Phishing jako kybernetický zločin

Testování softwaru Nedílnou součástí testování softwaru by mělo být kromě vlastní funkčnosti rovněž testován


Testování softwaru
Nedílnou součástí testování softwaru by mělo být kromě vlastní funkčnosti
rovněž testování zabezpečení aplikace, a to jak samotného kódu na známá rizika
konkrétních programovacích jazyků, tak testy, které simulují chování
potenciálního útočníka. Strana 28
Automatizace rušení účtů
Náš manažer se rozhodl pomoci svému kolegovi s automatizací rušení účtů je
třeba zajistit, aby bývalí zaměstnanci neměli hned po svém odchodu přístup ke
kterémukoliv ze systémů na síti. Strana 29
Chytrý prach
MEMS (MicroElectroMechanical Sensors) malé bezdrátové mikroelektromechanické
senzory se zabývají monitorováním teploty, vlhkosti, zátěže a pohybu rozličných
objektů. Jaké je jejich využití do budoucna? Strana 30
Phisheři se začali specializovat na malware, o němž si myslíme, že bude
představovat neustálý nátlak na uživatele. Jedni se specializují na užitečná
data. Jiní se zase zaměřují na doručování. Je to pro ně byznys a k jako
takovému k hackingu i přistupují. Všechno se stává velmi sofistikovaným," říká
Brad Keller, manažer obchodních rizik e-commerce ve Wachovia Bank. "Z
technologického hlediska se nacházíme ve fázi, kdy jsou zločinci před námi, a
neočekávám, že by se tato mezera v nějaké blízké době uzavřela," dodává George
Rapp, senior viceprezident a ředitel IT ve Stonebridge Bank, což je komerční a
retailová on-line banka.
Stonebridge dokončila již z více než 50 % adopci (ta je postavena na dobrovolné
bázi) multifaktorové autentizace v rámci své uživatelské báze. Většina klientů
si zvolila používání autentizace pomocí zapamatované fráze (jako je jméno
prvního domácího zvířátka, jméno základní školy nebo něco jiného, co vědí jenom
oni sami), přičemž malé procento technicky zdatnějších uživatelů si vybralo
možnost platit 25 dolarů ročně za RSA Secure tokeny.
Rapp plánuje, že v příštích několika měsících bude multifaktorovou autentizaci
vyžadovat pro všechny uživatele. Dokonce i pak, říká, si ale bude dělat
starosti s útoky typu "man-in-the-middle", jež by manipulátorům s malwarem
umožnily získat data o účtech během autentizační relace.
Jeho obavy mají velmi dobré důvody. V únoru začala iDefense, firma zaměřená na
bezpečnostní inteligenci, již vlastní společnost VeriSign, sledovat rozšiřující
se botnet nazývaný MetaFisher. Uprostřed letošního března, když o tom iDefense
podala zprávu veřejnosti, se MetaFisher dotknul více než milionu vlastníků
účtů, z nichž většina pocházela z Evropy.
MetaFisher přenáší informace o bankovních účtech během otevřených připojení,
což mezi bezpečnostními experty vzbuzuje obavy, že phisheři už porazili i
plánované obranné mechanismy odvětví multifaktorovou autentizaci a kontrolu
integrity aplikace na PC zákazníků dokonce ještě před tím, než je firmy jako
Wachovia nebo Stonebridge mohly nasadit.
Vysoká cena phishingu
Sázky na obou stranách jsou vysoké. Phisheři vydělávají díky tradičním i
automatizovaným technikám slušné peníze, což uživatele a firmy v první polovině
roku 2005 stálo, jak konzervativně uvádí společnost Gartner, 2,7 miliardy
dolarů. S tím, jak phisheři získávají své nezákonné příjmy, mají firmy jistou
ztrátu.
Jak vyplývá ze studie Gartneru, 42 % z 5 000 zákazníků, kteří se zúčastnili
průzkumu, uvádí, že své on-line nákupy omezili právě kvůli strachu z phishingu.
Mezitím klesla na historicky nízkou úroveň důvěra v e-mailový systém, neboť 80
% respondentů prohlašuje, že nevěří tomu, když se v e-mailu tvrdí, že pochází
od značek, jež znají. V nejhorším případě, pokud nebude důvěra obnovena,
Gartner předpovídá, že phishing a podobné zločiny zpomalí růst internetu do
konce roku 2008 o jedno až tři procenta.
"Máme tady dokonalou bouři: Globální síť v hodnotě bilionů dolarů, nabízející
téměř perfektní anonymitu, bezprostřední konektivitu k milionům snadných cílů a
bezpočet způsobů praní špinavých peněz," vysvětluje Marcus Sachs, který řídí
výzkumné centrum pro kybernetickou kriminalitu na americkém ministerstvu pro
vnitřní bezpečnost. "Všechno je nyní nastaveno ve prospěch zločinců. Není zde
dostatečná úroveň školené síly pro vynucování práva. A samotná infrastruktura
není dostatečně spolehlivá pro úkoly, které jsme na ni naložili," dodává Sachs.
Logování stisků kláves
Výše zmíněné ministerstvo tlačí vlastníky DNS k upgradu na technologii DNS Sec,
aby tak poskytovali ochranu proti phishingu, k němuž dochází, když jsou
uživatelé přesměrováni na DNS servery, které se staly terčem hijackingu
(únosu). Tento úřad také spolupracuje s výrobci, poskytovateli služeb a
vlastníky infrastruktury na tom, aby vylepšili protokoly směrovačů s ohledem na
lepší inspekci paketů, mapování a autentizaci. Rovněž financuje akademický
výzkum zaměřený na nové bezpečnostní technologie, který by mohl vést k lepší
ochraně před podvody v koncových bodech.
Ačkoliv tato opatření aplikovaná v infrastruktuře mohou poskytnout pomoc proti
přesměrovávání (redirectors) či falešným phishingovým webům, nezajistí obranu
proti rostoucímu problému, který představují keyloggery instalované na
strojích, jež se staly obětí útoků.
"Software přímo zajišťující zaznamenávání stisků kláves reprezentuje 80 % toho,
s čím se dnes setkáváme v oblasti škodlivého kódu," říká Dave Cole, ředitel
organizace Symantec Security Response Center, která se denně probírá miliony
vzorků spamu a malwaru, přičemž hledá znaky nových typů škodlivého kódu či
zranitelností.
"Jsou to lstivé, tiché věci, které způsobují většinu škod tak, že
přicházejí ,pod úrovní radaru", pokračuje Cole. "Začíná to jako skutečně
jednoduchý trojský kůň napsaný v programovacím jazyce nižší úrovně, který se
dovnitř dostane prostřednictvím prohlížeče oběti," říká. "Poté se vykrade ven a
stáhne svého velkého bratra, tedy balík plný malwaru zapisujícího do
hostitelského stroje." Jakmile je nainstalován, čeká keylogger na dobu, až
budou oběti vyplňovat webové formuláře, přičemž se zapojí do hry, když detekuje
pole "jméno", číslo karty, jméno matky za svobodna, číslo CVV (tedy trojciferné
číslo na podpisovém proužku na zadní straně kreditní karty), heslo, dodací
adresu a další podobná pole, z nichž lze vytřídit finančně hodnotné informace.
Informace jsou poté přeposílány na další vzdáleně ovládané počítače, kde jsou
sbírány a testovány účtováním nebo vybíráním malých částek. Potom jsou prodány,
a to buď kousek po kousku, nebo jako součást rozsáhlejšího botnetu přes IRC
(Internet Relay Chat) kanály za účelem mnoha typů podvodů, mezi něž patří třeba
přeměna ve falšované plastové karty pro fyzické použití.
Webové aplikace Stránky webů jsou v rostoucí míře nevědomky využívány jako
propagační body keyloggerů, jak tvrdí výzkumníci webové aplikace jsou totiž
plné zranitelností. V minulém roce zaznamenala společnost WebSense 170% nárůst
počtu webů vztahujících se ke spywaru, a to na přibližně 130 000, současně s
271% nárůstem množství phishingových webů na celkových 27 000. Z 2 000 nových
zranitelností zaznamenaných společností Symantec v roce 2005 (40% nárůst oproti
roku 2004) se jich 69 % nacházelo právě ve webových aplikacích.
"Nemusíte být právě ninja hacker, abyste hacknuli web a udělali z něj
instalátor trojanů. Nyní si pro celou tuto činnost můžete stáhnout kompletní
hackerský kit. A navíc všechno to můžete provozovat přes kanály IRC," popisuje
Ben Butler, manažer společnosti GoDaddy, která vedle poskytování web hostingu
také prodává doménové jména či další služby vztahující se k webům.
Výzkumníci říkají, že nejběžnějším způsobem, jímž jsou hackovány webové
aplikace, je využití zranitelností v kódu napsaném ve skriptovacím jazyce PHP,
používaném v integrovaných formulářích pro registraci, požadavky na poskytnutí
informací a další transakce na straně serveru.
"Jestliže provozujete web a PHP není záplatováno a aktualizováno, vezměte na
vědomí, že někdo si už ve vaší interaktivní webové aplikaci našel cestu, jak
využít malware na komunikačním poli PHP," říká Butler, který je aktivní v
organizacích Anti-Phishing Working Group a Digital PhishNet. "PHP je nesmírně
často hackovanou aplikací, neboť je docela možné, že leckterý začátečnický
uživatel přede dvěma lety založil web obsahující PHP formulář a opominul
nainstalovat 37 záplat, jež byly od té doby už publikovány."
Instalátoři crimewaru si za cíl vybírají také webové servery provozující
e-mailové servery, takže mohou (jejich prostřednictvím) šířit spam, jak dodává
Kyle Lutz, dobrovolník pracující pro Shadowserver.org, skupinu zaměřenou na boj
proti botnetům. Lutz říká, že nespouští z očí 40 aktivních botnetů, z nichž
některé obsahují až 75 000 kompromitovaných zařízení. Kdekoliv naleznou
dobrovolníci Shadowserveru jeden infikovaný web, najdou obvykle i malware
rozšířený napříč celou serverovou farmou, dodává.
Problematické botnety
"Největším problémem, na který narážíme, je přimět IPS a poskytovatele
hostingu, aby odváděli lepší práci, pokud jde o ničení těchto sítí, jakmile jim
o nich podáme zprávu," říká Lutz. "Poskytovatelé služeb nám často pouze dají
e-mailovou adresu, na kterou můžeme posílat stížnosti a náměty, a nikdy nevíme,
jestli podle nich postupují. Stejný problém máme, když kontaktujeme orgány pro
vynucování práva, což je obzvláště obtížné mimo Spojené státy."
Čištění botnetů je pro poskytovatele služeb velkou výzvou, dodává Danny
McPherson, šéf výzkumu ve společnosti Arbor Networks. V září prováděl Arbor
průzkum u 52 poskytovatelů internetových páteří a služeb, z nichž 43 % uvedlo,
že nejsou schopni se s problémem botnetů vypořádat.
"Musíte nalézt zkompromitované weby, které mohou být lokalizovány pouze
vyhledáváním spojení se spamy nebo monitorováním určitých portů," říká
McPherson." A když poskytovatelé hostingu naleznou hostovaný web, na němž běží
nějaká forma instalátorů malwaru, budou muset být schopni vypnout pouze tento
web bez toho, aby se to dotklo ostatních zákazníků. V současné době si ale
myslí, že musejí odstavit celý server."
GoDaddy se svými 12 miliony registrovaných subjektů zaměstnává sedm lidí pro
činnost spojenou s vyšetřováním zneužití webů. Tito lidé zpracovávají denně v
průměru 5 000 stížností týkajících se zneužití. Butler říká, že tým věnuje
pozornost každé stížnosti a hledá korelace mezi informacemi tak, aby zastavil
záměrně zločinné weby a pomohl vlastníkům infikovaných webů vyčistit a
záplatovat jejich aplikace. "Po pravdě řečeno ne každý, kdo si založí web, je
bezpečnostním géniem," podotýká Butler. "Spousta naší práce se tedy točí kolem
vzdělávání uživatelů."
Forenzní podpora a vzdělávání jsou dobrým začátkem. Co však stále chybí, je
seriózní diskuse o přijetí zodpovědnosti za bezpečnost ze strany poskytovatelů
hostingu nad aplikacemi hostovanými na webech jejich zákazníků, myslí si Keller.
Poskytovatelé služeb
Avšak jednoduché přehození tohoto břemene na bedra poskytovatelů hostingu
služeb znamená otevření "plechovky plné červů", na což toto odvětví není ještě
připraveno, myslí si Butler. Už samotná správa záplat by představovala značné
úsilí. A jak by bylo možné standardizovat, kontrolovat a podporovat aplikace
mezi miliony uživatelů? A to nemluvě o tom, že by to poskytovatele služeb
postavilo do nepříjemné pozice, kdy by byli zodpovědní za podporu počítačů
zákazníků, jak dodává.
To jsou stejné důvody, proč se
e-businessové firmy, jejichž náplní je ochrana informací, nestarají o svoji
část problému tím, že by kontrolovaly integritu počítačů svých zákazníků při
přihlašování. V minulém roce například spustily Panda, Symantec a většina
ostatních předních výrobců antimalwarových programů vzdálené služby schopné
rychle proskenovat PC zákazníků ohledně ověření základního zabezpečení,
konfigurace záplat, a dokonce i výskytu běžně známých virů. "Vždy jsou zde i
jiné problémy týkající se podpory, kde se dojem stane realitou. Někdo pak
zavolá a zeptá se: Pronikli jste do mého počítače?," vysvětluje Keller. "A
mezi zákazníky je také rozšířena představa, že to je invazivní metoda."
Kontrola integrity počítačů je nejvíce životaschopnou cestou, jak zastavit
útoky prostřednictvím automatizovaného phishingu, jak vyplývá z projevu CEO
Symantecu Johna Thompsona na únorové konferenci RSA. Namísto aby byly firmy
viděny jako invazivní, lze podle Thompsona lepší vztahy mezi oním
poskytovatelem bezpečnostního řešení a zákazníky vybudovat prostřednictvím
reálné pomoci zákazníkům s jejich problémy.
Společnosti zvažující takové technologie by se měly poohlédnout po produktech,
které jsou neutrální vůči různým výrobcům, což znamená, že mohou zkontrolovat
jakoukoliv značku firewallu, technologii antimalwaru a jakékoliv přední
operační systémy či prohlížeče z hlediska konfigurace záplat a zabezpečení.
To proto, že v minulém roce se Shadowserver a další výzkumníci setkali také s
linuxovými a Mac OS/X systémy, jež byly ovládány boty. Podle organizace CERT a
dalších analytiků se instalace keyloggerů vyskytly také na handheldech, a to
konkrétně v Evropě a v Asii, kde je populární telefonování pomocí kapesních
počítačů.
Podnikové nástroje
V ideálním případě by také podniky měly hledat nástroje, které provádějí
skenování v kombinaci s autentizací tak, že přihlašovací oprávnění nejsou
poskytnuta, dokud není dokončena kontrola integrity.
"Sady nástrojů, jako jsou výše zmíněné, by pomohly ujít dlouhý kus cesty směrem
ke zmírnění znepokojení mezi firmami poskytujícími finanční služby, které se
obávají, že útoky typu man-in-the-middle mohou silnější autentizaci obejít
převzetím účtů během autentizovaných relací," říká Rapp. Není však přesvědčen,
že mohou uvedené typy ataků zcela zablokovat.
"Phishingové balíky obsahují rootkity, jež jsou schopny vyřadit zabezpečení a
zajistit, že vůči skeneru se vše jeví v pořádku, zatímco ve skutečnosti je
systém infikován malwarem," říká.
Posledním potřebným doplňkem autentizace, jak tvrdí Sally Stewardová,
viceprezidentka strategie ve společnosti TriCipher, je způsob, jak navázat na
autentizaci prostřednictvím spolupráce se systémy pro detekci podvodů
používanými ve finančních institucích. Když by zločinec nějak proklouznul přes
všechny ochrany ve front-endové linii, otevřel nové účty a nějakým podezřelým
způsobem přenášel finance, systém by mohl sledovat záznam událostí v logu a
také varovat průzkumníky.
Stejně jako v případě všech ostatních problémů týkajících se informační
bezpečnosti, jež od počátku využívání IP sítí vyvstávaly, volá po vzdělávání a
zabezpečení ve více vrstvách i ochrana on-line commerce před hrozbou phishingu.
Potřebujeme však také, aby přišly nové standardy, technologie a frameworky,
díky nimž bude možné si poradit se stále sofistikovanějšími problémy, jak říká
Sachs i další.
"Zlí hoši mají v tomto momentě náskok před našimi nejlepšími systémy obrany,"
dodává Rapp. "Uzavřít tuto mezeru nebude tak snadné, jako to bývalo v
minulosti. Každému, kdo provozuje finanční byznys na internetu, však
zdůrazňuji, aby přinejmenším začal s vícefaktorovou autentizací."
(pal) 6 1147
Potlačení hrozby phishinguAčkoliv na vzestupu jsou dnes především útoky
prostřednictvím automatizovaného phishingu, klasičtí phisheři, kteří stále
využívají vábničky založené na e-mailu a instant messagingu, jsou stále zde. Na
následujících řádcích uvádíme aktuální pohled na to, jak na ně firmy reagují a
čeho by si měli být uživatelé vědomi. Uzavřený e-mail: Přede dvěma lety začala
firma eBay posílat svým zákazníkům vyhrazené e-maily. V minulém roce pak začaly
společnosti nabízející finanční služby jejího příkladu následovat. Například
Wachovia nyní využívá uzavřený, autentizovaný e-mailový systém jako svůj jediný
způsob, jak posílat zprávy zákazníkům. A eBay používá svoji interní poštu
označovanou jako "My messages" také k tomu, aby zákazníky vzdělávala vkládá do
zpráv bezpečnostní informace třeba o rámcích, jak popisuje tisková mluvčí eBay.
Vzdělávání: Kromě "praktikování bezpečné práce na počítači" tím, že nebudou
klikat na všechny odkazy a budou se mít na pozoru před pochybnými weby, by nyní
uživatelé měli každý den také aktualizovat své bezpečnostní nástroje. A neměli
by už věřit málo krytým SSL zámkům. Výzkumníci společnosti NetCraft v minulém
roce našli falšované SSL certifikáty na 450 samostatných phishingových webech.
Stejně tak se uživatelé musejí mít na pozoru před jakýmikoliv žádostmi, nejen
před těmi z eBay či od poskytovatelů finančních služeb. V minulém roce phisheři
falšovali dokonce i značky četných výrobců bezpečnostních systémů a několika
nefinančních společností. Vynucování: Microsoft, propagátor Digital PhishNetu,
v roce 2005 odhalil a eliminoval 4 744 phishingových webů a podal celkem 117
žalob proti phisherům. V únoru společnost představila aktivitu Global Phishing
Enforcement Initiative, která koordinuje úsilí zaměřené na monitorování útoků
na domény, blokování phishingových webů či partnerství s institucemi pro
vynucování práva. V březnu tohoto roku oznámily firmy Castlecops a Sunbelt
Software spuštění aktivity Phishing Incident Reporting and Termination Squaw,
zaměřené výhradně na ukončování provozu phishingových webů. Služby pro správu
identit: "Některé organizace podnikají neobvyklé kroky, spočívající v nákupu
služeb proaktivní ochrany identit pro své zaměstnance," popisuje Todd Davis,
CEO společnosti LifeLock. "Ke krádežím identit dochází z 51 % na pracovišti.
Zaměstnanci zabere opětovné získání plné kontroly nad ztracenou identitou v
průměru 177 hodin," říká Davis. "Firmy si uvědomují, že při 70 dolarech na
zaměstnance za rok jde o dobrou investici pro to, aby udržely úroveň
produktivity svých zaměstnanců." Spam: Poskytovatelé služeb provedli mnohá
vylepšení týkající se filtrování spamu a autentizace e-mailu, a to adopcí
technologií Sender Policy Framework a Sender ID. Symantec ohlásil, že v minulém
roce došlo k redukci nevyžádané pošty o 13 procentních bodů, a to ze 63% podílu
na veškerém provozu v roce 2004 na 50 % v roce 2005. Nástrojové lišty:
Microsoft představil Phishing Filter a SmartScreen, e-mailový skener a
nástrojovou lištu pro svůj prohlížeč, které skenují URL adresy oproti
blacklistům v prohlížeči nebo v e-mailových službách či programech. Rovněž
hledají základní indikátory phishingu, jako jsou nekorektní adresy. Mezi další
populární nástrojové lišty patří také NetCraft a eBay.
Realita phishingu v České republice
Pavel Krčma
Pro české prostředí platí v podstatě to, co je uvedeno v hlavním příspěvku. Asi
největší rozdíly jsou způsobeny odlišným jazykovým prostředím díky tomu, že
čeština je z celosvětového hlediska používána nepatrným množstvím lidí, jsme z
hlediska spamu a phishingu poněkud "za větrem". Většina lidí v České republice
komunikuje česky, a tudíž jakýkoli anglicky psaný e-mail je silně podezřelý.
Pokusy o phishing v češtině se dají v podstatě spočítat na prstech jedné ruky a
obvykle jsou psány velmi kostrbatou češtinou (z poslední doby to byl například
Citibank phishing). Problémy s jazykem mají i loggery, tedy části botnetů
zodpovědné za zachycování relevantních informací. Formuláře našich bank
obsahují jiná klíčová slova než v anglicky či španělsky mluvících zemích, které
jsou nejčastějším terčem phishingu, a tudíž výtěžnost informací je mnohem
menší. V neposlední řadě je u nás používání on-line bankovnictví stále mnohem
méně rozšířené než v zahraničí.
Celkově lze tedy říci, že problém kyberzločinu je třeba brát velmi vážně,
nicméně zde v České republice máme poněkud pomalejší tempo nárůstu útoků, než
je tomu například v USA. Máme tedy jedinečnou příležitost se připravit na
budoucnost, která v odvětví počítačové bezpečnosti zcela jistě nebude nijak
růžová...
Autor je zaměstnancem společnosti Grisoft.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.