"Cyberprzestępcy wykorzystują nasze zaufanie" - wywiad
O nowych zagrożeniach, metodach przestępców i bezpieczeństwie naszych pieniędzy rozmawiamy z Stefanem Tanase - starszym specjalistą ds. bezpieczeństwa w Globalnym Zespole Badań i Analiz firmy Kaspersky Lab
Rozwój internetu to również dynamiczny rozwój nowych zagrożeń i coraz bardziej wysublimowanych metod ataku. O nowych zagrożeniach, metodach przestępców i bezpieczeństwie naszych pieniędzy rozmawiamy z Stefanem Tanase - starszym specjalistą ds. bezpieczeństwa w Globalnym Zespole Badań i Analiz firmy Kaspersky Lab.
WP: Grzegorz Barnik: Ludzie zdołali się już nauczyć, że wirusy to nie fikcja i trzeba się przed nimi chronić. Wieloletnie działania edukacyjne doprowadziły nawet do sytuacji, w której wielu użytkowników komputerów nie otwiera podejrzanych załączników poczty e-mail. Jednak w tym samym momencie, kiedy udaje się przechylić szalę na rzecz bezpiecznego korzystania z maili, powstaje zupełnie nowe medium komunikacji, które wypiera pocztę elektroniczną - serwisy społecznościowe. Jakie zagrożenia czekają na nas w serwisach typu Facebook?
Stefan Tanase: Serwisy społecznościowe rzeczywiście w dużej mierze zastąpiły komunikowanie się poprzez e-mail. Problem z Facebookiem i innymi platformami społecznościowymi polega na tym, że łączymy się tam zazwyczaj z osobami, które znamy osobiście z życia poza siecią. Takie osoby to często nasi bliscy przyjaciele czy rodzina, których darzymy zaufaniem i to zaufanie przenoszone jest z naszego rzeczywistego życia na życie wirtualne. To bardzo ułatwiło pracę cyberprzestępcom, którzy po przejęciu jednego konta w portalu społecznościowym mogą w prosty sposób rozprzestrzenić zagrożenie na innych użytkowników. Odebranie wiadomości e-mail z nieznanego adresu o treści "otwórz ten załącznik" to zupełnie co innego, niż odebranie wiadomości w portalu społecznościowym od zaufanego przyjaciela o treści "hej, oto zdjęcie mojego nowego samochodu". Upraszczając, w serwisach społecznościowych cyberprzestępcy wykorzystują nasze zaufanie do osób z listy znajomych.
WP: Stajemy więc w sytuacji nowego zagrożenia, a właściwie jedyną bronią jaką dysponuje przeciętny internauta jest program antywirusowy. Czy jest to broń wystarczająca do obrony przed nowymi rodzajami ataków?
- Nie powiedziałbym, że posiadanie samego programu antywirusowego to wystarczające zabezpieczenie. Oprogramowanie zabezpieczające dba o techniczną stronę naszego bezpieczeństwa. Nie każdy jest maniakiem komputerów, analitykiem wirusów czy ekspertem od zabezpieczeń, który potrafi doskonale rozpoznać zagrożenia i ich unikać. Dlatego jesteśmy my. Tworzymy programy antywirusowe, by zająć się stroną techniczną ataków i zdjąć z użytkownika konieczność posiadania specjalistycznej wiedzy. Jednak posiadanie zabezpieczonego komputera i bezpieczne korzystanie z internetu to nie tylko kwestia technologii, ale również ludzkiego umysłu i edukacji. Pochodzi Pan z Polski, a tak się składa, że jedną z moich ulubionych konferencji poświęconych bezpieczeństwu jest odbywająca się na przemian w Warszawie i Krakowie konferencja CONFidence, której motto brzmi "ludzki umysł to najtrudniejszy element do załatania". Jest to jak najbardziej prawdziwe. Ludzki umysł jest najtrudniejszą luką do załatania, a jedyne co możemy robić w
firmach zajmujących się bezpieczeństwem komputerów jest podnoszenie poziomu świadomości użytkowników przez ich edukowanie za pośrednictwem konferencji, artykułów czy rozmów z mediami. Pamiętam taką sytuację, gdy do naszego działu obsługi technicznej zgłosił się klient, który padł ofiarą fałszywego oprogramowania antywirusowego. Taki program informuje, że komputer jest zarażony setkami albo tysiącami wirusów, co zazwyczaj nie jest prawdą, a za rzekome usunięcie infekcji żądane jest od nas przelanie pieniędzy na konkretny numer konta. Jednak fałszywy produkt, który zaatakował naszego klienta był już przez nas zidentyfikowany i znajdował się w bazach danych oprogramowania antywirusowego. Zapytaliśmy więc klienta, jak to możliwe, że został zaatakowany? Odpowiedział, że strona internetowa fałszywego antywirusa zawierała instrukcje nakazujące odinstalować wszelkie inne programy antywirusowe, aby usunąć rzekome infekcje, co klient lekkomyślnie uczynił. Jedynym sposobem na ochronę przed takimi zagrożeniami jest
edukowanie użytkowników.
WP: Co więcej, fałszywe antywirusy, które jeszcze jakiś czas temu wyglądały jak tandetne podróbki prawdziwych programów, dzisiaj coraz bardziej przypominają profesjonalne rozwiązania.
- Dokładnie, do tego stopnia, że niektóre fałszywe programy posiadają własne działy pomocy technicznej, działające 2. godziny na dobę. Można do nich nawet zadzwonić i uzyskać rzekomą pomoc, która oczywiście będzie miała na celu jedynie wyłudzenie pieniędzy.
WP: Wróćmy jeszcze na chwilę do serwisów społecznościowych. W jaki sposób takie portale jak Facebook, czy popularna w Polsce Nasza-Klasa mogą chronić swoich użytkowników? Pierwszym i podstawowym działaniem jest utworzenie w nich zakładek poświęconych bezpieczeństwu, ale czy taka forma edukacji jest wystarczająca?
- Problemem serwisów społecznościowych jest konieczność znalezienia równowagi między bezpieczeństwem, a użytecznością. Niestety, są to dwa aspekty, które zazwyczaj nie idą ze sobą w parze. Można albo mieć bezpieczny, ale mało użyteczny portal, albo serwis bardzo przyjemny dla użytkownika, lecz równie przyjemny dla przestępców. Ewentualnie możemy uzyskać częściowe bezpieczeństwo, kosztem częściowej rezygnacji z użyteczności. Możemy sobie wyobrazić, że najbezpieczniejszym komputerem świata byłaby maszyna zamknięta w piwnicy, nie podłączona do sieci i odcięta od zasilania, ale jednocześnie byłaby ona kompletnie bezużyteczna. Aby zachować jak największą użyteczność, co przyciąga nowych użytkowników, a za nimi reklamodawców, przy jednoczesnym dbaniu o bezpieczeństwo, serwisy społecznościowe posiadają zespoły ds. bezpieczeństwa. Taki zespół posiada chociażby Facebook czy Twitter. My współpracujemy z tymi zespołami i informujemy ich na bieżąco o wykrytych zagrożeniach lub lukach w danym serwisie.
WP: Czy w związku z tym przeprowadzacie testy bezpieczeństwa takich serwisów?
- Nie możemy przeprowadzać takich testów, gdyż byłoby to nie legalne, chyba że mielibyśmy podpisaną umowę na przeprowadzenie takich działań. Ale oczywiście monitorujemy sytuację w poszczególnych serwisach, wypatrując oznak ataków lub rozprzestrzeniania zagrożeń. Jakiś czas temu wykryliśmy początki epidemii w serwisie Twitter, polegającej na przesyłaniu robaka internetowego, który bardzo szybko zainfekował setki tysięcy kont. Oczywiście stworzyliśmy odtrutkę na to zagrożenie i poinformowaliśmy Twitter, który usunął lukę w zabezpieczeniach, pozwalającą na rozprzestrzenianie wirusa. Tak więc jest to nieustanna "praca zespołowa".
WP: W jaki sposób serwisy społecznościowe zostają zarażone wirusem? Od czego się to wszystko zaczyna?
- To nie sam serwis, ale jego użytkownicy są infekowani. Zazwyczaj dzieje się to na jeden z dwóch sposobów. Pierwszym jest wykorzystanie przez przestępców luki w samym serwisie do zaatakowania jego użytkowników. Nie dzieje się to jednak często, wykrycie takiej luki jest zazwyczaj czasochłonne, więc sytuacje tego typu zdarzają się stosunkowo rzadko. Natomiast każdego dnia, cyberprzestępcy wykorzystują mechanizmy serwisów społecznościowych do rozsyłania niebezpiecznych plików lub linków. Dokładnie to samo działo się kilkanaście lat temu, gdy pojawiły się pierwsze robaki internetowe, wysyłane przez e-mail. Tym razem historia powtarza się w serwisach społecznościowych.
WP: Starsi internauci mogą jednak pamiętać, że pierwsze wirusy były tworzone bardziej z pasji, by pokazać, że jest się lepszym od innych programistów. Dopiero później zaczęto je wykorzystywać do wykradania informacji i pieniędzy. Czy ataki na serwisy społecznościowe pominęły ten etap rozwoju?
- Niestety tak. Dzisiejsi cyberprzestępcy mają dwa cele, które przyświecają ich atakom. Pierwszym jest wykradzenie pieniędzy, przez zdobycie numerów naszych kart kredytowych lub zmuszenie nas do przelania pieniędzy na ich konta. Drugim motywem jest natomiast przejęcie kontroli nad komputerem i włączenie go do botnetu - sieci komputerów zombie. Możemy nawet nie zdawać sobie sprawy, że nasza maszyna stanowi część takiej sieci i jej moc obliczeniowa jest wykorzystywana do łamania zabezpieczeń, haseł lub przeprowadzania ataków DDoS, które powoduję wyłączenie konkretnych stron internetowych.
WP: Czy przypomina Pan sobie może jakąś sytuację ataku przeprowadzonego w serwisie społecznościowym, przez który ludzie stracili rzeczywiste pieniądze?
- Ciekawym przykładem może być oszustwo dokonane bez użycia żadnych wysublimowanych narzędzi i bez rozsyłania niebezpiecznych linków lub programów. Mechanizm ataku był bardzo prosty. Przestępcy przejmowali kontrolę nad kontem jednego z użytkowników serwisu społecznościowego. Po przejęciu konta, do wszystkich znajomych zaatakowanej osoby rozsyłano wiadomość o treści "hej, wyjechałem na weekend do Londynu, ale zostałem okradziony i potrzebuję pieniędzy na powrót. Przelej mi proszę niewielką sumę na konto (tu podawano numer konta przestępców)". Jak widać mechanizm jest bardzo prosty, a wiele niewielkich przelewów od przyjaciół zaatakowanej osoby składa się na całkiem pokaźną sumę. Gdyby wykonać ten sam atak z nieznanego adresu e-mail nie zadziałałby, ale kto nie pomoże przyjacielowi w potrzebie?
WP: Czy serwisy społecznościowe to jedyne niebezpieczne miejsca w sieci? Jak wygląda sytuacja na pozostałych stronach?
- Niestety w ostatnim czasie obserwujemy, że coraz więcej rzetelnych i teoretycznie godnych zaufania witryn pada ofiarami przestępców. Jeszcze do niedawna niebezpieczne witryny w internecie to były strony prowadzone przez samych przestępców, zazwyczaj znajdujące się gdzieś na szarym końcu sieci. Tymczasem ostatnio przestępcy zaczęli rozszerzać swoją działalność związana z nielegalnym uzyskiwaniem dostępu do serwerów znanych stron internetowych. Wstrzykują oni szkodliwy kod, zazwyczaj na końcu strony. Dzięki temu po załadowaniu strony internetowej zaufanej firmy, bloga albo czyjejś strony prywatnej, uruchamiany jest dodatkowy skrypt, który infekuje maszynę odwiedzającego internauty.
WP: A czy możliwe jest wskazanie jakiejś zawartości strony internetowej, która jest bardziej atrakcyjna dla przestępców i bardziej ich przyciąga? Czy zakładając własną stronę warto unikać jakiejś tematyki, by nie kusić losu?
- Właściwie nie. Przestępcy używają zautomatyzowanych narzędzi, które niczym roboty zarażają każdą witrynę, którą się da. Oczywiście istnieje możliwość, że poruszaną na witrynie tematyką lub popularnością strony zwrócimy uwagę kryminalistów, ale jest to mało prawdopodobne. Można jednak wyróżnić jedną grupę przestępców. Są to osoby lub grupy, które włamują się na konkretne strony, aby przekazać jakąś polityczną wiadomość. Aktywne są grupy Turków lub Rumunów, ale właściwie przy każdym większym, kontrowersyjnym wydarzeniu na świecie, w sieci nasilają się ataki, mające na celu manifestację poglądów politycznych różnych grup. Są to jednak wyjątkowe przypadki. Zwykły internauta, który prowadzi własną stronę internetową powinien po prostu upewnić się, że korzysta z niezawirusowanego komputera, na którym zainstalowane są aktualne wersje wszystkich programów - to podstawowe zabezpieczenie.
WP: Skoro potencjalnie każda strona może zostać zaatakowana, rodzi się pytanie, czy systemy bankowe, które dbają o nasze pieniądze są bezpieczne? Czy możemy spać spokojnie, nie martwiąc się o zabezpieczenie naszych finansów?
- Nie słyszałem o zbyt wielu incydentach związanych z włamaniami do infrastruktury banku. Jednak, nawet jeśli bank posiadałby najbezpieczniejszy system na świecie, nadal musi on pozwolić na zalogowanie użytkownikowi. Jeśli klient banku loguje się z komputera, na którym znajduje się trojan bankowy, wykonane przez niego przelewy mogą trafić na konta przestępców. Systemy bankowe nie pozwalają jednak na rozprzestrzenienie się zagrożenia do innych użytkowników lub do samej infrastruktury banku.
WP: Jakiś czas temu opisywaliśmy sytuację, w której jeden z naszych czytelników miał problem z bankiem w Szwajcarii, który w niebezpieczny sposób zaksięgował jego transakcje. Próbując uzyskać od banku informację, czemu klient, który płacił za usługę z terenu Polski, był wyszczególniony w systemie jakby dokonał transakcji na terenie Szwajcarii. Usłyszeliśmy odpowiedź "nasz system jest bezpieczny bo mamy SSL". Ta historia stała się przyczynkiem do zbadania przez nasz serwis stanu bezpieczeństwa systemów bankowych. Eksperci stwierdzili, iż Polska posiada bardzo bezpieczną bankowość, ponieważ system w naszym kraju jest dość młody. Czy to zasadne stwierdzenie?
- Tak, jak najbardziej. Choćby w Wielkiej Brytanii lub USA, można nadal znaleźć mechaniczne czytniki kart kredytowych, które drukują numer karty kredytowej na wyciągu. Gdy udamy się do krajów Europy Centralnej i Wschodniej, takich jak Polska, spotkamy tam tylko najnowsze osiągnięcia techniki, dzięki czemu systemy bankowe w tych krajach są bardzo bezpieczne.
Rozmawiał: Grzegorz Barnik, Wirtualna Polska