Raport 2011: czym zajmowali się hakerzy w pierwszym półroczu?

Raport ten, to rozkład na czynniki pierwsze największych w 2011 roku naruszeń bezpieczeństwa informatycznego oraz wnioski, które powinny wyciągnąć przedsiębiorstwa. Został on przygotowany przez Tomera Tellera, ewangelistę bezpieczeństwa z firmy Check Point Software Technologies.

Rok 201. był dla cyberprzestępców rokiem niezwykle pracowitym. Nie można stwierdzić, że incydenty bezpieczeństwa IT nie były zgłaszane – wszystkie znalazły się w nagłówkach gazet, rzetelnie opublikowane przez przedsiębiorstwa, przeciwko którym te ataki były wymierzone.

- Rok rozpoczął się od włamania do korporacji RSA, które było złożonym, ściśle wymierzonym atakiem phishingowym, gdzie niewielką grupę pracowników firmy zmanipulowano do otwarcia złośliwej wiadomości email o tytule „Plan rekrutacji na 2011”. Email w rzeczywistości zawierał zawirusowany arkusz kalkulacyjny. Atakującym udało się złamać uwierzytelnianie przy pomocy tokenów securID firmy RSA, przez co narazili na niebezpieczeństwo dziesiątki przedsiębiorstw z listy Fortune 50. i poczynili straty liczone w milionach dolarów.

- Kolejny atak z początku tego roku dotyczył amerykańskiej rządowej firmy bezpieczeństwa IT HBGary Federal. Agencja dopiero po informacji od grupy hakerów zorientowała się, że poufne dane, tysiące firmowych emaili oraz dokumenty finansowe ich klientów zostały wykradzione i ujawnione. Głównym celem atakujących –. najprawdopodobniej grupy internetowych aktywistów „Anonymous” – było po prostu wyrządzenie szkody i skompromitowanie firmy w odwecie za zbytnią pewność siebie głównego dyrektora, który twierdził, że rozgryzł grupę Anonymous i ujawni informacje o jej członkach.

- W kwietniu firma Epsilon, jeden z największych na świecie dostawców usług marketingowych oferowanych za pośrednictwem poczty email, wysyłających około 4. miliardów wiadomości email rocznie do klientów takich jak Mc Kinsey & Company, Marriott Rewards, Citibank, Walgreens, Tivo, etc, doświadczyła jednego z najbardziej dotkliwych ataków w historii, którego efektem było ujawnienie milionów indywidualnych adresów poczty elektronicznej. Założeniem przestępców było przechwycenie jak największej ilości informacji na temat klientów, potrzebnych by tworzyć zaawansowane i wiarygodne emaile phishingowe w celu dalszej kradzieży.

- Nieco później w tym miesiącu w Sony Playstation Network doszło do wycieku prywatnych informacji należących do ponad 7. milionów użytkowników – włączając w to adresy email, hasła, kody PIN, szczegóły kontaktów, prawdopodobnie informacje dotyczące kart kredytowych i inne tego rodzaju dane – narażając w ten sposób klientów Sony na ryzyko ataków phishingowych i kradzieży tożsamości. Co więcej, firma przyznała się do drugiego ataku mającego miejsce na początku maja i wycieku informacji o kolejnych 24,6 milionach graczy bez podania do wiadomości jego przyczyny.

- Citibank w czerwcu tego roku odkrył, że prywatne dane oraz informacje dotyczące kont około 20. 000 użytkowników ich kart w Ameryce Północnej zostały wykradzione. Przechwycone dane mogły zawierać zarówno informacje o kartach kredytowych jak i nazwiska i adresy email klientów.

Podsumowując, wszystkie te ataki ujawniły miliony dokumentów i prywatnych informacji o klientach oraz poufnych danych przedsiębiorstw. Jedyną dobrą stroną tego jest fakt, że firmy zaczęły brać sprawy w swoje ręce i stały się bardziej aktywne w kwestii bezpieczeństwa. Zgłaszają wszelkie włamania tuż po ich wykryciu i w większości przypadków, bezzwłocznie informują swoich klientów i innych zainteresowanych o tym, co się wydarzyło.

Bądź bezpieczny, pobierz IE 9 i wygraj nagrody zobacz więcej >>

Pierwsza diagnoza jaką możemy postawić na podstawie tych ataków brzmi: włamania te zostały starannie zaplanowane, zaaranżowane i wykonane. Mają wysoki poziom złożoności, który kwalifikuje je jako Advanced Persistent Threats (APT), skonstruowane specjalnie przeciwko konkretnym przedsiębiorstwom. Wielkość firm, których one dotyczyły jest imponująca. Z wyjątkiem HBGary, ofiarą ataków padały olbrzymie korporacje zatrudniające ponad 1. 000 pracowników, operujących znacznymi kapitałami, informacjami o klientach i poufnymi danymi – innymi słowy żyła złota dla cyberprzestępców.

Atakującymi są świetnie wyszkoleni eksperci bezpieczeństwa, których kuszą wyzwania i profity finansowe. Ataki zostały zaplanowane i zaaranżowane z precyzją operacji wojskowych. Przed przeprowadzeniem właściwego ataku, hakerzy szczegółowo odtwarzają całą architekturę sieci wybranej organizacji w celu przeprowadzenia symulacji ataku we własnym środowisku laboratoryjnym. Jak dowiedziono w przypadku sprawy HBGary, przestępcy wykazują się niezwykłą cierpliwością i determinacją. Biorą również pod uwagę ryzyko wiążące się z ich akcją, między innymi lata pozbawienia wolności.

Kolejnym punktem wspólnym tych włamań jest zastosowanie technik inżynierii społecznej. Obecnie cyberprzestępcy manipulują osobami pracującymi wewnątrz firmy, „hakując ludzkie umysły”. aby włamać się do systemów przedsiębiorstwa. W przypadku Epsilonu, podstępem skłoniono jednego z pracowników do otwarcia phishingowej wiadomości email i kliknięcia na znajdujący się w niej link. Dzięki temu hakerzy zyskali dostęp do tożsamości systemowej pracownika i wykorzystali ją do połączenia się z korporacyjną bazą danych.

Niestety, użytkownicy zawsze byli najsłabszym ogniwem w systemie zabezpieczeń organizacji. Zawsze można znaleźć użytkownika podatnego na podstęp: może to być nowy, niedoinformowany pracownik lub rozgadana sekretarka, która udziela zbyt wielu informacji. Kiedy hakerzy dostaną się do systemu, działają po cichu. Pozostają niewykrywalni, kradnąc jak najwięcej informacji aż do momentu, kiedy ich obecność zostaje dostrzeżona i korporacja zaczyna śledztwo. Czasami trwa to latami.

Co więcej, ci cyberprzestępcy już nie są samotnymi amatorami. Należą do dobrze zorganizowanych grup, które przypominają siatki terrorystyczne –. mają pieniądze, motywacje i cele. W celu stworzenia oryginalnego ataku opartego na socjotechnice i pozyskania danych, mają do dyspozycji wysoki poziom inteligencji oraz dużo czasu i niezbędnych zasobów. To jak duże będą straty zależy tylko od jednego - jak daleko atakujący się posunie?

Warte kradzieży są nie tylko dane finansowe. Coraz częściej zauważamy, że atakujący częściej szukają ogólnych informacji o klientach niż poszczególnych wykazów lub danych kart kredytowych. W rzeczy samej, te informacje mogą być bardzo dochodowe dla spamerów.

Jeżeli w rekordzie klienta w bazie danych przechowywane są informacje takie jak nazwa użytkownika połączona z nazwiskiem i adresem email, to już jest to bardzo cenna informacja. Takie dane mogą być użyte do skonstruowania spersonalizowanej wiadomości spamowej, zawierającej dane użytkownika, różne szczegóły i zainteresowania, co wygląda bardzo wiarygodnie. Szanse na to, że użytkownik otworzy spersonalizowaną wiadomość spamową i kliknie na nią są dużo większe niż w przypadku otrzymania ogólnego spamu. To z kolei powoduje wzrost zysków płynących z kampanii spamowej. Weźmy przykład wysłania emaila do 50. 000 odbiorców z ofertą sprzedaży jakiegoś produktu. Jeżeli tylko 1 odbiorca na 1000 zamówi ten produkt, to już daje 500 nowych zamówień. Teraz można wyobrazić sobie ogrom zysków, jaki może przynieść spamerowi 70 milionów adresów email wraz z indywidualnymi informacjami o ich właścicielach.

Bądź bezpieczny, pobierz IE 9 i wygraj nagrody zobacz więcej >>

Poza korzyściami materialnymi jakie przynosi sprzedaż informacji na czarnym rynku, warto wspomnieć o konsekwencjach finansowych ataków, jakie ponosi organizacja w związku z własnością intelektualną i utratą jakości marki. Na przykład w sprawach HBGary lub Wikileaks, w których to doszło do publikacji w Internecie poufnych emaili i tajemnic państwowych, włamanie spowodowało olbrzymi uszczerbek w reputacji obu organizacji. W ostatnim ataku na Lockhead Martin –. największy koncern zbrojeniowy w Stanach Zjednoczonych – konsekwencje mogły być zdecydowanie gorsze, ponieważ atakujący mierzyli w ściśle tajne, rządowe projekty oraz plany militarne, mogące potencjalnie skompromitować sam Pentagon. Na szczęście podobno nie udało się wykraść żadnych informacji.

Przedsiębiorstwa nie powinny łudzić się, że zagrożenie atakami ich nie dotyczy. Wymierzone ataki są coraz popularniejsze i żadna firma nie jest w pełni bezpieczna. Korporacje powinny tworzyć jak najwięcej barier ochronnych oddzielających ich sieci i zasoby od cyberprzestępców.

Ochrona zaczyna się od wdrożenia dogłębnej strategii bezpieczeństwa w sieci, stacjach roboczych oraz w licznych urządzeniach łączących się do sieci. Przedsiębiorstwa muszą stosować szereg warstw bezpieczeństwa, włączając w to zaawansowane firewalle oraz systemy Intrusion Prevention System (IPS) niezbędnych do wykrycia skomplikowanych zagrożeń. Niezbędne są wszechstronne rozwiązania bezpieczeństwa stacji roboczych i urządzeń mobilnych. Należy też stosować technologie zapobiegające wyciekom danych aby chronić zbiory informacji. Aby zapewniać ochronę, przedsiębiorstwa potrzebują solidnej, dobrze skonstruowanej polityki bezpieczeństwa. Taka polityka musi być dopasowana do wymagań biznesowych i być zrozumiała dla pracowników organizacji. Co więcej, zachęcam korporacje aby przyjrzały się na nowo sposobom w jaki udostępniają przechowywane dane a następnie przemyślały, jak najlepiej je chronić.

Po zabezpieczeniu i zamknięciu tych “frontowych drzwi”. przed hakerami, firmy muszą zająć się zabezpieczaniem i zamykaniem ich odwiecznego problemu „tylnych drzwi”, czyli samych użytkowników. Błąd ludzki jest jedynym problemem bezpieczeństwa, którego sama technologia nie rozwiąże i na który nie ma aktualizacji oprogramowania naprawiającej usterkę. W interesie pracodawcy jest aktywne angażowanie, trening i edukacja jego pracowników aby zmienić ich w prawdziwych i świadomych strażników bram korporacji.

Cogito ergo Sum powiedział francuski filozof René Descartes –. myślę więc jestem. Jestem pewien, że ta siedemnastowieczna maksyma mogłaby znaleźć zastosowanie w nowoczesnej informatyce. Użytkownicy jako jednostki myślące są integralną częścią procesu bezpieczeństwa. Tylko wyszkolona i świadoma kadra pracownicza w połączeniu z solidnym systemem bezpieczeństwa oraz dobrze określoną polityką bezpieczeństwa mogą pokonać współczesnych hakerów. Miejmy nadzieję, że przedsiębiorstwa wyciągną wnioski z tych lekcji, co zaowocuje skutecznym unikaniem ataków w nadciągających miesiącach.

Bądź bezpieczny, pobierz IE 9 i wygraj nagrody zobacz więcej >>