構發出帶有假網址連結的 E- mail ,而 Pharming (網域 / 址嫁接)採用更難識破的網域 / 址 嫁接手法 因為它是藉由入侵 DNS ( Domain Name Server )伺服器的 方式,植入惡意程式修改 HOSTS 檔案。使用者即使輸入正 確網址,經 DNS 的 IP 位址轉換,也會不知不覺地被導引到偽 造網站 駭客有機會竊取個人的機密資料,在各大搜尋引擎、討論區 以及社交網路網站發佈惡意連結,藉此感染廣大的使用者族 群。網路罪犯還會利用別出心裁的社交工程手法引誘或欺騙 受害者按下連結或造訪已遭感染的網站
Spyware Threat 什麼是間諜軟體 – 所謂的「間諜軟體」是一個統稱,泛指會在未經使用者 同意的情況下進行廣告、收集私人資訊,或修改電腦設 定等行為的軟體 間諜軟體的特徵 – 我不斷看到廣告視窗 – 我的設定遭到更改,而且無法恢復原本的設定 – 我的網頁瀏覽器出現額外的元件,但我並不記得下載過 這些元件 – 我的電腦變得反應遲緩甚至當機
Spyware Threat 分析公司 IDC 在 2004 年 11 月所做的研究,估計大約百分 之 67 的消費者 PC 都已受到某種型式的間諜軟體的感染 間諜軟體可獲得利益,所以氾濫情形日益嚴重 並非所有的間諜軟體都有明確的違法行為 – 使用者常常無心的同意免費軟體的 EULAs Phishing.org Info
熱門的攻擊行為 – Web Threat
Bot – 又稱為魁儡程式或魁儡蟲,遭受感染後常見的行為如同 魁儡或殭屍般可受遠端有心人士操控此電腦 Botnet – 又稱殭屍網路 Zombie Network ,或機器人網路 Robot Network ,即一群 Bot 所組成的電腦網路 – 駭客藉由 IRC 等管道遠端控制受感染的主機,可發動網 路攻擊,包括竊取私密資料、網路釣魚 (Phishing) 、散布 垃圾郵件 (Spam) 、發動阻斷式服務 (DDoS)— 恐嚇被駭網 站等犯罪行為 何謂 Bot & Botnet
僵屍網路大行其道 僵屍網路大行其道 估計有 7 百萬台的僵屍電腦 超過 8 成垃圾郵件的元兇 一年至少引起超過 10 億次的 click fraud 平均每月成長 15%
熱門新聞
名 vs. 利 — 病毒作者大不同 過去的犯罪者 介於 14 至 34 歲的男性 對電腦狂熱 沒有固定的女友 證明自身之電腦能力 今天的犯罪者 為了獲取不法利益 利用僵屍網路 竊盜他人之機密資料或帳 戶密碼 擾亂金融或通訊系統
$500Credit card number with PIN $80-300Change of billing data, including account number, billing address, SSN, name, address and birth date $150Driver's license number Birth certificate $100Social security card $7-25Credit card number with security code and expiration date $7Paypal account ID and password 1000 元美金可以買到什麼? $1000 – 5000Trojan program to steal online account information地下經濟大行其道
Malware for Profit is Driving Web Threats The threat landscape is shifting to Web-borne attacks Source: Trend Micro Worms: Constant in the last 2 years Web Threats: High Volume and Growing
作者、 散播者 ① 攻擊網站漏 洞 ② 植入惡意連 結 藉由知名網站散播 知名網站 ③背景導向惡意連結 瀏覽者 散播 散播 散播 TROJ_ANICMOO 惡意連結 ④植入病毒下載器 SQL injection
被植入下載器的病毒感染源 散播 連線至僵屍網路下載更多的惡意程式 病毒下載器 Downloader 感染 感染 感染 感染 植入病毒及下載器的僵屍電腦 到處是病毒
資安產業的成長步伐
From Good To Great 47 LAN Server Virus Protection Server Protect™ Server-based Virus Protection ScanMail™ Web-based Centralized Management Trend Micro Virus Control System™ Threat Lifecycle Management Strategy Enterprise Protection Strategy (EPS) Trend Micro and Cisco Integrated Security in the Network Network Access Control Network VirusWall™ Reputation Services Gateway Virus Protection InterScan™ Web Filtering InterScan WebManager 2-Hour Virus Response SLA Integrated Gateway Content Security InterScan Messaging Security Suite With Spam Prevention Solution Total Web Threat Protection Web Reputation Services Revenue Growth Net Income Growth ~90B JPY ~20B JPY
危機與挑戰 偵測率與誤判率的抉擇 –594 crisis 具經濟規模的組織犯罪 10 倍數成長的惡性程式 Web 2.0 structure –“In the cloud” service
資安產業的工作型態 動態的競爭環境 – 新威脅 – 新科技 / 新平台 – 新對手 資訊爆炸 隨時改變的專業技能 體驗科技最前線 !!
問題討論