|
Autor Izabela Strońska
Piątek, 07. 05. 2010 09:35
Rachunek strat: rok pozbawienia wolności w zawieszeniem na 3 lata i 5926,58 zł grzywny i opłat sądowych. Rachunek zysków: złamanie zabezpieczeń operatora telekomunikacyjnego Multimedia Polska, dostęp do haseł i baz danych, zyskanie miana hakera. Najważniejsze – publiczne obnażenie słabości systemu zabezpieczeń.
Kilka tygodni temu ujęty został internauta, który włamał się na serwer Multimedia Polska. Nie byłoby w tym nic nadzwyczajnego, gdyby nie fakt, iż chłopak utrzymuje, że nie złamał żadnych zabezpieczeń systemowych. Oznacza to, że uzyskanie dostępu do danych było dziecinnie proste…
Ile jest w Polsce źle zabezpieczonych stron? Czy włamanie się na nie to jeszcze robota dla specjalisty?
W raporcie firmy Akamai o stanie Internetu można wyczytać ciekawostki – np. że ulubionym dniem hakerów jest poniedziałek. Ale można też znaleźć informację o tym, że Polska znalazła się w pierwszej dziesiątce krajów, z których pochodzi najwięcej hakerskich ataków na całym świecie. Nasz kraj powrócił do rankingu po długiej nieobecności, wypierając z pierwszej dziesiątki takie mocarstwa, jak np. Rosja. Co prawda wciąż najwięcej ataków dokonywanych jest w Chinach, Stanach Zjednoczonych i Korei Południowej, ale na polskim cyberpodwórku też nie jest nudno.
• obraźliwe i nielegalne treści: 34,75 proc.
• oszustwa komputerowe: 31,19 proc.
• złośliwe oprogramowanie: 14,94 proc.
• gromadzenie informacji: 8,28 proc.
• próby włamań: 4,26 proc.
• włamania: 2,71 proc.
• inne: 1,86 proc.
• dostępność zasobów: 1,32 proc.
• bezpieczeństwo informacji: 0,70 proc.
Najczęstszym problemem 2009 r. było rozsyłanie obraźliwych i nielegalnych treści. Głównym winowajcą jest oczywiście spam, ale w tę kategorię włącza się również dyskredytację i obrażanie oraz pornografię dziecięcą. Na drugim miejscu plasują się oszustwa komputerowe. W porównaniu z rokiem 2008 liczba rozsyłanych obraźliwych i nielegalnych treści zmalała o 5,95 proc. (wynik z 2008 r.: 40,7 proc.), ale liczba oszustw komputerowych wzrosła o 4,35 proc. (wynik z 2008 r.: 26,84 proc.). Jako główną przyczynę eksperci podają wzrost aktywności phisherów.
– Phishing jest próbą wyłudzenia poufnych informacji poprzez podszywanie się pod instytucję lub jednostkę godną zaufania – tłumaczy dyrektor IT Kontrakt, Marceli Smela – najpopularniejsza forma phishingu opiera się na podrabianiu wiadomości z banku z prośbą o zalogowanie się na swoje konto w celu weryfikacji użytkownika.
Jeszcze bardziej niebezpieczny jest tzw. phishing selektywny. Dostajemy wiadomość od administratora strony naszej firmy albo szefa działu IT z prośbą o zalogowanie się w sprawie służbowego konta, klikamy na podany link i otwieramy złodziejowi drogę dostępu do tajnych danych firmy. – Taka metoda działania opiera się na klasycznej zasadzie marketingu: kierowanie właściwego przekazu do właściwych ludzi – wyjaśnia Marceli Smela – przynęta trafia do zamkniętego grona odbiorców, co uwiarygodnia komunikat i usypia czujność odbiorcy.
Trzecim źródłem ataków sieciowych jest złośliwe oprogramowanie. Komputery prywatne były atakowane przez popularne konie trojańskie, zresztą, jak pokazuje najnowszy raport Kaspersky Lab dotyczący szkodliwego oprogramowania, taka sytuacja nie zmieniła się i w tym roku. Programy najczęściej atakujące komputery prywatne to: Trojan.Win32.Inject.anru (12,69-proc. udział), HEUR:Trojan.Win32.Generic (10,16 proc.), Packed.Win32.Krap.ao (5,38 proc.) i Backdoor.Win32.Hackdoor.og (3,97 proc.).
Pozytywnym aspektem zestawienia jest to, że najmniej zgłaszanych ataków dotyczyło bezpieczeństwa informacji.
Co tam Panie, w polityce?
Najlepiej nie jest – przeprowadzone pod koniec ubiegłego roku badania 16 witryn rządowych ujawniły 431 błędów. Ponad 70 proc. z nich cechuje niski stopień zagrożenia, ale prawie 20-proc. wynik błędów o bardzo wysokim poziomie zagrożenia jest alarmujący.
Bardzo wysoki: 17 proc.
Wysoki: 2 proc.
Niski: 73 proc.
Informacyjny: 8 proc.
Jakie błędy zostały włączone w poczet podatności o wysokim/ bardzo wysokim stopniu niebezpieczeństwa? Przede wszystkim Cross Site Scripting oraz SQL/XPath Injection, jednak nie wszystkie zagrożenia wynikają z błędów specjalistycznych. 7 proc. spowodowanych jest używaniem nieaktualnego oprogramowania.
Nieaktualna wersja protokołu SSL: 3 proc.
Nieaktualna wersja modułu PHP: 3 proc.
Podatności typu SQL/XPathInjection: 11 proc.
Nieaktualna wersja serwera Apache: 1 proc.
Podatności typu Cross Site Scripting: 82 proc.
Jak mówi Marceli Smela: „Największe zagrożenia dla bezpieczeństwa wynikają z błędów w aplikacjach, do których dostęp ma użytkownik zewnętrzny. Aplikacje te bardzo często nie są budowane, konfigurowane i utrzymywane przez lokalnych administratorów”.
Pozdrowienia dla Pana Premiera
Ataków hakerskich jest zdecydowanie zbyt wiele, żeby notować każdy z nich. Kilka jednak odbiło się szerokim echem w opinii publicznej…
Pod koniec listopada zeszłego roku gruchnęła wieść o wycieku tysięcy haseł polskich internautów. Na portalu goldenline.pl pojawił się link do strony zawierającej loginy i hasła dostępu do kont między innymi na takich serwisach, jak: Allegro.pl, Nasza-Klasa.pl, Era.pl, Kurnik.pl, TP.pl, Orange.pl, O2.pl, Fotka.pl, Blox.pl.
Jak się okazało, wyciek nie pochodził z serwisów internetowych, a z zainfekowanych trojanem Ha******d Stealer komputerów użytkowników. Spreparowany plik trojan.exe zawierał informacje o koncie FTP lub adresie e-mail, pod który wysłane będą przechwycone hasła. Zainfekowany plik podrzucany był użytkownikowi (jako link do zdjęć, aplikacja etc.), kliknięcie na niego automatycznie powodowało zainstalowanie się Trojana w systemie i zaczynało się przechwytywanie haseł.
1. 123 456 użyte 290 731 razy
2. 12 345 użyte 79 078 razy
3. 123 456 789 użyte 76 790 razy
4. Password użyte 61 958 razy
5. iloveyou użyte 51 622 razy
6. princess użyte 35 231 razy
7. rockyou użyte 22 588 razy
8. 1 234 567 użyte 21 726 razy
9. 12 345 678 użyte 20 553 razy
10. abc123 użyte 17 542 razy
Łakomym kąskiem dla cyberprzestępców są strony rządowe. Pod koniec ubiegłego roku mieliśmy do czynienia z dwoma atakami hakerskimi w ciągu dwóch dni. Najpierw na stronie Rady ds. Uchodźców pojawił się tekst: „Możesz mnie zatrzymać, ale nie zatrzymasz nas wszystkich… Pozdrowienia dla Pana Premiera”, a później zaatakowana została strona Państwowej Służby Hydrogeologicznej.
ABW błyskawicznie ustaliła tożsamość sprawcy, jednak haker nadal pozostaje na wolności. Polskie prawo zabrania bowiem ścigać tego typu przestępstwa z urzędu. Wcześniej ktoś musiałby złożyć na działalność hakera doniesienie, a takowe nie wpłynęło. Co ciekawe, żadna z zaatakowanych stron nie bierze udziału w dobrowolnym programie ochrony witryn internetowych przed atakami hakerskimi prowadzonym przez CERT (Computer Emergency Response Team).
Takie ataki to niestety nie rzadkość, ostatnie doniesienia pochodzą chociażby z początku kwietnia – urzędnicy administracji publicznej dostali w tych dniach e-mail zatytułowany: „The annual Cybersecurity meeting on April 05-08.” Jak poinformował CERT: Nadawcy podszywają się pod Ministerstwo Obrony Estonii, a przesyłki zawierać mogą plik PDF, który po otwarciu wykorzystuje niezałatane luki w programie Adobe Acrobat Reader i służy do infekcji komputera osobistego złośliwym oprogramowaniem.
Dlaczego hakerzy atakują rządowe strony? Wcale nie po to, żeby przechwycić tajne dane, bo nie jest tajemnicą, że te przechowywane są na innych serwerach. Jak podkreśla Marceli Smela: „Większość ataków to nie autentyczne próby włamań, ale nauczka – hakerzy chcą zwrócić uwagę, że witryny nie są odpowiednio chronione”.
Gdzie szukać specjalisty
Eksperci zajmujący się projektowaniem i wdrażaniem systemów zabezpieczeń są najczęściej freelancerami. Z ich usług firmy korzystają na zasadzie outsourcingu. Wynajmem takiego specjalisty nie jest jednak rzeczą łatwą. Perfekcyjna znajomość technologii, przekrojowa wiedza potwierdzona certyfikatami i ścisła tajemnica to cechy, jakich wymaga się od tego rodzaju ekspertów, a takich firmy rozchwytują na rynku pracy bardzo szybko. Większość specjalistów działa bardzo dyskretnie, tworząc nawet małe zespoły zajmujące się ochroną teleinformatyczną podmiotów gospodarczych.
– Zespoły takich informatyków tworzą zabezpieczenia w bankach, instytucjach rządowych i firmach telekomunikacyjnych – mówi Marceli Smela, dyrektor IT Kontrakt. – Każdy dostawca takich usług robi wszystko, by w swej bazie mieć najwybitniejszych specjalistów w kraju.
Znawcy tematu są jednak zgodni co do tego, że najsłabszym elementem każdego systemu jest człowiek. Potwierdzają to również hakerzy. Sztandarowa postać tego środowiska Kevin Mitnick przyznał, że większość jego spektakularnych włamań nie miałaby miejsca, gdyby nie naiwność, nieuwaga czy niedbalstwo użytkowników. Sztandarowe słowa tego superhakera zdają się precyzyjnie uderzać w najsłabszy punkt zabezpieczeń. – Łamałem ludzi, nie hasła – miał powiedzieć Mitnick zapytany o swoją tajemnicę.
To samo mógłby powiedzieć internauta, który zaatakował serwer Multimedia Polska – obnażył przecież słabość systemu, za którym stoi, i za który odpowiada człowiek. Sztaby specjalistów opracowują jeszcze szczelniejsze i jeszcze bardziej zaawansowane techniki zabezpieczeń. I dobrze, bo jak widać, hakerzy nie próżnują. Ale w całej cyberwojnie nie można zapomnieć o najważniejszym – mózgiem wcale nie jest tu komputer, a człowiek. I to on i jego dokładność stanowią pierwszą linię obrony. Spece od zabezpieczeń niczym mantrę powtarzają historię o włamaniu do jednej z firm, do którego doszło, gdy leniwy pracownik zapisane na żółtej kartce kody dostępu do bazy danych przykleił na obudowie służbowego komputera. Konkurencja odkupiła hasła spisane przez sprzątaczkę za naprawdę duże pieniądze.
* O szpiegostwie przemysłowym Chin czytaj na stronie 8
4 proc. światowego spamu pochodzi z Polski
Liczba niebezpiecznych programów w sieci i włamań do komputerów rośnie lawinowo. W 2009 r. było ich o 71 proc. więcej niż rok wcześniej. Z raportu specjalizującej się w zabezpieczeniach teleinformatycznych firmy Symantec wynika, że w ciągu 12 miesięcy odnotowano prawie 3 mln niebezpiecznych programów, a 7 mln komputerów na całym świecie działa w sieciach tzw. zombie. W 2009 r. 75 proc. firm padło ofiarą ataku na swoje komputery. Na szczęście nie wszystkie ataki były skuteczne. Z danych Symantec wynika, że na świecie odnotowuje się ok. 100 ataków na sekundę, a co 4,5 sekundy dochodzi do zainfekowania jednego komputera. Jak się okazuje, najwięcej spamu w Europie, Afryce i na Bliskim Wschodzie pochodziło w 2009 r. właśnie z Polski. W Polsce ulokowane są również serwery przechowujące 11 proc. stron wykorzystywanych do ataków
„phishingowych”. ps
Biznes w stanie podwyższonej gotowości
O najsłabszych ogniwach w systemach bezpieczeństwa współczesnego biznesu, o stratach powodowanych przez szpiegostwo gospodarcze i o tym jak uchronić się przed nielegalnymi działaniami konkurencji z inż. Jarosławem Bartniczukiem, b. oficerem BOR, prezesem firmy IntelGuard, rozmawia Piotr Sieńko.
- o 4,5 sekundy infekowany jest jeden komputer, wynika z danych światowych specjalistów. Dane wykradane są nawet z baz największych i najlepiej chronionych instytucji na świecie, z banków, od operatorów komórkowych, towarzystw ubezpieczeniowych. Informacje o cyberatakach pojawiające się w mediach powszednieją, a wiele osób podchodzi do nich z dystansem, uważając, że ich to zagrożenie nie dotyczy. Czy rzeczywiście tak jest?
JB- W ostatnich latach walka o informację przechowywaną w sieci lub firmowych bazach danych znacznie się nasiliła. Rywalizacja między państwami, korporacjami, a nawet małymi firmami stała się tak zagorzała, że walczące ze sobą strony sięgają po wszelkie możliwe środki, aby wykraść konkurencji informacje, a nawet zniszczyć jej zasoby. Dlatego każdy, kto prowadzi działalność gospodarczą i posiada zasoby informacyjne, których utrata mogłaby narazić go na straty, nie powinien lekceważyć kwestii związanych z ich bezpieczeństwem. Bagatelizowanie tych spraw może bowiem taką firmę drogo kosztować. Dziś programy antywirusowe, firewalle i osobny komputer bez internetowego łącza wykorzystywany do przechowywania najważniejszych informacji to podstawa w działalności gospodarczej.
- czy programyzabezpieczające firmowe komputery to jedyna droga do zapewnienia firmie bezpieczeństwa przed atakami?
JB- takich form jest bardzo dużo i mówić o nich można długo. Specjalistyczne systemy zabezpieczeń, opracowywane i wdrażane przez doświadczone w tym zakresie firmy są istotną częścią całego systemu bezpieczeństwa współczesnego biznesu. Oprócz programowych firewalli ważne są systemy zabezpieczenia sieci i komputerów poprzez sprzętowe firewalle, np. typu ASA CISCO, kontrolę dostępu do newralgicznych elementów systemu informatycznego (serwerownie, komputer centralny). Najważniejsze i najbardziej poufne z punktu widzenia firmy informacje przechowywane powinny być na nośnikach odciętych od sieci (dyski, płyty) lub w komputerze niepodłączonym do sieci, posiadającym ekranowane okablowanie, obudowę zabezpieczającą przed wyciekiem informacji poprzez promieniowanie elektromagnetyczne i znajdującym się w pomieszczeniu zapewniającym kontrolę dostępu. Powinna zostać opracowana polityka bezpieczeństwa, procedury jak i regularna kontrola systemu. Nie możemy zapominać również o szkoleniu w zakresie obsługi aplikacji. Ważny jest jednak również czynnik ludzki. To często najsłabsze ogniwo, które może wyrządzić najwięcej szkód w systemie. To właśnie nieostrożny pracownik, który zostawia niemal na biurku hasła do firmowych baz danych, zapisuje je w notesie, który potem gubi lub podaje je koledze z biura przez telefon lub wysyła SMS-em, może doprowadzić firmę na skraj bankructwa. Konkurencja czeka tylko, aby przechwycić tak drażliwą informację i przy jej pomocy zassać wszystkie dane z baz takiej firmy, wykorzystując do własnych celów. Innym przypadkiem jest pracownik sfrustrowany, będący w konflikcie z przełożonymi lub odczuwający silny żal w stosunku do pracodawcy. Skuszony przez konkurencję lepszymi warunkami pracy lub wysoką gratyfikacją godzi się na kradzież bazy danych lub udostępnienie kodów do niej. Straty jego macierzystej firmy są w takich przypadkach nieuniknione. Wiele przedsiębiorstw dba z kolei o zabezpieczenia techniczne i komfort pracy swej kadry, ale zaniedbuje poziom jej wyszkolenia, także dotyczącego kwestii bezpieczeństwa. Rzadko która firma w Polsce instruuje pracowników, że nie wolno otwierać spamowych wiadomości pocztowych, korzystać z portali internetowych, poprzez które do sieci firmowej dostać mogą się programy szpiegujące, a nawet korzystać z podręcznej pamięci, którą np. podczas służbowego wyjazdu podwładny otrzymuje w prezencie, a na której obdarowujący zainstalował wirusy zasysające informacje z komputerów, do których zostają one podłączone.
-Coraz więcej też mówi się o konwencjonalnych metodach pozyskiwania informacji wewnątrzkorporacyjnych, do których nie potrzebne są zaawansowane technologicznie programy hakerskie. Mam tu na myśli podsłuchy, ukryty monitoring, czyli sprzęt typowo szpiegowski, który jest wykorzystywany w walce rywalizujących ze sobą firm.
JB- Tak, to problem, który narasta wraz z rozwojem rynków azjatyckich i coraz bardziej powszechnym dostępem do takiego sprzętu. Jeszcze kilka lat temu korzystały z niego niemal wyłącznie służby specjalne. Dziś kupić go może bardzo tanio każdy (może nie są to urządzenia najwyższej jakości ale są stosunkowo skuteczne). Straty, jakie można wyrządzić konkurencji przy jego wykorzystaniu, mogą być ogromne. Znam przypadek, gdzie jedno ze znanych przedsiębiorstw przegrało niedawno przetarg, gdyż jego ofertę poznał tuż przed złożeniem konkurencyjny podmiot. W pomieszczeniach, gdzie przygotowywano wszystkie dokumenty, była bowiem zainstalowana mikrokamera z mikrofonem. Dzięki niej konkurencja poznała nawet najdrobniejsze szczegóły oferty rywali, przygotowała swoją, nieco korzystniejszą i zgarnęła kontrakt wart 30 mln zł. Poszkodowany dowiedział się o tym, że był inwigilowany, dopiero po zakończeniu procedury przetargowej. Gdyby korzystał z pomocy specjalistycznych firm, zajmujących się kontrinwigilacją, z pewnością nikt nie poznałby szczegółów jego oferty. Takie przypadki zdarzają się często, ale poszkodowani rzadko o nich mówią. Wolą raczej w wielkiej tajemnicy zadbać o ochronę firmy, aby tego typu sytuacja nie zdarzyła się już w przyszłości. Koszty ochrony przedsiębiorstwa są najczęściej dużo niższe niż ewentualne straty spowodowane jej brakiem.
Komentarze (2)
Danuta said: to ma informacje ten ma siłę przebicia, władzę i pieniądze. Dlatego, tak wazna jest ich ochrona. A jak w każdej materii (zdrowie, bezpieczeństwo osobiste jak również instytucji a przede wszystkim firmy) najważniejsze są działania zapobiegawcze. A więc podejmowanie szeregu działań w celu ewentualnej eliminacji tego teypu zagrożeń. Należy systematycznie kontrolować prawidłowość zabezpieczenia wszelkich informacji. Mam na myśli przestrzegasnie procedur ochrony informacji, zabezpieczenia techniczne i rzetelność pracowników. To przez nich mogą być wynoszone informacje w różnej formie. Mogą bez problemu pozostawić w uykryciu drobny przedmiot wyposażony w element podsłuchowy a następnie w dowolnym czasie wynieść i przekazać zainteresowanej osobie. W branży bezpieczeństwa mamy już specjalistów, którzy moga wykryć dostepne szeroko na rynku przedmioty umożliwiające podsłuch. Walczmy z tym nieuczciwym zjawiskiem!
|
