Bezpieczeństwo danych: GhostNet to dopiero początek?
06.04.2009 12:30
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Eksperci są zgodni: czasy młodocianych hakerów, włamujących się do komputerów "dla funu" by zdobyć rozgłos, minęły. Ich miejsce zajęli osobnicy politycznie lub ekonomicznie umotywowani, doceniający wartość najcenniejszego zasobu nowoczesnego świata - informacji. Niedawne wykrycie cyberszpiegowskiej sieci GhostNet, której ofiarami w dużej mierze padły instytucje rządowe wielu państw, stawia pod znakiem zapytania jakość systemów zabezpieczających stosowanych w administracji publicznej - skoro udało się włamać do peceta w kwaterze NATO, co powstrzyma hakera przed przeszukaniem zasobów lokalnych w urzędzie gminnym?
Zgodnie z danymi przedstawionymi przez analityków SecDev Group i naukowców uniwersytetu w Toronto, w ramach sieci GhostNet funkcjonowało co najmniej 129. komputerów ze 103 krajów rozsianych po całym świecie. Pecety ( wśród których ok. 30 % to maszyny należące do placówek dyplomatycznych, ministerstw, firm prywatnych i organizacji pozarządowych ) były infiltrowane i kontrolowane przez hakerów, próbujących uzyskać dostęp do danych o dużym znaczeniu politycznym, militarnym i handlowym.
Więcej informacji: GhostNet - armia chińskich cyberszpiegów? - http://www.pcworld.pl/news/342799/ghostnet.armia.chinskich.cyberszpiegow.html
Czy zabezpieczenia systemów komputerowych administracji rządowej rzeczywiście pozostawiają wiele do życzenia? Czy możemy mieć pewność, że nasze dane, przechowywane na komputerze urzędnika nie wpadną w niepowołane ręce?
Zestaw słabości
Tomasz Grudziecki z polskiego oddziału CERT (Computer Emergency Response Team) uważa, że największą bolączką użytkowników - jeśli mowa o zabezpieczeniu informacji przed wyciekiem - jest pewien "zestaw słabości", czyli wrażliwych elementów systemu. Owe słabości to: czynnik ludzki (użytkownicy podatni na ataki wykorzystujące socjotechnikę) i nieaktualne oprogramowanie ( system operacyjny, aplikacje antywirusowe z przestarzałymi regułami/sygnaturami ). To ostatnie "pośrednio sprowadza się do czynnika ludzkiego, wszak to użytkownik powinien zadbać o aktualizacje" - uważa przedstawiciel CERT i dodaje: "Oczywiście dochodzi jeszcze niedoskonałość antywirusów czy ogólnie aplikacji zabezpieczających (nie ma i nie będzie jednego idealnego rozwiązania tego typu)."
Potwierdza się zatem - i to po raz kolejny - przekonanie, że to człowiek jest najsłabszym ogniwem - http://www.pcworld.pl/news/92091/czlowiek.najslabsze.ogniwo.html bezpieczeństwa komputera. Analizując dane zawarte w raporcie Information Warfare Monitor dotyczącym GhostNetu można dojść do wniosku, że głównym narzędziem cyberprzestępców była socjotechnika ( tzw. "social engineering" ). Wykorzystywali oni ludzką naiwność wysyłając e-maile z zainfekowanym załącznikiem. "Proszę zauważyć, że najprawdopodobniej co najmniej jeden exploit z załącznika (w raporcie jest zrzut ekranu z serwisu VirusTotal) wykorzystywał lukę z 2006 roku. Można więc przypuszczać, że ofiara w chwili infekcji nie miała zaktualizowanego oprogramowania (w tym przypadku Word). Dodatkowo, z danych VirusTotal wynika, że wprawdzie malware z załącznika został wykryty tylko przez 11 z 34 antywirusów, ale w tej grupie znalazło się także oprogramowanie Microsoftu. Może to
sugerować (choć to dalej są tylko domniemania), że ofiara mogła nie mieć także zaktualizowanego systemu operacyjnego" - uważa T. Grudziecki.Wiemy, już że aby atak okazał się skuteczny, musi zostać spełnionych kilka warunków, w tym lekkomyślność użytkownika, nieaktualne oprogramowanie, itp. chociaż w tym ostatnim wypadku nawet posiadanie najnowszej wersji antywirusa czy systemu operacyjnego z wszystkimi łatkami nie daje gwarancji bezpieczeństwa. "Exploity skierowane są zawsze przeciwko konkretnej luce w danej aplikacji - jeżeli używamy innego oprogramowania (w tym także systemu operacyjnego), to nie zostaniemy zainfekowani. Jednakże żadna aplikacja czy system operacyjny nie da nam pewności - nie ma idealnego oprogramowania, więc nie można stwierdzić, że kupno jednej konkretnej (nawet najdroższej) aplikacji rozwiąże problem" - ostrzega ekspert CERT Polska.
Przychodzi haker do urzędu
Chociaż infrastruktura urzędu administracji publicznej, ministerstwa, placówki dyplomatycznej czy stowarzyszenia międzynarodowego nie różni się pod względem budowy od firmowych sieci teleinformatycznych, to dane gromadzone, przechowywane i przetwarzane w niej są z racji swego znaczenia łakomym kąskiem dla cybeprzestępców - uważa Maciej Sobianek, specjalista ds. bezpieczeństwa z Panda Security Polska. "Wystarczy sobie wyobrazić jakie skutki mógłby spowodować dobrze przeprowadzony atak na sieć krytycznej dla bezpieczeństwa państwa instytucji. Tajne informacje związane z planowanymi działaniami ekonomicznymi w niepowołanych rękach mogłyby zaprzepaścić miesiące przygotowań i pracy wielu urzędników" Poprzez systematyczne ich pozyskiwanie oraz umiejętne manipulowanie nimi możliwe jest nawet wpływanie na politykę całego państwa" - twierdzi nasz rozmówca.
Opisane przez M. Sobianka ryzyko jest niebagatelne, gdyż w wypadku administracji rządowej, oprócz wspomnianego "zestawu słabości" należy jeszcze brać pod uwagę dużą rotację personelu - zwłaszcza pracowników specjalistycznych, takich jak administratorzy sieci, jak również niskie zarobki i problemy związane z procedurą przetargową. Przedstawiciel Panda Security uspokaja jednak, mówiąc, że obecnie nie ma przesłanek co do tego, aby stosowane w Polsce systemy ochronne uznać za niepełne lub niewystarczające. Kolejne doniesienia ze świata, dotyczące zjawiska cybeprzestępczości, powinny być jednak bodźcem do rozpoczęcia otwartej dyskusji na temat przygotowania kraju na wypadek zmasowanego cyberataku na najważniejsze instytucje i organizacje państwowe.
"System zabezpieczający zasoby teleinformatyczne organizacji, podobnie jak system przetwarzający to złożony organizm. Kwestię bezpieczeństwa należy rozpatrywać w kwestiach globalnej, wielopoziomowej ochrony. Gdy opracowywany jest plan podniesienia poziomu bezpieczeństwa, konieczne jest przeprowadzenie wielu złożonych operacji analizy zagrożeń, inwentaryzacji oraz klasyfikacji zasobów, które mają podlegać ochronie" - podkreśla M. Sobianek. Wdrożenie kompleksowego systemu ochrony zasobów musi być więc poprzedzone pełną analizą i audytem bezpieczeństwa teleinformatycznego. Aby ochrona była skuteczna, takie audyty (rozszerzone o testy penetracyjne) trzeba przeprowadzać systematycznie.
Będzie więcej ataków
"Nielegalne" wykorzystanie cybeprzestrzeni będzie się nasilać zarówno w konfliktach politycznych, jak i do celów ekonomicznych, spodziewa się Tomasz Grudzieck. "Jak pokazały ostatnie lata, cyberataki są coraz powszechniejszym zjawiskiem i towarzyszą niemal każdym konfliktom międzynarodowym ( sprawy Estonii - http://www.pcworld.pl/news/110541/estonia.koniec.dos.html, Gruzji - http://www.pcworld.pl/news/162227/gruzja.zaatakowana.przez.rosje.rowniez.w.internecie.html czy Izraela - http://www.pcworld.pl/news/333169/trojan.pomoze.izraelowi.wygrac.wojne.html ). Na pewno ten trend będzie się nasilał, chociażby przez to, że Internet odgrywa coraz większą rolę w naszym życiu ( coraz więcej można "zrobić" poprzez Internet, więc coraz dotkliwsze i groźniejsze będą
cyberataki )" - prognozuje przedstawiciel CERT Polska.
Opinię tę podziela Maciej Sobianek: "Zaobserwowane w ostatnich latach działania, np. podczas konfliktu rosyjsko-gruzińskiego, są jedynie początkiem możliwości, jakie otwierają się przed cyberprzestępcami. Wyobraźmy sobie sytuację w której sprawna grupa cyberprzestępców uzyskuje dostęp do krytycznych sieci teleinformatycznych kraju. Każdy krok przeciwnika mógłby być przewidziany. Wszystkie decyzje oraz plany na bieżąco mogłyby być analizowane przez drugą stronę konfliktu." Zdaniem eksperta Panda Security chaos informacyjny wywołany wyłączeniem największych lokalnych portali internetowym lub nawet zablokowaniem dostępu do zagranicznych zasobów internetowych byłby nie do opanowania przez lokalne władze.