S příchodem roku 2008 se bezpečnostní agenda v podnicích dále rozšiřuje. Dny, kdy stačil firewall a systém pro odhalení případných průniků, jsou již dávno pryč. Otázky co, kdy a jak chránit jsou stále složitější a vyžadují spolupráci celého podnikového vedení, nikoliv pouhou iniciativu šéfa IT či administrátorů. Především je ale třeba, aby se vrcholový management i zaměstnanci měli na pozoru – nové typy útoků jsou totiž stále osobnější a propracovanější. Podobně je tomu u zneužívání děr v aplikacích – útočníci se v poslední době soustřeďují na specifický podnikový software namísto prohlížečů a operačních systémů.
Při budování nové bezpečnostní strategie a infrastruktury je třeba kombinovat znalost vlastního byznysu, holistický technický přístup a kvalitní vyhodnocení možných rizik. Mezi hlavními body tak bude nejčastěji dominovat ochrana dat a dozor nad nimi spolu s efektivní integrací pravidel pro ochranu informací do pracovních postupů v podniku či organizaci.
KUDY CHODÍ VAŠE DATA?
Nenápadně, leč nevyhnutelně se stále větší množství citlivých podnikových a zákaznických dat toulá spolu s vašimi zaměstnanci po celém světě. Informace ve vašem datacentru přístupné na dálku a zejména data v mobilních zařízeních, jako jsou chytré telefony, PDA a notebooky, unikají stále častěji (úmyslně i náhodně). Agendum číslo jedna je tak v současné době právě ochrana dat. Nejedná se o nic nového – koneckonců hesla, šifrování a klasifikace dat používá většina společností již mnoho let. Mění se ale typy dat, která je třeba chránit. Zatímco dříve byly za citlivé považovány zejména či výhradně interní údaje společnosti a duševní vlastnictví, dnes je třeba tuto skupinu rozšířit zejména o data související s identitou (zaměstnanců i zákazníků), tedy adresy, rodná čísla a údaje o platebních kartách či bankovních účtech.
Ochrana interních dat je ale také stále náročnější. Vedoucí pracovníci na jedné straně požadují, aby byly klíčové informace k dispozici kdykoliv a odkudkoliv, ale pochopitelně jen těm, kdo je potřebují (například management či obchodníci). Stejná data mohou však snadno cestovat prostřednictvím e-mailu, USB disků či mobilních zařízení. Přidejte k tomu outsourcing či offshoring a myšlenka na snadnou ochranu dat uvnitř podniku se stává utopií. Prvním krokem k vytvoření úspěšné bezpečnostní strategie tedy je vědět, kde se kritická data nacházejí. Pouze na základě těchto informací je možné zodpovědět řadu dalších otázek: Jak je chránit? Jaká rizika a následky hrozí v případě jejich ztráty, zcizení či úniku? Jaké jsou případné zákonné požadavky a postihy? Kdo je zodpovědný za aktuálnost údajů? Jak naše data chrání obchodní partneři? Ani jejich zodpovězení ale ještě automaticky neznamená úspěch.
NOVÉ CÍLE: PODNIKOVÉ APLIKACE
Krátce poté, co Microsoft varoval před škodlivými .mdb soubory, které umožňují nákazu prostřednictvím Jet Database Engine, se objevily první útoky na další podnikovou aplikaci: BrightStor ARCserve Backup pro stolní počítače a laptopy r11.5 společnosti CA. Útok byl oznámen společností Symantec, podle které nakažený kód pocházel z webové stránky v doméně .cn. Pokud ji uživatel zálohovacího programu navštíví, nainstaluje se mu škodlivý kód prostřednictvím chyby v ActiveX prvku, který využívá výše zmíněná aplikace. V době uzávěrky nebyla k dispozici oprava, podle společnosti Symantec ji lze ale provést ručně zákazem ActiveX prvku v registrech Windows.
Podle studie společnosti Gartner stojí za 75 % bezpečnostních selhání chyby v programech. Nejčastějším důvodem je přitom to, že tyto programy byly vytvořeny ve spěchu kvůli rychlému uvedení na trh, aniž by byl kladen dostatečný důraz na otázky bezpečnosti. Vídáme to neustále – nový systém či aplikace mají určeny termíny víceméně náhodně (či na základě požadavků marketingu a prodeje), aniž by byly plně definovány všechny požadavky a potřeby testování bezpečnosti. Někdo kdesi v korporátním obláčku určil výši obratu, která se váže k určitému datu vydání nezbytnému pro vygenerování odpovídajících prodejních čísel.
Podle průzkumů testujících bezpečnost připadalo celých 71 % všech děr odhalených v posledním kvartále minulého roku na webové aplikace – ty ovlivňují vše od serverů po prohlížeče a zavinily z valné části tříprocentní mezikvartální nárůst. Podle Gartneru je 90 % rozpočtů za IT bezpečnosti utráceno za zabezpečení perimetru – například firewall. Zdá se, že mnohá IT oddělení odmítají přijmout nepříjemnou realitu: Perimetr je minulostí, proč za něj utrácet další peníze? Proč raději nepožadovat či nepsat kvalitnější aplikace?
HARPUNOVÁNÍ: CEO NA DOSTŘEL
Firewall, detekce průniků a antivir donedávna postačovaly k ochraně podnikové sítě a potažmo dat. Jsou pochopitelně nezbytné i dnes, jedná se ale o takříkajíc základní výbavu, kterou je třeba doplnit o strategii a prevenci zaměřenou nejen na aplikace a mobilní technologie, ale též zaměstnance, nejvyšší vedení nevyjímaje. Ostatně právě zneužívání lidského faktoru přes sociální sítě či cílené útoky na vrcholný management jsou fenoménem, který se v prvních měsících letošního roku dostal do popředí zájmu.
Podle bezpečnostních odborníků lze počty obětí nového typu útoku „harpunování“ (spear phishing), při němž byly využity smyšlené soudní obsílky, počítat již řádově v tisících. Tato propracovaná forma phishingu, či spíše whalingu, je obvykle adresována vrcholným manažerům – podvodný e-mail s informacemi o údajné soudní žalobě obsahuje odkaz na stránky s dokumenty k soudnímu líčení. Jedná se pochopitelně o podvržené webové stránky, na nichž je oběti sděleno, že si pro prohlédnutí dokumentů musí nainstalovat plugin do prohlížeče – ve skutečnosti tím ale zajistí útočníkům přístup do svého PC.
„Harpunování“ využívá uvěřitelnější a adresnější formy komunikace než klasický phishing – podvodné e-maily mohou být dokonce „ušity na míru“ jedinému adresátovi. Kupříkladu e-mail, který počátkem dubna obdržel Panos Anastassiadis, ředitel bezpečnostní společnosti Cyveillance, obsahoval jeho jméno, jméno společnosti a správná telefonní čísla. Anastassiadis se ale nenechal nachytat a podvodný e-mail poslal do operačního centra své společnosti na analýzu.
Jiní nebyli tak opatrní. Divize iDefense společnosti Verisign odhaduje, že na odkaz v podvržené zprávě kliklo na 1 800 obětí. Podle Matta Richarda, ředitele týmu rychlé odezvy ve Verisign, „se tak z hlediska počtu obětí jedná o jeden z největších ‚útoků harpunou‘, jaké jsme doposud zaznamenali.“ Zneužívání soudních líčení při phishingu ale není v USA ničím novým – již před několika lety se objevily první podvody, při nichž bylo adresátům sdělováno, že se nedostavili jako členové poroty k soudnímu líčení a byli následně žádáni o zadání podrobných osobních údajů.
„Samotný malware nebyl nijak neobvyklý, chytré ale je zasílání zpráv přímo a výhradně do schránek CEO a ředitelů, namísto zahlcování milionů poštovních schránek po světě,“ říká John Bambenek, který se věnuje výzkumu bezpečnosti na University of Illinois. „Pro někoho, kdo neví, jak mají soudní obsílky či právní dokumenty přesně vypadat, je poměrně snadné naletět,“ dodává. „Když lidé vidí, že je na ně nebo jejich společnost podána žaloba, často začnou panikařit a kliknou na věci, na něž by si běžně dali pozor.“ Zpráva odkazuje podle Bambeneka na stránky s adresou končící „uscourts.com“, které jsou velmi podobné doméně .gov využívané soudy v Kalifornii. Webový server, na němž je malware uložen, je umístěn v Číně, zatímco počítač, který následně ovládá PC oběti, je v Singapuru. Malware využitý při těchto podvodech nebyl většinou antivirových společností identifikován, mnohé ale posléze aktualizovaly svůj software tak, aby mohl být odhalen.
Administrativní soudní kancelář umístila záhy na své stránky upozornění na podvodné e-maily s dovětkem, že soudní obsílky jsou posílány jen stranám, které jsou účastny soudního líčení či sporu. To ale nic nemění na skutečnosti, že severoamerický soudní systém je do značné míry závislý na e-mailové komunikaci mezi právníky a soudem. IT oddělení měla již tak dost práce zajistit, aby legitimní elektronická pošta procházela přes spamové filtry, teď se jejich situace ještě značně zhorší.
Podobné útoky nelze v budoucnu vyloučit ani v Česku, naštěstí pro nás jsme však trhem relativně malým s výrazně menším množstvím příležitostí. Navíc jsme chráněni poměrně solidní jazykovou bariérou a v konkrétním případě soudnictví u nás nadále dominuje klasická písemná komunikace (skutečná soudní předvolání ale pochopitelně nejsou posílána e-mailem ani ve Spojených státech).
Na druhou stranu zde působí mnoho nadnárodních společností, jejichž vrcholní manažeři by mohli být obětí útoků, jakými jsou velrybářství (whaling) či harpunování (spear-phishing). Koneckonců stačí se podívat na rostoucí „kvalitu“ phishingových útoků na klienty České spořitelny a je celkem jasné, že se v budoucnu nevyhneme ani cílenějším a sofistikovanějším útokům, na které navíc mnohem obtížněji reagují antivirové společnosti.
Podle zprávy vydané čínským bezpečnostním týmem CNCERT (China‘s National Computer Network Emergency Response Technical Team) je Čína vystavena stále vážnějším problémům s botnety, což jsou sítě počítačů infikovaných viry a trojskými koni, které útočníci ovládají na dálku a využívají je k denial of service útokům (DOS) a rozesílání obrovského množství nevyžádané pošty.
V průběhu roku 2007 bylo takto nakaženo a ovládnuto odhadem 3,6 milionu počítačů, za hlavní příčinu označila CNCERT obecně laxní přístup k zabezpečení počítačů. To je velký skok proti roku 2006, kdy se jednalo „jen“ o jeden milion přístrojů.
CNCERT byl zřízen čínským Ministerstvem informačního průmyslu a ve své zprávě se zabýval i děním mimo Čínu – počet počítačů nakažených botnety odhadl celosvětově na 6,2 milionu, což znamená přibližně jeden počítač ze 200. Přitom ve svém odhadu je tato studie ještě poměrně střízlivá, jiné zdroje uvádějí i čísla několikrát vyšší.
Je zřejmé, že světovou botnetovou „velmocí“ je Čína, kde sídlí 58?% těchto ovládnutých počítačů. V podmínkách Číny je to prý 4,6?% počítačů připojených k internetu, tedy skoro každý dvacátý.
CNCERT identifikovala celosvětově v roce 2007 17 063 botnetů, z nich 6 664 domácích, 10 399 tedy zahraničních. Z nich náleželo 3 328 botnetů USA, což tuto zemi řadí s 32?% na druhé místo, na třetím místě je Taiwan se 13?%, tedy s 1 352 botnety.
Společnost Microsoft analyzovala data získaná od uživatelů Windows za druhou polovinu roku 2007 a došla k závěru, že internetoví kriminálníci se pomalu odklánějí od rozesílání e-mailů s nebezpečným obsahem ve prospěch webových útoků, tedy infikování stránek škodlivým obsahem.
Analýza říká, že počet trojských koní odstraněných z operačního systému Windows vzrostl o 300 %. Jde o aplikace tvářící se jako užitečné, ale jakmile je neznalý uživatel stáhne a nainstaluje, začnou provádět škodlivou činnost, respektive si pro ni stáhnou další aplikace – většinou jde o spyware, adware a rozesílače spamů. Zločince ke změně nutí zlepšující se zabezpečení elektronické pošty – sítě i poštovní programy jsou stále účinněji chráněny proti nebezpečným přílohám, mnohé je prostě odfiltrují, jiné nedovolí uživateli je spustit.
Údaje pocházejí přibližně ze 450 milionů počítačů, na kterých běží aplikace Microsoft Malicious Software Removal Tool (MMSRT). V průměru odstranil nástroj měsíčně malware z každého 123. počítače, v USA byl tento poměr 1 ze 112, naopak Japonsko se ukázalo jako v tomto ohledu nejméně náročnou zemí, škodlivý software tam byl nalezen měsíčně v jednom z 685 analyzovaných počítačů.
Zpráva také říká, že:
- Celkový počet malwaru odstraněného MMSRT byl proti prvnímu pololetí roku 2007 vyšší o 55 %. To ovšem může souviset jak s nárůstem počtu škodlivostí, tak s vyššími schopnostmi samotné aplikace.
- Adware je stále nejběžnějším druhem malwaru, ve druhé polovině roku bylo zjištěno 34,3 milionu nakažení nežádoucím reklamním softwarem, což je 66?% z celkového počtu infekcí. Nejaktivnějším byl mezi nimi Win32/Hotbar, který se instaluje jako nástrojová lišta do Internet Exploreru a uživatele obtěžuje vyskakovacími okny.
- 75?% až 80?% všech phishingových stránek zjištěných aplikací Microsoft Phishing Filteru bylo v angličtině. Těžiště phishingu se také pomalu přesouvá z elektronické pošty do sociálních internetových sítí.
- Falešný zabezpečovací software je na vzestupu. A nejsou tím míněny neúčinné antivirové programy, ale malware, který se záměrně maskuje jako aplikace mající chránit počítač před útokem jiných škodlivostí. Nejrozšířenějším počítačovým návštěvníkem takového druhu byl Win32/Winfixer, který dalšího v pořadí překonal pětinásobně.
Pracovníci ve firmě SANS Institute (SysAdmin, Audit, Networking, and Security) vrhli nové světlo na masivní vlnu internetových útoků poslední doby, kdy bylo od ledna hacknuto více než 20 tisíc webových stránek, mezi nimi například i web výrobce bezpečnostního softwaru Trend Micro.
O útocích byly známo, jak zhruba probíhají a že jsou automatizované, nicméně chyběly podrobnosti i informace o použitých nástrojích.
Postupem doby se pozornost vyšetřovatelů zaměřila na malý program, který pomocí Googlu vyhledává stránky, na kterých běží potenciálně napadnutelné aplikace. Jakmile takovou najde, snaží se jí infikovat. Exploit sestává z SQL výrazu, který se pokusí vpravit skriptovaný tag do každé HTML stránky na nalezeném webu. SQL výraz byl speciálně uzpůsoben s cílem napadat weby využívající Microsoft Internet Information Server a SQL Server.
Po úspěšném nakažení webu je tento upraven, aby se snažil přes JavaScript infikovat počítače návštěvníků za použití známých slabých míst ve webových prohlížečích, hlavně v Internet Exploreru. Mezi zločinné aktivity škodlivých programů patřilo například i kradení hesel pro hru Lord of the Rings Online. Dále onen softwarový nástroj posílal data na jistý server umístěný v Číně, pravděpodobně za účelem počítání nakažených počítačů, aby za ně zodpovědný hacker dostal zaplaceno – není ovšem známo, od koho přesně.
PŘEDPLATNÉ
ČLÁNKY DO MAILU