Cu câțiva ani în urmă, scenariul tipic de hacking implica un atacator singuratic și poate câțiva prieteni care lucrau noaptea târziu la Mountain Dew, căutând adrese IP cu acces public. Când găseau una, enumerau serviciile de publicitate (server web, server SQL și așa mai departe), intrau prin efracție folosind o multitudine de vulnerabilități, apoi explorau compania compromisă după bunul plac. Adesea, intenția lor era de explorare. Dacă au făcut ceva ilegal, a fost de obicei o crimă de oportunitate din impulsul momentului.
Măi, cum s-au schimbat vremurile.
Când descrieți un scenariu tipic de hacking, în zilele noastre trebuie să începeți cu mult înainte de hacker sau chiar de hacker, cu organizația care se află în spatele atacului. Astăzi, hacking-ul este o crimă, tot timpul, completată de piețe de licitație pentru malware, sindicate criminale, botnet-uri de închiriat, actori statali și război cibernetic care a luat-o razna.
Iată cele mai mari nouă amenințări cu care se confruntă profesioniștii din domeniul securității IT de astăzi.
- Amenințarea nr. 1: Sindicatele de criminalitate cibernetică
- Amenințarea nr. 2: Escrocii de mică anvergură – și cărăușii și spălătorii de bani care îi susțin
- Amenințarea nr. 3: Hacktiviștii
- Amenințarea nr. 4: Furtul de proprietate intelectuală și spionajul corporativ
- Amenințarea nr. 5: Mercenari de malware
- Amenințarea nr. 6: Botnets ca serviciu
- Amenințarea nr. 7: Malware all-in-one
- Amenințarea nr. 8: Web-ul din ce în ce mai compromis
- Amenințarea nr. 9: Războiul cibernetic
- Crimă și fără pedeapsă
Amenințarea nr. 1: Sindicatele de criminalitate cibernetică
Deși creierul criminal singuratic încă mai există, în zilele noastre, majoritatea atacurilor de hacking malițios sunt rezultatul unor grupuri organizate, dintre care multe sunt profesioniste. Grupurile tradiționale de crimă organizată care se ocupau de droguri, jocuri de noroc, urmărire penală și extorcare de fonduri și-au aruncat pălăriile în ringul de acaparare a banilor online, dar concurența este acerbă, condusă nu de mafioți, ci de mai multe grupuri foarte mari de infractori profesioniști care vizează în mod special criminalitatea cibernetică.
Multe dintre cele mai de succes sindicate organizate de criminalitate cibernetică sunt întreprinderi care conduc grupuri mari de conglomerate afiliate, foarte asemănătoare cu ierarhiile legale de marketing distribuit. De fapt, criminalul cibernetic de astăzi are probabil mai multe în comun cu un reprezentant Avon sau Mary Kay decât vrea să recunoască vreunul dintre ei.
Grupurile mici, cu câțiva membri, încă mai fac hacking, dar din ce în ce mai mult, profesioniștii în securitate IT se confruntă cu mari corporații dedicate comportamentului necinstit. Gândiți-vă la angajații cu normă întreagă, departamentele de resurse umane, echipele de management de proiect și liderii de echipă. Și totul este criminal, fără mesaje amuzante imprimate pe ecran sau alte isprăvi adolescentine. Cele mai multe operează în aer liber, iar unele – precum Russian Business Network – au chiar și propriile intrări pe Wikipedia. Te face să-ți dorești să te întorci în trecut, nu-i așa?
Specializarea și diviziunea muncii se află în centrul acestor organizații. Un singur geniu, sau un cerc interior, va conduce colectivul. Sergenții și subdiviziunile se vor specializa în diferite domenii, cu o ramură dedicată creării de programe malware, alta dedicată marketingului, alta care stabilește și menține canalul de distribuție și încă una care se ocupă de crearea de botnet-uri și de închirierea lor către alți răufăcători (vezi mai jos).
Nu este de mirare de ce practicile populare de securitate IT pur și simplu nu funcționează împotriva malware-ului din ziua de azi, având în vedere că criminalitatea cibernetică a evoluat într-o industrie pe mai multe niveluri, orientată spre servicii, cu scopul vădit de a jecmăni companiile și oamenii de banii și proprietatea intelectuală.
Amenințarea nr. 2: Escrocii de mică anvergură – și cărăușii și spălătorii de bani care îi susțin
Nu toate organizațiile criminale cibernetice sunt sindicate sau corporații. Unele sunt pur și simplu de natură antreprenorială, mici afaceri care urmăresc un singur lucru: banii.
Aceste operațiuni malițioase de tip “mama și tataie” pot fura identități și parole sau pot provoca redirecționări nefaste pentru a le obține. În cele din urmă, ele vor bani. Ei inițiază tranzacții frauduloase cu carduri de credit sau bancare și își convertesc câștigurile obținute ilicit în monedă locală, folosind catâri de bani, distribuție electronică de numerar, e-banking sau un alt tip de spălare de bani.
Nu este greu să găsești spălătorii de bani. Există zeci sau sute de entități care concurează pentru a fi cea care ajunge să ia un procent mare din prada obținută ilegal. De fapt, ați fi surprins de natura competitivă și publică a tuturor celorlalți oameni care cerșesc să facă afaceri de susținere cu infractorii de pe internet. Aceștia anunță “fără întrebări”, găzduire “antiglonț” în țări aflate la mare distanță de citațiile legale și oferă tablouri de anunțuri publice, oferte speciale de software, asistență telefonică 24/7, forumuri de licitații, referințe de clienți mulțumiți, abilități de evitare a programelor antimalware și toate serviciile care îi ajută pe ceilalți să fie infractori online mai buni. Un număr bun dintre aceste grupuri fac zeci de milioane de dolari în fiecare an.
Multe dintre aceste grupuri și persoanele din spatele lor au fost identificate (și arestate) în ultimii ani. Profilurile lor pe rețelele de socializare arată oameni fericiți, cu case mari, mașini scumpe și familii mulțumite care își fac vacanțele în străinătate. Dacă sunt câtuși de puțin vinovați de faptul că fură bani de la alții, acest lucru nu se vede.
Imaginați-vă grătarele de cartier în care le spun vecinilor și prietenilor că au o “afacere de marketing pe internet” – în timp ce își croiesc drum prin inginerie socială spre milioane de euro, spre consternarea profesioniștilor în securitate IT care au făcut cam tot ce se poate pentru a proteja utilizatorii de ei înșiși.
Amenințarea nr. 3: Hacktiviștii
În timp ce la începuturi nu era neobișnuit să se laude cu exploit-urile, infractorii cibernetici de astăzi caută să zboare sub radar – cu excepția legiunilor tot mai numeroase de hacktiviști.
Profesioniștii în securitate IT trebuie să se confrunte cu un număr tot mai mare de confederații libere de indivizi dedicați activismului politic, cum ar fi infamul grup Anonymous. Hackerii motivați politic au existat încă de când hacking-ul a luat naștere. Marea schimbare este că tot mai multe dintre ele se fac în mod deschis, iar societatea le recunoaște ca fiind o formă acceptată de activism politic.
Grupurile de hacking politic comunică adesea, anonim sau nu, în forumuri deschise, anunțându-și din timp țintele și instrumentele de hacking. Aceștia adună mai mulți membri, își duc nemulțumirile în mass-media pentru a obține sprijin public și se prefac mirați dacă sunt arestați pentru faptele lor ilegale. Intenția lor este de a stânjeni și de a atrage atenția mediatică negativă asupra victimei cât mai mult posibil, fie că acest lucru include piratarea informațiilor clienților, comiterea de atacuri DDoS (Distributed Denial of Service) sau pur și simplu provoacă companiei victimei conflicte suplimentare.
Hacktivismul politic are cel mai adesea intenția de a provoca suferință monetară victimei sale, în încercarea de a schimba comportamentul acesteia. Indivizii pot fi daune colaterale în această luptă și, indiferent dacă cineva crede sau nu în cauza politică a hacktivistului, intenția și metodologia rămân criminale.
Amenințarea nr. 4: Furtul de proprietate intelectuală și spionajul corporativ
Majoritatea profesioniștilor în securitate IT trebuie să se confrunte cu grupul mare de hackeri rău intenționați care fură proprietatea intelectuală de la companii sau efectuează spionaj corporativ pur și simplu. Metoda lor este să pătrundă în activele IT ale unei companii, să arunce toate parolele și, în timp, să fure gigabytes de informații confidențiale: brevete, idei de produse noi, secrete militare, informații financiare, planuri de afaceri și așa mai departe. Aceștia transmit informații valoroase clienților lor pentru a obține câștiguri financiare și rămân ascunși în rețeaua companiei compromise cât mai mult timp posibil.
Pentru a-și culege recompensele, trag cu urechea la e-mailuri importante, fac raiduri în bazele de date și obțin acces la atât de multe informații încât mulți au început să-și dezvolte propriile motoare de căutare și instrumente de interogare malițioase pentru a separa furajele de proprietatea intelectuală mai interesantă.
Acest tip de atacator este cunoscut sub numele de amenințare persistentă avansată (APT) sau adversar uman determinat (DHA). Puține companii mari nu au fost compromise cu succes de aceste campanii.
Amenințarea nr. 5: Mercenari de malware
Nu contează care este intenția sau grupul din spatele criminalității cibernetice, cineva trebuie să creeze malware-ul. În trecut, un singur programator făcea malware pentru uz propriu, sau poate pentru a-l vinde. Astăzi, există echipe și companii dedicate exclusiv scrierii de programe malware pentru a ocoli anumite apărări de securitate, pentru a ataca anumiți clienți și pentru a îndeplini anumite obiective. Acestea sunt vândute pe piața liberă, pe forumuri de licitații.
De multe ori, malware-ul este multifazat și cu componente. Un program stub mai mic este însărcinat cu exploatarea inițială a computerului victimei și, odată plasat în siguranță pentru a se asigura că supraviețuiește la o repornire, contactează un server web “nava-mamă” pentru instrucțiuni suplimentare. De multe ori, programul de tip “stub” inițial trimite interogări DNS în căutarea navei-mamă, care la rândul său este adesea un computer compromis care acționează temporar ca o navă-mamă. Aceste interogări DNS sunt trimise către servere DNS care sunt la fel de susceptibile de a fi computere victimă infectate în mod inocent. Serverele DNS se deplasează de la un calculator la altul, la fel ca și serverele web ale navei-mamă.
După ce este contactat, serverul DNS și nava-mamă redirecționează adesea clientul stub inițiator către alte servere DNS și nave-mamă. În acest fel, clientul stub este direcționat la nesfârșit (adesea de mai mult de o duzină de ori) către computere nou exploatate, până când, în cele din urmă, programul stub primește instrucțiunile finale și programul malițios mai permanent este instalat. Această configurație îngreunează foarte mult apărarea profesioniștilor din domeniul securității IT împotriva produselor lor.
Amenințarea nr. 6: Botnets ca serviciu
Botnets nu mai sunt doar pentru creatorii lor. După ce, mai mult ca sigur, au cumpărat programul malware care creează botul, proprietarii de astăzi fie vor folosi botnetul pentru ei înșiși, fie îl vor închiria altora cu ora sau cu un alt metru.
Metodologia este familiară. Fiecare versiune a programului malware încearcă să exploateze până la zeci de mii de computere în efortul de a crea un singur botnet care va funcționa la ordinul creatorului. Fiecare bot din botnet se conectează în cele din urmă la serverul (serverele) său (sale) de comandă și control (C&C) pentru a primi cele mai recente instrucțiuni. Aceste instrucțiuni includ adesea lăsarea unui program ransomware. Au fost descoperite botnet-uri cu sute de mii de computere infectate.
Acum că există atât de multe botnet-uri active (zeci de milioane de computere infectate în fiecare zi), închirierea botnet-urilor este destul de ieftină, ceea ce înseamnă cu atât mai multe probleme pentru profesioniștii în securitate IT.
Combatanții de malware vor încerca adesea să doboare serverele C&C sau să le preia, astfel încât să poată instrui roboții care se conectează să își dezinfecteze computerele gazdă și să moară.
Amenințarea nr. 7: Malware all-in-one
Programele malware sofisticate oferă adesea funcționalitate all-in-one, de la o supă la alta. Acestea nu numai că vor infecta utilizatorul final, dar vor pătrunde și pe site-uri web și le vor modifica pentru a ajuta la infectarea mai multor victime. Aceste programe malware all-in-one vin adesea cu console de gestionare, astfel încât proprietarii și creatorii lor să poată urmări ce face botnetul, pe cine infectează și care sunt cele care au cel mai mare succes.
Cele mai multe programe malițioase sunt cai troieni. Virușii și viermii de calculator au încetat de mult să mai fie cele mai populare tipuri de malware. În cele mai multe cazuri, utilizatorul final este păcălit să ruleze un cal troian care este anunțat ca fiind o scanare antivirus necesară, un instrument de defragmentare a discului sau un alt utilitar aparent esențial sau inofensiv. Apărările normale ale utilizatorului sunt păcălite deoarece, de cele mai multe ori, pagina web care oferă executabilul necinstit este un site de încredere pe care acesta l-a vizitat de multe ori. Băieții răi au compromis pur și simplu site-ul, folosind o serie de trucuri, și au inserat câteva linii de JavaScript care redirecționează browserele utilizatorului către programul cal troian.
Amenințarea nr. 8: Web-ul din ce în ce mai compromis
La cel mai elementar nivel, un site web este pur și simplu un computer, la fel ca o stație de lucru obișnuită a utilizatorului final. La rândul lor, webmasterii sunt utilizatori finali ca oricine altcineva. Nu este surprinzător să constatăm că Web-ul legitim este împânzit de linkuri de redirecționare JavaScript malițioase.
Nu este în întregime o problemă de exploatare a computerelor webmasterilor care să conducă la creșterea numărului de compromitere a serverelor web. Mai des, atacatorii găsesc o slăbiciune sau o vulnerabilitate într-un site web care le permite să ocolească autentificarea administratorului și să scrie scripturi malițioase.
Vulnerabilitățile comune ale site-urilor web includ parole slabe, vulnerabilități de scripting cross-site, injecție SQL, software vulnerabil și permisiuni nesigure. Lista Open Web Application Security Project Top 10 este o autoritate în ceea ce privește modul în care majoritatea serverelor web sunt compromise.
De multe ori nu serverul web sau software-ul de aplicație al acestuia, ci un link sau o reclamă este cel care este piratat. Este obișnuit ca bannerele publicitare, care sunt adesea plasate și rotite de către agențiile de publicitate generală, să ajungă să fie infectate. La naiba, tipii cu malware cumpără uneori spațiu publicitar pe servere web populare.
Pentru că mulți dintre răufăcători se prezintă ca oameni de afaceri din corporații legitime, cu sediu central, cărți de vizită și conturi de cheltuieli, nu este întotdeauna atât de ușor să separăm sursele legitime de reclame de băieții răi, care adesea încep să facă publicitate la un produs legitim doar pentru a schimba link-ul din reclamă cu un produs necinstit după ce campania publicitară este în desfășurare. Una dintre cele mai interesante exploatări a implicat compromiterea de către hackeri a unui sindicat de caricaturi, astfel încât fiecare ziar care a republicat caricaturile afectate a ajuns să difuzeze malware. Nici măcar nu mai poți avea încredere într-un desen animat.
O altă problemă cu site-urile web piratate este faptul că calculatoarele care găzduiesc un site pot găzdui adesea mai multe site-uri, uneori în număr de sute sau mii. Un site web piratat poate duce rapid la alte mii de site-uri.
Nu contează cum a fost piratat site-ul, utilizatorul nevinovat, care ar fi putut vizita acest site web particular ani de zile fără probleme, într-o zi este invitat să instaleze un program neașteptat. Deși este surprins, faptul că solicitarea vine de la un site web pe care îl cunoaște și în care are încredere este suficient pentru a-l determina să ruleze programul. După aceea, jocul s-a terminat. Calculatorul (sau dispozitivul mobil) utilizatorului final este încă o altă rotiță în marele botnet al cuiva.
Amenințarea nr. 9: Războiul cibernetic
Programele de război cibernetic ale statelor naționale sunt de o clasă aparte și nu sunt ceva cu care majoritatea profesioniștilor în securitate IT se confruntă în rutina lor zilnică. Aceste operațiuni sub acoperire creează programe de război cibernetic complexe și profesioniste, cu intenția de a monitoriza adversarii sau de a elimina funcționalitatea unui adversar, dar, după cum arată Stuxnet și Duqu, consecințele acestor metode pot avea consecințe pentru mai mult decât pentru țintele vizate. Acum avem chiar și state-națiune, cum ar fi Coreea de Nord, care doboară și exploatează o companie Fortune 500 pentru că nu i-a plăcut un anumit film.
Crimă și fără pedeapsă
Câteva victime nu-și revin niciodată din exploatare. Dosarul lor de credit este marcat pentru totdeauna de o tranzacție frauduloasă a unui hacker, malware-ul folosește lista de adrese a victimei pentru a se transmite singur prietenilor și membrilor familiei, victimele furtului de proprietate intelectuală cheltuiesc zeci de milioane de dolari pentru reparații și prevenție.
Cei mai rău este că aproape niciunul dintre cei care folosesc atacurile malițioase de mai sus nu este urmărit penal cu succes. Infractorii profesioniști de pe internet trăiesc pe picior mare pentru că internetul nu este bun la producerea de dovezi care să poată fi folosite în instanță. Chiar dacă ar putea, suspecții trăiesc în afara jurisprudenței judiciare a victimei. Cea mai mare parte a pirateriei informatice este anonimă în mod implicit, iar urmele sunt pierdute și acoperite în milisecunde. În acest moment, trăim în zilele “vestului sălbatic, sălbatic” al internetului. Pe măsură ce acesta se va maturiza, paradisurile sigure pentru infractori vor dispărea. Până atunci, profesioniștii în securitate IT au mult de lucru.