Egy évvel ezelőtt a tipikus hackelési forgatókönyv szerint egy magányos támadó és talán néhány haverja késő éjjel a Mountain Dew-on dolgozott, és nyilvános IP-címeket keresett. Amikor találtak egyet, felsorolták a hirdetési szolgáltatásokat (webszerver, SQL-kiszolgáló stb.), betörtek a sebezhetőségek sokaságát kihasználva, majd kedvükre felfedezték a kompromittált vállalatot. Gyakran feltáró szándékuk volt. Ha valami törvénybe ütközőt tettek, az jellemzően a pillanat hevében elkövetett bűncselekmény volt.
Mi, hogy változnak az idők.
A tipikus hackelési forgatókönyv leírásakor manapság már jóval a hackelés vagy akár a hacker előtt, a támadás mögött álló szervezetnél kell kezdeni. Manapság a hackelés mindig és mindenkor bűnözés, kiegészülve a rosszindulatú szoftverek licitáló piacaival, bűnszövetkezetekkel, bérelhető botnetekkel, állami szereplőkkel és ámokfutó kiberháborúval.
Itt van a kilenc legnagyobb fenyegetés, amellyel a mai informatikai biztonsági szakemberek szembesülnek.
- 1. számú fenyegetés: Kiberbűnözői szindikátusok
- Kettes számú fenyegetés: Kisstílű csalók – és az őket támogató pénzcsempészek és pénzmosók
- 3. számú fenyegetés: Hacktivisták
- 4. számú fenyegetés: Szellemi tulajdon lopása és vállalati kémkedés
- 5. számú fenyegetés: Malware zsoldosok
- 6. számú fenyegetés: Botnetek szolgáltatásként
- 7. számú fenyegetés: All-in-one malware
- 8. számú fenyegetés: Az egyre inkább kompromittálódó web
- 9. számú fenyegetés: Kiberhadviselés
- Bűncselekmény és nincs büntetés
1. számú fenyegetés: Kiberbűnözői szindikátusok
Bár a magányos bűnözői lángelmék még mindig léteznek, manapság a legtöbb rosszindulatú hackertámadás szervezett csoportok eredménye, amelyek közül sokan profik. A hagyományos szervezett bűnözői csoportok, amelyek korábban kábítószerrel, szerencsejátékkal, bűnüldözéssel és zsarolással foglalkoztak, bedobták a kalapjukat az online pénzszerzés ringjébe, de a verseny éles, amelyet nem maffiózók, hanem több nagyon nagy, kifejezetten a kiberbűnözést célzó hivatásos bűnözői csoport vezet.
A legsikeresebb szervezett kiberbűnözési szindikátusok közül sokan olyan vállalkozások, amelyek nagy leányvállalati konglomerátumcsoportokat vezetnek, nagyjából a legális elosztott marketing hierarchiák mintájára. Valójában a mai kiberbűnözőnek valószínűleg több közös vonása van egy Avon vagy Mary Kay képviselővel, mint amennyit bármelyikük be akar ismerni.
A néhány tagot számláló kis csoportok még mindig hackelnek, de az IT-biztonsági szakemberek egyre gyakrabban kerülnek szembe a szélhámosságra szakosodott nagyvállalatokkal. Gondoljunk a főállású alkalmazottakra, a HR osztályokra, a projektmenedzsment csapatokra és a csapatvezetőkre. És ez mind bűncselekmény, nincs többé képernyőre nyomtatott vicces üzenet vagy egyéb tinédzser bohóckodás. A legtöbbjük nyíltan működik, és néhányuknak — mint például a Russian Business Network — még saját Wikipédia-bejegyzésük is van. Eléggé visszavágyik az ember a múltba, nem igaz?
A specializáció és a munkamegosztás áll ezeknek a szervezeteknek a középpontjában. Egyetlen lángelme, vagy egy belső kör vezeti a kollektívát. Az őrmesterek és alosztályok különböző területekre specializálódnak, egy kar a rosszindulatú programok létrehozására, egy másik a marketingre, egy másik a terjesztési csatorna létrehozására és karbantartására, és még egy másik a botnetek létrehozásáért és más gonosztevőknek való bérbeadásáért felel (lásd alább).
Nem csoda, hogy a népszerű IT-biztonsági gyakorlatok nem működnek a mai rosszindulatú szoftverek ellen, hiszen a kiberbűnözés többszintű, szolgáltatásorientált iparággá fejlődött, amelynek nyilvánvaló célja a vállalatok és az emberek pénzének és szellemi tulajdonának kifosztása.
Kettes számú fenyegetés: Kisstílű csalók – és az őket támogató pénzcsempészek és pénzmosók
Nem minden kiberbűnszervezet szindikátus vagy vállalat. Néhányan egyszerűen vállalkozói jellegűek, kisvállalkozások, amelyek egy dologra vadásznak: a pénzre.
Ezek a rosszindulatú anya- és kisvállalkozók ellophatják a személyazonosságokat és a jelszavakat, vagy aljas átirányítással szerezhetik meg azokat. Végső soron pénzt akarnak. Csalárd hitelkártya- vagy banki tranzakciókat kezdeményeznek, és a jogtalanul szerzett nyereségüket pénzszállítók, elektronikus készpénzforgalmazás, e-banking vagy más pénzmosás segítségével helyi valutára váltják.
Nem nehéz megtalálni a pénzmosókat. Tucatnyi-száz szervezet verseng azért, hogy ki az, aki nagy százalékos részesedést kap az illegálisan szerzett zsákmányból. Sőt, meg lennél lepve, hogy milyen versengő és nyilvános az összes többi ember, akik könyörögnek, hogy internetes bűnözőkkel köthessenek támogatási üzletet. “Kérdések nélküli”, “golyóálló” tárhelyet hirdetnek olyan országokban, amelyek messze vannak a jogi idézések hatósugarától, és nyilvános hirdetőtáblákat, szoftverakciókat, 24/7 telefonos támogatást, licitálós fórumokat, elégedett ügyfélreferenciákat, rosszindulatú szoftverek elkerülésére vonatkozó ismereteket és minden olyan szervizelést kínálnak, amely segít másoknak abban, hogy jobb online bűnözők legyenek. E csoportok jó része évente több tízmillió dollárt keres.
Egy csomó ilyen csoportot és a mögöttük álló személyeket azonosítottak (és tartóztattak le) az elmúlt néhány évben. A közösségi média profiljaikon boldog emberek láthatók nagy házakkal, drága autókkal, külföldi nyaralásokon nyaraló, elégedett családokkal. Ha egy kicsit is bűnösek a másoktól való pénzlopás miatt, az nem látszik rajtuk.
Képzeljük el a környékbeli grillpartikat, ahol azt mondják a szomszédoknak és a barátoknak, hogy “internetmarketing-üzletet” vezetnek — mindeközben a social engineering segítségével milliókhoz jutnak, az informatikai biztonsági szakemberek megdöbbenésére, akik már mindent megtettek, amit csak lehetett, hogy megvédjék a felhasználókat önmaguktól.
3. számú fenyegetés: Hacktivisták
Míg a kezdeti időkben nem volt ritka az exploitokkal való kérkedés, a mai kiberbűnözők igyekeznek a radar alatt maradni — kivéve a hacktivisták egyre növekvő légióit.
Az IT-biztonsági szakembereknek egyre több politikai aktivizmusra szakosodott laza szövetséggel kell megküzdeniük, mint például a hírhedt Anonymous csoport. Politikai indíttatású hackerek azóta léteznek, amióta a hackelés megszületett. A nagy változás az, hogy egyre több ilyen tevékenységet végeznek nyíltan, és a társadalom a politikai aktivizmus elfogadott formájaként ismeri el.
A politikai hackercsoportok gyakran kommunikálnak – akár névtelenül, akár nem – nyílt fórumokon, ahol előre bejelentik célpontjaikat és hackereszközeiket. Több tagot gyűjtenek, sérelmüket a médiába viszik, hogy a közvélemény támogatását megnyerjék, és megdöbbenve viselkednek, ha illegális tetteikért letartóztatják őket. Az a céljuk, hogy minél jobban zavarba hozzák és negatív médiafigyelmet keltsenek az áldozatban, legyen szó akár ügyféladatok feltöréséről, elosztott szolgáltatásmegtagadási (DDoS) támadások elkövetéséről, vagy egyszerűen csak további nehézségeket okoznak az áldozat vállalatának.
A politikai hacktivizmus célja leggyakrabban az, hogy anyagi fájdalmat okozzon az áldozatnak, és ezzel próbálja megváltoztatni az áldozat viselkedését. Ebben a harcban az egyének járulékos károkat okozhatnak, és függetlenül attól, hogy valaki hisz-e a hacktivista politikai ügyében, a szándék és a módszertan továbbra is bűncselekmény marad.
4. számú fenyegetés: Szellemi tulajdon lopása és vállalati kémkedés
A legtöbb IT-biztonsági szakembernek meg kell küzdenie a rosszindulatú hackerek nagy csoportjával, akik szellemi tulajdont lopnak el vállalatoktól, vagy egyenesen vállalati kémkedést folytatnak. Módszerük az, hogy betörnek egy vállalat informatikai eszközeibe, kidobják az összes jelszót, és idővel gigabájtnyi bizalmas információt lopnak el: szabadalmakat, új termékötleteket, katonai titkokat, pénzügyi információkat, üzleti terveket és így tovább. Pénzügyi haszonszerzés céljából értékes információkat adnak át ügyfeleiknek, és a lehető legtovább rejtőzködnek a megtámadott vállalat hálózatán belül.
A jutalmuk learatásához fontos e-maileket hallgatnak ki, adatbázisokat fosztogatnak, és olyan sok információhoz jutnak hozzá, hogy sokan már saját rosszindulatú keresőmotorokat és lekérdezőeszközöket fejlesztenek ki, hogy elkülönítsék a takarmányt az érdekesebb szellemi tulajdontól.
Ez a fajta támadó fejlett tartós fenyegetésként (APT) vagy elszánt emberi ellenfélként (DHA) ismert. Kevés olyan nagyvállalat van, amelyet ne támadtak volna meg sikeresen ezek a kampányok.
5. számú fenyegetés: Malware zsoldosok
Nem számít, milyen szándék vagy csoport áll a kiberbűnözés mögött, valakinek el kell készítenie a malware-t. A múltban egyetlen programozó készített rosszindulatú szoftvereket saját használatra, vagy esetleg eladásra. Ma már vannak olyan csapatok és cégek, amelyek kizárólag azzal foglalkoznak, hogy rosszindulatú szoftvereket írjanak bizonyos biztonsági védelmek megkerülésére, bizonyos ügyfelek megtámadására és bizonyos célok elérésére. Ezeket a nyílt piacon, licitáló fórumokon árulják.
A rosszindulatú programok gyakran többfázisúak és komponensekből állnak. Egy kisebb csonkprogramot bíznak meg az áldozat számítógépének kezdeti kihasználásával, és miután biztonságosan elhelyezték, hogy egy újraindítás után is életben maradjon, kapcsolatba lép egy “anyahajó” webszerverrel további utasításokért. Gyakran előfordul, hogy a kezdeti csonkprogram DNS-lekérdezéseket küld az anyahajót keresve, amely gyakran maga is egy ideiglenesen anyahajóként működő, kompromittált számítógép. Ezeket a DNS-lekérdezéseket olyan DNS-kiszolgálókra küldik, amelyek ugyanolyan valószínűséggel ártatlanul fertőzött áldozati számítógépek. A DNS-kiszolgálók számítógépről számítógépre mozognak, akárcsak az anyahajó webkiszolgálói.
Ha már kapcsolatba léptek, a DNS- és anyahajó-kiszolgáló gyakran átirányítja a kezdeményező csonkklienst más DNS- és anyahajó-kiszolgálókra. Ily módon a csonkaklienst újra és újra (gyakran több mint egy tucatszor) újonnan kizsákmányolt számítógépekre irányítják, míg végül a csonkprogram megkapja a végső utasításokat, és a tartósabb rosszindulatú program települ. Ez a felállás nagyon megnehezíti az informatikai biztonsági szakemberek számára az áruk elleni védekezést.
6. számú fenyegetés: Botnetek szolgáltatásként
A botnetek már nem csak a készítőiknek szólnak. Miután több mint valószínű, hogy megvásárolták a botot létrehozó rosszindulatú programot, a mai tulajdonosok vagy maguk használják a botnetet, vagy óránként vagy más mérőszám alapján bérlik azt másoknak.
A módszertan ismerős. A rosszindulatú program minden egyes változata akár több tízezer számítógépet próbál kihasználni annak érdekében, hogy egyetlen botnetet hozzon létre, amely a készítő parancsára működik. A botnet minden egyes botja végül visszakapcsolódik a parancs- és vezérlő (C&C) szerver(ek)re, hogy megkapja a legújabb utasításokat. Ezek az utasítások gyakran magukban foglalják egy zsarolóprogram leadását. A botnetekben több százezer fertőzött számítógépet találtak.
Most, hogy ennyi aktív botnet van (naponta több tízmillió fertőzött számítógép), a botnetek bérlése meglehetősen olcsó, ami annál több problémát jelent az IT-biztonsági szakemberek számára.
A rosszindulatú programok ellen harcolók gyakran megkísérlik a C&C szerverek leállítását vagy átvételét, hogy utasíthassák a csatlakozó botokat a gazdaszámítógépek fertőtlenítésére és a halálra.
7. számú fenyegetés: All-in-one malware
A kifinomult malware programok gyakran kínálnak all-in-one, mindent egy lapra feltéve funkciókat. Nemcsak a végfelhasználót fertőzik meg, hanem betörnek a weboldalakra is, és módosítják azokat, hogy további áldozatok megfertőzését segítsék elő. Ezek az “all-in-one” rosszindulatú programok gyakran rendelkeznek menedzsmentkonzollal, hogy tulajdonosaik és készítőik nyomon követhessék, mit csinál a botnet, kiket fertőznek meg, és melyek a legsikeresebbek.
A legtöbb rosszindulatú program trójai faló. A számítógépes vírusok és férgek már régóta nem a legnépszerűbb rosszindulatú programok. A legtöbb esetben a végfelhasználót ráveszik egy trójai faló futtatására, amelyet szükséges víruskeresőként, lemezdefragmentáló eszközként vagy más, látszólag nélkülözhetetlen vagy ártalmatlan segédprogramként hirdetnek. A felhasználó normál védekező rendszerét megtévesztik, mivel a legtöbbször az a weboldal, amely a csaló futtatható programot kínálja, egy olyan megbízható webhely, amelyet már sokszor meglátogatott. A rosszfiúk egyszerűen kompromittálták az oldalt, számos trükköt alkalmazva, és beillesztettek néhány sor JavaScriptet, amely átirányítja a felhasználó böngészőjét a trójai programra.
8. számú fenyegetés: Az egyre inkább kompromittálódó web
A legalapvetőbb szinten egy weboldal egyszerűen egy számítógép, akárcsak egy hagyományos végfelhasználói munkaállomás. A webmesterek viszont ugyanolyan végfelhasználók, mint bárki más. Nem meglepő, hogy a legitim webet ellepik a rosszindulatú JavaScript átirányító linkek.
Nem kizárólag a webmesterek számítógépeinek kihasználása az oka a webszerverek veszélyeztetettségének növekedésének. A támadók gyakrabban találnak olyan gyenge pontot vagy sebezhetőséget egy webhelyen, amely lehetővé teszi számukra, hogy megkerüljék az adminisztrátori hitelesítést és rosszindulatú szkripteket írjanak.
A webhelyek gyakori sebezhetőségei közé tartoznak a rossz jelszavak, a cross-site scripting sebezhetőségek, az SQL-injekció, a sebezhető szoftverek és a nem biztonságos jogosultságok. Az Open Web Application Security Project Top 10-es listája a legtöbb webszerver feltörésének tekintélye.
Nagyon sokszor nem a webszerver vagy annak alkalmazásszoftvere, hanem valamilyen link vagy hirdetés kerül feltörésre. Gyakori, hogy a bannerhirdetések, amelyeket gyakran általános reklámügynökségek helyeznek el és forgatnak, fertőzöttekké válnak. A fenébe is, a rosszindulatú fickók néha hirdetési helyet vásárolnak népszerű webszervereken.
Mivel a gonosztevők közül sokan törvényes vállalatok üzletembereként mutatkoznak be, vállalati székhellyel, névjegykártyákkal és költségszámlákkal, nem mindig olyan könnyű elkülöníteni a törvényes hirdetési forrásokat a rosszfiúktól, akik gyakran egy törvényes terméket kezdenek hirdetni, hogy aztán a hirdetési kampány elindulása után a hirdetésben lévő linket egy csaló termékre cseréljék. Az egyik legérdekesebb kihasználás során a hackerek egy rajzfilmszindikátust tettek tönkre, így az érintett rajzfilmeket újraközlő újságok mindegyike rosszindulatú programot terjesztett. Már egy rajzfilmben sem lehet megbízni.
A másik probléma a feltört webhelyekkel kapcsolatban az, hogy az egy webhelynek otthont adó számítógépek gyakran több webhelynek is otthont adhatnak, néha több száz vagy ezer példányban. Egyetlen feltört weboldal gyorsan több ezer további weboldalhoz vezethet.
Nem számít, hogyan törték fel az oldalt, az ártatlan felhasználó, aki esetleg évekig gond nélkül látogatta az adott weboldalt, egy nap egy váratlan program telepítésére kap felszólítást. Bár meglepődik, az a tény, hogy a felszólítás egy olyan weboldalról érkezik, amelyet ismer és amelyben megbízik, elég ahhoz, hogy futtassa a programot. Ezután vége a játéknak. A végfelhasználó számítógépe (vagy mobilkészüléke) egy újabb fogaskerék valakinek a nagy botnetjében.
9. számú fenyegetés: Kiberhadviselés
A nemzetállamok kiberhadviselési programjai külön kategóriába tartoznak, és a legtöbb IT-biztonsági szakember nem találkozik velük a mindennapokban. Ezek a titkos műveletek összetett, professzionális kiberhadviselési programokat hoznak létre, amelyek célja az ellenfelek megfigyelése vagy az ellenfél működésének kiiktatása, de ahogy a Stuxnet és a Duqu mutatja, e módszerek következményei nem csak a tervezett célpontokra lehetnek hatással. Ma már olyan nemzetállamok is vannak, mint Észak-Korea, amelyek egy Fortune 500-as vállalatot lekapcsolnak és kihasználnak, mert nem tetszett neki egy bizonyos film.
Bűncselekmény és nincs büntetés
Egyik-másik áldozat soha nem épül fel a kizsákmányolásból. A hitelkártyájukat örökre megrongálja egy hacker csalárd tranzakciója, a rosszindulatú szoftver az áldozat címjegyzékét használja fel arra, hogy továbbítsa magát a barátoknak és családtagoknak, a szellemi tulajdon ellopásának áldozatai több tízmillió dollárt költenek javításra és megelőzésre.
A legrosszabb az, hogy a fenti rosszindulatú támadásokat alkalmazók közül szinte senki sem kerül sikeresen felelősségre vonásra. A hivatásos internetes bűnözők nagy lábon élnek, mert az internet nem alkalmas arra, hogy bíróság előtt perelhető bizonyítékokat állítson elő. Még ha tudna is, a gyanúsítottak az áldozatok bírósági jogkörén kívül élnek. A legtöbb hackertámadás alapértelmezés szerint névtelen, és a nyomok ezredmásodpercek alatt elvesznek és eltűnnek. Jelenleg az internet “vad, vadnyugati” napjait éljük. Ahogy érik az internet, a bűnözők menedékei kiszáradnak. Addig is, az informatikai biztonsági szakembereknek nem lesz könnyű dolguk.