Trendy kybernetických útoků

Informační bezpečnost je svým způsobem elastická není statická, ale dynamicky se mění. Je to dáno tím prostým fak...


Informační bezpečnost je svým způsobem elastická není statická, ale dynamicky
se mění. Je to dáno tím prostým faktem, že se mění typy útoků a příčiny vzniku
bezpečnostních incidentů. Informační bezpečnost pak na ně reaguje stejně, jako
se aktivně snaží vyhledávat možná slabá místa, a útokům tak předcházet.

Trendem číslo jedna je v současné době jednoznačně rychlejší objevování,
zveřejňování a především zneužívání bezpečnostních chyb. Toto je nejslabší
místo drtivé většiny dnešních operačních systémů a aplikací, neboť jejich
bezpečnost je nyní na jinak velmi solidní úrovni. Neznámý bezpečnostní
nedostatek nebo nedostatek známý, leč ten, na který zatím neexistuje záplata,
je noční můrou většiny správců a uživatelů (v případě známé zranitelnosti a
neexistující záplaty lze alespoň přijmout nějaká protiopatření, jako je
blokování podezřelého provozu či překonfigurování firewallu). Nicméně rychlost,
s jakou dochází ke zneužívání bezpečnostních nedostatků, je opravdu zarážející.
Dříve se počítala na týdny nebo na měsíce, dnes na dny či hodiny. Například v
březnu 2004 se objevil internetový červ Witty, který byl zajímavý tím, že měl
velice precizně zpracovaný model šíření za 45 minut dokázal napadnout 99 %
napadnutelných počítačů na světě.
Nás ale v případě červa Witty zajímá úplně jiná skutečnost, a to ta, že napadal
počítače s chybou v bezpečnostním softwaru BlackIce. Její existence přitom byla
zveřejněna pouze o den dříve. Ironií osudu je fakt, že software BlackIce je
určený k ochraně počítačů, takže postiženi byli lidé, kterým bezpečnost nebyla
lhostejná a kteří pro ni něco aktivně udělali.
Tento trend ale názorně ukazuje, že dodatečná reakce na nově objevené hrozby už
nestačí. Rychlost zneužívání bezpečnostních nedostatků je závratná, přičemž
chyby se objevují zcela nepravidelně, takže není možné vytvořit žádný fungující
algoritmus schopný na ně reagovat. Ke slovu tak přicházejí systémy snažící se
problémům předcházet, a to nejen pasivně (firewally apod.), ale též aktivně
hledáním nových útoků (IDS).

Bezobslužné útoky
Dalším trendem, který stojí za zmínku, je automatizace útoků a tedy i jejich
narůstající rychlost. Zatímco před asi patnácti lety bylo pro hackera napadení
několika stovek či tisíců počítačů téměř nesplnitelným snem, v současné době
není útok podobného rozsahu brán jako něco výjimečného.
Bohužel stále mnoho uživatelů a kupodivu i správců IT se domnívá, že není
nejmenší důvod, aby se právě jejich infrastruktura stala cílem útoku nějakého
nenechavce. Že nemají nic, co by ospravedlňovalo jeho námahu, že jsou
zajímavější cíle atd. To je ale omyl. Soudobí útočníci využívají plně
automatizované nástroje k tomu, aby pronikli do co největšího množství
informačních systémů, a je jim jedno, kam se v konečném důsledku dostanou.
Informační technologie jim jsou v daném případě prostředkem, nikoliv cílem.
Současně s automatizací útoků narůstá i jejich rychlost a nebezpečnost. Zcela
samostatné útočnické programy na základě přednastavených parametrů podnikají
"nájezdy" na systémy vybrané náhodně nebo dle předem připraveného klíče. Jejich
provedení není otázkou dlouhé doby, ale relativně krátkého údobí. Oproti
minulosti je tak za určité časové údobí otestováno více systémů, díky čemuž
roste pravděpodobnost, že některý bude napaden.

Rafinovanost stoupá
Dalším trendem je, že narůstá sofistikovanost útoků. Tyto jsou připravovány s
větší precizností a navazují na sebe. Příkladem jsou třeba e-mailoví červi,
kteří už dnes jen málokdy nemají žádný speciální "úkol", jakým je třeba
distribuce programů pro provádění DDoS útoků, instalace zadních vrátek, spywaru
či dalších kategorií škodlivých programů.
Není vůbec překvapením, když je proveden jeden zkušební útok, aby bylo
zjištěno, jakým způsobem je na něj reagováno a s jakými nástrahami se bude
možné při "ostré" akci setkat. Příkladem budiž e-mailový červ BugBear, který se
objevil na počátku podzimu 2002. Šlo o víceméně klasický kód šířící se
elektronickou poštou, jakých dnes známe tisíce. Až na drobnost do napadeného
systému instaloval key logger, což by se dalo přeložit jako snímač stisknutých
kláves. Měl podobu knihovny DLL, přičemž po získání určitého množství dat byla
tato odeslána na předdefinovanou adresu.
Tato rutina je nebezpečná především v tom, že s pomocí klávesnice vkládáme do
počítače drtivou většinu dat včetně přihlašovacích jmen a hesel. Tímto způsobem
pak útočník získává zajímavá data z celého světa včetně hesel k počítačovým
sítím, účtům elektronického bankovnictví, k placeným službám apod. (Uživatelé v
českých a slovenských zemích měli poměrně veliké štěstí, protože key logger
červa BugBear kolidoval s lokálními ovladači kláves. V praxi to znamenalo, že
pokud se uživatel pokoušel na infikovaném stroji napsat velké písmeno s
diakritickým znaménkem, nikdy se mu to nemohlo podařit.)
BugBear měl ale pro svého autora jednu velkou nevýhodu jím instalovaný key
logger snímal každé stisknutí klávesnice, tedy nejen údaje pro něj zajímavé,
ale také veškerý jiný provoz. Hledat v obrovském množství získaných dat pak
muselo být časově velmi náročné. To mohl být hlavní důvod pro vznik mnohem
nebezpečnějšího škodlivého kódu BugBear.B. Je ale také možné, že až verze B
byla skutečným cílem.
Faktem zůstává, že když se objevil v červnu 2003 kód BugBear.B, obsahoval
mnohem zákeřnější key logger. Jeho cílem nebylo fungovat na každém počítači a
už vůbec ne sbírat všechna data BugBear.B měl sbírat data jen z některých
počítačů a navíc byl vybíravý, protože se zajímal jen o některá data. Pokud IP
adresa napadeného počítače souhlasila s jednou z 1 376 předdefinovaných domén,
škodlivý kód se snažil hesla a přihlašovací jména uložená v počítači odeslat na
jednu z deseti přednastavených e-mailových adres. Jak vidno z výše uvedených
trendů, šíře záběru a nebezpečnost kybernetických útoků radikálně narůstají. Je
proto dobré být připraven, protože nejlepší bezpečnostní incident je takový,
který vůbec nenastane.




Nepřipravené cíle usnadňují práci hackerům
V současných kybernetických útocích je velmi často vidět obcházení stávajících
ochranných prvků. Například útočníci píšící viry mají dnes z internetu možnost
stáhnout si zkušební verze rozličných antivirových programů a upravovat své
výtvory tak dlouho, dokud se jim nepodaří "proklouznout" přes přednastavená
pravidla a heuristické analýzy.
Překonávání ochranných prvků rovněž probíhá tak, že útočníci použijí nových
směrů šíření. Nevyužijí tedy tradiční způsoby napadení pomocí internetu nebo
elektronické pošty, nýbrž využijí sociálního inženýrství nebo zpravidla špatně
chráněných počítačů zaměstnanců přistupujících do interní sítě z domu. Tomuto
trendu nahrává také čím dál větší rozšíření bezdrátových technologií
(Bluetooth, Wi-Fi aj.).
Závažný je i narůstající počet útoků na infrastrukturu. Zatímco vlastní cíl
útoku je často dobře zabezpečený a pro většinu hackerů nepřekonatelný, okolí
bývá přece jen zranitelnější. Zákeřnost těchto útoků spočívá v tom, že není
napaden skutečný cíl, ale přístupové zdroje k němu. A to zdroje takové, nad
nimiž často nemá cíl žádnou moc.
Velmi nebezpečný je rovněž nárůst útoků na tzv. měkké cíle. Tradiční směry
útoků hackerů, jako například banky nebo elektronické obchody, totiž začínají
být velmi solidně chráněné a zabezpečené, a tak útočníci vyhledávají slabší a
hůře chráněná místa, tedy místa, kde se útok zpravidla nepředpokládá.
Schopný útočník dokáže i ze zdánlivých maličkostí vyčarovat nemožné. Příkladem
budiž třeba skutečnost, že se oblíbeným cílem phisherů v poslední době stala
služba Amazon "One Click". Přitom zneužitím této služby nemůže dojít k žádným
přímým škodám, neboť díky dalším autentizačním prvkům nemůže phisher na Amazonu
nakupovat. Cíl útoku je ale jiný tím, že získá přístup k účtu této služby,
získá zároveň přístup k osobním datům uživatele. (Primárním cílem Amazonu bylo
umožnit uživateli snadnou změnu svých osobních údajů. Phisher tato data právě
díky pokročilým kontrolním mechanismům nemůže měnit, ale na druhé straně je
může obratně využít na nějakém jiném místě.)









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.