Działania hakerskie na niewielkich firmach nie należą do rzadkości. Aż 40% wszystkich ataków przeprowadzonych w 2010 roku wymierzonych było wobec przedsiębiorców zatrudniających mniej niż 500 osób. Z uwagi na wciąż rosnącą intensywność włamań, połączoną z brakiem świadomości ze strony przedsiębiorców, z czasem spodziewać możemy się jedynie pogorszenia statysty

• W świetle badań przeprowadzonych na grupie niespełna 2 tysięcy respondentów, aż połowa przedstawicieli małych i średnich przedsiębiorstw uważa, że jest dostatecznie chroniona przed cyberatakami. Jak się jednak okazuje – nie stosują oni nawet najprostszych zabezpieczeń - jak oprogramowanie antywirusowe oraz ochrona poczty elektronicznej. Dziwić może zwłaszcza fakt, że 63% przebadanych firm nie zabezpiecza w jakikolwiek sposób komputerów wykorzystywanych do obsługi bankowości elektronicznej.

• Dodatkowo, jak pokazują dane uzyskane przez RSM Tenon, po przebadaniu 300 firm Europejskich z sektora MŚP, jedynie 27% managerów wyższego stopnia przeprowadza kontrolę bezpieczeństwa sieci w ich firmie. 16% przebadanych nie wiedziało nawet czy zainstalowane zostało oprogramowanie antywirusowe, co stanowi zupełną podstawę ochrony. Z czego wynika bagatelizowanie kwestii bezpieczeństwa nawet w najprostszej formie?

Atak na MŚP się opłaca

W wielu klientach zakorzeniony jest błędny osąd, jakoby chroniła ich jedynie wielkość przedsiębiorstwa. Sektor MŚP radzi sobie tak dobrze jak nigdy, wciąż nabierając wartości. Choć jeszcze w 2008 roku rynek małych i średnich wart był w Europie 145,9 mld dolarów, to w 2011 już 182,6 mld, by w 2012 przewidywana wartość podskoczyła do 202 mld. Kwoty wyliczane w twardej walucie to jednak nie jedyna wartość rynku.

Dla hackera największą wartość posiadają informacje o nas, a co gorsze – o produktach, a także o naszych pracownikach i klientach – dane osobowe, numery kont bankowych klientów i pracowników, dokumenty pracownicze (ksera dowodów tożsamości, szczegółowe dane teleadresowe, wzory podpisów, a dzięki formularzom urlopowym – także dokładne daty przebywania poza mieszkaniem [sic!]). I to wszystko przechowywane na w ogóle nie

Najczęstsze ataki

Coraz częściej w polskiej sferze WWW dokonywane są ataki typu DDoS, poznane lepiej dzięki blokowaniu stron rządowych przez przeciwników ACTA, początkiem 2012 roku. Poprzez wygenerowanie ilości wejść, z którą system nie będzie w stanie sobie poradzić, strona jest blokowana, uniemożliwiając internautom dostęp do niej. Jak pokazują badania, firmy z sektora MŚP w większości nawet nie biorą pod uwagę możliwości, że staną się celem podobnego ataku. 28% firm stwierdza w badaniach, że nie posiadają planu na wypadek ataku DDoS, ponieważ problem ten dotyczy jedynie dużych przedsiębiorstw.

• Najpopularniejszym modelem ataku jest tzw. phishing. Internauta zwabiany jest przez oszusta (zazwyczaj poprzez e-mail z podstawionym linkiem) na stronę, która udawać ma zaufaną witrynę, np. banku czy sklepu internetowego. Informacje wprowadzone przez oszukanego zostają momentalnie wykorzystane.


• Ochrona interesów internautów leży po stronie właściciela witryny, której klienci zaufali. Firmy z sektora MŚP używające certyfikatów SSL wywiązują się z Ustawowego obowiązku zabezpieczania transmisji danych osobowych.


• Od lat hakerzy tworzą złośliwe oprogramowania malware (jak wirusy czy trojany), wysyłane w celu przechwycenia numerów kont i kart kredytowych oraz haseł do nich. Przeciwdziałać im powinniśmy głównie poprzez zaporę ogniową (np. oprogramowanie antywirusowe). Wykorzystywane powszechnie są także aplikacje spyware – szpiegujące działania użytkownika, a więc śledzące poufne działania, dokumenty, informacje czy choćby treść maili.

• Metoda zwana spoofingiem to już wyższy stopień zaawansowania – haker przekształca zdalnie sprzęt poszkodowanego na komputer-zombie, wykorzystywany do dalszych ataków. Jak pokazuje doświadczenie – ataki najłatwiej przeprowadzić na niezabezpieczonych sieciach. Dla przykładu Adrian Lamo – jeden z najsławniejszych hakerów świata, do ataków na Yahoo!, MCI, Microsoft i The New York Times wykorzystywał przede wszystkim sprzęt biblioteczny i uniwersytecki.

Źródło: Unizeto

Na całym świecie cyberprzestępcy toczą bitwę, z której istnienia wiele osób nie zdaje sobie nawet sprawy. Całkiem niedawno duża firma, która znalazła się na celowniku cyberprzestępców i padła ofiarą ataku ukierunkowanego, straciła ponad 60 milionów dolarów. Czy ochrona przed tego rodzaju atakami jest możliwa? Co powinny zrobić firmy, by chronić się przed zagrożeniami ukierunkowanymi?

„To nie jest kwestia tego, czy dana organizacja stanie się celem, to jedynie kwestia odpowiedzi na pytanie: kiedy. Rozsądna strategia bezpieczeństwa w erze zaawansowanych i ukierunkowanych zagrożeń (APT) polega na założeniu, że naruszenie bezpieczeństwa danych nastąpi” – mówi Rik Ferguson, Dyrektor ds. badań nad bezpieczeństwem i komunikacji w regionie EMEA w firmie Trend Micro.

Ofiarami ataków ukierunkowanych najczęściej padają duże firmy i korporacje, od których wykradzenie danych może przynosić hakerom duże korzyści. Przykładem takich ataków są te przeprowadzone m. in. na Google: Operation Aurora, Night Dragon czy LURID.

Jak wygląda atak ukierunkowany?

Typowy atak ukierunkowany składa się z kilku elementów. Na początku zbierane są informacje pomagające w opracowaniu i rozpowszechnieniu zainfekowanych treści wśród pracowników organizacji - często w formie złośliwego załącznika do emaila. Cyberprzestępcy najpierw badają cel. Dowiadują się jak najwięcej o finansach firmy i relacjach między pracownikami, poznają ich zwyczaje. Gromadzą też cenne informacje o zabezpieczeniach i systemach podłączonych do sieci. Próbują różnych metod (od ataków złośliwym oprogramowaniem po metody socjotechniczne czy ataki typu zero day), a wszystko to w jednym celu – chcą dostać się do danych firmy. Kolejne fazy to infiltracja sieci, rozprzestrzenianie złośliwego oprogramowania w całej sieci organizacji, a wreszcie namierzenie i kradzież danych - przez cały ten czas komunikacja z serwerem nadzorującym oraz kontrola dostępu znajdują się w rękach hakerów zarządzających nimi zdalnie.

Ataki tego typu stają się coraz bardziej powszednie i kosztują firmy setki tysięcy dolarów. Tradycyjne zabezpieczenia zostały daleko w tyle. Przestępcy mogą testować swoje ataki tak długo, aż stają się one niewidzialne. Posługują się prawdziwymi kontami użytkowników, aby uniknąć wykrycia w sieci.

Wydajny system bezpieczeństwa

System bezpieczeństwa chroniący przed zagrożeniami ukierunkowanymi musi opierać się na założeniu, że dojdzie do włamania. Powinien zwalczać zagrożenie, kiedy jest jeszcze w pierwszej fazie, zanim rozprzestrzeni się po całej sieci firmy i przed kradzieżą danych. Dziś firmy i instytucje nie potrzebują jedynie narzędzi do wykrywania zagrożeń, które zapewnią im doraźną ochronę, potrzebują również danych i analiz, umożliwiających powstrzymywanie i zapobieganie atakom, lecz również dających możliwość przeciwdziałania atakom ukierunkowanym w przyszłości.

autor: Robert Kamiński

1. Ataki APT wymierzone w konkretne osoby za pośrednictwem urządzeń mobilnych

APT (Advanced Persistent Threat) to zagrożenia, które wykorzystują wiele metod i zaawansowanych technologii do przeprowadzania sieciowych ataków na konkretne cele po to, aby wyłudzić poufne informacje. Najnowszymi przykładami były Stuxnet, Flame i Gauss. Analitycy z laboratoriów FortiGuard firmy Fortinet przewidują, że w 2013 ataki APT będą skierowane na osoby publiczne takie, jak prezesi największych firm, politycy, czy celebryci. Weryfikacja tej prognozy będzie dość trudna. Napastnicy, którzy zdobędą interesujące ich informacje, mogą usunąć złośliwe oprogramowanie z urządzenia mobilnego np. smartfona lub tabletu, zanim ofiara uświadomi sobie, że atak wystąpił. Osoby, które nie odkryją, że padły ofiarą ataku APT, nie mogą zgłosić tego faktu. Ponieważ tego typu ataki są wymierzone w jednostki, jest prawdopodobne, że atakujący będą szukać informacji, które mogliby wykorzystać do działań przestępczych, szantażując swoje ofiary groźbą ujawnienia danych do czasu otrzymania płatności za milczenie.

2. Dwuskładnikowe uwierzytelnianie zastąpi model zabezpieczeń bazujący na jednym haśle

Model zabezpieczeń wykorzystujący jedno hasło jest już nieaktualny. Łatwe do pobrania narzędzia hakerskie pozwalają złamać 4 lub 5 znakowe hasła w ciągu kilku minut. Wykorzystując nowe narzędzia do łamania haseł w chmurze, hakerzy mogą przechwycić nawet 300 milionów różnych haseł w ciągu zaledwie 20 minut, płacąc mniej niż 20 USD. Dziś cyberprzestępcy są w stanie poradzić sobie nawet z silnymi alfanumerycznymi hasłami, zawierającymi znaki specjalne. Wszystko w trakcie typowej godziny na lunch. W 2013 roku popularnymi celami ataków będą zaszyfrowane informacje przechowywane w bazach danych w chmurze oraz środowiska bezprzewodowe (WPA2). W przyszłym roku Fortinet spodziewa się wzrostu implementacji systemów dwuskładnikowego uwierzytelniania w firmach. To proces autoryzacji, który składa się z dwóch etapów. Pierwszym krokiem jest wpisanie loginu i stałego, niezmiennego hasła. Następnie system żąda podania drugiego elementu, czyli unikalnego kodu wykreowanego na potrzeby logowania, który przesyłany jest na urządzenie mobilne lub token użytkownika. Chociaż pojawił się już wirus Zimto, który potrafił złamać dwuskładnikowe uwierzytelnianie, metoda ta nadal pozostaje najbardziej skuteczną metodą zabezpieczania aktywności w sieci.

3. Hakerzy będą wykorzystywać luki w komunikacji M2M

Komunikacja M2M (Machine-to-Machine) to automatyczna wymiana danych w sieci między urządzeniami. Może to być lodówka, która komunikuje się z serwerem, aby powiadomić użytkownika, że nadszedł czas, aby kupić mleko i jajka. Może to być kamera na lotnisku, która wykonuje zdjęcia twarzy pasażerów i porównuje je z bazą danych znanych terrorystów. Może to być urządzenie medyczne, które reguluje poziom tlenu dostarczanego ofiarom wypadku, a także powiadamia personel szpitala w momencie, gdy tętno monitorowanej osoby spadnie poniżej określonego progu. Możliwości technologiczne komunikacji M2M są ogromne, ale wciąż jest zbyt wiele pytań dotyczących skutecznych zabezpieczeń wymiany danych M2M. Badacze z laboratoriów Fortinet przewidują, że już w przyszłym roku mogą pojawić się próby ataków hakerskich skierowanych najprawdopodobniej na platformy związane z bezpieczeństwem narodowym takie, jak placówki specjalizujące się w rozwijaniu uzbrojenia i produkcji technologii wojskowych. Atak nastąpi najprawdopodobniej przez ingerencję w strumień wymiany informacji w kanale M2M – powodując błędne przetworzenie spreparowanych danych i tworząc lukę w bezpieczeństwie pozwalającą atakującemu wykorzystać ją do dostania się do systemu.

4. ... oraz luki w środowiskach typu sandboxing

Sandboxing polega na oddzieleniu od siebie uruchomionych programów i aplikacji, aby złośliwy kod nie mógł przenieść się z jednego procesu (np. czytnika dokumentów) do innego (np. systemu operacyjnego). Z koncepcji sandboxingu korzystają już takie firmy, jak Adobe, czy Apple, ale z pewnością będą po nią sięgać kolejni dostawcy. Wraz z rozprzestrzenianiem się rozwiązania na inne systemy, zainteresują się nim także hakerzy szukając sposobów na obejście zabezpieczenia. W laboratoriach Fortinet obserwowano już kilka zagrożeń tego typu np. exploit wykorzystujący lukę w Adobe Reader X. W przyszłym roku możemy spodziewać się pojawienia się innowacyjnego exploitu, zaprojektowanego w celu ominięcia koncepcji sandboxing używanej w urządzeniach zabezpieczających i przenośnych.

5. Botnety będą atakować równocześnie urządzenia mobilne i stacjonarne

W 2012 roku w laboratoriach FortiGuard poddano analizie mobilne botnety takie, jak Zitmo. Analitycy firmy Fortinet znaleźli w nich wiele cech i funkcjonalności, które występowały również w tradycyjnych botnetach zaprojektowanych do przeprowadzania ataków na komputery PC. Zespół FortiGuard prognozuje, że dzięki tej analogii funkcji między botnetami, w 2013 roku pojawią się nowe formy ataków DDoS, które uderzą w urządzenia stacjonarne i mobilne równocześnie. Na przykład, na zainfekowanych urządzeniach mobilnych i PC zostaną zainstalowane takie same komendy serwerów C & C i takie same protokoły ataków. Będą one funkcjonować w tym samym czasie zwiększając tym samym zasięg botnetu. Oznacza to, że będziemy mieć do czynienia z ogromnym monolitycznym botnetem działającym na wielu typach urządzeń końcowych.

6. Wzrośnie liczba złośliwych programów atakujących urządzenia mobilne

Dotychczas większość złośliwego oprogramowania tworzono do przeprowadzania ataków na komputery PC, które są w obiegu już od znacznie dłuższego czasu niż smartfony i tablety. Analitycy z laboratoriów FortiGuard monitorują obecnie około 50 000 próbek złośliwego oprogramowania dla urządzeń mobilnych oraz miliony dla komputerów PC. Jednak te proporcje będą się zmieniać. Badacze już zauważyli znaczący wzrost mobilnych programów złośliwych i przewidują, że tendencja wzrostowa wzmocni się jeszcze bardziej w przyszłym roku. Wynika to z faktu, że obecnie na rynku jest więcej telefonów komórkowych niż komputerów stacjonarnych, a użytkownicy odchodzą od tradycyjnych platform na rzecz nowszych, mniejszych urządzeń - smartfonów i tabletów. Zespół FortiGuard uważa, że chociaż dopiero za kilka lat zrówna się liczba mobilnych i stacjonarnych próbek malware, to w nadchodzącym roku będziemy świadkami przyspieszonego wzrostu złośliwego oprogramowania dla urządzeń mobilnych. Jego twórcy są świadomi, że zabezpieczenia urządzeń mobilnych jest dziś obecnie bardziej skomplikowane niż ochrona tradycyjnych komputerów.

autor: Jan Petersen

Jedna rzecz jest pewna – rok 2013 przyniesie potężną armię wirusów i złośliwego oprogramowania wykorzystującą najrozmaitsze drogi ataków, poczynając od sieci społecznościowych, przez urządzenia mobilne aż po samych użytkowników. Wraz z poprawkami bezpieczeństwa dla komputerów i systemów operacyjnych, cyberprzestępcy będą wymyślali nowe techniki ich obejścia. Jest to jeden z kolejnych powodów, dla których warto uczynić bezpieczeństwo jednolitym.

Zagrożenie #1: Inżynieria społecznościowa

Wszystko zaczyna się od taktyki blackhat oraz metod prób i błędów zarówno w świecie realnym i wirtualnym – czyli inżynierii społecznościowej. Przed erą komputerów, taktyka ta polegała na przejściu przez linię obrony dzięki słownej manipulacji i wprowadzenia kogoś w błąd. Obecnie jest to sprytnie skonstruowany email czy, jak coraz częściej zauważamy, obszar portali społecznościowych, między innymi Facebook i LinkedIn.

• Atakujący coraz częściej korzystają z takich metod, które są obecnie bardziej zaawansowane niż telefonowanie do wybranych pracowników z próbą wyłudzenia informacji. Dawniej przestępcy mogli na przykład próbować zadzwonić na recepcję i poprosić o przekierowanie rozmowy do konkretnego pracownika, co w przypadku wyświetlania identyfikatora dzwoniącego mogło wyglądać dla ofiary tak, jakby telefon był wykonywany z wewnętrznej sieci firmowej. Jednak takie działania nie są już wcale potrzebne, gdyż haker w prosty sposób może znaleźć niezbędne dane wśród postów publikowanych na portalach społecznościowych. W końcu takie portale służą temu, żeby łączyć ludzi, a wyglądający wiarygodnie profil firmy lub osoby, który jest obserwowany przez kogoś znajomego czy też zaproszenie do grona znajomych mogą być wystarczające, aby rozpocząć atak z wykorzystaniem inżynierii społecznościowej.

Zagrożenie #2: APTs

Świadomość na temat technik inżynierii społecznościowej jest oczywiście bardzo ważna, ponieważ taki atak może być pierwszym etapem bardziej złożonego planu mającego na celu ominięcie zabezpieczeń firmy. W ciągu ostatniego roku można było zaobserwować kilka dokładnie wyprofilowanych ataków (np. Gauss i Flame) wymierzonych w korporacje i organizacje rządowe. Taki rodzaj zagrożenia określa się jako Zaawansowane Długotrwałe Ataki (Advanced Persistent Threats - APT). Ataki te są bardzo skomplikowane i dokładnie zaprojektowane. Założeniem APT jest zdobycie dostępu do sieci, a następnie ciche wykradanie danych. Ataki te są trudne do wykrycia, gdyż dane wykradane są powoli i małymi porcjami, co znacznie zwiększa prawdopodobieństwo ich sukcesu.

• Co więcej, APT wcale nie muszą wykorzystywać luk w powszechnie znanym oprogramowaniu, takim jak na przykład Microsoft Word. Mogą atakować innymi kanałami, chociażby uderzając w systemy osadzone. W świecie, w którym coraz więcej urządzeń posiada adres IP, tworzenie zabezpieczeń dla tego typu systemów jest bardziej istotne niż dotychczas.
• Dopóki organizacje rządowe i dobrze usytuowane finansowo firmy będą korzystały z Internetu, ataki APT będą wciąż wykorzystywane do szpiegowania. Tak naprawdę ataki APT działają nawet teraz, więc warto zwrócić uwagę na to, czy w naszej sieci nie ma żadnego podejrzanego ruchu.

Zagrożenie #3: Zagrożenia wewnętrzne

Niektóre z najgroźniejszych ataków mają swoje źródło wewnątrz firmy. Mogą być one najbardziej destrukcyjne, ze względu na rozmiar szkód, jakie może poczynić uprzywilejowany użytkownik z dostępem do danych. W badaniu przeprowadzonym przez Wydział Bezpieczeństwa Wewnętrznego USA, CERT Insider Threat Center Instytutu Inżynierii Oprogramowania na Uniwersytecie Canegie Mellon oraz tajne służby USA, zaufani użytkownicy działający na szkodę instytucji finansowych zostają zdemaskowani średnio po około 32 miesiącach aktywności. Zaufanie jest bardzo ważne, ale zbyt dużo zaufania naraża na niebezpieczeństwo.
Zagrożenie #4: BYOD

Problem związany z zaufaniem wchodzi w grę również w kontekście urządzeń mobilnych. Wiele przedsiębiorstw ma problem z doborem odpowiedniej technologii i polityk bezpieczeństwa przy coraz popularniejszym trendzie przynoszenia do pracy własnego sprzętu (bring-your-own-device: BYOD). Użytkownicy coraz częściej korzystają z urządzeń tak, jakby to były ich prywatne komputery PC, co w konsekwencji naraża ich na ataki oparte na technologii web w dokładnie w takim samym stopniu, jakby korzystali z komputerów stacjonarnych.

• Atakujący najprawdopodobniej będą coraz częściej starali się obejść zabezpieczenia najnowszych odsłon oprogramowania oraz mechanizmy detekcji, których używają mobilni dostawcy w celu chronienia swoich aplikacji. Wszystko to oznacza, że wysyp iPhone’ów, telefonów z systemem Google Android oraz innych urządzeń przynoszonych do pracy otworzy nową potencjalną drogę dla atakujących, którą koniecznie trzeba zabezpieczyć. Wystarczy pomyśleć – smartfon ma cyfrową kamerę. Ma również mikrofon. Można za jego pomocą nagrywać rozmowy. A teraz dodajmy do tego wszystkiego dostęp do korporacyjnej sieci i mamy idealną drogę pozwalającą ominąć zabezpieczenia.

Zagrożenie #5: Bezpieczeństwo w chmurach

Zjawisko BYOD to nie jedyna rzecz, która zmusza firmy do coraz mocniejszego obwarowywania krytycznych danych. Jest jeszcze jeden mały trend znany jako środowiska chmurowe. Ze względu na to, że coraz więcej firm umieszcza dane w chmurach dostarczanych przez publicznych usługodawców, takie usługi stają się smakowitym kąskiem dla hakerów i mogą stanowić jedyny słaby punkt bezpieczeństwa korporacji. Dla przedsiębiorstw oznacza to, że bezpieczeństwo musi w dalszym ciągu być bardzo ważnym punktem w dyskusjach z dostawcami usług osadzonych w chmurach, a potrzeby biznesowe muszą być jasno sprecyzowane.
Zagrożenie #6: HTML5

Powszechne przyjęcie standardu HTML5powiększy obszar zagrożeń zupełnie tak samo, jak coraz częstsze korzystanie z usług osadzonych w chmurach. Na początku tego roku na konferencji Black Hat, czyli spotkaniu specjalistów na którym dyskutuje się potencjalne zagrożenia, stwierdzono że HTML5, jako technologia wieloplatformowa i integrująca różne technologie, otwiera nowe możliwości ataków – chociażby nadużycie funkcjonalności Web Worker. Nawet pomimo największej uwagi przykładanej do bezpieczeństwa HTML5, sam fakt, że ta technologia jest nowa, sprawia że programiści tworząc swój kod mogą popełniać błędy, które następnie mogą być wykorzystane przez hakerów. Możemy się spodziewać w nadchodzącym roku prawdziwego zatrzęsienia ataków wymierzonych w HTML5. Miejmy nadzieję, że będą one na bieżąco odpierane za pomocą nowych aktualizacji i poprawek bezpieczeństwa.
Zagrożenie #7: Botnety

Mimo wyścigu zbrojeń na innowacje pomiędzy badaczami i atakującymi, można spodziewać się, że cyberprzestępcy spędzą mnóstwo czasu w doskonaleniu tego, co już świetnie znają i wykorzystują, na przykład upewnianiu się, że ich sieci botów mają wysoką dostępność i wciąż się rozrastają. Chociaż firmy takie jak Microsoft podjęły odpowiednie kroki prawne, co zaowocowało chwilową dezorganizację w działaniach spamerskich i wykorzystywaniu złośliwego oprogramowania, bardzo naiwnym byłoby oczekiwać, że hakerzy nie wyciągną wniosków i nie wykorzystają tych regulacji do udoskonalenia swoich ataków. Botnety wciąż będą miały swoje miejsce w świecie zagrożeń.
Zagrożenie #8: Dokładnie wymierzone pod ofiarę złośliwe oprogramowanie

Atakujący wyciągają również wnioski z analiz złośliwego oprogramowania wykonywanych przez twórców systemów bezpieczeństwa. Chodzi między innymi o technikę, która utrudnia analizę, gdyż złośliwe oprogramowanie jest zaprojektowane tak, że działa poprawnie jedynie na środowisku, dla którego zostało zaprojektowane. Przykładami takich ataków wśród wielu innych są Flashback i Gauss. Oba ataki odniosły sukces, szczególnie Gauss. Udało im się bowiem uniknąć wykrycia przez systemy automatycznej analizy tego typu złośliwego oprogramowania. W nadciągającym roku hakerzy będą ulepszać i wykorzystywać te techniki, czyniąc swoje wirusy jeszcze precyzyjniej wymierzone pod konkretną ofiarę, dzięki czemu ataki będą przeprowadzane jedynie na komputerach z określoną konfiguracją.

autor: Cezary Tchorek-Helm