POLSKI MATRIX

Kategoria: Archiwum, Co piszą inni, Polecane, Polska, Świat
Autor:
niss
, 9 września 2016

Polski-Matrix

W Polsce publiczną dyskusję o cyber-bezpieczeństwie wywołało dopiero dowództwo Sojuszu Północnoatlantyckiego na szczycie NATO w Warszawie, można odnieść wrażenie, że wcześniej BBN nie dostrzegało rangi i skali największego wyzwania strategicznego naszej współczesności. Agencja Bezpieczeństwa Wewnętrznego nie posiada własnych serwerów i je wypożycza. Cyberprzestrzeń postrzegana jest w Polsce, jako technologia a nie rzeczywistość.

 

POLSKI MATRIX

NISS

Autor: Dr Tamara Rud, specjalista ds. bezpieczeństwa Bliskiego Wschodu

Współpraca: Maksymilian Rud -Domański

Stereotyp cyberprzestrzeni do niedawna przedstawiał cechy realnej, postrzegalnej zmysłami rzeczywistości, którą można było zobaczyć, dotknąć i kształtować za pośrednictwem interfejsu. Obraz ten kusił nieograniczonością i przerażał brakiem ładu, który był domeną „starego świata”. Szybko jednak cyberprzestrzeń stała się siecią telekomunikacyjną, pulsem gospodarki, ważnym aspektem funkcjonowania globalnej społeczności. Sęk w tym, że  wciąż pozostaje w dużym stopniu wizją z filmu science fiction, i co gorsze daleka jest od normalizacji.

W Polsce publiczną dyskusję o cyber-bezpieczeństwie wywołało dopiero dowództwo Sojuszu Północnoatlantyckiego na szczycie NATO w Warszawie, można odnieść wrażenie, że wcześniej BBN nie dostrzegało rangi i skali największego wyzwania strategicznego naszej współczesności. Agencja Bezpieczeństwa Wewnętrznego nie posiada własnych serwerów i je wypożycza. Cyberprzestrzeń postrzegana jest w Polsce, jako technologia a nie rzeczywistość, choć od wspomnianego w tytule filmu MATRIX minęło z górą 10 lat.

Przesłaniem szczytu NATO w Warszawie była wyraźna rekomendacja współpracy w zakresie cyber-bezpieczeństwa z różnymi podmiotami – zarówno z sektorem prywatnym, jak i organizacjami publicznymi. Kluczowe będzie podejmowania szerokich działań cyber-bezpieczeństwa, których bardzo istotnym elementem jest wielowymiarowe wykorzystywanie cyberprzestrzeni, podsumowuje raport „Nato Road to Cybersecurity”.

Biorąc pod uwagę, że na świecie tylko dwa ośrodki  analizują realne zagrożenia ze strony cyberprzestępców w Darknecie: CIA i Mossad, przesłanie NATO brzmi dla rządów członkowskich organizacji jak łabędzi śpiew. Izraelczycy rozwinęli kosztem 10 mln dolarów amerykański system RADAR do analizy sieciowej ruchu hakerów. System ten, a w nim cybernetyczny James Bond  dokonują automatycznie oceny zagrożeń i generują alarm.
W ciągu ostatnich dziesięciu lat we współpracy z departamentem bezpieczeństwa USA, Izraelczycy wykształcili w wojsku, armię analityków wywiadu w Darknecie. Darknet jest przestępczą siecią paralelną do Internetu, to z niej wychodzi 95 proc. wszystkich ataków hackerskich. Sieć jest anonimowa i nie ma geolokalizacji. Potrzeba całych lat inwigilacji,
by umieścić w niej anonimowych szpiegów. Amerykanie nie dzielą się swoim know-how,
w przeciwieństwie do Izraelczyków, którzy zgodnie z zaleceniami unijnymi podjęli próbę komercjalizacji całego przedsięwzięcia. Mają już pierwszych klientów: chronią banki brytyjskie, sieci konsumenckie, lotniska, samorządy, Igrzyska Olimpijskie w RIO, aglomerację Tokio*.

Szczyt NATO w Warszawie to okazja wziąć pod lupę cyber-bezpieczeństwo w Polsce w ciągu ostatnich 20 lat, zarówno w warstwie informatycznej, jak i formalnoprawnej.

Tradycyjne systemy informatyczne, zabezpieczające krytyczne dane przed cyberprzestępcami są dramatycznie nieskuteczne. W rankingu największych i najpopularniejszych porażek na polu informatyzacji i cyber-bezpieczeństwa przedstawiamy:

  1. Antiwirus. Właściwie jest martwy. Eksperci bezpieczeństwa, nawet dużych firm, zalecają odinstalowywanie antywirusów gdyż są ciężkimi plikami a wirusy i tak przenikają przez ich szczeliny. Z powodu reakcyjnego charakteru antywirusy pełnią trzeciorzędną rolę i w opinii wielu zarządców bezpieczeństwem, po serii potężnych ataków na duże marki jak amerykański sieciowy dom mody TARGET, SONY czy HOME DEPOT należą do systemów, w które nie warto inwestować. Przyzwyczajenie jest drugą naturą informatyków i powoduje, że firewalle klasyczne ewoluują w rozwiązania bardziej skomplikowane, aplikacji i nowych opcji w chmurze. Badanie wśród specjalistów IT ds. bezpieczeństwa potwierdza, że 91% z nich uznaje firewalle za kluczowe przez następne pięć lat. 61% twierdzi, ze firewalle są wśród trzech najlepszych narzędzi bezpieczeństwa. (za: Information Week 2015)
  2. Nowszą generację bezpieczeństwa przyniosły stare jak świat zabezpieczenia poziomu dostępu, które okrzyknięto dynamiczną i skuteczną ochroną oraz detekcją zagrożeń. Wymyślone przez sfrustrowanych profesjonalistów z branży bezpieczeństwa, którzy musieli obarczyć kogoś winą za stały wyciek danych, a enduser nadawał się do tego idealnie. Edward Snowdan pokazał jednak, że ułomna natura ludzka może być łatwym łupem hackera w nawet najbardziej tajnych instytucjach, jeżeli pozostawia się pracownikowi zbyt duży dostęp do danych. Socjologowie ostrzegają, że w mediach społecznościowych nawet najbardziej świadomi zagrożeń internauci, chcąc nieść pomoc, otworzą w końcu załącznik, lub uruchomią przelew charytatywny. Krótko po aferze Snowdana, szef zabezpieczen CIA Bob Bigman powiedział, że miał on dostęp do danych z poziomu, na który nie powinien w ogóle był trafić.
  3. Hasła – kolejna porażka na liście przedstawia także ułomność natury ludzkiej i nie chodzi tylko o fakt, ze użytkownicy w większości wybierają proste i krótkie hasła,
    a następnie używają ich do wielu internetowych kont. Chodzi o to, że nawet użytkownicy z mocnymi hasłami są hakowani. Dane raportu Verizon Data Breach Investigations mówią same za siebie: 63% wszystkich ataków hakerskich w 2015 na duże firmy roku to efekt wycieku danych osobowych pracowników.

Skradzione dane znajdują się na samym szczycie rankingu zagrożeń cyberprzestrzeni. To dzięki nim wpuszcza się malware, phishing, keylogger nawet do największych organizacji, które wydają miliony dolarów rocznie na bezpieczeństwo. Nieprawda, że nie ma alternatywy dla haseł. Są silniejsze opcje uwierzytelniania, jak uwierzytelnianie wieloczynnikowe (MFA), biometria czy Fast Online Identity (FIDO). Mimo to, większość organizacji nadal używa haseł jako podstawowej metody uwierzytelniania gości na swoich stronach internetowych. A koło  skradzionych haseł stale się kręci.

Luk cyber-bezpieczeństwa można na co dzień wyliczać tysiące. Banki tracą miliony, firmy detaliczne nie są w stanie nawet podsumować rocznych strat, wycieku danych medycznych nie pilnuje nikt, chyba, że trafią na portal plotkarski celebrytów. Zamiatane są pod dywan,

pokrywane rezerwami, byle tylko nie dopuścić do negatywnego PR lub utraty reputacji. Przeraża lawinowy wzrost ataków cyber-przestępczych i bezradność ofiar.  W 2014 roku przez świat przetoczyła się tsunami hakerskich ataków na POS-y (systemy sprzedażowe płatności kartą i terminale). Podniósł się alarm, że należy przejść do kart z zabezpieczeniem mikroprocesorem oraz PIN-em i szyfrowaniem z tokenami dla uwierzytelnienia użytkownika. Nikt nie policzył jednak, jak operacja wymiany czytników w skali miliardów kart płatniczych obciąży kupców. Pozostano więc przy tradycyjnym szyfrowaniu a milionowe straty wkalkulowują w operację płatniczą firmy obsługujące systemy płatności. Czyli znowu za ten bałagan płacimy my.

Notorycznym celem cyberprzestępców są systemy operacyjne, ostatnio modna wśród nich platforma iOS, Java a ostatnio oprogramowanie Adobe Flash. Flash obok Javy jest największym środowiskiem natywnych błędów. W ocenie firmy Symantec należącej do czołówki światowych „bezpieczników” w branży IT, technologia Flash powinna w ciągu 2016 roku wypaść z przeglądarek. Wśród ofiar RansomWare, ponad połowa była efektem starszych niż rok wersji Flash.

Prawdziwy szok przeżyli w cyberprzestrzeni reklamodawcy, z powodu modnych ostatnio malvertisingach. Co ciekawe, złośliwe reklamy coraz częściej wykorzystywane są przez hakerów do prowadzenia ataków. Wymierzone są w oprogramowanie Adobe, co znaczy, że użytkownicy nie musieli odwiedzać zainfekowanych stron, aby narazić się na atak. Odszkodowania dla reklamodawców cyfrowych wyniosły w 2015 roku w USA aż 7,2 mld dolarów amerykańskich. Jeżeli brać pod uwagę, że przemysł cyber-reklamowy obraca rocznie 250 mld dolarów, obejmuje 10 000 różnych marek i kilkaset firm, to w tym oceanie możliwości, do hakerów przemawiać można już tylko z ambony.

Każdego dnia, dosłownie miliony wrażliwych urządzeń podłączonych do sieci, jest pozostawione w Internecie z otwartymi portami komunikacyjnymi, które proszą się
o włamanie. Projekt Sonar znanego badacza HD Moore’a, wykonuje skany Internetu w celu znalezienie narażonych urządzeń i systemów. Przez lata Moore wynajdowywał wielkie dziury w zakodowanych urządzeniach, domowych ruterach, korporacyjnych systemach video-konferencji, serwerach WEB, oraz innych urządzeniach podłączonych do publicznego Internetu. Wszystkie były powiązane ze słabościami portu, takimi jak : losowe hasła, narażone porty, złamane zasady firewall i inne luki w bezpieczeństwie– to wszystko może być celem przestępców – zwracał uwagę badacz. W 2013 roku, Moore i towarzyszący mu Dan Farmer znaleźli około 300 tysięcy serwerów, które były narażone w publicznym NET za pomocą (IPMI). Moore odkrył, ze protokoły IPMI, zarówno jak Kontrolery Basebend Managament wypakowane serwerami służącymi zarzadzaniu, posiadają wiele poważnych wad, które mogą umożliwić atakującemu: kradzież danych z doczepionych pod siec urządzeń pamięciowych, zainstalowanie jakiegokolwiek malware lub dokonanie zmian w systemie operacyjnym.

Sprawa otwartych portów nabiera coraz mroczniejszych kolorów, jeśli pomyśli się, że urządzenia ze stałym polaczeniem sieciowym są w rękach każdego konsumenta : The big-zero-day bug w roku 2014 w samochodzie marki Jeep Cherokee, został shakowany przez Charlie Miller’a oraz Chrisa Valasek’a dzięki jednemu otwartemu portowi. Niepotrzebnie otwarty port 6667 pozwolił im na zdobycie kontroli nad autem, włączając : sterowanie, hamowanie, włączanie sygnałów, kontrolę wycieraczek, kontrole zamka centralnego, resetowanie komputera pokładowego, na koniec unieruchomienie silnika. Wada była po stronie systemu Harman uConnect Infotainment wbudowanego w połączenie komórkowe Sprint, które krótko po incydencie usunięto.

Czy ktoś zrobi z tym porządek?

Dla organów ścigania szklanka jest zawsze w połowie pełna. Jeśli wziąć pod uwagę imponująco nagłośnione aresztowania największych cyberprzestępców: TJX, detalista hakerów Albert Gonzalez, LulzSec bractwo i ich informator z FBI o kryptonimie SABU, Nikita Kuzmin z organizacji GOZI, Arthur Budiovsky, słynny twórca cyber-pieniądza o szumnej nazwie Liberty Reserve. Ten ostatni dostał 20 lat więzienia i pół miliona dolarów kary. Jego kolega, który miał już sprawniejszego obrońcę tylko  87 miesięcy za włamanie i  zawirusowanie blisko 4 milionów komputerów w ponad 100 krajach.

Walka z hakerami przypomina walkę z pluskwami. Nie sposób ich wytępić, najlepiej wszystko spalić. W miejsce zwalczonej siatki pojawia się w innym miejscu setka nowych cyberprzestępców, nie do wykrycia, dzięki odporności na ekstradycję z Rosji i Chin. Rosja pozostaje rajem dla cyberprzestępców m.in. Evgeniya Bogaczeva, za którego schwytanie w amerykańskie FBI daje rekordową sumę 3 mln dolarów. Jest on zbiegłym szefem osławionej GameOver Zeus.

Dla międzynarodowej hakerskiej siatki szpiegowskiej, która gotowa jest sprzedać każdą strategiczną informację państw, rajem pozostają Chiny. W maju 2014 roku departament sprawiedliwości USA, bezskutecznie zwrócił się do rządu w Pekinie o wydanie pięciu członków chińskiej armii za rzekome włamanie i kradzież najważniejszych amerykańskich tajemnic handlowych związanych z produkcją stali i energii słonecznej. Podobną porażkę w cyber-dyplomacji poniósł rząd amerykański w innej głośnej sprawie w marcu 2016 roku wobec siedmiu irańskich hakerów, oskarżonych o masową kampanię DDoS, które w latach 2011-2013 trapiły sektor finansowy w USA.

Definiowanie cyber-bezpieczeństwa rodzi poważne wyzwania. Z jednej strony rządy chcą rozprawić się z przestępcami, którzy mogą sparaliżować infrastrukturę państwa, powodowane słuszną troską o bezpieczeństwo państwa i obywateli, z drugiej napotykają problem ustaw o ochronie danych, co zmiata programy typu Bug Bounty z wokandy parlamentarnej. Konia z rzędem temu, kto nadąży za złożonym tematem cyberprzestępczości, jak świat światem nowy i stary jednocześnie.

_____________________________________________________________________________________________________________

* W Polsce system RADAR wprowadziła firma COSMOIQ z grupy 3GS, przedstawiciel izraelski. System identyfikuje analizuje i alarmuje wszystkie próby ataków hackerskich na firmy. Działa online 24/7 z udziałem wielu analityków wywiadu, również tych, którzy inwigilują darknet, którzy wraz z klientem oceniają na sytuację. Sygnał alarmowy przed atakiem kończy zalecenie na przykład natychmiastowego odcięcia dostępu. W systemie jak na dłoni widać numery kont, loginy i hasła użytkowników bankowych kont, które wystawione są na sprzedaż na giełdzie darknetowej. Z danych darknetu można dojść też do źródła przestępstw, zamiarów terrorystycznego ataku, zlokalizować która firma w Polsce budzi największe zainteresowanie hackerów i dlaczego. Bezcenne dane dla wszystkich szefów odpowiedzialnych za bezpieczeństwo firm. (TR)   

 

 


 

 

Tagi: , , , , ,

O autorze: niss