Manažer bezpečnosti: Nezadržitelný vývoj hrozeb

3. 7. 2010

Sdílet

Volně se šířící malware byl nahrazen cílenými útoky a mezinárodně organizovaným zločinem. Co nás čeká příště?

Nedávné incidenty ohledně ochrany dat v naší společnosti mě vedly k zamyšlení nad stavem informační války. Elektronické útoky se vyvíjejí směrem, který ve mně budí obavy, že se mění podstata hrozeb.

Jen před pár lety se bezpečnostní události týkaly zejména virů a červů. Ačkoli epidemie malwaru přenášeného sítí mohla srazit IT infrastrukturu společnosti na kolena i na dobu několika dní, nikdy se nejednalo o předem cílené útoky.

Většinou totiž šlo jen o náhodná zneužití děr v populárních operačních systémech, prohlížečích a softwaru. Autorem byli podle odhadů (a většinou se to tak nakonec ukázalo) znudění teenageři, kteří měli spoustu času a také přístup k rootkitům a sadám nástrojů pro tvorbu záškodnického kódu a virů. Nahodilý malware byl pak přinášen elektronickým vánkem, stejně jako se to dělo s viry.

Změna povahy hrozeb
Potom se scenérie změnila. Začal jsem vídat ručně prováděné útoky. Nejprve se jednalo jen o faktické vtípky někoho, kdo znal svou oběť, nebo šlo o náhodné aktivity lidí, kteří byli určitým způsobem blízcí dotyčnému cíli.  To byla první významná změna ve vztahu útočník/cíl – útočník měl nějaký vztah k cíli nebo ho nějak znal. Motivací bylo sebeuspokojení získané demonstrací vlastních schopností.

Při jednom vyšetřování jsem zjistil, že cíl, jehož pracovní stanice najednou začala hlásit zprávu, že je „vlastněn“, byl obětí souboje o čest mezi dvěma systémovými správci v rámci oddělení. Teď se to však jeví jako zcela neškodné počínání.

Poprvé jsem se setkal s mezinárodním útokem před třemi lety. Některé z notebooků naší společnosti v sobě měly uloženy velké datové soubory a po analýze vyšlo najevo, že se jednalo o DVD kopie filmů, které ještě stále byly v kinech.

Nakonec jsme zjistili, jak se to stalo. Na těchto noteboocích nasadilo naše oddělení IT automatizační balík pro podporu prodeje, který využíval databázový software, jehož heslo správce bylo ponecháno prázdné, čímž se umožnil plný přístup k dotyčnému notebooku.

Mezinárodní povaha

Pro zloděje filmů bylo velmi snadné toto opominutí zneužít a dělat si s počítači, co se jim zachtělo. Co bylo pozoruhodné, byla lokalita útočníků: Německo.

Z důvodu mezinárodního charakteru tohoto incidentu se naše právní oddělení rozhodlo nezahájit trestní řízení a jen zablokovat další přístup – nic dalšího jsme neudělali. Podívejte se ale na vývoj motivace a rozsahu útoku: Naši útočníci byli mimo území USA, žádným způsobem neměli se svými oběťmi nic společného a přitom ukradli výpočetní prostředky na vzdálenost tisíců kilometrů.

Od té doby se samozřejmě všechno zhoršilo a eskalovalo do podoby mezinárodního phishingu, pharmingu a všudypřítomných scamů využívajících třeba nigerijské banky. Současné hrozby mi připadají jako nabalující se sněhová koule mezinárodního rozsahu.

Není nutné, abych vám tyto druhy útoků popisoval, ale povím vám o zajímavém typu útoku, kterému jsme nedávno čelili. Jednalo se o schéma vydírání z Číny.

Přijde zpráva-dopis s oficiálním vzhledem a profesionálně napsaným textem, opatřená úžasnou pečetí někoho velmi významného a požaduje, aby naše společnost zaplatila poplatek za vyrovnání ve věci vyřešení sporu týkajícího se našich korporátních doménových jmen. Tento typ incidentu je finančně motivován, má mezinárodní rozměr a jeho provedení je velice propracované.

Naše scenérie hrozeb se tedy vyvinula z jednoduchého náhodného malwaru šířeného sítí přes cílené útoky až po stále organizovanější mezinárodní zločin. Nemohu s tím nic dělat a přemýšlím, co bude následovat.