Pod okiem specjalistów zespołu, który działa w ramach instytutu badawczego NASK, znalazło się 30 honeypotów, czyli narzędzi służących do wykrywania prób nieautoryzowanego użycia systemu czy pozyskania danych. Dzięki publikacji raportu przez Europejską Agencję ds. Bezpieczeństwa Informacji, ze wskazówek polskich specjalistów skorzystają eksperci ds. cyberbezpieczeństwa z całego świata.

Honeypot

Honeypot (z ang. „garnek miodu”), jest zasobem umieszczonym w sieci, którego jedynym zadaniem jest zostanie badanym i zaatakowanym przez cyberprzestępców lub wykorzystanym w inny nieautoryzowany sposób. System składa się najczęściej z komputera, danych i wyodrębnionego obszaru sieci lokalnej, które „udają” prawdziwą sieć, lecz są odizolowane i odpowiednio zabezpieczone. Wszystko to z zewnątrz wygląda jakby zawierało informacje lub zasób, który mógłby być potencjalnym celem cyberprzestępcy.

Honeypoty mogą być stosowane m.in. do monitorowania aktywności botnetów i robaków w Internecie, zbierania informacji o zainfekowanych komputerach w sieci, wykrywania i zbierania złośliwego oprogramowania, badania zachowań hakerów oraz szukania wewnętrznych infekcji w sieci lub ataków wewnętrznych. Jak podkreślają specjaliści z CERT Polska, honeypoty, dzięki wczesnemu ostrzeganiu o infekcji i zachowaniu złośliwego oprogramowania, pozostają bardzo dobrą platformą do pozyskiwania informacji o zmianach w taktyce cyberprzestępców.

W badaniu, opublikowanym przez Europejską Agencję ds. Bezpieczeństwa Informacji, specjaliści z CERT Polska przeanalizowali pod kątem praktyczności 30 istniejących, darmowych honeypotów typu „standalone”, czyli takich, które można samodzielnie zainstalować w sieci. Bezpośrednim celem było zestawienie dostępnych rozwiązań, analiza ich zalet i wad oraz wskazanie podmiotom zajmującym się cyberbezpieczeństwem najskuteczniejszych narzędzi do walki z zagrożeniami sieciowymi. Wśród czynników branych pod uwagę były m.in. zakres wykrywania, jakość dostarczanych danych, wydajność i niezawodność oraz łatwość instalacji i obsługi. Cztery z badanych systemów - Dionaea, Glastopf, Kippo oraz Honeyd, zostały zidentyfikowane jako najbardziej użyteczne i najłatwiejsze do zainstalowania.

„W związku z dużą ilością dostępnych honeypotów warto było zbadać i wskazać te systemy, które mogą być najbardziej przydatne w praktyce  dla ekspertów od cyberbezpieczeństwa na całym świecie, działających na przykład w krajowych zespołach reagowania na zagrożenia sieciowe. Mamy nadzieję, że nasze zestawienie przyczyni się do wyboru najlepszych narzędzi oraz metod zwalczania złośliwego oprogramowania i działalności cyberprzestępców.” – mówi Piotr Kijewski, kierownik CERT Polska.

Więcej informacji na temat raportu CERT Polska o zastosowaniu honeypotów do wykrywania zagrożeń sieciowych (ang. „Proactive Detection of Security Incidents: Honeypots”) dla Europejskiej Agencji ds. Bezpieczeństwa Informacji, dostępnych jest na stronie: http://www.cert.pl/news/6609.

autor: Jan Petersen

Jedna rzecz jest pewna – rok 2013 przyniesie potężną armię wirusów i złośliwego oprogramowania wykorzystującą najrozmaitsze drogi ataków, poczynając od sieci społecznościowych, przez urządzenia mobilne aż po samych użytkowników. Wraz z poprawkami bezpieczeństwa dla komputerów i systemów operacyjnych, cyberprzestępcy będą wymyślali nowe techniki ich obejścia. Jest to jeden z kolejnych powodów, dla których warto uczynić bezpieczeństwo jednolitym.

Zagrożenie #1: Inżynieria społecznościowa

Wszystko zaczyna się od taktyki blackhat oraz metod prób i błędów zarówno w świecie realnym i wirtualnym – czyli inżynierii społecznościowej. Przed erą komputerów, taktyka ta polegała na przejściu przez linię obrony dzięki słownej manipulacji i wprowadzenia kogoś w błąd. Obecnie jest to sprytnie skonstruowany email czy, jak coraz częściej zauważamy, obszar portali społecznościowych, między innymi Facebook i LinkedIn.

• Atakujący coraz częściej korzystają z takich metod, które są obecnie bardziej zaawansowane niż telefonowanie do wybranych pracowników z próbą wyłudzenia informacji. Dawniej przestępcy mogli na przykład próbować zadzwonić na recepcję i poprosić o przekierowanie rozmowy do konkretnego pracownika, co w przypadku wyświetlania identyfikatora dzwoniącego mogło wyglądać dla ofiary tak, jakby telefon był wykonywany z wewnętrznej sieci firmowej. Jednak takie działania nie są już wcale potrzebne, gdyż haker w prosty sposób może znaleźć niezbędne dane wśród postów publikowanych na portalach społecznościowych. W końcu takie portale służą temu, żeby łączyć ludzi, a wyglądający wiarygodnie profil firmy lub osoby, który jest obserwowany przez kogoś znajomego czy też zaproszenie do grona znajomych mogą być wystarczające, aby rozpocząć atak z wykorzystaniem inżynierii społecznościowej.

Zagrożenie #2: APTs

Świadomość na temat technik inżynierii społecznościowej jest oczywiście bardzo ważna, ponieważ taki atak może być pierwszym etapem bardziej złożonego planu mającego na celu ominięcie zabezpieczeń firmy. W ciągu ostatniego roku można było zaobserwować kilka dokładnie wyprofilowanych ataków (np. Gauss i Flame) wymierzonych w korporacje i organizacje rządowe. Taki rodzaj zagrożenia określa się jako Zaawansowane Długotrwałe Ataki (Advanced Persistent Threats - APT). Ataki te są bardzo skomplikowane i dokładnie zaprojektowane. Założeniem APT jest zdobycie dostępu do sieci, a następnie ciche wykradanie danych. Ataki te są trudne do wykrycia, gdyż dane wykradane są powoli i małymi porcjami, co znacznie zwiększa prawdopodobieństwo ich sukcesu.

• Co więcej, APT wcale nie muszą wykorzystywać luk w powszechnie znanym oprogramowaniu, takim jak na przykład Microsoft Word. Mogą atakować innymi kanałami, chociażby uderzając w systemy osadzone. W świecie, w którym coraz więcej urządzeń posiada adres IP, tworzenie zabezpieczeń dla tego typu systemów jest bardziej istotne niż dotychczas.
• Dopóki organizacje rządowe i dobrze usytuowane finansowo firmy będą korzystały z Internetu, ataki APT będą wciąż wykorzystywane do szpiegowania. Tak naprawdę ataki APT działają nawet teraz, więc warto zwrócić uwagę na to, czy w naszej sieci nie ma żadnego podejrzanego ruchu.

Zagrożenie #3: Zagrożenia wewnętrzne

Niektóre z najgroźniejszych ataków mają swoje źródło wewnątrz firmy. Mogą być one najbardziej destrukcyjne, ze względu na rozmiar szkód, jakie może poczynić uprzywilejowany użytkownik z dostępem do danych. W badaniu przeprowadzonym przez Wydział Bezpieczeństwa Wewnętrznego USA, CERT Insider Threat Center Instytutu Inżynierii Oprogramowania na Uniwersytecie Canegie Mellon oraz tajne służby USA, zaufani użytkownicy działający na szkodę instytucji finansowych zostają zdemaskowani średnio po około 32 miesiącach aktywności. Zaufanie jest bardzo ważne, ale zbyt dużo zaufania naraża na niebezpieczeństwo.
Zagrożenie #4: BYOD

Problem związany z zaufaniem wchodzi w grę również w kontekście urządzeń mobilnych. Wiele przedsiębiorstw ma problem z doborem odpowiedniej technologii i polityk bezpieczeństwa przy coraz popularniejszym trendzie przynoszenia do pracy własnego sprzętu (bring-your-own-device: BYOD). Użytkownicy coraz częściej korzystają z urządzeń tak, jakby to były ich prywatne komputery PC, co w konsekwencji naraża ich na ataki oparte na technologii web w dokładnie w takim samym stopniu, jakby korzystali z komputerów stacjonarnych.

• Atakujący najprawdopodobniej będą coraz częściej starali się obejść zabezpieczenia najnowszych odsłon oprogramowania oraz mechanizmy detekcji, których używają mobilni dostawcy w celu chronienia swoich aplikacji. Wszystko to oznacza, że wysyp iPhone’ów, telefonów z systemem Google Android oraz innych urządzeń przynoszonych do pracy otworzy nową potencjalną drogę dla atakujących, którą koniecznie trzeba zabezpieczyć. Wystarczy pomyśleć – smartfon ma cyfrową kamerę. Ma również mikrofon. Można za jego pomocą nagrywać rozmowy. A teraz dodajmy do tego wszystkiego dostęp do korporacyjnej sieci i mamy idealną drogę pozwalającą ominąć zabezpieczenia.

Zagrożenie #5: Bezpieczeństwo w chmurach

Zjawisko BYOD to nie jedyna rzecz, która zmusza firmy do coraz mocniejszego obwarowywania krytycznych danych. Jest jeszcze jeden mały trend znany jako środowiska chmurowe. Ze względu na to, że coraz więcej firm umieszcza dane w chmurach dostarczanych przez publicznych usługodawców, takie usługi stają się smakowitym kąskiem dla hakerów i mogą stanowić jedyny słaby punkt bezpieczeństwa korporacji. Dla przedsiębiorstw oznacza to, że bezpieczeństwo musi w dalszym ciągu być bardzo ważnym punktem w dyskusjach z dostawcami usług osadzonych w chmurach, a potrzeby biznesowe muszą być jasno sprecyzowane.
Zagrożenie #6: HTML5

Powszechne przyjęcie standardu HTML5powiększy obszar zagrożeń zupełnie tak samo, jak coraz częstsze korzystanie z usług osadzonych w chmurach. Na początku tego roku na konferencji Black Hat, czyli spotkaniu specjalistów na którym dyskutuje się potencjalne zagrożenia, stwierdzono że HTML5, jako technologia wieloplatformowa i integrująca różne technologie, otwiera nowe możliwości ataków – chociażby nadużycie funkcjonalności Web Worker. Nawet pomimo największej uwagi przykładanej do bezpieczeństwa HTML5, sam fakt, że ta technologia jest nowa, sprawia że programiści tworząc swój kod mogą popełniać błędy, które następnie mogą być wykorzystane przez hakerów. Możemy się spodziewać w nadchodzącym roku prawdziwego zatrzęsienia ataków wymierzonych w HTML5. Miejmy nadzieję, że będą one na bieżąco odpierane za pomocą nowych aktualizacji i poprawek bezpieczeństwa.
Zagrożenie #7: Botnety

Mimo wyścigu zbrojeń na innowacje pomiędzy badaczami i atakującymi, można spodziewać się, że cyberprzestępcy spędzą mnóstwo czasu w doskonaleniu tego, co już świetnie znają i wykorzystują, na przykład upewnianiu się, że ich sieci botów mają wysoką dostępność i wciąż się rozrastają. Chociaż firmy takie jak Microsoft podjęły odpowiednie kroki prawne, co zaowocowało chwilową dezorganizację w działaniach spamerskich i wykorzystywaniu złośliwego oprogramowania, bardzo naiwnym byłoby oczekiwać, że hakerzy nie wyciągną wniosków i nie wykorzystają tych regulacji do udoskonalenia swoich ataków. Botnety wciąż będą miały swoje miejsce w świecie zagrożeń.
Zagrożenie #8: Dokładnie wymierzone pod ofiarę złośliwe oprogramowanie

Atakujący wyciągają również wnioski z analiz złośliwego oprogramowania wykonywanych przez twórców systemów bezpieczeństwa. Chodzi między innymi o technikę, która utrudnia analizę, gdyż złośliwe oprogramowanie jest zaprojektowane tak, że działa poprawnie jedynie na środowisku, dla którego zostało zaprojektowane. Przykładami takich ataków wśród wielu innych są Flashback i Gauss. Oba ataki odniosły sukces, szczególnie Gauss. Udało im się bowiem uniknąć wykrycia przez systemy automatycznej analizy tego typu złośliwego oprogramowania. W nadciągającym roku hakerzy będą ulepszać i wykorzystywać te techniki, czyniąc swoje wirusy jeszcze precyzyjniej wymierzone pod konkretną ofiarę, dzięki czemu ataki będą przeprowadzane jedynie na komputerach z określoną konfiguracją.

autor: Cezary Tchorek-Helm

Warto wiedzieć, z jakimi zagrożeniami sieciowymi branża będzie musiała się zmierzyć w 2013 roku.

Stare nowe zagrożenia

Jednym z głównych trendów w 2012 r. było BYOD, czyli możliwość wykorzystania w pracy prywatnych urządzeń mobilnych, takich jak smartfon i tablet oraz powstawanie heterogenicznych środowisk IT, gdzie oprócz systemów Windows, coraz częściej występowały także Mac OS X, iOS i Android.

W kolejnym roku spodziewam się dalszego wzrostu popularności urządzeń przenośnych i nowych systemów operacyjnych, a co za tym idzie także nowych zagrożeń i dedykowanego im złośliwego kodu, takiego jak na przykład koń trojański Flashback, który w kwietniu 2012 r. zainfekował ponad 600 000 komputerów Mac. Ponadto, będziemy mieli do czynienia z większą ilością przypadków wycieku firmowych danych poprzez prywatne urządzenia pracowników, które nie zawsze są zabezpieczone zgodnie z wytycznymi administratorów IT.

Botnety wykorzystujące cloud computing

Botnety to grupy zainfekowanych komputerów zwanych botami lub zombie, które wykonują polecenie wysyłane przez właściciela botnetu (master). Infekują one komputery wykorzystując luki i słabości systemów operacyjnych i aplikacji sieciowych. Używane są m.in. do rozsyłania spamu, hostingu fałszywych stron www (np. podszywających się pod witryny banków) lub przeprowadzania ataków DDoS, które mają za zadanie zablokować serwery firmy.

W jaki sposób botnety mogą wykorzystywać cloud computing do swoich celów? Z jednej strony mogą przejmować zasoby dostawców cloud computingu zgromadzone w ramach posiadanych przez nich centrów danych. Z drugiej natomiast istotnym zagrożeniem staje się możliwość płatnego „wynajmu” zainfekowanych wcześniej maszyn (zombie) do celów przestępczych. Cyberprzestępcy mogą określić wymaganą moc obliczeniową, czas pracy i zadania, które mają zostać wykonane np. wysłanie spamu lub złamanie zabezpieczeń kryptograficznych. Następnie płacą za takie usługi dostawcom botnetów, podobnie jak firmy - za pomocą kart kredytowych lub płatności elektronicznych.

Bitcoin – waluta cyberprzestępców

We wrześniu 2012 r. grupa hakerów twierdziła, że zdobyła zeznania podatkowe kandydata na prezydenta USA Mitta Romneya. Wysłała  zaszyfrowane kopie do mediów i partii demokratycznej, grożąc ich opublikowaniem, jeżeli na podane konto nie zostanie wpłacona równowartość miliona dolarów w Bitcoin’ach. Powyższe zdarzenie jest jednym z przykładów praktycznego użycia wirtualnej waluty Bitcoin, która powstała w 2009 r. i umożliwia natychmiastowe płatności w wirtualnym świecie poprzez sieci P2P. Istnieją serwisy, które umożliwiają wymianę Bitcoin’ów na standardowe waluty.

Brak centralnego serwera powoduje spore trudności w namierzaniu transakcji elektronicznych i ustalenie tożsamości ich uczestników. Dzięki temu Bitcoin staje się idealną platformą płatniczą (a właściwie „elektroniczną pralnią pieniędzy”) dla właścicieli botnetów, twórców złośliwego kodu, serwisów internetowych wykorzystywanych do handlu narkotykami i innych działań grup cyberprzestępczych.

Proaktywna ochrona sieci

Przegląd zagrożeń sieciowych z pewnością pomoże przy proaktywnym zabezpieczaniu swojej sieci i danych. O ile nie jest możliwe dokładne przewidzenie tego, co przyniesie przyszłość, to jeden aspekt wydaje się dość pewny - powinniśmy skupić nasze działania na ochronie użytkowników, niezależnie od tego, jakie urządzenia, systemy operacyjne i aplikacje wykorzystują i w jakim miejscu wykonują swoją pracę. Warto o tym pamiętać podczas tworzenia polityk bezpieczeństwa i wybierania rozwiązań zabezpieczających, które zostaną wdrożone w danej organizacji.

autor: Paweł Śmigielski/Cyberoam

Instytut badawczy NASK wyłączył 23 adresy internetowe, które rozpowszechniały wirusa o nazwie Virut. Specjaliści szacują, że niebezpiecznym kodem zostało zainfekowanych około 900 tysięcy polskich komputerów.

Botnetowe sieci, kontrolowane przez oprogramowanie takie jak Virut, to dzieło organizacji cyberprzestępczych. Cybergangi są podobne do legalnych korporacji, ponieważ mają hierarchiczną strukturę i też tworzą działy zatrudniające specjalistów. - Bazą jest dział pozyskiwania informacji - mówi Andrzej Pająk z magazynu komputerowego "Chip". Ekspert podkreśla, że twórcy złośliwego oprogramowania, poprzez różne fora, ogłaszają w cyberprzestępczym podziemiu swoją "ofertę handlową", a pozyskane poprzez programy szpiegujące informacje są sprzedawane.

Więcej informacji i technologicznych nowinek znajdziesz w archiwum "Cyber Trójki".

Jak zaznacza Grzegorz Bziuk, to "zarząd" organizuje zadania i przyjmuje zlecenia. - Kolejną grupą są "szeregowcy", czyli ludzie, którzy wykonują wszystkie działania cyberprzestępcze. Przy operacjach na dużą skalę jest potrzeba zorganizowania jak największej siatki. W tym celu w organizacji występują też "rekruterzy" - opowiada rozmówca Damiana Kwieka. Ekspert wyjaśnia, że "muły" to osoby, które odpowiadają za pranie brudnych pieniędzy. Niekoniecznie muszą mieć świadomość tego, że funkcjonują w organizacji przestępczej.

Bartłomiej Dramczyk tłumaczy, że te środowiska na pewno czymś się wyróżniają, ale to, że nie wiemy jak się nazywają, oznacza, że są skuteczne. - Z reguły nie bardzo wiemy jak się nazywa oryginalna "korporacja", znamy tylko marki, które produkuje - mówi ekspert magazynu "Chip".

Do słuchania audycji Damiana Kwieka zapraszamy w piątki o godz. 18.10