Cyberpogoń za pieniędzmi

W starszych analizach bezpieczeństwa IT typowym zagrożeniem były wirusy komputerowe, zaś ich typowym twórcą był nastoletni pasjonat. Ta epoka minęła bezpowrotnie.

W starszych analizach bezpieczeństwa IT typowym zagrożeniem były wirusy komputerowe, zaś ich typowym twórcą był nastoletni pasjonat. Ta epoka minęła bezpowrotnie.

Obecnie niemal wszystkie ataki są związane z działalnością komercyjną. Bardzo dobrym przykładem ewolucji w tej dziedzinie jest zjawisko masowej, nie zamawianej reklamy pocztą elektroniczną - czyli powszechny i tak dokuczliwy spam. Do jego rozsyłania wykorzystuje się sieci przejętych komputerów z systemem Windows botnet - najczęściej domowych lub zainstalowanych w małych firmach. Mechanizm działania sieci botnet jest prosty, przestępcy instalują swoje oprogramowanie na wielu komputerach bez wiedzy użytkowników i za pomocą tego programu rozsyłają spam. W celu szybkiego i masowego zarażania coraz to nowych maszyn, wykorzystują luki w bezpieczeństwie powszechnie używanych systemów i przeglądarek.

Ponieważ bardzo duży odsetek komputerów nie ma zainstalowanych odpowiednich poprawek producenta, proces ten jest łatwy i w pewnych przypadkach całkowicie automatyczny. Znane były przypadki infekcji systemu Windows zaraz po instalacji, jeśli był on bezpośrednio połączony z Internetem, bez pośrednictwa zapory sieciowej. Przestępcom pomaga powszechne piractwo komputerowe, bowiem nielegalny system rzadko podlega aktualizacji. Nie jest chroniony przez programy antywirusowe czy narzędzie takie jak Microsoft MSRT (do usuwania złośliwego oprogramowania), które miało swój wkład w zmniejszenie aktywności botnetu nazwanego Storm. Obecnie gros spamu pochodzi właśnie z takich sieci, historycznie najskuteczniejsza w stosunku do wielkości była wspomniana sieć Storm, wysyłająca w okresie szczytowym ok. 20% spamu. Obecnie jedna z takich sieci (Srizbi) wysyła więcej wiadomości niż pozostałe razem wzięte i jest odpowiedzialna za rozsyłanie niemalże połowy wszystkich niepożądanych wiadomości w ogóle. Gdy tak duża sieć, obejmująca ponad 300 tys. komputerów wysyła przeciętnie 60 mld wiadomości dziennie, można mówić o prawdziwej powodzi spamu.

Spam jest zjawiskiem komercyjnym, jest to jeden z kanałów reklamy, który przynosi spore dochody reklamodawcom. Jest znacznie tańszy od innych kanałów, w wielu przypadkach może być personalizowany i można stosunkowo łatwo śledzić jego skuteczność za pomocą odpowiednio osadzanych obiektów i linków. Ponadto może reklamować produkty, których reklama innymi drogami nie byłaby możliwa (np. podróbki przedmiotów, a także nierejestrowane medykamenty). Regulacje prawne działają tylko w obrębie jednego kraju lub organizacji krajów, zaś Internet nie przywiązuje spamera do konkretnej lokalizacji, zatem gangi spamerskie są niemalże bezkarne. Nie należy oczekiwać zatamowania powodzi spamu tylko za pomocą regulacji prawnych czy prostych środków technicznych.

Prawie jak pieniądze

4 %

spamu jest wysyłane z komputerów w Polsce, według statystyki Marshal 2008 r.

Drugim co do popularności atakiem jest masowa kradzież danych w celu zarobkowym. Najbardziej poszukiwane są informacje o transakcjach przy użyciu kart płatniczych, umożliwiające zdalną transakcję przez Internet na cudzy koszt. W założeniach cyberprzestępców jest to "czysty zysk", zatem do pozyskania takich informacji używane są zaawansowane środki. Stosuje się cały arsenał oprogramowania szpiegowskiego, rozsyła sfałszowane wiadomości e-mail, a także używa się socjotechniki dla podwyższenia skuteczności ataku.

Informacje mogą pochodzić z różnych źródeł, zdarzały się nawet włamania na stacje robocze lub serwery w niektórych bankach, sklepach internetowych albo kradzieże komputerów przenośnych. Sklep internetowy wydaje się dość dobrym celem, bowiem zazwyczaj posiada znacznie słabsze zabezpieczenia niż bank internetowy, ponadto włamanie dostarcza przestępcy duże ilości cennych danych autoryzacyjnych od razu. W przypadku polskich sklepów, przyjęty model autoryzacji kart za pomocą odwołania do strony centrum autoryzacyjnego jest o wiele bezpieczniejszy niż pobieranie danych od klienta przez serwer sklepu. Od autoryzacji za pomocą kart płatniczych jeszcze lepsze są systemy szybkich przelewów, takie jak mTransfer, Multitransfer czy Płacę z Inteligo, gdyż płatność odbywa się za pomocą serwisu banku internetowego, z użyciem dwustopniowego uwierzytelnienia. Dane kart płatniczych nie ulegają w ogóle ujawnieniu.

Oprócz informacji o kartach płatniczych, przestępcy wykorzystują słabość zabezpieczeń niektórych banków internetowych. Chociaż w Polsce niemal wszystkie banki posiadają w standardzie dwustopniowe uwierzytelnienie, są kraje, w których nie jest to regułą. Gdy bank uwierzytelnia klienta tylko za pomocą loginu i hasła (albo nawet numeru karty i kodu PIN - były takie przypadki), oprogramowanie szpiegujące (np. keylogger) zainstalowane na zainfekowanej stacji roboczej może wystarczyć do pozyskania wszystkich niezbędnych danych, a następnie wykonania przelewu z konta ofiary. Ponieważ w grę wchodzą znaczne pieniądze, przestępcom opłaca się przygotowywać dedykowane oprogramowanie. Przykładem był wirus zawierający program spyware, który co pewien czas dokonywał zrzutu ekranu małego obszaru znajdującego się pod kursorem myszki. Atak był kierowany przeciwko klientom jednego z brazylijskich banków, wykorzystującego wyświetlaną klawiaturę ekranową.

Kradzież może dotyczyć nie tylko danych finansowych, gdyż na czarnym rynku w cenie są także dane osobowe. Posiadanie informacji, które posłużą do wytworzenia podrobionych dokumentów, dających później możliwość wzięcia kredytu, jest warte znacznie więcej niż wiedza o karcie płatniczej. Można sprzedać także dane medyczne albo historyczne wyciągi bankowe. Zainteresowane nimi są na przykład firmy ubezpieczeniowe.

Zabezpiecz własną firmę

Stan bezpieczeństwa komputerów w Polsce jest naprawdę zły. Ma to swoje odzwierciedlenie w statystykach wysyłanego spamu - Polska zajmuje niechlubne piąte miejsce na świecie i jest odpowiedzialna za ok. 4% spamu wysyłanego ogółem przez botnety. Należy pamiętać, że podstawowym narzędziem jest program antywirusowy z modułem HIPS, zaś połączenia między komputerami w sieci lokalnej a Internetem muszą być kontrolowane za pomocą zapory sieciowej z IPS. Wykrycie infekcji może ułatwić nawet tak prosty zabieg, jak zablokowanie na zaporze połączeń na port 25, poza tymi, które są niezbędne do wysłania poczty elektronicznej. Jeśli w sieci lokalnej jest serwer poczty elektronicznej, należy zaporę skonfigurować tak, by tylko on mógł wysyłać e-maile. Na takim serwerze powinien pracować program antywirusowy, ponadto należy monitorować jego aktywność. W niektórych urządzeniach IPS (np. 3Com/TippingPoint z serii X) jest już gotowa opcja detekcji i prewencji ruchu generowanego przez spyware - wystarczy ją włączyć. Bardzo proste w konfiguracji są także zapory firmy SonicWall, które dobrze radzą sobie z blokowaniem niepożądanego ruchu także w niewielkich firmach. Blokowanie połączeń i monitorowanie ruchu posłuży za bardzo dobry sygnał alarmowy w razie infekcji, i zalecają to wszyscy producenci urządzeń sieciowych.

Dane jako zakładnicy

Przykładem zarobkowania za pomocą ataków jest wirus Gpcode, który szyfruje dane użytkownika przy użyciu klucza RSA. Wirus ten po infekcji wybiera pliki użytkownika i szyfruje je za pomocą mocnego algorytmu z kluczem o długości 1024 bit. Następnie niszczy oryginalne pliki i umieszcza informację o tym, że oprogramowanie do deszyfrowania można kupić. Skoro twórcy zdecydowali się na tak zaawansowane rozwiązania, ich działalność musi być dochodowa. Ten wirus bardzo dobrze wpisuje się w trend wykorzystania złośliwego kodu dla celów komercyjnych.

Krótka historia zjawiska na przykładzie spamu

Proces komercjalizacji ataków następował powoli, razem z postępującym zalewem spamu. W 2000 r. do ochrony przed spamem wystarczały proste filtry stosujące tak zwane wyrażenia regularne, czyli rodzaj wieloznaczników, zastępujących konkretne frazy. W tym czasie do rozsyłania spamu wykorzystywano serwery poczty elektronicznej, które nie wymagały uwierzytelnienia przy wysyłaniu wiadomości i umożliwiały niekontrolowane rozsyłanie e-maili na dowolne adresy (tzw. serwery open-relay). Do odfiltrowania spamu wystarczyło uzupełnienie konfiguracji typowego serwera poczty elektronicznej opcjami blokowania połączeń z tych serwerów. Listy serwerów open-relay były tak sprawnym narzędziem, że spamerzy zastosowali nową taktykę - szybko rejestrowane domeny z fałszywym serwerem poczty elektronicznej.

Gdy to nie pomogło, zaimplementowali własne motory SMTP rozsiane po wielu komputerach w wielu domenach. Za pierwszy lawinowy wzrost ilości spamu jest odpowiedzialna właśnie ta technologia - wyposażenie programów rozsyłających spam we własny motor SMTP. W tym czasie pojawiły się już pierwsze wirusy, które służyły do rozsyłania spamu, ale nie było to jeszcze zjawisko masowe. W tym czasie filtry bazujące na prostej analizie treści całkiem nieźle radziły sobie z odfiltrowywaniem spamu, powszechnie stosowano też dodatkowe opcje konfiguracji serwerów (takie jak tar-pitting, utrudniający spamerom rozsyłanie wiadomości o wielu odbiorcach oraz proste listy RBL, odcinające najpopularniejsze domeny spamerskie).

Następujący zaraz potem pojedynek między spamerami oraz systemami filtrowania niepożądanej poczty wydawał się trudny do rozstrzygnięcia. Pojawiły się spamy obrazkowe, wykorzystujące osadzane obrazki, z nimi zaczęto walczyć za pomocą technik, takich jak fuzzy OCR czy filtry bazujące na reputacji nadawcy. Pojawiły się także wiadomości zawierające pliki PDF albo pliki ZIP zapisane z hasłem. Do otwarcia pliku wymagana była interwencja użytkownika, zatem spamerzy zaczęli wykorzystywać powszechnie socjotechnikę. Prawdziwy nawał spamu zaczął nękać skrzynki poczty elektronicznej, gdy spamerzy rozpoczęli masowo budować sieci przejętych komputerów, tworząc botnety. Za ich pomocą rozsyłanie spamu bardzo przybrało na sile. Proces ten trwa do dziś.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200