Cyberprzestępcy podążają za użytkownikami

Już dwie na trzy polskie firmy odnotowały ataki lub awarie, które spowodowały spadek produkcji. Co trzecia firma utraciła dane. Liczba takich przypadków będzie rosła, bo hakerzy biorą na cel najbardziej masowe technologie. Szybko reagują też na zmiany w firmowej architekturze.

Botnety w Polsce mają się dobrze

Polska zajmuje czwarte miejsce w regionie EMEA i ósme na świecie pod względem liczby komputerów-zombie, czyli kontrolowanych przez cyberprzestępców. Oznacza to, że komputery polskich użytkowników mogą służyć do wysyłania spamu na masową skalę, wyłudzania danych czy przeprowadzania ataków na inne cele w internecie.

Polska zajmuje 16 miejsce pod względem liczby zagrożeń komputerowych w rankingu obejmującym kraje całego świata. Biorąc pod uwagę jedynie państwa regionu EMEA (ang. Europe, Middle East, Africa - Europa, Bliski Wschód i Afryka), nasz kraj plasuje się w pierwszej dziesiątce, m.in. pod względem przechowywania stron wyłudzających dane (8 miejsce), pochodzenia spamu wysyłanego przez komputery-zombie (8 miejsce), a także ataków pochodzących bezpośrednio z internetu (10 miejsce).

Mimo wszystko bezpieczeństwo w naszym kraju się poprawia. W 2010 r. codziennie z polskich komputerów wysyłano ponad 2 mld niechcianych wiadomości dziennie, co stanowiło ponad 2% dystrybucji spamu na całym świecie. Prawie 4 na 5 wiadomości było wysyłanych za pomocą sieci botnet. Obecnie liczba wysyłanych wiadomości radykalnie spada, nasz kraj spadł z 5 na 8 miejsce w regionie w ciągu ostatnich dwóch lat. Ten pozytywny trend można częściowo tłumaczyć wzrastającą świadomością polskich użytkowników internetu.

Źródło: XVI edycja "Raportu o zagrożeniach bezpieczeństwa w Internecie" (Internet Security Threat Report) opublikowanego przez firmę Symantec

Aktualny krajobraz zagrożeń związanych z bezpieczeństwem teleinformatycznym zawiera zarówno zagrożenia znane od lat, takie jak wirusy, jak i nowe problemy oraz wyzwania, związane na przykład z platformami mobilnymi.

W pierwszym kwartale ubiegłego roku zaobserwowano prawdziwy wysyp złośliwego oprogramowania dla platform mobilnych. Jedną z przyczyn był radykalny wzrost sprzedaży smartfonów. Jej poziom po raz pierwszy przekroczył poziom sprzedaży pecetów. Dominującą platformą był Android. Ten trend utrzymał się w kolejnych okresach. Android nadal jest liderem rynku smartfonów. W zamierzeniu jego twórców ma być także główną platformą tabletów.

Cyberprzestępcy doskonale orientują się w rynkowych statystykach i przygotowują coraz więcej złośliwego oprogramowania dla Androida. Korzystają z tego, że istnieje możliwość instalacji oprogramowania spoza sklepu Google Play (do niedawna Android Market), a w samym sklepie z aplikacjami kontrola jest powierzchowna.

Zapobieganie atakom

Typowym sposobem wyłudzenia pieniędzy od posiadacza smartfonu jest wysyłanie wiadomości lub zestawianie połączeń z numerami usługowymi o podwyższonej opłacie. Ofiara najczęściej nie zdaje sobie sprawy z wyłudzenia, dopóki nie otrzyma billingu z wyszczególnioną podwyższoną opłatą. W firmach jest to jeszcze trudniej zauważyć, gdyż często przy opłatach nieprzekraczających założonych limitów nikt nie sprawdza wysyłanych wiadomości. Tym bardziej więc przy korzystaniu z tabletów i smartfonów w firmie należy wprowadzić rozwiązania, które utrudnią przestępcom zarówno infekcję, jak i kradzież pieniędzy.

Należy przede wszystkim stosować się do na następujących zasad:

- przeszkolić pracowników, by nie instalowali oprogramowania spoza Google Play i zachowali szczególną podejrzliwość przy instalowaniu aplikacji w ogóle;

- minimalizować ilość danych przechowywanych na smartfonach i tabletach, stosować do tego celu usługi wirtualizacji aplikacji i zdalne połączenia;

- zablokować u operatora telekomunikacyjnego połączenia oraz wiadomości o podwyższonych opłatach;

- skonfigurować korzystanie z transmisji GSM w taki sposób, by ruch przechodził przez APN firmy, gdzie można go filtrować na firmowych zaporach sieciowych i narzędziach kontroli ruchu;

- zablokować u operatora transmisję danych w roamingu międzynarodowym.

Wirusy, konie trojańskie, robaki

W pierwszym kwartale 2011 roku zauważono wyraźny wzrost liczby zgłoszeń złośliwego oprogramowania. Ta tendencja utrzymywała się do końca roku. Narzędzia firmy PandaLabs rejestrowały 55 tys. zgłoszeń dziennie w pierwszym kwartale 2011 r. i 63 tys. zgłoszeń dziennie w ostatnim kwartale. Średnia wyniosła 73 tys. próbek złośliwego kodu dziennie za cały rok 2011 (jedno zgłoszenie może zawierać kilka próbek). Na początku roku 2012 odnotowano dalszy wzrost ataków. Każdego dnia rejestrowano średnio 195,5 tys. plików do analizy, z czego 37,4% było związanych z nowymi zagrożeniami.

Nie zmienia się również trend związany z metodą infekcji komputerów. Nadal stosowana jest technologia drive-by download, w której ściągnięty z internetu składnik omija firmowe zabezpieczenia, a następnie pobiera z innych serwerów i uruchamia kolejne składniki, by z nich utworzyć kod złośliwego oprogramowania. Jest to skuteczna metoda infekcji, zatem infektorów klasy downloader, korzystających z technologii drive-by, będzie coraz więcej. Zmniejsza się natomiast udział fałszywego oprogramowania - antywirusowego i innych rodzajów, określanego wspólnie nazwą rogueware. Prawdopodobną przyczyną tej sytuacji są coraz lepsze mechanizmy ochrony firm przed złośliwym kodem. Program antywirusowy, z dobrym mechanizmem analizy kodu, stał się już standardem. Taktyka ochrony przed złośliwym oprogramowaniem nie zmieniła się w ciągu ostatnich dwóch lat i działania ochronne zaczynają przynosić rezultaty.

Do wymienianych przez ekspertów najbardziej efektywnych środków zaradczych należą:

- wprowadzenie polityki zarządzania podatnościami i aktualizacjami w organizacji, razem z niezbędnymi narzędziami;

- utrzymywanie aktualności nie tylko systemów operacyjnych, przeglądarek internetowych, ale także wtyczek, takich jak Flash (jeśli nie jest niezbędna dla celów biznesowych, można całkowicie odinstalować Javę);

- wprowadzenie mechanizmów filtrowania ruchu sieciowego na poziomie aplikacji;

- wdrożenie narzędzi klasyfikacji przeglądanych zasobów, z ostrymi kryteriami dostępności do stron niezdefiniowanych jako bezpieczne;

- zablokowanie całego wychodzącego ruchu SSL poza określonym jako bezpieczny;

- wdrożenie inspekcji wychodzącego ruchu SSL;

- wprowadzenie kontroli poczty elektronicznej i ochrony antyspamowej;

- przyjęcie zasady zerowego zaufania do obiektów przesyłanych pocztą elektroniczną oraz pobieranych z internetu;

- dostęp do krytycznych zasobów firmy możliwy tylko z wykorzystaniem narzędzi minimalizujących ryzyko infekcji - na przykład za pomocą usług terminalowych czy wirtualizacji aplikacji;

- dostęp zdalny musi być chroniony za pomocą dwuskładnikowego uwierzytelnienia.

Nie hostować złośliwego oprogramowania

Aby cyberprzestępcy mogli dostarczyć złośliwe oprogramowanie, musi ono być gdzieś hostowane. Najczęściej wykorzystują do tego wynajętą, obojętną stronę, w której między zwykłymi katalogami znajdują się podejrzane pliki, albo przeprowadzają infekcję z legalnie istniejącej strony, obdarzonej dobrą reputacją. Metoda druga jest skuteczna, gdyż do czasu rozpowszechnienia się infekcji narzędzia ochronne bazujące na ocenie reputacji rzadko interweniują. Do umieszczenia plików złośliwego oprogramowania niezbędne jest wykorzystanie jakiejś podatności na stronie www. Najczęściej jest to SQL Injection lub XSS (cross-site scripting). Następnie minimalnie zmieniana jest treść publikowanej strony. Wprowadzona w wybranym miejscu ramka IFRAME jest niewidoczna dla użytkownika, ale zawiera odnośnik do eksploita, który zainstaluje złośliwe oprogramowanie na komputerze ofiary.

Taktyka przejęcia kontroli nad firmową stroną przynosi efekty, dlatego organizacje powinny dbać o integralność swojego serwisu webowego. W tym celu należy:

- zadbać o aktualność i poprawną konfigurację oprogramowania serwera webowego; jeśli organizacja korzysta z usługi świadczonej przez zewnętrzny podmiot, zapis o zarządzaniu podatnościami musi znaleźć się w umowie o hostingu;

- wdrożyć na serwerze oprogramowanie do kontroli spójności plików;

- chronić serwer za pomocą standardowych rozwiązań, takich jak IDS/IPS;

- wdrożyć procedury audytu podatności oprogramowania; kontrole muszą być regularnie przeprowadzane przez podmiot zewnętrzny.

Sieci społecznościowe

Odkąd Facebook stał się liderem sieci społecznościowych i medium wymiany informacji, konkurującym nawet z pocztą elektroniczną, przestępcy zaczęli wykorzystywać ten portal w każdy możliwy sposób. Powstaje mnóstwo aplikacji, które zachęcają do udziału w ankietach lub grach, w których nagrodą jest możliwość losowania jakiejś nagrody. Niektóre aplikacje wymagają podania numeru telefonu i subskrypcji usług premium rate, inne z kolei prowadzą do instalacji złośliwego oprogramowania na stacjach roboczych.

Na takie zagrożenie firmy muszą odpowiedzieć filtrowaniem treści, stosując do tego dedykowane narzędzia, które potrafią analizować zachowanie webowych aplikacji i wprowadzać odpowiednie restrykcje na poziomie warstwy aplikacyjnej. Tego nie potrafią ani zwykłe zapory sieciowe, ani typowe narzędzia filtrowania treści, gdyż nie do tego zostały przygotowane.

Zjawisko złośliwych aplikacji rozpowszechnianych w całości w sieciach społecznościowych jest nowe - powstało w ciągu ostatnich dwóch lat. Z tego względu na rynku nie ma wielu narzędzi do zmniejszenia ryzyka ataku tą drogą. Poprzedni rok był o tyle dobry dla polskich internautów, że liczba złośliwych aplikacji w sieciach społecznościowych, dysponujących polskojęzycznym interfejsem, była jeszcze niewielka. Można jednak spodziewać się szybkiej lokalizacji tych aplikacji, przez co zagrożenie użytkowników Facebooka w Polsce wzrośnie.

Polski sektor MSP: jest przeciętnie

Najpopularniejsze sposoby ochrony danych wśród polskich przedsiębiorstw z sektora MSP to korzystanie z programu antywirusowego i zapory ogniowej oraz tworzenie kopii zapasowych. Zaledwie kilkanaście procent firm decyduje się na wdrożenie oprogramowania zabezpieczającego przed wyciekami danych lub szyfrującego dane.

Przedsiębiorcy walczą też ze spamem. Niemal 7 na 10 badanych firm zaopatruje się w rozwiązania chroniące przed niechcianymi wiadomościami. Znacznie mniej popularne są inne narzędzia do zabezpieczania danych, np. filtrowanie treści czy archiwizacja wiadomości. Prawdopodobną przyczyną działań antyspamowych jest dokuczliwość zalewu niechcianych wiadomości, wymagających niezwłocznej interwencji.

Gorzej wypada świadomość konieczności ochrony danych. Prawie 60% pracowników badanych polskich firm wynosi dane z firmy bez zgody pracodawcy.

Przedsiębiorcy zapytani o cechy, które decydują o wyborze rozwiązania ochronnego, najczęściej wymieniają jego skuteczność i cenę (85% i 61%). Nie bez znaczenia pozostają również możliwość wcześniejszego przetestowania rozwiązania we własnym środowisku (45%) oraz opinie innych specjalistów (44%).

Przedstawiciele firm przyznają, że padli ofiarą ataków lub awarii. Najczęściej kończyły się one spadkami produktywności (wstrzymana praca systemu lub pracowników - 66%) oraz utratą informacji (37%). Jedna firma na dziesięć nie ukrywa, że wskutek awarii lub ataku straciła zaufanie klientów. Co warte uwagi, jako najczęstsze powody awarii wymieniane są błędy pracowników(37%), a następnie błędy w systemach operacyjnych (26%) oraz wpływ destrukcyjnego kodu (wirusy, robaki, konie trojańskie - 24%). Jednocześnie aż 7 na 10 respondentów utrzymuje, że nowi pracownicy otrzymują informacje dotyczące zasad bezpieczeństwa w firmie lub wręcz są z nich szkoleni.

Za zapewnienie bezpieczeństwa środowiska informatycznego w badanych firmach odpowiadają przede wszystkim administratorzy IT (56%), ale również bezpośrednio właściciele, dyrektorzy zarządzający lub szeroko pojęte kierownictwo (38%). Decyzję o zakupie konkretnego narzędzia podejmuje menedżer IT (47%) lub właściciel firmy (38%).

Źródło: badanie na próbie 200 polskich przedsiębiorstw z sektora MSP przeprowadzone przez Symantec Polska w październiku i listopadzie 2010 r. metodą ankietową

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200