Wirtualne ataki, realne zagrożenie

Włamując się na rządowy serwer, przestępcy mogą opóźnić publikację nowych przepisów. Umieszczenie prowokacyjnych treści może doprowadzić nawet do ataków terrorystycznych.

Gdy przegląda się wyniki audytów zabezpieczeń stron rządowych, można dojść do wniosku, że zawierają one krytyczne luki w bezpieczeństwie. Można się zatem spodziewać zagrożenia związanego z podmianą treści na oficjalnych stronach rządowych.

Na pozór defacing (podmiana treści) strony przez podstawienie treści z publicznie dostępnego serwisu, takiego jak YouTube, nie wydaje się dużym zagrożeniem, powoduje co najwyżej pewną szkodę medialną, odrobinę wstydu i być może wpływa w jakiś sposób na notowania rządu. Tymczasem według ekspertów do spraw bezpieczeństwa, zagrożenie może być poważne, gdyż internet z samej swojej natury jest międzynarodowy. Gdyby zatem włamywacze umieścili w tym miejscu np. obraźliwą dla wyznawców islamu treść, moglibyśmy spodziewać się nawet ataków terrorystycznych ze strony skrajnych ugrupowań arabskich. Chociaż taka reakcja na publikacje w świecie wirtualnym wydaje się odległą perspektywą, jej skutki w świecie rzeczywistym byłyby poważne.

Hakerzy szukają w archiwach

Przypadki podmiany strony w celu ośmieszenia grupy osób zdarzają się często. Podczas hiszpańskiej prezydencji zamieniono zdjęcie premiera Hiszpanii na fotografię angielskiego komika. Obie twarze są podobne, zatem podmiana ta wywołała oczywisty skandal. Wiedząc o tym, podczas polskiej prezydencji w Unii Europejskiej podjęto prace związane z profesjonalnym zabezpieczeniem środowiska. Działania te zdały egzamin, gdyż nie zanotowano naruszenia bezpieczeństwa serwisu w tym czasie. Nie można tego powiedzieć o stronie polskiego premiera. Po włamaniu na tę stronę na serwerze pojawiały się kolejno różne, wcześniej zdobyte przez hakerów treści. Nie było to przecież pierwsze włamanie na serwery Kancelarii Premiera. Teraz środowisko "czarnych kapeluszy" się zaktywizowało, poszukało w swoich archiwach pozyskanych wcześniej, ale nieupublicznianych materiałów i postanowiło opublikować to, co kiedyś udało się im zdobyć. Jest to dowód, że śladów włamania nie wykryto nawet po latach.

Nagłośnić czy przemilczeć?

Firmy działające w branży bezpieczeństwa ciężko pracują, by ich główna strona nie została podmieniona. Gdyby tak się stało, byłaby to kolosalna utrata zaufania klientów, a na to w dzisiejszych czasach nie można sobie pozwolić. Nie ma praktycznego znaczenia, jakie dane wyciekną lub zostaną podmienione, ale każdy większy problem z bezpieczeństwem oznacza utratę zaufania. Szczególnie dobrze widać to w branży finansowej: banki wolą zamiatać pod dywan, niż pozwolić sobie na utratę wizerunku.

Nie tylko skandal polityczny

Należy pamiętać, że nie wszystkie włamania muszą się wiązać z prostym wyczynem hakerskim dla uzyskania rozgłosu. Zdarzało się wprowadzanie linków do stron pornograficznych, do serwisów rozsiewających złośliwe oprogramowanie czy innych, podobnych stron w internecie. Na oficjalnych stronach znajdują się także numery kont - nie wiadomo, czy ktoś się zastanawiał, jaki skutek miałaby podmiana numeru konta na stronie oficjalnej instytucji. Na pewno spowodowałoby to istotne straty finansowe i lawinę roszczeń.

Ustawa nie wejdzie w życie, bo serwer nie działa

Od tego roku wszystkie akty prawne publikowane są w postaci elektronicznej. O ile podpis elektroniczny gwarantuje integralność i autentyczność opublikowanego dokumentu, o tyle nie można powiedzieć tego o jego dostępności. Jeśli serwer zostanie zablokowany, nie dojdzie do ogłoszenia treści dokumentu tak, by można było się z nim zapoznać. Skoro publikacja ustawy czy rozporządzenia się nie powiedzie, to nie mogą one stać się obowiązującymi przepisami prawnymi.

Wszystkie duże ataki były przeprowadzane przez zorganizowaną grupę sieciowych aktywistów albo z pobudek czysto finansowych przez internetowe podziemie. Z tego wynika, że grupy przestępcze dysponujące znacznymi zasobami finansowymi mogą z powodzeniem opóźnić wejście w życie ustawy, która godziłaby w ich interesy. Zablokowanie na pewien czas rządowego serwera związanego z publikacją dokumentów sprawi, że sam proces wejścia w życie ustawy czy rozporządzenia będzie trwał dłużej, a każdy dzień opóźnienia przynosi przestępcom konkretne dochody. Obecnie nie można jeszcze ocenić, w jakim stopniu scenariusz ten jest realny.

DDoS wyłącza nie tylko serwer

Jeśli serwis pada ofiarą rozproszonego ataku odmowy obsługi, należy sobie zadać pytanie, czy DDoS wpływa na komunikację z innymi serwisami tego samego podmiotu. Z dużym prawdopodobieństwem, wręcz graniczącym z pewnością, można powiedzieć, że razem z oblężonym przez zmasowany atak serwerem niedostępne będą inne usługi, takie jak poczta elektroniczna. Wynika to stąd, że DDoS powoduje przeciążenie łączy internetowych, a zatem blokuje całą komunikację z nich korzystającą. Znane są przypadki problemów firm posiadających telefonię IP, gdy atak DDoS kierowany przeciw www spowodował zablokowanie połączeń telefonicznych (włącznie z numerem rzecznika prasowego), gdyż telefonia VoIP korzystała z tego samego łącza internetowego.

Problemy w polskich firmach

Po analizie wyników ankiety TOP10 Risk widać, że polskie firmy nadal mają problemy z rzeczami prostymi, wręcz podstawowymi, takimi jak kopia bezpieczeństwa. Nawet jeśli wykonywana jest kopia, to rzadko testuje się odtwarzanie danych. Zatem jeśli organizacje mają problemy z kopiami bezpieczeństwa, to znaczy, że nie jest potrzebny żaden wyrafinowany atak hakerski, by zablokować ich działanie. Dlatego polskie organizacje w pierwszej kolejności muszą dopracować zagadnienia podstawowe. Oprócz backupu takim problemem jest polityka bezpieczeństwa. W ramach audytów przeprowadza się standardową procedurę testowania podatności systemu poprzez próby łamania haseł. W organizacji, która takiego audytu nie przeprowadzała latami, 30% haseł zostaje złamanych w ciągu jednej minuty - są to trywialne zabezpieczenia, np. nazwa organizacji danego pracownika, słynne "admin123", "alamakota" czy inne podobne.

Tekst powstał na podstawie dyskusji "Zagrożenia dla bezpieczeństwa i prywatności w Internecie" oraz IT Top10 Risk, które odbyły się w ramach konferencji Semafor 2012, organizowanej przez ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld.


TOP 200