Pułapki w cyfrowej dżungli
-
- Rafał Jakubowski,
- 20.11.2007
Eksperci alarmują, że pomimo stosowania lepszych zabezpieczeń, coraz łatwiej jest ukraść tożsamość w Internecie, a cyberterroryzm to realne zagrożenie, które przestaje być tematem filmów science fiction.
Eksperci alarmują, że pomimo stosowania lepszych zabezpieczeń, coraz łatwiej jest ukraść tożsamość w Internecie, a cyberterroryzm to realne zagrożenie, które przestaje być tematem filmów science fiction.
Wraz ze wzrostem liczby transakcji dokonywanych w Internecie - operacji bankowych, zakupu akcji, jednostek funduszy inwestycyjnych, biletów na samolot czy nawet artykułów spożywczych - wzrasta skala zagrożeń. Mimo nieustannie doskonalonych zabezpieczeń kluczowym elementem systemu pozostaje rozwaga użytkowników. Ale jednocześnie profesjonalni włamywacze stworzyli już własny rynek produktów hakerskich, które są dostępne praktycznie dla każdego, kto chce uzyskać jakieś bezpośrednie lub pośrednie korzyści, wykorzystując luki i niedoskonałości zabezpieczeń systemów IT. Zagrożenia te dotyczą nie tylko użytkowników indywidualnych lub przedsiębiorstw wykorzystujących Internet w celach biznesowych, ale również państw, które już obecnie całkiem realnie mogą być narażone na ataki cyberterrorystyczne.
Choć Polska wydaje się mniej zagrożona niż wysoko rozwinięte państwa mające znacznie bardziej nowoczesną i rozwiniętą infrastrukturę telekomunikacyjną i informatyczną, to jak wynika z raportu opublikowanego przez Symantec, na przestrzeni ostatnich lat znaleźliśmy się w czołówce wśród krajów regionu EMEA (Europa, Bliski Wschód i Afryka) notujących największą liczbę różnego rodzaju ataków hakerskich.
Polska w czołówce
Mirosław Maj, ekspert w CERT/NASK
Raport Symantec nie jest jedynym dokumentem, który skłania do poważnego zastanowienia się nad zagrożeniami związanymi z ochroną tożsamości. Według innego raportu "Bezpieczeństwo danych a zawartość śmietników" opracowanego przez Annę Macyszyn-Wilk z Uniwersytetu Wrocławskiego istnieje ścisły związek między przestępczością internetową a na przykład dbałością o niszczenie wyrzucanych dokumentów. Badania przeprowadzone we wrześniu br. na warszawskich wysypiskach dowodzą, że użytkownicy kont w systemach bankowości internetowej nie dbają należycie o ochronę na przykład kodów jednorazowych. Według raportu, badacze spotykali na wysypiskach nie tylko karty z kodami, ale również towarzyszące im dokumenty z umowami i wydrukami transakcji. Czy wynikające stąd zagrożenia można przypisać niedoskonałościom zabezpieczeń systemów IT?
Czarny rynek
- Pierwsze 10 minut ataku DDoS - bezpłatne
- 10 mln adresów poczty elektronicznej - ok. 100 euro
- Wysłanie 20 mln listów reklamowych - ok. 350 euro
- Atak typu Distributed Denial of Service - kilkaset euro
- Zaprojektowanie nowego wirusa, robaka lub konia trojańskiego - kilkadziesiąt tysięcy euro
- Program dedykowany do ataku na konkretny system IT - kilkadziesiąt tysięcy euro
Na czarnym rynku kwitnie także handel adresami poczty elektronicznej. 10 mln adresów e-mail wycenia się zazwyczaj na 100 euro. Zarabiać można także na kontach w Paypal, grach internetowych oraz oczywiście sprzedaży danych dotyczących kart kredytowych. Przykładowo konto gry World Of Warcraft kosztuje ok. 6 euro. Internetowi przestępcy często oferują także pakiety usług. Zawierają one np. usługi ataku DDoS paraliżującego serwery konkurencji, a jednocześnie rozsyłanie wiadomości spamowych. Co ciekawe, pierwsze 10 minut ataku DDoS jest bardzo często bezpłatne dla zamawiającego. Ma jedynie przekonać o skuteczności dostawcy tej usługi.
Chociaż dla zamawiającego rozesłanie dużych ilości spamu to usługa niedroga, pozwala jednak hakerom na zarabianie dużych pieniędzy, bo rynek nabrał charakteru masowego. Podobnie jest w przypadku handlowania kontami oraz adresami e-mail. Za jednorazową usługę więcej mogą oczywiście zarobić twórcy wirusów, robaków lub koni trojańskich. Ich wynagrodzenie za realizację zleconego projektu sięga dziesiątek tysięcy euro. Największe pieniądze trzeba zapłacić za luki bezpieczeństwa oraz programy dedykowane do konkretnych zadań, na przykład do ataków na określone, zdefiniowane przez zamawiającego systemy IT. Cena za taką usługę może wynosić nawet kilkadziesiąt tysięcy euro. W Internecie istnieją również specjalne serwisy aukcyjne umożliwiające uzyskanie najlepszej ceny za usługę.
Komputer zamiast samochodu-pułapki
Równie niebezpieczne, co pojedyncze kradzieże danych, stają się zorganizowane ataki na bezpieczeństwo informatyczne państw określane jako cyberterroryzm. "Zjawisko obecne w literaturze naukowej od początku lat 80. XX wieku, dziś rozpatrywane jest jako coraz bardziej niebezpieczne" - przekonuje dr Agnieszka Bógdał-Brzezińska z Instytutu Stosunków Międzynarodowych UW. Oznacza to, że filmy takie jak "Szklana pułapka 4.0", pokazujący atak terrorystów na krytyczną infrastrukturę IT w USA, bliższe są obecnie praktycznym zagrożeniom niż science fiction.
W opisywanym przez naukowców "mechanizmie ataku cybernetycznego" uwaga zwrócona jest przede wszystkim na strategiczne znaczenie telekomunikacji, systemów energetycznych czy zabezpieczeń dostępu do gazu ziemnego i ropy. Infrastruktura krytyczna państwa jest szczególnie narażona na atak cyberterrorystyczny. Dlatego też już obecnie powinna być chroniona z najwyższą starannością.
Tymczasem ograniczone możliwości kontroli globalnej sieci i postępująca informatyzacja państw powodują, że ryzyko wzrostu liczby ataków cyberterrorystycznych jest z dnia na dzień coraz większe. "Zamiast uderzać w niewinnych ludzi jak w przypadku samochodów-pułapek, cyberterroryści wolą sparaliżować wrogie państwo, poprzez atak na jego system informatyczny" - przestrzega Agnieszka Bógdał-Brzezińska.
Opracowany w ramach wspieranej przez Novell inicjatywy Bandit Project, selektor kart identyfikacyjnych DigitalMe, otrzymał nagrodę Stowarzyszenia Specjalistów ds. Ochrony Prywatności (IAPP) za innowacyjność w kategorii Technologia. DigitalMe to oprogramowanie open source, które pomaga użytkownikom w zarządzaniu "cyfrowymi kartami identyfikacyjnymi" stosowanymi przy transakcjach internetowych. IAPP to największe na świecie stowarzyszenie specjalistów ds. ochrony prywatności. Corocznie przyznaje nagrody w trzech kategoriach firmom i instytucjom, które dostosowują swoje organizacje do potrzeb ochrony prywatności.
Oryginalnie DigitalMe zostało opracowane przez członków projektu Bandit (http://www.bandit-project.org ), a następnie weszło w skład projektu Eclipse Higgins (http://www.eclipse.org/higgins ), z którego elementami ściśle współdziała. DigitalMe jest funkcjonalnym odpowiednikiem oprogramowania Microsoft Windows CardSpace, ale działa na platformach Macintosh i Linux. Dzięki zastosowaniu oprogramowania DigitalMe użytkownicy zyskują pełną kontrolę nad danymi osobowymi i mogą decydować, komu powierzają przechowywanie poufnych informacji oraz korzystać z witryn interaktywnych, m.in. o kontrolowanym dostępie uzależnianym od wieku lub innych kryteriów, bez potrzeby ujawniania swojej tożsamości.
Z kolei dostawcy danych identyfikacyjnych mogą wdrażać restrykcyjne metody weryfikacji tożsamości, gwarantując stronom korzystającym z ich usług wysoki stopień pewności, że dane osobowe używane do realizowania transakcji są pełne i dokładne. Wreszcie przedsiębiorstwa w wykorzystywanych serwisach sieciowych nie muszą bezpiecznie gromadzić i utrzymywać milionów danych identyfikacyjnych, co pozwala ograniczyć odpowiedzialność i koszty wiążące się z przechowywaniem danych osobowych. Mogą także zapewnić mobilnym pracownikom dostęp do usług oferowanych w ramach outsourcingu bez przekazywania za pośrednictwem Internetu firmowych danych uwierzytelniających.
