Sieciowa walka trwa

Zdrowy rozsądek, współpraca i dobre rozpoznanie atakującego pomagają zwalczać cyberzagrożenia.

Cyberprzestępcy wymieniają się informacji przez cały czas. Na jednym forum potrafi przesiadywać 10 tys. (!) największych spamerów w światowym Internecie. Do podobnego celu dążymy także i my, ale w zakresie walki z cyberprzestępcami.

Richard Perlotto, założyciel i jeden z dyrektorów ShadowServer Foundation

Podnoszenie poziomu bezpieczeństwa w światowym Internecie to misja ShadowServer Foundation. Ta słynna organizacja non profit - powstała w 2004 r. - skupia ochotników zajmujących się śledzeniem aktywności botnetów, rozprzestrzenianiem malware i innych typów sieciowych zagrożeń. Zdobytymi informacjami dzielą się ze wszystkimi zainteresowanymi. "Trzymanie takich danych dla siebie nie przynosi nikomu pożytku. Chcemy przełamywać opór i przekonywać, że dzielenie się jest O.K. Niech firmy wymieniają informacje na temat sieciowych zagrożeń" - mówi Richard Perlotto, założyciel i jeden z dyrektorów ShadowServer Foundation. Dla porównania, cyberprzestępcy wymieniają się informacjami przez cały czas. Na jednym forum potrafi przesiadywać 10 tys. (!) największych spamerów w światowym Internecie. "A gdzie jest takie forum dla 10 tys. firm" - pyta retorycznie.

ShadowServer zebrane przez siebie informacje przekazuje krajowym ośrodkom CERT, uniwersytetom, firmom i dostawcom Internetu. "Każdy kraj powinien mieć skuteczny CERT, a nie jest to regułą. Skuteczny, czyli potrafiący wpływać na innych uczestników sieciowego ruchu" - uważa Richard Perlotto. Przykładem świeci Finlandia, w której CERT ma umocowanie w administracji centralnej. "Nie wystarczy zapewnić sobie ochrony i obrony przez atakiem. Trzeba być pewnym, że samemu nie jest się atakującym - zarażając innych - poprzez zainfekowane komputery we własnych sieciach" - zwraca uwagę Richard Perlotto i apeluje, aby stosować zabezpieczenia przed infekcją i narzędzia do jej zwalczania i izolowania, aby nie wydostały się poza wewnętrzne zasoby.

Zdrowy rozsądek

Ideę wymiany informacji popiera także Gavin Reid, szef działu Computer Security Incident Response w Cisco. Ale trzeba pamiętać, że ujawnienie wszystkich informacji o ataku sprawi, że atakujący już drugi raz z niego nie skorzysta i wówczas tracimy nad nim przewagę. "Każdy, kto posiada cenne dane, jest lub będzie celem ataku. Może być tego świadomy lub nie zdawać sobie z tego sprawy. Oczywiście, warto być w tej pierwszej grupie. Ujawnione do tej pory informacje pokazują, że ataki prowadzone są naprawdę na szeroką skalę" - mówi Gavin Reid. Cisco notuje tygodniowo ok. 150 ataków na swoją sieć i pracowników.

Jak działać na rzecz podnoszenia bezpieczeństwa, jeżeli ofiarą włamania pada firma specjalizująca się w bezpieczeństwie jak RSA? "Ostatnie wydarzenia pokazują, że w zbyt dużym stopniu bezpieczeństwo zależało od narzędzi IT. Potrzebni są jeszcze naprawdę utalentowani ludzie, którzy znają naturę sieci, systemów operacyjnych, aplikacji. Pominięcie ich było błędem. Nie można zaufać wyłącznie czarodziejskiej skrzynce w sieci, która w magiczny sposób sprawi, że będzie bezpiecznie. Dopiero połączenie doświadczenia specjalistów i faktyczne wykorzystanie wielu dostępnych narzędzi jak proxy, netflow, ids jest szansą na sukces" - wylicza Gavin Reid. Zachęca też do zdroworozsądkowego podejścia do bezpieczeństwa. "Jak w życiu codziennym - chronimy przede wszystkim nasz portfel. Należy odpowiedzieć sobie na pytanie, czym jest taki portfel w przedsiębiorstwie i jakie mam środki do jego ochrony i kontroli. I mieć świadomość, że nie wszyscy użytkownicy naszej sieci mają dobre intencje" - podkreśla Gavin Reid.

Przerośnięte cyberego

Intencje i pobudki cyberprzestępców stara się rozszyfrować Brian Krebs, wcześniej reporter Washington Post, dziś niezależny dziennikarz i właściciel Krebs on Security. Wyniki dziennikarskich dochodzeń publikuje na krebsonsecurity.com. " Jestem zaskoczony, że ludzie zajmujący się bezpieczeństwem nie przywiązują wagi do tego, kto stoi za atakami. Zajmują się malware, botnetami, ale kiedy spytasz ich: kto to robi? Odpowiadają: nie mam pojęcia, nie dbam o to" - mówi. Na podstawie własnych obserwacji kuje tezę, że cyberprzestępcy czy spamerzy wywodzą się z pornograficznego podziemia Internetu - miejsca wymiany tych treści. Ten obszar "zainteresowań" miał ogromne znaczenie dla rozwoju Internetu, podobnie jak kiedyś dla rynku magnetowidów.

Brian Krebs obrał sobie na reporterski cel cyberprzestępców z Europy Środkowo-Wschodniej i Rosji. Dla jego osiągnięcia zdecydował się nauczyć rosyjskiego w stopniu pozwalającym na swobodne eksplorowanie stron internetowych skupiających przestępcze podziemie. "Dlaczego Rosjanie? Są zdolni i dobrze wykształceni" - uważa. Wystąpienie podczas Secure 2011 poświęcił historii dwóch czołowych rosyjskich spamerów, którzy wspólnie rozkręcali przestępcze interesy, a później zaczęli zaciekle się zwalczać. Jedną z metod było podsyłanie do Briana Krebsa materiałów obciążających przeciwnika. Dramaturgii tej opowieści może pozazdrościć niejedna literacka fikcja - duże pieniądze, technologia, policja, służby specjalne, korupcja i wysokie kręgi rosyjskiej polityki. Warto przeczytać szczegóły na witrynie Briana Krebsa w zakładce Pharma Wars. Historia wciąż się rozwija. Największe gwiazdy tego biznesu to ludzie z przerośniętym ego, zafascynowani szybkimi i dużymi pieniędzmi, które wydają na wystawne życie. Choć nie dotyczy to oczywiście wszystkich. Ci najbardziej przebiegli cenią sobie ciszę i dyskrecję. "Cyberprzestępczość będzie przybierać na sile. Obniżyła się bariera wejścia w ten biznes. Cyberprzestępcą można zostać na zasadzie franczyzy - wynająć botnet czy zainfekowane witryny. Umożliwiające to platformy powstały już wcześniej i ten <<zły>> know-how odpowiednio się upowszechnił" - twierdzi Brian Krebs.

Computerworld był patronem konferencji Secure 2011 organizowanej przez NASK.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200