Cílený útok na firmu se odkládá

Podezřelý způsob provedení e-mailového útoku nutí bezpečnostního manažera maximálně zvýšit ostražitost. Moje s...


Podezřelý způsob provedení e-mailového útoku nutí bezpečnostního manažera
maximálně zvýšit ostražitost.
Moje společnost pravidelně realizuje velké finanční transakce elektronickou
cestou a já se bojím, že nás to činí zajímavým objektem pro cílený útok zvenčí.
Dokud útočníci střílejí na všechny internetové subjekty naslepo, můžeme snad
být vcelku v klidu. Jakmile se však zaměří pouze na nás, nastanou nám
nepochybně horší časy. Až do minulého týdne šlo pouze o teoretický problém.
Naše IT infrastruktura se poměrně často stává cílem množství různých útoků, ale
rozhodně v tom nikdy nejsme sami. Pokud vím a opravdu to sleduji ve stejné době
jako my je cílem útočníků i řada dalších velkých společností. To mě vede k
závěru, že se útočníci snaží útočit na velké množst-ví společností stejnými
zbraněmi a dívají se, kde a jak jejich nástroje nejlépe fungují. Tam se pak
mohou soustředit na další útoky. Je tu však ještě jedna možnost totiž že je v
našich monitorovacích záznamech takové množství různého smetí, že se v něm
jakékoli na nás cílené útoky prostě ztratí.
Množství široce rozprostřených (a zpravidla do jisté míry slabých) útoků, které
se na internetu odehrávají, podle mého názoru ukazuje, že není nutné, abychom
byli zabezpečeni stoprocentně. Jen musíme být zabezpečeni lépe než většina
ostatních společností. Dosáhnout tohoto cíle je samozřejmě daleko snazší a
levnější než dosáhnout skutečně perfektního zajištění, ale je bezpečné pouze
tehdy, pokud se někdo nerozhodne pro cílený útok pouze na nás samotné. Jestliže
bychom se stali cílem úzce směrovaného útoku, hackeři by se k nám vraceli tak
dlouho s novými a novými technikami, dokud by nenalezli jednu, která by
fungovala.

Podivný útok
V minulosti jsme se rozhodli outsourcovat monitoring našeho e-mailu do
newyorské společnosti Messagelabs, která nám nabízí garanci, že skrz její
obranné linie neprojde žádný škodlivý kód. Aby svému tvrzení mohla dostát, je
obdivuhodně paranoidní, což už několikrát prokázala v praxi.
Statistiky naší společnosti ukazují, že přibližně 1 z 270 našich e-mailů
obsahuje virus. V minulém týdnu jsme ale byli vystaveni záplavě podezřelých
e-mailů (zachycených u Messagelabs). Za normální situace to signalizuje velký
virový výbuch, ale o něčem takovém jsme nenašli ani zmínku na žádném z velkých
webů, který se antivirovou problematikou zabývají. Škodlivý kód, který v
Messagelabs zastavili, byl jednoduše charakterizován jako "možný nový software
fungující jako trojský kůň".
Ať už tyto e-maily posílal kdokoli, využíval tzv. Rumpelstilckinův útok. Tento
typ útoku dostal své jméno podle pohádky o královně, která má za úkol uhádnout
Rumpelstilckinovo jméno, jinak mu musí dát své prvorozené dítě. Princip
Rumpelstilckinova útoku spočívá v tom, že zkouší uhádnout jména v e-mailových
adresách. A to tak, že použije seznam běžných jmen, zkombinuje je s možnými
iniciálami a posílá je na e-mailový server.
Obecného útoku tohoto typu jsem se nijak zvlášť nebál, ale mezi všemi těmito
pokusy se ocitly i některé dosti podezřelé. Mezi náhodně generovaná jména
útočník zamíchal skutečné e-mailové adresy našich zaměstnanců. Bylo zjevné, že
tedy nešel jen tak naslepo, ale měl k dispozici seznam okolo 200 e-mailových
adres našich zaměstnanců. Že by někdo ze zaměstnanců nechal proniknout na
veřejnost takový seznam?
Nutno ovšem konstatovat, že uvedená data byla již zjevně zastaralá, protože
řada z adresátů naši společnost dávno opustila. Jestliže se ale útočník
obtěžoval tím, aby získal seznam našich skutečných e-mailových adres, i když se
jedná o adresy zastaralé, pak určitě nešlo o nějakou náhodnou zkoušku. Útok měl
být jistě cílen přímo na nás.

Útočník se může vrátit
Samotnými e-maily jsem nebyl nijak znepokojen: Spustitelné soubory fungující
jako trojské koně pro nás díky naší obranné infrastruktuře představují skutečně
jen malé nebezpečí. Nicméně pokud nějaký útočník napřel svou snahu k tomu, aby
zrealizoval cílený útok jen na nás ze všech možných cílů, které se mu v moři
internetu nabízejí a napsal pro svůj útok zcela nového trojského koně, potom je
nepravděpodobné, že by chtěl se svou činností přestat hned, jak zjistí, že jeho
e-mailový útok selhal. Nepochybně se vrátí, tentokrát s distribucí softwaru
prostřednictvím IRC (Internet Relay Chat), webu nebo instant messagingu. A
kdyby naše desktopová ochrana nebyla postavena tak paranoidně, jak díky
Messagelabs je, jeho útok mohl fungovat.
Požádal jsem hochy z Messagelabs, aby mně a mému týmu poslali kopii kódu, který
k nám byl vyslán. Měl jsem v úmyslu provést jeho analýzu. Potom jsem zamířil do
internetových diskusních skupin. Řada lidí podle vlastních slov zažila podobnou
zkoušku, ale pouze ze strany relativně neškodných spammerů. Nikdo se
nesvěřoval, že by se k němu útočník pokoušel propašovat tímto způsobem
trojského koně.
Prohlédl jsem si spustitelný soubor, který nám zaslali z Messagelabs. Kód
obsahoval série adres, a kdyby byl spuštěn, připojil by se k webu a stáhl odtud
další kód. Požádal jsem lidi v Messagelabs, aby po tom dále šli a poté jsem
vyzkoušel dotyčné webové adresy.
Našel jsem o nich zmínku i v několika fórech, ale tam se vesměs hovořilo pouze
o porno dialerech, trojských koních, kteří mění vaše číslo pro vytáčené
připojení k internetu tak, abyste volali na linku, která je zpoplatňována vyšší
sazbou a nachází se v cizí zemi. Tak uživateli postupně může narůst telefonní
účet do závratných výšin. Něco takového nás ve firmě opravdu netrápí.
Potom nás kontaktovali z Messagelabs, aby nám řekli, že kód identifikovali jako
cosi, co nese označení TROJ_DIALER.B, a my jsme byli schopni se konečně trochu
uklidnit. Zdá se, že nešlo o první vlnu úzce směřovaného útoku, ale spíše o čin
horlivého spammera. Během příštích několika dní hlásily stejnou zkušenost i
další společnosti.
Jak se tedy nakonec ukázalo, nebyli jsme jediným cílem. Jen jsme měli to úžasné
štěstí, že jsme se na seznamu cílů ocitli na předním místě, a tak jsme se stali
pochybnými průkopníky.

Pochyby
Ale stejně ve mně zůstává špetka pochyb. Co když ty jediné útoky, které jsme
detekovali ve všem tom šumu, jsou ty, které nejsou úzce cílené? A onu cílenou
část jsme přehlédli. Jestliže bude útočník podceněn například tím, že ho budou
lidé na druhé straně barikády považovat za neškodného spammera má větší šanci
na úspěch. A pokud ten náš útok nebyl cílený, proč byly v náhodných adresách
ukryty adresy skutečné?
Myslím, že o tom budeme ještě hodně debatovat. K tomu, abychom dostali peníze
nezbytné na perfektní zabezpečení, bych potřeboval jasný důkaz cíleného útoku.
Protože takový důkaz nemáme, budeme se zatím muset spokojit s naším současným
vybavením.
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.