Historia rozwoju cyberprzestępczości (część IV – Nadejście ery nowoczesnego ransomware’u)

Historia rozwoju cyberprzestępczości (część IV – Nadejście ery nowoczesnego ransomware’u)

Druga dekada nowego tysiąclecia rozpoczęła się od wzrostu popularności ransomware’u oraz wykorzystywania kryptowalut do opłacania okupów. W 2017 roku światem wstrząsnęły ataki WannaCry oraz Petya/NonPetya, które sparaliżowały działalność wielu firm i instytucji na całym świecie. Specjaliści Fortinet przedstawiają czwartą i ostatnią część historii rozwoju cyberprzestępczości.

 

2011/12: Reveton

Reveton stał się wzorcem dla współczesnego oprogramowania ransomware, mimo że nie był pierwszym tego rodzaju narzędziem w erze internetu. Jego wygląd, projekt ekranu blokady ze szczegółowymi informacjami o tym co się stało, jak nawiązać kontakt, zapłacić okup i odszyfrować pliki, stały się inspiracją dla kolejnych cyberprzestępców.

2013: CryptoLocker – pojawienie się kryptowaluty jako opcji płatności

CryptoLocker był pierwszym oprogramowaniem ransomware, którego autorzy żądali zapłaty w bitcoinach. Cena za odszyfrowanie plików wynosiła dwa BTC, czyli w 2013 r. od 13 do 1100 dolarów. Pamiętajmy, że był to czas, gdy kryptowaluty były jeszcze w powijakach. Nakłonienie nietechnicznych ofiar nie tylko do zapłacenia okupu, ale również do zrozumienia, jak w ogóle używać kryptowalut, stanowiło często przeszkodę nie do pokonania.

 

2013: DarkSeoul i Lazarus

Rok 2013 to także czas ataków sponsorowanych przez państwa. Jeden z nich, nazwany DarkSeoul, posłużył 20 marca 2013 roku do ataku na koreańskiego nadawcę SBS oraz instytucje bankowe w Korei Południowej. Ucierpiało wówczas również wielu użytkowników usług internetowych, firm telekomunikacyjnych i bankomatów. Atak ten został przypisany północnokoreańskiej organizacji Lazarus, która w 2014 r. zaatakowała również Sony Corporation, wykradając poufne informacje w odpowiedzi na film „The Interview”, w którym wyśmiewano przywódcę Korei Północnej Kim Dzong Una. Zespół Lazarus był także powiązany z atakami na Bank Bangladeszu w 2016 roku. Próbowali ukraść 951 mln dolarów, ale udało im się zdobyć kwotę „tylko” 81 mln dolarów.

 

2015: Browser Locker i oszustwa związane z podszywaniem się pod pomoc techniczną

Pierwsze oszustwa związane z podszywaniem się pod pomoc techniczną oraz różne warianty blokady przeglądarki pojawiły się w 2015 roku. Ataki tego rodzaju imitują działanie oprogramowania ransomware, sprawiając, że ofiary albo wpadają w panikę i dzwonią na podany numer pomocy technicznej do podmiotu działającego w innym kraju jako wsparcie techniczne (i także dokonującego oszustw finansowych) albo po prostu płacą kryptowalutą za „naprawienie” ich systemu.

 

2016: Pojawia się pierwszy botnet IoT

Osławiony Mirai to pierwszy botnet, który atakował urządzenia IoT, a jego głównym celem były routery sieciowe. Był to głównie botnet DDoS odpowiedzialny za paraliż ogromnej części internetu, po tym jak zakłócił dostęp do części usług na całym świecie.

Mirai wzbudził zainteresowanie nie tylko dlatego, że był nowatorski, ale również dlatego, że w krótkim czasie zdołał zbudować globalną armię członków botnetu, co pozwoliło mu przekierować ruch internetowy na atakowane strony z zainfekowanych systemów na całym świecie. To sprawiło, że szczególnie trudno było się przed nim bronić. Różne warianty Mirai wciąż funkcjonują i niestety mają się dobrze – także dlatego, że twórcy Mirai udostępnili jego kod do wykorzystania przez innych przestępców.

 

2017: ShadowBrokers (NSA), WannaCry, Petya/NotPetya

Wyciek danych z Agencji Bezpieczeństwa Narodowego Stanów Zjednoczonych (NSA) spowodowany przez grupę ShadowBrokers był bezprecedensowy i o poważnych skutkach – nie tylko dlatego, że w jego efekcie zostało ujawnione tajne złośliwe oprogramowanie rozwijane przez osoby powiązane z najwyższymi szczeblami amerykańskiego rządu, ale również dlatego, iż przestępcy skutecznie je wykorzystali. Narzędzia te, o kryptonimie „Fuzzbunch”, stanowiły podstawę exploitów opracowanych przez NSA. Niektóre korzystały ze złośliwego oprogramowania znanego jako DoublePulsar – backdoora, który zawierał niesławny exploit „EternalBlue”.

Został on później wykorzystany do rozprzestrzeniania ransomware’ów WannaCry i Petya/NotPetya, co miało katastrofalne skutki. Te warianty były tak destrukcyjne, że spowodowały zamknięcie zakładów produkcyjnych na całym świecie. Do dziś nikt nie zdołał przypisać włamania/wycieku członkostwa w grupie ShadowBrokers żadnej osobie.

 

2017: Cryptojacking

Związek zagrożeń z kryptowalutami początkowo sprowadzał się do użycia ich do płacenia okupów w ramach ataków ransomware lub okradania portfeli z wirtualnymi pieniędzmi. Jednak w 2018 roku pojawiło się nieznane wcześniej niebezpieczeństwo.

XMRig to aplikacja napisana w celu wydobywania kryptowaluty Monero. Jej działanie polega na użyciu cykli procesora do prowadzenia obliczeń matematycznych wykorzystywanych w kopaniu kryptowalut. Jednak cybergangi zaczęły potajemnie instalować XMRig na zaatakowanych maszynach i urządzeniach, a następnie zbierać i agregować wydobyte kryptowaluty dla własnych zysków.

 

2019: GandCrab i pojawienie się oprogramowania ransomware jako usługi

GandCrab zapoczątkował nowe zjawisko w cyberprzestępczości, które doprowadziło do zwiększenia liczby i poziomu złośliwości ataków poprzez masowe udostępnienie za opłatą narzędzi do tworzenia i przeprowadzania ataków ransomware. Twórcy GandCrab starali się osiągnąć dwa cele: uniezależnić się od realnych ataków na przedsiębiorstwa oraz generować większe przychody. Udoskonalili więc model biznesowy znany jako Ransomware-as-a-Service (RaaS). Całą „brudną robotę” wykonują w nim osoby kupujące dostęp do narzędzia, podczas gdy jego autorzy pozostają w tle i pobierają część zapłaconego okupu – od 25 do 40%.

Okazało się to opłacalne dla obu stron, ponieważ autorzy GandCraba nie musieli ponosić ryzyka związanego z poszukiwaniem i infekowaniem ofiar, a „partnerzy” nie musieli poświęcać czasu na samodzielne tworzenie oprogramowania ransomware.

Twórcy GandCrab w czerwcu 2019 r. ogłosili przejście na emeryturę, po tym jak – według nich samych – zarobili 2 miliardy dolarów. Później byli luźno powiązani z przestępcami odpowiedzialnymi za Sodonikibi i REvil, przede wszystkim jako część ataku na Colonial Pipeline latem 2021 roku. Inne godne uwagi warianty RaaS, które pojawiły się po GandCrab, to BlackCat, Conti, DarkSide i Lockbit.

 


Podsumowanie

Jak podkreślają specjaliści z Fortinet, między 1971 r. a początkiem 2000 r. złośliwe oprogramowanie było w większości wykorzystywane do żartów lub prób sprawdzenia przez autorów wirusów, czy stworzone przez nich dzieło zadziała. Na przełomie wieków zjawisko to ewoluowało jednak w stronę bardzo dochodowej cyberprzestępczości, a także ataków organizowanych przez państwa. Zmieniło się także znaczenie terminu „wirus” w stronę współczesnego „złośliwego oprogramowania”, co odzwierciedla ewolucję zagrożeń w ciągu ostatnich 20 lat. Nie jest przypadkiem, że zmiany te zbiegły się w czasie z rozwojem hiperpołączonego świata, w którym obecnie żyjemy. Wkraczając w następną epokę możemy niestety przypuszczać, że zagrożenia nadal będą ukierunkowane na wszelkie modne lub aktualne trendy i rozwiązania techniczne.

 

 

Historia rozwoju cyberprzestępczości (część III – Ataki na systemy przemysłowe)

Historia rozwoju cyberprzestępczości (część III – Ataki na systemy przemysłowe)

Druga połowa lat dwutysięcznych to okres daleko idących zmian w rozwoju cyberprzestępczości. Na globalnej scenie miejsce popularnych wcześniej robaków zaczęły zajmować narzędzia stworzone przez zorganizowane grupy hakerskie, które były nastawione na zysk i zainfekowanie jak największej liczby urządzeń. Był to także czas rozwoju złośliwych narzędzi uderzających w infrastrukturę krytyczną i przemysłową.

Specjaliści z firmy Fortinet przedstawiają trzecią część opracowania dotyczącego historii rozwoju cyberprzestępczości.

 

2005: Mytob/Zotob – robak, backdoor i botnet w jednym

Przed pojawieniem się Mytoba autorami złośliwego oprogramowania byli głównie entuzjaści, którzy tworzyli je z chęci zrobienia żartu lub z czystej ciekawości. Jednak pojawienie się wariantów Mytob/Zotob zmieniło świat.

Mytob łączył w sobie funkcje robaka, backdoora oraz botnetu. Infekował urządzenia na dwa sposoby. W pierwszym wykorzystywał kontakty z książki adresowej ofiary do automatycznej dystrybucji – rozsyłał się w złośliwych załącznikach poczty elektronicznej. W drugim korzystał z luk w protokołach, dzięki którym mógł skanować sieć w poszukiwaniu podatnych urządzeń, a następnie dokonywać replikacji na nie.

Mytob był też jednym z pierwszych rodzajów złośliwego narzędzia, które blokowało oprogramowanie antywirusowe lub wręcz działało przeciwko niemu, uniemożliwiając połączenie komputera ofiary z witrynami zawierającymi aktualizacje. Jak na swoje czasy był bardzo efektywny, miał też wiele wariantów o różnej funkcjonalności. Stale znajdował się na pierwszych miejscach list największych zagrożeń.

Warianty Mytob/Zotob spowodowały ogromne zakłócenia w funkcjonowaniu 100 firm, w tym dziennika New York Times czy stacji telewizyjnej CNN.

 

Początek ery oprogramowania szpiegującego i przechwytywania wyników wyszukiwania

 

2005: CoolWebSearch i BayRob

CoolWebSearch, powszechnie znany jako CWS, był pierwszym narzędziem, które pozwalało cyberprzestępcom na przechwytywanie wyników wyszukiwania z Google i nałożenie na nie „wyników” pochodzących od samych hakerów. CWS był najczęściej rozprzestrzeniany za pomocą pobieranych z sieci aplikacji lub też programów typu adware. Był tak rozpowszechniony i trudny do usunięcia, że ochotnicy opracowali programy (jak np. CWS Shredder) i zarządzali forami internetowymi, aby pomóc w bezpłatnym usuwaniu go.

Podobny atak pojawił się kilka lat później, w 2007 roku. W jego efekcie przestępcy przechwytywali wyniki wyszukiwania z serwisu eBay. Został on wykryty, gdy pewna kobieta ze stanu Ohio kupiła samochód za kilka tysięcy dolarów, który nigdy nie dotarł na miejsce. Władze ustaliły, że pojazd ten w rzeczywistości nie został wystawiony na sprzedaż, a na komputerze niedoszłej nabywczyni znajdowało się złośliwe oprogramowanie BayRob, które „wstrzykiwało” na jej urządzenie fałszywe oferty. FBI i Symantec przez lata cierpliwie czekały na błąd cyberprzestępców, co zakończyło się ich aresztowaniem w 2016 r.

 

Spyware, spy vs. spy oraz odkrycie cyberbroni stosowanej przez państwa

 

2010: Stuxnet

Początek 2010 r. to czas wykrycia złośliwego oprogramowania wykorzystywanego do atakowania urządzeń przemysłowych (ICS – Industrial Control Services), a konkretnie urządzeń do kontroli i zbierania danych (SCADA). Stuxnet okazał się pierwszym złośliwym oprogramowaniem wymierzonym w infrastrukturę krytyczną. W tym przypadku były to wirówki przemysłowe (zwłaszcza nuklearne), w których Stuxnet powodował ich nadmierne obracanie się i doprowadzał do stopienia. Zaatakował przede wszystkim firmy w Iranie, ale wkrótce rozprzestrzenił się na systemy SCADA na całym świecie. Analiza jego kodu wykazała, że nie jest on charakterystyczny dla urządzeń wykorzystywanych w Iranie i może być dostosowany do każdej firmy, która korzysta z rozwiązań ICS. W opublikowanym w 2012 roku na łamach NY Times artykule potwierdzono, że Stuxnet został opracowany przez Stany Zjednoczone i Izrael.

 

2011: Regin

Regin był modułowym trojanem zdalnego dostępu (Remote Access Trojan, RAT), który łatwo mógł dostosować się do środowiska docelowego. Dokumenty, które ulegały eksfiltracji, były często przechowywane w zaszyfrowanym kontenerze. Dzięki temu, że znajdowały się w jednym pliku, nie wzbudzało to podejrzeń administratorów systemu lub oprogramowania antywirusowego. Według Der Spiegel, Regin był tworem amerykańskiej agencji NSA i został zaprojektowany do szpiegowania obywateli Unii Europejskiej. Zostało to ujawnione przy okazji wycieku informacji dostarczonych przez Edwarda Snowdena.

 

2012: Flame

W momencie odkrycia Flame był uważany za najbardziej zaawansowane złośliwe oprogramowanie, jakie kiedykolwiek znaleziono. Miało wszystko: zdolność do rozprzestrzeniania się za pośrednictwem sieci LAN, potrafiło nagrywać i przechwytywać zrzuty ekranu oraz dźwięk, podsłuchiwać i nagrywać rozmowy. Celem Flame’a były przede wszystkim organizacje na Bliskim Wschodzie.

 

 

Historia rozwoju cyberprzestępczości (część II – Krok w nowe tysiąclecie)

Historia rozwoju cyberprzestępczości (część II – Krok w nowe tysiąclecie)

Wraz z początkiem nowego tysiąclecia świat stawał się coraz bardziej połączony w wyniku szybkiego rozwoju internetu. W tym samym czasie nastąpił też gwałtowny wzrost liczby cyberataków, spowodowany między innymi rosnącą liczbą użytkowników sieci, a więc potencjalnych ofiar.

Specjaliści z firmy Fortinet przedstawiają kolejną część historii rozwoju złośliwego kodu i cyberprzestępczości, w której omawiają przełom XX i XXI wieku oraz pierwsze robaki, które rozprzestrzeniały się po całym świecie bez konieczności ingerencji ze strony użytkowników.

 

1999: Y2K

Rok 1999 był czasem rozwoju nowych firm z branży zaawansowanych technologii (tzw. dotcomów) i jednocześnie obaw związanych z błędem Y2K. znanym w Polsce jako pluskwa milenijna. Zjawisko to wywoływało powszechną panikę, ponieważ istniała obawa, że starsze komputery po 31 grudnia 1999 roku przestaną działać z powodu wady oprogramowania zapisanego w systemie BIOS komputera, które steruje pracą płyty głównej. Istniało ryzyko, że jego twórcy zapisywali aktualny rok korzystając tylko z ostatnich dwóch cyfr. To skutkowałoby sytuacją, w której 1 stycznia 2000 r. system operacyjny komputera miał „myśleć”, że jest 1 stycznia 1900 r. Zakłóciłoby to pracę np. infrastruktury krytycznej: od pomp benzynowych i wind po giełdy i elektrownie. Ostatecznie Y2K okazał się mniejszym problemem niż sądzono. Dzięki podjętej w skali całego świata w 1999 r. akcji weryfikacyjnej większość firm i osób prywatnych w żaden sposób tego nie odczuła. Jednak, jak przypominają eksperci Fortinet, strach przed Y2K zdominował wiadomości na całym świecie na wiele miesięcy.

 

1999/2000: pojawia się pierwszy botnet

W 2000 r. coraz większą popularność zdobywał stały dostęp do internetu. Użytkownicy domowi i firmy mogły być online przez całą dobę. Dla cyberprzestępców stanowiło to okazję nie do odrzucenia, weszli więc tym samym w erę botnetów i robaków.

Najprościej mówiąc, botnet jest to grupa zainfekowanych komputerów, które znajdują się pod kontrolą operatora. W tamtych latach botnety były bardzo proste. Pierwszym zaobserwowanym botnetem był EarthLink Spam, który zadebiutował w 2000 roku. Miał on proste zadanie: rozsyłać ogromne ilości spamu. Odpowiadał za 25% ówczesnej śmieciowej poczty, w sumie około 1,25 miliarda wiadomości. Jego operator Khan C. Smith otrzymał karę w wysokości 25 milionów dolarów.

Jeszcze wcześniej, w 1999 roku, powstał GTbot, co czyni go pierwszym botnetem w historii. Było to bardzo prymitywne narzędzie. Rozprzestrzeniało się na inne urządzenia i odbierało polecenia za pośrednictwem czatów IRC. Jego kontrolerzy wykorzystywali sieć zainfekowanych urządzeń do przeprowadzania ataków typu DDoS (rozproszona odmowa usługi – Distributed Denial-Of-Service).

 

Wzrost popularności robaków

Robaki wciąż stanowią część arsenału hakerów, choć nie są już tak powszechne jak 20 lat temu. Różnią się od wirusów tym, że do ich rozprzestrzeniania nie jest potrzebna ingerencja człowieka. We wczesnych latach dwutysięcznych zainfekowanie robakiem było zazwyczaj dość łatwo zauważalne, ponieważ często uniemożliwiało korzystanie z urządzenia. Robaki zużywały coraz więcej mocy obliczeniowej komputera i ostatecznie zatrzymywały pracę na zainfekowanej maszynie. Ich działanie było wykorzystywane m.in. do prowadzenia ataków DoS (odmowa usługi). Gdy złośliwy kod rozprzestrzenił się np. na całą firmę, zakłócał jej funkcjonowanie, niezależnie od tego, czy taka była intencja twórców robaka.

 

2000: I LOVE YOU

Nowe tysiąclecie rozpoczęło od dużego zainteresowaniem mediów robakiem I LOVE YOU, który w rekordowym tempie rozprzestrzeniał się po całym świecie. Został on stworzony przez studenta z Filipinów – Onela De Guzmana.

I LOVE YOU rozprzestrzeniał się przy użyciu wielu mechanizmów. Przede wszystkim był wysyłany do użytkowników za pośrednictwem poczty elektronicznej jako złośliwy załącznik „LOVE-LETTER-FOR-YOU.txt.vbs””. Po otwarciu przez zaatakowanego robak przeszukiwał książkę adresową Microsoft Outlook i wysyłał wiadomości e-mail, podszywając się pod ofiarę i replikując się jako załącznik. To nowatorskie podejście spowodowało zainfekowanie milionów komputerów w ciągu kilku dni. Wiele osób zaufało e-mailom pochodzącym od znanych im osób. Ta metoda jest nadal wykorzystywana jako część strategii hakerów, np. autorów Emoteta.

 

2003: Blaster (MSBlast, lovesan)

W sierpniu 2003 r. wielu firmowych i biznesowych użytkowników było już podłączonych do internetu za pomocą łącza szerokopasmowego. Stało się to powodem rekordowych w skali ataków robaków i podobnych narzędzi. 11 sierpnia tego roku pojawił się Blaster (znany również jako MSBlast i lovesan). Użytkownicy byli zszokowani, gdy ich komputery nagle zaczęły wyświetlać „niebieski ekran śmierci” (Blue Screen Of Death) i restartować się. Nie wiedzieli wtedy, że ich praca została przerwana przez robaka Blaster. Był to pierwszy globalny atak typu Denial-of-Service.

Blaster był wyjątkowo uciążliwy. Jego działania nie przerywało nawet ciągłe restartowanie komputera. Zaczynało się ono wtedy od początku, prowadząc do kolejnego wyłączenia urządzenia. Wykorzystywał on do rozprzestrzeniania się lukę w procesach systemów Windows XP i 2003. Celem robaka było przeprowadzenie ataku typu SYN flood na witrynę windowsupdate.com, aby uniemożliwić komputerom dostęp do aktualizacji. Na szczęście dla Microsoftu autor popełnił błąd i pokierował Blastera do niewłaściwej domeny. W rzeczywistości urządzenia do pobierania aktualizacji korzystały z domeny windowsupdate.microsoft.com.

Intencje autorów Blastera zostały ujawnione w komunikacie zawartym w kodzie złośliwego oprogramowania:

I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!

Co ważne, Blaster nie infekował urządzeń, na których przed 11 sierpnia zostały zastosowane odpowiednie poprawki. Ten przykład wyraźnie pokazuje, jak ważne jest natychmiastowe aktualizowanie urządzeń. Niestety, do dzisiaj wielu użytkowników nadal ignoruje tę zasadę.

 

2004: MyDoom

Był to najszybciej rozprzestrzeniający się robak pocztowy w historii, który do tej pory pozostaje pod tym względem rekordzistą. Wyprzedził nawet słynnego I LOVE YOU.

 

Historia rozwoju cyberprzestępczości (część I – Wczesne lata)

Historia rozwoju cyberprzestępczości (część I – Wczesne lata)

Pojęcie „wirusa komputerowego” znane jest obecnie większości osób na świecie, włącznie z dziećmi. Zwykle kojarzy się ono z czymś destrukcyjnym dla sprzętu, danych i usług, na których wszyscy polegamy. Wirusy komputerowe, podobnie jak ich biologiczne odpowiedniki, również replikują się i mogą być przenoszone z jednego gospodarza na drugiego, co powoduje problemy – od irytujących po destrukcyjne.

Niedawno obchodzone było 50-lecie powstania pierwszego złośliwego kodu, co jest okazją do przedstawienia najbardziej istotnych w historii wirusów, robaków i innych zagrożeń – od czasów przedinternetowych do obecnego świata botnetów i oprogramowania ransomware. Poniżej znajduje się przegląd opracowany przez ekspertów z firmy Fortinet.

 

1971: Pierwszy dowód możliwości stworzenia wirusa

Zanim powstał internet, w USA istniała sieć ARPANET (Advanced Research Projects Agency Network), która została uruchomiona w 1967 r. jako próba połączenia zdalnych komputerów. Pierwsze komputery zostały podłączone w 1969 roku. Już dwa lata później inżynier Bob Thomas z amerykańskiej firmy badawczo-rozwojowej BBN, bazując na niemal 30-letniej koncepcji niemieckiego matematyka Johna von Neumanna stworzył wirusa o nazwie „The Creeper”. Rozprzestrzeniał się on za pomocą protokołu sieciowego pomiędzy komputerami podłączonymi do sieci ARPANET. Jego celem nie było działanie w złych intencjach, lecz sprawdzenie czy zakodowana w nim wiadomość „I’m the creeper, catch me if you can!” (Jestem pnączem, złap mnie, jeśli potrafisz!) będzie w stanie samodzielnie replikować się pomiędzy urządzeniami sieci. Cel został osiągnięty.

 

1982: Pierwszy wirus dla komputerów Mac

Wbrew powszechnemu przekonaniu, że na sprzęcie firmy Apple nie ma wirusów, to właśnie w tym środowisku zadebiutowały pierwsze cyfrowe szkodniki atakujące komputery osobiste. Pierwszym znalezionym „na wolności” wirusem był „Elk Cloner”, opracowany dla komputerów Apple II – był umieszczany w sektorze startowym dyskietki, skąd kopiował się do pamięci komputera, a stamtąd samoczynnie na inne, czyste nośniki. Jego autorem był piętnastolatek, który pisał takie programy, aby płatać figle swoim znajomym. Przy pięćdziesiątym uruchomieniu Elk Cloner wyświetlał użytkownikowi zabawny wierszyk.

 

1986: Pierwszy wirus na PC

„Brain” na zawsze zmienił świat bezpieczeństwa informacji. Pochodził z Pakistanu, ale szybko rozprzestrzenił się na cały świat, do Europy i Ameryki Północnej. Został opracowany przez braci Amjada Farooqa Alvi i Basita Farooqa Alvi, autorów oprogramowania medycznego. Stworzyli oni wirusa ładującego ostrzeżenie dla osób korzystających z jego pirackich kopii. Ponieważ nie było wtedy internetu, wirus rozprzestrzeniał się dzięki interakcji międzyludzkiej, poprzez kopiowanie dyskietek. Wirus ten nie niszczył danych, ale uniemożliwiał uruchomienie komputera i wyświetlał powiadomienie zawierające m.in. numer telefonu braci Farooq Alvi, z którymi należało skontaktować się w celu usunięcia problemu. Twierdzą oni, że chcieli, aby osoby dotknięte problemem zadzwoniły do nich w celu omówienia sposobu legalnego uzyskania ich oprogramowania. Ich genialny plan okazał się tak skuteczny, że zostali zasypani telefonami z całego świata.

 

1988: Robak Morris

Jego nazwa pochodzi od nazwiska autora, Roberta Morrisa. Robak ten nie był złośliwy i został stworzony jako dowód, że replikacja kodu bez ingerencji użytkownika jest możliwa (co odróżnia go od wirusa, który wymaga „wsparcia” człowieka). Morris obawiał się, że administratorzy systemów poddadzą robaka kwarantannie i zignorują infekcję. Zaprogramował go więc tak, aby był trwały. Nie było jednak sposobu na zatrzymanie procesu samoreplikacji, więc robak powodował duże obciążenie urządzeń, uniemożliwiając ich działanie, a także wywoływał w sieciach zjawisko Denial-of-Service (DoS – odmowa świadczenia usługi), rozprzestrzeniając się z maszyny na maszynę. Z tego powodu Robert Morris został pierwszą osobą skazaną na podstawie ustawy o oszustwach i nadużyciach komputerowych. Później jednak stał się odnoszącym sukcesy przedsiębiorcą i otrzymał posadę w Massachusetts Institute of Technology (MIT).

 

1989: Pierwszy na świecie ransomware

AIDS stał się pierwszym na świecie zaobserwowanym oprogramowaniem ransomware. Został wysłany fizyczną pocztą (!) do badaczy błyskawicznie rozprzestrzeniającego się wówczas na całym świecie wirusa AIDS za pośrednictwem 20 tys. zainfekowanych dyskietek, na których znajdował się kwestionariusz na temat AIDS. Jednak przy dziewięćdziesiątym ponownym uruchomieniu dyskietki zmieniała ona nazwy plików na zaszyfrowane ciągi znaków i ukrywała je przed użytkownikiem. Następnie na ekranie pojawiało się żądanie zapłaty na skrytkę pocztową w Panamie 189 dolarów za roczną „gwarancję bezpieczeństwa” lub 385 dolarów za dożywotnią. Akceptowane były tylko czeki bankowe, czeki kasjerskie lub przekazy pieniężne.

 

1992: Michelangelo

W wirusie tym, dedykowanym Michałowi Aniołowi, zaprogramowano „bombę zegarową”, czyli instrukcję, która miała aktywować się 6 marca, w dniu urodzin artysty. Jej celem było zniszczenie sektora rozruchowego dysków, co uniemożliwiało uzyskanie dostępu do danych lub w ogóle uruchomienie komputera. Wirus, podobnie jak jego poprzednicy, rozprzestrzeniał się za pośrednictwem dyskietek. Został wykryty parę tygodni przed 6 marca, dzięki czemu udało się nagłośnić jego destrukcyjny charakter – był to pierwszy przypadek wirusa, któremu media głównego nurtu poświęciły tak wiele uwagi, co przyczyniło się do wzrostu sprzedaży oprogramowania antywirusowego na całym świecie. Pojawiło się wówczas wiele ostrzeżeń dla użytkowników, aby pozostawili swoje komputery w tym dniu wyłączone lub zmienili datę w swoich maszynach na dzień naprzód, aby uniknąć zagrożenia.

 

1994-95: Pierwsze ataki phishingowe

Wraz z rozpowszechnieniem się internetu w Stanach Zjednoczonych, dzięki uruchomieniu takich serwisów, jak America Online (AOL), CompuServe i Prodigy, wzrastała liczba oszustw i phishingu. Ponieważ konta zapewniające dostęp do internetu były wówczas płatne i stosunkowo drogie, wiele osób było zainteresowanych kradzieżą danych uwierzytelniających. W serwisach komunikacyjnych poświęconych nielegalnemu oprogramowaniu zaczęto handlować aplikacjami służącymi do odłączania użytkowników od internetu, kradzieży danych ich kont oraz do generowania losowych numerów kart kredytowych. Jednym z najsłynniejszych programów był AOHell (gra słów nawiązująca do nazwy AOL), który zawierał kreator kont, wykorzystujący losowo utworzone numery kart kredytowych, co zapewniało możliwość otwarcia konta za darmo na miesiąc.

 

Aplikacja AOHell zawierała też jeden z pierwszych mechanizmów phishingu. Zautomatyzowane boty wysyłały masowo wiadomości z prośbą o zweryfikowanie danych uwierzytelniających konto, twierdząc, że np. wystąpił problem z rachunkami. Aby kontynuować rozmowę z botem, ofiara musiała „zweryfikować swoją tożsamość”, podając nazwę użytkownika i hasło. Informacje te były następnie zbierane przez twórców programu AOHell i wykorzystywane lub sprzedawane w celu uzyskania darmowego dostępu do konta i rozsyłania spamu.

 

Nowe wyzwania, szybsza ewolucja cyberbezpieczeństwa

Nowe wyzwania, szybsza ewolucja cyberbezpieczeństwa

Ochrona przestrzeni cyfrowej staje się z roku na rok coraz trudniejsza. Przestępcy są coraz bardziej wyrafinowani, używają coraz bardziej zaawansowanych narzędzi i dzięki temu coraz lepiej potrafią monetyzować swoje różnorodne aktywności. Sprzyjają temu przyspieszający rozwój technologiczny i powszechna digitalizacja. Na przykład powstanie kryptowalut ułatwiło odbieranie okupów po skutecznych atakach ransomware. Najgorsze jest jednak to, że celem coraz częściej staje się infrastruktura krytyczna. O tym, jaka jest przyszłość cyberbezpieczeństwa i jak powinna wyglądać transformacja branży i działających w niej ekspertów, żeby poziom bezpieczeństwa się nie pogarszał, dyskutowali uczestnicy ostatniego spotkania CSO Council.

 

„Żyjemy w naprawdę szalonych czasach. Ataki wciąż się nasilają, ransomware jest praktycznie wszechobecny, a cyberbezpieczeństwo w formie, w jakiej było znane dotychczas, już nie działa. Jedno z głównych wyzwań, z jakim się wszyscy mierzą, polega na tym, że w ciągu ostatnich lat nasi przeciwnicy stali się coraz lepsi w swoim cyberprzestępczym fachu, a wykorzystywane przez nich narzędzia są coraz bardziej zaawansowane. W mojej ocenie obrońcy są nawet kilka lat do tyłu względem atakujących. Dlatego jeśli chcemy wykrywać ataki szybciej, musimy zastanowić się nad wykorzystaniem nowego zestawu technologii, nad nowymi sposobami współpracy i lepszym użyciem danych, które posiadamy” – mówił Michael Ehrlich, CTO, IronNet, podczas CSO Council.

Niestety, perspektywy na przyszłości nie napawają optymizmem. Nie widać końca tej nierównej walki. Cyberbezpieczeństwo z pewnością pozostanie w najbliższej przyszłości potężnym wyzwaniem. Atakujący, niezależnie od tego, czy mówimy o zwykłych kryminalistach czy grupach sponsorowanych przez państwa, nadal będą mieli przewagę. Nie dlatego, że to naprawdę inteligentni ludzi, ani dlatego, że mają dostęp do ogromnych funduszy, ale przede wszystkim dlatego, że działają poza prawem i nie muszą stosować się do żadnych reguł. Na to nigdy nie będą mogli pozwolić sobie obrońcy. Tymczasem właśnie regulacje prawne i biurokracja stanowią często główną przyczynę zbyt wolnej reakcji obronnej.

Wyzwaniem są także technologie i procedury. Michael Ehrlich powoływał się na słowa generała Keitha Alexandra, który przekonuje, że wiele narzędzi wykorzystywanych obecnie do obrony zostało zaprojektowanych do wykrywania tego, co już wiemy. Chodzi o to, że są oparte na sygnaturach, na adresach IP czy domenach, co do których wiemy, że są zagrożeniem. To wszystko jest oczywiście ważne, ale musimy przejść do świata, w którym narzędzia będą nam dostarczać informacji, jakich potrzebujemy, takich informacji,  jakich wcześniej nie mieliśmy. Ten nowy świat musi być napędzany przez sztuczną inteligencję działającą w czasie rzeczywistym, a z drugiej strony musi opierać się na współpracy, ponieważ dzięki temu możemy zwiększać swoje szanse na szybsze i skuteczniejsze wykrywanie ataków.

 

Ciągła ewolucja CISO

Wszystkie zmiany wpływają na CISO, który musi mierzyć się w swojej pracy z nowymi wyzwaniami. Oczywiście, fundamentem pozostaje zarządzanie zagrożeniami. To nadal podstawowy obowiązek CISO. Dzisiaj jednak trzeba zajmować się także wieloma innymi kwestiami. W szczególności trzeba np. radzić sobie z brakami kadrowymi i kompetencyjnymi.

„Rola CISO początkowo koncentrowała się na technice, ale szybko stawiane przed szefami ds. bezpieczeństwa informacji wymagania zaczęły wykraczać poza technologie. Umiejętności z zakresu zarządzania ludźmi i projektami, a także zdolność porozumiewania się z zarządem i innymi menedżerami C-level zaczęły być równie istotne. To jest chyba największa zmiana, jaka zaszła” – mówił podczas dyskusji panelowej Anuj Tevari, CISO, TMF Group.

„Dla CISO, którzy wywodzą się z obszaru technicznego, zarzadzanie tymi wszystkimi nowymi wyzwaniami jest trudne. Zwłaszcza balansowanie między oczekiwaniami zarządu, zespołu i całej organizacji. Równie trudne jest także pozostawanie w bliskim kontakcie z biznesem i wyjaśnianie przedstawicielom jednostek biznesowych skomplikowanych kwestii technicznych” – przekonywał Olivier Noutet, Head of Cybersecurity and Digital Fraud, BNP Paribas.

Są też pozytywne zmiany. Z pewnością o wiele większa jest świadomość zagrożeń oraz wyzwań. Dotyczy to zwłaszcza najwyższej kadry kierowniczej, co znacznie ułatwia działanie CISO. Z drugiej strony jednak rosną oczekiwania.

„Ewolucja CISO i całego cyberbezpieczeństwa była w ostatnich latach bardzo szybka. Przeszliśmy od stricte technicznego doradztwa bez budżetu do funkcji, która dzisiaj dysponuje zwykle już pokaźnymi zasobami. Oznacza to jednak, że dzisiaj jest nieco trudniej. Bo ze względu na te budżety oczekiwania są coraz większe i efekty trzeba zapewnić od razu lub w nieodległej perspektywie czasowej. Wyzwaniem jest więc realizacja wieloletnich programów, które zaczyna się od zera, ponieważ nie można kilka lat czekać na zwiększanie cyberodporności” – mówił Andrea Pezzotti, Global Head Vulnerability Management & Technical Risks, Novartis.

 

Współpraca jest kluczowa

Na zakończenie uczestnicy panelu omawiali kwestię uruchamiania i rozszerzania współpracy w obszarze cyberbezpieczeństwa. Wszyscy zgodnie twierdzili, że ma ona kluczowe znaczenie i nie ma innej alternatywy. „Jeśli chodzi o współpracę, to nic nie zyskujemy, ukrywając problemy w obszarze cyberbezpieczeństwa. Jest wręcz odwrotnie. Przykładowo w sektorze bankowym wszyscy jesteśmy od siebie wzajemnie zależni. Jeśli zagrożenie jest poważne, możemy upaść wszyscy tak jak klocki domina. Dlatego bez współdzielenia informacji jesteśmy skazani na porażkę” – mówił Oliver Noutet.

Na konieczność jak najszerszej współpracy, która nie ogranicza się do poszczególnych grup, sektorów czy krajów, zwracał natomiast uwagę Andrea Pezzotti. „Zagrożenia wykraczają dzisiaj daleko poza pojedyncze branże. Cyberprzestępcy, w odróżnieniu od grup sponsorowanych przez państwa, nie wybierają precyzyjnie ofiary. Biorą na cel wszystkich, bez wyjątku, działają oportunistycznie. Współdzielenie informacji jest więc kluczowe, i to nie tylko w obrębie poszczególnych branż, ale znacznie, znacznie  szerzej. Przy tym istotne jest nie tylko to, co i z kim dzielimy, ale także jak szybko to robimy. Ponieważ ataki rozprzestrzeniają się dzisiaj z prędkością światła, równie szybko trzeba dzielić się informacjami” – podsumował Andrea Pezzotti.

Fundamentem cyberbezpieczeństwa staje się automatyzacja

Jak skutecznie i efektywnie zarządzać incydentami? Systemy SIEM nadal stanowią fundamentalne narzędzie, na którym opiera się działanie SOC, ale coraz częściej specjaliści tam zatrudnieni zaczynają być przytłoczeni ilością incydentów, które trzeba obsłużyć. Rozwiązaniem tego problemu są systemy SOAR, które pozwalają nie tylko na automatyzowanie części zadań wykonywanych w SOC ale także umożliwiają wiele więcej – mówi Maciej Iwanicki, Business Development Manager – SOAR, SIEM, EDR w Fortinet.

 

Dlaczego zarządzanie incydentami stanowi istotny element całej strategii cyberbezpieczeństwa?

Maciej Iwanicki [MI]: Zarzadzanie incydentami stanowi istotny etap w całym łańcuchu działań związanych z cyberbezpieczeństwem. Wstępem do zarządzania incydentami musi być monitorowanie i zbieranie informacji we własnym środowisku. Z drugiej strony zarządzanie incydentami umożliwia reagowanie na ataki. Nie wszystkie ataki w ten sposób uda się powstrzymać, ale można zdecydowanie ograniczyć ich wpływ na organizacje.

Jakie narzędzia technologiczne wspierają zarządzanie incydentami?

MI: Jednym z elementów wykorzystywanych natywnie przy monitorowaniu i zbieraniu zdarzeń są rozwiązania klasy SIEM, czyli Security Information and Event Management. Mają one dwa fundamentalne zadania. Przede wszystkim zbierają i zapisują długookresowo dziesiątki albo setki tysięcy zdarzeń, jakie mają miejsce w firmowej sieci. Po drugie, SIEM koreluje te zdarzenia. Z całego tego oceanu informacji wyławiane jest to, co najbardziej istotne, tzw. incydenty bezpieczeństwa.

Czasem SIEM jest narzędziem pracy dla osób zajmujących się bezpieczeństwem w organizacjach, ale najczęściej jest on obsługiwany przez zespół SOC, czyli Security Operations Center. SIEM jest ich głównym narzędziem.

Czy to wszystko? Czy SIEM wystarczy?

MI: Właśnie już nie. Głównym problemem w pracy SOC jest ilość incydentów bezpieczeństwa, którymi trzeba się zająć. Pomimo działania SIEM i prezentowania wyłącznie najbardziej istotnych skorelowanych incydentów, nadal jest ich bardzo dużo. Zbyt dużo nawet dla składających się z wielu specjalistów zespołów SOC. Znaczna część z incydentów, którymi muszą się zająć ma niewielkie znaczenie dla organizacji a część to tzw. false positive, czyli zdarzenia, które zostały zakwalifikowane jako incydenty przez pomyłkę.

Większość specjalistów pracujących w SOC-ach to pasjonaci, zainteresowani przede wszystkim rozkładaniem poważnych ataków na czynniki pierwsze, włącznie z analizą wsteczną, która skupia się na określaniu sposobu, w jaki zagrożenie dotarło do organizacji. Tacy ludzie szybko zaczynają być sfrustrowani przez zalew nieistotnych zdarzeń i false positive’ów, którymi muszą się zajmować. To poważny problem. I właśnie dlatego pojawiło się kolejne narzędzie, jako – w pewnym sensie – rozwinięcie dla SIEM. To SOAR, czyli Security Orchestration, Automation and Response, narzędzie, które ma za zadanie zautomatyzować część działań wykonywanych w SOC-ach i uwolnić specjalistów od rutynowych, manualnych czynności.

Na czym polega działanie SOAR?

MI: Zadaniem SIEM jest zebranie maksymalnie dużej ilości informacji i z nich wyłowić, skorelować to co istotne. SOAR natomiast nie pracuje na milionach zdarzeń, tylko na wyselekcjonowanych incydentach, których lista to efekt filtra, jaki stanowi SIEM.

Weźmy za przykład przypadek phishingu zgłaszany do SOC przez szeregowego pracownika. To typowy przypadek. Jednym z istotnych elementów strategii obrony przed atakami tego typu, jest informowanie osób odpowiedzialnych za bezpieczeństwo o tego typu próbach. Takich zdarzeń jest zwykle dużo. Zwykli ludzie nie są w stanie na 100% ocenić czy faktycznie mają do czynienia z phishingiem, czy nie, ale to jest OK, bo nie zawsze jest to proste zadanie.

Z punktu widzenia SOC wiąże się to jednak z wykonaniem w przypadku każdego zgłoszenia serii czynności, takich jak sprawdzenie nadawcy, jego reputacji, reputacji linków itd. Jeśli trzeba to wykonać ręcznie, to czasochłonne i nużące. Jeśli jednak takie zgłoszenie ”przejdzie” przez SOAR, to część z tych prac zostanie wykonana automatycznie. Zgłoszenie, które ostateczne dotrze do specjalisty będzie wzbogacone o istotne informacje, dzięki czemu będzie on mógł błyskawicznie podjąć decyzję czy sprawa zasługuje na uwagę czy nie.

Podobnie zresztą dzieje się ze wszystkimi zdarzeniami uznanymi za incydent przez system SIEM. SOAR będzie je uzupełniać o dodatkowe informacje, które pozwolą specjaliście w SOC przejść od razu do sedna sprawy.

Czyli SOAR automatyzuje proste, rutynowe czynności wykonywane w SOC?

MI: Tak, ale nie tylko. Wracając do wcześniejszego przykładu, kiedy zgłoszenie phishingu trafi do SOAR, system sprawdzi reputację nadawcy, reputacje domeny nadawcy oraz zawartych w wiadomości linkach, a jeśli wszystko będzie w normie, to zamknie zdarzenie automatycznie bez angażowania specjalistów oraz automatycznie wyśle wiadomość do pracownika z podziękowaniami za zgłoszenie.

SOAR oferuje jednak o wiele więcej. System automatycznie dokumentuje kroki, które przy analizie danego incydentu są wykonywane przez analityków. Dzięki temu o wiele łatwiejsze staje się szkolenie nowych pracowników SOC. Co więcej, mamy dokumentację do obowiązujących procesów, które powstają wewnątrz organizacji, a jeśli mamy to dobrze opisane, to o wiele łatwiej doskonalić te procesy.

Zresztą SOAR cały czas ewoluuje. W ofercie Fortinet rozwiązanie tej klasy jest obecne od kilku lat. W tym czasie stale się doskonaliło i rozwijało równolegle wraz z rozwojem rozwiązań SIEM. Niemniej dzisiaj źródłem zasilającym SOAR w zdarzenia wcale nie musi być SIEM. Może to być dowolne inne źródło.

Czy SOAR jest potrzebny w każdym SOC-u?

MI: Gartner mówi, że SOAR jest potrzebny w SOC, który składa się z więcej niż 5 specjalistów. Ponad 5 osób, to oznacza, że ilość incydentów jest duża. Stąd potrzebne jest narzędzie, które ma pomóc w ich obsłudze. Ja jestem jednak zdania, że nie można używać tego jako sztywnego kryterium. Wszędzie tam, gdzie brakuje ludzi o odpowiednich kompetencjach z zakresu cyberbezpieczeństwa, a to jest notoryczny problem w skali globalnej, tam SOAR może okazać się rozwiązaniem dla wielu problemów. SOAR może wspierać mniejsze zespoły. Nie zastąpi człowieka, ale da więcej czasu specjalistom na wykonywanie innych, ciekawszych zadań.

Czy SOAR jest popularny w SOC-ach organizacji w Polsce?

MI: Obserwujemy globalny wzrost zainteresowania rozwiązaniami SOAR. Głównym czynnikiem napędzającym to zainteresowanie jest potrzeba automatyzacji, odciążania ludzi o rutynowych, manualnych czynności. W Polsce sytuacja jest podobna, z tą różnicą, że dedykowane centra SOC powstawały o wiele później niż w USA czy krajach Europy Zachodniej. Pierwszym elementem technologicznym, który jest potrzebny w SOC z pewnością jest SIEM. Każda organizacja, która potrzebuje SOC z pewnością ma tyle zdarzeń, że nie da się ich przeglądać na poszczególnych urządzeniach. Dlatego w pierwszej kolejności skupiano się właśnie na tych systemach.

Z czasem rośnie dojrzałość SOC, wzrastają kompetencje, ale zwiększa się też ilość zdarzeń i incydentów, rośnie złożoność systemów i zmienia się krajobraz zagrożeń. Nie można w nieskończoność skalować możliwości SOC poprzez zatrudnianie nowych ludzi. Zwłaszcza, że nie można zapominać o kwestiach psychologicznych – tym ludziom trzeba dostarczyć odpowiednich wyzwań, utrzymać ich zainteresowanie, nie dopuścić, żeby się znudzili.

Część organizacji już to dostrzegła i zaczęła interesować się SOAR. Część rozważa zakup komercyjnych rozwiązań, cześć myśli o budowaniu funkcjonalności SOAR samodzielnie. Automatyzację można bowiem osiągnąć na wiele różnych sposobów, w tym opierając się na narzędziach open source.

Co jest lepszy rozwiązaniem? Czy lepiej kupić gotowe rozwiązanie czy zbudować je samodzielnie?

MI: Nie ma prostej odpowiedzi na to pytanie. Zasadnicza kwestia, którą trzeba przemyśleć w tej sytuacji dotyczy utrzymania i rozwoju zbudowanego samodzielnie rozwiązania. Kto się tym zajmie? Czy będziemy dysponować odpowiednią dokumentacją, która będzie kluczowa, kiedy twórcy systemu odejdą z organizacji. Czy rozwojem i utrzymaniem będą w stanie zająć się nowe osoby?

Plusem samodzielnego budowania funkcjonalności SOAR będzie niższy koszt początkowy, ale długoterminowo, koszt ten będzie tylko rósł. Spojrzenie w dłuższej perspektywie, kwestia rozwoju i utrzymania to przewagi gotowych systemów. Poza tym niezwykle istotną kwestią są tzw. konektory do innych systemów. Możliwość rozmawiania SOAR z zewnętrznymi systemami jest kluczowe. Nasze rozwiązanie oferuje dużą ilość gotowych konektorów pozwalających np. weryfikować reputacje adresów email, linków, łączyć się całej gamy różnych systemów bezpieczeństwa. Z drugiej strony FortiSOAR umożliwia łatwe budowanie własnych konektorów – to także ma znaczenie, bo każda organizacja jest inna i korzysta z różnych narzędzi.

Ważna jest także wizualizacja. To może wydawać się trywialne, ale dobra reprezentacja graficzna tego, co wydarzyło się w środowisku ma ogromne znaczenie w codziennej pracy.

 

IOC – Wskaźnik incydentów wykrytych podczas konfliktu rosyjsko-ukraińskiego

 

Wraz z rozpoczęciem działań wojennych w Ukrainie, zaobserwowano szereg domniemanych cyberataków dokonywanych przez różne grupy cyberprzestępcze. Zespoły badawcze Trend Micro Research zweryfikowały dane wewnętrzne i raporty zewnętrzne, aby zebrać dokładne informacje, które można wykorzystać do wzmocnienia ochrony przed tymi atakami. Na tej podstawie powstał dokument zawierający zestaw IOC oraz screenshotów z ataków powiązanych z konfliktem w Ukrainie.  TUTAJ możecie pobrać PDF z listą i opisem wyselekcjonowanych IOC.

Więcej informacji znajdziecie na blogu Trend Micro, który będzie na bieżąco aktualizowany 👉 https://lnkd.in/d8Hv5DCv

Nowa edycja FortiGuard Labs Global Threat Landscape Report

Fortinet, partner merytoryczny CSO Council  – zaprezentował nową edycję  FortiGuard Labs Global Threat Landscape Report.

Dane dotyczące zagrożeń z drugiej połowy 2021 r. obrazują wzrost automatyzacji i szybkości ataków.  Świadczy to o rosnącym zaawansowaniu strategii uporczywych cyberataków, które są bardziej destrukcyjne i nieprzewidywalne. Ponadto, hakerzy coraz bardziej wykorzystują rozszerzające się możliwości przeprowadzenia ataku na osoby pracujące w modelu hybrydowym oraz hybrydową infrastrukturę IT.

Plan spotkań CSO Council 2022

Save the date! Mamy już plan – plan spotkań i tematów, które wybrali w ankiecie członkowie CSO Council.  Zarezerwujcie terminy w kalendarzach!

Ale to dopiero początek! O innych aktywnościach i działaniach społeczności napiszemy już wkrótce!