Lata temu typowy scenariusz włamania obejmował samotnego napastnika i być może kilku kumpli pracujących do późna w nocy nad Mountain Dew, szukających publicznych adresów IP. Kiedy znaleźli taki adres, wyliczali usługi reklamowe (serwer WWW, serwer SQL i tak dalej), włamywali się wykorzystując liczne luki w zabezpieczeniach, a następnie eksplorowali zagrożoną firmę do woli. Często ich intencje były odkrywcze. Jeśli zrobili coś nielegalnego, to zazwyczaj było to spur-of-the-moment crime of opportunity.
My, jak czasy się zmieniły.
Przy opisywaniu typowego scenariusza hakerskiego, te dni trzeba zacząć na długo przed hack lub nawet hakera, z organizacji stojącej za atakiem. Dzisiaj hakerstwo to przestępczość przez cały czas, z rynkami licytacji złośliwego oprogramowania, syndykatami przestępczymi, botnetami do wynajęcia, podmiotami państwowymi i wojnami cybernetycznymi, które oszalały.
Oto dziewięć największych zagrożeń, przed którymi stoją dzisiejsi specjaliści ds. bezpieczeństwa IT.
- Zagrożenie nr 1: Syndykaty cyberprzestępcze
- Zagrożenie nr 2: Drobni przestępcy — oraz wspierające ich muły pieniężne i pralnie brudnych pieniędzy
- Zagrożenie nr 3: Haktywiści
- Zagrożenie nr 4: Kradzież własności intelektualnej i szpiegostwo korporacyjne
- Zagrożenie nr 5: Najemnicy złośliwego oprogramowania
- Zagrożenie nr 6: Botnety jako usługa
- Zagrożenie nr 7: Złośliwe oprogramowanie typu “wszystko w jednym”
- Zagrożenie nr 8: Coraz bardziej skompromitowana sieć
- Zagrożenie nr 9: Wojna cybernetyczna
- Przestępstwo i brak kary
Zagrożenie nr 1: Syndykaty cyberprzestępcze
Pomimo że samotny przestępczy umysł nadal istnieje, obecnie większość złośliwych ataków hakerskich jest wynikiem działania zorganizowanych grup, z których wiele jest profesjonalnych. Tradycyjne zorganizowane grupy przestępcze, które zajmowały się narkotykami, hazardem, ściganiem przestępstw i wymuszeniami, rzuciły swoje kapelusze na ring internetowy, ale konkurencja jest ostra, prowadzona nie przez mafiosów, ale kilka bardzo dużych grup zawodowych przestępców, których celem jest właśnie cyberprzestępczość.
Wiele z najbardziej udanych zorganizowanych syndykatów cyberprzestępczych to firmy, które prowadzą duże grupy konglomeratów afiliacyjnych, podobnie jak w przypadku legalnych hierarchii marketingu rozproszonego. W rzeczywistości, dzisiejszy cyberprzestępca ma prawdopodobnie więcej wspólnego z przedstawicielem Avon lub Mary Kay, niż którykolwiek z nich chce przyznać.
Małe grupy, z kilkoma członkami, nadal się włamują, ale coraz częściej specjaliści ds. bezpieczeństwa IT mają do czynienia z dużymi korporacjami zajmującymi się nieuczciwym zachowaniem. Pomyśl o pełnoetatowych pracownikach, działach HR, zespołach zarządzających projektami i liderach zespołów. I to wszystko jest przestępstwem, nie ma już zabawnych wiadomości drukowanych na ekranie czy innych nastoletnich wybryków. Większość z nich działa jawnie, a niektóre – jak Russian Business Network – mają nawet swoje własne wpisy w Wikipedii. To sprawia, że marzysz o dawnych czasach, prawda?
Specjalizacja i podział pracy są w sercu tych organizacji. Pojedynczy mistrz lub wewnętrzny krąg będzie kierował kolektywem. Sierżanci i pododdziały będą specjalizować się w różnych dziedzinach, z ramieniem zajmującym się tworzeniem złośliwego oprogramowania, innym zajmującym się marketingiem, jeszcze innym tworzącym i utrzymującym kanał dystrybucji, a jeszcze innym odpowiedzialnym za tworzenie botnetów i wynajmowanie ich innym złoczyńcom (patrz poniżej).
Nie ma w tym nic dziwnego, dlaczego popularne praktyki bezpieczeństwa IT po prostu nie działają przeciwko dzisiejszemu złośliwemu oprogramowaniu, biorąc pod uwagę, że cyberprzestępczość przekształciła się w wielopoziomową, zorientowaną na usługi branżę, której jawnym celem jest ograbianie firm i ludzi z ich pieniędzy i własności intelektualnej.
Zagrożenie nr 2: Drobni przestępcy — oraz wspierające ich muły pieniężne i pralnie brudnych pieniędzy
Nie wszystkie organizacje cyberprzestępcze są syndykatami lub korporacjami. Niektóre z nich są po prostu z natury przedsiębiorcze, to małe firmy, którym zależy na jednym: na pieniądzach.
Te złośliwe operacje typu “mama i tata” mogą kraść tożsamości i hasła, lub mogą powodować podstępne przekierowania, aby je zdobyć. W końcu, chcą pieniędzy. Inicjują oszukańcze transakcje kartami kredytowymi lub transakcje bankowe i zamieniają swoje nieuczciwe zyski na lokalną walutę przy użyciu mułów pieniężnych, elektronicznej dystrybucji gotówki, bankowości elektronicznej lub innego rodzaju prania brudnych pieniędzy.
Nie jest trudno znaleźć osoby zajmujące się praniem brudnych pieniędzy. Istnieją dziesiątki do setek podmiotów konkurujących o to, by być tym, który zgarnie duży procent nielegalnie zdobytego łupu. W rzeczywistości, byłbyś zaskoczony konkurencyjną i publiczną naturą wszystkich innych ludzi, którzy błagają, aby robić interesy z internetowymi przestępcami. Reklamują oni “brak pytań”, “kuloodporny” hosting w krajach dalekich od zasięgu prawnych wezwań do sądu, a także oferują publiczne tablice ogłoszeń, promocje na oprogramowanie, całodobową pomoc telefoniczną, fora dyskusyjne, referencje zadowolonych klientów, umiejętności unikania szkodliwego oprogramowania i całą obsługę, która pomaga innym być lepszymi przestępcami internetowymi. Spora liczba tych grup zarabia dziesiątki milionów dolarów każdego roku.
Wiele z tych grup i osób za nimi stojących zostało zidentyfikowanych (i aresztowanych) w ciągu ostatnich kilku lat. Ich profile w mediach społecznościowych pokazują szczęśliwych ludzi z dużymi domami, drogimi samochodami i zadowolonymi rodzinami spędzającymi zagraniczne wakacje. Jeśli są choć trochę winni kradzieży pieniędzy od innych, nie widać tego.
Wyobraź sobie grille w sąsiedztwie, podczas których opowiadają sąsiadom i przyjaciołom, że prowadzą “firmę zajmującą się marketingiem internetowym” — cały czas wykorzystując inżynierię społeczną w celu zdobycia milionów, ku konsternacji specjalistów ds. bezpieczeństwa IT, którzy zrobili wszystko, co możliwe, aby chronić użytkowników przed samymi sobą.
Zagrożenie nr 3: Haktywiści
Gdy na początku chwalenie się exploitami nie należało do rzadkości, dzisiejsi cyberprzestępcy starają się nie rzucać w oczy — z wyjątkiem rosnących legionów haktywistów.
Profesjonaliści ds. bezpieczeństwa IT muszą zmagać się z rosnącą liczbą luźnych konfederacji osób oddanych aktywizmowi politycznemu, takich jak niesławna grupa Anonymous. Politycznie motywowani hakerzy istnieją od czasu, gdy hakerstwo narodziło się po raz pierwszy. Duża zmiana polega na tym, że coraz więcej z nich odbywa się w sposób jawny, a społeczeństwo uznaje je za akceptowaną formę aktywizmu politycznego.
Grupy hakerów politycznych często komunikują się, anonimowo lub nie, na otwartych forach, ogłaszając swoje cele i narzędzia hakerskie z wyprzedzeniem. Zbierają więcej członków, przekazują swoje żale do mediów, aby uzyskać poparcie opinii publicznej i zachowują się jak zaskoczeni, jeśli zostaną aresztowani za swoje nielegalne czyny. Ich zamiarem jest zawstydzenie ofiary i zwrócenie na nią negatywnej uwagi mediów tak bardzo, jak to tylko możliwe, niezależnie od tego, czy obejmuje to zhakowanie informacji o klientach, przeprowadzenie ataków typu DDoS (distributed denial of service), czy po prostu spowodowanie dodatkowych kłopotów w firmie ofiary.
Hakktywa polityczna najczęściej ma na celu spowodowanie bólu pieniężnego u ofiary, próbując zmienić jej zachowanie. Osoby fizyczne mogą być ofiarami ubocznymi w tej walce i niezależnie od tego, czy ktoś wierzy w polityczną sprawę haktywisty, jego intencje i metodologia pozostają przestępcze.
Zagrożenie nr 4: Kradzież własności intelektualnej i szpiegostwo korporacyjne
Większość profesjonalistów ds. bezpieczeństwa IT musi zmagać się z dużą grupą złośliwych hakerów, którzy kradną własność intelektualną firm lub wykonują zwykłe szpiegostwo korporacyjne. Ich metoda polega na włamaniu się do zasobów informatycznych firmy, wyrzuceniu wszystkich haseł, a z czasem kradzieży gigabajtów poufnych informacji: patentów, pomysłów na nowe produkty, tajemnic wojskowych, informacji finansowych, planów biznesowych i tak dalej. Przekazują cenne informacje swoim klientom w celu uzyskania korzyści finansowych i pozostają w ukryciu w sieci zagrożonej firmy tak długo, jak to możliwe.
Aby zebrać swoje nagrody, podsłuchują ważne wiadomości e-mail, włamują się do baz danych i uzyskują dostęp do tak wielu informacji, że wielu z nich zaczęło opracowywać własne złośliwe wyszukiwarki i narzędzia do wyszukiwania, aby oddzielić paszę od bardziej interesującej własności intelektualnej.
Ten rodzaj napastnika jest znany jako zaawansowane trwałe zagrożenie (APT) lub zdeterminowany przeciwnik ludzki (DHA). Niewiele dużych firm nie zostało skutecznie skompromitowanych przez takie kampanie.
Zagrożenie nr 5: Najemnicy złośliwego oprogramowania
Niezależnie od intencji lub grupy stojącej za cyberprzestępczością, ktoś musi stworzyć złośliwe oprogramowanie. W przeszłości, pojedynczy programista tworzył szkodliwe oprogramowanie na własny użytek, a może nawet na sprzedaż. Obecnie istnieją zespoły i firmy zajmujące się wyłącznie pisaniem szkodliwego oprogramowania w celu obejścia określonych zabezpieczeń, zaatakowania określonych klientów i osiągnięcia określonych celów. Są one sprzedawane na otwartym rynku na forach licytacyjnych.
Często złośliwe oprogramowanie jest wielofazowe i podzielone na komponenty. Mniejszy program typu stub ma za zadanie wstępnie wykorzystać komputer ofiary, a po bezpiecznym umieszczeniu, zapewniającym przeżycie po restarcie, kontaktuje się z serwerem internetowym “statku-matki” w celu uzyskania dalszych instrukcji. Często początkowy program stub wysyła zapytania DNS w poszukiwaniu statku-matki, którym często jest skompromitowany komputer tymczasowo pełniący rolę statku-matki. Te zapytania DNS są wysyłane do serwerów DNS, które równie dobrze mogą być niewinnie zainfekowanymi komputerami ofiar. Serwery DNS przemieszczają się z komputera na komputer, podobnie jak serwery WWW statku-matki.
Po nawiązaniu kontaktu, serwer DNS i serwer statku-matki często przekierowują inicjującego klienta stub do innych serwerów DNS i serwerów statku-matki. W ten sposób, klient stub jest kierowany w kółko (często kilkanaście razy) do nowo wykorzystywanych komputerów, aż w końcu program stub otrzymuje swoje ostateczne instrukcje i instaluje się bardziej trwały złośliwy program. Taka konfiguracja bardzo utrudnia specjalistom ds. bezpieczeństwa IT obronę przed ich produktami.
Zagrożenie nr 6: Botnety jako usługa
Botnety nie są już tylko dla ich twórców. Po zakupie złośliwego programu, który tworzy bota, dzisiejsi właściciele będą używać botnetu dla siebie lub wynajmować go innym osobom na godziny lub w innych proporcjach.
Metodyka jest znana. Każda wersja złośliwego programu próbuje wykorzystać do kilkudziesięciu tysięcy komputerów w celu stworzenia jednego botnetu, który będzie działał na zlecenie twórcy. Każdy bot w botnecie w końcu łączy się z serwerem (serwerami) dowodzenia i kontroli (C&C), aby otrzymać najnowsze instrukcje. Instrukcje te często obejmują podrzucenie programu ransomware. Botnety zawierają setki tysięcy zainfekowanych komputerów.
Teraz, gdy istnieje tak wiele aktywnych botnetów (dziesiątki milionów zainfekowanych komputerów każdego dnia), wynajem botnetów jest dość tani, co oznacza jeszcze więcej problemów dla specjalistów ds. bezpieczeństwa IT.
Walczący ze złośliwym oprogramowaniem będą często próbowali zlikwidować serwery C&C lub przejąć je, aby mogli poinstruować łączące się z nimi boty, by zdezynfekowały swoje komputery i umarły.
Zagrożenie nr 7: Złośliwe oprogramowanie typu “wszystko w jednym”
Wyrafinowane złośliwe programy często oferują funkcjonalność typu “wszystko w jednym”. Nie tylko infekują użytkownika końcowego, ale również włamują się na strony internetowe i modyfikują je, aby pomóc w infekowaniu kolejnych ofiar. Te wszystkie złośliwe programy często są wyposażone w konsole do zarządzania, dzięki czemu ich właściciele i twórcy mogą śledzić, co robi botnet, kogo infekuje i które z nich odnoszą największe sukcesy.
Większość złośliwych programów to konie trojańskie. Wirusy komputerowe i robaki już dawno przestały być najpopularniejszymi rodzajami złośliwego oprogramowania. W większości przypadków użytkownik końcowy jest podstępnie nakłaniany do uruchomienia konia trojańskiego, który jest reklamowany jako niezbędne narzędzie do skanowania antywirusowego, defragmentacji dysku lub inne pozornie niezbędne lub nieszkodliwe narzędzie. Normalne mechanizmy obronne użytkownika zostają oszukane, ponieważ w większości przypadków strona internetowa oferująca nieuczciwy plik wykonywalny jest zaufaną witryną, którą użytkownik odwiedzał wielokrotnie. Źli ludzie po prostu skompromitowali tę stronę, używając wielu sztuczek, i wstawili kilka linijek JavaScript, które przekierowują przeglądarki użytkowników do programu konia trojańskiego.
Zagrożenie nr 8: Coraz bardziej skompromitowana sieć
Na najbardziej podstawowym poziomie, strona internetowa jest po prostu komputerem, tak jak zwykła stacja robocza użytkownika końcowego. Z kolei webmasterzy są użytkownikami końcowymi jak wszyscy inni. Nie jest zaskakujące, że legalna sieć jest zaśmiecana złośliwymi odsyłaczami przekierowującymi JavaScript.
To nie jest całkowicie kwestia komputerów webmasterów, które są wykorzystywane, co prowadzi do wzrostu liczby kompromitacji serwerów web. Częściej atakujący znajdują słaby punkt lub lukę w witrynie, która pozwala im ominąć uwierzytelnianie administratora i pisać złośliwe skrypty.
Powszechnie występujące luki w witrynie obejmują słabe hasła, luki w zabezpieczeniach cross-site scripting, SQL injection, podatne oprogramowanie i niezabezpieczone uprawnienia. Lista Top 10 projektu Open Web Application Security Project jest autorytetem w zakresie tego, jak większość serwerów internetowych zostaje skompromitowana.
Wiele razy to nie serwer WWW lub jego oprogramowanie, ale jakiś link lub reklama, która zostaje zhakowana. To jest wspólne dla banerów reklamowych, które są często umieszczane i obracane przez ogólne agencje reklamowe, aby zakończyć się zainfekowany. Heck, złośliwi faceci czasami kupują przestrzeń reklamową na popularnych serwerach WWW.
Ponieważ wielu złoczyńców przedstawia się jako biznesmeni z legalnych korporacji, z siedzibą firmy, wizytówkami i kontami wydatków, nie zawsze jest tak łatwo oddzielić legalne źródła reklam od złych facetów, którzy często zaczynają reklamować legalny produkt tylko po to, aby zmienić link w reklamie na nieuczciwy produkt po tym, jak kampania reklamowa jest w toku. Jeden z ciekawszych exploitów obejmował hakerów kompromitujących syndykat kreskówek tak, że każda gazeta publikująca ponownie dotknięte kreskówki skończyła się pchaniem złośliwego oprogramowania. Nie można już nawet ufać kreskówkom.
Innym problemem związanym ze zhakowanymi stronami internetowymi jest to, że komputery hostujące jedną stronę mogą często hostować wiele stron, czasami liczonych w setkach lub tysiącach. One hacked website can quickly lead to thousands more.
No matter how the site was hacked, the innocent user, who might have visited this particular website for years without a problem, one day gets prompted to install an unexpected program. Mimo że jest zaskoczony, fakt, że monit pochodzi z witryny, którą zna i której ufa, wystarcza, aby uruchomić program. Po tym, to już koniec gry. Komputer użytkownika końcowego (lub urządzenie mobilne) jest kolejnym trybikiem w czyimś wielkim botnecie.
Zagrożenie nr 9: Wojna cybernetyczna
Państwowe programy wojny cybernetycznej są klasą samą dla siebie i nie są czymś, z czym większość specjalistów ds. bezpieczeństwa IT styka się na co dzień. Te tajne operacje tworzą złożone, profesjonalne programy wojny cybernetycznej, których celem jest monitorowanie przeciwników lub pozbawienie ich funkcjonalności, ale jak pokazują Stuxnet i Duqu, skutki tych metod mogą mieć konsekwencje nie tylko dla zamierzonych celów. Obecnie mamy do czynienia nawet z państwami narodowymi, takimi jak Korea Północna, które przejmują i wykorzystują firmę z listy Fortune 500, ponieważ nie spodobał jej się pewien film.
Przestępstwo i brak kary
Niektóre ofiary nigdy nie odzyskują sprawności po wykorzystaniu. Ich historia kredytowa jest na zawsze naznaczona przez oszukańczą transakcję hakera, złośliwe oprogramowanie wykorzystuje listę książki adresowej ofiary, aby przesłać się do przyjaciół i członków rodziny, ofiary kradzieży własności intelektualnej wydają dziesiątki milionów dolarów na naprawę i zapobieganie.
Najgorsze jest to, że prawie żaden z tych, którzy używają powyższych złośliwych ataków nie jest skutecznie ścigany. Profesjonalni przestępcy w Internecie żyją na wolności, ponieważ Internet nie jest dobry w dostarczaniu dowodów nadających się do postępowania sądowego. Nawet jeśli by się dało, podejrzani żyją poza jurysdykcją sądu ofiary. Większość włamań jest domyślnie anonimowa, a ślady giną i zostają zatarte w ciągu milisekund. W tej chwili żyjemy w czasach “dzikiego, dzikiego zachodu” Internetu. W miarę jego dojrzewania, bezpieczne przystanie dla przestępców będą wysychać. Do tego czasu specjaliści ds. bezpieczeństwa IT mają przed sobą wiele pracy.