Pregled spletnih incidentov po letih

1995

Javni zavod Arnes po letu priprav ustanovi SI-CERT, Slovenian Computer Emergency Response Team in začne obravnavati prijave varnostnih incidentov.

1996

Mladi hekerji pričnejo vdirati v tuje sisteme. V Mariboru se oblikuje skupina, ki se druži v popularnem cybercaffeju; honorarno jih kot sistemce zaposlujejo po lokalnih podjetjih, kjer se tudi ne morejo upreti hekanju. Lastniki podjetij in upravljalci internet kavarn imajo zaradi tega v naslednjih letih kar nekaj težav.

Študent vdre v račun dekana fakultete Univerze v Ljubljani in v njegovem imenu pošlje senatu fakultete pismo z grožnjami.

1997 

Pri preiskovanju vdora v sistem v Sloveniji odkrijemo zbirko gesel uporabnikov računalnika v lasti ameriške vojne mornarice (navy.mil). Obvestimo njihov “Information Warfare Center”.

1998

Ker SiOL na številki 0880 zaračunava telefonske impulze prijavljenemu uporabniku (in ne lastniku telefonskega priključka), postanejo ti uporabniški računi predmet kraje in preprodaje, saj omogočajo uporabo interneta na tuj (telefonski) račun. Levjesrčni najde napako v sistemu SiOLa, s katero lahko masovno prestreza gesla in to objavi; izbruhne preprodaja gesel. Primer začnemo preiskovati skupaj s policijo in identificiramo vpletene.

Obravnavamo prve napade onemogočanja (denial-of-service) na cilje v Sloveniji.

1999

Izbruh okužb z NetBus in BackOrifice trojanskima konjema, izdanima leto prej. Omogočata pritajen dostop in nadzor tujega računalnika. Postavimo spletno stran, preko katere lahko uporabniki preverijo, ali imajo trojanca na svojem računalniku.

Na internetu so na voljo orodja za izvedbo porazdeljenih napadov onemogočanja: trin00, Tribal Flood Network in Stacheldraht.

Ameriška vojska zablokira promet tudi iz Slovenije do .mil domene pred bombardiranjem Zvezne republike Jugoslavije.

2000

Skeniranja naslovnega prostora, vdori pri nas in v tujini, ter številni napadi onemogočanja nas polno zaposlujejo.

SI-CERT postane član združenja FIRST (Forum of Incident Response and Security Teams), vodja SI-CERT Gorazd Božič je izbran za predsednika delovne skupine evropskih odzivnih centrov TF-CSIRT, ki jo nato vodi osem let.

Medijsko pozornost ugrabi “I love you” črv, ki se širi preko elektronske pošte. Problem Y2K ob prehodu v novo tisočletje se izkaže za nepotrebno paniko.

2001

Skozi leto se rojevajo internetni črvi, ki se samodejno širijo po računalnikih na omrežju. Najbolj odmeven je kitajski Code Red, sledijo mu Nimda, Sircam, Klez in Frethem. Obravnavamo prva razobličenja spletnih strani in uporabo rootkitov. V enem incidentu najdemo nekaj sto zlorabljenih sistemov v tujini.

SI-CERT gosti kolege iz evropskih odzivnih centrov, združenih v delovni skupini TF-CSIRT.

2002

Preko nezaščitenih posredniških proxy in SOCKS strežnikov tujci razpošiljajo velike količine spam pošte. Izkorišča se slaba zaščita NetBIOS protokola na Windows računalnikih za številne vdore in okužbe.

2003

Luknja v poštnem programu PINE je omogočila dostop do seznama uporabniških imen Arnesovih guest.arnes.si uporabnikov. Na srečo samo do okleščene kopije brez imen in gesel v zaprtem (chroot) okolju.

Microsoft IIS spletne strežnike napade Code Red II črv.

2004

IRC vojne – spopadi slovenskih hekerskih skupin – kulminirajo v napadu na DNS strežnike SiOLa novembra 2004, kar ohromi vse SiOLove uporabnike. Telekom Slovenije prekine politiko molka glede prijav iz SI-CERT in začne se sodelovanje, ki bo v naslednjih letih pomagalo korenito zmanjšati število zlorab in omrežnih napadov v Sloveniji.

“Dialler” virusi po okužbi kličejo na drage plačljive telefonske številke v tujini.

Pojavi se nova vrsta omrežne zlorabe: phishing.

2005

Vrstijo se napadi z ugibanjem gesel iz slovarja preko Secure Shell protokola – slovenski hekerji kot za stavo poskušajo vdreti v čimveč tujih računalnikov. Po večmesečnem zbiranju prijav podatke posredujemo policiji, ki nato opravi okoli 20 hišnih preiskav.

Plačljivi igralni strežniki za igro Call of Duty v Sloveniji povzročijo vrsto medsebojnih napadov onemogočanja med posamezniki v Sloveniji, s katero želijo en drugega izriniti iz “tržišča”.

2006

Prva phishing stran v tujini, ki cilja na komitente slovenske banke.

2007

V seriji napadov onemogočanja na spletna mesta nekaterih ameriških medijev v botnetu sodeluje tudi nekaj računalnikov iz Slovenije. Na SI-CERT opravimo analizo zlonamerne kode, ki omogoči FBI prijetje Bruca Raisleya, ki je nekaj let kasneje obsojen pred sodiščem v ZDA.

Pred prvomajskimi prazniki v Estoniji odstranijo spomenik vojaku iz sovjetskih časov, kar sproži obsežne omrežne napade onemogočanja na državno infrastrukturo, banke in spletne medije. Evropska skupina odzivnih centrov TF-CSIRT ustanovi ad-hoc skupino za pomoč, ki jo skupaj vodita finski CERT-FI in SI-CERT.

2008

Slovenija prevzame predsedovanje EU, zato postane bolj zanimiva za ciljane napade na zaposlene v državni upravi. Opravimo analize poskusov podtaknjenih virusov v teh napadih; sledi se končajo na Kitajskem.

Dan Kaminsky odkrije resno napako v delovanju DNS infrastrukture interneta. Obvestimo 82 skrbnikov omrežij, da imajo ranljive strežnike, ki omogoča ti. “zastrupljanje predpomnilnika”.

2009

Skozi leto se borimo s Conficker okužbami. Ta napredni črv izkorišča več kanalov za širjenje in se izkaže za trdovratnega nasprotnika, posamične okužbe so zaznane tudi pet let kasneje.

Evropski potrošniški center nas prosi za pomoč v primeru specialphones.eu, kjer nekdo goljufa s fiktivno prodajo iPhone telefonov po polovični ceni. S pomočjo estonskega CERT-EE dosežemo hiter umik strani. Za leto 2009 kasneje ugotovimo, da je prelomno pri porastu spletnih goljufij.

2010

SI-CERT podpiše sporazum z Ministrstvom za javno upravo, po katerem prevzame koordinacijo obravnave varnostnih incidentov na omrežju javne uprave in pomaga po vzpostavljanju samostojnega vladnega odzivnega centra za državno infrastrukturo.

Spomladi se med slovenskimi uporabniki Facebooka začne širiti črv, ki ga je napisal Slovenec. V Mariboru policija aretira Matjaža Škorjanca – Iserda, ki je avtor Butterfly Bota (primer Mariposa).

2011

Pričnemo z nacionalnim programom ozaveščanja na področju informacijske varnosti, Varni na internetu. Odziv javnosti je zelo dober, program v naslednjih letih prejme nekaj nagrad.

Ugotovimo, da ima ena od slovenskih elektrarn javno dostopen vmesnik na spletu in vprogramirana stranska vrata, ki lahko omogočijo nepooblaščen vstop in pregled nadzornih sistemov elektrarne. Številne toplotne postaje imajo privzeta gesla na spletnih vmesnikih, ki prav tako omogočajo nepooblaščeno spreminjanje nastavitev.

Na Youtube se znajdejo posnetki zaprtih sej Vlade RS. Google naše zahtevke za odstranitev ignorira, dokler se ne domislimo alternativnega pristopa: lastnik posnetkov je Vlada, torej gre za kršitev avtorskih pravic! Pošljemo DMCA zahtevke pooblaščeni odvetnici v ZDA in problem je hitro rešen.

2012

Zaradi podpisa sporazuma ACTA skupina Anonymous najavi napade na državno infrastrukturo in druge tarče. Prevzamemo koordinacijo, postavimo ovire za napade onemogočanja in obvestimo ponudnike o pričakovanih vrstah napadov. Napadi na gov.si ne uspejo, nekaj je spletnih razobličenj drugih spletnih mest, medijsko pa je kampanja Anonymousa zelo odzivna.

Hekerska skupina iz Bližnjega vzhoda napada banke v ZDA, pri čemer uporabi tudi 63 strežnikov v Sloveniji. Napadi z odbojem izkoriščajo ranljive DNS strežnike. V Sloveniji jih je skoraj 9.000; pričnemo z rednim obveščanjem skrbnikov.

Slovenija prvič sodeluje v vseevropski vaji Cyber Europe 2012 – scenarij vključuje napade na e-banke in omrežno infrastrukturo, odzivni centri pa imajo osrednjo vlogo v vaji.

Število obravnavanih incidentov preseže številko 1000.

2013

Razobličenih je čez 1500 strežnikov malih podjetij, šol in drugih ustanov, ki uporabljajo Joomla sistem za upravljanje vsebin. Ob sprotnem obveščanju skrbnikov pripravimo tudi brošuro “ABC varnosti za lastnike spletnih mest.”

S policijo in Uradom RS za preprečevanje pranja denarja 6 mesecev preiskujemo napade na mala podjetja, preko katerih so storilci ukradli 1,8 mio. €. Analiza škodljive kode, ki jo opravimo na SI-CERT, policijo pripelje do avtorja, Sebastijana Mihelčiča.

“Policijski virus” izsiljuje tudi slovenske uporabnike; na srečo obstaja hiter odklep, s katerim pomagamo čez 300 posameznikom. Na festivalu vsebinskega marketinga POMP 2013 prejmemo nagrado za najboljše letno poročilo in nepričakovano tudi veliko nagrado za projekt leta na področju vsebinskega marketinga.

2014

Leto zaznamuje ranljivost Heartbleed v OpenSSL knjižnici. Ranljivih je okoli 3 % spletnih strežnikov v Sloveniji. Napadi z odbojem se preselijo na protokol NTP. Izsiljevalski virusi postanejo močnejši in šifrirajo podatke uporabnika. Širijo se preko lažnih računov v nemškem jeziku po elektronski pošti.

Sodelujemo na Cyber Europe 2014 in NATO vaji Cyber Coalition 14. Pričnemo z usposabljanjem pripadnikov Slovenske vojske za namene odzivanja na kibernetske grožnje in incidente. Prebijemo mejo 2000 obravnavanih incidentov.

2015

Takoj januarja se prične do sedaj najbolj dolgotrajen “phishing” napad na komitente šestih bank v Sloveniji. Ocenjujemo, da je bilo poslanih okoli 100.000 lažnih sporočil in postavljenih okoli 40 lažnih kopij spletnih mest bank. Teden dni oviramo storilce, nakar ti obupajo in se usmerijo na druge države.

Jeseni mine 20 let od prve prijave incidenta na SI-CERT. Obletnico obeležimo s premiero dokumentarnega filma hekerji.si v koprodukciji z RTV Slovenija.

2016

Število okužb z izsiljevalskimi virusi doseže vrhunec z več kot 40 prijavami primerov na SI-CERT v enem samem mesecu. Različice se vrstijo po tekočem traku, SI-CERT pa postane partner Europolovega projekta nomoreransom.org. Blagajne v lokalih z dodatkom, ki omogoča izdajo fiskalnih računov, so ranljive in nekdo vdre v njih in prične od tam razpošiljati spam sporočila.

2017

Svet pretrese izbruh WannaCry črva, ki izrablja metode iz razkritega arzenala ameriške agencije NSA. Prizadete so številne britanske bolnišnice. Kmalu zatem »udari« še NotPetya, inicialni vektor okužbe je zlorabljena ukrajinska programska oprema za davčna poročila M.E.Doc. Konec leta zaznamuje vdor v informacijski sistem slovenske družbe NiceHash, ponudnika platforme za nakup in prodajo računske moči za rudarjenje kriptovalut. Ukradenih je bilo več kriptovalut v protivrednosti 70 milijonov evrov po takratnem tečaju. Na SI-CERT obravnavamo tudi vdore v strežnike z namenom ilegalnega rudarjenja kriptovalut.

2018

Okužbe izsiljevalskih virusov se preselijo iz individualnih uporabnikov na podjetja. Številčno jih je manj, zato pa so odkupnine občutno višje. Gre za ciljane napade, kjer se pogosto izkorišča nezaščiten dostop preko Windows Remote Desktop protokola. Podjetja so tudi žrtve direktorske prevare (CEO Fraud) in vrivanja v poslovno komunikacijo (BEC, Business Email Compromise).

Po večletnem usklajevanju in preigravanju različnih scenarijev, kako organizirati odzivanje na kibernetske grožnje v državi, je v Državnem zboru brez glasu proti sprejet Zakon o informacijski varnosti, ki udejanja evropsko direktivo NIS. SI-CERT je po tem zakonu nacionalna CSIRT skupina. Istega leta stopi v veljavo Splošna uredba o varstvu podatkov (GDPR).

2019

Izsiljevalski virus Ryuk okuži postaje na omrežju Lekarn Ljubljana in povzroči resne motnje v delovanju poslovalnic, vodstvo ocenjuje nastalo škodo na več kot 2 milijona evrov. Zaposleni na različnih bankah v Sloveniji so tarča ciljanega napada z zlonamerno kodo. Na SI-CERT s pomočjo pridobljenih evropskih sredstev nadgrajujemo infrastrukturo in laboratorij za preiskovanje škodljive kode.

2020

Jeseni mine 25 let od pričetka delovanja SI-CERT in 10 let od snovanja programa ozaveščanja Varni na internetu. Leto se začne s priznanjem Ambasador zasebnosti, ki nam ga podeli Urad informacijskega pooblaščenca. Predsedovanje Svetu Evropske unije v drugi polovici leta prevzame trio Nemčija-Portugalska-Slovenija, vodenje Mreže CSIRT pa prevzame vodja SI-CERT za obdobje vseh 18 mesecev.

Sredi marca je razglašena pandemija COVID-19, delo od doma ima tudi določene varnostne vidike, samo pandemijo pa začnejo izkoriščati tudi storilci za podtikanje zlonamerne kode. Konec leta zaznamuje incident z vdorom v infrastrukturo SolarWinds.

2021

Leto si zapomnimo po vrsti ranljivosti dobavne verige. Nizi ranljivosti Microsoft Exchange strežnika, Exim poštni strežnik, Kaseya sistem za upravljanje z napravami na na koncu še Log4j. Phishing napadi predstavljajo sedaj že skoraj tretjino vseh obravnavanih incidentov, redno pa opravljamo analize škodljive kode, ki se pretežno širi z elektronsko pošto.

Na hekerskih forumih je bila prosto dostopna zbirka podatkov o 533 milijonih uporabnikov družbenega omrežja Facebook. Med temi podatki je tudi 110.177 številk slovenskih uporabnikov.