Do kyberprostoru vtrhl organizovaný zločin

Vše nasvědčuje tomu, že činnosti, které byly kdysi doménou vandalů, provádějí nyní zločinci pro zisk. Podle odbor...


Vše nasvědčuje tomu, že činnosti, které byly kdysi doménou vandalů, provádějí
nyní zločinci pro zisk. Podle odborníků na antiviry dochází k překvapivému
nárůstu organizovaného vytváření virů a červů, které slouží ke zneužívání
cizích počítačů za účelem spamu, ke krádeži identit i k dalším nelegálním
činnostem. A situace se bude pravděpodobně v následujících letech ještě dále
zhoršovat.
Zatím poslední velkou připomínkou toho, že spammeři nyní používají
sofistikované kombinované hrozby, bylo červencové rozšíření červa MyDoom.O.
"Součástí útoku bylo šíření virů, spamu a útok typu odepření služby (DoS),"
říká Andrew Lochart, ředitel produktového marketingu ve společnosti Postini,
která poskytuje e-mailové bezpečnostní služby. Jenom během července hlásili
zákazníci této společnosti více než 16 miliónů útoků typu Directory Harvest
Attacks, což jsou pokusy spammerů ukrást kompletní e-mailové adresáře firem.
"Spojení mezi viry, červy a šedou ekonomikou existovalo pochopitelně již dlouho
před poslední verzí červa MyDoom", poznamenává Mikko Hypponen, ředitel výzkumu
antivirů ve společnosti F-Secure. Od prvního rozšíření MyDoomu v lednu si
Hypponen začal všímat, že se situace na bojišti zásadně mění. To, co bylo
předtím považováno za subkulturu tvůrců zlomyslných virů, se najednou začalo
stávat skutečným podsvětím vynakládajícím nemalé úsilí na použití škodlivého
kódu k získání peněz.
"Červu MyDoom se dostalo pozornosti médií díky útoku typu odepření služby
zaměřeného proti SCO a Microsoftu," říká Hypponen. "Ale nikdo nevěnoval
pozornost tomu, co se ve skutečnosti vlastně dělo v pozadí." A to, co se dělo,
bylo podle Hypponena nestydatě soustředěné úsilí přeměnit virové a červové
nákazy na ohromné balíky peněz.

Organizovaný zločin
Osm dní poté, co MyDoom.A zasáhl internet, někdo podle Hypponena proskenoval
miliony IP adres a hledal zadní vrátka připravená dalším červem. Útočníci se
pídili po systémech s nainstalovaným trojským koněm zvaným Mitglieder a tyto
počítače použili pro rozesílání spamů. Výsledkem byla situace, kdy se nabízelo
několik milionů ovládnutých počítačů napříč internetem na prodej ilegální
spamové komunitě.
Samozřejmě, že spamové viry nejsou nové. Bezpečnostní specialisté se jimi
zabývají již léta. Avšak příchod červa MyDoom i novějších virů a červů
signalizoval podle Hypponena začátek mnohem větších problémů.
Na konci ledna byli uživatelé internetu zaměstnáni e-mailovým červem Bagle.
Ačkoliv jeho první verze nebyla zvlášť úspěšná, brzy následovalo nejméně deset
variant včetně těch, které přenášely již dříve zmíněný Mitglieder.
Ale skutečné vodítko, že organizované skupiny použily Bagle a MyDoom k získání
počítačů vhodných pro rozesílání spamů stejně jako adres falešných webových
serverů, jejichž jediným cílem je získat identity a finanční informace o
osobách přišlo, když tvůrce červa Netsky.R hodil rukavici takzvaným
profesionálním tvůrcům virů. "Kromě snahy odstranit Bagle a MyDoom z nakažených
počítačů vedl Netsky útok typu DoS proti webovým serverům, o kterých bylo
známo, že fungují jako krytí pro krádeže identit," tvrdí Hypponen.
Když analytici společnosti F-Secure dekódovali zašifrovanou zprávu skrytou v
další verzi červa Bagle (Bagle.J), zjistili, že obsahuje výhružku virovou
válkou, pokud bude autor červa Netsky pokračovat v "maření podnikání"
profesionálních tvůrců virů. "Máme informaci, že autory MyDoom i Bagle mohou
být imigranti z Ruska žijící v různých evropských státech," pokračuje Hypponen.
Ať je ale za touto činností jakákoli skupina, je podle Hypponena organizovaná a
provozuje prosperující byznys.

Stále chytřejší
Brian Dunphy, ředitel pro globální analýzy společnosti Symantec, tvrdí, že je
poměrně těžké rozpoznat, co je záměrem mnoha současných virů a červů. "Kromě
vytváření zadních vrátek mají někteří červi, jako například poslední varianta
MyDoomu, vestavěnou schopnost aktualizace typu peer-to-peer," říká.
"Co jsme vídali, byli červi a viry bez schopnosti komunikace s autorem,"
pokračuje Dunphy. "V případě MyDoomu ale nakažené systémy věděly o jiných
nakažených systémech a automaticky vytvořily jakousi síť typu každý s každým
(peer-to-peer)."
"Naše analýza nedávného rozšíření MyDoom.M odhalila mechanismus, který byl
použit pro udržování seznamu všech známých infikovaných systémů a který
umožňoval autorovi červa nahrát do všech infikovaných systémů libovolný kód, a
to s minimálním rizikem, že by jeho síť byla napadena konkurenčními tvůrci
červů," poznamenává Alfred Huger, ředitel Symantec Security Response.
Vedle rozesílání spamů a vytváření peer-to-peer sítí jsou červi a viry
používány pro instalaci webových serverů na zranitelných systémech. "Tyto
webové servery pak slouží pro poskytování jakéhokoliv obsahu od pornografie a
pirátského softwaru až po stránky falešných bank," říká Hugos. Na webových
serverech se čile směňuje a prodává kromě jiného i předplatné ke
kompromitovaným počítačům.
V Rusku nebo Číně existuje řada diskusních serverů, jejichž jediným účelem je
prodávat počítače vhodné pro rozesílání spamu. Podporované platební metody,
které jsou na webových stránkách srozumitelně popsány, zahrnují transakce
E-gold a peněžní převody WebMoney a Western Union. Možná trochu paradoxně
organizovaní e-zločinci nepřijímají kreditní karty.

Na prodej: Vaše identita
Trojské koně přenášející viry a červy slouží také početným gangům zlodějů
identit. Na stránkách jako www.oemcd.biz, www.mega-oem.biz, huge-sales.info či
www.atlan tictrustbank.com byly v minulosti k vidění úžasné nabídky kromě mnoha
jiného tu byl návštěvníkům nabízen ke koupi populární software s ohromnými
slevami, někdy i jen za desetinu maloobchodní ceny.
Ačkoliv jmenované servery vypadaly důvěryhodně, Hypponen před využitím
podobných nabídek varuje. "Jedna věc, kterou mají všechny tyto servery
společnou, je to, že neexistují," říká. "Pokud si od nich něco koupíte,
nedostanete nic a ani nikdy nestrhnou částku z vaší kreditní karty. Ale co
udělají, je to, že ukradnou vaši identitu." Identity a kreditní karty jsou ve
velkém k dispozici na některých serverech a to nejvyšší nabídce.
Vysledování autorů virů a dalších on-line zločinců může být mnohem obtížnější,
než si kdo kdy představoval. "Je to zvlášť obtížné v případě falešných hostingů
domén, které často využívají IP adresy expirující každé dvě minuty," říká
Hypponen. "Pokud opakovaně přistupujete k těmto serverům, doménové jméno vede
každé dvě minuty na jinou IP adresu," vysvětluje. "A pokud se pak podíváte na
tyto IP adresy, uvidíte, že jde o místa v Japonsku, Portugalsku, Brazílii,
Kanadě a jinde."

O krok vpřed
Hackeři a autoři zlomyslných programů jsou zpravidla stále o krok před muži
zákona. Kuvajtská skupina hackerů Q8See je toho typickým příkladem.
8. března informoval nejmenovaný ruský zdroj analytiky společnosti F-Secure o
existenci trojského koně vytvořeného skupinou Q8See a nazvaného Slacke. Co
dělalo Slacke unikátním, byla mimořádná pečlivost, se kterou autoři zakryli
všechny stopy, a záhada, která zůstává okolo záměru této skupiny.
Červ nejprve stáhnul kód z webového serveru hostovaného ve Svatém Tomáši a
Princově ostrově, malém ostrovním státečku poblíž atlantického pobřeží Afriky.
Analýza F-Secure pochopitelně zjistila, že doménová práva pro tento web byla
prodána společnosti ze Švédska. Ale registrační informace uváděla firemní jméno
JordanChat a místo Irbid v Jordánsku. Jméno kontaktní osoby znělo TeR0r.
Jakmile si tisíce nakažených počítačů stáhly zlomyslný kód z webového serveru
na Svatém Tomáši a Princově ostrově, byly připojeny na IRC chat provozovaný CNN
v Atlantě.
Poté, co se přihlásily na IRC server CNN, je systém přesměroval na IRC kanál v
Mexiku nazvaný Noticias. A když Hypponen a jeho analytici tento kanál zkoumali,
užasli nad tím, co uviděli.
"Bylo tam přihlášeno 20 000 uživatelů, kteří nedělali vůbec nic. Vypadali jako
lidé, ale šlo o boty," říká Hypponen, majíc ovšem na mysli nikoli obuv, ale
programy vykonávající automatické opakující se funkce a simulující chování lidí.
Boti však nebyli sami. Podle Hypponena byli tři kuvajtští uživatelé, podle
všeho členové Q8See, připojeni ke kanálu a posílali botům příkazy pro skenování
různých rozsahů IP adres. A protože CNN nakonec zastavila chatovací server,
nikdo neví, co vlastně hackeři přesně chtěli. "Možná se to nikdy nedozvíme,"
říká Hypponen. "Ať už jde o tradiční organizovaný zločin či ne, nezáleží na tom
protože jsou organizovaní a protože to, co dělají, je trestné," dodává.

Za slabost se platí
Firmy, které adekvátně nechrání data svých zákazníků, za to zpravidla dříve či
později zaplatí. Například Společnost Barnes & Noble.com v dubnu tohoto roku
souhlasila s pokutou 60 000 dolarů poté, co byla kvůli bezpečnostní trhlině na
jejím webu přístupná citlivá data klientů. Úřad hlavního prokurátora státu New
York, který pokutu uložil, sdělil, že zranitelnost v řešení webového
knihkupectví umožňovala neautorizovaný přístup k zákaznickým účtům a k osobním
informacím.
Knihkupectví opravilo bezpečnostní chybu, ještě než došlo k nějaké vážné škodě.
BJs Wholesale Club však neměl takové štěstí. Cena za chybu v systému, kterou
oznámil v březnu, stále roste. Ve své čtvrtletní zprávě vydané v srpnu BJs
uvádí, že čelí žalobám na odškodné ve výši 16 milionů dolarů kvůli podvodům
následujícím po krádeži informací o kreditních a debetních kartách některých
svých zákazníků.
Nedostatky v počítačové bezpečnosti jsou pro společnosti opakujícím se
problémem. Nejvážněji se pak dotýká těch firem, které obchodují on-line. Podle
výsledků svého každoročního průzkumu kriminality v oblasti e-commerce odhaduje
bezpečnostní firma CyberSource ztráty kvůli on-line krádežím na 1,7 % tržeb
segmentu B2C ve Spojených státech v roce 2003, což představuje 1,6 miliardy
dolarů.
Ztráty zákazníků, jejichž finanční informace byly odcizeny, jsou obrovské.
Federální obchodní komise (Federal Trade Commission, FTC) sdělila, že v roce
2003 bylo téměř 10 milionů Američanů obětí krádeže identity. Tyto oběti z řad
zákazníků dohromady oznámily sumu škod 5 miliard dolarů. Krádeže identit
zároveň podle komise způsobily obchodním a finančním institucím celkovou ztrátu
téměř 48 miliard dolarů.
Společnosti, jejichž systémy trpí bezpečnostními problémy, mohou zjistit, že se
nacházejí na špatné straně zákona. Existují stovky zákonů na úrovni státní,
místní, ale i mezinárodní. Zákazníci mohou v případě, že bylo porušeno jejich
soukromí, vzít věci do svých rukou prostřednictvím občanských žalob.

Ochrana bank
Samozřejmě, že tržby nejsou jedinou věcí, která je v sázce. Nezabezpečí-li
firma přiměřeně data svých zákazníků, dává všanc svoji pověst.
"Pro finanční instituci neexistuje větší odpovědnost než zabezpečení informací
o zákaznících," říká Leonard Rowe, starší viceprezident a ředitel rozvoje
e-businessu v Associated Bank. "My, jako odvětví, riskujeme vše, pokud
nechráníme data našich zákazníků."
On-line bankovnictví sice nabízí pohodlí, ale také stupňuje bezpečnostní výzvy.
Pro ověření, že uživatelé provádějící bankovní operace on-line jsou těmi, za
koho se vydávají, přidala Associated Bank nedávno do své infrastruktury novou
technologickou vrstvu. Banka začala využívat službu společnosti Authentify,
která pomocí hlasových otisků ověřuje identitu zákazníků.
Pokud chce zákazník provést on-line přístup k účtu, služba Authentify
zákazníkovi zavolá buď během nebo hned po připojení k účtu z internetu, v
závislosti na nastavení zákazníka a požádá ho o slovní potvrzení, že si opravdu
přeje přístup z internetu. Authentify pak provede ověření totožnosti porovnáním
potvrzení s hlasovým otiskem v souboru.
Využívání služby Authentify má podle Rowa několik výhod. Je to rychlejší a
bezpečnější než nechat čekat klienta na PIN kód zaslaný poštou, aby mohl
aktivovat novou bankovní službu. Služba Authentify zároveň vytváří auditovací
záznamy pro případ, že dojde k podvodu. "Z technologického úhlu pohledu se
služba levně implementuje a není obtěžující," tvrdí Rowe. "Telefonní síť již
existuje a hlasový otisk je pro zákazníky nejméně nepříjemnou biometrickou
technologií", dodává.

Chytrý firewall
Firma Baker Hill, která poskytuje služby typu správy bankovních aplikací pro
on-line půjčky, šla kvůli zabezpečení informací svých uživatelů taktéž dále,
než bývá obvyklé. Tato společnost si nainstalovala webový aplikační firewall od
firmy Teros, který analyzuje, co webová aplikace dělá, a blokuje podezřelé
chování. Pokud by někdo například zkusil vložit SQL příkaz pro získání stovek
čísel zákaznických účtů, systém od Terosu by takovou transakci přerušil.
"Uvedený systém se liší od typických firewallů, které se zaměřují na ochranu
proti útokům na síťové vrstvě a příliš nezkoumají komunikaci směrovanou k
webovým serverům," říká Eric Beasley, síťový administrátor z Baker Hill. Systém
od Terosu dešifruje a kontroluje komunikaci, aby zajistil, že odpovídá
přijatelnému chování aplikace. "Schopnost zkoumat pakety do hloubky a
kontrolovat komunikaci na aplikační úrovni je velmi užitečná," dodává Beasley.

Obrana
Beasley ze společnosti Baker Hill pravidelně prohledává zdroje s informacemi o
zabezpečení systémů poskytovatelů služeb. Každý rok například Baker Hill
využívá službu SysTrust od Ernst & Young pro kontrolu bezpečnostních pravidel
svých aplikací. Rovněž využívá službu bezpečnostního skenování pro průběžnou
kontrolu zranitelností.
Barnes & Noble.com čeká v této oblasti řada zlepšení. Mimosoudní dohoda s
úřadem hlavního prokurátora státu New York vyžaduje, aby společnost zřídila
program informační bezpečnosti pro ochranu osobních údajů, zavedla dohled
managementu a školicí programy pro zaměstnance a najala externího auditora,
který bude monitorovat dodržování bezpečnostního programu.

Svět ilegální ekonomiky
Oblast ilegální ekonomiky je světem do jisté míry odděleným od okolí. Lze se tu
setkat s mnohými osobami i jevy, z nichž vybíráme ty nejčastější:
Početná ilegální komunita zabývající se on-line krádežemi.
Počítače s Windows nakažené viry a přeměněné na proxy, webové servery nebo v
sítě pro distribuovaný útok.
Seznamy takových serverů se prodávají a kupují on-line.
Prodávají a kupují se databáze kreditních karet.
Prodávají a kupují se účty služeb eBay, PayPal a E-gold.
Prodávají a kupují se přístupy k prolomeným serverům.
Prodávají a kupují se přístupy k sítím pro distribuovaný útok typu odepření
služby (DDoS).

Pomoc zvenčí je nezbytná
Bezpečné zpracování citlivých dat zákazníků vyžaduje více než jen instalaci
bezpečnostních produktů. Firmy by měly doplnit svou bezpečnostní technologii
investicemi do bezpečnostních auditů a bezpečnostních školení to aspoň tvrdí
letošní zpráva o počítačové kriminalitě a bezpečnosti. Sestavuje ji každoročně
CSI (Computer Security Institute, institut počítačové bezpečnosti) a tým FBI
pro počítačová vniknutí ze San Francisca.
Podle zprávy CSI/FBI jsou bezpečnostní audity prováděny poměrně běžně. Ze 494
respondentů odpovědělo 82 %, že jejich organizace bezpečnostní audity provádí;
současně uvedli, že ale pokulhávají bezpečnostní školení. Respondenti ze všech
sektorů si myslí, že jejich organizace neinvestuje dost do povědomí o
bezpečnosti.
Pomoc z vnějšku je důležitá, říká Larry Ponemon, jehož Ponemon Institute se
zabývá soukromím, ochranou dat a pravidly informační bezpečnosti. "Informační
bezpečnost a soukromí je skutečně vhodné prověřovat třetími stranami," tvrdí.
Jen tak lze podle něj řešit problémy objektivně.

Školicí programy
Ponemon spolupracuje s Mezinárodní asociací profesionálů v oblasti soukromí,
která od letošního podzimu nabízí certifikaci profesionálů v oblasti soukromí.
Existuje rovněž několik školicích programů v oblasti ochrany informací jako
Certifikovaný profesionál bezpečnosti informačních systémů od Information
Systems Certification Consortium či rodina certifikátů od SANS Institute. Mnoho
společností se zapojilo do správy rizik souvisejících s ochranou soukromí,
většina z nich však ještě podle Ponemona nedělá dost. "Společnosti, která toho
pro ochranu soukromí spotřebitelů dělají hodně, jako třeba Procter & Gamble
nebo E-Loan, si uvědomují, že to může být konkurenční výhoda," říká Ponemon.
Avšak realita je podle něj taková, že většina společností je motivována
strachem z veřejného skandálu.
"Strach tu je. Spotřebitelé jsou čím dál zkušenější v oblasti ochrany informací
a přejdou někam jinam, budou-li mít obavu, že jejich soukromá data nejsou v
bezpečí," tvrdí Ponemon. Ztráta důvěry v zajištění soukromí znamená ztrátu
zákazníků.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.