Jedna rzecz jest pewna – rok 2013 przyniesie potężną armię wirusów i złośliwego oprogramowania wykorzystującą najrozmaitsze drogi ataków, poczynając od sieci społecznościowych, przez urządzenia mobilne aż po samych użytkowników. Wraz z poprawkami bezpieczeństwa dla komputerów i systemów operacyjnych, cyberprzestępcy będą wymyślali nowe techniki ich obejścia. Jest to jeden z kolejnych powodów, dla których warto uczynić bezpieczeństwo jednolitym.
Zagrożenie #1: Inżynieria społecznościowa
Wszystko zaczyna się od taktyki blackhat oraz metod prób i błędów zarówno w świecie realnym i wirtualnym – czyli inżynierii społecznościowej. Przed erą komputerów, taktyka ta polegała na przejściu przez linię obrony dzięki słownej manipulacji i wprowadzenia kogoś w błąd. Obecnie jest to sprytnie skonstruowany email czy, jak coraz częściej zauważamy, obszar portali społecznościowych, między innymi Facebook i LinkedIn.
- Atakujący coraz częściej korzystają z takich metod, które są obecnie bardziej zaawansowane niż telefonowanie do wybranych pracowników z próbą wyłudzenia informacji. Dawniej przestępcy mogli na przykład próbować zadzwonić na recepcję i poprosić o przekierowanie rozmowy do konkretnego pracownika, co w przypadku wyświetlania identyfikatora dzwoniącego mogło wyglądać dla ofiary tak, jakby telefon był wykonywany z wewnętrznej sieci firmowej. Jednak takie działania nie są już wcale potrzebne, gdyż haker w prosty sposób może znaleźć niezbędne dane wśród postów publikowanych na portalach społecznościowych. W końcu takie portale służą temu, żeby łączyć ludzi, a wyglądający wiarygodnie profil firmy lub osoby, który jest obserwowany przez kogoś znajomego czy też zaproszenie do grona znajomych mogą być wystarczające, aby rozpocząć atak z wykorzystaniem inżynierii społecznościowej.
Zagrożenie #2: APTs
Świadomość na temat technik inżynierii społecznościowej jest oczywiście bardzo ważna, ponieważ taki atak może być pierwszym etapem bardziej złożonego planu mającego na celu ominięcie zabezpieczeń firmy. W ciągu ostatniego roku można było zaobserwować kilka dokładnie wyprofilowanych ataków (np. Gauss i Flame) wymierzonych w korporacje i organizacje rządowe. Taki rodzaj zagrożenia określa się jako Zaawansowane Długotrwałe Ataki (Advanced Persistent Threats - APT). Ataki te są bardzo skomplikowane i dokładnie zaprojektowane. Założeniem APT jest zdobycie dostępu do sieci, a następnie ciche wykradanie danych. Ataki te są trudne do wykrycia, gdyż dane wykradane są powoli i małymi porcjami, co znacznie zwiększa prawdopodobieństwo ich sukcesu.
- Co więcej, APT wcale nie muszą wykorzystywać luk w powszechnie znanym oprogramowaniu, takim jak na przykład Microsoft Word. Mogą atakować innymi kanałami, chociażby uderzając w systemy osadzone. W świecie, w którym coraz więcej urządzeń posiada adres IP, tworzenie zabezpieczeń dla tego typu systemów jest bardziej istotne niż dotychczas.
- Dopóki organizacje rządowe i dobrze usytuowane finansowo firmy będą korzystały z Internetu, ataki APT będą wciąż wykorzystywane do szpiegowania. Tak naprawdę ataki APT działają nawet teraz, więc warto zwrócić uwagę na to, czy w naszej sieci nie ma żadnego podejrzanego ruchu.
Zagrożenie #3: Zagrożenia wewnętrzne
Niektóre z najgroźniejszych ataków mają swoje źródło wewnątrz firmy. Mogą być one najbardziej destrukcyjne, ze względu na rozmiar szkód, jakie może poczynić uprzywilejowany użytkownik z dostępem do danych. W badaniu przeprowadzonym przez Wydział Bezpieczeństwa Wewnętrznego USA, CERT Insider Threat Center Instytutu Inżynierii Oprogramowania na Uniwersytecie Canegie Mellon oraz tajne służby USA, zaufani użytkownicy działający na szkodę instytucji finansowych zostają zdemaskowani średnio po około 32 miesiącach aktywności. Zaufanie jest bardzo ważne, ale zbyt dużo zaufania naraża na niebezpieczeństwo.
Zagrożenie #4: BYOD
Problem związany z zaufaniem wchodzi w grę również w kontekście urządzeń mobilnych. Wiele przedsiębiorstw ma problem z doborem odpowiedniej technologii i polityk bezpieczeństwa przy coraz popularniejszym trendzie przynoszenia do pracy własnego sprzętu (bring-your-own-device: BYOD). Użytkownicy coraz częściej korzystają z urządzeń tak, jakby to były ich prywatne komputery PC, co w konsekwencji naraża ich na ataki oparte na technologii web w dokładnie w takim samym stopniu, jakby korzystali z komputerów stacjonarnych.
- Atakujący najprawdopodobniej będą coraz częściej starali się obejść zabezpieczenia najnowszych odsłon oprogramowania oraz mechanizmy detekcji, których używają mobilni dostawcy w celu chronienia swoich aplikacji. Wszystko to oznacza, że wysyp iPhone’ów, telefonów z systemem Google Android oraz innych urządzeń przynoszonych do pracy otworzy nową potencjalną drogę dla atakujących, którą koniecznie trzeba zabezpieczyć. Wystarczy pomyśleć – smartfon ma cyfrową kamerę. Ma również mikrofon. Można za jego pomocą nagrywać rozmowy. A teraz dodajmy do tego wszystkiego dostęp do korporacyjnej sieci i mamy idealną drogę pozwalającą ominąć zabezpieczenia.
Zagrożenie #5: Bezpieczeństwo w chmurach
Zjawisko BYOD to nie jedyna rzecz, która zmusza firmy do coraz mocniejszego obwarowywania krytycznych danych. Jest jeszcze jeden mały trend znany jako środowiska chmurowe. Ze względu na to, że coraz więcej firm umieszcza dane w chmurach dostarczanych przez publicznych usługodawców, takie usługi stają się smakowitym kąskiem dla hakerów i mogą stanowić jedyny słaby punkt bezpieczeństwa korporacji. Dla przedsiębiorstw oznacza to, że bezpieczeństwo musi w dalszym ciągu być bardzo ważnym punktem w dyskusjach z dostawcami usług osadzonych w chmurach, a potrzeby biznesowe muszą być jasno sprecyzowane.
Zagrożenie #6: HTML5
Powszechne przyjęcie standardu HTML5powiększy obszar zagrożeń zupełnie tak samo, jak coraz częstsze korzystanie z usług osadzonych w chmurach. Na początku tego roku na konferencji Black Hat, czyli spotkaniu specjalistów na którym dyskutuje się potencjalne zagrożenia, stwierdzono że HTML5, jako technologia wieloplatformowa i integrująca różne technologie, otwiera nowe możliwości ataków – chociażby nadużycie funkcjonalności Web Worker. Nawet pomimo największej uwagi przykładanej do bezpieczeństwa HTML5, sam fakt, że ta technologia jest nowa, sprawia że programiści tworząc swój kod mogą popełniać błędy, które następnie mogą być wykorzystane przez hakerów. Możemy się spodziewać w nadchodzącym roku prawdziwego zatrzęsienia ataków wymierzonych w HTML5. Miejmy nadzieję, że będą one na bieżąco odpierane za pomocą nowych aktualizacji i poprawek bezpieczeństwa.
Zagrożenie #7: Botnety
Mimo wyścigu zbrojeń na innowacje pomiędzy badaczami i atakującymi, można spodziewać się, że cyberprzestępcy spędzą mnóstwo czasu w doskonaleniu tego, co już świetnie znają i wykorzystują, na przykład upewnianiu się, że ich sieci botów mają wysoką dostępność i wciąż się rozrastają. Chociaż firmy takie jak Microsoft podjęły odpowiednie kroki prawne, co zaowocowało chwilową dezorganizację w działaniach spamerskich i wykorzystywaniu złośliwego oprogramowania, bardzo naiwnym byłoby oczekiwać, że hakerzy nie wyciągną wniosków i nie wykorzystają tych regulacji do udoskonalenia swoich ataków. Botnety wciąż będą miały swoje miejsce w świecie zagrożeń.
Zagrożenie #8: Dokładnie wymierzone pod ofiarę złośliwe oprogramowanie
Atakujący wyciągają również wnioski z analiz złośliwego oprogramowania wykonywanych przez twórców systemów bezpieczeństwa. Chodzi między innymi o technikę, która utrudnia analizę, gdyż złośliwe oprogramowanie jest zaprojektowane tak, że działa poprawnie jedynie na środowisku, dla którego zostało zaprojektowane. Przykładami takich ataków wśród wielu innych są Flashback i Gauss. Oba ataki odniosły sukces, szczególnie Gauss. Udało im się bowiem uniknąć wykrycia przez systemy automatycznej analizy tego typu złośliwego oprogramowania. W nadciągającym roku hakerzy będą ulepszać i wykorzystywać te techniki, czyniąc swoje wirusy jeszcze precyzyjniej wymierzone pod konkretną ofiarę, dzięki czemu ataki będą przeprowadzane jedynie na komputerach z określoną konfiguracją.
autor: Cezary Tchorek-Helm