2011 był dla hakerów rokiem sztandarowym. W trakcie jego trwania miały miejsce zaawansowane złożone ataki, wycieki danych a także włamania do filarów infrastruktury Internetu, czyli cyber-napady na centra zarządzające certyfikatami. Był to rok, w którym przedsiębiorstwa musiały stawić czoła problemom bezpieczeństwa nowej klasy, a rok 2012 zapowiada się równie obfity w wyzwania.
Nie tak dawno środowisko IT mogło obserwować zgłoszenia dotyczące ataków na instytucje odpowiedzialne za obronę narodowową i bezpieczeństwo przestrzeni powietrznej przy użyciu MS Updater Trojan. Do tego doszła sensacyjna wiadomość, że hakerzy, którzy w 2000 roku zaatakowali obecnie upadły Nortel Networks, mogli mieć dostęp do tamtejszych firmowych komputerów przez niemal dekadę. To niebezpieczne środowisko IT będzie stawiało przed przedsiębiorstwami nie lada wyzwania w 2012 roku – najważniejsze z nich to rozpowszechnienie zaawansowanych ciągłych zagrożeń (APT – advanced persistent threats) oraz coraz zmyślniejsze ataki wykorzystujące inżynierię społeczną.Ataki wykorzystujące inżynierię społeczną są wymierzone w osoby, które posiadają wiedzę na temat tajemnic firmy lub mają dostęp do wrażliwych informacji. Współcześni hakerzy wykorzystują różnorodne techniki oraz portale społecznościowe w celu zebrania informacji na temat spraw osobistych i służbowych danej osoby. W ten sposób mogą namierzyć najsłabsze ogniwo wewnątrz organizacji.
Współczesne problemy bezpieczeństwa często sprowadzają się do odpowiedniej polityki bezpieczeństwa, wsparcia sprzętowego oraz edukacji. Pracownicy muszą być świadomi zagrożeń, które mogą dotyczyć ich firmy. Firma z kolei musi posiadać jasną politykę bezpieczeństwa i możliwość kontrolowania poziomu dostępu do aplikacji, urządzeń i sieci w celu utrzymania jakości bezpieczeństwa. Jak się okazuje edukacja to rzecz o której łatwo się mówi, a jednak trudniej z jej realizacją. Jest to najczęściej pomijany ważny aspekt dotyczący bezpieczeństwa. Ostatnie badanie przeprowadzone wśród specjalistów IT przez Check Point Software Technologies and Dimensional Research wykazało, że nowi pracownicy i kontraktorzy są uznawani za osoby znajdujące się w największej grupie ryzyka związanego z inżynierią społeczną. Mimo to tylko 26% z 853 badanych potwierdziło przeprowadzenie szkoleń odnośnie tego problemu a 34% przyznało, że nie podjęli żadnej próby edukowania pracowników.
Warto przeanalizować te statystki. Następnie warto zastanowić się nad faktem, że jeden z najpopularniejszych wycieków danych w 2012 – włamanie RSA – został zaaranżowany przy wykorzystaniu wiadomości email typu spear phishing, która rzekomo dotyczyła firmowego „Planu rekrutacji na 2011 rok”. Umiejętność rozpoznawania prób ataków polegających na inżynierii społecznej to wybór między spokojnym snem lub otrzymywaniem alarmowych telefonów od CISO w środku nocy. Najważniejszym elementem sukcesu w spear phishing jest oczywiście informacja – jeżeli cel zostanie przez hakerów uznany jako wartościowy, przed przeprowadzeniem ataku zdobędą oni możliwie dużo informacji na temat danej osoby.
Zbieranie informacji uwzględnia wykorzystywanie portali społecznościowych, aby pozyskać dane na temat specyfiki firmy i pracowników – może być to bardzo przydatne w erze wymierzonych ataków. Biorąc pod uwagę cenę słabego punktu typu zero-day, wahającej się między 50 000$ aż do 100 000$, na ogół łatwiej i ekonomiczniej jest spróbować oszukać użytkownika i przy jego nieświadomej pomocy zainstalować złośliwe oprogramowanie by następnie wykorzystywać tę nikomu nieznaną lukę.
Botnety oraz ataki APT są wyjątkami. Przykładowo Stuxnet wykorzystywał podczas rozprzestrzeniania się po świecie cztery słabe punkty typu zero-day systemu Windows. Cechą charakterystyczną APT jest to, że potrafią niezauważalnie przeniknąć do organizacji i pozostawać wewnątrz. Hakerzy, którzy obierają za cel konkretne przedsiębiorstwo, używają kombinacji cichych i złożonych ataków, wykorzystując boty do potajemnego rozprzestrzeniania się po firmowej sieci i zbierania informacji. Często celem jest kradzież wrażliwych informacji, które później mogą opuścić korporacyjną sieć sposobami, na które mało kto by zwrócił uwagę – na przykład kradzione dane mogą zostać umieszczone w pliku mp3 i załadowane na Sound Cloud.
Podczas gdy kradzież danych jest współcześnie najważniejszym celem cyberprzestępcy, każdy haker i „haktywista” posiada swój własny kodeks i motywacje – od zysków finansowych po zniszczenie korporacyjnych zbiorów. Przykładowo Stuxnet zmienił sposób myślenia wielu specjalistów na temat bezpieczeństwa, pokazując jak złośliwe oprogramowanie może być użyte jako broń służąca do zniszczenia całej infrastruktury organizacji. Obecnie, bardziej niż kiedykolwiek, powstrzymywanie APT oraz innych cichych zagrożeń wymaga kompleksowej i wielowarstwowej strategii obrony.
Wielu specjalistów do spraw bezpieczeństwa twierdzi, że przedsiębiorstwa powinny spodziewać się, że w pewnym momencie zostaną zaatakowane przez hakerów. Mając to na uwadze, firmy powinny zwracać uwagę na drogi, którymi atakujący będą próbowali przemycić wykradzione dane – najlepiej poprzez odtwarzanie i analizowanie ataków z przeszłości w celu zrozumienia i odkrycia, gdzie znajdują się luki i zastosowania odpowiednich form zapobiegających i chroniących. Być może powinno to oznaczać wykorzystanie technologii zapobiegających wyciekom, implementację inspekcji SSL na bramie internetowej firmy, blokowanie szyfrowanego transferu plików oraz wprowadzenie lepszego szkolenia odnośnie praktyk bezpieczeństwa dla użytkowników.
Rok 2011 był sztandarowym rokiem dla atakujących. Być może ten rok będzie należał do bezpieczeństwa.
Autor tekstu: Tomer Teller, ewangelista ds. bezpieczeństwa oraz badacz w Check Point Software Technologies