Malware, czyli koszmar przedsiębiorcy

Malware, czyli koszmar przedsiębiorcy

Boląca głowa, w którą wdziera się jak opętany dźwięk telefonicznego dzwonka. Sklejone snem oczy, za oknem ciemność, a przez neurony w mózgu leniwie rusza pierwszy impuls. Co się do licha ciężkiego dzieje? Gdy organizm po kilku sekundach jako tako dochodzi do siebie, zaczynasz rozpoznawać litery na wyświetlaczu smartfona. 3 w nocy, dzwoni Twój wspólnik, który w Waszej firmie odpowiada za IT. To chyba nie będzie radosna informacja...

Kto z Czytelników miał już takie sny? Niestety w dzisiejszych czasach cyberatak na firmę już od dawna wyszedł poza fantastykę hollywoodzkich filmowców – teraz zamiast zastanawiać się „czy zostanę zaatakowany” trzeba by raczej spytać „kiedy zostanę zaatakowany”, a nawet „od kiedy jestem atakowany”. Nie bez przyczyny przez ostatnie 11 lat publikacji Verizon Data Breach Investigation, najbardziej znanego raportu na świecie, dotyczącego bezpieczeństwa IT, liczba organizacji, które zdołały wykryć cyberatak w ciągu dni lub wcześniej nigdy nie przekroczyła 25 procent, a w wielu przypadkach wciąż mamy do czynienia z atakami, trwającymi tygodnie, miesiące lub (sic!) lata!

Postawmy się bowiem w sytuacji przestępcy. Zwykłego, nie cyber. Albo inaczej – w sytuacji niegrzecznego dziecka, które regularnie potrzebuje paru złotych na swoje fanaberie i woli pójść na łatwiznę, podbierając pieniądze z portfela ojca. Jaka jest szansa, że „ofiara” zauważy, gdy raz na jakiś czas zniknie mu kilka złotych? Na pewno znacznie mniejsza, niż wtedy, gdy właściciela zmieni stuzłotowy banknot! Tak samo jest przy włamaniu online, gdy złym ludziom nie zależy na szybkiej ucieczce z „fantami” – znacznie bardziej opłaca się im cichutko wemknąć się do naszej sieci i w nieregularnych odstępach wysyłać z niej po trochu kolejne kradzione dane.

„To jest wojna. Musicie zabijać albo nie przeżyjecie” – tak mówił swoim żołnierzom grany przez Bogusława Lindę mjr Edward Keller w „Demonach Wojny wg Goi” Władysława Pasikowskiego. W cyberprzestrzeni nie ma mowy o śmierci, ale rywalizacja jest nie mniej zacięta. Kiedyś faktycznie wystarczała instalacja antywirusa, teraz niestety w tej kwestii przestępcy znacznie wyprzedzili dobrych ludzi. Kilkadziesiąt – często nawet ponad 100 – tysięcy próbek malware’u dziennie to liczba absolutnie nie do przerobienia, tym bardziej, że gros wśród nich, to malware polimorficzny, przypominający nieco tradycyjne rosyjskie „matrioszki”, gdzie dopiero ostatni element, po wielokrotnym zdeszyfrowaniu, okazuje się być rozpoznawany jako złośliwy. Wtedy jednak przy tradycyjnym podejściu jest już za późno. Sam byłem takim „wirusem” 19 lat temu, gdy machając nieważną legitymacją dziennikarską, bez akredytacji, dostałem się na teren koncertu Michaela Jacksona na wielkim terenie lotniska na stołecznym Bemowie. Przy bramce udawałem kogoś, kim nie byłem, a potem mogłem robić, co mi się żywnie podobało.

Tymczasem, gdyby za pierwszą linią ochrony była kolejna, a potem jeszcze dodatkowo panowie wyłapujący w tłumie „gapowiczów”, można by powiedzieć, że już wtedy, gdy ludziom nie śniło się o polimorficznych wirusach, po raz pierwszy wprowadzono w życie usługę Malware Protection:

• wykrywającą nieznane, niebezpieczne pliki z zewnątrz sieci, uruchamiając je w wirtualnym, odizolowanym środowisku

o „A chodź pan tu i pokaż dokładnie tę legitymację!”

• blokującą transmisję znanych plików, zawierających niebezpieczne oprogramowanie

o „Dziennikarz dziennikarzem – a akredytacja gdzie? Żegnam pana!”

• nie dopuszczającą do komunikacji z infrastrukturą Command&Control

o Krzyknięcie „Ludzie, ratunku, bije!” nic by nie dało – i tak bym nie wszedł

Zabrakłoby jej może automatycznej informacji o wykryciu ataku i raportów, ale to pojawiło się dopiero w dzisiejszych czasach. Podobnie jak możliwość szczegółowej analizy złośliwego kodu (na osobistą nie dałbym się zabrać!), testowanie go na różnych systemach operacyjnych i w różnych konfiguracjach (w sumie do hali trudniej przemknąć się niezauważonym, niż na wielki otwarty teren), a nawet skanowania ruchu ze stacji roboczych pod kątem złośliwego kodu. A to wszystko po to, by opisany na początku koszmar mógł pozostać wyłącznie złym snem. Nie ma co się łudzić, że akurat nasze dane nie zainteresują cyberprzestępców – a takie przekonanie wciąż pokutuje wśród internautów. Każde wrażliwe dane da się sprzedać na czarnym rynku. Niech pierwszy rzuci kamieniem ten, kto w małej, czy nawet średniej firmie separuje od internetu sieci przetwarzające dane wrażliwe, szyfruje wszystkie dyski i ma pewność, że nikt z pracowników nie ma prostego hasła, nie pisze o życiu w firmie na portalach społecznościowych i na pewno nie da się złapać na mniej lub bardziej skomplikowany phishing. Niech pierwszy rzuci kamieniem ten, kto uważa, że Malware Protection absolutnie mu się nie przyda. Paru na pewno by się znalazło – oby pozostali nigdy nie doświadczyli takiej pobudki, jak opisana na wstępie.

Integrated Solutions to dostawca rozwiązań ICT, należący do Orange Polska. Firma wprowadziła pierwszą w Polsce usługę ochrony przed złośliwym oprogramowaniem, atakami APT i zero-day z chmury. Malware Protection wykorzystuje zasoby infrastrukturalne Orange, zlokalizowane na terenie Polski.