Pułapki w cyfrowej dżungli

Eksperci alarmują, że pomimo stosowania lepszych zabezpieczeń, coraz łatwiej jest ukraść tożsamość w Internecie, a cyberterroryzm to realne zagrożenie, które przestaje być tematem filmów science fiction.

Eksperci alarmują, że pomimo stosowania lepszych zabezpieczeń, coraz łatwiej jest ukraść tożsamość w Internecie, a cyberterroryzm to realne zagrożenie, które przestaje być tematem filmów science fiction.

Wraz ze wzrostem liczby transakcji dokonywanych w Internecie - operacji bankowych, zakupu akcji, jednostek funduszy inwestycyjnych, biletów na samolot czy nawet artykułów spożywczych - wzrasta skala zagrożeń. Mimo nieustannie doskonalonych zabezpieczeń kluczowym elementem systemu pozostaje rozwaga użytkowników. Ale jednocześnie profesjonalni włamywacze stworzyli już własny rynek produktów hakerskich, które są dostępne praktycznie dla każdego, kto chce uzyskać jakieś bezpośrednie lub pośrednie korzyści, wykorzystując luki i niedoskonałości zabezpieczeń systemów IT. Zagrożenia te dotyczą nie tylko użytkowników indywidualnych lub przedsiębiorstw wykorzystujących Internet w celach biznesowych, ale również państw, które już obecnie całkiem realnie mogą być narażone na ataki cyberterrorystyczne.

Choć Polska wydaje się mniej zagrożona niż wysoko rozwinięte państwa mające znacznie bardziej nowoczesną i rozwiniętą infrastrukturę telekomunikacyjną i informatyczną, to jak wynika z raportu opublikowanego przez Symantec, na przestrzeni ostatnich lat znaleźliśmy się w czołówce wśród krajów regionu EMEA (Europa, Bliski Wschód i Afryka) notujących największą liczbę różnego rodzaju ataków hakerskich.

Polska w czołówce

Pułapki w cyfrowej dżungli

Mirosław Maj, ekspert w CERT/NASK

W opublikowanym niedawno raporcie Symantec poświęconym regionowi Europy, Bliskiego Wschodu i Afryki, Polska zajmuje pierwsze miejsce pod względem liczby wiadomości określanych jako spam. Zajmujemy też drugie miejsce pod względem liczby komputerów zombie, czyli maszyn zainfekowanych bez wiedzy użytkownika przez szkodliwe oprogramowanie, które umożliwia rozsyłanie wirusów do kolejnych komputerów lub efektywne prowadzenie zmasowanych ataków DDoS (Distributed Denial of Service). Oprócz tego, aż 11% destrukcyjnej aktywności użytkowników Internetu w przebadanym regionie przypada właśnie na Polskę - twierdzą autorzy raportu.

Raport Symantec nie jest jedynym dokumentem, który skłania do poważnego zastanowienia się nad zagrożeniami związanymi z ochroną tożsamości. Według innego raportu "Bezpieczeństwo danych a zawartość śmietników" opracowanego przez Annę Macyszyn-Wilk z Uniwersytetu Wrocławskiego istnieje ścisły związek między przestępczością internetową a na przykład dbałością o niszczenie wyrzucanych dokumentów. Badania przeprowadzone we wrześniu br. na warszawskich wysypiskach dowodzą, że użytkownicy kont w systemach bankowości internetowej nie dbają należycie o ochronę na przykład kodów jednorazowych. Według raportu, badacze spotykali na wysypiskach nie tylko karty z kodami, ale również towarzyszące im dokumenty z umowami i wydrukami transakcji. Czy wynikające stąd zagrożenia można przypisać niedoskonałościom zabezpieczeń systemów IT?

Czarny rynek

Orientacyjny cennik usług hakerskich
  • Pierwsze 10 minut ataku DDoS - bezpłatne
  • 10 mln adresów poczty elektronicznej - ok. 100 euro
  • Wysłanie 20 mln listów reklamowych - ok. 350 euro
  • Atak typu Distributed Denial of Service - kilkaset euro
  • Zaprojektowanie nowego wirusa, robaka lub konia trojańskiego - kilkadziesiąt tysięcy euro
  • Program dedykowany do ataku na konkretny system IT - kilkadziesiąt tysięcy euro
Eksperci z G DATA Security Labs przeprowadzili niedawno globalne badania mające na celu oszacowanie opłat pobieranych za usługi świadczone przez profesjonalnych cyberprzestępców. Wyniki badań były wielkim zaskoczeniem. Okazało się bowiem, że ceny są obecnie zaskakująco niskie i wyjątkowo przystępne. Przykładowo zlecenie ataku typu DDoS, czyli ataku na system komputerowy przeprowadzany równocześnie z wielu komputerów czy rozesłania milionów wiadomości spam wiąże się z wydaniem przez zamawiającego zaledwie kilkuset euro. Wysłanie 20 mln listów reklamowych można zamówić już za 350 euro. Pakiet startowy, umożliwiający wysyłanie własnych e-maili i baza 5 mln adresów kosztują ok. 140 euro.

Na czarnym rynku kwitnie także handel adresami poczty elektronicznej. 10 mln adresów e-mail wycenia się zazwyczaj na 100 euro. Zarabiać można także na kontach w Paypal, grach internetowych oraz oczywiście sprzedaży danych dotyczących kart kredytowych. Przykładowo konto gry World Of Warcraft kosztuje ok. 6 euro. Internetowi przestępcy często oferują także pakiety usług. Zawierają one np. usługi ataku DDoS paraliżującego serwery konkurencji, a jednocześnie rozsyłanie wiadomości spamowych. Co ciekawe, pierwsze 10 minut ataku DDoS jest bardzo często bezpłatne dla zamawiającego. Ma jedynie przekonać o skuteczności dostawcy tej usługi.

Chociaż dla zamawiającego rozesłanie dużych ilości spamu to usługa niedroga, pozwala jednak hakerom na zarabianie dużych pieniędzy, bo rynek nabrał charakteru masowego. Podobnie jest w przypadku handlowania kontami oraz adresami e-mail. Za jednorazową usługę więcej mogą oczywiście zarobić twórcy wirusów, robaków lub koni trojańskich. Ich wynagrodzenie za realizację zleconego projektu sięga dziesiątek tysięcy euro. Największe pieniądze trzeba zapłacić za luki bezpieczeństwa oraz programy dedykowane do konkretnych zadań, na przykład do ataków na określone, zdefiniowane przez zamawiającego systemy IT. Cena za taką usługę może wynosić nawet kilkadziesiąt tysięcy euro. W Internecie istnieją również specjalne serwisy aukcyjne umożliwiające uzyskanie najlepszej ceny za usługę.

Komputer zamiast samochodu-pułapki

Równie niebezpieczne, co pojedyncze kradzieże danych, stają się zorganizowane ataki na bezpieczeństwo informatyczne państw określane jako cyberterroryzm. "Zjawisko obecne w literaturze naukowej od początku lat 80. XX wieku, dziś rozpatrywane jest jako coraz bardziej niebezpieczne" - przekonuje dr Agnieszka Bógdał-Brzezińska z Instytutu Stosunków Międzynarodowych UW. Oznacza to, że filmy takie jak "Szklana pułapka 4.0", pokazujący atak terrorystów na krytyczną infrastrukturę IT w USA, bliższe są obecnie praktycznym zagrożeniom niż science fiction.

W opisywanym przez naukowców "mechanizmie ataku cybernetycznego" uwaga zwrócona jest przede wszystkim na strategiczne znaczenie telekomunikacji, systemów energetycznych czy zabezpieczeń dostępu do gazu ziemnego i ropy. Infrastruktura krytyczna państwa jest szczególnie narażona na atak cyberterrorystyczny. Dlatego też już obecnie powinna być chroniona z najwyższą starannością.

Tymczasem ograniczone możliwości kontroli globalnej sieci i postępująca informatyzacja państw powodują, że ryzyko wzrostu liczby ataków cyberterrorystycznych jest z dnia na dzień coraz większe. "Zamiast uderzać w niewinnych ludzi jak w przypadku samochodów-pułapek, cyberterroryści wolą sparaliżować wrogie państwo, poprzez atak na jego system informatyczny" - przestrzega Agnieszka Bógdał-Brzezińska.

Cyfrowe ego w wersji open source

Opracowany w ramach wspieranej przez Novell inicjatywy Bandit Project, selektor kart identyfikacyjnych DigitalMe, otrzymał nagrodę Stowarzyszenia Specjalistów ds. Ochrony Prywatności (IAPP) za innowacyjność w kategorii Technologia. DigitalMe to oprogramowanie open source, które pomaga użytkownikom w zarządzaniu "cyfrowymi kartami identyfikacyjnymi" stosowanymi przy transakcjach internetowych. IAPP to największe na świecie stowarzyszenie specjalistów ds. ochrony prywatności. Corocznie przyznaje nagrody w trzech kategoriach firmom i instytucjom, które dostosowują swoje organizacje do potrzeb ochrony prywatności.

Oryginalnie DigitalMe zostało opracowane przez członków projektu Bandit (http://www.bandit-project.org ), a następnie weszło w skład projektu Eclipse Higgins (http://www.eclipse.org/higgins ), z którego elementami ściśle współdziała. DigitalMe jest funkcjonalnym odpowiednikiem oprogramowania Microsoft Windows CardSpace, ale działa na platformach Macintosh i Linux. Dzięki zastosowaniu oprogramowania DigitalMe użytkownicy zyskują pełną kontrolę nad danymi osobowymi i mogą decydować, komu powierzają przechowywanie poufnych informacji oraz korzystać z witryn interaktywnych, m.in. o kontrolowanym dostępie uzależnianym od wieku lub innych kryteriów, bez potrzeby ujawniania swojej tożsamości.

Z kolei dostawcy danych identyfikacyjnych mogą wdrażać restrykcyjne metody weryfikacji tożsamości, gwarantując stronom korzystającym z ich usług wysoki stopień pewności, że dane osobowe używane do realizowania transakcji są pełne i dokładne. Wreszcie przedsiębiorstwa w wykorzystywanych serwisach sieciowych nie muszą bezpiecznie gromadzić i utrzymywać milionów danych identyfikacyjnych, co pozwala ograniczyć odpowiedzialność i koszty wiążące się z przechowywaniem danych osobowych. Mogą także zapewnić mobilnym pracownikom dostęp do usług oferowanych w ramach outsourcingu bez przekazywania za pośrednictwem Internetu firmowych danych uwierzytelniających.


TOP 200